ยุคเฟื่องฟู 'เอไอ' เมื่อรับบท'พระเอก'ได้ ก็สวมบท ‘ตัวร้าย’ ได้เช่นกัน
งานวิจัยจาก ‘เซลส์ฟอร์ซ’ ให้ข้อมูลว่าผู้บริหารอาวุโสฝ่ายไอทีราว 2 ใน 3 หรือราว 67% ให้ความสำคัญกับ Generative AI (AI เชิงสร้างผลงาน) ในอนาคตอันใกล้นี้ ขณะเดียวกันราว 71% ก็เชื่อว่า เอไอ จะนำมาซึ่งความเสี่ยงด้านความปลอดภัยของข้อมูลในรูปแบบใหม่ๆ
“ปิแอร์ แซมซัน” ประธานเจ้าหน้าที่ฝ่ายรายได้ (CRO) Hackuity ยกข้อมูล จากสมาคมผู้ประกอบการปัญญาประดิษฐ์ประเทศไทย ระบุว่า ประเทศไทยมีการใช้ เอไอ อย่างแพร่หลาย ทั้งในระดับผู้ประกอบการไปจนถึงหน่วยงานภาครัฐ โดยส่วนใหญ่ตื่นตัวในการนำเทคโนโลยี เอไอ มาใช้ในองค์กร ขณะเดียวกันรายได้ของบริษัทสตาร์ตอัปด้านการพัฒนา เอไอ ของไทยก็เพิ่มขึ้น 25% ในปี 2565 และคาดการณ์ว่าเพิ่มขึ้นราว 35% ในปี 2566
ปัจจุบันคนร้ายได้ใช้แชตจีพีที (ChatGPT) และ Generative AI เพื่อช่วยเขียนโค้ดอันตราย (และอวดผลงานระหว่างกันในกลุ่มนักพัฒนา) ขณะที่ฝ่ายสนับสนุน แชตจีพีที อาจมองความเสี่ยงดังกล่าวในระดับที่ต่ำ แต่นักวิจัยพบว่า คนร้ายสามารถหลอกล่อ แชตจีพีที ให้สร้างไวรัสหรือสปายแวร์ได้เช่นกัน
แต่อย่าเพิ่งตื่นตระหนกเกินไป เพราะที่จริง “ความล้ำหน้า” ล่าสุดเหล่านี้ไม่ใช่พัฒนาการใหม่เสียทีเดียว แต่แค่เป็นการเร่งกระบวนการเดิมๆ ของแฮกเกอร์ให้เร็วขึ้น เช่นเดียวกับเครื่องมือ เอไอ ที่ทำงานได้เอง นั่นหมายถึงในด้านหนึ่งทีมรักษาความปลอดภัยก็สามารถนำมาใช้ในการป้องกันภัยได้เช่นกัน อย่างการตรวจหาความผิดปกติด้านระบบรักษาความปลอดภัยไซเบอร์ หรือคนร้ายเองก็ใช้ในการสร้างโค้ดที่หลบหลีกการตรวจจับได้ด้วย
ควรเริ่มที่จุดใด
เช่นเดียวกับภัยคุกคามรูปแบบใหม่อื่นๆ แต่ละองค์กรควรประเมินความเสี่ยงที่เกิดจาก แชตจีพีที ภายใต้บริบทการโจมตีที่เกี่ยวข้องกับตนเอง แนวทางดังกล่าวไม่ใช่การทบทวนระบบรักษาความปลอดภัยไซเบอร์ใหม่ทั้งหมด แต่บริษัทต่างๆ ต้องมั่นใจว่ามีปราการป้องกันที่แข็งแกร่งในด้านความปลอดภัยทางไซเบอร์ของตนเอง
ตามรายงานล่าสุดของ ซิสโก้ องค์กรส่วนใหญ่ยังคงเผชิญกับอุปสรรคในการตรวจสอบ ยกระดับ และแก้ไขปัญหาภัยคุกคามพื้นฐานทั่วไป มีเพียงราว 15% ที่มีความ “มั่นคงทางไซเบอร์ และมากกว่าครึ่งยังอยู่ในระดับ “เริ่มต้น” หรือ “เริ่มดำเนินการ” เท่านั้น ดังนั้นจึงเกิดเป็นช่องว่างด้านความปลอดภัยพื้นฐานที่จำเป็นต้องจัดการเป็นลำดับแรก ก่อนที่จะจัดสรรทรัพยากรไปรับมือกับภัยคุกคามล่าสุดจาก เอไอ หรือกล่าวง่ายๆ ว่า อย่าเพิ่งรีบอวดฝีมือทำอาหารในเมื่อคุณเองก็ไม่ได้เข้าครัวมาหลายปี
หลายบทความมักพาดหัวให้คุณเชื่อว่า Generative AI และ แชตจีพี เป็นภัยคุกคามไซเบอร์รูปแบบใหม่ ทั้งที่จริงเป็นเพียงแค่การขยายขอบเขตการโจมตีแบบโบราณ เรียกว่า เอไอ ทำให้คนร้ายสามารถใช้เทคนิคเดิมๆ โจมตีได้ในระดับที่กว้างขึ้นกว่าในอดีต แต่ที่อธิบายไปทั้งหมดจะไม่สำคัญเลยเลยหากผู้ใช้งานขาดความพร้อมพื้นฐานที่ถูกต้อง
เราควรปกป้องตนเองอย่างไร
หลักการ ZERO Trust ซึ่งใช้ในการยืนยันตัวตนผู้ใช้ภายใต้สถาปัตยกรรมความปลอดภัยยุคใหม่ถือเป็นเฟรมเวิร์กที่ช่วยรับมือปัญหายุคใหม่ในโลกธุรกิจทุกวันนี้ โดยช่วยปกป้องคนที่ทำงานจากทางไกล ปกป้องระบบไฮบริดคลาวด์ และป้องกันบริษัทจากมัลแวร์เรียกค่าไถ่
องค์กรหลายแห่งใช้ระบบจัดการช่องโหว่ (ASM - Attack Surface Management) ที่ช่วยในการค้นหาและวิเคราะห์ช่องโหว่และโอกาสที่จะถูกโจมตี ZERO Trust เองก็มองข้ามเส้นคั่นความปลอดภัยแบบเดิมๆ เช่นกัน ทั้งหมดแม้จะไม่ปลอดภัยพอ แต่ก็เป็นเรื่องจำเป็น
หลักการสำคัญมีง่ายๆ ว่า อย่าเชื่อหรืออนุมานในตัวตนของใคร และกำหนดสิทธิ์ให้แต่ละคนต่ำที่สุดเพื่อลดช่องโหว่ที่อาจเกิดขึ้น หลักการที่ว่านี้ใช้ได้ในกรณีที่ต้องรับมือกับภัยคุกคามจาก Generative AI เช่นกัน