รายงาน Kordia 2026: 17% ของเหตุการณ์ไซเบอร์ในนิวซีแลนด์จบลงด้วยการขโมยข้อมูล
รายงานอุตสาหกรรมที่เผยแพร่ใหม่กำลังระบุตัวเลขที่ชัดเจนสำหรับปัญหาที่องค์กรส่วนใหญ่รู้ว่ามีอยู่แต่ยากจะวัดได้: เหตุการณ์ไซเบอร์ที่เกี่ยวกับการขโมยข้อมูลส่วนบุคคลคิดเป็นสัดส่วนสำคัญของเหตุการณ์ความปลอดภัยทั้งหมด จากรายงาน 2026 Kordia New Zealand Business Cyber Security Report ระบุว่า 17% ของเหตุการณ์ไซเบอร์ หรือประมาณหนึ่งในหก ส่งผลให้เกิดการเข้าถึงหรือขโมยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต นอกจากตัวเลขดังกล่าว รายงานยังชี้ให้เห็นว่าการใช้ AI อย่างไม่เหมาะสมโดยพนักงานเป็นหนึ่งในภัยคุกคามเกิดใหม่ที่เร่งด่วนที่สุดที่องค์กรต้องเผชิญในปัจจุบัน
ผลการค้นพบเหล่านี้รวมกันวาดภาพของสภาพแวดล้อมภัยคุกคามที่เปลี่ยนแปลงเร็วกว่าที่การป้องกันแบบดั้งเดิมส่วนใหญ่ถูกสร้างขึ้นมาเพื่อรับมือ
สิ่งที่รายงาน Kordia 2026 ค้นพบจริงๆ
รายงาน Kordia สำรวจธุรกิจในนิวซีแลนด์ข้ามภาคส่วนและขนาดต่างๆ ทำให้เป็นหนึ่งในภาพรวมระดับภูมิภาคที่มีรากฐานมากที่สุดเกี่ยวกับวิธีที่เหตุการณ์ไซเบอร์เกิดขึ้นจริงในทางปฏิบัติ ตัวเลขหลัก ได้แก่ 17% ของเหตุการณ์ที่จบลงด้วยการเปิดเผยข้อมูลส่วนบุคคล เป็นที่น่าสังเกตเพราะมันบันทึกผลลัพธ์เฉพาะเจาะจง แทนที่จะเป็นเพียงปริมาณหรือประเภทของการโจมตี
รายงานความปลอดภัยไซเบอร์จำนวนมากมุ่งเน้นไปที่วิธีเริ่มต้นของการโจมตี: อีเมลฟิชชิง ข้อมูลรับรองที่ถูกบุกรุก ซอฟต์แวร์ที่ไม่ได้รับการแพทช์ รายงานนี้ดึงความสนใจไปยังจุดสิ้นสุดของการโจมตี และสำหรับสัดส่วนที่สำคัญ จุดสิ้นสุดนั้นคือข้อมูลส่วนบุคคลของใครบางคนที่ออกไปจากการควบคุมขององค์กร ความแตกต่างนั้นมีความสำคัญในการทำความเข้าใจความเสี่ยงในแง่ที่หน่วยงานกำกับดูแล ลูกค้า และคณะกรรมการบริหารให้ความสำคัญจริงๆ
รายงานยังเน้นย้ำการใช้ AI อย่างไม่เหมาะสมโดยเจ้าหน้าที่เป็นความท้าทายเกิดใหม่ ซึ่งหมายถึงพนักงานที่ป้อนข้อมูลที่ละเอียดอ่อนเข้าไปในเครื่องมือ AI ภายนอก ใช้แพลตฟอร์ม AI ที่ไม่ได้รับอนุมัติ หรือแบ่งปันข้อมูลลับในขณะที่พยายามทำให้งานของตนเป็นอัตโนมัติ ในกรณีส่วนใหญ่ไม่ใช่เจตนาร้าย แต่เป็นความสะดวกสบายที่เข้ามาแทนที่ความระมัดระวัง
ทำไมหนึ่งในหกของเหตุการณ์จึงจบลงด้วยการละเมิดข้อมูล
ตัวเลข 17% สะท้อนถึงความเป็นจริงเชิงโครงสร้างบางประการเกี่ยวกับวิธีที่องค์กรสมัยใหม่จัดการข้อมูล ข้อมูลส่วนบุคคลมักถูกจัดเก็บในหลายระบบ แบ่งปันกันอย่างกว้างขวางภายในองค์กร และถูกเข้าถึงเป็นประจำโดยพนักงานในหลายระดับ การกระจายตัวนั้นหมายความว่าการบุกรุกที่สำเร็จใดๆ มีโอกาสพอสมควรที่จะสัมผัสกับข้อมูลส่วนบุคคลก่อนที่จะถูกตรวจพบและควบคุม
มันยังสะท้อนถึงมูลค่าสูงของข้อมูลส่วนบุคคลในฐานะเป้าหมาย ผู้โจมตีที่เข้าถึงเครือข่ายได้มักมองหาชื่อ รายละเอียดการติดต่อ บันทึกทางการเงิน และข้อมูลประจำตัวโดยเฉพาะ สิ่งเหล่านี้มีมูลค่าในการขายต่อโดยตรงและสามารถนำไปใช้ในการโจมตีการฉ้อโกงและวิศวกรรมสังคมที่ตามมาได้
