บทความโดย ดมิทรี วอลคอฟ ประธานเจ้าหน้าที่บริหาร Group-IB
ในยุคที่โลกดิจิทัลกับโลกความเป็นจริงแทบจะเดินคู่ขนานกัน การเปลี่ยนแปลงใด ๆ ในโลกหนึ่ง ส่งผลถึงอีกโลกหนึ่งอย่างยากที่จะหลีกเลี่ยง ทั้งจากการปฏิสัมพันธ์ระหว่างผู้คน นวัตกรรม และความร่วมมือต่าง ๆ แต่ในขณะที่เรากำลังมุ่งสู่ดิจิทัล ความร่วมมือระดับโลกกลับสั่นคลอนจากความขัดแย้งทางภูมิรัฐศาสตร์ หลายประเทศให้ความสำคัญกับความปลอดภัย โดยพยายามจำกัดโครงสร้างพื้นฐาน ข้อมูล และบริการสำคัญต่าง ๆ ให้อยู่ภายในประเทศตัวเอง
อย่างไรก็ดี แม้การทวนกระแสโลกาภิวัตน์ (deglobalisation) หรือการลดการพึ่งพาระหว่างกัน และ อธิปไตยทางดิจิทัล (digital sovereignty) จะเป็นปัจจัยขับเคลื่อนการเปลี่ยนแปลง แต่ความปลอดภัยกลับถูกมองข้ามไป ความคิดที่ว่าระบบที่อยู่ภายในประเทศปลอดภัยกว่า กลายเป็นอุปสรรคต่อความร่วมมือระดับโลกในการปราบปรามอาชญากรรมไซเบอร์
อาชญากรรมไซเบอร์นั้นไร้พรมแดน การป้องกันที่มีประสิทธิภาพย่อมเกิดขึ้นไม่ได้ หากปราศจากการแบ่งปันข้อมูลเชิงลึก การพัฒนาแนวทางการป้องกัน รวมทั้งการวางกลยุทธ์เพื่อตอบสนองต่อภัยคุกคามที่เกิดขึ้น
#1 การล่อลวงและโจมตีทางไซเบอร์โดยใช้ AI
ปัญญาประดิษฐ์ (AI) เป็นเทคโนโลยีที่ยังคงพัฒนาอย่างต่อเนื่องและเข้ามามีบทบาทสำคัญต่อธุรกิจและโครงสร้างพื้นฐานสำคัญต่าง ๆ แต่ในขณะเดียวกันความเสี่ยงจากการถูกโจมตี การรั่วไหลของข้อมูล การบิดเบือนข้อมูล และภัยคุกคามอื่น ๆ ก็เพิ่มสูงขึ้นอย่างต่อเนื่องเช่นกัน
การนำ AI มาใช้มากขึ้นเรื่อย ๆ ในขณะที่มาตรการและโปรโตคอลด้านความปลอดภัยยังตามไม่ทัน เป็นการเปิดช่องโหว่ให้ข้อมูลสำคัญตกอยู่ในความเสี่ยงต่อการถูกโจมตี ไม่ว่าจะเป็นข้อมูลที่มีความละเอียดอ่อน ข้อมูลประจำตัว หรือ สินทรัพย์ที่จำเป็นต่อการดำเนินงาน ซึ่งรวมถึงการโจมตีด้วยโค้ดที่เป็นอันตราย (malicious code) การหลอกลวงผ่านระบบอินเทอร์เน็ต (scams) และการโจมตีแบบกำหนดเป้าหมายที่ต้องการ (targeted attack) ซึ่งกำลังท้าทายระบบป้องกันภัยไซเบอร์ในปัจจุบัน
Generative AI (GenAI) และ โมเดลภาษาขนาดใหญ่ (LLMs) กำลังกลายเป็นอาวุธใหม่ของบริการอาชญากรรมไซเบอร์ต่าง ๆ (Cybercrime-as-a-Service: CaaS) โดยทำให้สามารถสร้างและโจมตีทางไซเบอร์ได้อย่างอัตโนมัติ เช่น การส่งอีเมลหลอกลวง (Phishing) ชุดเครื่องมือเจาะระบบ (Exploit Kits) และมัลแวร์
