วิเคราะห์ลึก Top Ten Trends Cybersecurity&Data Privacy 2021 | ปริญญา หอมเอนก
ในทุกๆ ปี แนวโน้มด้านเทคโนโลยีและความมั่นคงปลอดภัยสารสนเทศ มีการเปลี่ยนแปลงและเกิดสิ่งใหม่ๆ อยู่ตลอดเวลา วันนี้เราจะกล่าวถึง Top Ten Trends Cybersecurity & Data Privacy 2021 เพื่อกำหนดทิศทางการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ของผู้บริหารระดับสูงในปี 2022
วิเคราะห์ Trend ที่ 1: Personalized Marketing vs. Customer Privacy
การสร้างประโยชน์ทางธุรกิจจากข้อมูลส่วนบุคคลเปลี่ยนบริบทการตลาดส่วนบุคคล
กลยุทธ์การตลาดส่วนบุคคล (Personalized Marketing) เป็นหัวใจขององค์กรในปัจจุบัน แต่ในขณะเดียวกันการใช้ข้อมูลส่วนบุคคลของลูกค้า (Customer Privacy) ก็ต้องตระหนักถึงการละเมิดข้อมูลส่วนบุคคลเช่นกัน ดังนั้นทั้งสองประเด็นจึงมีเส้นทางคู่ขนานกันไปที่จำเป็นต้องอยู่บนความถูกต้อง
ผลการวิจัยจาก jebbit.com พบว่า ผู้บริโภค 67% ต้องการประสบการณ์ส่วนตัว ในขณะที่ผู้บริโภค 92% กังวลเกี่ยวกับความเป็นส่วนตัวของข้อมูลบนโลกออนไลน์
แม้ว่ากลยุทธ์ Personalized Marketing จะสร้างความประทับใจต่อลูกค้าเนื่องจากรู้ลึกถึงความต้องการ แต่ในอีกมุมหนึ่งการเข้าถึงข้อมูลที่บ่งชี้ถึงตัวตนบุคคลใดบุคคลหนึ่งเพื่อทำการตลาดส่วนบุคคลนั้น อาจเป็นต้นตอที่ทำให้องค์กรละเมิดข้อมูลส่วนบุคคล
ยกตัวอย่างเช่น การใช้เครื่องมือ Big Data Analytics อาจต้องระมัดระวังต่อข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)
วิเคราะห์ Trend ที่ 2: Soft Power from using Half-truths
เปลี่ยนความคิดคนด้วยโซเซียลมีเดียกับการใช้"ความจริงครึ่งเดียว"
จากการใช้ Social Media กันอย่างแพร่หลายของคนทั่วโลก จนเกิดความเคยชินในการเสพข่าวเสพข้อมูลผ่านสื่อสังคมออนไลน์ จนอาจลืมคิดไปว่า ใครๆ ก็สามารถสร้างข่าวลวงที่บิดเบือน (Information Disorder) สื่อข้อมูลออกมาได้โดยไม่จำเป็นต้องเป็นนักข่าว ซึ่งก็คือไม่มีการตรวจสอบ ไม่มีหลักจรรยาบรรณ ทุกคนสามารถเป็นนักข่าวสมัครเล่นได้
ปัจจุบันข่าวหรือข้อมูลที่สื่อออกมานั้นจึงมีทั้ง “เท็จ” และ “จริง” คนในยุคนี้จึงจำเป็นต้องมีวิจารณญาณ ไตร่ตรองให้รอบคอบก่อนที่จะเชื่อในข้อมูลเหล่านั้น เพราะมีผู้ประสงค์ร้ายอาศัยพลังแห่ง Soft Power โน้มน้าว ให้ผู้เสพข่าวเชื่อในสิ่งที่ต้องการให้เชื่อ ซึ่งเป็นความจริงเพียงครึ่งเดียว หรือที่เรียกว่า Half-truths เป็นการเอาความจริงด้านลบของประเด็นนั้นไปสร้างข่าวบิดเบือนให้คนหลงเชื่อในสิ่งที่ไม่ได้เป็นความจริงทั้งหมด ที่เรียกกันว่า “Disinformation”
