ความปลอดภัยทางไซเบอร์: สิ่งที่ CEO และ CFO ทุกคนควรรู้

เผยแพร่แล้ว: 2022-03-11

บทสรุปผู้บริหาร

ต้นทุนความปลอดภัยทางไซเบอร์
  • ในปี 2560 ค่าใช้จ่ายเฉลี่ยของการละเมิดข้อมูลอยู่ที่ 7.35 ล้านดอลลาร์ ค่าใช้จ่ายรวมทุกอย่างตั้งแต่การตรวจจับ การกักกัน และการกู้คืน ไปจนถึงการหยุดชะงักของธุรกิจ การสูญเสียรายได้ และความเสียหายของอุปกรณ์ การละเมิดทางไซเบอร์สามารถทำลายชื่อเสียงของบริษัทหรือค่าความนิยมของลูกค้าได้
  • บริษัทที่มีนวัตกรรมทางธุรกิจระดับสูงสุดมีการโจมตีที่มีค่าใช้จ่ายสูง การเข้าซื้อกิจการหรือการขายกิจการของบริษัทสามารถเพิ่มต้นทุนของอาชญากรรมทางอินเทอร์เน็ตได้ 20% ในขณะที่การเปิดตัวแอปพลิเคชันใหม่ที่สำคัญทำให้ต้นทุนเพิ่มขึ้น 18%
  • 24% ของการละเมิดส่งผลกระทบต่อองค์กรทางการเงิน ตามด้วยการดูแลสุขภาพและภาครัฐ
  • ต้นทุนของบริษัทเงินทุนสูงที่สุดในบรรดาอุตสาหกรรมทั้งหมด โดยสูญเสียค่าเฉลี่ย 16.5 ล้านดอลลาร์ในปี 2556
บริษัทขนาดเล็กตระหนักดีแต่ยังไม่พร้อม
  • ในปีที่แล้ว แฮ็กเกอร์ได้ละเมิดธุรกิจขนาดเล็กของสหรัฐถึงครึ่งหนึ่ง ในการสำรวจของ Ponemon Institute ในปี 2013 75% ของผู้ตอบแบบสอบถามไม่มีแผนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่เป็นทางการ 66% ของผู้ตอบแบบสอบถามไม่มั่นใจในความสามารถขององค์กรในการกู้คืนจากการโจมตี
  • การสำรวจในปี 2560 จากบริษัทรักษาความปลอดภัยทางไซเบอร์ Manta ระบุว่าหนึ่งในสามของธุรกิจขนาดเล็กไม่มีเครื่องมือในการป้องกันตนเอง
  • ในปี 2556 การโจมตี 88% ที่ริเริ่มต่อบริษัท FS นั้นประสบความสำเร็จในเวลาไม่ถึงวัน อย่างไรก็ตาม มีการค้นพบสิ่งเหล่านี้เพียง 21% ภายในหนึ่งวัน และในช่วงหลังการค้นพบ มีเพียง 40% เท่านั้นที่ถูกค้นพบภายในกรอบเวลาหนึ่งวัน
การโจมตีที่มีรายละเอียดสูงในบริษัทการเงิน
  • การโจมตีธนาคารอเมริกันหกแห่ง (2012): Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo และ PNC เป็นเป้าหมายในการโจมตีทางคอมพิวเตอร์โดยกลุ่มที่อ้างว่ามีความสัมพันธ์ในตะวันออกกลาง สิ่งเหล่านี้คือการโจมตี DDoS ซึ่งแฮ็กเกอร์เข้าครอบงำเว็บไซต์ของธนาคารจนต้องปิดตัวลง
  • JPMorgan (2014): บัญชีประมาณ 83 ล้านบัญชีถูกแฮ็กเกอร์บุกรุก น่าแปลกที่ JPMorgan ใช้เงินประมาณ 250 ล้านดอลลาร์ในการรักษาความปลอดภัยคอมพิวเตอร์ทุกปี แหล่งที่มาของการละเมิดนั้นเป็นพื้นฐาน: ธนาคารไม่ได้ใช้การรับรองความถูกต้องด้วยสองปัจจัย
  • SWIFT (2016): Society for Worldwide Interbank Financial Telecommunication (SWIFT) ซึ่งเป็นสมาคมระหว่างประเทศที่มีธนาคารกว่า 11,000 แห่งที่อำนวยความสะดวกในการโอนข้ามพรมแดนถูกแฮ็ก ธนาคารบังคลาเทศ หนึ่งในผู้ใช้เครือข่าย SWIFT ถูกแฮ็กเป็นจำนวนเงิน 81 ล้านดอลลาร์
การป้องกันและแก้ไขปัญหาความปลอดภัยทางไซเบอร์
  • หน่วยสืบราชการลับตามเวลาจริง ยิ่งใช้เวลาในการระบุการแฮ็กนานเท่าใด ผลที่ตามมาก็จะยิ่งมีราคาสูงขึ้น ด้วยการแจ้งเตือนการประนีประนอมเพียง 60 วินาที ค่าใช้จ่ายที่เกิดขึ้นอาจลดลง 40%
  • ประกันภัยไซเบอร์ โดยทั่วไปแล้ว บริษัทประกันจะจำกัดความสามารถของตนไว้ที่ระหว่าง 5 ล้านดอลลาร์ถึง 100 ล้านดอลลาร์ต่อลูกค้าหนึ่งราย ณ เดือนตุลาคม 2016 มีเพียง 29% ของธุรกิจในสหรัฐฯ ที่ซื้อประกันในโลกไซเบอร์ อย่างไรก็ตาม ตลาดประกันภัยไซเบอร์โดยรวมคาดว่าจะมีมูลค่า 20 พันล้านดอลลาร์ในปี 2568 เพิ่มขึ้นจาก 3.25 พันล้านดอลลาร์ในปัจจุบัน
  • โปรแกรมรางวัลบั๊ก องค์กรจ่ายเงินให้บุคคลภายนอก ("แฮกเกอร์ที่เป็นมิตร") เพื่อแจ้งให้พวกเขาทราบถึงข้อบกพร่องด้านความปลอดภัย บริษัทต่างๆ ตั้งแต่ Google และ Dropbox ไปจนถึง AT&T และ LinkedIn ได้นำแนวปฏิบัตินี้มาใช้แล้ว

