'AI Agent' ไร้การควบคุม ความเสี่ยงไซเบอร์ที่องค์กรกำลังมองข้าม

รายงานล่าสุดจาก Cloud Security Alliance (CSA) เปิดเผยว่า กว่า 2 ใน 3 ขององค์กรทั่วโลกกำลังเผชิญกับเหตุการณ์ด้านความปลอดภัยไซเบอร์ที่เกี่ยวข้องกับการใช้งาน AI Agent ภายในช่วง 1 ปีที่ผ่านมา

การวิจัยได้ ชี้ให้เห็นว่า AI Agent ที่ทำงานโดยขาดการควบคุมบนเครือข่ายองค์กร สามารถสร้างความเสียหายได้หลากหลายรูปแบบไม่ว่าจะเป็นการรั่วไหลของข้อมูล การหยุดชะงักของระบบ ไปจนถึงความสูญเสียทางการเงิน

จากรายงานผลสำรวจระบุว่า แม้องค์กรถึง 68% จะมั่นใจว่า สามารถมองเห็นการทำงานของ AI Agent ในระบบขององค์กรได้ แต่กลับมีถึง 82% ที่พบ AI Agent ที่ไม่เคยรู้จักมาก่อนซึ่งส่วนใหญ่ถูกพบในระบบอัตโนมัติภายในองค์กร และแพลตฟอร์ม Large Language Model (LLM) ซึ่งสะท้อนให้เห็นถึงช่องว่างระหว่าง “การมองเห็น” กับ “การกำกับดูแล” ที่แท้จริง ทำให้การควบคุมความเสี่ยงทำได้ไม่เต็มประสิทธิภาพเท่าที่ควร

ตลอดช่วง 12 เดือนที่ผ่านมา 65% ขององค์กรรายงานว่าเคยเกิดเหตุการณ์ด้านความปลอดภัยจาก AI Agent อย่างน้อยหนึ่งครั้ง โดยผลกระทบหลักๆ ได้แก่ การเปิดเผยข้อมูล (61%) การหยุดชะงักของการดำเนินงาน (43%) และการทำงานผิดพลาดในกระบวนการทางธุรกิจ (41%)

นอกจากนี้ 35% ขององค์กรยังประสบกับความสูญเสียทางการเงิน และ 31% เผชิญกับความล่าช้าในการให้บริการทั้งภายในและต่อลูกค้า สะท้อนให้เห็นว่า AI Agent ไม่ได้เป็นเพียงเครื่องมืออัตโนมัติ แต่กำลังกลายเป็นปัจจัยเสี่ยงทางธุรกิจโดยตรง

เพื่อให้เข้าใจภาพมากขึ้น AI Agent ในบริบทองค์กรหมายถึง ซอฟต์แวร์หรือระบบอัตโนมัติที่สามารถตัดสินใจและดำเนินการแทนมนุษย์ได้ เช่น การเข้าถึงฐานข้อมูล การสั่งงานระบบ หรือการโต้ตอบกับลูกค้า หากขาดการกำหนดขอบเขตและสิทธิ์ที่ชัดเจนอาจทำให้ทำงานเกินหน้าที่ เช่น เข้าถึงข้อมูลที่มีความอ่อนไหวโดยไม่จำเป็น หรือทำงานผิดพลาดจากข้อมูลที่ไม่ถูกต้อง

การที่พนักงานสามารถสร้างหรือใช้งาน AI Agent ได้เองผ่านเครื่องมือ SaaS หรือ LLM ต่างๆ โดยไม่ผ่านการอนุมัติจากฝ่าย IT ยิ่งเพิ่มความเสี่ยงของ “Shadow AI” ซึ่งยากต่อการตรวจสอบและควบคุม

อีกหนึ่งประเด็นสำคัญที่มีการเน้นย้ำคือ การขาดกระบวนการ “ยุติการใช้งาน” AI Agent อย่างเป็นระบบ โดยมีเพียง 1 ใน 5 ขององค์กรเท่านั้นที่มีขั้นตอนชัดเจน ส่งผลให้ AI Agent บางตัวยังคงอยู่ในระบบแม้หมดหน้าที่แล้ว และอาจยังคงถือสิทธิ์การเข้าถึงระบบ หรือการอนุญาตต่างๆ ซึ่งเสี่ยงต่อการรั่วไหลของข้อมูลหรือการถูกโจมตีในอนาคต

ผู้เชี่ยวชาญจึงแนะนำให้องค์กรเร่งยกระดับการบริหารจัดการอย่างจริงจัง โดยต้องครอบคลุมตั้งแต่การมองเห็น การกำหนดวัตถุประสงค์การใช้งานให้ชัดเจน การบริหารวงจรชีวิต ไปจนถึงการติดตามพฤติกรรมอย่างต่อเนื่อง รวมถึงการนำ AI Agent เข้าเป็นส่วนหนึ่งของโมเดลบริหารความเสี่ยงองค์กรโดยรวม ไม่ใช่มองว่าเป็นเพียงเครื่องมืออัตโนมัติทั่วไป

ทั้งนี้ เมื่อ AI Agent มีความสามารถและความเป็นอิสระมากขึ้น การกำกับดูแลก็ต้องพัฒนาให้สอดคล้อง เพื่อให้สามารถควบคุมความเสี่ยงได้อย่างมีประสิทธิภาพในระดับองค์กร

ท้ายที่สุดแล้ว AI Agent กำลังกลายเป็นทั้งเครื่องมือสำคัญและความเสี่ยงใหม่ขององค์กรในเวลาเดียวกัน โดยเฉพาะเมื่อมีการใช้งานโดยขาดการกำกับดูแลที่เหมาะสม ซึ่งนำไปสู่ปัญหาด้านความปลอดภัย เช่น การรั่วไหลของข้อมูล การหยุดชะงักของระบบ และความเสียหายทางธุรกิจ   

รายงานชี้ให้เห็นชัดว่า องค์กรจำนวนมากยังมีช่องว่างในการควบคุม ทั้งในด้านการมองเห็น การกำหนดขอบเขตการทำงาน และการยุติการใช้งานอย่างเป็นระบบ

ดังนั้น การบริหารจัดการ AI Agent ต้องถูกยกระดับให้เป็นส่วนหนึ่งของกลยุทธ์ด้านความปลอดภัยและการบริหารความเสี่ยงขององค์กรโดยรวม เพื่อให้สามารถใช้ประโยชน์จาก AI ได้อย่างปลอดภัยและยั่งยืนครับ