Gartner เตือน! GenAI กำลังทลายระบบ Cybersecurity Awareness เดิมๆ แนะองค์กรต้องเตรียมกลยุทธ์ใหม่ ๆ

เมื่อ AI แฮกเกอร์ฉลาดเกินคน! การ์ทเนอร์ (Gartner) ชี้จุดจบ Cybersecurity Awareness แบบเก่า และวิธีรับมือในยุค GenAI 2026…

highlight

• การ์ทเนอร์ เผยรายงานล่าสุดชี้ GenAI กำลังทำให้การสร้างความตระหนักรู้ด้าน Cybersecurity แบบเดิม ๆ ล้มเหลว เนื่องจากแฮกเกอร์ใช้ AI สร้างการโจมตีที่แนบเนียนเกินกว่ามนุษย์จะสังเกตได้ ITday พาไปเจาะลึก 3 กลยุทธ์ใหม่ที่องค์กรระดับโลกต้องนำมาใช้เพื่อรับมือกับภัยคุกคามยุค AI ตั้งแต่การใช้ AI-Powered Defense ไปจนถึงการปรับวัฒนธรรมองค์กรให้เป็นระบบรักษาความปลอดภัยเชิงรุก

Gartner เตือน! GenAI กำลังทลาย CyberSecurity Awareness เดิม ๆ แนะองค์กรต้องเตรียมกลยุทธ์ใหม่ ๆ

ริชาร์ด แอดดิสคอตต์ รองประธานฝ่ายวิเคราะห์ ของ การ์ทเนอร์ กล่าวว่า การนำ Generative AI (GenAI) มาใช้แพร่หลายอย่างรวดเร็ว เผยให้เห็นถึงจุดอ่อนของการสร้างความตระหนักรู้ด้าน Cybersecurity แบบเดิม ๆ

เนื่องจากพนักงานมักนำโซลูชัน GenAI ที่ไม่ได้รับอนุญาตมาใช้ในที่ทำงาน ซึ่งเป็นการนำข้อมูลสำคัญองค์กรไปเสี่ยงโดยไม่รู้ตัว การนำเครื่องมือ GenAI ต่าง ๆ มาใช้ในกระบวนการทำงานประจำวันนั้นก้าวนำหน้าระบบควบคุมความปลอดภัยที่มีอยู่

ขณะที่ผู้คุกคามก็กำลังใช้เทคโนโลยีเดียวกันนี้ยกระดับการโจมตีให้เฉียบคมยิ่งขึ้น สร้างความเสี่ยงไปยังโปรแกรม Cybersecurity อีกมากมายที่ไม่ได้ออกแบบมาเพื่อรับมือกับความเสี่ยงเหล่านี้ 

ผลสำรวจล่าสุดจากการ์ทเนอร์พบว่าพนักงานกว่า 57% ใช้บัญชี GenAI ส่วนตัวเพื่อทำงานและ 33% ยอมรับว่ามีการป้อนข้อมูลสำคัญของเนื้องานลงในเครื่องมือ GenAI ที่เป็นสาธารณะหรือไม่ได้รับอนุญาตจากองค์กร 

ความท้าทายนี้ยิ่งทวีความรุนแรงขึ้นเมื่อ 36% มีการดาวน์โหลดหรือใช้เครื่องมือ GenAI ที่ไม่ได้รับอนุญาตบนอุปกรณ์สำหรับทำงาน พฤติกรรมเหล่านี้เพิ่มความเสี่ยงต่อการเกิดภัยคุกคามทางไซเบอร์และการทำผิดกฎระเบียบข้อบังคับอย่างมีนัยสำคัญ

ขณะเดียวกันผู้คุกคามกำลังใช้ประโยชน์จาก GenAI เปิดการโจมตีในรูปแบบ Deepfake, Phishing และการหลอกลวงทางวิศวกรรมสังคม หรือ Social Engineering ที่มีความซับซ้อนสูง งานวิจัยของการ์ทเนอร์ชี้ว่า 35% ขององค์กรเคยเผชิญกับเหตุการณ์ Deepfake และ 84% ของผู้นำ Cybersecurity 

