แอปฯ หลอกดูดเงินเสียหายรวมกว่า 3,000 ล้านบาท ยิบอินซอยชี้ปรับปรุงคน กระบวนการ เทคโนโลยี ช่วยรับมือได้

เมื่อเจาะลึกเหตุการณ์ที่ส่งผลกระทบต่อประชาชนทั่วไป ยกตัวอย่างการหลอกให้ติดตั้งโปรแกรมควบคุมระบบโทรศัพท์ เช่น แอปพลิเคชันในการดูดเงิน ซึ่งรวบรวมตั้งแต่ช่วงวันที่ 19 ตุลาคม 2022 ถึง 31 สิงหาคม 2024 พบผู้เสียหายรวม 17,000 คดี มูลค่าความเสียหายรวมกว่า 3 พันล้านบาท ส่วนสถิติการแจ้งความเกี่ยวกับคดีออนไลน์ตั้งแต่ 1 มีนาคม 2022 ถึง 31 กรกฎาคม 2024 เปิดเผยโดยสำนักงานตำรวจแห่งชาติ พบยอดแจ้งความสะสมมากถึง 612,603 เรื่อง เกิดความเสียหายรวม 7 หมื่นกว่าล้านบาท ส่วนใหญ่เป็นการหลอกให้ซื้อสินค้า หลอกให้กู้เงิน หลอกให้ลงทุน หรือขโมยข้อมูลทางโทรศัพท์

แม้ว่าประเทศไทยมีการออกกฎหมายว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ แต่ยังไม่ครอบคลุมภัยคุกคามที่เกิดจากเทคโนโลยีใหม่ ๆ รวมถึงเมื่อเป็นการกระทำผิดข้ามพรมแดน จึงต้องมีการออกกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อป้องปรามอย่างทั่วถึงและรอบด้านมากขึ้น อย่างไรก็ตาม การรักษามาตรฐานความปลอดภัยไซเบอร์บนเทคโนโลยีต่าง ๆ ไม่ว่าจะเป็นคลาวด์ (Cloud) ไอโอที (IoT) เอไอ (AI) ควอนตัม คอมพิวติง (Quantum Computing) หรืออื่น ๆ จะต้องอยู่บนสมดุลระหว่างการดูแลความปลอดภัยและการนำไปใช้ประโยชน์ เพื่อไม่ให้เป็นการขัดขวางการใช้เทคโนโลยีในเชิงสร้างสรรค์ การพัฒนานวัตกรรม และเพิ่มขีดความสามารถการแข่งขันของประเทศ

แม้ว่าจะมีข้อกังวล แต่ผลสำรวจการจัดอันดับดัชนีความมั่นคงปลอดภัยไซเบอร์ (Global Cybersecurity Index : GCI) จากจำนวนสมาชิก 194 ประเทศ โดยสหภาพโทรคมนาคมระหว่างประเทศ (International Telecommunication Union : ITU) ได้ยกระดับพัฒนาการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศไทยจากอันดับที่ 44 ในปี 2020 ขึ้นมาอยู่ที่อันดับ 7 ในปี 2024 ทั้งยังเป็นโมเดลต้นแบบให้ประเทศอื่นอีกด้วย

ภาพรวมความปลอดภัยไซเบอร์ที่เปลี่ยนไปของประเทศไทย

ท่ามกลางภูมิทัศน์ทางเทคโนโลยีและพฤติกรรมการใช้งานไอทีที่เปลี่ยนแปลงไป  ยิบอินซอยมองว่า มุมมองด้านความปลอดภัยไซเบอร์ที่องค์กรควรตระหนัก ได้แก่  

