ป้องกัน-รับมือ ‘ภัยไซเบอร์’ ช่วยปิดความเสี่ยงการลงทุน

ปัจจุบัน บริษัทจดทะเบียนในตลาดหลักทรัพย์ทั้งในและต่างประเทศทุกบริษัทต่างพึ่งพาอินเทอร์เน็ตและเครือข่ายออนไลน์ไม่มากก็น้อยในการดำเนินธุรกิจ  บริษัทต่างๆ มีการเชื่อมต่อระหว่างกันมากขึ้น และมีปริมาณข้อมูลที่เพิ่มขึ้น ซึ่งถูกจัดการและเก็บรักษาโดยบริษัททั่วโลก รวมถึงการเปลี่ยนรูปแบบการทำงานไปสู่การทำงานทางไกลและออนไลน์ (Remote & Online Working) ที่มากขึ้นนับตั้งแต่เกิดการระบาดใหญ่ของโควิดตั้งแต่ปี 2020 ทำให้อาชญากรรมทางอินเทอร์เน็ตนับเป็นอีกหนึ่งในความเสี่ยงที่สำคัญ โดยเฉพาะสำหรับบริษัทขนาดใหญ่ตั้งแต่ช่วงปีที่ผ่านมา ซึ่งเผชิญเหตุการณ์โจมตีทางไซเบอร์ที่เป็นข่าวใหญ่จำนวนมาก


บริษัทชื่อดังหลายแห่งทั่วโลกถูกโจมตีและขู่เพื่อเรียกค่าไถ่ ตัวอย่างเช่น Colonial Pipeline ซึ่งเป็นบริษัทท่อส่งเชื้อเพลิงที่ใหญ่ที่สุดในสหรัฐฯ และ JBS Foods บริษัทแปรรูปเนื้อสัตว์ที่ใหญ่ที่สุดในโลก และสำนักงานบริการสุขภาพแห่งชาติของไอร์แลนด์ และล่าสุดบริษัทท่าเรือยักษ์ใหญ่ของแอฟริกาใต้ ทั้งหมดนี้ล้วนเป็นผู้เสียหายที่ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ ซึ่งเป็นการโจมตีทางไซเบอร์ประเภทหนึ่งที่เกี่ยวข้องกับการล็อกผู้ใช้ออกจากไฟล์หรือระบบของตนเอง และเรียกค่าไถ่เพื่อแลกกับการเข้าถึงและการกู้คืนข้อมูลอีกครั้ง


นอกจากกรณีตัวอย่างจากบริษัทชื่อดังทั่วโลกแล้ว ในความเป็นจริงมีรายงานว่าทั่วโลกเกิดกรณีการถูกขโมยข้อมูลมากกว่า 3 หมื่นล้านรายการในปี 2020 เฉพาะในสหรัฐฯ FBI ได้รับการร้องเรียนเกี่ยวกับอาชญากรรมทางอินเทอร์เน็ตเกือบ 800,000 ครั้งในปี 2020 เพิ่มขึ้น 69% จากการร้องเรียนทั้งหมดในปี 2019 โดยรายงานความสูญเสียมากกว่า 4.1 พันล้านดอลลาร์สหรัฐ ขณะที่ในยุโรป การโจมตีทางไซเบอร์เพิ่มขึ้น 75% จากปี 2020 เมื่อเทียบกับปี 2019


ต้นทุนสำหรับบริษัทด้านอาชญากรรมในโลกไซเบอร์ของทั่วโลกคาดว่าจะสูงถึง 6 ล้านล้านดอลลาร์สหรัฐต่อปีในปี 2021 และเพิ่มสู่ระดับ 10.5 ล้านล้านดอลลาร์สหรัฐภายในปี 2025 จากรายงานของ Cybersecurity Ventures
  บริษัทวิจัยทางไซเบอร์  ซึ่งได้ประมาณการข้อมูลความเสียหายและการสูญหายของข้อมูล เม็ดเงิน ประสิทธิภาพการทำงาน ทรัพย์สินทางปัญญา การหยุดชะงักของธุรกิจ ทรัพยากรในการกู้คืนข้อมูลและระบบที่ถูกแฮ็ก และความเสียหายต่อชื่อเสียงของบริษัท


ปัจจัยเหล่านี้ล้วนส่งผลให้การใช้จ่ายด้านกลไกการป้องกันเพิ่มสูงขึ้น การใช้จ่ายทั่วโลกสำหรับผลิตภัณฑ์และบริการด้านความปลอดภัยทางไซเบอร์คาดว่าจะเพิ่มขึ้นในอัตราการเติบโตต่อปี (CAGR หรืออัตราการเติบโตในช่วงเวลาโดยคิดผลกระทบของการทบต้น) ที่ 7.7-14.5% ระหว่างปี 2020 และ 2026


ทั้งนี้ อาชญากรรมไซเบอร์สามารถเกิดขึ้นได้หลายรูปแบบ และมีความซับซ้อนมากขึ้นเรื่อยๆ ส่วนใหญ่เกี่ยวข้องกับผู้ใช้งานบนคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์ ที่เผลอคลิกลิงก์ที่เป็นอันตรายหรือเปิดไฟล์แนบที่เป็นอันตราย ซึ่งติดตั้งซอฟต์แวร์ที่เรียกว่ามัลแวร์ โดยเป็นการให้ความยินยอมโดยไม่สมัครใจ และทำให้ผู้โจมตีสามารถล้วงเปิดเผยข้อมูลที่เป็นความลับ รวมถึงป้องกันไม่ให้ผู้ใช้งานสามารถกลับเข้าถึงระบบ และข้อมูลที่จำเป็นได้อีกจนกว่าจะได้รับการแก้ไขหรือปลดล็อก อีเมลเป็นหนึ่งในวิธียอดนิยมที่ผู้โจมตีทั่วไปใช้ในการแทรกซึมระบบและข้อมูลของบริษัท ซึ่งหากการติดตั้งการอัปเดตความปลอดภัยไม่ดีพอ หรือไม่ได้ใช้รหัสผ่านที่รัดกุมเพียงพอที่จะปกป้องข้อมูล จะทำให้บริษัทตกเป็นเหยื่อของการโจมตีได้อย่างง่ายดาย


ดังนั้น ทุกบริษัทที่ใช้อินเทอร์เน็ตอาจตกเป็นเป้าหมายของอาชญากรไซเบอร์และการโจมตีทางไซเบอร์ได้ตลอดเวลา และสามารถส่งผลกระทบอย่างมีนัยสำคัญต่อบริษัทได้ไม่ว่าจะเป็นด้านชื่อเสียงหรือฐานะการดำเนินงาน

cyber-threat-01

จากข้อมูลของ Cyber Security Intelligence สำหรับความเสียหายด้านชื่อเสียงที่เกี่ยวข้องกับการถูกละเมิดการป้องกันความปลอดภัย โดยเฉลี่ยแล้วชื่อเสียงของบริษัทจะใช้เวลา 2 ปีในการกู้คืนหลังจากมีการเปิดเผยการละเมิดข้อมูล ขณะที่ราคาหุ้นของบริษัทที่ได้รับผลกระทบมีแนวโน้ม Underperform ในช่วง 1-3 ปีหลังจากนั้น หากเทียบกับกรณีที่ไม่เกิดเหตุการณ์การถูกโจมตีทางไซเบอร์ เนื่องจากนักลงทุนจะขาดความเชื่อมั่น โดยหุ้นกลุ่มการเงินและเทคโนโลยีมักจะได้รับผลกระทบที่รุนแรง และมีโอกาสปรับลดลงมากกว่าหุ้นกลุ่มอื่นหากเกิดกรณีความปลอดภัยทางไซเบอร์


ความปลอดภัยด้านไซเบอร์เป็นความเสี่ยงทางธุรกิจที่สำคัญมากขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งสำหรับบริษัทที่มีสินทรัพย์ไม่มีตัวตน (Intangible Asset) ที่สำคัญ เช่น แบรนด์ ความสัมพันธ์กับลูกค้า หรือนวัตกรรม
 ดังนั้นผลกระทบด้านลบจากการถูกละเมิดและโจมตีจะส่งผลต่อชื่อเสียงของแบรนด์โดยตรง รวมถึงส่งผลต่อความสามารถในการแข่งขันของบริษัท ซึ่งจะส่งผลกระทบต่อรายได้และความสามารถในการทำกำไรอีกทอด ด้วยเหตุนี้ การถูกละเมิดข้อมูลและการโจมตีทางไซเบอร์จึงสามารถแสดงให้เห็นถึงแนวทางการกำกับดูแลที่ไม่ดี และการจัดการที่อ่อนแอของบริษัทได้


สำหรับบริษัททั่วไป การแก้ไขสถานการณ์ต่อการโจมตีทางไซเบอร์สามารถทำได้ทั้งการเพิ่มทีมบุคคลที่ดูแล หรือเปลี่ยนแนวนโยบายได้อย่างรวดเร็ว แต่การสร้างตลาดใหม่และกู้คืนความไว้วางใจของลูกค้านั้นใช้เวลานานกว่ามาก ดังนั้นนักลงทุนควรทำความเข้าใจว่าบริษัทมีความสามารถในการเตรียมรับมือเหตุการณ์ในโลกไซเบอร์ได้ดีเพียงใด ความลึกของแนวทางบริษัทควรสร้างความมั่นใจได้ว่าเมื่อเกิดเหตุการณ์การละเมิดหรือการถูกโจมตี กระบวนการและทรัพยากรในการแก้ไขของบริษัทจะต้องมีพร้อมเพื่อลดผลกระทบต่อการดำเนินงาน และความสามารถในการสร้างมูลค่าของบริษัท


ความปลอดภัยด้านไซเบอร์เป็นปัจจัยที่สำคัญมากขึ้นสำหรับทุกองค์กร นักลงทุนจำเป็นต้องทำความเข้าใจให้ลึกซึ้งมากกว่าในอดีต ว่าบริษัทต่างๆ ที่อยู่ในพอร์ตการลงทุนพร้อมที่จะจัดการกับความเสี่ยงนี้ได้ดีมากน้อยเพียงใด
 เช่น การกำกับดูแลความเสี่ยงและความเชี่ยวชาญด้านเทคนิค ซึ่งจะสามารถช่วยระบุแนวทางปฏิบัติที่ไม่เหมาะสม หรือจุดหละหลวมได้ก่อนที่จะเกิดเหตุการณ์ไม่พึงประสงค์ขึ้น เกณฑ์ง่ายๆ ที่จะช่วยนักลงทุนในการพิจารณาว่าบริษัทใดมีความพร้อมด้านการรับมือสำหรับความปลอดภัยทางไซเบอร์ ได้แก่
 

  1. บริษัทมีหน่วยงานดูแลความรับผิดชอบต่อความปลอดภัยในโลกไซเบอร์ และความเป็นส่วนตัวของข้อมูลในระดับคณะกรรมการและผู้บริหารหรือไม่
  2. บริษัทมีความเชี่ยวชาญทางเทคนิค และทีม IT ของบริษัทมีความพร้อมเพียงพอหรือไม่
  3. บริษัทมีการฝึกอบรมพนักงาน และให้ความรู้เกี่ยวกับความปลอดภัยด้านไซเบอร์มากน้อยเพียงใด เช่น ความรู้เรื่องมาตรฐาน ISO 27001 หรือมาตรฐานสากลอื่นๆ สำหรับระบบการจัดการความปลอดภัยของข้อมูล ซึ่งมาตรฐานเหล่านี้สามารถให้ต้นแบบสำหรับการประเมินความเสี่ยง และการออกแบบด้านการรักษาความปลอดภัยและการนำไปปฏิบัติงานจริง เป็นต้น


นอกเหนือจากเทรนด์ ESG (Environmental, Social and Governance) ซึ่งเป็นธีมการลงทุนยอดนิยมในช่วงหลายปีที่ผ่านมาแล้ว การเตรียมความพร้อมด้านความปลอดภัยทางไซเบอร์ (Cybersecurity) ของบริษัท จึงควรเป็นอีกหนึ่งในข้อพิจารณาที่สำคัญในการตัดสินใจลงทุนของนักลงทุน และเป็นอีกหนึ่งความเสี่ยงทางธุรกิจที่นักลงทุนมองข้ามไม่ได้ในการประเมินความเสี่ยงทางธุรกิจในสถานการณ์ปัจจุบัน


บทความโดย ดร.ธนพล ศรีธัญพงศ์  ผู้จัดการฝ่ายกลยุทธ์การลงทุน SCB Chief Investment Office


ข้อมูล ณ วันที่  16 กันยายน 2564


ที่มา The Standard Wealth