โดยเฉลี่ย ค่าเสียหายจากเหตุการณ์ที่เกี่ยวกับระบบความปลอดภัยไซเบอร์สำหรับธุรกิจขนาดใหญ่นั้นมีมูลค่าความเสียหายถึงมากกว่า 29 ล้านบาทเลยทีเดียว ($861,000) ขณะที่วิสาหกิจขนาดกลางและย่อม (SMBs) มีค่าเสียหายประมาณ 3 ล้านบาท ($86,500) ที่น่าตกใจมาก คือ ค่าใช้จ่ายของการกู้คืนนั้นทวีมูลค่าขึ้นอย่างยิ่ง โดยขึ้นอยู่กับเวลาที่ใช้ในการค้นหาข้อมูล ธุรกิจขนาด SMBs มีแนวโน้มว่าจะต้องจ่ายเพิ่มขึ้น 44% เพื่อกู้คืนข้อมูลจากการถูกจู่โจมไซเบอร์ที่มักจะเกิดขึ้นหนึ่งสัปดาห์หรือมากกว่าหลังจากเจาะเข้าระบบครั้งที่หนึ่งถูกตรวจพบ เปรียบเทียบกับการจู่โจมที่ตรวจพบภายในหนึ่งวัน เอ็นเทอร์ไพรซ์จ่ายค่าพรีเมี่ยม 27% ในกรณีเดียวกัน ข้อมูลนี้เป็นส่วนหนึ่งของการสำรวจข้อมูลโดยแคสเปอร์สกี้ แลป ในรายงาน “Measuring the Financial Impact of IT Security on Businesses” จากการสำรวจความเสี่ยงด้านความปลอดภัยระบบไอทีของคอร์ปอเรตในปี 2016
ในการสำรวจปีนี้ แคสเปอร์สกี้ แลป ได้ทำการเปรียบเทียบเป็นครั้งแรกระหว่างงบประมาณด้านความปลอดภัยกับค่าความสูญเสียอันเป็นผลจากการถูกเจาะระบบโดยรวม องค์กรธุรกิจคาดหวังว่างบประมาณด้านความปลอดภัยไอทีจะเพิ่มขึ้นอย่างน้อย 14% ในช่วงสามปีต่อจากนี้ อันเนื่องมาจากความซับซ้อนของโครงสร้างพื้นฐานของระบบไอที ธุรกิจขนาดเล็กโดยปกติใช้ 18% ของงบไอทีไปกับความปลอดภัย ในขณะที่ เอ็นเทอร์ไพรซ์ใช้ 21% จากการวิจัยแสดงให้เห็นว่าขนาดของธุรกิจมีผลต่อสัดส่วนงบประมาณเพื่อความปลอดภัย ซึ่งหลากหลายแตกต่างกันไปตั้งแต่หนึ่งพันเหรียญสำหรับธุรกิจขนาดเล็กมาก ไปจนถึงหนึ่งล้านเหรียญสำหรับบริษัทขนาดใหญ่
ค่ากู้คืนข้อมูล ค่าล่วงเวลาของพนักงาน และค่าใช้จ่ายอื่นๆ
เพื่อประเมินค่าใช้จ่ายในการกู้คืนข้อมูลทั้งหมด แคสเปอร์สกี้ แลป และบีทูบี อินเตอร์เนชั่นแนล ได้ขอให้บริษัทต่างๆ แจ้งข้อมูลความเสียหายจากเหตุการณ์ด้านความปลอดภัยไซเบอร์ พบว่า นอกจากค่าใช้จ่ายส่วนใหญ่ซึ่งก็คือค่าจ้างพนักงานที่ต้องจ่ายเพิ่มเติม บริษัทยังได้แจ้งค่าเสียหายที่เกิดจากการเสียโอกาสทางธุรกิจ ค่าปรับปรุงระบบความปลอดภัยไอที ค่าจ้างผู้เชี่ยวชาญภายนอก และค่าจ้างพนักงานใหม่ และพบตัวเลขว่า เอ็นเทอร์ไพรซ์จ่ายเงินประมาณ 2.7 ล้านบาท ($79K) เป็นค่าเทรนนิ่ง และจ่ายประมาณ 2.9 ล้านบาท ($85K) เป็นค่าผู้เชี่ยวชาญภายนอก ซึ่งคิดเป็น 19% ของค่าใช้จ่ายทั้งหมด
ประเด็นค่าตอบแทนจากการลงทุน (ROI)
วลาดิเมียร์ ซาโปลยานสกี้ หัวหน้าฝ่ายการตลาดสำหรับ SMB แคสเปอร์สกี้ แลป กล่าวว่า “จากการสำรวจของเราทั่วโลก งบความปลอดภัยไอทีโดยเฉลี่ยมีค่าเท่ากับการโจมตีไซเบอร์เพียง 2.5 ครั้ง ปัจจุบันมีภัยคุกคามโจมตีองค์กรหลายพันครั้งต่อวัน ระบบความปลอดภัยไซเบอร์ที่มีประสิทธิภาพจึงจะคุ้มค่าการลงทุน บริษัทต่างเข้าใจประเด็นนี้ดี SMBs จำนวน 59% เอ็นเทอร์ไพรซ์จำนวน 62% แจ้งว่า จะปรับปรุงระบบความปลอดภัยของตนแม้จะวัดค่าตอบแทนไม่ได้ อย่างไรก็ดี การสำรวจพิสูจน์ว่าการรุกล้ำระบบมีผลกระทบโดยตรงต่อความเสียหายทางการเงิน ซึ่งไม่สามารถเยียวยารักษาได้ด้วยการเพิ่มงบประมาณ
ข้อมูลเพิ่มเติม
รายงานการสำรวจเรื่อง “Measuring the Financial Impact of IT Security on Businesses” https://business.kaspersky.com/security_risks_report_financial_impact/