Cybersecurity Risk: ความเสี่ยงที่ธุรกิจและผู้บริโภคต้องเฝ้าระวังในยุค New Normal

“The financial sector relies on robust information and communications technology. People’s confidence in the sector in turn depends on the confidentiality, integrity and availability of the data and systems it uses. Cyber incidents, however, can corrupt information and destroy confidence. They therefore pose a systemic risk.” Christine Lagarde, ประธานธนาคารกลางยุโรป (ธันวาคม 2021)

ในช่วงวิกฤต COVID-19 กระแส Digital Transformation หรือ การนำเทคโนโลยีมาประยุกต์ใช้ในทุกภาคส่วนของการดำเนินธุรกิจได้เร่งตัวขึ้นเป็นอย่างมาก เพื่อตอบรับพฤติกรรมผู้บริโภคที่เปลี่ยนไปในยุค New Normal เทคโนโลยีต่าง ๆ ที่ใครหลายคนอาจเคยมองว่าเป็นเรื่องไกลตัว เช่น Cryptocurrency, Blockchain, Cloud Computing และ Metaverse เริ่มได้รับความนิยมเป็นอย่างมากในชั่วข้ามคืน จนเป็นคำศัพท์ที่ใช้กันอย่างทั่วไปในชีวิตประจำวัน แน่นอนว่าเทคโนโลยีเหล่านี้ช่วยเพิ่มประสิทธิภาพและลดต้นทุนค่าใช้จ่ายระยะยาวให้กับธุรกิจ และเพิ่มความสะดวกสบายแก่ผู้บริโภคเป็นอย่างมาก อย่างไรก็ตาม การใช้เทคโนโลยีเหล่านี้อย่างแพร่หลายมากขึ้นได้นำมาสู่ Cybersecurity Risk หรือความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นตามมาเช่นกัน ซึ่งนอกจากจะสร้างความเสียหายทางการเงินแล้ว ยังเป็นความเสี่ยงต่อการรั่วไหลของข้อมูล ความเชื่อมั่นในองค์กร และระบบโครงสร้างพื้นฐานต่าง ๆ ด้วย ในยุคที่เทคโนโลยีมีการเชื่อมต่อกันมากขึ้น Cybersecurity Risk จึงเป็นประเด็นที่ธุรกิจและภาครัฐควรให้ความสำคัญเป็นอย่างมาก เพราะจะมีผลต่อความมั่นคงขององค์กรและประเทศ โดยล่าสุด รายงาน The Global Risks Report 2022 ของ World Economic Forum (WEF)¹ได้ยกให้ความเปราะบางทางไซเบอร์เป็นหนึ่งในความเสี่ยงสำคัญต่อเศรษฐกิจและสังคมที่ควรเฝ้าระวังในอนาคต ทั้งนี้อาชญากรรมทางไซเบอร์มีหลากหลายรูปแบบตามเทคโนโลยีที่พัฒนาขึ้นเรื่อย ๆ สำหรับบทความนี้จะกล่าวถึงสองรูปแบบได้แก่ Ransomware และ Phishing

สถานการณ์ Cybersecurity Risk ในช่วงที่ผ่านมาเป็นอย่างไร?

หนึ่งในรูปแบบอาชญากรรมทางไซเบอร์ที่เพิ่มขึ้นอย่างก้าวกระโดดในปี 2020 ได้แก่ Ransomware หรือโปรแกรมที่ถูกสร้างขึ้นมาเพื่อไม่ให้ผู้ใช้งานสามารถเข้าถึงระบบหรือข้อมูลได้จนกว่าจะจ่ายค่าไถ่ตามที่แฮกเกอร์ (Hacker) เรียกร้อง อ้างอิงข้อมูลจาก Chainalysis และ WEF พบว่าค่าเสียหายในสกุลเงิน Cryptocurrency² ที่สูญเสียให้แก่การโจมตีผ่าน Ransomware ขยายตัวถึง 337%YOY ในปี 2020 หรือคิดเป็นมูลค่ารวม 406.34 ล้านดอลลาร์สหรัฐ³(รูปที่ 1) โดย WEF ระบุว่า ปัจจัยที่ทำให้อาชญากรรมทางไซเบอร์เร่งตัวขึ้นมากในปี 2020 นั้นได้แก่ การปรับตัวอย่างกะทันหันของภาคธุรกิจเป็นการทำงานรูปแบบ Work from Home ถึงแม้บางธุรกิจจะยังคงใช้โปรแกรมรุ่นเก่าที่มีความเปราะบางต่อการโจมตีทางไซเบอร์หรือไม่ได้เตรียมพร้อมออกข้อบังคับทาง IT ต่าง ๆ ให้เข้มงวดพอ นอกจากนี้ กฎหมายการปราบปราม Ransomware ยังค่อนข้างหละหลวมและตามตัวอาชญากรได้ยาก ส่งผลให้ความเสี่ยงสำหรับแฮกเกอร์ค่อนข้างต่ำเมื่อเทียบกับผลตอบแทนที่อาจได้รับ