บทนำ

คิดว่า [ความปลอดภัยทางไซเบอร์] เป็นความปลอดภัยและความปลอดภัยในถนนและรถยนต์มากกว่า รถไม่มีการเปลี่ยนแปลงจริงๆ ในช่วง 30 ปีที่ผ่านมา แต่มีความปลอดภัยในตัวรถ และมันก็ไม่เซ็กซี่เลย จนกว่าจะช่วยชีวิตคุณได้ คุณมีชิ้นส่วนที่ซ่อนอยู่ – ถุงลมนิรภัย – และชิ้นส่วนที่เตือนให้คุณปลอดภัยเหมือนเข็มขัดนิรภัย… บางส่วนเกี่ยวกับพฤติกรรมที่ดีและทัศนคติที่ดี บางส่วนเกี่ยวกับความปลอดภัยทางกายภาพเพื่อเตือนคุณว่ามีความเสี่ยง และ บางส่วนถูกอบเข้ามาเพื่อช่วยคุณ

– Sian John นักยุทธศาสตร์การรักษาความปลอดภัยทางไซเบอร์อาวุโสที่ Symantec

เราจะยอมรับมัน การรักษาความปลอดภัยทางไซเบอร์ไม่ใช่เรื่องเซ็กซี่ อย่างไรก็ตาม ในยุคดิจิทัลในปัจจุบัน การรักษาความปลอดภัยทางไซเบอร์มีความสำคัญมากขึ้นเรื่อยๆ สำหรับองค์กรขนาดใหญ่และสตาร์ทอัพขนาดเล็ก วันนี้เดิมพันสูงขึ้นกว่าที่เคย เนื่องจาก "ทุกบริษัทกลายเป็นบริษัทเทคโนโลยี" เทคโนโลยีเป็นมากกว่าส่วนเสริมในการดำเนินงานของบริษัท และในหลายกรณี ทรัพย์สินที่อาศัยอยู่บนเครือข่าย เป็นการ ดำเนินงานหลัก ประกอบกับข้อเท็จจริงที่ว่าการแฮ็กกลายเป็นเรื่องธรรมดาเนื่องจากการใช้อุปกรณ์พกพาและอินเทอร์เน็ตของสิ่งต่างๆ เพิ่มขึ้น ตลอดจนระบบนิเวศของอาชญากรไซเบอร์ที่เพิ่มขึ้น

บทความนี้จะสรุปประเภทของอาชญากรไซเบอร์ ยุทธวิธีอาชญากรรมทางอินเทอร์เน็ต และปัจจัยที่เอื้ออำนวย ชิ้นนี้ยังรวมถึงโซลูชั่นที่จับต้องได้ซึ่งบริษัทต่างๆ สามารถใช้เพื่อปกป้องตนเองได้ โซลูชันมีทั้งการป้องกันทางเทคโนโลยีและส่วนประกอบของมนุษย์ ตัวอย่างเช่น ผู้นำต้องยอมรับว่าการรักษาความปลอดภัยในโลกไซเบอร์เป็นปัญหาทางธุรกิจเชิงกลยุทธ์ ไม่ใช่แค่ "ปัญหาด้านไอที" นอกจากนี้ โซลูชันที่มีประสิทธิภาพที่สุดบางส่วนยังเป็นแบบพื้นฐาน เช่น การให้ความรู้พนักงานหรือการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้

อาชญากรรมไซเบอร์คืออะไร?

พูดง่ายๆ ก็คือ อาชญากรรมทางอินเทอร์เน็ตเป็นอาชญากรรมที่มีคอมพิวเตอร์หรือแง่มุมทางไซเบอร์บางประเภท มันสามารถเป็นรูปเป็นร่างในหลากหลายรูปแบบ และจากบุคคลหรือกลุ่มที่มีปัจจัยจูงใจต่างกัน ภัยคุกคามทางไซเบอร์เป็นความเสี่ยงที่ไม่สมดุลโดยพื้นฐานแล้วบุคคลกลุ่มเล็กๆ สามารถสร้างความเสียหายจำนวนมากอย่างไม่สมส่วนได้

หมวดหมู่ของอาชญากรไซเบอร์

  1. กลุ่มอาชญากรที่มีแรงจูงใจทางการเงิน: กลุ่ม เหล่านี้ส่วนใหญ่ตั้งอยู่ในยุโรปตะวันออก

  2. นักแสดงระดับชาติ: คนที่ทำงานโดยตรงหรือโดยอ้อมให้กับรัฐบาลเพื่อขโมยข้อมูลที่ละเอียดอ่อนและขัดขวางความสามารถของศัตรู โดยทั่วไปแล้วพวกเขาจะเป็นผู้โจมตีทางไซเบอร์ที่มีความซับซ้อนมากที่สุด โดย 30% มาจากจีน

  3. กลุ่มนักเคลื่อนไหวหรือ “นักแฮ็กข้อมูล”: มักจะไม่ออกไปขโมยเงิน พวกเขาออกไปเพื่อส่งเสริมศาสนา การเมือง หรือสาเหตุของพวกเขา เพื่อส่งผลกระทบต่อชื่อเสียงหรือส่งผลกระทบต่อลูกค้า

  4. คนวงใน : พนักงานเหล่านี้ “ท้อแท้ ถูกแบล็คเมล์ หรือแม้แต่ช่วยเหลือมากเกินไป” ที่ปฏิบัติงานจากภายในบริษัท อย่างไรก็ตาม พวกเขาไม่สามารถมีส่วนร่วมในกิจกรรมอาชญากรไซเบอร์โดยเจตนา บางคนอาจใช้รายชื่อผู้ติดต่อหรือเอกสารการออกแบบโดยไม่ทราบถึงอันตรายที่อาจเกิดขึ้น

อายุเฉลี่ยของอาชญากรไซเบอร์คือ 35 และ 80% ของแฮ็กเกอร์อาชญากรมีส่วนเกี่ยวข้องกับกลุ่มอาชญากร ในระยะสั้นผู้คนเลือกสิ่งนี้เป็นอาชีพ