1. การขยายผลการป้องกันระบบไอที (IT) และ ระบบไซเบอร์กายภาพ (Cyber Physical System – CPS) ในโลกของ Operational Technology (OT) สู่การบริหารจัดการเชิงรุกอุดรอยรั่วแบบ “Cyber Resilience” เพิ่มเติมแนวคิดการ “Detect” ในการตรวจจับและ “Response” ซึ่งเน้นการตอบโต้อย่างทันท่วงที เพื่อให้ธุรกิจเดินหน้าต่อไปได้ (Business Continuity)
2. การเชื่อมโยงระบบปฏิบัติงานระหว่างองค์กรกับบุคคลที่สามในอีโคซิสเท็ม ที่มากกว่าการตรวจสอบความน่าเชื่อถือด้านการเงิน แต่ต้องพร้อมในเรื่องนโยบายความปลอดภัยและการตอบสนองภัยคุกคามไซเบอร์อย่างมีประสิทธิภาพ โดยเฉพาะกรณีต้องมีการเชื่อมต่อระบบงานภายนอกกับระบบงานขององค์กร ทำให้การจัดการความเสี่ยงต่อบุคคลที่สาม (Third Party Risk Management) มีความสำคัญมากขึ้นในปัจจุบัน
3. การหลอมรวมนโยบายและระบบความมั่นคงปลอดภัยไซเบอร์ให้เป็นส่วนหนึ่งของแผนธุรกิจและกลยุทธ์ธุรกิจ เพื่อให้องค์กรมีความทนทานต่อภัยคุกคาม และลดเสี่ยงที่จะเกิดความเสียหาย เช่น แนวทางการพัฒนาแบบ “DepSecOps” ซึ่งฝังแนวคิดเรื่องความปลอดภัยไว้ในเฟรมเวิร์กของการพัฒนาแอปพลิเคชันหรือแพลตฟอร์มธุรกิจตั้งแต่เริ่มต้น
4. การจัดการกับเทคโนโลยีเกิดใหม่อย่างเอไอ (AI) หรือ เจเนอเรทีฟ เอไอ (Generative AI) ที่ให้ทั้งคุณและโทษหากนำไปใช้ผิดวิธี เช่น นำไปสร้างเนื้อหาปลอม การสร้าง Deepfake ต่าง ๆ หรือโดยวิธี Prompt Injection ที่ย้อนกลับมาเล่นงานการทำงานของเอไอเสียเอง จึงต้องมีการวางกฎระเบียบ แนวทางการใช้งานและการป้องกัน รวมถึงธรรมาภิบาลด้านเอไอ
5. การวางระบบความปลอดภัยให้กับเทคโนโลยีไอโอที (IoT) ซึ่งเข้ามามีบทบาทในภาคการผลิต ภาคอุตสาหกรรม และการบริการมากขึ้น เพื่อป้องกันการโจมตีการทำงาน หรือล้วงข้อมูลผ่านเครือข่ายอินเทอร์เน็ต ซึ่งถือเป็นอินฟราสตรัคเจอร์สำคัญในการเชื่อมโยงการทำงานระหว่างระบบไอที ระบบโอที และไอโอทีเข้าด้วยกัน 

ปัจจุบัน วิวัฒนาการด้านความปลอดภัยของระบบโอทีและไอโอทีเดินหน้าไปไกลมากขึ้น ยกตัวอย่างเช่น ระบบโอทีที่เริ่มมีการแบ่งเซกเมนต์การทำงานที่ชัดเจนมากขึ้น มีแนวทางควบคุมการเข้าถึงจากระยะไกล (Remote Access) การออกแบบระบบความปลอดภัยในระดับต่าง ๆ เช่น การเข้าถึงฐานข้อมูล การจัดการความปลอดภัยระดับเอนต์พอยต์ (Endpoint security system) การพัฒนาศูนย์ระบบความปลอดภัยไซเบอร์ (Security Operations Center : SOC) ระบบสังเกตการณ์เชิงลึก (Deep Observability) ให้กับระบบโอทีโดยเฉพาะ รวมถึงเครื่องมือจัดการภัยคุกคามที่ซับซ้อนอย่าง APT ในแง่ของไอโอทีได้มีการพัฒนาระบบความปลอดภัยที่ลงลึกถึงระดับเอดจ์ เช่น Security Access Service Edge (SASE) ที่กระจายไปยังสาขา หรือพื้นที่บริการเป็นบริเวณกว้าง เป็นต้น