แม้จะมีแนวโน้มการนำ AI ไปใช้ในทางที่ผิด แต่ AI ก็เป็นเครื่องมือสำคัญที่ช่วยเสริมศักยภาพให้กับผู้ป้องกันภัยไซเบอร์ ให้สามารถปกป้องความเสี่ยงต่าง ๆ ได้อย่างมีประสิทธิภาพมากขึ้นเช่นกัน
#2 การจารกรรมทางไซเบอร์ การก่อวินาศกรรม และการกระทำที่เป็นภัยคุกคามต่อประเทศที่เพิ่มมากขึ้น
ความอ่อนไหวทางภูมิรัฐศาสตร์ทำให้เกิดการกระทำที่เป็นภัยคุกคาม ที่ก่อให้เกิดอาชญากรรมทางไซเบอร์ ไม่ว่าจะเป็นการแฮ็กข้อมูล การใช้สปายแวร์ การโจมตีระบบโครงสร้างพื้นฐานสำคัญ ๆ รวมถึงการทำให้ระบบซัพพลายเชนต้องหยุดชะงัก ความเสียหายจากการกระทำดังกล่าวอาจสร้างหายนะมากขึ้น ซึ่งเป็นผลกระทบโดยตรงของการทวนกระแสโลกาภิวัฒน์ (deglobalization) ที่โลกเชื่อมต่อกันน้อยลง ยิ่งไปกว่านั้น การรวมศูนย์ทุกอย่างไว้ที่เดียว เช่น มีศูนย์ข้อมูลเพียงแห่งเดียวโดยไม่มีระบบสำรองที่เหมาะสม ยิ่งเหมือนเปิดช่องให้ประเทศต่าง ๆ กลายเป็นเป้าหมายของการโจมตีได้ง่ายขึ้น รวมถึงอาจทำให้บริการต้องหยุดชะงักเป็นวงกว้าง
เมื่อเดือนมิถุนายน 2567 ศูนย์ข้อมูลแห่งชาติ (PDN) ซึ่งเป็นบริการภาครัฐของประเทศอินโดนีเซีย ถูกแรนซัมแวร์โจมตี ส่งผลให้บริการต่าง ๆ ต้องหยุดชะงักครั้งใหญ่ และส่งผลกระทบต่อบริการของรัฐหลายแห่ง เช่น ระบบตรวจคนเข้าเมือง ระบบการออกใบอนุญาตต่าง ๆ นอกจากนี้ ในปีที่ผ่านมายังมีการก่อวินาศกรรมมากมาย เช่น การโจมตีทะเลแดง ซึ่งส่งผลกระทบต่อสายเคเบิลใต้น้ำในทะเลแดงที่เชื่อมโยงการสื่อสารระหว่างยุโรป แอฟริกา และเอเชีย แสดงให้เห็นว่าเป็นการเล็งเป้าโจมตีไปยังระบบเชื่อมต่อสำคัญของโลก และคาดการณ์ได้ว่าการโจมตีลักษณะนี้จะยังคงเพิ่มขึ้นตราบใดที่ความตึงเครียดระหว่างพรมแดนยังมีอยู่
#3 เทคโนโลยี deepfake และสื่อสังเคราะห์ (synthetic media)
Deepfake มีการพัฒนาอย่างรวดเร็วและกำลังกลายเป็นเครื่องมือในการบิดเบือนข้อมูล การละเมิดตราสินค้า การฉ้อโกง หรือแม้แต่การละเมิดความเป็นส่วนตัว สื่อสังเคราะห์และ deepfakes สามารถเปลี่ยนทั้งเสียง ภาพ และส่วนประกอบของข้อความต่าง ๆ เพื่อล่อลวงหรือชักจูงให้ผู้ชมหรือผู้ฟังทำอะไรบางอย่าง
Deepfake ยังเป็นความท้าทายต่อระบบตรวจสอบข้อมูลชีวภาพมากขึ้นเรื่อย ๆ โดยเปิดโอกาสให้ผู้ไม่หวังดีหลีกเลี่ยงระบบรักษาความปลอดภัย แอบเข้าถึงข้อมูลและระบบต่าง ๆ โดยไม่ได้รับอนุญาต
นอกจากนี้ เรายังได้เห็นว่ามีภาพบุคคลสำคัญและคนมีชื่อเสียงถูกสร้างปลอมขึ้นมาเพื่อนำไปใช้หลอกขอรับเงิน หรือเผยแพร่ข่าวปลอมและโฆษณาชวนเชื่อ ซึ่งกระตุ้นให้หน่วยงานต่าง ๆ พัฒนากลยุทธ์ในการตรวจจับและป้องกัน deepfake เพื่อลดความเสียหายทั้งด้านชื่อเสียงและการเงิน