กลยุทธ์อาชญากรรมไซเบอร์

อาชญากรไซเบอร์ใช้วิธีการทั้งแบบคงที่และแบบไดนามิกเพื่อก่ออาชญากรรม มาเจาะลึกกัน

แผนภูมิ 1: กลยุทธ์ที่ใช้ในการละเมิดข้อมูล ปี 2016

การปฏิเสธบริการแบบกระจาย (DDoS)

การโจมตี DDoS พยายามขัดขวางบริการของเครือข่าย ผู้โจมตีจะส่งข้อมูลหรือการรับส่งข้อมูลปริมาณมากผ่านเครือข่ายจนกว่าจะมีการโอเวอร์โหลดและหยุดทำงาน การจราจรที่ไหลเข้ามาซึ่งท่วมท้นเหยื่อนั้นมาจากแหล่งต่างๆ มากมาย ซึ่งอาจมีหลายแสนคน ซึ่งทำให้ไม่สามารถหยุดการโจมตีได้ด้วยการบล็อกที่อยู่ IP เดียว และทำให้แยกแยะการรับส่งข้อมูลที่ถูกต้องจากการรับส่งข้อมูลการโจมตีได้ยาก

ฟิชชิ่ง

บ่อยครั้งเป็นการร้องขอข้อมูลจากบุคคลที่สามที่เชื่อถือได้ การโจมตีแบบฟิชชิ่งจะถูกส่งทางอีเมลและขอให้ผู้ใช้คลิกลิงก์และป้อนข้อมูลส่วนบุคคลของพวกเขา มักเกี่ยวข้องกับการบิดเบือนทางจิตใจ การปลุกเร้าความเร่งด่วนหรือความกลัว การหลอกลวงบุคคลที่ไม่สงสัยให้ส่งข้อมูลที่เป็นความลับ

มีสองสามปัจจัยที่เกี่ยวข้องกับ ประการแรก อีเมลฟิชชิ่งมีความซับซ้อนและมักจะดูเหมือนคำขอข้อมูลที่ถูกต้องตามกฎหมาย ประการที่สอง เทคโนโลยีฟิชชิ่งกำลังได้รับอนุญาตให้ใช้กับอาชญากรไซเบอร์ รวมถึงบริการฟิชชิ่งแบบออนดีมานด์และชุดฟิชชิ่งนอกชั้นวาง บางทีสิ่งที่น่ากังวลที่สุดคือความจริงที่ว่าบริการเว็บมืดทำให้อาชญากรไซเบอร์สามารถปรับแต่งแคมเปญและทักษะของตนได้ อันที่จริง อีเมลฟิชชิงมีแนวโน้มที่จะคลิกมากกว่าอีเมลการตลาดสำหรับผู้บริโภคทั่วไปถึง 6 เท่า

แผนภูมิ 2: อัตราการคลิกผ่านอีเมลฟิชชิ่ง

มัลแวร์

มัลแวร์ ย่อมาจาก “ซอฟต์แวร์ที่เป็นอันตราย” ออกแบบมาเพื่อเข้าถึงหรือสร้างความเสียหายให้กับคอมพิวเตอร์ มัลแวร์เป็นคำที่ใช้เรียกรวมๆ ของภัยคุกคามทางไซเบอร์ รวมทั้งโทรจัน ไวรัส และเวิร์ม มักจะแนะนำระบบผ่านไฟล์แนบอีเมล การดาวน์โหลดซอฟต์แวร์ หรือช่องโหว่ของระบบปฏิบัติการ

การใช้สิทธิ์ภายในในทางที่ผิด

ในขณะที่คนในวงที่เป็นอันตรายที่รั่วไหลข้อมูลไปยัง WikiLeaks จะได้รับสื่อและความรุ่งโรจน์ทั้งหมด สถานการณ์ทั่วไปที่มากกว่าคือพนักงานทั่วไปหรือผู้ใช้ที่ฉวยโอกาสแอบเอาข้อมูลที่เป็นความลับโดยหวังว่าจะได้เงินที่ไหนสักแห่งในสาย (60% ของเวลา) . บางครั้ง พนักงานก็มีความอยากรู้อยากเห็นและแอบดู (17%) ข้อมูลส่วนบุคคลและเวชระเบียน (71%) ตกเป็นเป้าหมายของอาชญากรรมทางการเงิน เช่น การโจรกรรมข้อมูลประจำตัวหรือการฉ้อโกงการคืนภาษี แต่บางครั้งก็เป็นเพียงเรื่องซุบซิบ

Skimmers การ์ดกายภาพ

การโจมตีเหล่านี้รวมถึงการฝังร่างกายบนสินทรัพย์ที่อ่านข้อมูลแถบแม่เหล็กจากบัตรชำระเงิน (เช่น ATM ปั๊มแก๊ส เทอร์มินัล POS) การโจมตีแบบนี้ทำได้ง่ายและรวดเร็ว โดยมีโอกาสให้ผลตอบแทนค่อนข้างสูง และเป็นประเภทการกระทำที่ได้รับความนิยม (8%)

ผลกระทบและต้นทุนด้านความปลอดภัยทางไซเบอร์

ต้นทุนของบริษัท

เมื่อสามปีที่แล้ว Wall Street Journal ประมาณการว่าอาชญากรรมไซเบอร์ในสหรัฐฯ มีมูลค่าสูงถึง 100 พันล้านดอลลาร์ รายงานอื่นๆ ประมาณการว่าตัวเลขดังกล่าวสูงกว่านี้ถึงสิบเท่า ในปี 2560 ค่าใช้จ่ายเฉลี่ยของการละเมิดข้อมูลอยู่ที่ 7.35 ล้านดอลลาร์ เทียบกับ 5.85 ดอลลาร์ในปี 2557 ค่าใช้จ่ายรวมทุกอย่างตั้งแต่การตรวจจับ การกักเก็บ และการกู้คืน ไปจนถึงการหยุดชะงักของธุรกิจ การสูญเสียรายได้ และความเสียหายของอุปกรณ์ นอกเหนือจากข้อกังวลด้านการเงินแล้ว การละเมิดทางไซเบอร์ยังสามารถทำลายสิ่งที่จับต้องไม่ได้ เช่น ชื่อเสียงของบริษัทหรือความปรารถนาดีของลูกค้า

