ใช้ AI ส่วนตัวทำงาน แน่ใจเหรอว่าดีกับบริษัท สรุปเทรนด์ใหญ่จากรายงาน Microsoft Digital Defense 2024

ไมโครซอฟท์ได้ออกรายงานที่เรียกว่า Microsoft Digital Defense Report (MDDR) ฉบับล่าสุดไปเมื่อเดือน ต.ค.ที่ผ่านมา โดย MDDR เป็นรายงานประจำปีที่ไมโครซอฟท์เผยแพร่ต่อเนื่องมาแล้ว 3 ปี

ไมโครซอฟท์จะสรุปสิ่งที่บริษัทพบเห็น เกี่ยวกับภัยคุกคามต่างๆ หรือเหตุต่างๆ ที่เกี่ยวข้องกับ Cybersecurity ในช่วง 1 ปี ซึ่งองค์กรอย่างไมโครซอฟท์เองก็ถูกโจมตีเช่นเดียวกัน

ขณะที่ลูกค้าที่ใช้เทคโนโลยีของไมโครซอฟท์ ก็เป็นอีกกลุ่มที่โดนโจมตี ซึ่งไมโครซอฟท์จะเก็บข้อมูลเหล่านี้ เพื่อที่จะเป็นบทเรียน และแบ่งปันให้อุตสาหกรรมได้รับรู้รับทราบไปด้วย

วันนี้ TODAY Bizview มีโอกาสพูดคุยกับ ‘โอม ศิวะดิตถ์’ National Technology Officer ไมโครซอฟท์ (ประเทศไทย) ถึงภาพรวมของความปลอดภัยในช่วงปีที่ผ่านมา และเทรนด์ในอนาคตข้างหน้า

[ 4 การหลอกลวงคลาสสิคยังอยู่ ]

สิ่งที่เกิดขึ้นในรอบ 1 ปีที่ผ่านมา (ก.ค. 2566 – มิ.ย. 2567) ยังเห็น 4 เทรนด์หลักในเรื่องของภัยคุกคาม ได้แก่

1. แรนซัมแวร์ (Ransomware) เรื่องของการหลอกลวง ซึ่งทุกวันนี้มีมิติของปัญญาประดิษฐ์ (AI) เข้ามาเพิ่ม รวมถึง Spear Phishing หรือการโจมตีที่มีเป้าหมายชัดเจน และ Personalized เป็นรายบุคคลมากขึ้น โดยมี AI มาเป็นตัวช่วย

แรนซัมแวร์ไม่ใช่ของใหม่ โดยพบว่า แม้ปริมาณการโดนแรนซัมแวร์โจมตีในช่วงปีที่ผ่านมา เพิ่มขึ้น 2.75 เท่า แต่ด้วยความตระหนักรู้ (Awareness) และเทคโนโลยีการป้องกัน ส่งผลให้เคสที่ถูกเข้ารหัสและถูกเรียกค่าไถ่ น้อยลงกว่าเดิม 3 เท่า

2. การฉ้อโกง (Fraud) เรื่องของ Fraud นั้น Deepfakes เป็นสิ่งที่ถูกพูดถึงอย่างมาก โดยเฉพาะในช่วงเลือกตั้งของสหรัฐ ซึ่งมีการใช้ Deepfakes ในการปล่อยข้อมูลผิดๆ (Disinformation) หรือยุทธการทางข้อมูลข่าวสาร (Information Operation: IO)

นอกจากนี้ Deepfakes ยังถูกนำไปใช้ในเรื่องของ Corporate Impersonation คือ การแอบอ้างเป็นตัวแทน หรือผู้ให้บริการจากบริษัทเทคโนโลยี เช่น อีเมลซัพพอร์ตของไมโครซอฟท์ อเมซอน (Amazon) เฟซบุ๊ก (Facebook) กูเกิล (Google) หรือเพย์แพล (PayPal) ฯลฯ

โดยจะแอบอ้างว่า บัญชีของเรามีปัญหา แนะนำให้เข้าไปรีเซ็ต หรือของที่สั่งไว้ส่งมาไม่ถึง แนะนำให้เข้าไปกรอกข้อมูล ฯลฯ แฮกเกอร์ก็จะปลอมตัวเป็นซอฟท์แวร์หรือบริการต่างๆ เพื่อหลอกลวงเอาข้อมูลของเรา

สำหรับเซกเตอร์ที่โดนหนักๆ แน่นอนว่าอันดับ 1 คือกลุ่มเทคโนโลยี รองลงมาคือกลุ่มธนาคาร ซึ่งประเทศไทยก็เป็นตามเทรนด์ หากเราดูในข่าว รองลงมาคือค้าปลีก สื่อ และโลจิสติกส์

ถัดมาคือสิ่งที่เรียกว่า Account Takeovers หรือการที่แฮกเกอร์ใช้เทคนิคหลายอย่าง เช่น 1) Password Spraying ผ่านการซื้อข้อมูลที่หลุดอยู่บนอินเทอร์เน็ต พาสเวิร์ดที่คนใช้กันเยอะ ยกตัวอย่างเช่น ‘123456789’ หรือ ‘password’ ก่อนจะนำไปทดลองกับบัญชีต่างๆ ซึ่งหากเดา 100,000 ครั้ง สำเร็จ 1 ครั้ง ก็กำไรแล้ว เป็นต้น

2) Phishing หรือการส่งอีเมลหลอกลวง ส่งข้อความ (SMS) หลอกลวงเพื่อให้คนกดลิงก์ หรือการส่งคิวอาร์โค้ด (QR Code) ออกไปเพื่อให้คนสแกนและกรอกข้อมูลส่วนตัว เป็นต้น