พบว่าการโจมตีแบบ Phishing มีความล้ำสมัยมากขึ้นในช่วงไม่กี่ปีที่ผ่านมานอกจากนี้ ในช่วงสองปีที่ผ่านมายังพบว่ามีจำนวนอีเมลอันตรายที่สร้างโดย AI เพิ่มขึ้นเท่าตัว ทำให้พนักงานตรวจพบได้ยากยิ่งขึ้น แนวโน้มเหล่านี้หากไม่ได้รับการแก้ไขจะส่งผลกระทบต่อธุรกิจอย่างแท้จริง

ทั้งความเสี่ยงด้านความเป็นส่วนตัวและทรัพย์สินทางปัญญา ที่อาจลุกลามเป็นเหตุการณ์ที่สร้างความเสียหายมูลค่ามหาศาล กระทบต่อชื่อเสียงระยะยาว ซึ่งอาจสั่นคลอนผลประกอบการทางธุรกิจในภาพรวมได้ ดังนั้นองค์กรจำเป็นเร่งด่วนที่จะต้องเสริมกำลังให้กับโปรแกรม หรือกลยุทธ์

ที่มุ่งปรับเปลี่ยนพฤติกรรม และความเชื่อของบุคลากรภายในองค์กร หรือ Security Behaviour and Culture Programs (SBCPs) เพื่อปลูกฝังความตื่นรู้ และผลักดันให้เกิดการเปลี่ยนแปลงพฤติกรรมของพนักงาน สิ่งนี้จะช่วยจัดการการมีปฏิสัมพันธ์ร่วมกับ GenAI โดยเน้นไปที่วิธีที่พนักงานใช้เครื่องมือ AI ในทุกระดับ

กำหนดเกณฑ์การใช้ GenAI อย่างมีความรับผิดชอบ

พนักงานจำนวนมากเริ่มใช้เครื่องมือ AI ในงานประจำแล้ว ดังนั้นการสรรหาแนวทางปฏิบัติจึงต้องมุ่งเน้นไปที่วิธีการจัดการข้อมูลละเอียดอ่อน ข้อมูลที่เป็นทรัพย์สินทางปัญญา และข้อมูลที่เป็นส่วนตัว โดยควรเน้นย้ำถึงหลักการ “การใช้ข้อมูลเท่าที่จำเป็น” หรือ “Data Minimization” เพื่อให้พนักงานเข้าใจว่าข้อมูลใดสามารถหรือไม่สามารถป้อนเข้าสู่สภาพแวดล้อมการทำงานของ GenAI ได้

เพื่อช่วยทีมงานร่วมกันบริหารจัดการความเสี่ยงไปพร้อมกับขยายการใช้งานเทคโนโลยีได้อย่างคล่องตัว จะต้องมีการกำหนด “ความเป็นเจ้าของ” ให้ชัดเจนตลอดวงจรของการนำ GenAI มาใช้ ตั้งแต่ต้องรู้ว่าใครคือผู้รับผิดชอบ, ใครเป็นผู้ตัดสินใจ, ใครให้คำปรึกษา และใครจะเป็นผู้รับทราบข้อมูลในแต่ละกิจกรรม

นอกจากนี้ ควรหลีกเลี่ยงการออกนโยบายใหม่ ๆ จนกว่านโยบายธรรมาภิบาลข้อมูล และนโยบายการใช้งานที่ยอมรับได้ที่มีอยู่เดิมจะได้รับการปรับใช้ และปรับปรุงจนครอบคลุม GenAI ทั้งหมด นโยบายที่ปรับแล้วจำเป็นต้องสอดคล้องกับจรรยาบรรณ และค่านิยมขององค์กร เพื่อป้องกันความสับสน และการดำเนินการที่ไม่ไปในทิศทางเดียวกัน