ที่น่าสนใจคือบริษัทที่มีนวัตกรรมทางธุรกิจระดับสูงสุดมักจะมีการโจมตีที่มีค่าใช้จ่ายสูง “นวัตกรรมทางธุรกิจ” อาจเป็นอะไรก็ได้ตั้งแต่การได้มาหรือการขายกิจการไปจนถึงการเข้าสู่ตลาดทางภูมิศาสตร์ใหม่ การเข้าซื้อกิจการหรือการขายกิจการของบริษัททำให้ต้นทุนอาชญากรรมไซเบอร์เพิ่มขึ้น 20% ในขณะที่การเปิดตัวแอปพลิเคชันใหม่ที่สำคัญทำให้ต้นทุนเพิ่มขึ้น 18%

แผนภูมิ 3: ต้นทุนเฉลี่ยต่อการละเมิดข้อมูล ทั่วโลก

สำหรับบริษัทที่ให้บริการทางการเงิน ค่าใช้จ่ายหลังจากการละเมิดความปลอดภัยอาจเกิดจากการหยุดชะงักของธุรกิจ การสูญเสียข้อมูล การสูญเสียรายได้ และค่าใช้จ่ายอื่นๆ

ภาพที่ 4: เปอร์เซ็นต์ต้นทุนสำหรับผลกระทบภายนอก

ความปลอดภัยทางไซเบอร์ได้รับการกล่าวถึงสำหรับอุตสาหกรรมบริการทางการเงิน

ความจริงที่โชคร้ายก็คือ แม้ว่าจะไม่มีอุตสาหกรรมใดรอดพ้นไปได้ แต่ปัญหาด้านความปลอดภัยทางไซเบอร์นั้นเด่นชัดเป็นพิเศษสำหรับบริการทางการเงิน ตามรายงานการสอบสวนการละเมิดข้อมูลของ Verizon ปี 2017 พบว่า 24% ของการละเมิดส่งผลกระทบต่อองค์กรทางการเงิน (อุตสาหกรรมชั้นนำ) ตามมาด้วยการดูแลสุขภาพและภาครัฐ สำหรับการเปรียบเทียบในปี 2555 อุตสาหกรรมอยู่ในอันดับที่สามรองจากอุตสาหกรรมการป้องกันประเทศและสาธารณูปโภคและพลังงาน นอกเหนือจากความถี่แล้ว ต้นทุนของบริษัทเงินทุนยังสูงที่สุดในบรรดาอุตสาหกรรมทั้งหมด โดยสูญเสียค่าเฉลี่ย 16.5 ล้านดอลลาร์ในปี 2556

ภาพที่ 5: ต้นทุนเฉลี่ยต่อปีตามภาคอุตสาหกรรม

ในบริการทางการเงิน ประเภทของการละเมิดทางไซเบอร์ที่พบบ่อยที่สุดเกี่ยวข้องกับการโจมตี DDoS และสำหรับการโจมตี DDoS ทั้งหมด อุตสาหกรรมการเงินได้รับผลกระทบมากที่สุด

ภาพที่ 6: การโจมตี DDoS ตามอุตสาหกรรม

การแฮ็กบริการทางการเงินที่มีชื่อเสียง

โจมตีหกธนาคารอเมริกัน (2012)

ในปี 2555 ธนาคารรายใหญ่ของอเมริกา 6 แห่ง (Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo และ PNC) ตกเป็นเป้าการโจมตีทางคอมพิวเตอร์โดยกลุ่มที่อ้างว่ามีความสัมพันธ์ในตะวันออกกลาง การโจมตีดังกล่าวทำให้อินเทอร์เน็ตดับและเกิดความล่าช้าในบริการธนาคารออนไลน์ ส่งผลให้ลูกค้าผิดหวังที่ไม่สามารถเข้าถึงบัญชีหรือชำระค่าใช้จ่ายทางออนไลน์ได้

สิ่งเหล่านี้คือการโจมตี DDoS ซึ่งแฮ็กเกอร์เข้าครอบงำเว็บไซต์ของธนาคารจนต้องปิดตัวลง การโจมตียังใช้บ็อตเน็ต เครือข่ายคอมพิวเตอร์ที่ติดไวรัสซึ่งเสนอราคาให้กับอาชญากร บางครั้ง บ็อตเน็ตถูกเรียกว่า "คอมพิวเตอร์ซอมบี้" ที่เชื่อฟังคำสั่งของ "บ็อตเน็ตหลัก" น่าเสียดายที่สิ่งเหล่านี้สามารถเช่าผ่านตลาดมืดหรือให้ยืมโดยอาชญากรหรือรัฐบาล

เจพีมอร์แกน (2014)

ในฤดูร้อนปี 2014 ในการละเมิดความปลอดภัยที่ใหญ่ที่สุดของธนาคารอเมริกันจนถึงปัจจุบัน ชื่อ ที่อยู่ หมายเลขโทรศัพท์ และที่อยู่อีเมลประมาณ 83 ล้านบัญชีถูกแฮ็กเกอร์บุกรุก น่าแปลกที่ JPMorgan ใช้เงินประมาณ 250 ล้านดอลลาร์ในการรักษาความปลอดภัยคอมพิวเตอร์ทุกปี การละเมิดในปี 2014 ไม่ได้เป็นผลมาจากโครงการที่ซับซ้อน การโจมตีดังกล่าวไม่ได้ใช้การโจมตีซีโร่เดย์ ซึ่งเป็นบั๊กของซอฟต์แวร์ที่ขายได้หลายล้านในตลาดมืด นอกจากนี้ยังไม่ได้ใช้มัลแวร์ที่แฮ็กเกอร์ในเกาหลีเหนือใช้ในการโจมตีทางไซเบอร์ของ Sony ที่มาของปัญหานั้นเป็นพื้นฐาน: ธนาคารไม่ได้ใช้การรับรองความถูกต้องด้วยสองปัจจัย ซึ่งเป็นการรักษาความปลอดภัยอีกชั้นหนึ่งเมื่อผู้ใช้ลงชื่อเข้าใช้เพื่อเข้าถึงข้อมูลหรือแอปพลิเคชัน ทีมรักษาความปลอดภัยของ JPMorgan ละเลยที่จะอัปเกรดหนึ่งในเซิร์ฟเวอร์เครือข่ายของตนด้วยรูปแบบรหัสผ่านคู่ นั่นคือทั้งหมด