3) Keylogging มัลแวร์ที่ติดอยู่ในคอมพิวเตอร์ ซึ่งจะเก็บข้อมูลว่าเรากดคีย์บอร์ดปุ่มไหนบ้าง ก่อนนำสิ่งที่กดและบันทึกไว้ไปสร้าง (Generate) ออกมาเป็นชื่อผู้ใช้ (Username) และรหัสผ่าน (Password) ที่เราใช้

4) การใช้พาสเวิร์ดที่ได้จากการโจมตีครั้งก่อนๆ ในกลุ่มแฮกเกอร์ในตลาดมืดมาใช้ใหม่ พยายามเจาะเพื่อที่จะเข้าไปเจ้าของแอคเคาท์ หากเป็นบัญชีส่วนตัว เช่น ได้ Facebook เราไป ได้อีเมลเราไป

แต่หากเป็นองค์กร แฮกเกอร์จะพยายามมองหาคนที่มีสิทธิเป็นแอดมิน (Admin) หรือคนที่มีสิทธิในการเข้าถึงข้อมูลได้เยอะ ก่อนจะยกระดับ (Elevate) ตัวเองให้ได้สิทธิเหล่านั้น เพื่อเปลี่ยนแปลง หรือซ่อนตัวเองอยู่ในระบบไอทีขององค์กร ก่อนจะเริ่มดำเนินการต่างๆ เช่น ขโมยข้อมูล เป็นต้น

[ 1 ชั่วโมงกว่ากับการขโมยข้อมูล ]

‘ใน MDDR ปีที่แล้วก็มีพูดถึงเวลาที่แฮกเกอร์เข้ามา และกว่าเราจะจับได้ (Detect) ซึ่งข้อมูลเริ่มรั่วไหลออกไป เขาใช้เวลาแค่ชั่วโมงกว่าๆ เท่านั้น’

ดังนั้น กว่าบริษัทจะ Detect ได้ แฮกเกอร์เอาอะไรออกไปบ้างก็ไม่รู้ หรือบางหน่วยงานที่อาจจะไม่ได้มีการรักษาความปลอดภัยที่เข้มข้น ก็อาจจะไม่รู้ตัวด้วยซ้ำว่ามีแฮกเกอร์เข้ามาอยู่ในระบบ IT ของตัวเอง

สำหรับสถิติ ในต่างประเทศ Techscam เยอะมาก หลอกว่าเป็นฝ่ายสนับสนุนของบริษัทนั้น บริษัทนี้ โดยบอกว่าเครื่องที่เราใช้อยู่ หรืออุปกรณ์ที่เราใช้อยู่มีปัญหา พุ่งเป้าไปที่ผู้สูงอายุที่อยู่บ้าน รับสายและถูกหลอก ภาพรวมจะปริมาณค่อนข้างเยอะ

ในส่วนของ Email Phishing อันดับ 1 ยังเป็น Phishing URL/Link ที่หลอกให้คนกดลิงก์ต่างๆ กินสัดส่วนเกือบ 60% ถัดมาคือ QR Code Phishing 25% และ Phishing Attachment 19%

ซึ่งการ Detect เนื้อหาในอีเมลนั้น QR Code ยังเป็นตัวที่ค่อนข้างท้าทาย เพราะคอมพิวเตอร์ยังไม่สามารถอ่านได้ว่ามันคืออะไร แต่เชื่อว่าในอนาคตจะมีเทคนิคใหม่ๆ ออกมาจัดการแน่นอน

สถิติที่ไมโครซอฟท์พบ คือ ในช่วง 1 ปีที่ผ่านมา อีเมลกว่า 775 ล้านฉบับ มามัลแวร์ผสมอยู่ด้วย (เฉพาะในระบบของไมโครซอฟท์ที่ Detect เจอเท่านั้น)

[ เหตุผลที่ควรเปลี่ยนพาสเวิร์ดบ่อยๆ ]

3. การหลอกลวงที่ผูกโยงกับการขโมยไอดีของผู้ใช้ เพื่อนำไปทำเรื่องของวิศวกรรมสังคม (Identity and Social Engineering) โดยพบว่า 99% ของการโจมตี ยังเป็นเรื่องของการเจาะบัญชีด้วยเทคนิคพาสเวิร์ด ไม่ว่าจะเป็น Phishing, Passwork Spraying และ Breah Replay หรือการนำข้อมูลที่รั่วไหลอยู่ในตลาดมืดมาใช้

ดังนั้น ถ้าข้อมูลของเราเคยรั่วแล้วยังไม่ได้เปลี่ยนพาสเวิร์ด ก็จะมีคนพยายามจะเจาะเข้ามาอยู่เรื่อยๆ ซึ่งถ้าเป็นบัญชีองค์กร หากไม่ปรับปรุงพาสเวิร์ด ก็จะมีโอกาสโดนซ้ำเรื่อยๆ เพราะเป็นข้อมูลที่แฮกเกอร์แชร์กัน

ส่วน 1% ที่เหลือ คือการโจมตีขั้นสูง (Advance Attack) ซึ่งอาจเกิดขึ้นกับองค์กรที่ใช้การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) แล้ว หรือบุคคลที่ใช้ MFA แล้ว แต่ยังถูกเจาะข้อมูลได้ด้วยเทคนิคต่างๆ

ไม่ว่าจะเป็น SIM Swapping หรือการเก็บข้อมูลส่วนตัวของเรา ก่อนจะโทรไปหาบริษัทโทรคมนาคม พยายามปลอมตัวเป็นเราแล้วบอกว่าซิมหาย โดยเฉพาะในช่วงนี้ที่มีอีซิม (e-SIM) ก่อนจะขอเบอร์โทรศัพท์เราให้ไปอยู่ในซิมอีกตัวหนึ่ง

หากทำสำเร็จ แฮกเกอร์จะสามารถรับตัวเลขรหัสผ่านครั้งเดียว (OTP) รวมถึง MFA ต่างๆ ได้ เพราะมีเบอร์โทรศัพท์ของเราอยู่ในมือ