ดังเช่นกรณีการฉีดวัคซีน COVID-19 ที่เกิดขึ้นกับประเทศไทยและอีกหลายๆ ประเทศทั่วโลก เป็นการบอกความจริงเฉพาะด้านลบทำให้คนกลัวไม่กล้าไปฉีดวัคซีน ทำให้มีความเสี่ยงสูงที่จะเสียชีวิตจากการติดเชื้อ COVID-19 โดยเฉพาะผู้สูงอายุ
วิเคราะห์ Trend ที่ 3 : Rethinking the Future of Cyber Sovereignty and Data Sovereignty
“อำนาจอธิปไตยบนโลกไซเบอร์และอำนาจอธิปไตยในการบริหารข้อมูล” ความน่ากลัวแฝงที่ต้องเตรียมตัวเพื่ออนาคต
“ไม่มีของฟรีในโลก” ยังใช้ได้เสมอโดยเฉพาะบนโลกออนไลน์ที่ดูเหมือนอะไรก็ใช้ฟรี ทั้ง Social Media, Search Engine, eMail, Map & GPS (แผนที่และเครื่องมือนำทาง) แต่จริงๆ แล้วแฝงมาด้วยการเก็บข้อมูลพฤติกรรมส่วนตัวของเราทั้งสิ้น
เราเคยรู้หรือไม่ว่า...เมื่อเราพูดคำอะไรบ่อยๆ ก็จะมีการนำเสนอสินค้าและบริการนั้นขึ้นมาให้เราเห็นทาง Social Media เช่นเดียวกันกับที่เราคุ้นเคยว่าถ้าค้นหาข้อมูลอะไรก็มักจะมีสินค้าและบริการนั้นขึ้นมาให้เราได้เห็นทันทีที่เราอ่านข่าวอ่านบทความผ่าน Social Media ยิ่งไปกว่านั้นฟังก์ชันบนมือถือสามารถที่จะเปิดคำสั่งให้บอกสถานที่ที่เราไปได้ตลอดเวลา และการใช้กล้องบนมือถือถ่ายภาพอาจจะมีการเก็บข้อมูลสถานที่ด้วยเช่นกัน
การที่เราใช้แพลตฟอร์มต่างๆ บนโลกออนไลน์ที่ดูเหมือนจะฟรี จึงพึงตระหนักถึงการถูกรุกรานอธิปไตยไซเบอร์ (Cyber Sovereignty) ที่นำมาซึ่งการถูกรุกรานอธิปไตยของข้อมูล (Data Sovereignty) ในอนาคต โดยในหลายประเทศทั่วโลกกำลังให้ความสำคัญต่อการหยุดและแก้ปัญหาเหล่านี้
ยกตัวอย่างเช่นประเทศจีน ที่สกัดกั้นไม่ให้ประชาชนใช้แพลตฟอร์มของต่างประเทศ โดยการสร้างแพลตฟอร์มของตนเองขึ้นมาเอง แต่ในประเทศไทยไม่สามารถทำได้ ดังนั้นประเด็นนี้จึงควรถูกนำมาระดมความคิดใหม่ และ หาแนงทางในการแก้ปัญหาที่ไม่เกิดผลกระทบต่อประชาชน เพื่อไม่ให้คนไทยต้องสูญอธิปไตยไซเบอร์ส่วนตัวที่จะส่งผลถึงอธิปไตยไซเบอร์ในระดับชาติในที่สุด
วิเคราะห์ Trend ที่ 4: The Age of Data Governance/Information Governance/ The Rise of Identity-Centric Security
ก้าวสู่ยุคธรรมาภิบาลข้อมูล “ทุกคนต้องรู้ ทุกองค์กรต้องจัดการ”
