ฟอร์ติเน็ต (Fortinet) บริษัทรักษาความปลอดภัยไซเบอร์ เปิดเผยผลการสำรวจที่จัดทำร่วมกับบริษัทวิจัย Forrester Consulting โดยสำรวจผู้บริหารจากองค์กรในภูมิภาคเอเชียแปซิฟิก 585 รายในเดือนมีนาคม 2569 ครอบคลุมองค์กรที่มีพนักงาน 500 คนขึ้นไปทุกภาคส่วน
ผลสำรวจสะท้อนภาพรวมว่า ภัยคุกคามทางไซเบอร์ในปัจจุบันกำลังพัฒนาอย่างรวดเร็ว โดยเฉพาะการโจมตีที่ใช้เอไอ ซึ่งกำลังเคลื่อนไหวเร็วกว่าความสามารถของหลายองค์กรในการป้องกันและรับมือ
ภัยคุกคามอันดับหนึ่ง: เอไอในมือผู้โจมตี
ผลสำรวจพบ 65% ขององค์กรในภูมิภาคเอเชียแปซิฟิกมองว่า “ภัยคุกคามที่ขับเคลื่อนด้วยเอไอ” เป็นความเสี่ยงด้านไซเบอร์ที่น่ากังวลที่สุดในปัจจุบัน
ความเสี่ยงลำดับถัดมาไม่ใช่การโจมตีจากภายนอกโดยตรง แต่เป็นปัญหาภายในองค์กรเอง เช่น ระบบรักษาความปลอดภัยที่ทำงานร่วมกันไม่ได้ การแจ้งเตือนภัยจำนวนมากเกินไป ข้อกำหนดด้านกฎหมายที่ซับซ้อน และการขาดแคลนบุคลากรที่มีทักษะด้านไซเบอร์ซีเคียวริตี้
สิ่งที่ทำให้ภัยคุกคามในยุคเอไอแตกต่างจากการโจมตีในอดีตคือ ความเร็ว และการเข้าถึงได้ง่าย
ในอดีต การโจมตีระบบที่ซับซ้อนมักต้องใช้เวลาหลายวันหรือหลายสัปดาห์ในการวางแผน เช่น การรวบรวมข้อมูลเกี่ยวกับเป้าหมาย การวิเคราะห์ระบบ และการค้นหาช่องโหว่ แต่ในปัจจุบัน เอไอสามารถช่วยผู้โจมตีทำขั้นตอนเหล่านี้ได้ภายในเวลาอันสั้น เช่น การสแกนหาช่องโหว่ของระบบ การวิเคราะห์ข้อมูลจากเว็บไซต์หรือโซเชียลมีเดียของเหยื่อ หรือการสร้างอีเมลหลอกลวงที่ดูสมจริง
ผู้ที่ต้องการโจมตีระบบไม่จำเป็นต้องเป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์อีกต่อไป เพียงรู้วิธีใช้เครื่องมือเอไอ และพิมพ์คำสั่งที่ถูกต้อง ก็สามารถสร้างเครื่องมือโจมตีหรือค้นหาช่องโหว่ของระบบได้
ดร.ศุภกร กังพิศดาร ผู้จัดการประจำประเทศไทยและลาวของฟอร์ติเน็ต กล่าวถึงกรณีที่มีการนำโมเดลเอไออย่าง ChatGPT รุ่นล่าสุดไปทดลองในการแข่งขันด้านความปลอดภัยไซเบอร์ประเภทหนึ่งที่เรียกว่า Capture the Flag ซึ่งเป็นการแข่งขันให้ผู้เข้าร่วมพยายามค้นหาช่องโหว่ของระบบและยึดธงหรือข้อมูลสำคัญให้ได้
ผลที่เกิดขึ้นคือ เอไอสามารถทำผลงานได้ดีจนสามารถเอาชนะการแข่งขันได้ในบางโจทย์ เหตุการณ์ลักษณะนี้สะท้อนว่าเส้นแบ่งระหว่าง “ผู้ใช้ทั่วไป” กับ “แฮกเกอร์ที่มีทักษะสูง” กำลังบางลงอย่างมากในยุคที่เอไอสามารถช่วยทำงานที่ซับซ้อนได้
ศูนย์ SOC รับสัญญาณเตือนล้น แต่ยังต้องตอบโต้ด้วยแรงคน
อีกปัญหาหนึ่งที่ทำให้องค์กรรับมือภัยคุกคามได้ยาก คือภาระงานของศูนย์ปฏิบัติการด้านความปลอดภัยไซเบอร์ หรือที่เรียกว่า SOC (Security Operations Center) ซึ่งเป็นศูนย์ควบคุมที่ทำหน้าที่เฝ้าระวัง ตรวจจับ และตอบสนองต่อเหตุการณ์ด้านไซเบอร์ตลอดเวลา
ผลสำรวจพบว่า 58% ขององค์กรระบุว่า ศูนย์ SOC ต้องรับมือกับ “การแจ้งเตือนภัย” จากระบบจำนวนมากในแต่ละวัน จนทำให้เจ้าหน้าที่ไม่สามารถตรวจสอบทุกเหตุการณ์ได้อย่างละเอียด
ปัญหาคือ การแจ้งเตือนบางอย่างอาจเป็นเพียงสัญญาณเตือนทั่วไป แต่บางเหตุการณ์อาจเป็นการโจมตีจริงที่ซ่อนตัวอยู่ในข้อมูลจำนวนมหาศาล หากเจ้าหน้าที่ไม่มีเวลาหรือเครื่องมือเพียงพอในการวิเคราะห์ ก็อาจทำให้ภัยคุกคามจริงหลุดรอดไปได้