สร้างการมีส่วนร่วมของผู้บริหารระดับสูง

ผู้บริหารระดับสูงต้องมีส่วนร่วมเชิงรุกในการตัดสินใจด้านความเสี่ยงตั้งแต่เนิ่น ๆ เพื่อรับมือกับผลกระทบต่อการดำเนินงานจากการโจมตีที่ขับเคลื่อนด้วย AI และการละเมิดนโยบาย เมื่อผู้นำมีวิสัยทัศน์ที่ตรงกัน องค์กรก็จะสามารถสร้างแนวทางการรับมือความเสี่ยงจาก AI ที่สอดประสานกันได้ดียิ่งขึ้น

สิ่งนี้รวมถึงการสร้างกรอบการธรรมาภิบาลที่เข้มแข็ง ซึ่งจะช่วยเสริมความแข็งแกร่งให้กับนโยบายการใช้งานที่ชัดเจน จัดการการพัฒนา AI อย่างปลอดภัย และรับประกันการปฏิบัติตามกฎระเบียบ

หากไม่ได้รับความเห็นชอบจากผู้บริหารระดับสูงในเรื่องธรรมาภิบาล GenAI และแผนงานการปรับเปลี่ยนพฤติกรรม ความพยายามในการบริหารจัดการความเสี่ยงให้เห็นผลในทางปฏิบัติก็อาจถูกลดทอนประสิทธิภาพลงได้

เสริมแนวป้องกันให้กับพนักงาน

โปรแกรมพฤติกรรม และวัฒนธรรมความปลอดภัยต้องรวมถึงการศึกษาความเสี่ยงเฉพาะด้าน AI, สถานการณ์จำลอง Deepfake และการจำลองการโจมตีขั้นสูง ควรกระตุ้นให้พนักงานรู้จักตรวจสอบคำขอที่ผิดปกติ และทำความเข้าใจว่าการปฏิบัติงานล่าช้าเล็กน้อยอาจจำเป็น

เพื่อทบทวนสอบความปลอดภัยเพิ่มเติม กระบวนการรายงานที่คล่องตัว และการให้รางวัลตอบแทนก็เป็นสิ่งสำคัญ เพื่อให้พนักงานสามารถแจ้งข้อสงสัยเกี่ยวกับการทำงานของ AI ที่น่าสงสัยได้อย่างรวดเร็ว

ไม่ควรพึ่งพาการฝึกอบรมเพื่อสร้างความตระหนักรู้แบบทั่วไปเพียงอย่างเดียว แต่เนื้อหาการฝึกอบรมจะต้องได้รับการอัปเดตอย่างสม่ำเสมอ เพื่อรับมือกับกลวิธี Social Engineering ที่ใช้ GenAI และสถานการณ์ Deepfake ที่เกิดขึ้นใหม่

ฝังแนวปฏิบัติที่ปลอดภัยไว้ในการทำงานในแต่ละวัน

ส่งเสริมทักษะ และการเรียนรู้ด้าน AI หรือ AI Literacy และความโปร่งใสทั่วทั้งองค์กร เพื่อให้พนักงานสามารถนำ AI มาใช้ได้อย่างปลอดภัยและรู้จักรายงานผลลัพธ์ของ AI ที่ผิดปกติ สิ่งสำคัญคือต้องย้ำเตือนถึงบทบาทของ มนุษย์ในการตรวจสอบ หรือ Human Oversight สำหรับผลลัพธ์ที่สร้างขึ้นทั้งหมด เพื่อคัดกรองเนื้อหาที่ไม่ถูกต้อง

การจะรักษาการเปลี่ยนแปลงพฤติกรรม และปลูกฝังวัฒนธรรมที่ตระหนักด้านความปลอดภัยเกี่ยวกับ GenAI ให้ยั่งยืนนั้น จำเป็นต้องมีการฝึกอบรม และกระตุ้นอย่างต่อเนื่อง ไม่ใช่เพียงแค่การอัปเดตนโยบาย หรือการสั่งห้ามใช้เครื่องมือเท่านั้น

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th