เรื่องธรรมาภิบาลข้อมูล สามารถมองได้ 2 มิติ คือ มิติขององค์กร และมิติของบุคคล โดยมิติขององค์กร เริ่มต้นจากเรื่องความเข้าใจในพื้นฐานที่จะต้องแยกตัว “I” ออกจาก คำว่า “IT” (Information Technology) โดยให้ความสำคัญกับ I (Information) ในเรื่องการบริหารจัดการข้อมูล (Data Management หรือ Information Management) เข้าใจในวงจรชีวิตของข้อมูล
จากนั้นจะสามารถกำหนดโครงสร้างองค์กรให้ดำเนินการด้าน “ความมั่นคงปลอดภัยของข้อมูล” (Data Security) ซึ่งจะเกี่ยวเนื่องไปกับ “ความเป็นส่วนตัวของข้อมูล” (Data Privacy) เพราะทั้งหมดนี้เป็นรากฐานของยุคดิจิทัล ที่องค์กรจะต้องมีแนวปฏิบัติเพื่อก้าวไปสู่ Data Governance หรือธรรมาภิบาลข้อมูล
ทุกองค์กรย่อมไม่ต้องการให้เกิดเหตุการณ์ข้อมูลรั่วอย่างแน่นอน เพราะความวุ่นวายจะตามมาโดยเฉพาะอย่างยิ่งหากถูกเรียกค่าไถ่ข้อมูล หรือที่เรียกว่า Ransomware Attack
ส่วนในมิติของบุคคล ปัจจุบันอัตลักษณ์ของคนปรากฎอยู่บนโลกออนไลน์มากมายและเพิ่มขึ้นทุกขณะ ซึ่งกล่าวได้ว่าเป็นยุค The Rise of identity centric security เพราะในปัจจุบันคนส่วนใหญ่บนโลกนี้มักเก็บข้อมูลของตนเองบนโลกออนไลน์
โดยประเด็นส่วนบุคคลควรจะต้องตระหนักถึงในความรู้ขั้นพื้นฐาน เพื่อให้เกิดความปลอดภัยมี 2 ประเด็น คือ
1. ไม่ควรใช้ User name และ Password ชุดเดียวกัน ในการ Login เพื่อใช้แพลตฟอร์ม แอป หรือเว็บไซต์ต่างๆ เพราะหากว่าถูกแฮกระบบใดระบบหนึ่ง แฮกเกอร์ก็จะสามารถจะเข้าถึงระบบอื่นได้ทันที
2. ใช้เครื่องมือบริหารจัดการระบบความมั่นคงปลอดภัยที่แพลตฟอร์มนั้นให้มาอย่างเต็มที่ ในที่นี้หมายถึง เราควรใช้ระบบการยืนยันตัวตนแบบสองชั้น (2FA หรือ Two-factors Authentication)
กล่าวโดยสรุป Data Governance เป็นอีกเทรนด์ที่มีบทบาทสำคัญ เพราะเป็นเรื่องการบริหารจัดการข้อมูลเพื่อให้เกิดประสิทธิภาพและประสิทธิผลต่อการปฎิบัติงานขององค์กรให้สอดคล้องกับยุคไซเบอร์ในปัจจุบัน ในขณะที่มิติของบุคคลก็ไม่อาจแยกจากมิติขององค์กรได้อย่างสิ้นเชิงเพราะทุกองค์กรขับเคลื่อนด้วยบุคคล
วิเคราะห์ Trend ที่ 5: Built-in Security & Privacy in Agile Processes, ModelOps, MLOps ,DevSecOps and DevOps
“ระบบความมั่นคงปลอดภัยและความเป็นส่วนตัว” ควรเริ่มจากการอยู่ในขั้นตอนเริ่มต้นในการพัฒนาซอฟต์แวร์
โลกของการพัฒนาเทคโนโลยีกำลังเข้าสู่ยุค “SECURITY BY DESIGN และ PRIVACY BY DESIGN” ความหมายก็คือ ผู้พัฒนาระบบจะต้องบรรจุเรื่องความมั่นคงปลอดภัยและความเป็นส่วนตัวไว้ตั้งแต่เริ่มต้นพัฒนาซอฟต์แวร์