อย่างไรก็ตาม การทำสำเร็จไม่ง่าย เพราะต้องผ่านกระบวนการกับผู้ให้บริการเครือข่ายโทรศัพท์มือถือ ซึ่งมีหลายขั้นตอนกว่าจะยอมให้ทำอะไรกับซิม แต่เราเห็นเทรนด์ที่เพิ่มขึ้น

ถัดมาคือ MFA Fatigue คือการระดมส่งแจ้งเตือน MFA ปลอม จนเรารำคาญและกดยอมรับ (Approve) อีกอันคือ AitM คือเทคนิคขั้นสูงในการที่แฮกเกอร์จะเข้าไปอยู่ระหว่างอุปกรณ์เราและระบบข้างหลัง เพื่อแคปเจอร์โทเคน (Token)

4. การโจมตีโดยปฏิเสธการให้บริการแบบกระจาย (DDoS)

โดย 3 อันแรกจะเกี่ยวข้องกับประชาชนทั่วไปโดยตรง ขณะที่ DDoS จะกระทบต่อองค์กรและแอปพลิเคชันที่ให้บริการระบบดิจิทัล เช่น ระบบหลักของธนาคาร (Core Bank) ธนาคารอินเทอร์เน็ต (Internet Banking) หรือการให้บริการต่างๆ ซึ่งจะทำให้ผู้ใช้บริการได้รับผลกระทบอีกที

[ 10 อุตสาหกรรมที่โดนโจมตีมากที่สุด ]

ส่วนอุตสาหกรรมที่โดนโจมตีมากที่สุดในรอบ 12 เดือน คือ

1. ผู้ให้บริการด้านไอที (IT)

2. สถาบันการศึกษาและวิจัย (Educational and Research)

3. ภาครัฐ (Government)

4. สถาบันทางความคิดและ NGOs (Think Tanks and NGOs)

5. การขนส่ง (Transportation)

6. ห้างค้าปลีกรายย่อย (Consumer Retail)

7. ผู้ให้บริการทางการเงิน (Finance)

8. ผู้ผลิตสินค้า (Manufacturing)

9. การสื่อสาร (Communications)

10. อื่นๆ (All Others)

อันดับ 1 IT เป็นกลุ่มที่โดนโจมตีมากที่สุด ซึ่งจะเกี่ยวเนื่องไปยัง Supply Chain Attack เช่น นาย A ใช้ซอฟต์แวร์อยู่ตัวหนึ่ง ซึ่งต้องมีการอัปเดต โดยนาย A ใช้ซอฟต์แวร์นี้ทั้งในโทรศัพท์มือถือและคอมพิวเตอร์

ด้วยเทคโนโลยีสมัยใหม่ การอัปเดตปัจจุบันจะมาจากผู้ให้บริการ ผู้ผลิต หรือผู้พัฒนา ซึ่งจะมีโครงสร้างที่ทำเรื่องของการอัปเดตผ่านโครงข่ายอินเทอร์เน็ตเข้ามา

คำว่า Supply Chain Attack คือ การที่ห่วงโซ่อุปทาน (Supply Chain) นั้นถูกแฮกเข้าไป และแทนที่จะอัปเดตด้วยของที่ดี ของที่เป็นของตัวเอง แต่กลายเป็นว่าแฮกเกอร์เข้าไปฝังโค้ดมัลแวร์ หรือแรนซัมแวร์ ในระบบที่มีการต่อเชื่อมและมีการอัปเดต

ถ้า Supply Chain นี้ถูกแทรกแซงหรือถูกเจาะเข้าไป จะกลายเป็นการถูกโจมตีผ่านทางระบบที่มีความน่าเชื่อถือ เพราะฉะนั้น บริษัท IT จึงโดนโจมตีค่อนข้างเยอะ

อันดับ 2 ยกตัวอย่างเช่น มหาวิทยาลัยที่มีการวิจัยนวัตกรรมต่างๆ ซึ่งก็จะมีเรื่องขอทรัพย์สินทางปัญญา (Intellectual Property) ข้อมูลที่ยังเป็นความลับ เทคโนโลยีหรือการวิจัยใหม่ๆ ซึ่งล้วนมีมูลค่าทั้งสิ้น

ดังนั้น อาจจะถูกอาชญากรทางไซเบอร์เจาะระบบเพื่อขโมยข้อมูลเพื่อนำไปใช้ประโยชน์ หรืออาจจะได้รับการจ้างวานมาเพื่อสืบความลับ เป็นต้น ส่งผลให้สถาบันการศึกษา หรือหน่วยงานที่ทำการวิจัย จึงมีตัวเลขที่เพิ่มขึ้น

เช่นเดียวกับอันดับ 4 Think Tanks and NGOs กึ่งๆ เป็นการทำการวิจัยและการศึกษา ซึ่งอาจมีข้อมูลที่เป็นความลับ หรือทรัพย์สินทางปัญญาอยู่ในองค์กร

[ 5 ข้อที่ ‘ต้องทำ’ ถ้าไม่อยากถูกแฮก ]

สิ่งที่เราต้องปฏิบัติเพื่อป้องกันก่อนเกิดเหตุ เรียกว่า Basic Security Hygiene หรือ ‘อนามัยขั้นพื้นฐานทางด้านความปลอดภัยทางไซเบอร์’ เหมือนเข้าห้องน้ำแล้วต้องล้างมือ ไปพื้นที่สุ่มเสี่ยงก็ต้องใส่หน้ากาก

1. MFA ซึ่งหลายองค์กรในประเทศไทยยังไม่ได้ใช้ MFA ยังใช้ Username กับพาสเวิร์ด แต่ละระบบมี Username กับพาสเวิร์ดเฉพาะของแต่ละระบบ ต่างคนต่างคุม ต่างระบบต่างควบคุมกันเอง