อีกหนึ่งรูปแบบของอาชญากรรมทางไซเบอร์ที่พบเจอได้บ่อยคือ Phishing หรือการปลอมแปลงอ้างตัวเป็นบุคคลหรือองค์กรที่น่าเชื่อถือเพื่อหลอกลวงข้อมูลส่วนตัวหรือข้อมูลทางการเงินจากเหยื่อผ่านช่องทางต่าง ๆ เช่น อีเมล เว็บไซต์ ข้อความ SMS เป็นต้น อ้างอิงจากรายงาน Internet Crime Report 2020 ของ Federal Bureau of Investigation (FBI)⁴สหรัฐฯ พบว่า จำนวนการตกเป็นเหยื่อ Phishing เร่งตัวขึ้นอย่างรวดเร็วในปี 2020 สู่ระดับ 241,342 ครั้ง ขยายตัว 110% เมื่อเทียบกับปี 2019 และขยายตัวถึง 815% เมื่อเทียบกับปี 2018 (รูปที่ 2) สร้างความเสียหายรวมทั้งสิ้นประมาณ 54.2 ล้านดอลลาร์สหรัฐ ทั้งนี้จากกระแสการ Work from Home และ e-commerce ที่ได้รับความนิยมเพิ่มขึ้นต่อเนื่อง จึงเป็นไปได้ว่าอาชญากรรม Phishing อาจจะเพิ่มขึ้นต่อเนื่องเช่นกัน โดยเฉพาะในกลุ่มผู้สูงอายุหรือผู้ที่ไม่เชี่ยวชาญด้านเทคโนโลยีที่อาจรู้ไม่ทันกลอุบายของอาชญากรในการหลอกลวงข้อมูลส่วนตัว





Cybersecurity Risk มีผลกระทบต่อเศรษฐกิจและสังคมอย่างไร?

ตามที่กล่าวไปแล้วข้างต้น Cybersecurity Risk นั้นสร้างความเสียหายทางการเงินเป็นอย่างสูงและมีแนวโน้มที่จะรุนแรงขึ้นต่อไปในระยะข้างหน้า โดยจากประมาณการของบริษัท Cybersecurity Ventures ซึ่งเป็นผู้วิจัยเรื่องเศรษฐกิจไซเบอร์โลกระบุว่า ความเสียหายที่เกิดจากอาชญากรรมทางไซเบอร์อาจส่งผลกระทบต่อเศรษฐกิจโลกถึง 10.5 ล้านล้านดอลลาร์สหรัฐต่อปีภายในปี 2025⁵ผ่านความสูญเสียด้านการเงินและข้อมูล การหยุดชะงักของการดำเนินธุรกิจ รวมถึงค่าซ่อมแซมระบบและความเสี่ยงต่อภาพลักษณ์องค์กรอีกด้วย ขณะเดียวกัน ข้อมูลจาก FBI สหรัฐ เผยว่ามูลค่าความเสียหายที่เกิดขึ้นจากอาชญากรรมทางไซเบอร์ทุกรูปแบบในสหรัฐฯ อยู่ที่ราว 4.2 พันล้านดอลลาร์สหรัฐในปี 2020 ขยายตัว 20% จากปี 2019 ขณะที่ข้อมูลจาก Australian Cyber Security Centre (ACSC) ของประเทศออสเตรเลียเผยถึงความเสียหายถึงประมาณกว่า 2.38 หมื่นล้านดอลลาร์สหรัฐระหว่างช่วงเดือนกรกฎาคม 2020 – มิถุนายน 2021⁶จากการโจมตีทางไซเบอร์ต่าง ๆ สะท้อนให้เห็นถึงผลกระทบที่รุนแรงจากอาชญากรรมทางไซเบอร์ต่อเศรษฐกิจโลก

