เปิด 10 เทรนด์ภัยคุกคามทางไซเบอร์ปี 2021 เตรียมพร้อม ตั้งรับ รู้เท่าทัน

นวัตกรรมและเทคโนโลยีเปรียบเสมือนดาบสองคมที่เมื่อถูกนำไปใช้งานในทางที่ไม่ถูกไม่ควรย่อมสร้างส่งผลกระทบเสียหายต่อสังคมวงกว้างได้ โดยเฉพาะอย่างยิ่งสังคมในยุคปัจจุบันที่ผู้คนส่วนใหญ่ต่างพึ่งพอเทคโนโลยีให้เป็นส่วนหนึ่งของการดำรงชีวิต

ในมุมมองของ ดร.ปริญญา หอมเอนก ประธานและผู้ก่อตั้งบริษัท เอซิส โปรเฟสชันนิล เซ็นเตอร์ จำกัด ผู้เชี่ยวชาญด้าน Cyber Security กล่าวว่า สถานการณ์ในห้วงเวลานี้มาไกลเกินกว่าที่จะพูดถึงเรื่องการป้องกันเฝ้าระวังอีกต่อไป เพราะประเด็นปัญหาเรื่องการถูกลักลอบเจาะเข้าระบบ (แฮ็ก) หรือปัญหาข้อมูลรั่วไหลกลายเป็นเรื่องธรรมดาสามัญที่มีให้ได้เห็นได้ฟังบ่อยจนผู้คนเริ่มจะเคยชิน

ดังนั้น แทนที่จะมานั่งวางแผนหาแนวทางป้องกันความปลอดภัย (Security) อย่างแข็งขัน ดร.ปริญญา กลับเห็นว่า ประเด็นที่ควรให้ความสำคัญนับต่อจากนี้คือ Cyber Resilience หรือ ความสามารถในการเตรียมตัวและตอบ สนองต่อภัยคุกคามทางไซเบอร์ มากกว่า 

• บทบาทของการวางแผนสินทรัพย์ครอบครัว ต่อความยั่งยืนของธุรกิจครอบครัว
• WEDO ฉีกทุกกฎของ Internship Program จัด Young Talent Hell Day 2021 เฟ้นหา “เด็กที่มีของแห่งอนาคต”

“การแฮ็กและข้อมูลรั่วกลายเป็นนิวนอร์มอลแล้ว ไม่ต้องถามว่าเราปลอดภัยหรือเปล่า แต่ต้องถามว่าเราพร้อมกับการโดนแฮ็คหรือเปล่า”

ดร.ปริญญากล่าวว่า สังคมโลกต่อจากนี้ต่อให้มีการดำเนินการลงระบบป้องกันไว้อย่างหนาแน่นมากเพียงใด ก็มีโอกาสที่ผู้ใช้งานในทุกระดับจะถูกแฮ็กอยู่ดี เพราะฉะนั้น เทรนด์ไซเบอร์ในปี 2021 จึงเป็นเรื่องของการเตรียมความพร้อมเป็นหลัก 

“ทุกอย่างที่เป็นดิจิทัล เป็นไอที เราจะต้องเปลี่ยนวิธีคิด (mindset) เป็นการที่จะต้องเตรียมพร้อมกับ การที่จะถูกแฮ็กระบบ เตรียมรับกฎหมายที่จะเข้มขึ้น ข้อมูลรั่วจะเป็นจุดใหญ่ที่ผู้บริหารระดับสูงวิตกกัน รวมถึงการที่มีรัฐประเทศอื่น ๆ (ที่ไม่ใช่ประเทศเรา) เป็นสปอนเซอร์เข้าไปแฮ็ก (ข้อมูล) ของฝั่งเราด้วย ตลอดจนความกังวลในเรื่อง 5G” 

ทั้งนี้ เพื่อให้สามารถเตรียมความพร้อมเพื่อรับมือกับความท้าทายบนโลกไซเบอร์ที่เกิดขึ้น ดร.ปริญญา กล่าวว่า หนึ่งในตัวช่วยสำคัญ คือ การทำความรู้จักกับแนวโน้มของความปลอดภัยไซเบอร์ (Cyber security) ในปี 2021 ซึ่งมีทั้งหมด 10 เทรนด์ด้วยกัน

โดยมีทั้งเทรนด์ใหม่ที่เกิดขึ้น และบางส่วนเป็นเทรนด์ที่ยังคงต่อยอดมาจากปี 2020 ก่อนหน้า สำหรับทั้ง 10 เทรนด์นี้ประกอบด้วย 