ยังไม่ถูกจัดการให้เป็น ‘การลงชื่อเข้าใช้แบบครั้งเดียว’ (Single Sign-On: SSO) หรือยังไม่ได้ทำเรื่องของ ‘การปกป้องตัวตน’ (Identity Protection) ในลักษณะองค์รวม ภาพรวม เพราะฉะนั้น MFA จึงมีความสำคัญอย่างมาก

2. Least-privilege Access คือ การให้สิทธิคนเข้าถึงข้อมูล หรือระบบสำคัญๆ ทั้งหลาย ‘น้อยที่สุด’ เท่าที่จำเป็น เช่น สมมติออฟฟิศเรามี 8 ชั้น ชั้น 1-2 ทุกคนอาจจะเข้าได้เพราะเป็นพื้นที่ทั่วไป (Common Area)

แต่ถ้าเกิดเป็นห้องเก็บของ (Store Room) อาจจะไม่ให้สิทธิเข้าเป็นการทั่วไป ให้เฉพาะคน และคนที่มีสิทธิเข้า ไม่ได้สิทธินั้นตลอดเวลา จะเข้าไปต้องขอเป็นครั้ง และแต่ละครั้งที่ได้สิทธิเข้า ได้เข้าแบบมีจำกัดเวลา

ศัพท์เทคนิคเรียกว่า Just-In-Time (JIT) และ Just-Enough-Access (JEA) JIT คือ จะใช้ค่อยขอ ขอเสร็จแล้ว JEA มีให้พอเท่าที่จำเป็น 2 ชั่วโมงก็ 2 ชั่วโมง 5 ชั่วโมงก็ 5 ชั่วโมง เป็นต้น

แทนที่จะเป็น Global Access คือ คนที่ได้สิทธิสูงสุด เข้าได้ทุกอัน ต้องเลิกคิดแบบนั้น คอนเซปต์ลักษณะนี้ ในไมโครซอฟท์เองก็นำมาใช้

3. อัปเดต ถ้าโทรศัพท์เราบอกให้อัปเดตระบบปฏิบัติการ (OS) อัปเดตมันซะ ถ้าคอมพิวเตอร์เราบอกให้อัปเดตแพชของโปรแกรมป้องกันไวรัส (Antivirus) อัปเดตซะ สำหรับ IT Admin ขององค์กร เมื่อถึงเวลาต้องอัปเดตแพชความปลอดภัยทั้งหลาย ต้องรีบวางแผนการอัปเดตให้เร็วที่สุด

4. การใช้ซอฟท์แวร์ที่จัดการและป้องกันมัลแวร์ ถ้าในเครื่องเรามีอยู่ อย่าได้ไปปิดมัน สิ่งเหล่านี้ต้องเป็นนโยบายขององค์กร หรือวัฒนธรรมและความตื่นตัวของพนักงาน เราเองในฐานะบุคคลด้วย ว่าถ้าเราใช้อุปกรณ์คอมพิวเตอร์ เราต้องตื่นตัวเรื่องนี้ตลอดเวลา

5. ข้อมูล การปกป้องข้อมูล คือ ต้องมีแบ็กอัป แรนซัมแวร์ติดเข้ามาในออฟฟิศก็ไม่มีปัญหา เพราะสามารถรีสโตร์ของเดิมมาได้ ในฐานะส่วนตัว หากเรามีไฟล์แบ็กอัป ใช้ที่เก็บคลาวด์ที่สามารถเอาเวอร์ชันเก่าออกมาได้ เราก็รอดแน่นอนหากโดน

นอกจากนี้ ข้อมูลที่มีในองค์กร มีการจัดลำดับชั้นของความลับแล้วหรือยัง อันไหนข้อมูลสำคัญ อันไหนข้อมูลเปิด อันไหนข้อมูลหวงห้าม ต้องมีการจัดการ รวมถึงป้องกันในระดับที่เหมาะสม

ในภาคกฎหมายของประเทศไทย เราก็มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็ออกมาพูดเรื่องนี้ ว่าต้องมีการประเมินความเสี่ยง จัดความปลอดภัยให้เหมาะสมกับข้อมูลแต่ละประเภท

รวมถึงสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ก็เพิ่งออกประกาศเมื่อเดือน ก.ย.ที่ผ่านมา เกี่ยวกับความปลอดภัยทางคลาวด์ (Cloud Security)

ก็มีการกำหนดว่า หน่วยงานที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ต้องประเมิน และรักษาความปลอดภัย ให้เหมาะสมกับระดับผลกระทบ หรือระดับความสำคัญของระบบ

‘5 เรื่องนี้ เป็นเรื่องที่บุคคลก็ทำได้ องค์กรก็ต้องทำ บุคลากรที่อยู่ในองค์กรก็ควรจะต้องมี Awareness และความรู้ในเรื่องพวกนี้ ถ้าทำเรื่องเหล่านี้ มันจะลดโอกาสที่จะถูกเจาะถูกโจมตีไปได้เยอะ’

[ มายเซ็ทแบบ ‘ไม่เชื่อใครทั้งสิ้น’ ]

อีกสิ่งสำคัญ คือ Zero Trust Mindset คือ ไม่เชื่อใครทั้งสิ้น ไม่มีความเชื่อมั่นในเรื่องใดๆ เลย Zero Trust ไม่ใช่เทคโนโลยี Zero Trust คือวิธีคิด คือแนวคิด คือพฤติกรรม ประกอบด้วย

1. การยืนยันตัวตน (Verify) การจะเปิดให้มี User คนหนึ่งล็อคอินเข้ามาใช้ระบบที่เราให้บริการอยู่ เขาจะต้องยืนยันตัวตนอย่างถี่ถ้วน ไม่ใช่ว่ามี Username กับพาสเวิร์ดถูกแล้วจบกันแค่นั้น

