ความปลอดภัยทางไซเบอร์ในยุค AI: ความแข็งแกร่งรัดกุมต้องบิวท์อินตั้งแต่ต้น ไม่ใช่เป็นส่วนเสริม
ความปลอดภัยทางไซเบอร์ในยุค AI: ความแข็งแกร่งรัดกุมต้องบิวท์อินตั้งแต่ต้น ไม่ใช่เป็นส่วนเสริม
บทความโดย เคนเนธ ไล, รองประธานภูมิภาคอาเซียน, คลาวด์แฟลร์
ภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ของประเทศไทยยังคงเต็มไปด้วยความไม่แน่นอน องค์กรต่างต้องเผชิญกับภัยคุกคามที่เพิ่มขึ้นอย่างรวดเร็วทั้งในด้านปริมาณและความซับซ้อน ข้อมูลจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ (NCA) พบว่าระหว่างเดือนมกราคมถึงพฤษภาคม 2568 องค์กรต่าง ๆ ในประเทศไทยประสบกับเหตุการณ์ทางไซเบอร์มากกว่า 1,002 เหตุการณ์ ความท้าทายที่สำคัญ ได้แก่ ภัยคุกคามใหม่ที่เกิดจาก AI และการขาดแคลนบุคลากรด้านความปลอดภัยทางไซเบอร์
มีการประเมินไว้ว่าความเสียหายจากอาชญากรรมไซเบอร์ทั่วโลกในปัจจุบันสูงกว่า 7 ล้านล้านเหรียญสหรัฐฯ และมีแนวโน้มจะเพิ่มขึ้นอย่างต่อเนื่องในอีกไม่กี่ปีข้างหน้า การประเมินนี้บ่งชี้ให้เห็นว่าภาคธุรกิจยังต้องเผชิญปัญหาสำคัญด้านภัยคุกคามไซเบอร์ที่มีการพัฒนาอย่างต่อเนื่อง คลาวด์แฟลร์ (Cloudflare) ได้เผยแพร่รายงาน Cloudflare Signals Report ซึ่งชี้ให้เห็นภาพรวมที่ชัดเจนของภูมิทัศน์ภัยคุกคามทางไซเบอร์ที่ทวีความรุนแรงมากขึ้น และเพื่อช่วยให้องค์กรเข้าใจถึงภัยคุกคามดิจิทัลและเสริมสร้างความมั่นคงทางไซเบอร์
ผลการศึกษาพบว่าในปีที่ผ่าน Cloudflare สามารถสกัดกั้นการโจมตี DDoS ได้มากกว่า 20.9 ล้านครั้งซึ่งเพิ่มขึ้นถึง 50% จากปีก่อนหน้า นอกจากนี้ องค์กรในประเทศไทยมากกว่าครึ่ง (63%) ประสบปัญหาการละเมิดข้อมูล แม้หน่วยงานภาครัฐจะมีคำแนะนำไม่ให้จ่ายค่าไถ่ แต่ 52% ขององค์กรที่ถูกละเมิดก็ยังยอมจ่ายค่าไถ่ สถานการณ์นี้สะท้อนความเป็นจริงที่น่ากังวลที่องค์กรไทยกำลังเผชิญ นั่นคือขนาดและความซับซ้อนของภัยคุกคามไซเบอร์กำลังล้ำหน้าระบบการป้องกันแบบเดิม ๆ
แม้ว่ารัฐบาลไทยได้เปิดตัวโครงการ ‘ปีแห่งความมั่นคงปลอดภัยไซเบอร์: Cyber Security Year‘ ซึ่งเป็นความร่วมมือระหว่างภาครัฐและเอกชนมากกว่า 100 แห่ง เพื่อรับมือภัยคุกคามที่เพิ่มขึ้น แต่ความซับซ้อนของภูมิทัศน์ด้านความปลอดภัยไซเบอร์ที่เพิ่มขึ้นในปัจจุบันนั้นแสดงให้เห็นว่า ความแข็งแกร่งทางไซเบอร์ไม่ได้เป็นความรับผิดชอบของแผนกไอทีเพียงลำพังอีกต่อไป แต่มันคือกลยุทธ์ที่ผู้บริหารระดับสูงทั้งหมดจำเป็นต้องเข้ามามีส่วนร่วม
โซลูชันที่ทันสมัยแก้ปัญหาใหม่ ๆ ที่เกิดขึ้น: ใช้ AI สู้กับ AI
การทำงานจากระยะไกลและการใช้คลาวด์ที่เพิ่มขึ้นทำให้พื้นที่การโจมตีของภัยคุกคามภายในองค์กรขยายวงกว้างและตรวจจับได้ยากขึ้น ผู้โจมตีกำลังพุ่งเป้าไปที่การโจมตีแบบอัตโนมัติที่สามารถหลบหลีกการตรวจจับและใช้ประโยชน์จากช่องโหว่ต่าง ๆ ได้เร็วเกินกว่าที่องค์กรจะรับมือทัน ไม่ว่าจะเป็นการใช้ข้อมูลประจำตัวที่ขโมยมา (credential stuffing) โจมตีด้วยบอต ไปจนถึงการใช้ AI ควบคุมการโจมตี DDoS ปัจจุบัน ความพยายามเข้าสู่ระบบโดยใช้ข้อมูลประจำตัวที่ขโมยมา 94% เกิดขึ้นโดยบอตที่สามารถทดสอบรหัสผ่านหลายพันรหัสต่อวินาที นอกจากนี้ ระบบอัตโนมัติที่ใช้ AI เป็นตัวขับเคลื่อน ยังเป็นสาเหตุหลักของการโจมตี DDoS ที่สร้างผลกระทบสูงอย่างต่อเนื่อง ซึ่งมักเกิดจากบอตเน็ตและอุปกรณ์ IoT ที่ไม่ปลอดภัยจำนวนมาก
Generative AI ยังช่วยให้อาชญากรสามารถสร้างตัวตนเสมือนจริงได้อย่างแนบเนียน โดยผสมผสานข้อมูลจริงและเท็จเพื่อหลบเลี่ยงระบบยืนยันตัวตนแบบเดิม รายละเอียดบุคคลที่สร้างด้วย AI, deepfakes และการโจมตีอัตโนมัติด้วยข้อมูลประจำตัวที่ขโมยมา ทำให้ตรวจจับตัวตนปลอมเหล่านี้ได้ยากขึ้น
ภัยคุกคามที่ควบคุมด้วย AI ต้องใช้การป้องกันที่ใช้พลังจาก AI เช่นกัน เมื่อ generative AI เข้ามาเป็นส่วนหนึ่งของเวิร์กโฟลว์ต่าง ๆ องค์กรจำเป็นต้องบูรณาการการตรวจจับภัยคุกคามที่เสริมประสิทธิภาพด้วย AI ระบบป้องกันอัตโนมัติ และแนวทางการรักษาข้อมูลประจำตัวที่รัดกุมเข้าด้วยกัน เพื่อให้มั่นใจได้ว่าสามารถรับมือกับภัยคุกคามได้อย่างเต็มที่ การบูรณาการ AI เข้ากับมาตรการด้านความปลอดภัยโดยรวม จะช่วยให้องค์กรมองเห็นภาพรวมด้านความปลอดภัยได้ครอบคลุมและชัดเจนมากขึ้น และใช้ประโยชน์จากการตรวจจับภัยคุกคามที่ขับเคลื่อนด้วย AI เพื่อวิเคราะห์ชุดข้อมูลขนาดใหญ่ ตรวจหาความผิดปกติ ต่อต้านภัยคุกคามรูปแบบใหม่ ๆ ได้แบบเรียลไทม์
การตรวจสอบจุดบอดต่าง ๆ : การนำเครื่องมือและเทคโนโลยี AI ที่ไม่ได้รับอนุญาตมาใช้ (Shadow AI), ความเสี่ยงของซัพพลายเชน, ภัยคุกคามทางภูมิรัฐศาสตร์ และ ความพร้อมรับการโจมตีจากควอนตัม (Post Quantum)
ภัยคุกคามไม่ได้หยุดอยู่เพียงเท่านี้ แต่ยังมีอุปสรรคมากมายที่องค์กรต้องเผชิญในเรื่องของความปลอดภัยในปัจจุบัน เช่น การที่พนักงานนำเครื่องมือ AI มาใช้อย่างรวดเร็วจนทีมงานด้านความปลอดภัยตามไม่ทัน ทำให้เกิดจุดบอดที่เป็น Shadow AI ซึ่งสามารถหลบหลีกการควบคุมและการต้องทำตามกฎระเบียบแบบเดิม นอกจากนี้ ความตึงเครียดทางภูมิรัฐศาสตร์ยังลุกลามเข้าสู่โลกไซเบอร์ หลายองค์กรประมาทต่อภัยคุกคามและคิดว่าตนเองมีการควบคุมดีแล้ว ในขณะที่การโจมตีที่มีรัฐหนุนหลังกำลังทำให้อุตสาหกรรมต่าง ๆ หยุดชะงัก และเผยให้เห็นช่องโหว่ร้ายแรงในระบบซัพพลายเชน
ในขณะเดียวกันการนำเทคโนโลยีการเข้ารหัสหลังควอนตัม (post-quantum cryptography) มาใช้ยังคงเป็นไปอย่างไม่ทั่วถึง แม้ปริมาณการรับส่งข้อมูล HTTPS ที่มีการรักษาความปลอดภัยด้วยการเข้ารหัสแบบ quantum-safe จะเพิ่มขึ้นจาก 3% เป็น 38% ในเดือนมีนาคม 2025 เมื่อเทียบกับปีที่ผ่านมาก็ตาม การนำมาใช้อย่างไม่ทั่วถึงนี้สะท้อนให้เห็นถึงความล่าช้าที่น่ากังวลในด้านความพร้อมขององค์กรธุรกิจ ทั้งนี้การประมวลผลควอนตัมกำลังเข้าใกล้จุดที่สามารถเจาะการเข้ารหัสแบบเดิมได้ ผู้นำองค์กรจึงต้องเร่งนำ post-quantum cryptography มาใช้ปกป้องข้อมูลในระยะยาวและตอบสนองต่อข้อกำหนดด้านความปลอดภัยที่เปลี่ยนแปลงตลอดเวลา
ซัพพลายเชนยังคงเป็นจุดอ่อนที่สำคัญที่สุดจุดหนึ่ง การที่องค์กรต้องพึ่งพาสคริปต์จากผู้ให้บริการภายนอกหลายสิบไปจนถึงหลายร้อยรายการ หากมีผู้ให้บริการเพียงรายเดียวถูกบุกรุกก็สามารถเปิดประตูให้ผู้โจมตีเข้าสู่องค์กรได้ ข้อมูลจาก World Economic Forum พบว่า 54% ของบริษัทขนาดใหญ่ระบุว่าการบริหารความเสี่ยงจากผู้ให้บริการภายนอกเป็นความท้าทายอันดับต้น ๆ ของการสร้างความแข็งแกร่งทางไซเบอร์
ท่ามกลางความเสี่ยงใหม่ ๆ ที่เกิดขึ้น Zero Trust จึงไม่ใช่ทางเลือกอีกต่อไป – แต่เป็นสิ่งจำเป็นในการอุดช่องโหว่เหล่านี้
Zero Trust คือมาตรฐานใหม่ที่ใช้กันทั่วไป
รหัสผ่านคงที่และการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA) ไม่เพียงพออีกต่อไปในโลกที่เต็มไปด้วยภัยคุกคาม เช่น การไฮแจ็กเซสชัน (Session hijacking) การฟิชชิ่งที่ซับซ้อน และการเลี่ยง MFA องค์กรจึงต้องพัฒนาไปสู่สถาปัตยกรรม Zero Trust อย่างเต็มรูปแบบ รวมถึงการยืนยันตัวตนแบบไร้รหัสผ่าน และการควบคุมการเข้าถึงตามระดับความเสี่ยงอย่างต่อเนื่อง
เป็นที่น่ายินดีที่ 65% ขององค์กรได้ลงทุนหรือมีแผนจะลงทุนในโซลูชัน Zero Trust แล้ว และ 32% วางแผนจะลงทุนในปีนี้ องค์กรต่างๆ ของไทยสามารถปิดช่องว่างนี้ได้ด้วยการพัฒนากลยุทธ์ Zero Trust โดยเปลี่ยนจากการควบคุมแบบแยกส่วน ไปสู่การสร้างชั้นความปลอดภัยที่รวมเป็นหนึ่งเดียวครอบคลุมทั้งองค์กร เปลี่ยนจากที่เคยเน้นและให้ความสำคัญกับการจัดการการเข้าถึงจากระยะไกลที่ปลอดภัยเพียงอย่างเดียว เป็น การรวมนโยบายด้านการระบุตัวตน ข้อมูล และการรับส่งข้อมูล จากทุกสภาพแวดล้อมการใช้งานมาไว้เป็นหนึ่งเดียว
เป็นเรื่องน่ายินดีที่ผู้นำองค์กรหลายรายเปลี่ยนมาใช้แพลตฟอร์มที่ได้รับการออกแบบให้มีความยืดหยุ่น รองรับการใช้งานในระดับโลก ตอบสนองอัตโนมัติ และสามารถมองเห็นสถานการณ์แบบเรียลไทม์ นี่คือคุณค่าที่แท้จริง ไม่ใช่แค่การลดความเสี่ยง แต่ยังช่วยให้องค์กรมีความคล่องตัว องค์กรที่จะก้าวหน้าคือองค์กรที่ฝังแนวคิด Zero Trust ลงในรากฐานดิจิทัล และทำให้ Zero Trust เป็นส่วนหนึ่งของการพัฒนาทางดิจิทัล การขยายขนาดการทำงาน และการสร้างสรรค์สิ่งใหม่ได้อย่างปลอดภัย
การปฏิบัติตามกฎระเบียบ, ความต่อเนื่อง และความปลอดภัย ต้องถูกออกแบบตั้งแต่เริ่มต้น
ท้ายที่สุดแล้วการปฏิบัติตามกฎระเบียบไม่สามารถเป็นการทำงานเชิงรับที่ไม่ได้มีการวางแผนได้อีกต่อไป ผลการศึกษาของเราพบว่า 63% ขององค์กรไทยใช้มากกว่า 5% ของงบประมาณด้านไอทีเพื่อจัดการกับการทำตามกฎระเบียบและข้อกำหนดต่าง ๆ ในขณะที่ 59% รายงานว่าใช้เวลามากกว่า 10% ของสัปดาห์ทำงานเพื่อทำให้การดำเนินงานเป็นไปตามข้อกำหนดด้านกฎระเบียบและการรับรองของอุตสาหกรรม
เมื่อปีที่ผ่านมา คณะกรรมการผู้เชี่ยวชาญของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้สั่งปรับบริษัทผู้ควบคุมข้อมูลแห่งหนึ่งเป็นจำนวนเงิน 7,000,000 บาท จากเหตุการละเมิดข้อมูลส่วนบุคคล ต่อมาบริษัทแห่งนั้นได้รับคำสั่งให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) ให้ปรับปรุงมาตรการรักษาความปลอดภัยข้อมูล และจัดการอบรมด้านการปกป้องข้อมูลให้กับพนักงานของบริษัท การปรับและคำสั่งบังคับใช้เพิ่มเติมต่าง ๆ แสดงให้เห็นว่าคณะกรรมการผู้เชี่ยวชาญฯ พร้อมบังคับใช้มาตรการตามกฎระเบียบอย่างเต็มรูปแบบและในระยะยาวต่อผู้ละเมิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)
นอกเหนือจากการหลีกเลี่ยงโทษทางกฎหมายแล้ว การสร้างมาตรการรักษาความปลอดภัยที่แข็งแกร่งยังส่งผลกว้างขึ้นในเรื่องของการคงไว้ซึ่งความเชื่อมั่น ชื่อเสียง และความแข็งแกร่งคล่องตัวในระยะยาว ในสภาพแวดล้อมที่ค่าใช้จ่ายหรือค่าปรับที่ต้องเสียไปหากละเว้นการดำเนินการที่เหมาะสมเพิ่มสูงขึ้น
ในยุคที่เต็มไปด้วยการโจมตีที่ขับเคลื่อนด้วย AI ความต้องการด้านกฎระเบียบเพิ่มสูง การเชื่อมโยงทางดิจิทัลที่ซับซ้อน ความมั่นคงปลอดภัยทางไซเบอร์ไม่ควรถูกแยกออกเป็นเรื่องเฉพาะฝ่าย ไม่ควรที่ต้องเป็นฝ่ายตั้งรับเพียงอย่างเดียว และไม่ใช่เรื่องที่จะมาคิดทีหลังได้อีกต่อไป ความปลอดภัยไม่สามารถรอได้และธุรกิจก็เช่นกัน นอกจากการตอบสนองต่อกับภัยคุกคาม องค์กรจำเป็นต้องสร้างความยืดหยุ่นไว้ในกระบวนการดำเนินงาน นวัตกรรมและการเติบโต อนาคตจะเป็นขององค์กรที่ดำเนินการอย่างเด็ดขาดด้วยการปรับใช้ระบบป้องกันที่ขับเคลื่อนด้วย AI รักษาความปลอดภัยให้กับห่วงโซ่อุปทาน เร่งความพร้อมต่อภัยในยุคหลังควอนตัม และผสานแนวคิด Zero Trust ให้ครอบคลุมทั่วทั้งระบบ และควรต้องดำเนินการทันที เพราะในยุค AI ความปลอดภัยไม่ใช่ทางเลือก แต่เป็นรากฐานที่สำคัญ