ระบบการชำระเงิน SWIFT (2016)

ในเดือนกุมภาพันธ์ 2559 Society for Worldwide Interbank Financial Telecommunication (SWIFT) ซึ่งเป็นสมาคมระหว่างประเทศที่มีธนาคารกว่า 11,000 แห่งที่อำนวยความสะดวกในการโอนเงินข้ามพรมแดนถูกแฮ็ก ธนาคารบังคลาเทศซึ่งเป็นผู้ใช้เครือข่าย SWIFT ถูกแฮ็กเป็นจำนวนเงิน 81 ล้านดอลลาร์ มีการกู้คืนเพียงส่วนน้อยก่อนที่ Federal Reserve Bank of New York จะบล็อกใน 30 ธุรกรรมอื่นที่อาจโอนเพิ่มอีก 850 ล้านดอลลาร์

การโจมตีเหล่านี้แสดงให้เห็นว่าเครือข่ายการชำระเงินนั้นน่าเชื่อถือพอๆ กับจุดอ่อนของพวกเขา หลายคนในอุตสาหกรรมนี้ไม่แปลกใจกับการโจมตีดังกล่าว Justin Clarke-Salt ผู้ร่วมก่อตั้ง Gotham Digital Science บริษัทด้านความปลอดภัยทางไซเบอร์ กล่าวว่าการโจมตีใช้จุดอ่อนในระบบ นั่นคือไม่ใช่ทุกสถาบันที่จะปกป้องการเข้าถึง SWIFT ในลักษณะเดียวกัน ท้ายที่สุด “ผู้โจมตีมักจะโจมตีผู้ที่โจมตีได้ง่ายกว่า…จนถึงตอนนี้เราทราบว่ามีการรายงานต่อสาธารณะแล้ว พวกเขาตั้งเป้าไปที่สถาบันการเงินขนาดเล็กมาก อาจเป็นเพราะพวกเขามีการควบคุมที่ซับซ้อนน้อยกว่า”

บริษัทขนาดเล็กหรือใหญ่มีความเสี่ยงมากกว่าหรือไม่?

แม้ว่าข่าวดังกล่าวจะครอบคลุมถึงการโจมตีบริษัทที่ใหญ่ที่สุด (Target, Yahoo, Home Depot, Sony) แต่บริษัทขนาดเล็กก็ ไม่มี ภูมิคุ้มกัน ในช่วง 12 เดือนที่ผ่านมา แฮ็กเกอร์ได้ละเมิดครึ่งหนึ่งของธุรกิจขนาดเล็กทั้งหมดในสหรัฐอเมริกา ตามรายงาน State of SMB Cybersecurity ปี 2016

ด้านหนึ่ง บางคนโต้แย้งว่าบริษัทขนาดเล็กอาจไม่สามารถกู้คืนจากการโจมตีทางไซเบอร์ได้** **จากข้อมูลของ Sian John นักยุทธศาสตร์การรักษาความปลอดภัยทางไซเบอร์อาวุโสของ Symantec บริษัทต่างๆ ที่ประสบปัญหาด้านความปลอดภัยประสบปัญหา "ชื่อเสียงมหาศาลและผลกระทบทางการเงิน" สำหรับบริษัทต่างๆ ในปีหลังจากนั้น ก่อนที่จะกลับสู่สภาวะปกติ เธอถามว่า “ถ้าคุณเป็นบริษัทเล็กๆ คุณจะเอาตัวรอดได้หรือไม่”

ในทางกลับกัน คนอื่นๆ โต้แย้งว่า บริษัทขนาดเล็กมีข้อได้เปรียบ: “บริษัทขนาดใหญ่มีความเสี่ยงมากกว่าบริษัทขนาดเล็ก: พวกเขามีแหล่งรวมข้อมูลขนาดใหญ่และผู้คนหลายร้อยคนต้องมีสิทธิ์เข้าถึง… หากคุณอยู่ในกลุ่มที่เล็กกว่า ความฉลาดเกี่ยวกับกระบวนการทางธุรกิจและการทำความเข้าใจว่ากระบวนการทางธุรกิจอาจถูกเอารัดเอาเปรียบในที่ใดนั้นง่ายกว่าสำหรับองค์กรขนาดใหญ่” Richard Horne หุ้นส่วนของ PricewaterhouseCoopers กล่าว

ความท้าทายด้านความปลอดภัยทางไซเบอร์

ปัจจัยที่ส่งผลต่อการเพิ่มขึ้นของอาชญากรรมทางอินเทอร์เน็ต

อาชญากรไซเบอร์สายพันธุ์ “องค์กร” ได้เกิดขึ้นแล้ว

อาชญากรไซเบอร์กำลังนำแนวปฏิบัติที่ดีที่สุดขององค์กรมาใช้เพื่อเพิ่มประสิทธิภาพในการโจมตี อาชญากรที่กล้าได้กล้าเสียส่วนใหญ่บางคนกำลังขายหรือออกใบอนุญาตเครื่องมือแฮ็กให้กับอาชญากรที่มีความซับซ้อนน้อยกว่า ตัวอย่างเช่น อาชญากรมืออาชีพได้ขายเทคโนโลยีซีโร่เดย์ให้กับอาชญากรในตลาดเปิด ซึ่งพวกเขาจะได้สินค้าโภคภัณฑ์อย่างรวดเร็ว แก๊งค์ยังเสนอแรนซัมแวร์เป็นบริการ ซึ่งจะหยุดไฟล์คอมพิวเตอร์จนกว่าเหยื่อจะตอบสนองความต้องการทางการเงิน จากนั้นจึงตัดสิทธิ์ในการจัดหาใบอนุญาต

