การใช้ Generative AI (GenAI) ที่ขยายตัวอย่างรวดเร็ว กำลังเปิดเผยข้อจำกัดของแนวทางสร้างความตระหนักรู้ด้าน “ไซเบอร์ซีเคียวริตี้” แบบเดิม
เมื่อพนักงานจำนวนมากเริ่มนำเครื่องมือ GenAI ที่องค์กรไม่ได้อนุญาตมาใช้ในการทำงาน เสี่ยงทำให้ข้อมูลสำคัญรั่วไหลออกไปโดยไม่รู้ตัว
ริชาร์ด แอดดิสคอตต์ รองประธานฝ่ายวิเคราะห์การ์ทเนอร์ เผยว่า การนำเครื่องมือ GenAI ต่าง ๆ มาใช้ในกระบวนการทำงานประจำวันนั้นก้าวนำหน้าระบบควบคุมความปลอดภัยที่มีอยู่
ขณะที่ผู้คุกคามก็กำลังใช้เทคโนโลยีเดียวกันนี้ยกระดับการโจมตีให้เฉียบคมยิ่งขึ้น สร้างความเสี่ยงไปยังโปรแกรมไซเบอร์ซีเคียวริตี้ อีกจำนวนมากที่ไม่ได้ออกแบบมาเพื่อรับมือกับความเสี่ยงเหล่านี้
ผลสำรวจล่าสุดจากการ์ทเนอร์พบว่า พนักงานกว่า 57% ใช้บัญชี GenAI ส่วนตัวเพื่อทำงานและ 33% ยอมรับว่ามีการป้อนข้อมูลสำคัญของเนื้องานลงในเครื่องมือ GenAI ที่เป็นสาธารณะหรือไม่ได้รับอนุญาตจากองค์กร
ความท้าทายนี้ยิ่งทวีความรุนแรงขึ้นเมื่อ 36% มีการดาวน์โหลดหรือใช้เครื่องมือ GenAI ที่ไม่ได้รับอนุญาตบนอุปกรณ์สำหรับทำงาน พฤติกรรมเหล่านี้เพิ่มความเสี่ยงต่อการเกิดภัยคุกคามทางไซเบอร์และการทำผิดกฎระเบียบข้อบังคับอย่างมีนัยสำคัญ
ขณะเดียวกันผู้คุกคามกำลังใช้ประโยชน์จาก GenAI เปิดการโจมตีในรูปแบบ Deepfake, Phishing และการหลอกลวงทางวิศวกรรมสังคม หรือ Social Engineering ที่มีความซับซ้อนสูง
วางกรอบใช้ GenAI อย่างรับผิดชอบ
งานวิจัยของการ์ทเนอร์ชี้ว่า 35% ขององค์กรเคยเผชิญกับเหตุการณ์ Deepfake และ 84% ของผู้นำไซเบอร์ซีเคียวริตี้พบว่าการโจมตีแบบ Phishing มีความล้ำสมัยมากขึ้นในช่วงไม่กี่ปีที่ผ่านมา อีกทั้งในช่วงสองปีที่ผ่านมายังพบว่ามีจำนวนอีเมลอันตรายที่สร้างโดย AI เพิ่มขึ้นเท่าตัว ทำให้พนักงานตรวจพบได้ยากยิ่งขึ้น
แนวโน้มเหล่านี้หากไม่ได้รับการแก้ไขจะส่งผลกระทบต่อธุรกิจ ทั้งความเสี่ยงด้านความเป็นส่วนตัวและทรัพย์สินทางปัญญา ที่อาจลุกลามเป็นเหตุการณ์ที่สร้างความเสียหายมูลค่ามหาศาล กระทบต่อชื่อเสียงระยะยาว และอาจสั่นคลอนผลประกอบการทางธุรกิจในภาพรวมได้
องค์กรจึงมีความจำเป็นเร่งด่วนที่จะต้องเสริมกำลังให้กับโปรแกรมหรือกลยุทธ์ที่มุ่งปรับเปลี่ยนพฤติกรรมและความเชื่อของบุคลากรภายในองค์กร หรือ Security Behaviour and Culture Programs (SBCPs) เพื่อปลูกฝังความตื่นรู้และผลักดันให้เกิดการเปลี่ยนแปลงพฤติกรรมของพนักงาน
