ค่าเสียหายข้อมูลรั่วพุ่งเฉลี่ย 151 ล้าน – ‘Shadow AI’ เสี่ยงซ้ำเติมองค์กร

รายงาน “Cost of a Data Breach Report 2025” โดย IBM Security และ Ponemon Institute ซึ่งเก็บข้อมูลจากองค์กรกว่า 550 แห่งใน 16 ประเทศ พบว่าค่าเฉลี่ยของความเสียหายจากเหตุการณ์ข้อมูลรั่วไหลทั่วโลกเพิ่มขึ้นเป็น 4.45 ล้านดอลลาร์สหรัฐ หรือราว 151 ล้านบาท ต่อเหตุการณ์ในปี 2025 เพิ่มขึ้นจากปีก่อนหน้าซึ่งอยู่ที่ 4.35 ล้านดอลลาร์ หรือประมาณ 148 ล้านบาท การเพิ่มขึ้นนี้แสดงให้เห็นว่าภัยคุกคามทางไซเบอร์ยังคงทวีความซับซ้อน และองค์กรทั่วโลกยังมีความเสี่ยงที่จะต้องแบกรับค่าใช้จ่ายมหาศาลเมื่อเกิดเหตุการณ์ข้อมูลรั่วไหล

ขณะที่ตัวเลขที่น่าตกใจคือ สำหรับ รายงานระบุว่าค่าเสียหายเฉลี่ยต่อเหตุการณ์ในสหรัฐอเมริกา สูงกว่าค่าเฉลี่ยทั่วโลกเกือบ 2.3 เท่าอยู่ที่ 10.22 ล้านดอลลาร์ หรือประมาณ 348 ล้านบาท และถือเป็นตัวเลขสูงสุดตั้งแต่เคยมีการจัดทำรายงานนี้ ปัจจัยที่ทำให้สหรัฐฯ มีต้นทุนสูงมาก ได้แก่ กฎระเบียบด้านการแจ้งเหตุข้อมูลรั่วไหลที่เข้มงวด ค่าใช้จ่ายในการสอบสวน ฟื้นฟูระบบ แจ้งลูกค้า และการว่าจ้างที่ปรึกษาทางกฎหมาย

นอกจากนี้ อุตสาหกรรมที่ได้รับผลกระทบหนักที่สุดคือภาคสุขภาพ โดยมีค่าเสียหายเฉลี่ยสูงถึง 7.42 ล้านดอลลาร์ หรือราว 252 ล้านบาท ต่อเหตุการณ์ ตามด้วยภาคการเงินและพลังงาน

แม้เทคโนโลยีจะเข้ามาช่วยในการรับมือ เช่น AI และระบบอัตโนมัติที่ช่วยลดระยะเวลาในการตรวจจับและตอบสนองจากเดิมที่เคยใช้เวลานานกว่า 280 วัน เหลือเฉลี่ยประมาณ 241 วันในปีนี้ แต่ค่าใช้จ่ายโดยรวมก็ยังไม่ลดลง การนำ AI มาใช้จึงไม่ได้เป็นทางออกเดียว หากขาดการควบคุมและนโยบายด้านความปลอดภัยที่ชัดเจน

ความท้าทายจาก Shadow AI

ประเด็นที่น่ากังวลเป็นพิเศษในรายงานฉบับนี้คือการเพิ่มขึ้นของ “Shadow AI” หรือการที่พนักงานภายในองค์กรใช้เทคโนโลยี AI โดยไม่ได้ผ่านการควบคุมจากฝ่ายไอทีหรือความมั่นคงไซเบอร์ รายงานระบุว่า 13% ของเหตุการณ์ข้อมูลรั่วไหลเกี่ยวข้องกับระบบ AI หรือแอปพลิเคชัน AI ที่ถูกโจมตี และในกลุ่มนี้ถึง 97% ไม่มีระบบควบคุมการเข้าถึง AI อย่างเหมาะสม ยิ่งไปกว่านั้น 63% ขององค์กรไม่มีนโยบายกำกับการใช้งาน AI หรือยังอยู่ระหว่างจัดทำ ขณะที่มีเพียง 34% เท่านั้นที่มีการตรวจสอบและ audit การใช้งาน AI อย่างสม่ำเสมอ

แม้การใช้ AI อย่างเหมาะสมจะมีศักยภาพในการลดต้นทุนได้อย่างชัดเจน โดยองค์กรที่นำระบบ AI และ automation มาใช้อย่างจริงจังสามารถลดค่าใช้จ่ายได้ถึง 1.9 ล้านดอลลาร์ หรือราว 65 ล้านบาท ต่อเหตุการณ์ และลดระยะเวลาในการรับมือได้กว่า 80 วัน แต่หากใช้อย่างไร้การควบคุม Shadow AI ก็สามารถกลายเป็นช่องโหว่สำคัญที่นำไปสู่ความเสียหายที่มากยิ่งกว่าเดิม

รายงานนี้แม้จะไม่ได้แยกข้อมูลเฉพาะของประเทศไทย แต่ถือเป็นสัญญาณเตือนสำคัญสำหรับทุกองค์กรในภูมิภาค รวมถึงประเทศไทย ที่กำลังเร่งนำ AI มาใช้งานอย่างแพร่หลายโดยบางครั้งอาจละเลยมิติด้านความปลอดภัย การมีนโยบายควบคุม AI ที่เข้มงวด การจัดการสิทธิ์เข้าถึง การตรวจสอบแบบต่อเนื่อง และการเสริมทักษะด้านไซเบอร์ให้กับบุคลากร จึงไม่ใช่เรื่องที่ควรมองข้ามอีกต่อไป

ที่มา