1. Data Privacy
2. Soft Power for using the half-truth in social media era
3. Cyber Sovereignty
4. Data Security
5. Data Governance
6. Enterprise data breaches is next normal
7. Shadow IT
8. The Dark side of  GDPA/PDPR : risk of leaking all digital footprint
9. Digital Inequality
10. Cyber security insurance

ทั้งนี้ ดร.ปริญญา ระบุว่า เทรนด์ไซเบอร์ในปี 2021 ล้วนมีความเกี่ยวเนื่องเชื่อมโยงกัน บางข้อเกี่ยวเนื่องกันโดยตรง บางข้อก็เกี่ยวเนื่องกันผ่านอีกเทรนด์หนึ่ง ทั้ง 10 กระแสต่างส่งผลกระทบต่อภาครัฐ ภาคธุรกิจ และบุคคลทั่วไปทั้งสิ้น 

ความเป็นส่วนตัวบนโลกธุรกิจ 

ในส่วนของเทรนด์แรก อย่าง data privacy ถือเป็นกระแสที่กำลังถูกพูดถึงอย่างมาก เนื่องจากมีประเด็นที่มากเกินกว่าจะเป็นแค่เรื่องของ cyber security เพียงอย่างเดียวอีกต่อไป นั่นคือ เรื่องของธุรกิจและการตลาดเข้ามาเกี่ยวข้อง 

แน่นอนว่า คนในสังคมย่อมหวงแหนข้อมูลและความเป็นส่วนตัวของตน แต่ความพยายามของธุรกิจที่จะเอาใจผู้บริโภค สร้างโซลูชันของสินค้าและบริการที่ตรงใจตอบโจทย์ทำให้เกิด Privacy Paradox ที่ฝ่ายผู้ใช้งานอยากจะปกป้องข้อมูล แต่ฝ่ายบริษัทก็อยากจะหาเงินเข้าบริษัท 

“เทคโนโลยีมันอัปเกรด แต่มนุษย์มันดาวน์เกรด หมายความว่า ขณะที่มือถือเป็นอุปกรณ์ทันสมัยที่ทำได้ทุกอย่างเหมือนคอมพิวเตอร์ พวกเรากลับกลายเป็นผู้ที่ถูกละเมิดโดยไม่รู้ตัว คือ มีการสอดส่องตามเก็บพฤติกรรมของเราบนเฟซบุ๊ก ซึ่งเราสามารถที่จะให้หรือไม่ให้ก็ได้ แต่ส่วนใหญ่จะไม่ได้ใส่ใจ คือให้ ๆ ไป เขาก็เอาไปทำการวิเคราะห์ (data analytics) เอาไปขาย อันนี้คือเทรนด์ที่ไม่ใช่ cyber security แต่ว่า เป็นเทรนด์เรื่องความเป็นส่วนตัวของมนุษย์ ซึ่งการที่บริษัทยักษ์ใหญ่ต้องการข้อมูลส่วนบุคคล ไปทำ personalize และประเมินคุณลักษณะในกลุ่มลูกค้าเป้าหมาย เพื่อติดโฆษณา”

ความจริงที่เจตนาให้รับรู้ 

เทรนด์ที่สอง คือ Soft power for using the half-truth in social media era หมายความว่า อนาคตต่อไปข้างหน้าจะไม่ใช่โลกของข่าวลวง หรือ fake news อีกต่อไป แต่เป็นโลกของข่าวจริง ทว่าเป็นความจริงเพียงแค่ครึ่งเดียว หรือความจริงเพียงแค่ด้านเดียวที่ฝ่ายหนึ่งฝ่ายใดต้องการนำเสนอเพื่อโปรโมทตนเองและบั่นทอนความน่าเชื่อถือของฝ่ายตรงข้าม เรียกได้ว่าเป็นการเอาความจริงมาปั่นจนกลายเป็นเรื่องจริง แต่เป็นเรื่องจริงใส่ไข่ ย

ตัวอย่างเช่น ในช่วงที่เกิดการระบาดของไวรัสโควิด-19 ทาง UNESCO ได้มีการบัญญัติคำขึ้นมาว่า Infodemic หรือ Disinfodemic ซึ่งเป็นข้อเท็จจริงของไวรัสโควิด-19 แต่มีการนำมาใช้จนผิดเพี้ยน ทำให้เกิดความเชื่อที่ผิด และนำไปสู่การแตกแยกของคนในสังคม

