โดยเฉลี่ย ค่าเสียหายจากเหตุการณ์ที่เกี่ยวกับระบบความปลอดภัยไซเบอร์สำหรับธุรกิจขนาดใหญ่นั้นมีมูลค่าความเสียหายถึงมากกว่า 29 ล้านบาทเลยทีเดียว ($861,000) ขณะที่วิสาหกิจขนาดกลางและย่อม (SMBs) มีค่าเสียหายประมาณ 3 ล้านบาท ($86,500) ที่น่าตกใจมาก คือ ค่าใช้จ่ายของการกู้คืนนั้นทวีมูลค่าขึ้นอย่างยิ่ง โดยขึ้นอยู่กับเวลาที่ใช้ในการค้นหาข้อมูล ธุรกิจขนาด SMBs มีแนวโน้มว่าจะต้องจ่ายเพิ่มขึ้น 44% เพื่อกู้คืนข้อมูลจากการถูกจู่โจมไซเบอร์ที่มักจะเกิดขึ้นหนึ่งสัปดาห์หรือมากกว่าหลังจากเจาะเข้าระบบครั้งที่หนึ่งถูกตรวจพบ เปรียบเทียบกับการจู่โจมที่ตรวจพบภายในหนึ่งวัน เอ็นเทอร์ไพรซ์จ่ายค่าพรีเมี่ยม 27% ในกรณีเดียวกัน ข้อมูลนี้เป็นส่วนหนึ่งของการสำรวจข้อมูลโดยแคสเปอร์สกี้ แลป ในรายงาน “Measuring the Financial Impact of IT Security on Businesses” จากการสำรวจความเสี่ยงด้านความปลอดภัยระบบไอทีของคอร์ปอเรตในปี 2016[1]
งบประมาณที่เพิ่มขึ้นทำให้ยิ่งเพิ่มความซับซ้อน
ในการสำรวจปีนี้ แคสเปอร์สกี้ แลป ได้ทำการเปรียบเทียบเป็นครั้งแรกระหว่างงบประมาณด้านความปลอดภัยกับค่าความสูญเสียอันเป็นผลจากการถูกเจาะระบบโดยรวม องค์กรธุรกิจคาดหวังว่างบประมาณด้านความปลอดภัยไอทีจะเพิ่มขึ้นอย่างน้อย 14% ในช่วงสามปีต่อจากนี้ อันเนื่องมาจากความซับซ้อนของโครงสร้างพื้นฐานของระบบไอที ธุรกิจขนาดเล็กโดยปกติใช้ 18% ของงบไอทีไปกับความปลอดภัย ในขณะที่ เอ็นเทอร์ไพรซ์ใช้ 21% จากการวิจัยแสดงให้เห็นว่าขนาดของธุรกิจมีผลต่อสัดส่วนงบประมาณเพื่อความปลอดภัย ซึ่งหลากหลายแตกต่างกันไปตั้งแต่หนึ่งพันเหรียญสำหรับธุรกิจขนาดเล็กมาก ไปจนถึงหนึ่งล้านเหรียญสำหรับบริษัทขนาดใหญ่
ค่ากู้คืนข้อมูล ค่าล่วงเวลาของพนักงาน และค่าใช้จ่ายอื่นๆ
เพื่อประเมินค่าใช้จ่ายในการกู้คืนข้อมูลทั้งหมด แคสเปอร์สกี้ แลป และบีทูบี อินเตอร์เนชั่นแนล ได้ขอให้บริษัทต่างๆ แจ้งข้อมูลความเสียหายจากเหตุการณ์ด้านความปลอดภัยไซเบอร์ พบว่า นอกจากค่าใช้จ่ายส่วนใหญ่ซึ่งก็คือค่าจ้างพนักงานที่ต้องจ่ายเพิ่มเติม บริษัทยังได้แจ้งค่าเสียหายที่เกิดจากการเสียโอกาสทางธุรกิจ ค่าปรับปรุงระบบความปลอดภัยไอที ค่าจ้างผู้เชี่ยวชาญภายนอก และค่าจ้างพนักงานใหม่ และพบตัวเลขว่า เอ็นเทอร์ไพรซ์จ่ายเงินประมาณ 2.7 ล้านบาท ($79K) เป็นค่าเทรนนิ่ง และจ่ายประมาณ 2.9 ล้านบาท ($85K) เป็นค่าผู้เชี่ยวชาญภายนอก ซึ่งคิดเป็น 19% ของค่าใช้จ่ายทั้งหมด
ประเด็นค่าตอบแทนจากการลงทุน (ROI)
วลาดิเมียร์ ซาโปลยานสกี้ หัวหน้าฝ่ายการตลาดสำหรับ SMB แคสเปอร์สกี้ แลป กล่าวว่า “จากการสำรวจของเราทั่วโลก งบความปลอดภัยไอทีโดยเฉลี่ยมีค่าเท่ากับการโจมตีไซเบอร์เพียง 2.5 ครั้ง ปัจจุบันมีภัยคุกคามโจมตีองค์กรหลายพันครั้งต่อวัน ระบบความปลอดภัยไซเบอร์ที่มีประสิทธิภาพจึงจะคุ้มค่าการลงทุน บริษัทต่างเข้าใจประเด็นนี้ดี SMBs จำนวน 59% เอ็นเทอร์ไพรซ์จำนวน 62% แจ้งว่า จะปรับปรุงระบบความปลอดภัยของตนแม้จะวัดค่าตอบแทนไม่ได้ อย่างไรก็ดี การสำรวจพิสูจน์ว่าการรุกล้ำระบบมีผลกระทบโดยตรงต่อความเสียหายทางการเงิน ซึ่งไม่สามารถเยียวยารักษาได้ด้วยการเพิ่มงบประมาณ
ข้อมูลเพิ่มเติม
รายงานการสำรวจเรื่อง “Measuring the Financial Impact of IT Security on Businesses”
https://business.kaspersky.com/security_risks_report_financial_impact/
[1] Corporate IT Security Risks is the annual survey conducted by Kaspersky Lab in cooperation with B2B International. In 2016 we have asked more than 4000 representatives of small, medium and large businesses from 25 countries on their views on IT Security and real incidents they had to deal with.