ขณะนี้มีระบบนิเวศของทรัพยากรทั้งหมดสำหรับอาชญากรไซเบอร์ที่จะใช้ประโยชน์ “กลุ่มการโจมตีทางอาญาขั้นสูงตอนนี้สะท้อนชุดทักษะของผู้โจมตีระดับชาติ พวกเขามีทรัพยากรที่กว้างขวางและเจ้าหน้าที่ด้านเทคนิคที่มีทักษะสูงซึ่งทำงานอย่างมีประสิทธิภาพโดยสามารถรักษาเวลาทำการปกติและแม้กระทั่งหยุดวันหยุดสุดสัปดาห์และวันหยุด... เรายังเห็นว่าผู้โจมตีทางอาญาระดับต่ำสร้างการดำเนินงานของศูนย์บริการเพื่อเพิ่มผลกระทบของพวกเขา การหลอกลวง” เควิน เฮลีย์ ผู้อำนวยการไซแมนเทคกล่าว

ความปลอดภัยของผู้ขายที่เป็นบุคคลภายนอก

หากบุคคลที่สามถูกแฮ็ก บริษัทของคุณมีความเสี่ยงที่จะสูญเสียข้อมูลทางธุรกิจหรือข้อมูลพนักงานที่เสียหาย ตัวอย่างเช่น การละเมิดข้อมูลเป้าหมายปี 2013 ที่บุกรุกบัญชีลูกค้า 40 ล้านบัญชีนั้นเป็นผลมาจากข้อมูลประจำตัวของเครือข่ายถูกขโมยจากผู้จำหน่ายเครื่องทำความร้อนและเครื่องปรับอากาศบุคคลที่สาม การศึกษาในปี 2556 ระบุว่า 63% ของการตรวจสอบการละเมิดข้อมูลในปีนั้นเชื่อมโยงกับองค์ประกอบของบุคคลที่สาม

การใช้เทคโนโลยีมือถือที่เพิ่มขึ้นโดยลูกค้า

เนื่องจากเป้าหมายออนไลน์ที่เพิ่มขึ้น การแฮ็กจึงง่ายกว่าที่เคย ในระบบธนาคารผู้บริโภค การใช้อุปกรณ์มือถือและแอพต่างๆ ได้เพิ่มขึ้นอย่างรวดเร็ว จากการศึกษาของ Bain & Company ในปี 2014 พบว่ามือถือเป็นช่องทางการธนาคารที่มีการใช้งานมากที่สุดใน 13 จาก 22 ประเทศ และคิดเป็น 30% ของการโต้ตอบทั้งหมดทั่วโลก นอกจากนี้ ผู้บริโภคได้นำระบบชำระเงินมือถือมาใช้ สำหรับธนาคารที่แข่งขันกับฟินเทคสตาร์ทอัพ ความสะดวกของลูกค้ายังคงเป็นเรื่องสำคัญ พวกเขาอาจต้องชั่งน้ำหนักการสูญเสียที่อาจเกิดขึ้นจากการฉ้อโกงด้วยการสูญเสียจากประสบการณ์การใช้งานที่ไม่สะดวกมากขึ้น สถาบันบางแห่งใช้การรับรองความถูกต้องขั้นสูงเพื่อเผชิญหน้ากับความเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้นเหล่านี้ ซึ่งช่วยให้ลูกค้าสามารถเข้าถึงบัญชีของตนผ่านการจดจำเสียงและการจดจำใบหน้าได้

การขยายตัวของอินเทอร์เน็ตของสรรพสิ่ง (IoT)

Internet of Things (IoT) ทุ่มเทให้กับแนวคิดที่ว่าอุปกรณ์ที่หลากหลาย รวมถึงเครื่องใช้ ยานพาหนะ และอาคาร สามารถเชื่อมต่อถึงกันได้ ตัวอย่างเช่น หากนาฬิกาปลุกของคุณดังตอน 7.00 น. ระบบอาจแจ้งเครื่องชงกาแฟของคุณโดยอัตโนมัติให้เริ่มชงกาแฟให้คุณ IoT หมุนรอบการสื่อสารระหว่างเครื่องกับเครื่อง มันเป็นอุปกรณ์พกพา เสมือนจริง และให้การเชื่อมต่อในทันที มีอุปกรณ์ IoT ใช้งานอยู่มากกว่าหนึ่งพันล้านเครื่องในปัจจุบัน ซึ่งคาดว่าจะมีจำนวนมากกว่า 5 หมื่นล้านเครื่องภายในปี 2020 ปัญหาคืออุปกรณ์อัจฉริยะราคาถูกจำนวนมากมักขาดโครงสร้างพื้นฐานด้านความปลอดภัยที่เหมาะสม เมื่อแต่ละเทคโนโลยีมีความเสี่ยงสูง ความเสี่ยงจะเพิ่มขึ้นเป็นทวีคูณเมื่อรวมกัน

ความตระหนักด้านความปลอดภัยทางไซเบอร์กับความพร้อมในการแก้ไข

แม้จะมีหัวข้อข่าวเกี่ยวกับความปลอดภัยในโลกไซเบอร์และภัยคุกคาม แต่ก็ยังมีช่องว่างระหว่างความตระหนักรู้ของบริษัทและความพร้อมในการแก้ไขปัญหา ในปีที่แล้ว แฮ็กเกอร์ได้ละเมิดธุรกิจขนาดเล็กของสหรัฐถึงครึ่งหนึ่ง ในการสำรวจของ Ponemon Institute ในปี 2013 75% ของผู้ตอบแบบสอบถามระบุว่าพวกเขาไม่มีแผนรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่เป็นทางการ 66% ของผู้ตอบแบบสอบถามไม่มั่นใจในความสามารถขององค์กรในการกู้คืนจากการโจมตี นอกจากนี้ การสำรวจในปี 2560 จากบริษัทรักษาความปลอดภัยทางไซเบอร์ Manta ระบุว่าหนึ่งในสามของธุรกิจขนาดเล็กไม่มีเครื่องมือในการป้องกันตนเอง

ในเชิงกลยุทธ์ บริษัทผู้ให้บริการทางการเงินยังต้องปรับปรุงอีกมากในแง่ของการตรวจจับและการตอบสนองต่อการโจมตี ในปี 2556 การโจมตี 88% ที่ริเริ่มต่อบริษัท FS นั้นประสบความสำเร็จในเวลาไม่ถึงวัน อย่างไรก็ตาม มีการค้นพบสิ่งเหล่านี้เพียง 21% ภายในหนึ่งวัน และในช่วงหลังการค้นพบ มีเพียง 40% เท่านั้นที่ถูกค้นพบภายในกรอบเวลาหนึ่งวัน