ต้องมี MFA ด้วย ต้องมาจากอุปกรณ์ที่เรารู้จัก เช่น คนๆ นี้มาจากคอมพิวเตอร์เครื่องนี้ตลอด อยู่ดีๆ ไปใช้อุปกรณ์อีกตัวที่องค์กรไม่รู้จัก จะให้เขาเข้ามาหรือเปล่า ก็ต้องดูปัจจัยนี้ด้วย

หรือนาทีนี้ล็อคอินมาจากประเทศไทย อีก 10 นาทีถัดไปล็อคอินมาจากสิงคโปร์ ซึ่งมันไม่สามารถเป็นจริงได้ ฯลฯ มีปัจจัยมากมายที่ต้องพิจารณาก่อนที่จะอนุญาตให้ใครเข้าถึงระบบ หรืออนุญาตให้ใครเข้าถึงข้อมูลสำคัญขององค์กร

2. Least-privilege Access ซึ่งกล่าวไปแล้วข้างต้น

3. คิดว่าทุกอย่างเป็นการละเมิด (Assume Breach) ‘แม้ยามสงบก็ต้องเตรียมรบให้พร้อมสรรพ์’ ท่องไว้เสมอว่า เราถูกโจมตีได้ตลอดเวลา สมมติเราคิดเสมอว่า เราอาจจะถูกแรนซัมแวร์ก็ได้ ถ้าเราคิดแบบนี้ เราก็จะมีไฟล์แบ็กอัป มีก๊อบปี้ที่ 2 ก๊อบปี้ที่ 3

เวลาจะอ่านอีเมลหรือจะคลิกอะไรก็คิดแล้วคิดอีก เพราะเราคิดเสมอว่าเราจะถูกโจมตีตลอดเวลา มีคนส่งลิงก์มาต้องเช็คก่อน หรือคอลเซ็นเตอร์โทรเข้ามาจากธนาคารต้องวางสายก่อนแล้วโทรกลับไป หาเบอร์ที่มั่นใจว่าเป็นของธนาคารนั้นจริงๆ แล้วค่อยคุย

ถ้าเรามีมายเซ็ท Assume Breach เราก็จะไม่หลงเชื่ออะไรง่ายๆ พวกนี้ไม่ใช่เทคโนโลยี แต่เทคโนโลยีจะมาช่วยการดำเนินการเรื่องเหล่านี้ในองค์กรได้ง่ายขึ้น แต่ต้องสร้างสิ่งเหล่านี้ในตัวคน กระบวนการทำงาน และนโยบายของบริษัท

เพราะฉะนั้น การทำเรื่อง Cybersecurity มีองค์ประกอบ 3 ส่วน คือ คน (People) กระบวนการ (Process) และเทคโนโลยี (Technology) ขาดอันใดอันหนึ่งไป จะไม่ประสบความสำเร็จ

[ เราใช้ AI ได้ แฮกเกอร์ก็ใช้ได้  ]

AI เป็น ‘เครื่องมือ’ เราใช้ทำดีมันก็ดี เราใช้ได้ แฮกเกอร์ก็ใช้ได้เหมือนกัน AI ช่วยเราค้นคว้าข้อมูล สรุปข้อมูล หาข้อมูล เขียนโปรแกรมได้เร็วขึ้น ฯลฯ แฮกเกอร์ก็ใช้สิ่งเหล่านี้เหมือนกัน

ไม่ว่าจะเป็นการนำข้อมูลปริมาณมากๆ และให้ AI ช่วยสรุป ช่วยหาแนวทาง หรือให้คำแนะนำ เช่น เป้าหมายที่มีค่าสูง (High-Value Target) คือใคร รวมถึงรวบรวมข้อมูลต่างๆ เพื่อทำการวิเคราะห์ เพื่อหาแคมเปญ เหมือนการทำมาร์เก็ตติ้ง ว่าควรทำอะไร

อย่างไรก็ตาม ซอฟท์แวร์ที่เราเห็นอยู่ในตลาดทั่วไป เช่น ของไมโครซอฟท์เอง ก็มีกลไกในการควบคุมเนื้อหา ถามเรื่องร้ายๆ เรื่องชั่วๆ เอไอของไมโครซอฟท์ไม่ตอบ แฮกเกอร์ก็ใช้ไม่ได้

แต่ก็จะมีแฮกเกอร์ที่เอา AI แบบเปิด (Open Source) หรืออาจจะพัฒนาขึ้นมา เพราะมีกำลังทรัพย์หรือกำลังทุนในการทำเรื่องเหล่านี้ ก็สามารถสร้าง AI พวกนี้มาใช้ในตลาดมืด ในโลกของเขาได้ ไม่ใช้ AI ที่เราควบคุมเรื่องจริยธรรมอยู่

ด้วยเทคโนโลยีที่มีความสามารถ ก็ทำให้แฮกเกอร์สามารถนำข้อมูลเยอะแยะที่กวาดจากอินเทอร์เน็ตได้ ก็สามารถนำ AI มาช่วยทำแคมเปญ เช่น Social Engineering

ข้อมูลจากอินเทอร์เน็ตกวาดเข้าไป AI มาช่วย Personalized ให้ หรือเอามาสร้างพวก Deepfakes เสียงคนนี้ หน้าคนนี้ แต่พูดเรื่องที่เขาโปรแกรมได้ เรื่องที่เขาทำสคริปต์ไว้

ถ้าไล่ดูข่าวในอดีต ในช่วง 1-2 ปีที่ผ่านมา ก็จะมีการปลอมเสียง ถูกหลอกโอนเงินไปต่างประเทศ 100 ล้าน 1,000 ล้าน พวกนี้มีส่วนทั้งสิ้น AI ก็จะถูกนำไปใช้ในทางที่ผิดโดยพวกแฮกเกอร์

ยกตัวอย่างการกระทำผิดที่มักจะถูกใช้ คือ Spear Phishing, Whaling เหมือนกับการจับปลาตัวใหญ่ เล็งเป้าที่ High-Value Target อาจจะเป็นนักการเมือง มหาเศรษฐี เจ้าของกิจการ บุคคลสาธารณะ เซเลบ ฯลฯ ซึ่งมี AI มาช่วยคิดแคมเปญ มีความเป็น Personalized

