ไม่มีใครยืนยันได้ว่า อาชญากรรมไซเบอร์ ไม่ได้มาจากบริษัทความปลอดภัยไซเบอร์เอง

ถ้าใครอ่านข่าว/บทความเกี่ยวกับความปลอดภัยไซเบอร์โดยเฉพาะของชาวต่างชาติ จะพบว่าเต็มไปด้วยการพูดถึงมูลค่าความเสียหายที่เกิดขึ้นและที่จะเกิดขึ้น (จะไม่ขอกล่าวถึงในที่นี้) หากไม่ “ลงทุน” เพื่อป้องกัน ข่าว/บทความด้านนี้คือคำขู่หรือไม่ ก็ยังไม่มีใครยืนยันได้ว่าใช่หรือไม่ใช่



นอกจาก แฮ็กเกอร์รัสเซีย เกาหลีเหนือ จีน จะอันตรายที่สุดในโลกตามรายงานของบริษัทความปลอดภัยไซเบอร์สัญชาติอเมริกัน นิตยสาร Cybersecurity Ventures สัญชาติอเมริกันเช่นกันที่นำเสนอการวิจัยและรายงานเกี่ยวกับราคาความเสียหายจากอาชญากรรมทางไซเบอร์และมูลค่าของตลาดความปลอดภัยนี้ ได้พยากรณ์ว่าการใช้จ่ายด้านความปลอดภัยไซเบอร์ทั่วโลกทั้งภาครัฐและเอกชนจากปี 2017-2021 รวมกันจะมีมูลค่าทะลุ 1 ล้านล้านดอลลาร์! โดยพบว่าปี 2004 ทั่วโลกมีการใช้จ่ายด้านนี้เพียง 3.5 พันล้านดอลลาร์เท่านั้น แต่หลังจากนั้น 13 ปี ในปี 2017 มีการใช้จ่ายเพื่อความปลอดภัยไซเบอร์สูงขึ้นถึง 35 เท่าตัวสู่ระดับมากกว่า 1.2 แสนล้านดอลลาร์

ตามรายงานของ Gartner บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ชี้ว่ารายจ่ายด้านความปลอดภัยนี้ของธุรกิจทั่วโลกในปี 2019 คาดว่าเพิ่มขึ้นจากปีที่แล้ว 8.7% สู่ระดับ 1.24 แสนล้านดอลลาร์ นับว่าเพิ่มขึ้นค่อนข้างสูงเมื่อเทียบกับค่าใช้จ่ายอื่น ๆ ด้านเทคโนโลยีรวมกันซึ่ง Gartner พบว่าเพิ่มขึ้นเพียง 3.2% ในปีนี้จากปีที่แล้ว โดยส่วนใหญ่แล้วแรงขับที่ทำธุรกิจต้องลงทุนเพื่อความปลอดภัยทางไซเบอร์เป็นเรื่องการป้องกันความเสี่ยงกว้าง ๆ จากภัยไซเบอร์ที่อาจเกิดขึ้น หรือความจำเป็นโดยตรงของธุรกิจ หรือความเปลี่ยนแปลงของสภาพแวดล้อมทางธุรกิจซึ่งมีความกังวลเรื่องความเป็นส่วนตัวของข้อมูลของลูกค้าซึ่งกำลังกลายเป็นปัจจัยหลักที่ธุรกิจต้องลงทุนด้านความปลอดภัยไซเบอร์อันรวมถึงการป้องกันความเสียหายของข้อมูลและความจำเป็นจากการที่กฎหมายด้านนี้มีการเปลี่ยนแปลงด้วย