ช่องว่างระหว่างการเกิดเหตุการณ์และการยืนยันว่าข้อมูลส่วนบุคคลถูกบุกรุกก็เป็นปัจจัยหนึ่ง ความล่าช้าในการตรวจพบให้เวลาผู้โจมตีมากขึ้นในการค้นหาและดึงข้อมูลบันทึกที่มีค่าที่สุดออกไป องค์กรที่ขาดการบันทึกข้อมูล การแบ่งส่วน หรือการตรวจสอบที่แข็งแกร่ง มีแนวโน้มที่จะค้นพบการละเมิดหลังจากข้อมูลออกไปแล้วเท่านั้น
รูปแบบนี้ไม่ได้เกิดขึ้นเฉพาะในนิวซีแลนด์ มันสอดคล้องกับสิ่งที่นักวิจัยได้บันทึกไว้ทั่วโลก: หน่วยงานที่อยู่ภายใต้การกำกับดูแลและองค์กรที่มีทรัพยากรเพียงพอยังคงจัดการข้อมูลส่วนบุคคลอย่างผิดพลาดเป็นประจำ ดังที่สำรวจในแอป EU age verification ที่ถูกละเมิดภายในไม่กี่นาทีหลังเปิดตัว ซึ่งสมมติฐานการออกแบบเกี่ยวกับความปลอดภัยพิสูจน์ว่าเป็นการมองโลกในแง่ดีเกินไปอย่างร้ายแรงในเกือบทันที
ภัยคุกคาม AI จากภายในที่ VPN แก้ไขได้ไม่ครบถ้วน
ผลการค้นพบเกี่ยวกับการใช้ AI สมควรได้รับความสนใจเป็นพิเศษ เพราะมันแสดงถึงประเภทความเสี่ยงที่เครื่องมือรักษาความปลอดภัยที่มีอยู่ส่วนใหญ่ไม่ได้ออกแบบมาเพื่อรับมือ เมื่อพนักงานวางข้อมูลลูกค้าลงในผู้ช่วย AI สาธารณะหรือใช้เครื่องมือเพิ่มผลผลิตที่ไม่ได้รับอนุมัติเพื่อประมวลผลข้อมูล HR ไม่มีไฟร์วอลล์ที่ทำงาน ไม่มี VPN ที่แจ้งเตือน และไม่มีระบบตรวจจับการบุกรุกที่ส่งสัญญาณเตือน ข้อมูลออกไปผ่านช่องทางที่ถูกต้องตามกฎหมายอย่างสมบูรณ์
นี่คือปัญหาหลักของการเปิดเผยข้อมูลที่ขับเคลื่อนโดยคนภายใน: มันมักดูเหมือนการทำงานปกติ VPN รักษาความปลอดภัยการเชื่อมต่อระหว่างอุปกรณ์และเครือข่ายองค์กร มันไม่ได้ควบคุมสิ่งที่พนักงานทำกับข้อมูลเมื่อพวกเขามีการเข้าถึงที่ถูกต้องตามกฎหมาย การเข้ารหัสปกป้องข้อมูลระหว่างการส่งข้อมูลระหว่างจุดสิ้นทางที่เชื่อถือได้ มันไม่ปกป้องข้อมูลที่ผู้ใช้ที่ได้รับอนุญาตเลือกที่จะส่งไปยังที่ที่ไม่ได้รับอนุญาต
องค์กรที่ลงทุนอย่างหนักในเครื่องมือรักษาความปลอดภัยแบบปริมณฑล รวมถึง VPN การป้องกันจุดสิ้นทาง และไฟร์วอลล์ ยังคงสามารถถูกเปิดเผยได้หากพวกเขาไม่ได้จัดการกับชั้นมนุษย์และนโยบาย ผลการค้นพบของ Kordia ชี้ให้เห็นว่าช่องว่างนี้กำลังขยายตัวเมื่อเครื่องมือ AI ราคาถูกลง มีความสามารถมากขึ้น และฝังตัวอยู่ในกระบวนการทำงานประจำวันมากขึ้น
ความท้าทายนี้ทวีความซับซ้อนขึ้นจากความเร็วที่ภูมิทัศน์ของเครื่องมือ AI เปลี่ยนแปลง นโยบายที่เขียนไว้เมื่อหกเดือนที่แล้วอาจไม่ครอบคลุมแพลตฟอร์มที่พนักงานกำลังใช้อยู่ในปัจจุบัน
การสร้างการป้องกันความเป็นส่วนตัวที่เกินกว่า VPN
การแก้ไขทั้งอัตราการขโมยข้อมูลและภัยคุกคาม AI จากภายในต้องการแนวทางแบบหลายชั้นที่รวมการควบคุมทางเทคนิคเข้ากับนโยบายองค์กรและการศึกษาผู้ใช้
