Cybersecurity

เศรษฐศาสตร์ความปลอดภัยสำหรับผู้ที่ยังไม่ตัดสินใจ

วิเคราะห์เชิงเศรษฐศาสตร์กับความปลอดภัย คุ้มค่าแค่ไหนกับการลงทุนความปลอดภัย

สำหรับผู้ซื้อ การอ่านรายละเอียดข้อดี-ข้อเสียของสินค้าก่อนซื้อสินค้าหรือบริการนั้นถือเป็นเรื่องปกติ แต่สำหรับสินค้าและบริการบางประเภทนั้นแทบไม่มีรายละเอียดอะไรให้รับรู้เลย

หนึ่งในสาเหตุที่ทำให้ตลาดแข่งขันแข่งขันสมบูรณ์(ในเชิงเศรษฐศาสตร์)ไม่สามารถเกิดขึ้นได้จริงก็คือ ความไม่เท่าเทียมกันของข้อมูล สำหรับโปรแกรมรักษาความปลอดภัยอย่างแอนตี้ไวรัสนั้น ผู้ซื้อเหมือนไม่รู้จักผลิตภัณฑ์ชนิดนี้มาก่อน จนบางทีเหมือนโดนพลังงานอะไรบางอย่างสั่งให้ซื้อหรือต้องเผชิญกับผู้ขายผูกขาด

จนถึงขนาดที่ว่ามีคนถึงกับว่าโปรแกรมเหล่านี้ไม่ใช่สิ่งจำเป็น และไม่คุ้มค่าต่อการลงทุน และมองโปรแกรมแอนตี้ไวรัสว่าเป็นเพียงการตลาด แต่เมื่อเหตุการณ์ผิดปกติเกิดขึ้นอย่าง Ransomware อาจทำให้สูญเสียมากกว่าที่คิด

ข้อดีของการมีโซลูชั่นความปลอดภัย

สำหรับโปรแกรมรักษาความปลอดภัยเป็นผลิตภัณฑ์อาจไม่ใช่โปรแกรมที่ “must have” แต่เป็นผลิตภัณฑ์ที่ “good to have” มากกว่า สำหรับข้อดีของโปรแกรมรักษาความปลอดภัยก็คือ ช่วยคุณประเมินต้นทุนของความเสี่ยงหรือ ‘Value at Risk’ (VaR), ความเป็นได้ที่จะเกิดความเสียหายที่จะเกิดขึ้นในช่วงเวลาใดเวลาหนึ่ง

ยกตัวอย่างจากสถิติ คุณอาจสรุปเอาเองได้ว่ามีโอกาสเพียง 1% เท่านั้นที่จะเกิด DDoS Attack ที่ทำให้กิจการออนไลน์ของหลายเว็บไซต์นั้นต้องหยุดชะงัก เกิดความเสียหายเป็นเงินนับหมื่นเหรียญสหรัฐฯ ถ้าหากองค์กรของคุณมองว่าความเสี่ยงนี้พอรับได้ การลงทุนในความปลอดภัยก็คงไม่มีความจำเป็น แต่คนส่วนมากมักไม่รู้ถึงภัยที่กำลังคืบคลานมา

VaR ไม่เคยมีค่าเป็น 0 ไม่เว้นแม้แต่คอมพิวเตอร์ของผู้ใช้ทั่วไป ความเสี่ยงที่ข้อมูลจะสูญหายหรือถูกทำลายมีตลอดเวลาที่คุณกำลังใช้อินเตอร์เน็ต ยืนยันได้จากบันทึกการตรวจจับจากโปรแกรมรักษาความปลอดภัย และเว็บไซต์อย่าง ESET’s Virus Radar

ยอมรับเท่ากับทำให้ความเสี่ยงมากขึ้นกว่าเดิม

shutterstock_404481847-1

เราไม่อาจปฏิเสธได้ว่าเราไม่อาจลดความเสี่ยงด้านความปลอดภัยได้ 100% แต่โปรแรกมรักษาความปลอดภัยทั้งหมายที่เราลงทุนกับมันนั้นจะลดความเสี่ยงให้น้อยลงเรื่อยๆ