Disinfodemic เป็นประเด็นที่หลายฝ่ายวิตกกังวลกันมาก เพราะมันทำให้คนตีกัน ทะเลาะกันได้ ทำให้โลกวุ่นวาย ดังนั้น จึงต้องมีเว็บให้บริการจำพวกตรวจสอบข้อเท็จจริงขึ้นมา โดยสังคมปัจจุบันถือเป็นสังคมที่ตื้นเขิน อ่านปุ๊บ เชื่อปั๊บ แชร์เลย จริง ๆ แล้ว โซเชียลมีเดีย ไม่ใช่โซเชียลมีเดียธรรมดา มันเป็นอาวุธ เหมือนปืน รถถัง หรือ จรวด แต่ว่าเป็นอาวุธอ่อนด้วย soft power) ที่สามารถเปลี่ยนแปลงความคิดของผู้คนในสังคมได้ เช่น ในอิรักหรือซีเรีย ที่เกิดปรากฎการณ์ “อาหรับ สปริง”  ซึ่งนำไปสู่การเปลี่ยนแปลงการปกครองในที่สุด

“ดังนั้น ถ้าเราจัดการโซเชียลมีเดียไม่ดี แล้วก็ไม่เอาความจริงเข้ามาว่ากันก็จะกลายเป็นมหันตภัย อันนี้น่ากลัวกว่าแฮ็กเกอร์เยอะ เพราะมันเข้าถึงความคิดและจิตใจของมนุษย์ ซึ่งมันลึกกว่าแค่เรื่องของ Ransomware และลึกถึงการเปลี่ยนแปลงความเชื่อเรื่องการเมืองการปกครอง”

อำนาจอธิปไตยบนโลกไซเบอร์ 

ด้านเทรนด์ที่ 3 อย่าง cyber sovereignty เป็นเทรนด์ที่เกี่ยวข้องต่อเนื่องกับเทรนด์ที่ 2 ก่อนหน้า เมื่อไม่สามารถบริหารจัดการดูแลการไหลเวียนของข้อมูลได้อย่างถูกต้อง เที่ยงตรง แม่นยำแล้ว หน่วยงานที่เกี่ยวข้องก็ย่อมจำเป็นต้องหันมาทบทบนอำนาจอธิปไตยบนโลกไซเบอร์ของประเทศ

“ไทยมีอำนาจอธิปไตยบนแผ่นดินของเรา แต่บนโลกไซเบอร์ ที่มีเฟซบุ๊ก หรือ กูเกิล เราควบคุมอะไรไม่ได้เลย ตั้งแต่การเก็บภาษียันการบริหารจัดการคอนเทนต์ การรังแก (Bully) การใส่ร้าย (Hate of Speech) อะไรต่างๆ เหล่านี้ เราไม่สามารถจัดการอะไรได้เลย เพราะเขา (เฟซบุ๊ก/กูเกิล) เป็นคนคุมกฎ ตั้งกฎว่าอันนี้ใช่/ไม่ใช่ แต่อันนี้สำหรับเรา ทว่าสำหรับเขากลับไม่ใช่”

ขณะเดียวกัน แม้จะเป็นแพลตฟอร์มที่ให้ใช้บริการได้ฟรี แต่ก็ต้องแลกมากับสถานะที่กลายเป็นสินค้าอีกตัวหนึ่งของแพลตฟอร์มนั้น ไม่ใช้ผู้ใช้งาน โดยดร.ปริญญา อธิบายว่า ขณะที่ผู้ใช้กรอกข้อมูลของตัวเองลงไปบนแพลตฟอร์ม ระบบของ AI จะประมวลข้อมูลนั้นแล้วก็ฟีดข้อมูลจำพวกโฆษณาชวนเชื่อกลับมา ทำให้เมื่อเวลาแต่ละคนพิมพ์คำค้นหาคำเดียวกันในเสิร์ชเอ็นจิ้นอย่างกูเกิล จึงไม่ได้ผลลัพธ์ที่เหมือนกัน ทุกอย่างตกอยู่ในการควบคุมดูแลของบริษัทเอกชนขนาดใหญ่

ดังนั้น ยุโรปในขณะนี้ กำลังถกกันเรื่องของ data sovereignty คือ อธิปไตยของข้อมูลว่า ถ้าข้อมูลของรัฐ ของเอกชน ของคนในชาติไปเก็บไว้ในแพลตฟอร์มต่างชาติ เขาสามารถควบคุมอะไรได้บ้าง