การสรรหาแนวทางปฏิบัติจึงต้องมุ่งเน้นไปที่วิธีการจัดการข้อมูลละเอียดอ่อน ข้อมูลที่เป็นทรัพย์สินทางปัญญาและข้อมูลที่เป็นส่วนตัวควรเน้นย้ำถึงหลักการ "การใช้ข้อมูลเท่าที่จำเป็น หรือ Data Minimization” เพื่อให้พนักงานเข้าใจว่าข้อมูลใดสามารถหรือไม่สามารถป้อนเข้าสู่สภาพแวดล้อมการทำงานของ GenAI ได้
สร้างการมีร่วม ‘ผู้บริหารระดับสูง’
เพื่อช่วยทีมงานร่วมกันบริหารจัดการความเสี่ยงไปพร้อมกับขยายการใช้งานเทคโนโลยีได้อย่างคล่องตัว จะต้องมีการกำหนด “ความเป็นเจ้าของ” ให้ชัดเจนตลอดวงจรของการนำ GenAI มาใช้ ตั้งแต่ต้องรู้ว่าใครคือผู้รับผิดชอบ, ใครเป็นผู้ตัดสินใจ, ใครให้คำปรึกษา และใครจะเป็นผู้รับทราบข้อมูลในแต่ละกิจกรรม
นอกจากนี้ หลีกเลี่ยงการออกนโยบายใหม่ ๆ จนกว่านโยบายธรรมาภิบาลข้อมูลและนโยบายการใช้งานที่ยอมรับได้ที่มีอยู่เดิมจะได้รับการปรับใช้และปรับปรุงจนครอบคลุม GenAI ทั้งหมด
ที่สำคัญผู้บริหารระดับสูงต้องมีส่วนร่วมเชิงรุกในการตัดสินใจด้านความเสี่ยงตั้งแต่เนิ่น ๆ เพื่อรับมือกับผลกระทบต่อการดำเนินงานจากการโจมตีที่ขับเคลื่อนด้วย AI และการละเมิดนโยบาย
เมื่อผู้นำมีวิสัยทัศน์ที่ตรงกัน องค์กรก็จะสามารถสร้างแนวทางการรับมือความเสี่ยงจาก AI ที่สอดประสานกันได้ดียิ่งขึ้น สิ่งนี้รวมถึงการสร้างกรอบการธรรมาภิบาลที่เข้มแข็ง ซึ่งจะช่วยเสริมความแข็งแกร่งให้กับนโยบายการใช้งานที่ชัดเจน จัดการการพัฒนา AI อย่างปลอดภัยและรับประกันการปฏิบัติตามกฎระเบียบ
เสริมแนวป้องกัน AI Literacy
สำหรับโปรแกรมพฤติกรรมและวัฒนธรรมความปลอดภัยต้องรวมถึงการศึกษาความเสี่ยงเฉพาะด้าน AI, สถานการณ์จำลอง Deepfake และการจำลองการโจมตีขั้นสูง
ที่ขาดไม่ได้ควรกระตุ้นให้พนักงานรู้จักตรวจสอบคำขอที่ผิดปกติ และทำความเข้าใจว่าการปฏิบัติงานล่าช้าเล็กน้อยอาจจำเป็น เพื่อทบทวนสอบความปลอดภัยเพิ่มเติม อีกทางหนึ่งกระบวนการรายงานที่คล่องตัวและการให้รางวัลตอบแทนก็เป็นสิ่งสำคัญ เพื่อให้พนักงานสามารถแจ้งข้อสงสัยเกี่ยวกับการทำงานของ AI ที่น่าสงสัยได้อย่างรวดเร็ว
ด้านเนื้อหาการฝึกอบรมจะต้องได้รับการอัปเดตอย่างสม่ำเสมอ เพื่อรับมือกับกลวิธี Social Engineering ที่ใช้ GenAI และสถานการณ์ Deepfake ที่เกิดขึ้นใหม่
พร้อมกันนี้ ส่งเสริมทักษะและการเรียนรู้ด้าน AI หรือ AI Literacy และความโปร่งใส เพื่อการใช้งานอย่างปลอดภัยและรู้จักรายงานผลลัพธ์ของ AI ที่ผิดปกติ สิ่งสำคัญคือต้องย้ำเตือนถึงบทบาทของมนุษย์ในการตรวจสอบ หรือ Human Oversight สำหรับผลลัพธ์ที่สร้างขึ้นทั้งหมด เพื่อคัดกรองเนื้อหาที่ไม่ถูกต้อง