Cyber Defense Initiative Conference 2023 (CDIC 2023) ปิดฉากลงอย่างสมบูรณ์ งานในปีนี้ทำลายสถิติในรอบ 22 ปี โดยเป็นปีที่มีผู้เข้าร่วมสัมมนามากที่สุด และมีเวนเดอร์มาร่วมออกบูธแสดงสินค้าและบริการมากที่สุด
นับเป็นความสำเร็จที่น่าภาคภูมิใจเป็นอย่างยิ่ง และในโอกาสเดียวกันนี้ บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ผู้จัดงาน CDIC ได้รับเกียรติจาก รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม คุณ ประเสริฐ จันทรรวงทอง ตลอดจนผู้แทนระดับสูงจากหน่วยงานกำกับดูแล ธปท. กลต. คปภ. สกมช. และ สคส. ตลอดจนผู้เชี่ยวชาญจากต่างประเทศ อีกทั้งผู้เชี่ยวชาญในสาขาต่างๆ ที่มีชื่อเสียง มาร่วมบรรยายกว่า 20 ท่าน
พร้อมกันนี้ อาจารย์ ปริญญา หอมเอนก ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด และ บริษัท ไซเบอร์ตรอน ยังได้เผย 10 แนวโน้ม ด้าน Cybersecurity และ Data Privacy ของปี พ.ศ. 2567 ด้วย ภายใต้หัวข้อ Top Ten Cybersecurity & Privacy Threats and Trends 2024 มีรายละเอียด ดังนี้
1. AI-Driven Threats vs. Al-Governance : ภัยคุกคามที่ขับเคลื่อนด้วย Generative AI กับ ธรรมาภิบาลด้านการนำ Generative AI มาใช้
Generative AI จะถูกใช้เป็นเครื่องมือในการสร้างภัยคุกคามซึ่งจะมีความฉลาดที่ซับซ้อนมากขึ้น และจะเกิดอย่างรวดเร็ว เปลี่ยนแปลงรูปแบบในการคุกคามไปเรื่อยๆ แต่ในอีกมิติหนึ่งคือ ด้านธรรมาภิบาลก็จะถูกขับเคลื่อนด้วยเช่นกัน ทั้งนี้เพื่อกำหนดกฎเกณฑ์ให้ใช้ Generative AI อย่างโปร่งใส มีจริยธรรม และเป็นธรรม เพื่อเตรียมความพร้อมของมนุษยชาติในการเข้าสู่ยุค AGI (Artificial General Intelligence)
2. Ransomware & Data Breach Evolution (Continue to Evolve) : วิวัฒนาการของแรนซัมแวร์และการละเมิดข้อมูลยังคงพัฒนาต่อไปอย่างต่อเนื่อง
Ransomware และการละเมิดข้อมูลส่วนบุคคล ยังคงเกิดขึ้นอย่างต่อเนื่อง โดยจะมีวิวัฒนาการที่เลวร้ายมากขึ้น และเหตุการณ์ต่างๆ จะเกิดบ่อยขึ้นในไม่ช้าไม่นานนี้ รวมทั้งมีแนวโน้มว่าเราจะเห็นเหตุการณ์ดังกล่าวอาจเกิดขึ้นแทบทุกวันจนกลายเป็นเรื่องปกติ ดังนั้น SOC (Security Operation Center) และ IR (Incident Response) จึงเป็นเรื่องสำคัญที่ทุกองค์กรควรปฏิบัติ
3. Digital Trust vs. Digital Risks & Digital Frauds : ความไว้วางใจทางดิจิทัลกับความเสี่ยงทางดิจิทัล และการฉ้อโกงทางดิจิทัล