“เขามีกฎหมายอะไรจัดการได้บ้าง แล้วก็การเก็บข้อมูลในคลาวด์ หรือออนคลาวด์ ต้องมาตั้งในประเทศแบบที่เรียกว่า data localization พวกนี้กำลังคุยกันว่าจะต้องออกกฎหมาย ซึ่งจะเป็นเครื่องมือ ในการจัดการกับสิ่งเหล่านี้ ถ้าคุณทำผิดในประเทศ ก็ต้องมีกฎหมายของประเทศมาลงโทษ บริษัทที่เข้ามาทำมาหากินในประเทศเรา แต่ไม่มีออฟฟิศในประเทศ แต่เขาใช้โครงสร้างสาธารณูปโภคขึ้นพื้นฐานของเราดำเนินการหมดเลย ตรงนี้เราจะจัดอย่างไร นี่คือสิ่งที่รัฐต้องตื่นและลงมือทำ”

ทั้งนี้ ดร.ปริญญาคาดการณ์ว่า ถ้าไม่รีบจัดการเทรนด์ข้อ 2 และ 3 อย่างเป็นรูปธรรมภายใน 3-5 ปีนี้ ประเทศไทยจะอยู่ยาก ในประเทศเองก็จะลุกเป็นไฟ และรายได้ต่อหัวของประชากรจะลดลง เพราะคนไทยจะตกเป็นทาสแบบไม่รู้ตัว เพราะการซื้อขายสินค้าและบริการ และเศรษฐกิจ ตลอดจน สังคม การเมือง วัฒนธรรมและทุกอย่างจะตกอยู่ภายใต้การควบคุมดูแลของคนนอกหมดเลย 

ความปลอดภัยของข้อมูล เริ่มต้นที่ผู้ใช้งาน 

ขณะที่เทรนด์ที่ 4 data security มีความเกี่ยวเนื่องกับ data privacy เพราะทั้งสองประการนี้ถือเป็นพื้นฐานทุกอย่างของโลกยุคดิจิทัล โดยดร.ปริญญาบอกว่า ถ้าดาต้า ไม่มีทั้ง “ความปลอดภัย” และ “ความเป็นส่วนตัว” ระบบทุกอย่างตั้งแต่ mobile banking ทำดิจิทัล ทำเว็บไซต์ หรือการทรานส์ฟอร์เมชันก็จะล่มไปทั้งหมด เพราะความปลอดภัยและความเป็นส่วนตัวไม่ดี มีการรั่วไหล โดนแฮ็กหรือเจอ ransomware จนข้อมูลที่เป็นความลับถูกนำมาเปิดเผยต่อสาธารณะ กลายเป็นคดีความฟ้องร้องวุ่นวาย หรือโดนแบล็กเมล์ 

อย่างไรก็ตาม ขณะที่ทุกคนคิดหาวิธีการป้องกัน แต่แทบจะทุกคนกลับลืมที่จะหันไปจัดการที่ตัวของดาต้าเอง

“ทุกวันนี้เวลาเรามอง IT เราต้องแยก “I” ออกจาก “T” ต้องมองไอทีเป็น “ไอ” และ “ที” ทำให้เรากลับมามองที่พื้นที่คือ data information management (การบริหารจัดการข้อมูล) คือ เราต้องทำให้พื้นฐานแน่นด้วยการแยก information ออกมาจาก technology คือ กลับมามองที่พื้นฐานของเราว่าบริษัทมีข้อมูลอะไร มีวงจรชีวิต (life cycle) อย่างไร มันเป็นเรื่องที่ต้องกับมาที่พื้นฐาน คือ ข้อมูล (information)”

ขณะเดียวกัน การที่โลกในยุคปัจจุบัน คือ the rise of identity centric หมายความว่า ตัวตนอัตลักษณ์ของคน ๆ หนึ่งบนโลกออนไลน์มีความสำคัญอย่างมาก โดยเฉพาะอย่างยิ่งในปัจจุบันที่คนเกือบทั่วโลกเก็บข้อมูลส่วนตัวของตนบนโลกออนไลน์