ไม่ว่าจะพัฒนาด้วยกระบวนการแบบ Agile Software Development และตรงกับความต้องการ รวมไปถึงแนวคิด DevSecOps และ DevOps ที่นักพัฒนาระบบและทีมปฏิบัติการใช้ในการสร้าง ทดสอบ ปรับใช้ และตรวจสอบแอปพลิเคชัน ซึ่งในกระบวนการเหล่านี้จำเป็นต้องมีเรื่องระบบความมั่นคงปลอดภัย และความเป็นส่วนตัวเข้าไปด้วย
โดยเฉพาะอย่างยิ่งในการพัฒนา AI ตั้งแต่เรื่องแนวปฏิบัติที่มักจะนิยมใช้ ModelOps ในการเขียนโปรแกรมสำหรับ AI ที่นำมาใช้ซ้ำได้ และการใช้แนวปฏิบัติ MLOps ก็ต้องผูกเรื่องระบบความมั่นคงปลอดภัย และ ความเป็นส่วนตัวเข้าไปด้วยเช่นกัน
กล่าวโดยสรุปคือ การพัฒนาซอฟต์แวร์และพัฒนาแอปพลิเคชันต่างๆ ในยุคนี้ควรจะต้องตระหนักถึงระบบความมั่นคงปลอดภัย และความเป็นส่วนตัวตั้งแต่เริ่มต้น ควรบรรจุไว้ในแผนการพัฒนาซอฟต์แวร์ ตลอดจนการออกแบบ และดำเนินการในระดับของการพัฒนาซอฟต์แวร์ ไม่ว่าจะพัฒนาด้วยเทคโนโลยี Blockchain, Quantum, Big Data, Machine Learning หรือ Deep Learning ก็ตาม
วิเคราะห์ Trend ที่ 6: Enterprise Data Leaks and Cloud Breaches are the Next Normal
“ข้อมูลรั่ว” กลายเป็นสภาวะปกติใหม่
เราต้องยอมรับความจริงว่า “ภัยคุกคามทางไซเบอร์” (Cyber Threats) และ การโจมตีทางไซเบอร์ (Cyber Attack) สามารถเกิดขึ้นได้ตลอดเวลา ทุกเวลา ทุกสถานที่ ทำให้ทุกองค์การสามารถเกิดวิกฤติข้อมูลรั่วเมื่อไหร่ก็ได้ เกิดได้ทั้งจาก Data Center ภายในองค์กร และ ข้อมูลบนระบบ Cloud เพราะแฮกเกอร์พัฒนารูปแบบการโจมตีใหม่ๆ ออกมาตลอดเวลา ในปัจจุบัน “ข้อมูลรั่วจึงกลายเป็นสภาวะปกติใหม่”
การรั่วของข้อมูลทั้งจาก Data Center ในองค์กรและบน Cloud ไม่ได้แปลว่าระบบการปกป้องข้อมูลไม่ดี แต่ปัญหาที่เกิดขึ้นนั้นมักจะอยู่ที่ผู้ใช้งานมีการตั้งค่าการเข้าถึงข้อมูลได้ดีพอหรือไม่? ใช้เครื่องมือด้านความมั่นคงปลอดภัยที่ให้มาครบหรือยัง? มีการกำหนดนโยบายการเข้าถึงข้อมูลของพนักงานหรือไม่? เหล่านี้เป็นประเด็นสำคัญที่ผู้บริหารองค์กรไม่ควรมองข้ามทั้งสิ้น
คำถามที่ผู้บริหารระดับสูงชอบถาม “Are we secure?” (เรามีความมั่นคงปลอดภัยหรือไม่) คำถามนี้อาจจะใช้ไม่ได้อีกต่อไปกับเรื่องของความมั่นคงปลอดภัยไซเบอร์ แต่ต้องแทนที่ด้วยคำถามที่ว่า “Are we ready?” (เราพร้อมหรือไม่สำหรับ Cyber Attack) โดยต้องคิดเสมอว่า เรามีโอกาสที่จะถูกโจมตีและล้วงข้อมูลได้ตลอดเวลา จึงต้องเตรียมตัวให้พร้อมรับมืออยู่เสมอ