#4 กลโกงรูปแบบใหม่ ภัยคุกคามที่เปลี่ยนไวและขยายตัวเร็ว
มิจฉาชีพยุคใหม่กำลังคิดวิธีการนำ AI มาใช้สร้างกลโกงอัตโนมัติ ทำการฉ้อโกงทางการตลาด และใช้ AI ช่วยกระจายการหลอกลวงต่าง ๆ มีการนำเทคโนโลยี deepfake การโจมตีทางวิศวกรรมสังคม อีเมล แชทอัตโนมัติ และการโทรหลอกลวง มาใช้สร้างแพลตฟอร์มการฉ้อโกง มีการใช้โปรแกรมพันธมิตรออนไลน์ การปลอมแปลงตัวตน สร้างโปรไฟล์ปลอมที่ดูน่าเชื่อถือ
แก๊งคอลเซ็นเตอร์ที่กำลังระบาดหนักอยู่ขณะนี้กำลังสร้างระบบที่ผิดกฎหมาย ผ่านเส้นทางการเงินของเครือข่ายอาชญากรรม ทั้งที่ล่อลวงตรงไปยังบุคคล เช่น การค้ามนุษย์ และทางอ้อม เช่น หลอกลวงให้เข้าร่วมการกระทำอันฉ้อฉล
มีรายงานว่า การหลอกลวงที่เพิ่มขึ้น สร้างความเสียหายมหาศาลหลายพันล้านเหรียญสหรัฐฯ เพื่อฉกฉวยประโยชน์จากโอกาสดังกล่าว อาชญากรไซเบอร์จะยังคงพุ่งเป้าไปยังเศรษฐกิจที่เติบโตเต็มที่ที่สุดที่สามารถเข้าถึงช่องโหว่สำคัญ ๆ เช่น มาตรการทางกฎหมาย กลไกการบังคับใช้กฎหมาย หรือกลวิธีอื่น ๆ ที่มิจฉาชีพสามารถคิดขึ้นได้
การป้องกันการฉ้อโกงอย่างมีประสิทธิภาพ ต้องอาศัยการแบ่งปันข้อมูลระหว่างสถาบันการเงิน ไม่ว่าจะเป็นข้อมูลเกี่ยวกับรูปแบบการฉ้อโกง บัญชีม้า และกลยุทธ์ในการรับมือ ยิ่งแบ่งปันข้อมูลกันมากเท่าใดก็จะช่วยปกป้องลูกค้าและต่อต้านกลโกงและข่าวปลอมที่ระบาดอยู่ทั่วโลกขณะนี้ได้อย่างแข็งแกร่งมากขึ้น
#5 การเจาะระบบอัตโนมัติ
โมเดลที่สามารถแก้ปัญหาให้มนุษย์ผ่านการเรียนรู้และขับเคลื่อนได้ด้วยตนเอง กำลังจะถูกนำมาใช้งานจริง เทคโนโลยีอัตโนมัติทั้งหลายกำลังมาแรง และแน่นอนว่ามาตรการรักษาความปลอดภัยไซเบอร์จึงสำคัญมากขึ้นตามมา เหล่าแฮกเกอร์ใช้โอกาสจากความสามารถในการคาดเดารูปแบบการทำงานของ AI ในการโจมตี เช่น ใช้เทคนิค Adversarial จัดการข้อมูล หาช่องโหว่ และบุกรุกระบบโดยไม่ถูกตรวจจับ ซึ่งเป็นเรื่องน่ากังวลอย่างยิ่งต่อส่วนที่เป็น IT/OT และโครงสร้างพื้นฐานสำคัญต่าง ๆ ในอุตสาหกรรมที่ใช้ระบบอัตโนมัติ เช่น คู่มือการใช้งานหรือขั้นตอนการซ่อมบำรุงเครื่องจักร (mechanical process guidance) เป็นต้น
#6 “เพื่อนบ้าน” อาจกลายเป็นจุดอ่อนของคุณ
ภัยไซเบอร์รูปแบบใหม่ “เพื่อนบ้าน” อาจกลายเป็นจุดอ่อนที่ทำให้ถูกโจมตีได้ การดูแลระบบภายในอย่างเดียวอาจไม่เพียงพอเพราะภัยคุกคามที่เรียกว่า “nearest neighbor attacks” กำลังมาแรง แฮกเกอร์จะใช้ช่องโหว่ของระบบพาร์ทเนอร์ในซัพพลายเชนเป็นทางเข้าโจมตีแบบโดมิโน สร้างความเสียหายเป็นวงกว้าง คำถามสำคัญ คือองค์กรจะป้องกันตัวเองจากการโจมตีที่เกิดจากอุปกรณ์ที่ตัวเองไม่ได้เป็นเจ้าของหรือควบคุมได้อย่างไร
