เหตุใดธุรกิจการเงิน-ประกันภัย เสี่ยง “ข้อมูลรั่วไหล” จำนวนมาก
เมื่อวันที่ 6 พ.ย. 2566 ที่ผ่านมา มีรายงานว่าตำรวจไซเบอร์ได้ทำการจับกุมโบรกเกอร์บริษัทประกันแห่งหนึ่ง ที่นำข้อมูลส่วนบุคคลนับล้านรายชื่อไปขาย ก่อนขยายผลการจับกุม พบมีขบวนการลักลอบซื้อขายข้อมูลส่วนบุคคลกว่า 15 ล้านรายการ ส่งต่อให้กับมิจฉาชีพ
ข่าวดังกล่าวไม่เพียงเป็นกรณีการเกิดเหตุละเมิดข้อมูลส่วนบุคคลครั้งใหญ่ในบ้านเรา หากการจับกุมครั้งนี้ยังแสดงถึงทิศทางการบังคับใช้กฎหมาย PDPA อย่างจริงจังด้วย กรณีนี้แม้จะสามารถจับบุคคลผู้ก่อเหตุได้ แต่ก็อาจต้องมองย้อนกลับไปดูว่า บริษัทต้นทางต่าง ๆ ที่เป็นผู้เก็บรวบรวมข้อมูลส่วนบุคคลของผู้คนมากมายนั้น มีมาตรการในการป้องกัน ข้อมูลรั่วไหล หรือไม่อย่างไร และมาตรการนั้นมีความรัดกุมมากพอหรือไม่ ที่สำคัญคนในองค์กรตระหนักรู้หรือให้ความสำคัญกับการปฏิบัติตามกฎหมาย PDPA แล้วหรือยัง เพราะหากยังไม่มี นอกจากพนักงานที่ต้องรับผิดฐานทำเกินหน้าที่ องค์กรเองก็อาจต้องโทษตามกฎหมาย PDPA ด้วยเช่นกัน
ธุรกิจการเงิน และธนาคาร ถือเป็นอีกหนึ่งธุรกิจที่มีการจัดเก็บข้อมูลเป็นจำนวนมากพอ ๆ กับธุรกิจด้านสุขภาพ และการศึกษา เนื่องจากการจะทำธุรกรรมทางการเงินล้วนต้องอาศัยการยืนยันตัวตนด้วยข้อมูลส่วนบุคคล ด้วยเหตุนี้เองธุรกิจด้านการเงิน และธนาคารจึงตกเป็นเหยื่ออาชญากรรม และเป็นเป้าหมายการโจมตีทางไซเบอร์
เพียง 1 ปี ธุรกิจการเงิน-ประกันภัย ข้อมูลรั่วไหล มูลค่าสูงกว่า 3 ล้านเหรียญสหรัฐ
ทั้งนี้ สถิติจาก Ponemon Institute สถาบันวิจัยด้านความปลอดภัยข้อมูลในสหรัฐอเมริกา ซึ่งร่วมมือกับ IBM ทำการเก็บข้อมูลเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้นใน 16 ประเทศทั่วโลก กว่า 533 ครั้ง โดยเผยแพร่ในรายงาน 2023 Cost of Data Breach Report ระบุว่า ตั้งแต่เดือนมีนาคม 2022 – มีนาคม 2023 ประเทศในแถบอาเซียน มีมูลค่าความเสียหายที่เกิดจากเหตุการณ์ข้อมูลรั่วไหลถึง 3.05 ล้านเหรียญดอลลาร์สหรัฐ โดยเพิ่มสูงขึ้นจากช่วงเดียวกันในปีก่อน ที่มีมูลค่า 2.87 ล้านเหรียญดอลลาร์สหรัฐ ถึง 1.8 แสนเหรียญดอลลาร์สหรัฐ หรือ คิดเป็น 5.9%
และเมื่อแบ่งแยกตามประเภทธุรกิจ ยังพบว่า กลุ่มธุรกิจการเงิน ที่ประกอบด้วย ธุรกิจธนาคาร ประกันภัย และบริษัทด้านการลงทุน มีมูลค่าความเสียหายของการโจมตีทางไซเบอร์จนทำให้เกิดข้อมูลรั่วไหล สูงถึง 5.9 ล้านเหรียญดอลลาร์สหรัฐ โดยสาเหตุที่ทำให้เกิดเหตุการณ์ดังกล่าว มาจากการฟิชชิ่งสูงที่สุด รองลงมาเป็นการถูกขโมยข้อมูล รวมไปถึงระบบการรักษาความปลอดภัยที่หละหลวม และการถูกบุคลากรในองค์กรนำข้อมูลออกไปใช้เพื่อผลประโยชน์โดยมิชอบ