องค์กรในยุคนี้จึงควรจะต้องมี Incident Response Plan มีแผนรับมือเหตุการณ์ไม่พึงประสงค์ รวมถึงแผนกู้ภัยทางไซเบอร์เป็นส่วนหนึ่งของแผนสำรองฉุกเฉินขององค์กร เพื่อให้สามารถแก้ปัญหาได้ท่วงทีโดยใช้เวลาน้อยที่สุด รวมทั้งเพื่อให้องค์กรสามารถดำเนินธุรกิจได้อย่างต่อเนื่อง
วิเคราะห์ เทรนด์ที่ 7: From the Return of Shadow IT to The Rise of BEC (Business Email Compromise)
“ระบบไอทีเงา” ฝันร้ายของ CIO และ eMail หลอกให้โอนเงินเสียหายระดับร้อยล้าน เสียหายหนักกว่า Ransomware
“Shadow IT” หรือ “ไอทีเงา” ที่เคยติดชาร์ตภัยไซเบอร์อันดับต้นๆ เมื่อหลายปีก่อน กำลังย้อนกลับมาอีกครั้ง เพราะเป็นประเด็นที่ตั้งต้นมาจากเรื่องเดียวกัน คือ “ของฟรีไม่มีในโลก” โดยเฉพาะในโลกเทคโนโลยีนั้นคำนี้ใช้ได้ตลอดกาล เนื่องจากการใช้พื้นที่ฟรีบน Cloud ซึ่งใครๆ ก็ใช้กัน จนกลายเรื่องปกติ
แต่คุณรู้หรือไม่ว่า ผู้ให้บริการ Free Cloud จำเป็นต้องนำข้อมูลที่คุณฝากเอาไว้ไปบริหารจัดการตามแผนธุรกิจของเขา ส่วนใหญ่เขาจะบอกไว้ก่อนแล้วใน Privacy Policy แต่เราไม่ค่อยได้อ่านกัน
คำถามคือเขานำข้อมูลของเราไปทำอะไร?.... คำตอบก็คือ “นำไปใช้ในการทำธุรกิจของผู้ให้บริการเพื่อหารายได้” เช่น นำไปวิเคราะห์พฤติกรรมของเราเพื่อนำเสนอสินค้าและบริการให้ตรงกับไลฟ์สไตล์และสิ่งที่เราชอบ ซึ่งก็เปรียบเสมือนเป็น “เงา” ที่คอยติดตามเราว่า เราทำอะไร ชอบอะไร เรากำลังต้องการหาสินค้าและบริการอะไร AI ก็จะพยายามเสนอข้อมูลเหล่านั้นมาให้เรา
กรณีศึกษาที่น่าสนใจสำหรับเรื่อง “Shadow IT” คือ พนักงานบริษัทนั่งทำงานอยู่ที่ทำงานตามปกติเมื่อถึงเวลาเลิกงานที่ต้องกลับบ้านหากยังทำงานไม่เสร็จก็มักจะนำงานกลับไปทำต่อ แต่การเอางานกลับไปนั้น พนักงานส่วนใหญ่มักจะนำข้อมูลขึ้น Free Cloud Service ซึ่งนั่นก็คือ ข้อมูลบริษัทที่ถูก upload ขึ้นไปเรียบร้อยแล้วบน Cloud เท่ากับว่าเกิด “ข้อมูลรั่ว” ออกจากบริษัทจากการกระทำของพนักงานที่ต้องการไปทำงานต่อที่บ้านไม่ได้มาจากการโจมตีของแฮกเกอร์แต่อย่างใด
นับเป็นฝันร้ายของฝ่ายไอที และ CIO ที่จะต้องมาบริหารจัดการและแก้ปัญหาข้อมูลองค์กีที่รั่วออกไปอย่างไม่ตั้งใจ และปัญหาอื่นๆที่จะตามมาอีกมากมายจากกรณีที่ผู้บริหารระบบไม่สามารถบริหารจัดการข้อมูลที่พนักงานนำไปเก็บไว้ใน Free Cloud Service โดยรู้เท่าไม่ถึงการณ์
อีกปัญหาที่กำลังมาแรงในเวลานี้ดูได้จากการโจมตีทางไซเบอร์ที่พบเห็นบ่อยครั้งมากขึ้นในตลอด 2-3 ปีที่ผ่านมา คือ “Business Email Compromise (BEC)” คือ การหลอกให้เหยื่อเข้าใจผิดว่าเป็นคู่ค้า หรือ Supplier โดยหลอกผ่านทางอีเมลให้โอนเงินไปยังบัญชีของแฮกเกอร์ ซึ่งเป็นรูปแบบหนึ่งของการโจมตีแบบ Social Engineering ที่สร้างความเสียหายให้กับองค์กรที่ตกเป็นเหยื่อในปีหนึ่งๆ กว่าร้อยล้านบาท