มีอยู่ครั้งหนึ่งที่รองประธานอาวุโสของหนึ่งในผู้ผลิตโปรแกรมแอนตี่ไวรัส Symantec คุณ Brian Dye เคยบอกว่าโปรแกรมแอนตี้ไวรัสนั้นตายแล้ว การโต้วาทีของพวกเขานั้นเป็นไปอย่างดุเดือด และหนึ่งในเหตุผลที่เขานำมาต่อสู้ก็คือ ความเสียหายบนโลกไซเบอร์ทั้งหมดนั้นเกิดจากสิ่งที่เรียกว่า “Zero-Day” หรือวันที่ศูนย์ หมายความว่าความเสียหายทั้งหมดที่เกิดขึ้นนั้นเกิดมาจากข้อบกพร่องของซอฟต์แวร์ หรือฮาร์ดแวร์ก่อนออกวางจำหน่าย ซึ่งทั้งตัวผู้ผลิตเองและผู้ผลิตแอนตี้ไวรัสนั้นไม่มีทางรู้

จากถ้อยคำของคุณ Dye ทำให้โปรแกรมรักษาความปลอดภัยเหมือนไม่สามารถรับมือกับภัยคุกคามได้เลย แต่เมื่อเกิดเหตุการณ์ด้านความปลอดภัยขึ้น ช่องโหว่ถูกเปิดโปงทันใดนั้นการป้องกันก็จะถูกสร้างขึ้น และส่งต่อให้กับผู้ใช้รายอื่นๆที่มีโอกาสพบเจอสิ่งเดียวกัน และทำให้พวกเขาปลอดภัยในที่สุด นี่เป็นเหตุผลที่เราบอกได้ว่าแอนตี้ไวรัสยังไม่ตาย

ถ้าหากพวกเราเชื่อคำพูดของคุณ Dye นั่นเท่ากับหยุดการป้องกันตัวเองจากมัลแวร์ที่เคยเกิดขึ้นมาแล้ว และวิธีเดียวที่จะปกป้องข้อมูลของคุณได้ก็คือการสำรองข้อมูลเพียงอย่างเดียวเท่านั้น ทำให้เราต้องชั่งน้ำหนักว่าอะไรคุ้มค่ากว่ากัน

ภัยคุกคามไม่ได้มีรูปแบบของการเจาะระบบจากช่องโหว่เท่านั้น แต่ “สังคมออนไลน์” ก็เป็นหนึ่งในสาเหตุเช่นกัน จากงานวิจัยของมหาวิทยาลัย Carnegie Mellon พบว่า 21% ของผู้ทำแบบทดสอบละเลยคำเตือนเว็บหลอกข้อมูล Phishing ซึ่งทำให้สถานการณ์ค่อนข้างน่าเป็นห่วง

shutterstock_520034500-1

ยกตัวอย่างแฮกเกอร์จากรัสเซีย ที่เลียนแบบโดเมนขององค์กรเป้าหมายเพื่อหลอกให้พนักงานกรอกข้อมูลบัญชีผู้ใช้ลงไป จากรายงานของ FBI บอกว่า “แฮกเกอร์ต้องการเพียงให้เป้าหมายแค่คนเดียวเท่านั้นเปิดใช้งานลิงก์อันตรายเพื่อเข้าถึงระบบโครงสร้างพื้นฐาน” ในขณะที่คนอื่นๆจะถูกหลอกให้กรอกชื่อผู้ใช้ และรหัสผ่านในหน้าโดเมนปลอมที่แฮกเกอร์ทำขึ้น

ทำให้ยากต่อพวกเราทุกคน

ไม่ว่าคุณจะเป็นผู้ใช้ส่วนตัวหรือระดับองค์กร มุมมองเกี่ยวกับความปลอดภัยของคุณส่งผลต่อเครือข่ายทั้งเครือข่าย เพราะคุณคือหนึ่งทรัพยากรไอทีภายในนั้น ซึ่งอาจตกเป็นเป้าหมายของแฮกเกอร์ที่ไหนและเมื่อไหร่ก็ได้

