CEO Blog

ต้องเลือกระหว่าง 'เสียหายมาก’ กับ 'เสียหายมหาศาล’

By นักรบ เนียมนามธรรม01 ก.ค. 2021 เวลา 11:11 น.
ต้องเลือกระหว่าง 'เสียหายมาก’ กับ 'เสียหายมหาศาล’

เรื่องตลกร้ายก็คือเมื่อตกเป็นเหยื่อผู้ที่จะถูกดำเนินคดีจะเป็นบริษัทเอง

เป็นที่ถกเถียงกันมานานว่า บริษัทที่ตกเป็นเหยื่อของการเรียกค่าไถ่ไซเบอร์ หรือ แรนซัมแวร์ ควร “จ่าย” หรือ “ไม่จ่าย” ค่าไถ่ที่อาชญากรไซเบอร์เรียก 

โดยหนึ่งในคำแนะนำที่ยึดถือกันมานานก็คือ ห้ามจ่ายเงินค่าไถ่ เพราะถ้าไม่มีใครจ่ายก็จะไม่มีตลาดหรือโอกาสในการทำเงินของอาชญากรไซเบอร์ที่ใช้แรนซัมแวร์ในการโจมตี

ล่าสุดจากผลสำรวจในกลุ่มผู้บริหารที่ดูแลด้านการรักษาความปลอดภัยพบว่า 44% ของบริษัทที่ทำการสำรวจจะพิจารณาจ่ายเงินอย่างน้อย 10% ของรายได้ต่อปี เพื่อแก้ปัญหาการถูกโจมตีด้วยแรนซัมแวร์ 

ขณะที่ 20% ของบริษัทต่างๆ ยอมจ่ายค่าไถ่ประมาณ 20% ของรายได้หรือมากกว่านั้น ซึ่งถือเป็นมูลค่าปัจจุบันที่บริษัทยอมจ่ายค่าไถ่ การจะบังคับให้บริษัทเหล่านี้มีแนวคิดปฏิเสธการจ่ายค่าไถ่จึงควรกระทำโดยการออกกฎระเบียบในการปรับปรุงการรักษาความปลอดภัยไซเบอร์ขั้นพื้นฐาน การลงทุนของรัฐบาลในด้านการรักษาความปลอดภัยไซเบอร์ขั้นพื้นฐาน รวมไปถึงการบังคับใช้กฎหมายที่เคร่งครัดมากยิ่งขึ้น

การป้องกันแรนซัมแวร์สามารถเริ่มต้นด้วยเรื่องเล็กๆ อย่างเช่น การออกนโยบายในการตั้งรหัสผ่านที่รัดกุม ไปจนถึงเรื่องที่ใหญ่ขึ้นอย่างการเจรจาทางการเมืองกับหลายๆ ประเทศที่เป็นแหล่งก่ออาชญากรรมแรนซัมแวร์ 

โดยก่อนหน้านี้ได้เริ่มมีการพูดคุยถึงความจำเป็นในการเริ่มการอภิปรายว่า ควรอนุญาตให้มีการจ่ายเงินค่าไถ่เมื่อถูกโจมตีด้วย แรนซัมแวรืหรือไม่จากวุฒิสมาชิกชาวสหรัฐฯ

มีผลสำรวจอีกด้านที่พบว่า 40% ของบริษัทที่ทำการสำรวจยืนยันว่าพวกเขาจะไม่จ่ายค่าไถ่ให้กับการโจมตีด้วยแรนซัมแวร์ ซึ่งผู้เชี่ยวชาญกล่าวว่า บริษัทต่างๆ เหล่านั้นประเมินความสามารถของตนในการป้องกันแรนซัมแวร์สูงเกินไป หลายครั้งที่การสำรองข้อมูลนั้นล้มเหลวในการใช้เป็นวิธีแก้ปัญหาเนื่องจากปัญหาทางเทคนิคหลายอย่าง ทำให้บริษัทต่างๆ รวมถึงผู้บัญญัติกฎหมายยังคงไม่เข้าใจถึงวิธีการรับมือกับปัญหาที่เกิดขึ้นอย่างถูกต้องจนลงเอยด้วยการตกเป็นเหยื่อ

มีการวิจารณ์เรื่องการห้ามจ่ายเงินค่าไถ่ให้กับอาชญากรไซเบอร์ ซึ่งอาจทำให้เกิดผลลัพธ์ที่แย่ลง ถึงแม้ว่าการกระทำของบริษัทที่เลือกจ่ายเงินให้กับอาชญากรไซเบอร์ แทนการปล่อยให้บริษัทล้มละลายจะถือเป็นการเปิดโอกาสให้อาชญากรไซเบอร์รีดเอาทรัพย์ (Blackmail) บริษัทไปตลอดก็ตาม 

แต่เพราะความเสียหายที่อาจเกิดขึ้นจากการดำเนินงานที่ติดขัดของบริษัทอาจมีค่าใช้จ่ายที่สูงมากกว่าค่าไถ่ที่ถูกเรียกเสียอีกจึงทำให้บริษัทเลือกที่จะยอมจ่ายค่าไถ่ และการห้ามการจ่ายเงินค่าไถ่ดูจะเป็นการทำให้บริษัทที่เป็นเหยื่อต้องตกที่นั่งลำบากกว่าเดิม

การตกเป็นเหยื่อในการโจมตีด้วยแรนซัมแวร์สร้างผลเสียให้กับบริษัทเป็นอย่างมาก ไม่ว่าจะเป็นการเสียชื่อเสียง รายได้ รวมถึงการถูกดำเนินคดีในกรณีที่มีการทำข้อมูลส่วนบุคคลรั่วไหล 

ดังนั้นบริษัทต่างๆ ควรเตรียมระบบให้ครอบคลุมทั้งในเรื่องของบุคลากร อุปกรณ์ นโยบายของบริษัท เพราะเรื่องตลกร้ายก็คือเมื่อตกเป็นเหยื่อแล้วผู้ที่จะถูกดำเนินคดีจะเป็นบริษัทเอง มิใช่ผู้กระทำความผิดจริงๆ อย่างอาชญากรไซเบอร์ครับ