ดร.ปริญญา อธิบายด้วยการยกตัวอย่าง คือ การมีชื่อผู้ใช้งานและพาสเวิร์ดชุดเดียว แต่สามารถล็อกอินเข้าใช้งานได้ทุกแพลตฟอร์มเลย ปัญหาที่ตามมา คือ จะสามารถพิสูจน์อัตลักษณ์ของคนที่ใช้ชื่อและพาสเวิร์ดตัวนั้นได้อย่างไรว่าเป็นเจ้าของตัวจริง กระทั่งตกเป็นเหยื่อของกลุ่มมิจฉาชีพเข้าสวมรอยปลอมตัวเป็นเจ้าของตัวจริงแล้วหลอกโอนเงินจากบัญชีธนาคารไปหลายแสนหลายล้านบาท

“อันนี้คือเรื่องการความล้มเหลวในการบริหารจัดการอัตลักษณ์ (identity) ถ้าบริหารได้ดี ธนาคารไม่มีทางโอนเงินให้แก่กลุ่มมิจฉาชีพแน่นอน ขณะเดียวกันจะโทษธนาคารฝ่ายเดียวก็ไม่ได้ มันต้องดูว่าผู้ใช้งานเอาข้อมูลส่วนตัวไปให้แฮ็กเกอร์ หรือคนที่มีความรู้ไอทีเล็กน้อยดูจนสามารถปลอมตัวเป็นเราได้หรือเปล่า”

ดร.ปริญญาย้ำชัดว่า ความปลอดภัยเป็นเรื่องของ “ผู้ใช้งาน” และแฮ็กเกอร์ที่น่ากลัวที่สุด ก็คือ ตัวของผู้ใช้งานเอง 

“ความปลอดภัย คือ เรื่องของเรา เขามีระบบให้เรา แต่เขาบอกว่าเราสามารถปิดได้นะกับข้อมูลออฟ เฟซบุ๊ก แอคทีวิตี้ ที่ทางเฟซบุ๊กเก็บไป เขาไม่ปิดให้เราแต่ให้เราไปปิดเอง หรือเฟซบุ๊กมีระบบ two factor (การเข้ารหัสแบบสองปัจจัย) แต่สุดท้ายเราก็ยังใช้ username กับ password อยู่ดี เพราะจะใช้ได้เราต้องไปสมัครก่อน เขามอบฟีเจอร์ความปลอดภัยให้คุณ แต่ที่ไม่เปิดใช้ความปลอดภัยสูงสุดให้เราเพราะว่ามันไม่สะดวกเรา ลูกค้าเขาหายหมด แต่อย่าง LINE ที่ญี่ปุ่นมีระบบเข้ารหัสแบบสองปัจจัย แต่ทำไมที่ไทยถึงไม่มีล่ะ”

คุณภาพโลกไซเบอร์ขึ้นอยู่กับการบริหารจัดการ

สำหรับเทรนด์ที่ 5 คือ data governance ถือเป็นอีกเทรนด์ที่มีระดับรุนแรงใกล้เคียงกับ data security และ data privacy การบริหารจัดการข้อมูลหรือ data governance มีบทบาทสำคัญ เพราะเป็นเรื่องการบริหารจัดการเพื่อให้เกิดประสิทธิภาพและประสิทธิผลต่อองค์กรสอดคล้องกับยุคไซเบอร์ในปัจจุบัน 

“ต้องเป็น security by design และ privacy by design ต้องเกิดขึ้นตั้งแต่ช่วงเฟสแรกในกระบวนการพัฒนาซอฟท์แวร์”

ดร.ปริญญา กล่าวว่า การมีระบบบริหารจัดการข้อมูลที่แข็งแกร่งชัดเจน จะทำให้คนออกแบบและคนทำงานที่เกี่ยวข้องมีความตื่นตัว ตระหนัก และมีจิตสำนักที่จะออกแบบระบบโดยคำนึงและเคารพในด้านความปลอดภัยและความเป็นส่วนตัว ดังนั้น อย่าปล่อยหรือรอให้บริษัทผู้พัฒนาทำเรื่องระบบความปลอดภัยตอนจบ 

“และถ้าจะเอา AI เข้ามาใช้ เราก็ต้องมองเรื่อง Machine Learning และคิดเรื่องความปลอดภัยกับความเป็นส่วนตัวตั้งแต่ต้น ที่จะบอกก็คือ ตอนนี้ทุกอย่าง ไม่ว่าจะเป็น AI บล็อกเชน ควอนตัม บิ๊กดาต้า ต้องมีการติดตั้งระบบความปลอดภัยและความเป็นส่วนตัวพ่วงเข้ามาในระบบ (built-in) ไว้ทั้งหมด”

ข้อมูลรั่วไหล คือ ภาวะปกติใหม่ 

ด้านเทรนด์ที่ 6 คือ enterprise data leak is next normal กล่าวคือ การรั่วไหลของข้อมูลของบริษัทองค์กรทั้งหลายที่ขณะนี้เก็บไว้ในคลาวด์ จะกลายเป็นเรื่องที่เกิดขึ้นบ่อย จากปีละไม่กี่ครั้ง เป็นรายเดือน รายสัปดาห์ กระทั่งไปจนถึงรายวันจนผู้คนเกิดความเคยชิน

อย่างไรก็ตาม การรั่วไหลของข้อมูลไม่ได้หมายความว่าระบบคลาวด์ไม่มีความปลอดภัย เพราะตัวระบบมีความปลอดภัยอยู่แล้ว แต่ปัญหากลับอยู่ที่ตัวผู้ใช้งาน 

“AWS มีความปลอดภัย RWS มีความปลอดภัย Google มีความปลอดภัย แต่เครื่องไม้เครื่องมือที่เขามีให้คุณใช้ คุณใช้เต็มที่แล้วหรือยัง เขามี two factor ให้คุณใช้แต่คุณไม่ใช้ พอคุณโดนแฮ็ก คุณก็บอกว่าคลาวด์ไม่ปลอดภัย หรือ Amazon S3 ที่มีข่าวว่ารั่วบ่อย ๆ ก็ต้องถามว่าคุณได้ใช้ระบบ default ของเขาแล้วหรือยัง เพราะฉะนั้น ผมขอทำนายไว้เลยว่าจะมีข้อมูลที่อยู่ในคลาวด์รั่วออกมาเยอะมาก ข้อมูลของบริษัทองค์กรที่รั่วออกมาเยอะมาก”

ไม่มีของฟรีบนโลกเทคโนโลยี 

ขณะที่เทรนด์ที่ 7 คือ shadow IT ซึ่งเป็นภัยเดิมที่ย้อนเวลากลับมา โดย shadow IT ที่ว่านี้หมายถึง ระบบคลาวด์ฟรีทั้งหลายที่มีให้บริการอยู่ในปัจจุบัน เป็นพื้นที่ที่คนส่วนใหญ่จะเอาข้อมูลส่วนตัวของตนเข้าไปจัดเก็บไว้ ซึ่งฝ่ายไอทีควบคุมไม่ได้ และถือเป็นฝันที่ร้ายที่สุดของบรรดาซีอีโอเจ้าของบริษัททั้งหลาย 

“เพราะถ้าไม่บล็อก ไม่ปิด ผู้ใช้งานก็เอาไฟล์เอาข้อมูลไปเก็บไว้ตรงนั้น เพราะมันสะดวกและเร็ว โดยหารู้ไม่ว่าเขาเอาข้อมูลของเราไปขาย ไปใช้ อีกทั้งเราไม่เคยทำ awareness training ไม่เคยฝึกซ้อมรับมือกับภาวะรั่วไหลเลย ไม่เคยคุ้นเคยกับสิ่งเหล่านี้ จนเกิดเป็นภัย business email compromise ที่มีผู้ไม่หวังดีปลอมแปลงอีเมล์ ล่าสุดก็หลอกว่าเป็นซัพพลายเออร์ โอนเงินให้เขา 660 ล้านบาท”

Business email compromise คือการเข้ามาแฮ็กอีเมล์ก่อน แล้วจะเปลี่ยนตัวอักษรบนชื่ออีเมล์แค่เพียงเล็กน้อย เช่น การสลับตำแหน่งตัวอักษรแค่นิดเดียว แล้วก็แฮ็กทั้งสองฝั่ง โดยเจ้าตัวจะอยู่ตรงกลาง ทำหน้าที่คุยกับบริษัทและคุยกับลูกค้า คอยตอบเมล์ไปกลับทั้งสองฟาก ในที่สุดก็จัดทำเอกสารปลอมเป็น SWIFT CODE มาหลอกให้โอนเงิน เป็นหลักสิบล้านร้อยล้าน ดำเนินการอย่างจริงจังเป็นเรื่องเป็นราว ทำให้บริษัทและลูกค้าไม่ได้เอะใจใดๆ กว่าจะรู้ตัวก็สูญเงินไปเรียบร้อยแล้ว ถือเป็นความพินาศของหลายองค์กรในเวลานี้ 

“ความผิดพลาดที่เกิดขึ้นไม่ได้เกิดขึ้นที่ระบบ แต่เกิดขึ้นที่ตัวผู้ใช้งาน ปัญหาดังกล่าวเป็นอะไรที่พิสูจน์ได้ยาก เพราะว่ามันเหมือนแฮ็กแบบไม่โดนแฮ็ก คือ ไม่ได้เอา ransomware มาลง ไม่ได้มีอะไรเกิดขึ้นที่บริษัท แค่เอาอีเมล์มาลงธรรมดา เพียงแต่เริ่มแรก ต้องแฮ็กอีเมล์เข้ามาก่อน เพื่อแทรกระหว่างกลาง ระหว่างบริษัทกับพาร์ทเนอร์ ทำให้ทุกครั้งที่บริษัทอีเมล์โต้ตอบก็กลายเป็นเมล์ของพวกมันทั้งนั้นเลย ต้องมีการทำ awareness training ต้องมีการทำ cyber drill ต้องมีการช่วยเหลือกันตรงนี้ ถ้าไม่มีตรงนี้ก็ไปไม่รอด และอย่ามองข้าม เพราะสิ่งที่น่ากลัวคือมันสามารถเกิดขึ้นได้กับคนทุกคน”

จุดบอดของ พรบ.คุ้มครองข้อมูลส่วนบุคคล

ในส่วนของเทรนด์ที่ 8 คือ การมาของ GDPR (กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้ในยุโรป) PDPA (พระราชบัญญัติคุ้มครองข้อมูลในประเทศไทย) ที่ทำให้มีโอกาสที่ข้อมูล “digital Footprint” ของผู้ใช้งานจะรั่วไหลออกมามีความเสี่ยงเกิดขึ้นได้มากขึ้น 

ทั้งนี้ ดร.ปริญญา อธิบายว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลดังกล่าว ทำให้บริษัทอย่าง Google, Apple และ Facebook ต้องนำข้อมูลและพฤติกรรมของผู้ใช้งานย้อนหลังไป 10 ปี จัดเก็บไว้บนคลาวด์ เพื่อให้ผู้ใช้งานสามารถเข้าไปดูว่าบริษัทจัดเก็บข้อมูลส่วนตัวของตนอย่างไร 

“ถ้าเจ้าของข้อมูลล็อกอินเข้าไปดูข้อมูลก็ไม่มีอะไร แต่ถ้าวันหนึ่งวันใดเขา (บริษัทที่จัดเก็บข้อมูล) โดนแฮ็ก จะกลายเป็นปัจจัยโจมตีรูปแบบใหม่ที่แฮ็กเกอร์เข้าไปดูประวัติย้อนหลังเราทั้งหมดเลย 10 ปี ทุกอย่างจะหลุดรั่วออกมา เพราะว่ามันถูกเก็บเพื่อให้เป็นไปตามเงื่อนไยของกฎหมาย ก็เลยกลายเป็นไม่ได้ไป คืออุตส่าห์ปฏิบัติตัวตามกฎหมาย แต่เกิดการรั่วครั้งใหญ่ (data privacy implosion) ดังนั้นจึงต้องมีระบบ two factor authentication เข้ามา แต่ข่าวร้ายก็คือโซเชียลมีเดียทั้งหลายกลับไม่มีระบบที่ว่านี้ กลายเป็นระเบิดเวลาที่รอวันระเบิด”

ความเหลื่อมล้ำจากการใช้ดิจิทัล 

ขณะที่เทรนด์ที่ 9 คือ data inequality ซึ่งเป็นประเด็นใหม่ที่กำลังถูกพูดถึงในฐานะความเสี่ยงตัวใหม่ของโลก (Global Risk) ที่มีการเสนอบนเวที World Economic Forum ดร.ปริญญา อธิบายความความเหลื่อมล้ำดังกล่าว เกิดจากการนำ AI มาใช้แบบขาดจรรยาบรรณและจิตสำนึก 

“เป็นดาบสองคม ขณะที่คุณอ้างว่าคุณเอา AI มาใช้ประโยชน์เพื่อให้ชีวิตมนุษย์ดีขึ้น ขณะเดียวกัน คุณก็กำลังละเมิดสิทธิของคนอยู่ แล้วเวลาทำ AI คุณก็ได้อยู่ฝ่ายเดียว แต่ฝั่งผู้ใช้งานกลับเสีย มันไม่ได้รวมทั้งหมด (inclusion) เข้ามา ซึ่ง Digital Inclusion หมายความว่า การที่เอาดิจิทัลมาใช้ ทำให้ชีวิตของคนในต่างจังหวัด หรือชีวิตของคนทั่วไปดีขึ้น”