คุณ Inga Beale, CEO ของ Lloyds บอกว่าการโจมตีไซเบอร์สร้างความเสียหายให้กับธุรกิจโลกเป็นเงินกว่า 4 แสนล้านเหรียญสหรัฐฯ ในปี 2015 และจากความร่วมมือของ IBM และ Ponemon Institute ร่วมกันทำสำรวจองค์กรกว่า 350 องค์กรทั่วโลกที่เผชิญกับการล้วงข้อมูลในปี 2015 ชี้ว่าค่าเฉลี่ยของความเสียหาย(คิดเป็นตัวเงิน)ต่อหนึ่งเหตุการณ์มีค่าประมาณ 3.79 ล้านเหรียญสหรัฐฯ

shutterstock_391096492-1

เมื่อเทียบระหว่างต้นทุนที่ต้องใช้เพื่อติดตั้งโปรแกรมรักษาความปลอดภัยกับความเสียหายที่มีโอกาสเกิดขึ้น การลงทุนนั้นเป็นทางเลือกที่ง่ายกว่า เพราะในปี 2015 ธุรกิจโปรแกรมรักษาความปลอดภัยมีค่าประมาณ 22,000 ล้านเหรียญสหรัฐฯ ซึ่งเทียบได้เพียง 5% ของความเสียหายที่เกิดขึ้นในปี 2015 และเมื่อวิเคราะห์จากแนวโน้ม ความเสียหายที่เกิดขึ้นในปี 2019 อาจเพิ่มสูงถึง 2.1 ล้านๆเหรียญสหรัฐฯ

ลงทุนเท่าไหร่ถึงจะดี?

จากเอกสารเมื่อปี 2002 ชื่อว่า The Economics of Information Security Investment ของคุณ Lawrence Gordon และ Martin Loeb จากมหาวิทยาลัย Maryland ได้ทำการประเมินจุดที่ดีที่สุดสำหรับการลงทุนด้านความปลอดภัยก็คือ น้อยกว่าหรือเท่ากับ 36.97% ของความเสียหายที่อาจเกิดขึ้น

shutterstock_323055623-1

แต่คุณอย่างลืมไปว่าโปรแกรมแอนตี้ไวรัสและไฟร์วอล์ลนั้นเป็นเพียงส่วนหนึ่งของโซลูชั่นรักษาความปลอดภัยเท่านั้น ถ้าคุณต้องการให้องค์ของคุณปลอดภัยมากที่สุด คุณต้องมีการอบรบพนักงาน, สร้างความรู้ความเข้าใจเกี่ยวกับมาตรการความปลอดภัย ค่าใช้จ่ายที่คุณ Gordon และ Loeb ประเมินเอาไว้คือทุกอย่างที่คุณทำเกี่ยวกับความปลอดภัย

แล้วสำหรับผู้ใช้ทั่วไปล่ะ เรามองในมุมของจำนวนผู้ใช้ที่เรียกใช้บริการความช่วยเหลือด้านไอที จากข้อมูลของ IBM พบว่าเกือบ 40% ผู้บริโภคยอมจ่ายเงินมากกว่า 100 เหรียญสหรัฐฯ เพื่อให้ได้ข้อมูลกลับมา และในกรณีของโปรแกรมเรียกค่าไถ่นั้นอาจมากกว่า 300 เหรียญสหรัฐฯด้วยซ้ำไป

ด้วยเหตุนี้ทำให้คำว่ากันไว้ดีกว่าแก้ถูกนำมาพูดอีกครั้ง เมื่อเราสามารถจ่ายเงินเพียง 50 เหรียญสหรัฐฯ เพื่อป้องกันความเสียหายที่อาจมากกว่า 300 เหรียญสหรัฐฯ

ไม่ว่าคุณจะตัดสินใจอย่างไรแต่โปรแกรมแอนตี้ไวรัสก็มีแบบฟรีให้ใช้ และไม่คิดค่าบริการ และการสำรองข้อมูลนั้นก็สามารถทำได้ง่ายเมื่อเป็นคอมพิวเตอร์ส่วนตัว ตัวเลือกต่างกันแค่คุณจะเลือกแบบไหน

ท้ายที่สุด มีสองทางที่สามารถติดสินว่าคุณจะทำอะไรคือ 1. ลองตรวจสอบว่าขั้นต่ำสุดสำหรับธุรกิจคือเท่าไหร่ วิเคราะห์จากปริมาณข้อมูลและระบบ กับ ค่าใช้จ่ายในการซื้อโซลูชั่นความปลอดภัย

2. คุณสามารถขอความเห็นจากอินเตอร์เน็ตได้ ในรูปแบบของงานวิจัย เช่น การเติบโตของตลาดความปลอดภัย ถึงแม้จะไม่มีอะไรยืนยันได้ แต่นั่นก็เป็นเกณฑ์ชนิดหนึ่ง

Source: https://www.welivesecurity.com/2017/03/22/economics-cybersecurity-undecided/
Translated by: Worapon H.

%d bloggers like this: