หนึ่งในไฮไลท์ของงานสัมมนาโครงการอบรมการป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์ ครั้งที่ 22 หรือ Cyber Defense Initiative Conference 2023 (CDIC 2023) คือเซสชันของ อ.ปริญญา หอมเอนก ประธานกรรมการบริหาร ACIS Professional Center และ Cybertron ที่ทุกปี อ.ปริญญาจะมาบอกเล่าถึงเทรนด์ในเรื่อง Cybersecurity และภัยคุกคามเรื่องความเป็นส่วนตัวในอนาคต จากที่ได้บรรยายในงานต่าง ๆ ทั่วโลกมาตลอดทั้งปี โดย อ.ปริญญาได้สรุปออกมาให้เป็น 10 ข้อที่ทุกคนต้องเตรียมรับมือในปี 2024 มีดังต่อไปนี้
1. AI-Driven Threats vs. AI-Governance
ปี 2023 นี้ถือว่าเป็นปีของ AI โดยแท้จริงและกำลังจะเป็น Megatrend ในอีก 6 ปีข้างหน้านี้ ซึ่งในทาง Cybersecurity ก็เช่นกันที่ตอนนี้ “AI-Driven Threats และ AI-Governance กำลังสวนทางกัน” โดยเฉพาะ Generative AI ที่ทำให้การโจมตีมีความซับซ้อนมากขึ้นกว่าที่ผ่านมา โดยหนึ่งในกรณีที่น่าสนใจที่ อ.ปริญญายกขึ้นมาคือ กรณีของคุณ Sam Altman แห่ง OpenAI ที่ถูกปลดแล้วก็กลับมาได้ภายในไม่กี่วัน แสดงให้เห็นว่ามีเรื่องที่อาจจะกำลังมีประเด็นที่เริ่มเกิดความเห็นคนละแบบ ซึ่งอาจจะเป็นเรื่องจริยธรรม AI (AI Ethics) หรือเรื่องภัยคุกคามแบบใหม่ที่อาจเกิดขึ้นร้ายแรงและรุนแรงกว่าเดิมอีกก็เป็นได้
2. Ransomware & Data Breach Evolution
วิวัฒนาการของแรนซัมแวร์และการละเมิดข้อมูลนั้นจะยังคงเกิดขึ้นอย่างต่อเนื่อง ซึ่ง อ.ปริญญามองว่าทั้งสองส่วนจะมีพัฒนาการขึ้นไปอีก ที่จะส่งผลรุนแรงกว่าเดิมและอาจจะเกิดขึ้นเป็นรูปแบบใหม่ ๆ ดังนั้น องค์กรจำเป็นอย่างยิ่งที่จะยังคงต้องปกป้อง Cybersecurity ขององค์กรให้แข็งแกร่งพร้อมทั้งพัฒนาทักษะของพนักงานให้รู้เท่าทันมากที่สุดเท่าที่จะเป็นไปได้
3. Digital Trust vs. Digital Risks & Digital Frauds
การสร้างความเชื่อมั่นด้านความมั่นคงปลอดภัย (Digital Trust) กับความเสี่ยงดิจิทัล (Digital Risk) และการฉ้อโกงดิจิทัล (Digital Frauds) จะเป็นสิ่งที่ทุกคนต้องเข้าใจและให้ความสำคัญมากขึ้นเรื่อย ๆ เพราะภัยคุกคามรูปแบบใหม่กำลังเข้ามารุกคืบเข้ามาอย่างแนบเนียนมากขึ้น เช่น สแกม (Scam) ที่ใช้เรื่องความโลภหรือความกลัวของมนุษย์ในการหลอกล่อให้กดลิงก์หรือโอนเงิน หรือการใช้ประโยชน์ Generative AI ที่ผู้ไม่ประสงค์ดีสามารถนำไปสร้างภาพหรือข้อมูลเท็จต่าง ๆ ได้เร็วขึ้น ดังนั้น ทุกคนจึงควรเสริมความรู้ความเข้าใจว่าปัจจุบันมีอะไรเกิดใหม่ในโลกดิจิทัลบ้าง
4. Cost of Data Breaches to Companies to Increase
แน่นอนว่าปัจจุบันยุคที่ข้อมูลคือสินทรัพย์ขององค์กรได้ทำให้ข้อมูลกลายเป็นเป้าหมายที่จะถูกโจมตีและละเมิดข้อมูลได้ ดังนั้นทุกคนหรือทุกองค์กรต้องยังคงตระหนักถึงการเกิดข้อมูลรั่วไหลอยู่เสมอ หากแต่ค่าใช้จ่ายและต้นทุนที่ต้องใช้ปกป้องไม่ให้เกิดการถูกละเมิดข้อมูลนั้นจะเพิ่มขึ้นเรื่อย ๆ ไม่ว่าจะเป็นการค่าใช้จ่ายในการลงทุนระบบแจ้งเตือนแบบต่าง ๆ หรือว่าระบบเข้ารหัส (Encryption) รวมทั้งค่าใช้จ่ายสำหรับการกู้คืนข้อมูลที่ถูกละเมิดไปแล้วนั้นก็จะมีมูลค่าสูงขึ้นเรื่อย ๆ เช่นกัน
5. Government, Telecom and Healthcare Sectors are very High Risk on Data Breaches
หากองค์กรใดอยู่ภายในอุตสาหกรรมโทรคมนาคม (Telecom) สาธารณสุข (Healthcare) หรือเป็นหน่วยงานภาครัฐ (Government) อ.ปริญญาชี้ชัดเลยว่าเป็น 3 ภาคส่วนที่มีความเสี่ยงสูงสุดในการถูกละเมิดข้อมูลได้ ณ วินาทีนี้ รวมทั้งยังให้ข้อมูลด้วยว่าภายใน Cybertron นั้นพบเหตุการณ์ละเมิดข้อมูลขึ้นแบบรายวันจากในอดีตที่เกิดขึ้นราวแค่ 1 – 2 ครั้งต่อปีเท่านั้น ซึ่งรุนแรงระดับที่ในบางวันสามารถพบเหตุการณ์โจมตีได้ถึง 2 ที่เลยทีเดียว
6. Supply Chain & Critical Infrastructure Cyber Risk Management
การเจาะระบบรูปแบบใหม่ที่จะมาผ่านทางห่วงโซ่อุปทาน (Supply Chain) ต่าง ๆ แทนการเจาะมาที่โครงสร้างพื้นฐานที่สำคัญ (Critical Infrastructure) ขององค์กรโดยตรงมากขึ้น ตัวอย่างเช่น ระบบองค์กรที่มีการเชื่อมต่อกับระบบภายนอก ซึ่งภายในมีระบบปกป้องข้อมูลไว้อย่างดี แต่ทว่า การโจมตีเกิดขึ้นที่ระบบภายนอกซึ่งส่งผลให้ระบบองค์กรภายในมีปัญหาไปด้วย จึงทำให้องค์กรต้องเร่งดูแลตรวจสอบความมั่นคงปลอดภัยของทั้ง Supply Chain ที่ใช้งานทั้งหมดให้ครบถ้วนทั้งเส้นทางที่จะต้องบริหารจัดการความเสี่ยงให้เข้มข้นมากขึ้น
7. Cybersecurity In the Boardroom
บอร์ดผู้บริหารจะต้องมีการพูดคุยหารือในเรื่อง Cybersecurity กันภายใน ซึ่งหากบอร์ดยังคงปล่อยให้ระดับ CEO, CISO ลงไปจนถึงระดับผู้ปฏิบัติงานพูดคุยกันโดยที่บอร์ดไม่สนใจพูดคุยกันในที่ประชุม แสดงว่าสุขภาพในด้านไซเบอร์ของบริษัทอาจจะไม่แข็งแรงเพียงพอ เนื่องจากบอร์ดผู้บริหารอาจไม่มีวิสัยทัศน์เพียงพอก็เป็นได้ ซึ่ง อ.ปริญญายังบอกด้วยว่างานวิจัยของ MIT นั้นชี้ว่ากรณีดังกล่าวคือจุดบอดสำคัญขององค์กรในการปกป้องเรื่อง Cybersecurity อย่างหนึ่ง ดังนั้น ใครที่เป็นบอร์ดบริหาร ต้องเริ่มตระหนักถึงในเรื่อง Cybersecurity และทำให้เป็นวาระสำคัญที่ต้องพูดคุยอย่างต่อเนื่องได้แล้ว
8. Decline of Malware, More Identity-Based Attacks
ฟังดูอาจจะแปลกว่ามัลแวร์จะลดลงได้อย่างไร นั่นเป็นเพราะการโจมตีที่เป็นรูปแบบใหม่อย่างการโจมตีเพื่อเอาข้อมูลอัตลักษณ์ (Identity) ของแต่ละบุคคลนั้นมีมากขึ้นและหลากหลายรูปแบบมากขึ้น ไม่ว่าจะเป็นการ Phishing หรือว่าทำ Social Engineering เพื่อหลอกล่อขโมยข้อมูลส่วนบุคคลเอาไปโจมตีต่อไปได้ ซึ่งการเอาอัตลักษณ์ไม่ว่าจะเป็นรหัสผ่านหรือว่าข้อมูลส่วนบุคคลไปได้นั้นสามารถนำไปใช้งานโจมตีในรูปแบบที่ระบบป้องกันจะตรวจจับได้ยากกว่าเดิม นั่นหมายความว่ารูปแบบการโจมตีในอนาคตจะเปลี่ยนแปลงไป และระบบป้องกันจะต้องตรวจสอบในลักษณะอื่นแทนอัตลักษณ์ด้วยแล้ว
9. From IO (Information Operation) to IA (Information Advantage)
จากปฏิบัติการข่าวสาร (Information Operation) ที่การใช้ประโยชน์จากข้อมูลในรูปแบบยุทธวิธีทางการทหารที่ไม่ค่อยเปิดเผยอย่างแพร่หลายนั้น จะเปลี่ยนไปกลายเป็นการหาผลประโยชน์จากข้อมูล (Informaion Advantage) ในอีกรูปแบบที่แพร่หลายกันในวงกว้างมากขึ้น นั่นคือการสร้าง “Information Disorder” ที่เป็นการจู่โจมเพื่อล้างสมองหรือหลอกให้ผู้ที่ได้รับข้อมูลกระทำอะไรบางสิ่งบางอย่างที่มีผลต่อทรัพย์สินเงินทองได้ โดยที่ผู้ที่ได้รับข้อมูล “อาจถูกหลอกโดยที่ยังไม่รู้ตัว” เช่น การหลอกให้ลงทุน ที่ปลุกให้คนมีความโลภด้วยผลตอบแทนที่สูงเกินจริง ซึ่งรูปแบบนี้กำลังเกิดมากขึ้นเรื่อย ๆ ทั่วโลก
10. From Cyber Resilience to Cyber Dominance
ความทนทานทางไซเบอร์ (Cyber Resilience) จะเปลี่ยนแปลงกลายเป็นการครอบงำทางไซเบอร์ (Cyber Dominance) แทน ที่อาจนำมาสู่การครอบงำความคิดและทำให้เกิดการความเชื่อที่ผิด ๆ อันส่งผลให้การตัดสินใจผิดตามไปด้วย ซึ่งแน่นอนแม้ว่าจะไม่มีใครมาสามารถครอบงำโลกไซเบอร์ได้ทั้งหมดทุกส่วน แต่จะเป็นลักษณะการ Dominance เป็นโซนหรือเป็นภูมิภาคขึ้นมา
บทส่งท้าย
ทั้งหมดนี้คือ Top 10 Cybersecurity & Privacy Treats Trends แห่งปี 2024 ที่ อ.ปริญญา หอมเอนกได้บรรยายไว้ในงาน CDIC 2023 ที่ผ่านมา ซึ่งหนึ่งในแนวปฏิบัติที่อาจารย์ได้แนะนำเอาไปปรับใช้เพื่อไม่ให้ถูกหลอกจากในโลกไซเบอร์ คือ “คิด ค้น ค่อยตัดสินใจ” โดยเวลาที่ได้รับข่าวสารอะไร ให้ลอง “คิด” ดูก่อนว่าข้อมูลดังกล่าวนั้นดีเกินไปที่จะเป็นจริงหรือไม่ แล้วลอง “ค้น” หาข้อมูลเพิ่มเติมว่ามันน่าเชื่อมากแค่ไหน และสุดท้าย “ค่อยตัดสินใจ” ไม่ต้องรีบร้อนเชื่อหรือว่าดำเนินการอะไรในทันทีที่ได้รับข้อมูลมา