ทั้ง 3 สิ่งนี้จะทวีความสำคัญยิ่งขึ้น การเน้นความสำคัญ จาก “Information” เป็น “Cyber” และ จาก “Cyber” เป็น “Digital” เพราะโลกเต็มไปด้วยภัยคุกคามที่ซับซ้อนและเข้าใจยากจากการนำเทคโนโลยีดิจิทัลมาใช้ จึงจำเป็นจะต้องสร้างความเชื่อมั่นให้กับ stakeholders บุคลากรในองค์กรตลอดจนประชาชนทั่วไป จำเป็นต้องมีทักษะทางดิจิทัลเพื่อลดความเสี่ยง และไม่ให้ถูกกลโกงหรือภัยคุกคามใหม่ๆ สามารถเจาะเข้าถึงจิตใจโดยอาศัยความโลภและความกลัวของมนุษย์ ไปถึงเรื่องการหลอกให้เชื่อ ให้หลง ให้รัก จนต้องเสียทรัพย์เสียความรู้สึกในการโจมตีด้วยรูปแบบ Romance SCAM และ Sextortion หลายร้อยหลายพันรายในช่วงสองสามปีที่ผ่านมา
4. Cost of Data Breaches to Companies to Increase : ต้นทุนด้านการละเมิดข้อมูลส่วนบุคคลขององค์กรจะเพิ่มขึ้น
ปัญหาของการโจมตีโดย Ransomware จะนำไปสู่เหตุการณ์ข้อมูลรั่ว ข้อมูลสูญหาย และการละเมิดข้อมูล ทำให้องค์กรจะต้องเร่งจัดหาทางป้องกันระบบ และมีการจัดการกับข้อมูล โดยการทำ encryption หรือ pseudonymization (ใน GDPR มีการกำหนดไว้) ทั้งนี้เพื่อลดความเสี่ยงดังกล่าว
5. Government, Telecom and Healthcare Sectors are very High Risk on Data Breaches : ภาครัฐบาล โทรคมนาคม และ สาธารณสุข มีความเสี่ยงสูงมากเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล
ท็อปองค์กร 3 ประเภทที่อยู่บนความเสี่ยงของการถูกละเมิดข้อมูลส่วนบุคคลประจำปี 2024 นี้ ยังคงเป็น ภาครัฐบาล โทรคมนาคม และสาธารณสุข เช่นเดิม เพราะเป็นแหล่งข้อมูลส่วนบุคคลขนาดใหญ่ มีความสำคัญกับประเทศและประชาชน จึงเป็นเป้าหมายหลักของผู้ไม่หวังดีอย่างหลีกเลี่ยงไม่ได้
6. Supply Chain & Critical Infrastructure Cyber Risk Management : ห่วงโซ่อุปทานและโครงสร้างพื้นฐานที่สำคัญ จำเป็นต้องมีการจัดการความเสี่ยงทางไซเบอร์
แม้จะป้องกันระบบขององค์กรดีเพียงใด แต่ถ้าคู่ค้าไม่มีระบบความปลอดภัยที่ดีพอ ก็จะเป็นช่องทางให้ภัยสามารถเข้าถึงองค์กรได้ ดังนั้นองค์กรจึงต้องมีข้อกำหนดหรือกรอบความคิด (Framework) ในการบริหารจัดการกับความเสี่ยงภัยต่อห่วงโซ่อุปทานและโครงสร้างพื้นฐานสำคัญ
7. Cybersecurity in The Boardroom : ความมั่นคงปลอดภัยทางไซเบอร์ เป็นหัวข้อจำเป็นที่จะต้องอยู่ในห้องประชุมของกรรมการ
การบริหารองค์กรในปัจจุบันมีความจำเป็นที่จะต้องนำประเด็นเรื่องความมั่นคงปลอดภัยทางไซเบอร์เข้าสู่ที่ประชุมคณะกรรมการบริหาร หรือ Board of Directors หากตกเรื่องนี้ นั่นหมายถึงความเสี่ยงภัยไซเบอร์รออยู่หน้าประตูองค์กร เพราะผู้ไม่หวังดีจะเจาะเข้ามาเมื่อไร องค์กรไม่มีทางรู้ได้ ดังนั้น การเตรียมความพร้อม และการเปลี่ยน mindset ของกรรมการ จาก “Are We Secure?” เป็น “Are We Ready?” จึงมีความสำคัญมาก