รูปที่ 1: เวลาตอบสนองของบริษัทที่ให้บริการทางการเงินทั่วโลกต่อการโจมตีระบุช่องว่างที่สำคัญในการเตรียมพร้อม

โซลูชั่นความปลอดภัยทางไซเบอร์ต้องการแนวทางที่หลากหลาย

ไม่มีโซลูชัน "หนึ่งขนาดเหมาะกับทุกคน" สำหรับการรักษาความปลอดภัยทางไซเบอร์ อย่างไรก็ตาม โดยทั่วไปแล้ว โซลูชันควรรวมทั้งเทคโนโลยีที่ซับซ้อนและองค์ประกอบ "ของมนุษย์" มากขึ้น เช่น การฝึกอบรมพนักงานและการจัดลำดับความสำคัญในห้องประชุมคณะกรรมการ

ข่าวกรองภัยคุกคามที่สามารถดำเนินการได้

หน่วยสืบราชการลับตามเวลาจริง:

ข้อมูลเรียลไทม์เป็นเครื่องมือที่มีประสิทธิภาพในการป้องกันและควบคุมการโจมตีทางไซเบอร์ ยิ่งใช้เวลาในการระบุการแฮ็กนานเท่าใด ผลที่ตามมาก็จะยิ่งมีราคาสูงขึ้น การศึกษาในปี 2013 โดยสถาบัน Ponemon เปิดเผยว่าผู้บริหารด้านไอทีเชื่อว่าการแจ้งเตือนการละเมิดความปลอดภัยล่วงหน้าน้อยกว่า 10 นาทีเป็นเวลาเพียงพอที่จะปิดการใช้งานภัยคุกคาม ด้วยการแจ้งเตือนการประนีประนอมเพียง 60 วินาที ค่าใช้จ่ายที่เกิดขึ้นอาจลดลง 40%

James Hatch ผู้อำนวยการฝ่ายบริการไซเบอร์ของ BAE Systems กล่าวว่า "การตรวจจับ [การโจมตีทางไซเบอร์] ในช่วงต้นเป็นกุญแจสำคัญ ... อาจเป็นความแตกต่างระหว่างการสูญเสีย 10% ของ [คอมพิวเตอร์] ของคุณและ 50%" น่าเสียดาย โดยเฉลี่ยแล้ว บริษัทต่างๆ ต้องใช้เวลามากกว่าเจ็ดเดือนในการค้นพบการโจมตีที่เป็นอันตราย

การดำเนินการเสริม:

บริษัทต่างๆ สามารถใช้ขั้นตอนเล็กๆ น้อยๆ ทางยุทธวิธีเพื่อปกป้องตนเองได้ ซึ่งรวมถึง:

  • การออกกลยุทธ์การป้องกันหลายชั้น ตรวจสอบให้แน่ใจว่าครอบคลุมทั้งองค์กร ปลายทาง อุปกรณ์เคลื่อนที่ แอปพลิเคชัน และข้อมูลทั้งหมด หากเป็นไปได้ ให้ใช้การเข้ารหัสและการตรวจสอบสิทธิ์สองหรือสามปัจจัยสำหรับการเข้าถึงเครือข่ายและข้อมูล

  • ดำเนินการประเมินผู้จำหน่ายบุคคลที่สามหรือสร้างข้อตกลงระดับบริการกับบุคคลที่สาม: ใช้นโยบาย "สิทธิ์น้อยที่สุด" เกี่ยวกับใครและสิ่งที่ผู้อื่นสามารถเข้าถึงได้ ทำให้เป็นนิสัยในการทบทวนการใช้ข้อมูลประจำตัวกับบุคคลที่สาม คุณสามารถก้าวไปอีกขั้นด้วยข้อตกลงระดับบริการ (SLA) ซึ่งผูกพันตามสัญญาว่าบุคคลที่สามต้องปฏิบัติตามนโยบายความปลอดภัยของบริษัทของคุณ SLA ของคุณควรให้สิทธิ์บริษัทของคุณในการตรวจสอบการปฏิบัติตามข้อกำหนดของบุคคลที่สาม

  • สำรองข้อมูลอย่างต่อเนื่อง นี้สามารถช่วยป้องกัน ransomware ที่หยุดไฟล์คอมพิวเตอร์จนกว่าเหยื่อจะตอบสนองความต้องการทางการเงิน การสำรองข้อมูลสามารถพิสูจน์ได้ว่าสำคัญหากคอมพิวเตอร์หรือเซิร์ฟเวอร์ของคุณถูกล็อค เพราะคุณไม่จำเป็นต้องจ่ายเงินสำหรับการเข้าถึงข้อมูลของคุณ

  • ปะปนกันบ่อยๆ. โปรแกรมแก้ไขซอฟต์แวร์เป็นการอัพเดทรหัสในซอฟต์แวร์ที่มีอยู่ มักจะเป็นการแก้ไขชั่วคราวระหว่างซอฟต์แวร์รุ่นเต็ม โปรแกรมแก้ไขอาจแก้ไขข้อผิดพลาดของซอฟต์แวร์ แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ แก้ไขปัญหาความเสถียรของซอฟต์แวร์ หรือติดตั้งไดรเวอร์ใหม่

  • แอปพลิเคชันซอฟต์แวร์ไวท์ลิสต์ รายการที่อนุญาตพิเศษของแอปพลิเคชันจะป้องกันไม่ให้คอมพิวเตอร์ติดตั้งซอฟต์แวร์ที่ไม่ได้รับการอนุมัติ ซึ่งช่วยให้ผู้ดูแลระบบสามารถควบคุมได้มากขึ้น