เริ่มจากแฮกเกอร์มักจะเจาะเข้าระบบอีเมลขององค์กรได้ก่อน จากนั้นจะปลอม eMail Address เป็นลูกค้า Partner หรือ Supplier หลอกมาคุยกับเรา ในขณะเดียวกันแฮกเกอร์จะปลอมเป็นเราเพื่อโต้ตอบอีเมลกับลูกค้า Partner หรือ Supplier ด้วย
บางครั้งแฮกเกอร์หลอกคุยกับเราเป็นเดือนๆ แต่สุดท้ายจะมีเป้าหมายหลอกให้โอนเงินในที่สุด โดยที่ลูกค้า Partner หรือ Supplier ไม่รู้ตัวเลย ทำให้หลายบริษัทสูญเงินไปแล้วในระดับหลายสิบล้าน หรือ ในหลักร้อยล้านก็มี
ความผิดพลาดที่เกิดขึ้นทั้งหมดนี้ ต้นตอของปัญหาไม่ได้เกิดที่ระบบ แต่กลับกลายเป็นว่าเกิดจาก “คน” ที่ถูกโจมตีด้วยวิธีการ “Social Engineering” ซึ่งแนวทางในการป้องกันที่ได้ผลในระดับหนึ่งก็คือ การสร้างภูมิคุ้มกันให้กับเป้าหมายการโจมตีทางไซเบอร์ซึ่งหมายถึงทุกคนในองค์กร ตั้งแต่พนักงานระดับล่างจนถึงผู้บริหารระดับสูงสุดรวมถึงระดับกรรมการบริษัท
การให้ความรู้ด้านการป้องกันภัยไซเบอร์ด้วยการจัดทำ Cybersecurity Awareness Training และการซ้อมหนีภัยไซเบอร์ หรือที่เรียกว่า Cybersecurity Drill หรือ Cyber Drill ที่ควรต้องทำอย่างน้อยปีละ 2-3 ครั้ง เพื่อให้เกิดการตระหนักรู้และรู้ทันภัยใหม่ๆ ที่เปลี่ยนรูปแบบอยู่ตลอดเวลา และ เตรียมความพร้อมเมื่อภัยมาถึงตนเองและองค์กร
วิเคราะห์ Trend ที่ 8: GDPR/PDPA Compliance vs. Risk of Exposing Your Digital Footprint
ด้านมืดของการบังคับใช้กฎหมาย GDPR/PDPA และความเสี่ยงด้านร่องรอยทางดิจิทัล
จากความล้ำหน้าที่ทุกคนจะต้องตามให้ทันกับความก้าวไกลของการพัฒนาเทคโนโลยีดิจิทัล ทำให้มีการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลของฝั่งยุโรป ที่เรียกว่า GDPR ซึ่งประเทศไทยก็ได้พัฒนาพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ตามมา
แม้จะขยายเวลาในการบังคับใช้มาสองปีนับจากวันที่กฏหมายประกาศในราชกิจจานุเบกษา เจตนาของกฎหมายก็เพื่อคุ้มครองข้อมูลส่วนบุคคล ไม่ให้บุคคลคนใดหรือบริษัทใดนำข้อมูลส่วนบุคคลไปใช้ โดยไม่ได้บอกกล่าวหรือไม่ได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล (Data Subject) โดยเฉพาะข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งจะทำให้เกิดผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล
บนความหวังดีของกฎหมายคุ้มครองข้อมูลส่วนบุคคล กลับมีด้านมืดที่ไม่คาดคิดว่าจะเป็นช่องโหว่ให้เกิดความเสี่ยง เมื่อกฎหมายระบุให้ผู้ให้บริการต้องเปิดเผยข้อมูลส่วนบุคคลที่ให้ผู้ใช้แต่ละคนสามารถเข้าไปดูข้อมูลย้อนหลังของตัวเองได้ตั้งแต่เริ่มต้นใช้งานจนถึงปัจจุบัน ทำให้ข้อมูลทุกๆ อย่างที่เป็น “Digital Footprint” ถูกนำมาจัดเก็บไว้บน Cloud ของผู้ให้บริการแพลตฟอร์มต่างๆไม่ว่าจะเป็น Facebook Google หรือ Apple
ความเสี่ยงที่อาจเกิดขึ้นก็คือ ถ้าเมื่อไรมีผู้ไม่หวังดีสามารถเข้าไปล้วงข้อมูล Digital Footprint ของเราบน Cloud ของผู้ให้บริการแพลตฟอร์มก็เท่ากับว่าเราต้องสูญเสียข้อส่วนบุคคลเหล่านั้นไปทั้งหมด สาเหตุที่ผู้ไม่หวังดีสามารถแฮกเข้าไปนำข้อมูลส่วนบุคคลออกมาได้เนื่องจากเจ้าของข้อมูลมักไม่ได้เปิดใช้ Two-Factor Authentication (2FA)
เนื่องจากข้อมูลส่วนบุคคลถูกนำไปเก็บไว้ใน Cloud ดังกล่าว เหตุการณ์ข้อมูล Digital Footprint รั่วสามารถเกิดขึ้นได้ตลอดเวลา ดังที่บอกไว้ในเทรนด์ที่ 4 ซึ่งผู้ใช้ Social Media ควรจะต้องใช้ระบบการยืนยันตัวตนแบบสองปัจจัย หรือ สองชั้น ที่รู้จักกันในชื่อ 2FA (Two-Factor Authentication) ที่จะเป็นป้อมปราการด่านแรกในการปกป้องข้อมูลส่วนตัวของเรา
ในขณะที่ Google, Apple และ Facebook เปิดให้ใช้งาน 2FA ได้ เพียงแค่สละเวลาเข้าไปตั้งค่าด้วยตนเองเพียงครั้งเดียว จึงแนะนำว่าเราควรทำ 2FA ในทุก cloud service ที่เรากำลังใช้งานอยู่ไม่ว่าจะเป็น Free eMail หรือ Social Media
วิเคราะห์ Trend ที่ 9: AI Inclusion and AI with Ethical Dilemmas
ด้านมืดที่แฝงมากับความฉลาดของ AI และ การนำเทคโนโลยี AI มาใช้อย่างขาดจริยธรรม
เป็นที่ยอมรับกันว่าเทคโนโลยี AI มีความสามารถด้านการวิเคราะห์ข้อมูลเชิงลึก ซึ่งปัจจุบัน AI ถูกนำมาใช้ในหลายด้าน ไม่ว่าจะเป็นด้านการตลาดเพื่อวิเคราะห์พฤติกรรมหรือความสนใจของลูกค้า ที่เรามักจะเห็นโฆษณาขึ้นมามากมายหลังจากที่ได้เข้าไปค้นหาข้อมูลผ่าน Google หรือ หลังจากที่เราพูดคุยกันแล้ว ถูกไมโครโฟนดูดเสียงเข้าไปใน Smartphone เพื่อนำไปวิเคราะห์พฤติกรรมความต้องการของเรา
AI ยังถูกนำไปใช้ในด้านการลงทุนในหุ้น หรือ Cryptocurrency ที่มีการใช้ AI ช่วยวิเคราะห์และแนะนำการลงทุน นอกจากนี้ AI ยังถูกนำไปใช้ในด้านอื่นๆ อีกด้วย เช่น ด้านการแพทย์เริ่มเห็นวิวัฒนาการของ AI ในการวิเคราะห์โรคต่างๆมากขึ้น แต่ในขณะเดียวกัน AI ก็ถูกนำไปใช้ในด้านมืด โดยขาดจริยธรรม เช่นกัน นับเป็นความน่ากลัวที่หลายๆ คน ไม่รู้ตัวและคงไม่อยากประสบพบเจอกับตนเอง