นอกจากความเสียหายทางการเงินแล้ว Cybersecurity Risk ยังสามารถส่งผลกระทบต่อระบบโครงสร้างพื้นฐานและข้อมูลได้ด้วยเช่นกัน ยกตัวอย่างจากเหตุการณ์การโจมตีทางไซเบอร์ระบบ Colonial Pipeline ในสหรัฐฯ ซึ่งเป็นระบบท่อขนส่งพลังงานในภาคตะวันออกเฉียงใต้ของประเทศ ส่งผลให้ระบบท่อขนส่งพลังงานต้องหยุดชะงักไปหลายวันและเกิดปัญหาการขาดแคลนน้ำมันในหลายรัฐ นอกจากนี้ บริษัท Colonial Pipeline Company ยังต้องเสียค่าไถ่ประมาณ 5 ล้านดอลลาร์สหรัฐอีกด้วย แม้จะสามารถกู้คืนเงินค่าไถ่มาได้เกือบครึ่งในช่วงหลังก็ตาม นอกจากตัวอย่างนี้แล้วยังคงมีเหตุการณ์อื่น ๆ ที่เป็นอุทาหรณ์ต่อความสำคัญในการจัดการ Cybersecurity Risk เช่น การโจมตีระบบ SWIFT ซึ่งเป็นระบบธุรกรรมทางการเงินเพื่อสื่อสารระหว่างธนาคารทั่วโลกในปี 2016 หรือการโจรกรรมข้อมูลของ Sony Pictures ซึ่งเป็นสตูดิโอหนังขนาดใหญ่ในปี 2014 ส่งผลให้ข้อมูลที่มีความสำคัญสูงรั่วไหลออกมา

ผลกระทบทั้งหมดที่เกิดขึ้นจาก Cybersecurity Risk อาจตีมูลค่าเป็นเงินไม่ได้และอาจมีผลกระทบในระยะยาว เช่น ความเชื่อมั่นในองค์กรและระบบต่าง ๆ ที่บั่นทอนลง ซึ่งอาจใช้เวลานานจนกว่าจะสามารถฟื้นความเชื่อมั่นของผู้ใช้งานได้ อีกทั้ง อาชญากรรมทางไซเบอร์อาจเป็นหนึ่งปัจจัยที่ทำให้ความเหลื่อมล้ำทางสังคมเพิ่มขึ้นอีกด้วย เนื่องจากธุรกิจที่มีขนาดใหญ่และมีเงินลงทุนมากกว่าจะสามารถจ้างพนักงาน IT ได้เยอะกว่าและมีทุนในการซื้อโปรแกรมที่ทันสมัย ขณะที่ธุรกิจขนาดเล็กไม่สามารถทำได้ ในด้านของผู้บริโภค ผู้ใช้เทคโนโลยีที่เป็นผู้สูงอายุหรือผู้ที่ไม่คุ้นเคยกับการใช้เทคโนโลยีมีแนวโน้มที่จะตกเป็นเหยื่อของอาชญากรรมทางไซเบอร์ได้สูง ประเด็นเหล่านี้สะท้อนให้เห็นว่าภาครัฐควรให้ความสำคัญต่อ Cybersecurity Risk เพื่อความมั่นคงของเศรษฐกิจและสังคม

สถานการณ์อาชญากรรมทางเทคโนโลยีในไทยเป็นอย่างไร?

กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) เปิดเผยสถิติการร้องเรียนในปี 2021 พบว่ามีผู้ร้องเรียนรวม 2,964 ราย รวมมูลค่าความเสียหายประมาณ 1.9 พันล้านบาท (ไม่รวมการร้องเรียนข้อหาหมิ่นประมาท) โดยมีผู้ร้องเรียนข้อหาโจรกรรมข้อมูลส่วนตัวมากที่สุด ตามมาด้วยข้อหาหลอกขายสินค้า ทั้งนี้จำนวนผู้ร้องเรียนเพิ่มขึ้นจากปี 2020 สะท้อนถึงแนวโน้มอาชญากรรมทางไซเบอร์ที่มีความแพร่หลายมากขึ้นเหมือนในหลายประเทศ ๆ ทั่วโลก ในช่วงปีสองปีที่ผ่านมา ไทยเผชิญเหตุการณ์อาชญากรรมทางไซเบอร์ขนาดใหญ่หลายครั้ง เช่น การโจรกรรมข้อมูลโรงพยาบาลสระบุรี ซึ่งเป็นการโจมตีผ่าน Ransomware เรียกค่าไถ่สูงถึง 6.3 หมื่นล้านบาท และส่งผลให้โรงพยาบาลไม่สามารถให้บริการผู้ป่วยได้อย่างเต็มที่เนื่องจากข้อมูลของผู้ป่วยถูกล็อกไว้ไม่สามารถเข้าถึงได้ นอกจากนี้ ยังมีเหตุการณ์การโจรกรรมข้อมูลผู้ป่วยในระบบของกระทรวงสาธารณสุขกว่า 16 ล้านรายการ หรือการพยายามโจมตีระบบของสำนักงานตรวจคนเข้าเมืองเพื่อเข้าถึงข้อมูลของนักท่องเที่ยว โดยสรุป เห็นได้ชัดว่า Cybersecurity Risk นั้นเป็นความเสี่ยงสำคัญที่ประเทศไทยต้องเตรียมรับมือในอนาคต

ภาครัฐและภาคธุรกิจควรเตรียมรับมือกับ Cybersecurity Risk อย่างไรในระยะต่อไป?