#7 คลาวด์ : เป้าหมายใหม่ของอาชญากรไซเบอร์
ธุรกิจต่าง ๆ กำลังย้ายระบบไปยังคลาวด์ เพื่อเพิ่มประสิทธิภาพ ใช้ศักยภาพในการเคลื่อนย้ายข้อมูลไปมา และใช้ศักยภาพในการทำงานร่วมกันบนสภาพแวดล้อมคลาวด์และมัลติคลาวด์ อย่างไรก็ตามการเปลี่ยนแปลงนี้ดึงดูดอาชญากรไซเบอร์ด้วยเช่นกัน
การย้ายระบบขึ้นคลาวด์ แม้จะนำมาซึ่งประโยชน์มากมาย แต่ก็เต็มไปด้วยความท้าทายด้านความปลอดภัย เช่น ช่องโหว่ที่เกิดขณะทำการย้ายข้อมูล การตั้งค่าความปลอดภัยเครือข่ายที่ไม่ถูกต้อง API ที่ไม่ปลอดภัย ข้อบกพร่องในการจัดการสิทธิ์การเข้าถึง และการเข้ารหัสที่ไม่รัดกุม ล้วนทำให้เกิดความเสี่ยงมากขึ้น ยิ่งไปกว่านั้น การกำหนดค่า การเข้าถึง และการจัดการโครงสร้างพื้นฐานคลาวด์ที่หละหลวม ยิ่งเพิ่มโอกาสให้ผู้ไม่หวังดีโจมตีระบบได้ง่ายขึ้น
#8 ใช้การตรวจสอบแบบปรับเปลี่ยนได้ (adaptive verification) ป้องการการโจมตีที่มุ่งไปยังข้อมูลประจำตัว
การมีปฏิสัมพันธ์ทางออนไลน์กับผู้ใช้หรือผู้ที่เราติดต่อด้วยที่เป็นตัวจริง เป็นสิ่งสำคัญมากของการค้าขายผ่านช่องทางดิจิทัลที่ประสบความสำเร็จและมีความปลอดภัย วิธีการรักษาความปลอดภัยแบบเดิม ๆ ไม่สามารถรับมือกับการโจมตีแบบ Identity-based ที่มุ่งเป้าไปที่การขโมยข้อมูลประจำตัวของผู้ใช้งานได้อย่างมีประสิทธิภาพ นอกจากนี้การใช้รหัสผ่านเดียวกันซ้ำ ๆ ในหลายบัญชีก็เป็นการเพิ่มความเสี่ยงต่อการรั่วไหลของข้อมูลและการเปิดเผยข้อมูลประจำตัว
ระบบ Single Sign-On (SSO) ที่ช่วยให้ผู้ใช้สามารถเข้าถึงหลายแอปพลิเคชันด้วยการเข้าสู่ระบบเพียงครั้งเดียวกำลังตกเป็นเป้าหมายของเหล่าแฮกเกอร์ที่ใช้ประโยชน์จากจุดอ่อนในวิธีการยืนยันตัวตนเพื่อขโมยข้อมูลส่วนบุคคล เมื่อได้ข้อมูลมาแล้วก็สามารถปลอมแปลงเป็นผู้ใช้และเข้าถึงแอปพลิเคชันต่าง ๆ ได้อย่างอิสระ ที่น่ากังวลคือ แม้จะมีการยืนยันตัวตนแบบสองชั้น (2FA) ก็ไม่สามารถป้องกันการโจมตีรูปแบบนี้ได้ อย่างสมบูรณ์ เนื่องจากแฮกเกอร์สามารถใช้ข้อมูลที่ขโมย (IDP) มาเพื่อเข้าถึงบัญชีและข้ามขั้นตอน 2FA ไปได้