‘ถ้ามาร์เก็ตติ้งทำ Personalized กับพวกเราด้วย แฮกเกอร์ก็ทำได้’

ถัดมาคือ Deepfakes และ Social Engineering และที่สนุกมากๆ คือ การทำ Resume Swarming อันนี้เกิดขึ้นที่ต่างประเทศ คือการแทรกซึมเข้าไปเพื่อท่ีจะขโมยข้อมูลในบริษัทๆ หนึ่ง แฮกเกอร์ก็เริ่มทำ Social Engineering ก็เห็นแล้วว่าบริษัทนี้กำลังเปิดรับพนักงาน

แฮกเกอร์ก็เอา AI มาช่วยเขียนเรซูเม่ เพื่อให้ตรงกับตำแหน่งงานที่บริษัทนั้นกำลังหาอยู่ ก่อนจะสมัครงานเข้าไป เพื่อที่จะได้ User Account กลายเป็นคนในของบริษัทนั้น และใช้ User Account นั้นแทรกซึมเข้าไปเพื่อขโมยข้อมูล

ถัดมาคือ Steganography อีกเทคนิคที่ซ่อนโปรแกรมมัลแวร์ในสิ่งที่คนมักไม่รู้ว่าเป็นมัลแวร์ เช่น ในอีเมลอาจจะมีการส่งไฟล์รูปเจเพ็ก (JPEG) เปิดมาอาจจะเป็นรูปวิว

แต่ในไฟล์รูปวิวนี้ ซ่อนโค้ดที่เป็นไวรัส เป็นมัลแวร์มาด้วย เราอาจจะชอบ เราก็เซฟรูปนี้เก็บไว้ แต่ตอนที่เราไม่อยู่ที่เครื่องแล้ว เช่น ดึกๆ แฮกเกอร์พวกนี้ก็จะเริ่มทำงาน

[ Gen AI ตัวช่วยตรวจจับแฮกเกอร์ ]

สำหรับการป้องกัน AI แบบเดิมที่เราใช้อยู่ในเทคโนโลยีในด้านการป้องกัน จะเป็น AI ที่ใช้ Classification Engine คือพยายามจะจัดกลุ่มของเหตุการณ์ พอจัดกลุ่มได้ก็มีการกระทำ (Action) ที่ถูกนิยาม (Define) ไว้ล่วงหน้า

เช่น ถ้าเจอว่าเป็นลิงก์ที่พาไปเว็บไซต์ที่ไม่ได้ ถ้าเจอเคสนี้ก็บล็อกอีเมล หรืออีเมลแจ้งเจ้าของว่ามีอีเมลไปอยู่ในอีเมลขยะ (Junk Mail) อันนี้คือการเทรน AI จากเหตุการณ์ที่เกิดขึ้นมาก่อน จากอะไรที่รู้อยู่แล้ว

แต่ก็จะมีข้อจำกัด เช่น หากมีแรนซัมแวร์ หรือมีแฮกเกอร์เข้ามา มันกลายเป็นสิ่งที่เรียกว่า Human Operate เหมือนมีคนควบคุมมัลแวร์ตัวนี้ในการเจาะระบบ ไม่ได้เป็นแพทเทิร์นซ้ำๆ แล้ว

เป็นคนที่อาจจะเข้ามาแช่รออยู่ในสิ่งแวดล้อมของเรา แต่ยังไม่ได้ทำอะไร อาจจะค่อยๆ ทำตรงนั้นที ตรงนี้ที หรือได้สิทธิแอดมินไป ก็ทำเหมือนที่แอดมินทำ เป็นต้น ซึ่งลักษณะแบบนี้ Classification Engine ตรวจไม่เจอ

แต่ด้วยศักยภาพของ AI ระบบภาษาขนาดใหญ่ (Generative AI: Gen AI) สามารถนำเหตุการณ์หลายๆ เหตุการณ์มาต่อเชื่อม และใช้ความสามารถในการสรุปความ ความสามารถในการรู้เหตุและผล นำ Gen AI มาช่วยตรวจจับจากข้อมูลที่หลากหลายได้

ทั้งการโจมตีแบบที่ซ่อนอยู่ การโจมตีแบบที่แฮกเกอร์ควบคุมอยู่ หรือเวลามีแจ้งเตือนเข้ามา ก็สามารถนำ Gen AI ที่มีความสามารถในการสรุปความมาช่วยตรวจสอบ ก่อนจะสั่งการระงับ (Suspend) เครื่องหรือสิ่งที่ตรวจเจอ เป็นต้น

[ ใช้ AI ส่วนตัว บริษัทโอเคหรือเปล่า ]

อีกมุมหนึ่งที่คนที่ดูแลเรื่องความปลอดภัยต้องเข้าใจและต้องระวัง คือ พนักงานในองค์กรเขาก็ใช้ AI ในฐานะที่เขาเป็นพนักงาน เพราะ AI ก็มีประโยชน์มากมาย ช่วยทำให้งานเร็วขึ้น ช่วยให้บริการลูกค้าเร็วขึ้น ช่วยเขียนโปรแกรมเร็วขึ้น ช่วยสรุปประชุม ฯลฯ

สิ่งที่ตามมา คือ ผลสำรวจจาก Work Trend Index พบว่า 92% ของพนักงาน 31,000 คนทั่วโลก ที่เป็น Knowledge Workers หรือกลุ่มคนที่ทำงานกับคอมพิวเตอร์ ได้นำ AI เข้ามาใช้ในการทำงานเรียบร้อยแล้ว