ทั้งนี้ ในมุมมองของดร.ปริญญา ความไม่เท่าเทียมกันทางดิจิทัล ควรเป็นประเด็นที่ต้องได้รับความสนใจและมีการนำมาตีแผ่ให้คนในสังคมได้ตระหนักและรู้เท่าทัน เพราะทุกวันนี้ ผู้คนในสังคมถูกละเมิดและถูกเอาเปรียบในทุกวันที่มีการใช้เทคโนโลยีโดยไม่รู้ตัวว่ากำลังตกเป็นเหยื่อ 

เป็นเรื่องปกติที่ต้องทำประกันภัยไซเบอร์ 

ส่วนเทรนด์ที่ 10 การทำประกันภัยไซเบอร์ เป็นสิ่งที่ต้องมีเหมือนกับการทำประกันภัยชีวิตหรือประกันภัยรถยนต์ โดยดร.ปริญญาระบุว่า เมื่อข้อมูลซึ่งถือเป็น “ผลิตภัณฑ์” ที่มีมูลค่าในทางธุรกิจกระจายไหลเวียนอยู่บนโลกไซเบอร์ ดังนั้น สิ่งที่สังคมต้องการ คือ หลักประกันเพื่อความอุ่นใจว่า เมื่อใดก็ตามที่เกิดปัญหาหรือความเสียหาย ตนเองจะได้รับการช่วยเหลือและชดเชย 

“ทุกวันนี้เรายังไม่มีประกันภัยไซเบอร์ ถ้าโดนแฮ็กจึงไม่มีใครมาจ่ายค่าเสียหายให้ ต้องจัดการซ่อมเอง หาคนมาทำเอง แต่ต่อไปจะมีการออกเบี้ยประกันตรงนี้ บริษัททั้งหลายจะมีการตั้งงบเพื่อเป็นต้นทุนค่าใช้จ่ายสำหรับเบี้ยประกันภัยไซเบอร์โดยเฉพาะ ถ้ามีอะไรเกิดขึ้น ก็เดี๋ยวเรียกคนมาจัดการให้ ไม่ต้องเหนื่อย โดนปรับก็มีคนมาจ่ายให้ ไม่ใช่เราต้องเป็นคนมาจ่ายค่าปรับเอง” 

เตรียมความพร้อม ปลูกจิตสำนึกและให้ความรู้

ทั้งนี้ ดร.ปริญญากล่าวเพิ่มเติมว่า ทั้ง 10 เทรนด์นี้ ล้วนได้รับปัจจัยส่งเสริมสนับสนุนมาจากวิถีชีวิตของคนที่แวดล้อมและพึ่งพาเทคโนโลยีดิจิทัล โดยเฉพาะการพึ่งพา 4 สรรพสิ่งที่เรียกว่า SMCI คือ Social Media, Mobile, Cloud และ Information ซึ่งสี่ตัวนี้ทำให้ 10 ข้อข้างต้นอุบัติขึ้นมา 

ขณะเดียวกัน ดร.ปริญญา ย้ำว่า การออกมาเปิดเผยทิศทางของโลกไซเบอร์ไม่ได้มุ่งหมายที่จะทำให้เกิดความตระหนก (panic) แต่ต้องการทำให้สังคมไทยในทุกระดับ ตั้งแต่ระดับรัฐบาล ระดับองค์กรเอกชน และระดับประชาชนทั่วไป เกิดความตระหนัก (awareness) และตื่นตัว

รัฐบาลต้องเร่งดำเนินการทางกฎหมายเพื่อการบริหารจัดการข้อมูลและระบบบนโลกไซเบอร์ เอกชนต้องเตรียมพร้อมทั้งในแง่ของการวางงบประมาณและดำเนินการฝึกซ้อมรับมือ รวมถึงปรับวิธีคิดเพื่อยกระดับจรรยาบรรณและธรรมภิบาล คือ ไม่โกง ไม่กอบโกย และสุดท้าย คือ ประชาชนทั่วไปที่ต้องศึกษาหาความรู้เพื่อให้มีความฉลาด รู้เท่าทัน เพื่อการใช้งานดิจิทัลและเทคโนโลยีได้อย่างปลอดภัย

อศินา พรวศิน – สัมภาษณ์
นงลักษณ์ อัจนปัญญา – เรียบเรียง