ภัยคุกคามทางไซเบอร์ที่พัฒนาอย่างต่อเนื่องทำให้ระบบการยืนยันตัวตนต้องก้าวให้ทัน ผู้ไม่ประสงค์ดีมักใช้ประโยชน์จากช่องโหว่เพื่อขโมยข้อมูลส่วนบุคคลและก่อเหตุฉ้อโกง ดังนั้น การตรวจสอบแบบปรับเปลี่ยนได้ (adaptive verification) จึงเป็นแนวทางใหม่ที่น่าสนใจ ระบบนี้ก้าวข้ามขีดจำกัดของการยืนยันตัวตนแบบสองปัจจัย (2FA) และการยืนยันตัวตนแบบหลายปัจจัย (MFA) โดยจะพิสูจน์ตัวตนของผู้ใช้โดยอิงตามปัจจัยเสี่ยง เช่น ตำแหน่งที่ตั้ง ความสมบูรณ์ของอุปกรณ์ และพฤติกรรมของผู้ใช้ การที่การฉ้อโกงข้อมูลส่วนบุคคลแบบสังเคราะห์และการเจาะระบบเพิ่มสูงขึ้น ทำให้การตรวจสอบแบบหลายปัจจัย (multifactorial verification) อาจกลายเป็นมาตรฐานในการตรวจสอบ โดยเฉพาะในภาคส่วนที่มีความเสี่ยงสูง เช่น ธนาคารและการเงิน
สร้างความยืดหยุ่นเพื่อต่อกรกับการโจมตีที่ขยายวงกว้างขึ้น
แม้ความมั่นคงปลอดภัยทางไซเบอร์ที่รัดกุมจะเป็นสิ่งจำเป็นสำหรับธุรกิจในปัจจุบัน แต่วัตถุประสงค์และความรับผิดชอบขององค์กรแต่ละแห่งยังคลุมเครือ ธุรกิจจำนวนมากยังขาดกลยุทธ์หรือกรอบการทำงานด้านความปลอดภัยไซเบอร์ที่เหมาะสม มีเพียงมาตรการป้องกันขั้นพื้นฐานเท่านั้น
ผู้บริหารด้านไซเบอร์มักประสบปัญหาการเชื่อมโยงการบริหารความเสี่ยงตรงไปยังการเติบโตและความมั่นคงทางธุรกิจ ทำให้ยากต่อการใช้จ่ายและจัดสรรงบประมาณได้อย่างเพียงพอ ทำให้ความปลอดภัยไซเบอร์มักถูกมองว่าเป็น “ศูนย์ต้นทุน” ที่มีแต่จ่ายออก และต้องควบคุมให้อยู่ในงบประมาณที่ตั้งไว้
แม้ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (CISO) จะให้ความสำคัญกับเทคโนโลยี AI ที่เข้ามามีบทบาทสำคัญในการยกระดับความปลอดภัย ไม่ว่าจะเป็นการวิเคราะห์ภัยคุกคามเชิงคาดการณ์ การติดตามตรวจสอบรันไทม์และการมองเห็น การตอบสนองอัตโนมัติ การจัดการด้านความปลอดภัยและการตรวจสอบเรื่องการควบคุม แต่ทั้งหมดนี้ก็ไม่ใช่โซลูชันแบบองค์รวมที่จะสามารถต่อกรกับภัยคุกคามใหม่ ๆ ที่เกิดขึ้นได้
เมื่อต้องเผชิญกับรูปแบบความคิดที่ซับซ้อนของผู้ไม่ประสงค์ดี ต้องอาศัยการโต้ตอบตามสัญชาตญาณของคนที่เป็นผู้เชี่ยวชาญ ผ่านการตัดสินใจเชิงวิพากษ์ วิจารณญาณ ความเข้าใจในบริบทของภัยคุกคาม และความสามารถในการตีความข้อมูลเชิงลึก ซึ่งล้วนเป็นสิ่งที่เทคโนโลยีไม่มี
ความยืดหยุ่น เป็นสิ่งที่ขาดไม่ได้ในเวลานี้ แนวโน้มที่กล่าวข้างต้นเป็นสิ่งจำเป็นต่อทุกองค์กรในการกำหนดกลยุทธ์ด้านความปลอดภัยไซเบอร์สำหรับปีนี้ และองค์กรทุกแห่งสามารถกลับมาทบทวนได้เสมอ ทั้งนี้ องค์กรต่าง ๆ ต้องปรับตัวและเตรียมพร้อมรับมือกับภัยคุกคามที่ซับซ้อนและเปลี่ยนแปลงตลอดเวลา โดยผสมผสานเทคโนโลยี ความเชี่ยวชาญของมนุษย์ และกลยุทธ์ที่แข็งแกร่ง เข้าไว้ด้วยกัน