อย่างไรก็ตาม 81% ให้ข้อมูลว่า AI ที่นำเข้าไปใช้ในการทำงาน บริษัทไม่ได้มีให้ เป็นพนักงานเองที่นำของส่วนตัวไปใช้ ซึ่งอันนี้เป็นเรื่องน่าตกใจ เพราะเรากำลังจะเอาข้อมูลขององค์กร ส่งออกไปให้ AI ซึ่งบริษัทควบคุมไม่ได้ ให้ AI เห็นข้อมูล

ทำไมเรื่องนี้ถึงสำคัญ? เพราะลองนึกถึงตัวอย่างเมื่อครู่ว่า ออฟฟิศเรามีตึกอยู่ 8 ชั้น ให้พนักงานได้แค่ 2 ชั้น ที่เหลือไม่มีสิทธิเข้า แต่พอเป็นแบบนี้ แปลว่า ถ้าพนักงานได้รับอนุญาตให้ขึ้นไปชั้น 4 เข้าไปในห้องที่มีข้อมูลชั้นความลับอยู่ แล้วพก AI ของตัวเองเข้าไปด้วย บริษัทโอเคหรือเปล่า

คือบริษัทให้อำนาจแก่คนที่มีสิทธิ แต่คนๆ นั้นเหมือนพาคนนอกจูงมือเข้าไปด้วย และให้คนนอกนั้นเข้าไปช่วยอ่านเอกสาร ช่วยเขียนอีเมล หรือช่วยวิเคราะห์ให้ เพราะเขาเอา AI เข้าไปเป็นผู้ช่วย บริษัทยอมหรือเปล่า

แล้ววันนี้ AI เป็นเหมือนเจ้ากรรมนายเวรที่ไม่มีใครเห็น แล้วมันก็สิงร่างพนักงานคนที่มีสิทธิเข้าไปอยู่ในองค์กร แล้วบริษัทก็ควบคุมไม่ได้ด้วย เพราะเป็น AI ส่วนตัว

หากกลับมาดูในภาคองค์กร 91% ของผู้บริหารมองว่า AI เป็นเรื่องสำคัญ การจะทำให้บริษัทเขาอยู่รอดได้ในอุตสาหกรรมที่เขาอยู่ AI เป็นเรื่องสำคัญที่เขาต้องเอาเข้ามา เอามาช่วยในเรื่องการสร้างศักยภาพในการแข่งขันและการอยู่รอดในอุตสาหกรรม

อย่างไรก็ตาม แม้ 91% จะเห็นว่าจำเป็น แต่ 64% ตอบว่ายังไม่พร้อม คือ ยังไม่มีแผน ยังไม่มีคน ยังไม่มีสกิล ยังไม่มีงบประมาณ ยังไม่มีความเข้าใจ

คำว่า ยังไม่พร้อม เป็นเรื่องสำคัญมากๆ เพราะถ้าเกิดเป็นกรณีนี้แล้วองค์กรยังไม่พร้อม แปลว่า ข้อมูลที่อยู่ในองค์กร อาจจะอยู่ในเซิร์ฟเวอร์ อยู่ในคอมพิวเตอร์ แล้วสมมติเราใช้แชทจีพีที (ChatGPT) ตัวฟรี เราเอาเอกซ์เซล (Excel) ที่เป็นต้นทุนสินค้าของบริษัท

บอกให้ ChatGPT ช่วยวิเคราะห์ว่า จะปรับต้นทุนตรงนี้อย่างไรก็ดี แปลว่า พนักงานกำลังเอาข้อมูลซึ่งไม่ควรส่งให้ใครเลยในบริษัทไปให้ ChatGPT ตัวฟรี หรือ AI ตัวอื่นๆ ข้อมูลก็อาจจะรั่วไหลได้

เพราะฉะนั้น การที่เราจะเริ่มเอา AI เข้ามาใช้ เรื่องของการควบคุมการเข้าถึง (Acces Control) เรื่องของความเสี่ยงของสิทธิในการเข้าถึง (Risk of Privileged Access) กับเรื่องของการปกป้องข้อมูล (Protect Data) ที่เคยสำคัญอยู่แล้ว วันนี้กลับสำคัญมากขึ้นกว่าเดิมอีก

เพราะว่า AI มันกำลังจะสิงร่างพนักงานเราเข้าไป แปลว่า ถ้าเขามีสิทธิเห็นไฟล์เงินเดือน แล้วเขามี AI ด้วย แสดงว่า AI นั้นก็เห็น แล้วถ้าเกิดเราไม่ได้ทำเรื่องของ Access Control ไม่ได้ทำเรื่องของ Data Protection

ตัวคนอาจจะไม่สามารถเข้าถึงไฟล์ได้ เพราะเขาไม่รู้ว่าในองค์กรเรามีอะไรอยู่ เขาอาจจะไม่รู้ แต่วันนี้เขามี AI สิงร่างเขาเข้าไป AI ทำงานไม่รู้จักเหนื่อย ดังนั้น เวลาเขาพร้อมท์ (Prompt) ถามอะไรสักอย่างเข้าไป

เขาอาจจะเริ่มนิสัยไม่ดีแล้ว หาข้อมูลที่เขาไม่ควรรู้ เช่น หาไฟล์เงินเดือน คนนี้เงินเดือนเท่าไหร่ AI พอสิงร่างเข้าไปแล้วมีสิทธิของเขา มันก็เข้าไปสแกนในองค์กรของเรา ว่ามีไฟล์อะไรที่เกี่ยวกับเงินเดือนอยู่บ้าง ทำให้เกิดการรั่วไหลของข้อมูล (Data Leak) ง่ายกว่าเดิมเยอะ

เพราะฉะนั้น การที่องค์กรจะเอา AI ไปใช้ จะต้องมองเรื่องของ ‘ความปลอดภัยสำหรับ AI’ (Security for AI) ด้วย เป็นเหตุว่าทำไม Microsoft Purview ถึงมีความสำคัญ

[ Purview ตัวควบคุม AI ส่วนตัว ]