เว็บไซต์ business.com ระบุว่าในขณะที่ธุรกิจขนาดใหญ่ดูเหมือนต้องใช้เวลาและจ่ายเงินอย่างไม่มีที่สิ้นสุดเพื่อเสริมสร้างความปลอดภัยทางไซเบอร์ของพวกเขา สำหรับธุรกิจขนาดเล็กแล้ว ตามรายงานของสถาบันวิจัยด้านการรักษาความปลอดภัยของข้อมูล Ponemon ในสหรัฐอเมริกาพบว่าปี 2017 เกือบ 70% ของธุรกิจขนาดเล็กในสหรัฐเคยประสบกับภัยคุกคามไซเบอร์ โดยครึ่งหนึ่งของธุรกิจขนาดเล็กในสหรัฐไม่มีความรู้ว่าจะปกป้องธุรกิจของตนอย่างไร ซึ่งนั่นเป็นปัญหาใหญ่เนื่องจากราคาที่ธุรกิจขนาดเล็กอย่างในสหรัฐต้องจ่ายราคาเพื่อฟื้นฟูจากการถูกคุกคามไซเบอร์เฉลี่ยแล้วราคานั้นอาจสูงถึง 149,000 ดอลลาร์ ซึ่งตามรายงานของภาคีเครือข่ายความปลอดภัยทางไซเบอร์แห่งชาติสหรัฐ (U.S. National Cyber Security Alliance) ชี้ว่าธุรกิจขนาดเล็กในสหรัฐที่ประสบภัยไซเบอร์ 60% ต้องปิดกิจการหลังประสบภัยคุกคามนี้ภายใน 6 เดือน ซึ่งผลสำรวจของ SurePayroll Inc บริษัทที่ปรึกษาธุรกิจขนาดเล็กทั่วสหรัฐพบว่าในปี 2016 ธุรกิจที่มีลูกจ้างไม่ถึงสิบคนในสหรัฐ ใช้เครื่องมือออนไลน์สำหรับงานทุกอย่างตั้งแต่การตลาด งานภายในองค์กร การจัดเก็บข้อมูล และการปฏิสัมพันธ์กับลูกค้า ทั้งลูกจ้างและเจ้าของกิจการสามารถเข้าถึงข้อมูลของธุรกิจได้จากสมาร์ทโฟนหรือแท็บเล็ต เทคโนโลยีเอื้อให้ปัจเจกบุคคลสามารถเริ่มต้นธุรกิจและเติบโตได้อย่างรวดเร็ว แต่ก็ต้องแบกรับความเสี่ยงที่ภาคีเครือข่ายความปลอดภัยทางไซเบอร์แห่งชาติสหรัฐรายงานไว้ให้ได้

การสร้างความปลอดภัยทางไซเบอร์ย่อมหมายถึงค่าใช้จ่าย รายงานหลายชิ้นเรียกว่าเป็นการลงทุน แต่มันเป็นการลงทุนที่หวังผลตอบแทนได้จริงหรือไม่? ผลลัพธ์ยังคงเป็นสิ่งที่หาความแน่นอนได้ไม่ง่ายนัก โดย Bruce Schneier ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชื่อดังในสหรัฐชี้ว่า รายจ่ายด้านความปลอดภัยทางไซเบอร์เป็นเรื่องการป้องกันความสูญเสียมากกว่าการสร้างรายได้ แม้จะมีความพยายามแสดงสูตรคำนวณให้ดูว่าการ “ลงทุน” ด้านความปลอดภัยไซเบอร์จะให้ผลตอบแทนอย่างไร และการจ่ายเงินซื้อความปลอดภัยนี้ก็สามารถคาดหวังได้ว่าจะไม่ต้องเสียค่าปรับจากการผิดกฎหมายด้านข้อมูล ลดความเสี่ยงที่ระบบการให้บริการที่สำคัญจะขัดข้อง จะได้รับบริการความปลอดภัยนี้ตลอดชีพ สามารถปกป้องความลับของธุรกิจ สามารถรักษาชื่อเสียงธุรกิจของตน นอกจากนี้มีความพยายามอธิบายว่าการจ่ายเงินซื้อความปลอดภัยไซเบอร์เป็นการลงทุนที่สามารถหวังผลกำไรได้ โดย Katrina Avila ที่ปรึกษาอาวุโสของบริษัทเทคโนโลยียักษ์ใหญ่ IBM ชี้ว่าต้องพิจารณาอย่างหนักในเรื่องความเสี่ยงและความสามารถขององค์กรซึ่งการลงทุนนี้บางครั้งก็ไม่ได้ช่วยให้เข้าใกล้เป้าหมายขององค์กร ก็จะดีกว่าที่จะบรรเทาความเสี่ยงด้วยวิธีอื่น หรือถ้าต้องลงทุนก็ต้องระบุให้ได้ว่ากำไรส่วนไหนของธุรกิจที่จะคืนทุนให้การใช้จ่ายด้านความปลอดภัย แต่เว็บไซต์ TechRepublic ชี้ว่าแม้นคำแนะนำของ Avila จะช่วยให้เห็นว่าการลงทุนความปลอดภัยไซเบอร์จะคุ้มค่าทางธุรกิจได้อย่างไร แต่ TechRepublic ซึ่งเป็นสื่อด้านเทคโนโลยีชื่อดังที่ทำงานมากว่ายี่สิบปี ระบุว่าหลายครั้งมันเป็นการมองโลกในแง่ดีเกินไป

ภาระลามไปถึงเงินภาษี แต่จะเป็นเพียงการป้องกัน หรือหวังกำไรจากมันได้ ยังไม่มีใครรู้