Cost of Data Breach Report ยังรายงานว่า ระดับความรวดเร็วในการตรวจพบเหตุการณ์ข้อมูลรั่วไหลในปี 2023 เฉลี่ยอยู่ที่ 204 วัน ซึ่งเร็วขึ้นจากปี 2022 ที่ต้องใช้เวลาในการระบุถึงสาเหตุการรั่วไหลของข้อมูล จึงมีระดับความรวดเร็วในการตรวจพบเหตุการณ์เฉลี่ยอยู่ที่ 207 วัน ส่วนเวลาในการรับมือกับเหตุการณ์ข้อมูลรั่วไหลในปี 2023 เฉลี่ยอยู่ที่ 73 วัน เพิ่มสูงขึ้นจาก ปี 2022 ที่ใช้เวลาเฉลี่ยเพียง 70 วันเท่านั้น
ขณะที่นับวันสถิติการเกิดข้อมูลรั่วไหลจะยิ่งมากขึ้น พร้อมกับความเสียหายที่ทวีมูลค่าขึ้น แต่ในทางกลับกันก็มีองค์กรที่ตื่นตัวเพิ่มมากขึ้นถึง 51 % โดยองค์กรเหล่านี้ยอมลงทุนกับความปลอดภัยมากขึ้น ทั้งในด้านการวางแผนการตอบสนองต่อเหตุการณ์ การฝึกอบรมบุคลากร รวมไปถึงการนำเทคโนโลยีและนวัตกรรมด้านความปลอดภัยทางไซเบอร์มาใช้ในองค์กร โดยในประเทศไทยเอง ก่อนหน้านี้ก็มีธุรกิจด้านการเงินจำนวนไม่น้อยที่ออกมาเอาจริงเอาจังกับมาตรการความปลอดภัยทางไซเบอร์ เช่นล่าสุด เมื่อเดือนกันยายน 2023 ที่ผ่านมา ธนาคารแห่งประเทศไทยได้ร่วมมือกับ Google ประเทศไทย และศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร ภายใต้สมาคมธนาคารไทย (TB-CERT) ก็ได้ร่วมกันจัดทำแคมเปญเกี่ยวกับการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์
ขณะที่ภาครัฐ ก็ได้มีการออกพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 โดยมีการกำหนดโทษเกี่ยวกับการใช้บัญชีม้าในการก่ออาชญากรรม ทำให้สถาบันทางการเงินมีอำนาจในการระงับ และตรวจสอบความผิดปกติที่มาจากเหตุอาชญากรรมทางไซเบอร์ได้เร็วขึ้น ส่วนในภาคเอกชนก็เริ่มมีบริษัทด้านเทคโนโลยีหลายแห่งที่พัฒนานวัตกรรมด้านความปลอดภัยทางไซเบอร์ที่เหมาะสมกับธุรกิจด้านการเงิน โดยมีจุดประสงค์ที่จะลดความเสี่ยงที่อาจเกิดขึ้นกับระบบไซเบอร์ และข้อมูลที่สำคัญ รวมถึงเพื่อรับมือกับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ของสถาบันการเงิน และสร้างความเชื่อมั่นให้ประชาชน
หากแต่ลำพังจะใช้เพียงมาตรการจากภาครัฐที่กล่าวมาข้างต้น ก็คงไม่อาจสร้างความปลอดภัยที่สมบูรณ์ได้ แต่ละองค์กรจึงจำเป็นจะต้องมีมาตรการภายในที่รัดกุม สอดคล้องกับกฎหมาย โดยควรมีการออกนโยบาย วางแผนรับมือ ฝึกฝนบุคลากร และมีเครื่องมือที่ช่วยรักษาความปลอดภัยได้อย่างเป็นรูปธรรม อีกทั้งหากมาตรการในการรักษาความปลอดภัยสามารถทำงาน หรือสั่งการเชื่อมโยงกันได้อย่างไร้รอยต่อ เช่น มีระบบการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log File) , มีระบบบริหารจัดการ แจ้งเตือน และจัดการกับความเสี่ยงทางไซเบอร์อย่าง SIEM และ SOAR รวมถึงมีระบบบริหารจัดการกล้องวงจรปิด หรืออุปกรณ์ตรวจจับอัจฉริยะ ก็อาจช่วยแจ้งเตือน หาสาเหตุ และจัดการกับภัยคุกคามได้อย่างทันท่วงที นำมาสู่การสร้างระบบนิเวศด้านความปลอดภัยที่ไร้รอยต่อในองค์กร
Security Pitch เราให้ความสำคัญกับความปลอดภัยทุกด้าน จึงมุ่งมั่นพัฒนานวัตกรรมด้านความปลอดภัยที่ครอบคลุม เพื่อสร้างระบบนิเวศด้านความปลอดภัยที่ไร้รอยต่ออย่างแท้จริง
ขอบคุณข้อมูลจาก