ประกันภัยต่อต้านแฮ็กเกอร์

แนวโน้มที่เกิดขึ้นใหม่คือการประกันภัยต่อต้านแฮ็กเกอร์หรือประกันภัยไซเบอร์ ขอบเขตจะแตกต่างกันไปตามผู้ให้บริการ แต่โดยทั่วไปแล้วจะป้องกันการละเมิดและการสูญเสียความปลอดภัย โดยทั่วไปแล้ว บริษัทประกันจะจำกัดความสามารถของตนไว้ที่ระหว่าง 5 ล้านดอลลาร์ถึง 100 ล้านดอลลาร์ต่อลูกค้าหนึ่งราย ณ เดือนตุลาคม 2016 มีเพียง 29% ของธุรกิจในสหรัฐฯ ที่ซื้อประกันในโลกไซเบอร์ อย่างไรก็ตาม ตลาดประกันภัยไซเบอร์โดยรวมคาดว่าจะมีมูลค่า 20 พันล้านดอลลาร์ในปี 2568 เพิ่มขึ้นจาก 3.25 พันล้านดอลลาร์ในปัจจุบัน บริษัทประกันมีความมั่นใจ โดยคาดการณ์ว่าเบี้ยประกันจะเพิ่มขึ้นสามเท่าในอีกไม่กี่ปีข้างหน้า

สำหรับองค์กรในการพิจารณาว่าต้องการประกันในโลกไซเบอร์มากน้อยเพียงใด องค์กรควรวัดความเสี่ยงทางไซเบอร์ ต้องเข้าใจว่าทรัพย์สินของพวกเขาได้รับผลกระทบจากการโจมตีทางไซเบอร์อย่างไรและจะจัดลำดับความสำคัญอย่างไร

ภาพที่ 7: การเติบโตโดยประมาณของเบี้ยประกันภัยไซเบอร์ทั่วโลก

Bug Bounty Programs

แนวคิดใหม่อีกประการหนึ่งในอุตสาหกรรมนี้คือสิ่งที่เรียกว่าโปรแกรม Bug Bounty ซึ่งองค์กรจ่ายเงินให้บุคคลภายนอก ("แฮกเกอร์ที่เป็นมิตร") เพื่อแจ้งข้อบกพร่องด้านความปลอดภัย บริษัทต่างๆ ตั้งแต่ Google และ Dropbox ไปจนถึง AT&T และ LinkedIn ได้นำแนวปฏิบัตินี้มาใช้แล้ว

รูปที่ 2: รายการราคา: Bug Bounties

อย่าลืมส่วนประกอบของมนุษย์

  • “ปัญหาไอที” กลายเป็นปัญหาทางธุรกิจเชิงกลยุทธ์ สำหรับ CEO และ CFO หลายๆ คน การแฮ็กอาจทำให้หงุดหงิดเพราะพวกเขาไม่เข้าใจศัตรู Richard Anderson ประธานสถาบันการบริหารความเสี่ยงกล่าวว่า “ยังมีผู้คนจำนวนมากนั่งคร่อมบริษัทขนาดใหญ่ที่ยังถือว่าสิ่งนี้เป็นสิ่งที่เกินบรรยาย มากกว่าที่จะเป็นปัญหาทางธุรกิจ” อย่างไรก็ตาม ตามที่สถิติได้แสดงให้เห็น สิ่งนี้ไม่สามารถเพิ่มเติมจากความจริงได้

    เอกสารไวท์เปเปอร์ของ Deloitte แนะนำให้สร้างทีมจัดการภัยคุกคามทางไซเบอร์โดยเฉพาะ และสร้าง “วัฒนธรรมการตระหนักถึงความเสี่ยงทางไซเบอร์” ขอแนะนำให้องค์กรกำหนดหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ตัวอย่างเช่น ทั้ง JPMorgan และ Target ไม่มี CISO เมื่อถูกละเมิดในปี 2014 และ 2013 ตามลำดับ

  • กลับไปสู่พื้นฐาน: การฝึกอบรมพนักงาน การละเมิดข้อมูลมักเป็นผลมาจากความอ่อนแอทางจิตใจของมนุษย์ ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องให้ความรู้แก่พนักงานของคุณเกี่ยวกับสัญญาณเตือนการละเมิดความปลอดภัย แนวทางปฏิบัติที่ปลอดภัย (ระมัดระวังในการเปิดไฟล์แนบอีเมล ที่ที่พวกเขาท่องเว็บ) และวิธีตอบสนองต่อการครอบครองที่น่าสงสัย

ความคิดที่พรากจากกัน

การโต้แย้งทั่วไปต่อความสนใจที่เพิ่มขึ้นต่ออันตรายของการรักษาความปลอดภัยทางไซเบอร์คือ “แล้วไง? เราควรจะหยุดสร้างนวัตกรรมเพราะกลัวการโจมตีหรือไม่” คำตอบคือไม่ตรง อย่างไรก็ตาม การมองว่าการรักษาความปลอดภัยทางไซเบอร์เป็นเรื่องของจริยธรรมอาจเป็นประโยชน์สำหรับบริษัทต่างๆ กล่าวคือ การรักษาความปลอดภัยทางไซเบอร์ไม่ควรเป็นเพียงเรื่องของเทคโนโลยีเท่านั้น แต่ควรเป็นเรื่องของศีลธรรมด้วยเช่นกัน ท้ายที่สุด การสร้างและขายเทคโนโลยีที่ทำให้ผู้บริโภคอ่อนแอ เป็นเรื่องที่ถูกหลักจริยธรรมหรือไม่? ด้วย "การเติบโตหรือตาย" ของ Silicon Valley และวัฒนธรรมสายตาสั้นบางครั้ง นี่อาจเป็นทัศนคติที่ไม่เป็นที่นิยม

อย่างไรก็ตาม มีแบบอย่างในภาคอื่นๆ ตัวอย่างเช่น American Medical Association และ American Bar Association กำหนดให้ผู้เชี่ยวชาญปฏิบัติตามหลักจรรยาบรรณของตน แพทย์ต้องให้คำมั่นในคำสาบานของชาวฮิปโปเครติก ซึ่งเป็นหนึ่งในเอกสารที่มีผลผูกพันที่เก่าแก่ที่สุดในประวัติศาสตร์ ซึ่งกำหนดให้แพทย์ให้คำมั่นว่าจะปกป้องผู้ป่วยของตน ในทำนองเดียวกัน นักกฎหมายจะปฏิบัติตามต้นแบบของความประพฤติอย่างมืออาชีพ โดยให้คำมั่นว่าจะปกป้องและเคารพลูกค้าของตน

เราทุกคนพึงระลึกไว้เสมอว่าแม้ว่าเทคโนโลยีอาจมาและไป ถูกและผิดไม่เคยเปลี่ยนแปลง