ในด้านเทคนิค เครื่องมือป้องกันการสูญหายของข้อมูล (DLP) สามารถกำหนดค่าเพื่อตรวจจับเมื่อหมวดหมู่ที่ละเอียดอ่อนของข้อมูลถูกส่งไปยังแพลตฟอร์มภายนอก รวมถึงบริการ AI การตรวจสอบเครือข่ายที่บันทึกการถ่ายโอนข้อมูลขาออกสามารถช่วยระบุรูปแบบที่ผิดปกติได้ การควบคุมการเข้าถึงที่จำกัดว่าพนักงานคนไหนสามารถเข้าถึงข้อมูลใดได้ช่วยลดขอบเขตความเสียหายของเหตุการณ์ใดๆ
ในด้านนโยบาย องค์กรต้องการคำแนะนำที่ชัดเจนและเป็นปัจจุบันเกี่ยวกับเครื่องมือ AI ที่ได้รับอนุมัติ หมวดหมู่ข้อมูลใดที่สามารถประมวลผลภายนอกได้ และผลที่ตามมาของการละเมิดนโยบายคืออะไร ความคลุมเครือคือความรับผิด พนักงานที่ไม่แน่ใจว่าเครื่องมือได้รับการอนุมัติหรือไม่มักจะเริ่มต้นใช้งานไปเลย โดยเฉพาะถ้ามันทำให้งานของพวกเขาง่ายขึ้น
การศึกษาผู้ใช้ยังคงมีความสำคัญ พนักงานส่วนใหญ่ที่สร้างเหตุการณ์การเปิดเผยข้อมูลที่เกี่ยวกับ AI ไม่ได้กระทำด้วยเจตนาร้าย พวกเขาพยายามทำงานอย่างมีประสิทธิภาพ การฝึกอบรมที่อธิบายโดยเฉพาะว่าทำไมข้อมูลบางอย่างจึงไม่สามารถเข้าไปในเครื่องมือ AI ภายนอกได้ แทนที่จะบอกแค่ว่าทำไม่ได้ มีแนวโน้มที่จะสร้างการปฏิบัติตามที่ดีกว่าการเตือนความปลอดภัยทั่วไป
สำหรับบุคคล รายงานนี้เป็นการเตือนที่มีประโยชน์ให้ตรวจสอบว่าข้อมูลส่วนบุคคลใดที่องค์กรถือครองเกี่ยวกับพวกเขาและมันได้รับการปกป้องอย่างไร กฎหมายเช่น California Consumer Privacy Act มอบสิทธิ์อย่างเป็นทางการแก่ผู้บริโภคบางส่วนเหนือข้อมูลของพวกเขา แม้ว่าการบังคับใช้ CCPA มีช่องว่างที่สำคัญในทางปฏิบัติ และการใช้สิทธิ์เหล่านั้นต้องใช้ความพยายามอย่างแข็งขัน
ความหมายสำหรับคุณ
รายงาน Kordia 2026 เป็นการศึกษาที่มุ่งเน้นนิวซีแลนด์ แต่ผลการค้นพบของมันสะท้อนรูปแบบที่สามารถจดจำได้ข้ามอุตสาหกรรมและภูมิศาสตร์ หนึ่งในหกของเหตุการณ์ที่ส่งผลให้เกิดการขโมยข้อมูลส่วนบุคคลเป็นอัตราที่สำคัญ และการเกิดขึ้นของการใช้ AI อย่างไม่เหมาะสมในฐานะภัยคุกคามจากภายในเพิ่มมิติใหม่ที่โปรแกรมความปลอดภัยจำนวนมากยังคงตามทัน
สำหรับบุคคล นี่คือสัญญาณเตือนให้คิดว่าคุณแบ่งปันข้อมูลส่วนบุคคลอะไรกับธุรกิจ ข้อมูลเหล่านั้นมากแค่ไหนที่อาจถูกเปิดเผยในการละเมิด และคุณกำลังใช้สิทธิ์ที่มีอยู่เพื่อลดการเปิดเผยนั้นหรือไม่ สำหรับองค์กร รายงานนี้เป็นกรณีสำหรับการย้ายการสนทนาด้านความปลอดภัยออกไปจากเครื่องมือแบบปริมณฑลและไปสู่การกำกับดูแลข้อมูลที่ครอบคลุม
การป้องกันทางเทคนิคมีความจำเป็นแต่ไม่เพียงพอ ตัวเลข 17% ชี้ให้เห็นว่าแม้หลังจากเกิดเหตุการณ์ การควบคุมผลกระทบต่อข้อมูลส่วนบุคคลต้องการความรวดเร็ว การมองเห็น และนโยบายที่ชัดเจนซึ่งองค์กรส่วนใหญ่ยังคงพัฒนาอยู่ การตรวจสอบรอยเท้าข้อมูลของคุณเอง การทำความเข้าใจสิทธิ์ที่คุณมีภายใต้กฎหมายความเป็นส่วนตัวที่บังคับใช้ และการติดตามข้อมูลเกี่ยวกับวิธีที่การละเมิดเกิดขึ้นจริงนั้นเป็นขั้นตอนแรกที่ใช้ได้จริงที่ทุกคนสามารถทำได้วันนี้