เนื่องจากอาชญากรรมทางไซเบอร์มีแนวโน้มรุนแรงขึ้นในระยะต่อไป ภาครัฐและภาคธุรกิจควรเฝ้าระวังและกำกับดูแลความเสี่ยงทางด้านความปลอดภัยทางไซเบอร์ เพื่อไม่ให้ส่งผลในวงกว้างต่อเศรษฐกิจ สังคม และผู้บริโภค โดยอาจเริ่มจากมาตรการต่าง ๆ ดังนี้ :

1) เร่งประชาสัมพันธ์และให้ความรู้ในการใช้เทคโนโลยีอย่างปลอดภัยแก่ประชาชน เช่น วิธีการตั้งรหัสผ่าน (password) ที่มีความปลอดภัย วิธีการกรองเว็บไซต์และอีเมลปลอม และการยืนยันตัวตนแบบ Multi-Factor Authentication เป็นต้น

2) เพิ่มงบการลงทุนเพื่อเสริมสร้างความแข็งแกร่งของโครงสร้างพื้นฐานทางด้านเทคโนโลยี และติดตั้งโปรแกรมที่ทันสมัยสามารถรับมือการโจมตีรุ่นแบบใหม่ ๆ ได้ ตลอดจนมีระบบสำรอง (back up) ข้อมูลเมื่อถูกโจมตีและเตรียมแผนสำรองทางธุรกิจ (Business Contingency Plan) รับมือสถานการณ์ฉุกเฉิน

3) ส่งเสริมการศึกษาทางด้านเทคโนโลยีสารสนเทศ (Information Technology: IT) เพื่อเพิ่มบุคลากรที่มีความรู้ความสามารถในการบริหารจัดการความเสี่ยงด้าน Cybersecurity เนื่องจากตำแหน่งงานทางด้าน IT มีความต้องการสูง เมื่อเทียบกับบุคลากรที่มีในตลาดแรงงาน

4) ส่งเสริมความร่วมมือระหว่างภาครัฐและภาคเอกชนเพื่อแก้ปัญหาร่วมกัน ผ่านการแบ่งปันข้อมูลการโจมตีที่เคยเกิดขึ้นและวิธีการรับมือการโจมตีในอนาคต อย่างไรก็ดี ควรสื่อสารอย่างโปร่งใสกับผู้ใช้งานเพื่อเพิ่มความเชื่อมั่นและรักษาสิทธิข้อมูลส่วนบุคคล

5) เพิ่มความเข้มงวดของกฎหมายด้าน Cybersecurity Risk โดยในปี 2019 ประเทศไทยได้ผ่าน พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และจัดตั้งคณะกรรมการต่าง ๆ เพื่อดูแลความเสี่ยง ทั้งนี้เนื่องจากการโจมตีทางไซเบอร์มีแนวโน้มพัฒนาไปเรื่อย ๆ กฎหมายไทยควรปรับให้สอดคล้องกับการโจมตีรูปแบบใหม่ ๆ เพื่อเตรียมรับมือต่อความเสี่ยงที่อาจเกิดขึ้นในอนาคต



¹ The Global Risks Report 2022 17th Edition, Insight Report. World Economic Forum (11 มกราคม 2022).
² 4 สกุลเงินได้แก่ Bitcoin Cash, Bitcoin, Ethereum และ Tether
³ Chainalysis. Ransomware 2021: Critical Mid-year Update (14 พฤษภาคม 2021).
⁴ Internet Crime Report 2020. Federal Bureau of Investigation (17 มีนาคม 2021).
⁵ Steve Morgan. Cybercrime To Cost The World $10.5 Trillion Annually By 2025. Cybersecurity Ventures (13 พฤศจิกายน 2020)
⁶ ACSC Annual Cyber Threat Report 1 July 2020 – 30 June 2021. The Australian Cyber Security Centre. (15 กันยายน 2021)

_______________

เผยแพร่ในการเงินธนาคาร คอลัมน์ เกร็ดการเงิน วันที่ 15 กุมภาพันธ์ 2022