การที่เราจะดูแลความปลอดภัยให้กับองค์กรที่นำ AI เข้ามาใช้ เราต้องเริ่มไปดูเรื่องของ ‘ธรรมาภิบาลข้อมูล’ (Data Governance) ซึ่งต้องมีตั้งแต่การเตรียมองค์กร ต้องมีมายเซ็ทแบบ Zero Trust เพื่อที่จะเตรียมองค์กร เตรียมเรื่อง Security เตรียมเรื่อง People, Process และเทคโนโลยี ให้พร้อมรับกับการใช้งาน AI

เมื่อเตรียมความพร้อมขององค์กรพร้อมแล้ว สิ่งที่ต้องทำต่อมา คือ สำรวจคนที่ดูแล (Data Discovery) ไม่ว่าจะเป็นผู้บริหารข้อมูลระดับสูง (Chief Data Officer: CDO) ผู้บริหารระดับสูงทางด้านการรักษาความปลอดภัย (Chief Security Officer: CSO) หรือผู้บริหารสูงสุดที่บริหารสายงานระบบข้อมูล (Chief Information Officer: CIO) ฯลฯ

ควรจะต้องมีความสามารถในการมองเห็น (Visibility) ว่า ข้อมูลสำคัญอยู่ที่ไหน อยู่ในระบบอะไรบ้าง ถูกจัดลำดับความลับ ความมั่นคงในรูปแบบไหน ตรงไหนมีความเสี่ยง ใครเข้าถึงได้บ้าง มีใครเข้าถึงมากน้อย มี Alert ไหมว่า คนนี้ไม่ควรเข้าถึง แต่ดันไปเข้าสิ่งที่เขาไม่ควรเข้า

หลังทำ Data Discovery เสร็จ คุณต้องป้องกัน (Protect) โดยต้องเอาเทคโนโลยีเข้ามาทำเรื่องของการป้องกันการสูญหายของข้อมูล (Data Loss Prevention: DLP) เรื่องของ Data Leak, ความเสี่ยงจากคนใน (Insider Risk) มีหลายประเด็นที่ต้องทำ

และสุดท้ายคือ การบริหารจัดการให้อยู่ในนโยบายที่บริษัทกำหนดไว้ หรือถ้าองค์กรที่มีผู้กำกับดูแล (Regulator) ก็ต้องทำเรื่องการปฏิบัติตามกฎ (Compliance)

แล้วถ้ามี Microsoft Purview อยู่ในองค์กรที่ใช้ AI นั้น Microsoft Purview มาช่วยอะไร?

Microsoft Purview จะมาช่วยในประเด็น ยกตัวอย่างเช่น สมมติในองค์กรอนุญาตให้ใช้ AI ได้หลายตัว AI แต่ละตัว ถ้าเรามีเทคโนโลยีของ Microsoft Purview ทางฝั่งผู้ดูแล สามารถจะดูได้เลยว่า AI แต่ละตัวที่องค์กรอนุญาตให้ใช้ มันได้รับข้อมูลอะไรไปบ้าง

ยกตัวอย่างเช่น สมมติถ้าใช้ ChatGPT พนักงานที่ ChatGPT เอาอะไรไปใช้กับ ChatGPT บ้าง เช่น รหัสต้นทาง (Source Code) หมายเลข Social Security Number (SSN) ซึ่งในประเทศไทยก็อาจจะเป็นเลขพาสปอร์ต เลขบัญชีประจำตัวประชาชน หรือเลขบัตรเครดิต

ซึ่ง Microsoft Purview สามารถตรวจจับข้อมูลอ่อนไหวแต่ละประเภทที่เรานิยามเอาไว้ได้ เพราะฉะนั้น เราจะเริ่มเห็นแล้วว่า AI ที่เราให้เขา (พนักงาน) นำเข้ามาใช้ มันมีข้อมูลอะไรวิ่งไปที่ AI ตัวไหนบ้าง อันนี้ก็มาช่วยเรื่อง Visibility

นอกจากนี้ Microsoft Purview ยังบอกระดับความรุนแรงของความเสี่ยงที่จะเกิดการรั่วไหลจากคนใน สีแดงคือ มีความเสี่ยงสูง สีเขียวคือ ไม่มีความเสี่ยง

ถามว่าความเสี่ยงวัดจากอะไร? สิ่งที่ Microsoft Purview ดู คือ เทคโนโลยีที่เรียกว่า Content Filtering ของ AI ที่ใช้กลั่นกรองว่า มีเจลเบรค (Jailbreak) ไหม มีคนพยายาม Jailbreak Gen AI เราหรือเปล่า หรือ Gen AI ผลิตคอนเทนต์ที่ไม่เหมาะสมหรือเปล่า

ตัวนี้เป็น AI อีกตัวหนึ่งที่ชื่อ Content Safety ที่มากรองการทำงานของ AI อีกที เราก็เอาเทคโนโลยีนี้มาอยู่ใน Microsoft Purview ด้วย เพื่อที่จะคอยกรองว่า พนักงานเราใช้ ChatGPT เขาพยายามที่จะ Prompt เพื่อที่จะพยายามทำ Jailbreak หรือเปล่า

หรือเขา Prompt เพื่อที่จะเอาข้อมูลแผนกที่ไม่เกี่ยวกับเขามาหรือเปล่า มันจะวิเคราะห์ Prompt เหล่านี้และแจ้งเตือนขึ้นมาสำหรับผู้ดูแล ให้เห็นภาพว่า ในเรื่องของความเสี่ยงทางด้าน Insider Risk มีมากน้อยแค่ไหนจาก Generative AI

อย่างไรก็ตาม ความปลอดภัยเหมือนทีมกีฬา (Team Sport) ต้องไปด้วยกันทั้ง 3 ส่วน (People, Process และ Technology) ไม่สามารถขาดตัวใดตัวหนึ่งได้ นี่ก็ยังเป็นความท้าทายสำคัญ…