8. Decline of Malware, More Identity-Based Attacks : การลดลงของมัลแวร์ แต่มีการโจมตีระบบการพิสูจน์และยืนยันตัวตนมากขึ้น
ปัจจุบันการโจมตีได้เปลี่ยนรูปแบบไปมาก วิธีการเจาะระบบหรือจู่โจมด้วย Malware ลดลง แต่จะหันไปใช้วิธีการเจาะระบบโดยเข้าถึงการพิสูจน์และยืนยันตัวตนของเป้าหมายมากขึ้น ดังนั้น access control ขั้นต่ำต้องใช้ Two Factor Authentication หรือ Multi Factor Authentication โดยเป้าหมายหลักของผู้ไม่หวังดีคือ การเข้าถึงข้อมูลขององค์กรโดยการเจาะผ่าน account ของพนักงานคนใดคนหนึ่งเพื่อขยายผลต่อไป
9. From IO (Information Operation) to IA (Information Advantage) : จากปฏิบัติการข่าวสาร มุ่งไปสู่ การสร้างข้อได้เปรียบจากการบริหารจัดการข้อมูล
ปฏิบัติการข่าวสาร (Information Operation) เป็นยุทธวิธีหนึ่ง ในการเปลี่ยนความคิด ความเชื่อของกลุ่มเป้าหมาย ซึ่งมีผลต่อการตัดสินใจ จากเดิมปฏิบัติการเช่นนี้เป็นยุทธวิธีทางการทหารที่มักจะไม่มีการนำมาเปิดเผย แต่ปัจจุบันได้มีการนำมาเปิดเผยอย่างแพร่หลายในรูปแบบของ Military Doctrine ปัจจุบันยังมีการนำหลักการ IA มาใช้อย่างแพร่หลายทั่วโลก ปฏิบัติการ IA มีเป้าหมายเพื่อสร้างความได้เปรียบคู่ต่อสู้ โดยใช้หลักห้าข้อ ได้แก่ Enable, Protect, Inform, Influence และ Attack
10. From Cyber Resilience to Cyber Dominance : จากความยืดหยุ่นทางไซเบอร์สู่การครอบงำทางไซเบอร์
จากยุคที่องค์กรจะต้องเตรียมความพร้อมให้องค์กรมีความทนทานและยืดหยุ่นต่อการเผชิญกับภัยไซเบอร์ที่ไม่อาจคาดคิด ไม่แน่นอน ไม่สามารถคาดการณ์ได้ และความไม่รู้ว่าเรายังไม่รู้อะไร โดยเฉพาะการโจมตีในรูปแบบใหม่ กลายเป็นเรื่องปกติที่องค์กรต้องปฏิบัติ แต่ที่ต้องตระหนักยิ่งกว่า คือ โลกกำลังก้าวสู่ยุคที่เกิดสภาวะการครอบงำทางไซเบอร์ โดยการโจมตีจะพุ่งเป้าไปที่การครอบงำการตัดสินใจ (Decision Dominance) การควบคุมความคิดโดยปฏิบัติการ Information Advantage (IA) จะสามารถเปลี่ยนความเชื่อของคนได้จากปฏิบัติการดังกล่าว
แนวโน้มทั้ง 10 ประการดังกล่าวนี้ จะเป็นประโยชน์ต่อการปรับกลยุทธ์และแนวปฏิบัติในองค์กรของท่านเพื่อนำไปทำ Master Plan และการเตรียมความพร้อมในการรับมือกับภัยไซเบอร์ในรูปแบบใหม่ๆ โดยเฉพาะการนำ Generative AI มาใช้ในทางมิชอบโดยมีการละเมิดข้อมูลส่วนบุคคล และกระทบกับ Human Right โดยทางอ้อม ผู้บริหารระดับสูงขององค์กรจึงจำเป็นต้อง “รู้เท่าทัน” และ “เตรียมแผนรับมือ” อย่างหลีกเลี่ยงไม่ได้