ซึ่งตัวอย่างหนึ่งก็คือ Deepfake Clip คลิปลวงโลก ที่ใช้เทคโนโลยี AI สร้างขึ้นมา ทำได้โดยการเก็บรวบรวมบุคลิกลักษณะท่าทางของบุคคลเป้าหมายเอาไว้ แล้วใช้ AI เรียนรู้น้ำเสียงและท่าทางต่างๆ เพื่อนำไปสร้างเป็นคลิปปลอมเป็นบุคคลเป้าหมาย ให้ออกมาพูดในสิ่งที่ไม่เป็นความจริง อาจทำให้เกิดความเสื่อมเสียและการเข้าใจผิดต่อบุคคลเป้าหมายได้โดยง่าย เพราะเทคโนโลยี AI สามารถปลอมเสียง การขยับปาก ขยับศีรษะ
ดังนั้นหากเราได้ดูคลิปใดแล้วรู้สึกผิดปกติ เราควรจะต้องตรวจสอบข้อมูลข่าวสารจากหลายๆ สื่อ ก่อนที่จะปักใจเชื่อแม้เป็น video clip ก็ตาม
วิเคราะห์ Trend ที่ 10: Cyber Insurance becomes Mandatory for Enterprises/Companies
“ประกันภัยไซเบอร์” ทางเลือกภาคบังคับสำหรับวันนี้และอนาคต
ทุกวันนี้การสัญจรรถบนท้องถนน ประกันภัยรถยนต์เป็นทางเลือกที่ผู้ใช้รถมักจะทำประกันไว้เพื่อลดความเสี่ยงที่อาจเกิดขึ้นจากการเฉี่ยวชนได้ตลอดเวลา หากเปรียบเทียบกับโลกอินเทอร์เน็ตที่ทุกวันนี้ภัยคุกคามทางไซเบอร์ก็สามารถเกิดขึ้นได้ตลอดเวลาเช่นกัน ไม่ต่างกับการเกิดอุบัติเหตุบนท้องถนนที่เกิดขึ้นไม่เว้นแต่ละวัน
ดังนั้น ในเวลาอีกไม่นาน การทำประกันภัยไซเบอร์จะกลายเป็นทางเลือกภาคบังคับสำหรับองค์กร ซึ่งจะเป็นส่วนเสริมสำคัญ นอกเหนือจาก Incident Response Plan ทั้งแผนกู้ภัย แผนเผชิญเหตุ และแผนสำรองฉุกเฉินสำหรับการถูกโจมตีทางไซเบอร์ ที่องค์กรจำเป็นต้องมี
การทำประกันภัยไซเบอร์ จะช่วยลดภาระที่องค์กรต้องบริหารจัดการเตรียมความพร้อมเพื่อลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ โดยบริษัทผู้รับทำประกันจะดำเนินการชดเชยค่าสินไหมตามสัญญา และหากมีการโจมตีทางไซเบอร์ที่ทำให้เกิดความเสียหาย
บริษัทผู้รับทำประกันจะต้องรับผิดชอบค่าใช้จ่ายต่างๆที่เกี่ยวข้องกับการโจมตีทางไซเบอร์ เช่น เสียค่าปรับที่เกิดขึ้นให้แก่องค์กร จ่ายค่า Digital Forensic และ Incident Response โดยทีมงานมืออาชีพ ช่วยแบ่งเบาภาระและความรับผิดชอบของผู้บริหารองค์กรได้ในระดับหนึ่ง ทั้งนี้มีวัตถุประสงค์ เพื่อให้องค์กรสามารถดำเนินธุรกิจได้อย่างต่อเนื่อง และ ลดผลกระทบจาก Reputational Risk.
คอลัมน์ : รู้ทันไซเบอร์
ดร.ปริญญา หอมเอนก
ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด
https://web.facebook.com/prinyah
[email protected]