ภาระที่ต้องจ่ายเงินเพื่อความมั่นคงปลอดภัยไซเบอร์ก็ไม่ใช่แค่ภาคธุรกิจแต่รวมถึงรัฐบาลด้วย มีตัวอย่างของรัฐบาลแคนาดาที่ใช้จ่ายประมาณ 140 ล้านดอลลาร์สหรัฐต่อปีสำหรับ 4-5 ปีถัดจากนี้เพื่อเสริมสร้างเทคโนโลยีต่าง ๆ ของรัฐที่สุ่มเสี่ยงต่อภัยไซเบอร์ เช่น ด้านการเงิน โทรคมนาคม พลังงาน ขนส่ง ให้ปลอดภัยมากขึ้น นอกจากนั้นเพื่อสนับสนุนมหาวิทยาลัยหลายแห่งในประเทศเพื่อสร้างเครือข่ายความเป็นเลิศด้านนี้ เพื่อป้องกันการแทรกแซงการเลือกตั้งจากต่างประเทศรวมถึงปกป้องระบอบประชาธิปไตยของแคนาดาด้วยการป้องกันข้อมูลอันเป็นเท็จ รวมถึงสร้างความตระหนักด้านภัยไซเบอร์แก่นักการเมือง ข้าราชการ ประชาชน และงบประมาณเพื่องานด้านการประเมินและตอบโต้ภัยไซเบอร์ที่ส่งผลต่อเศรษฐกิจโดยตรง ซึ่งรายจ่ายเหล่านี้ภาครัฐแคนาดาพยายามบอกว่าเป็นการลงทุน แต่หากพิจารณาตาม Bruce Schneier นี่ก็เป็นเพียงการใช้จ่ายที่หลีกเลี่ยงไม่ได้เพื่อป้องกันความเสียหาย ส่วนในสหรัฐนั้นค่าใช้จ่ายด้านความปลอดภัยไซเบอร์สำหรับทุกหน่วยงานของรัฐมีการตั้งงบสำหรับปี 2020 สูงกว่าปีนี้ห้าเปอร์เซ็นต์สู่ระดับ 1.74 หมื่นล้านดอลลาร์ซึ่งเพิ่มขึ้น 790 ล้านดอลลาร์จากปีนี้ แต่สำนักการบริหารและงบประมาณสหรัฐ (OMB) เผยว่า งบประมาณที่จะใช้จ่ายจริง ๆ ด้านความปลอดภัยไซเบอร์จะสูงกว่าตัวเลขดังกล่าว เพราะการทำงานบางอย่างด้านนี้เป็นเรื่องละเอียดอ่อนที่ต้องเป็นความลับ นอกจากนั้นเงินที่ต้องใช้ด้านนี้สำหรับการทหารของสหรัฐปี 2020 เท่าที่มีการเขียนตัวเลขให้เห็นก็สูงถึง 9.6 พันล้านดอลลาร์แล้ว ซึ่งเพิ่มขึ้นถึง 1.1 พันล้านดอลลาร์จากปีนี้

ส่วนของไทยเมื่อเดือน พ.ค. 2562 มีการตั้ง 'สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ' เป็นหน่วยงานของรัฐ โดยมี 'คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ' (กมช.) หรือ National  Cyber  Security  Committee (NCSC) โดยมีนายกรัฐมนตรีเป็นประธาน และมีกรรมการ ได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม  ปลัดกระทรวงการคลัง  ปลัดกระทรวงยุติธรรม  ผู้บัญชาการตำรวจแห่งชาติ  และเลขาธิการสภาความมั่นคงแห่งชาติ และมีกรรมการผู้ทรงคุณวุฒิอีกไม่เกิน 7 คน  ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้  ความเชี่ยวชาญและประสบการณ์เป็นที่ประจักษ์ในด้าน การรักษาความมั่นคงปลอดภัยไซเบอร์, เทคโนโลยีสารสนเทศและการสื่อสาร, การคุ้มครองข้อมูลส่วนบุคคล, วิทยาศาสตร์, วิศวกรรมศาสตร์, กฎหมาย, การเงิน หรือด้านอื่นที่เกี่ยวข้องและเป็นประโยชน์ -- คงต้องจับตาดูว่าจะมีการเบิกจ่ายงบประมาณมากน้อยเพียงใด


-Z-

โดย Tanandawn Chompusi ที่มาข้อมูล cybersecurityventures.com / cspi.com / business.com / theatlantic.com / techrepublic.com / itworldcanada.com / meritalk.com / ratchakitcha.soc.go.th










อ่านเรื่องเก่าใน Z-World