การสร้างการตระหนักรู้เรื่องความมั่นคงปลอดภัยไซเบอร์ทั้งกับหน่วยงานองค์กรและผู้ใช้งานทั่วไป การพัฒนาบุคลากรไอทีที่พร้อมสนับสนุนการนำเทคโนโลยีมาใช้งาน การเชื่อมต่อไปสู่ระบบต่าง ๆ และพร้อมรับมือภัยคุกคาม แต่จะเห็นว่า องค์กรส่วนใหญ่ยังขาดหน่วยงานรับหน้าที่ออกแบบแผนความมั่นคงปลอดภัยไซเบอร์อย่างจริงจัง

ตอบโจทย์ความปลอดภัยไซเบอร์ด้วยหลัก T2P

ยิบอินซอย มอง 3 องค์ประกอบสำคัญในการสร้างความมั่นคงปลอดภัยไซเบอร์ ได้แก่ คน (People) กระบวนการ (Process) และเทคโนโลยี (Technology) ซึ่งมีบทบาทในมิติต่าง ๆ ได้แก่

1. People บุคลากรเป็นเรี่ยวแรงสำคัญต่อการสร้างระบบความมั่นคงปลอดภัยทางไซเบอร์ แต่ปัจจุบัน บุคลากรที่มีทักษะด้านนี้ยังไม่เพียงพอต่อความต้องการ จำเป็นต้องมีการฝึกอบรมและพัฒนาทักษะให้กับพนักงาน รวมถึงสร้างแรงจูงใจให้คนรุ่นใหม่หันมาสนใจในสายงานนี้มากขึ้น
2. Process การออกแบบและปรับปรุงกระบวนการด้านความมั่นคงปลอดภัยไซเบอร์ที่ต้องดำเนินไปอย่างต่อเนื่อง เท่าทันต่อสภาพแวดล้อมทางธุรกิจและเทคโนโลยีที่เปลี่ยนแปลงไป โดยไม่จำกัดแค่ความปลอดภัยภายในองค์กร แต่ต้องครอบคลุมความปลอดภัยเมื่อมีการเชื่อมโยงการทำงานกับระบบของคู่ค้า ลูกค้า ซัพพลายเออร์ หรือบุคคลที่สาม ได้อย่างมีประสิทธิภาพ
3. Technology ในการรับมือ 3 ปัจจัยสำคัญ ได้แก่ 1) ภัยคุกคามจากภายนอก 2) การอุดช่องโหว่ที่เกี่ยวกับบุคคลในองค์กร เช่น การถูกแฮกบัญชีผู้เข้าใช้ รหัสผ่าน หรือ Identity เพื่อปลอมตัวหรือสวมรวยเข้ามาขโมยข้อมูล และ 3) การระวังป้องกันแอปพลิเคชันหรือแพลตฟอร์ม ตั้งแต่ขั้นตอนของออกแบบ ตัวโค้ดโปรแกรม และการเชื่อมโยงต่าง ๆ 
   
   โดยการหลอมรวมเทคโนโลยีเพื่อสร้างระบบความมั่นคงปลอดภัยไซเบอร์ ต้องสามารถรับมือเหตุการณ์ได้รวดเร็ว รอบด้าน และมีประสิทธิภาพสูง ทั้งการตรวจจับ ป้องกัน ตอบสนองต่อการถูกคุกคาม และฟื้นฟูระบบให้กลับมาใช้งานภายหลังถูกโจมตี อาทิ เทคโนโลยีการเข้ารหัสข้อมูล การใช้เอไอและแมชชีนเลิร์นนิ่งในการวิเคราะห์พฤติกรรมผิดปกติ การนำบิ๊กดาต้ามาร่วมวิเคราะห์และทำนายความเสี่ยง ระบบจัดการความปลอดภัยในการใช้งานคลาวด์ เป็นต้น

การเติมเต็มความแข็งแกร่งในเรื่อง คน กระบวนการ และเทคโนโลยี จะมีส่วนสำคัญที่ทำให้องค์กรสามารถเผชิญความท้าทายด้านความมั่นคงปลอดภัยไซเบอร์ได้อย่างยั่งยืน