ในขณะเดียวกัน 51% ขององค์กรยังต้องจัดการขั้นตอนสำคัญหลายอย่างด้วยวิธีแบบ Manual หรือทำด้วยแรงคน เช่น การตรวจสอบเหตุการณ์ การวิเคราะห์ข้อมูล หรือการตั้งค่าระบบรักษาความปลอดภัย
สถานการณ์นี้ทำให้เกิดความไม่สมดุลอย่างชัดเจน เพราะฝั่งผู้โจมตีเริ่มใช้เอไอ และระบบอัตโนมัติที่ทำงานได้เร็วระดับเครื่องจักร ขณะที่ฝั่งผู้ป้องกันยังต้องพึ่งพาการทำงานด้วยมนุษย์ในหลายขั้นตอน
องค์กรไทยมองไม่เห็นว่าข้อมูลรั่วไหลไปทางไหน
ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโสฝ่ายวิศวกรรมระบบของฟอร์ติเน็ต กล่าวว่า ประเด็นที่น่าเป็นห่วงสำหรับประเทศไทยโดยเฉพาะ คือเรื่องที่เรียกว่า Visibility
คำนี้หมายถึง “ความสามารถในการมองเห็นเส้นทางการไหลของข้อมูล” ภายในระบบขององค์กร เช่น ข้อมูลถูกส่งจากคอมพิวเตอร์ของพนักงานไปยังเซิร์ฟเวอร์ที่ใด หรือมีการส่งข้อมูลออกไปยังระบบภายนอกหรืออินเทอร์เน็ตหรือไม่
หากองค์กรมี Visibility ที่ดี เจ้าหน้าที่จะสามารถติดตามได้ว่าข้อมูลสำคัญถูกใช้งานหรือถูกส่งต่อไปทางไหนบ้าง แต่ถ้าไม่มีความสามารถนี้ องค์กรอาจไม่รู้เลยว่าข้อมูลสำคัญถูกขโมยหรือรั่วไหลออกไปตั้งแต่เมื่อใด
ผลสำรวจชี้ว่า องค์กรไทยที่มีความสามารถในการมองเห็นข้อมูลในระดับที่เพียงพอยังมีไม่ถึงครึ่งหนึ่งของทั้งหมด นั่นหมายความว่าองค์กรจำนวนมากอาจไม่สามารถตรวจพบการรั่วไหลของข้อมูลได้ทันเวลา
นอกจากนี้ การตรวจจับและการฟื้นตัวจากเหตุการณ์โจมตี เช่น การโจมตีแบบ Ransomware ซึ่งเป็นการเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ ก็ยังเป็นความท้าทายสำคัญ เพราะหากองค์กรใช้เวลาฟื้นฟูระบบนานหลายเดือน ธุรกิจบางแห่งอาจไม่สามารถกลับมาดำเนินงานได้ตามปกติ
ข้อมูลจากรายงาน Fortinet 2026 Cybersecurity Skill Gap Report ระบุว่า 91% ขององค์กรเคยถูกโจมตีทางไซเบอร์อย่างน้อยหนึ่งครั้ง และ 26% เคยถูกโจมตีอย่างน้อย 5 ครั้ง
ปี 2568 ค่าใช้จ่ายเฉลี่ยในการฟื้นฟูระบบหลังถูกโจมตีอยู่ที่ประมาณ 2.1 ล้านดอลลาร์ และ 65% ขององค์กรที่ประสบเหตุข้อมูลรั่วไหลต้องใช้เงินมากกว่า 1 ล้านดอลลาร์ในการกู้คืนระบบ
ด้านเวลา 77% ขององค์กรต้องใช้เวลาฟื้นฟูนานกว่า 1 เดือน และ 53% ต้องใช้เวลามากกว่า 4 เดือนจึงจะกลับมาดำเนินงานได้ตามปกติ
ความพร้อมขององค์กรยังอยู่เพียงระดับปานกลาง
ผลสำรวจยังพบว่า 68% ขององค์กรในภูมิภาคประเมินว่าความพร้อมด้านความปลอดภัยไซเบอร์ของตนอยู่เพียงระดับ “ปานกลาง” ขณะที่มีเพียง 16% เท่านั้นที่มองว่ามีความพร้อมในระดับสูง
ดร.รัฐิติ์พงษ์ อธิบายว่า หากเปรียบเทียบเป็นคะแนนสอบ ความพร้อมเฉลี่ยขององค์กรในภูมิภาคอยู่ที่ประมาณ 75% หรือระดับเกรด B ซึ่งอาจดูดีในภาพรวม แต่สำหรับความปลอดภัยไซเบอร์แล้ว ระดับนี้ยังไม่เพียงพอ เพราะการโจมตีเพียงครั้งเดียวก็อาจสร้างความเสียหายรุนแรงได้
ระดับที่ควรมีเพื่อรับมือภัยคุกคามได้อย่างปลอดภัยควรอยู่ที่ประมาณ 80% ขึ้นไป
หนึ่งในปัญหาที่ทำให้การป้องกันระบบทำได้ยาก คือการที่องค์กรใช้เครื่องมือรักษาความปลอดภัยจากผู้ผลิตหลายราย
ดร.รัฐิติ์พงษ์ ยกตัวอย่างว่า หากองค์กรมีระบบไฟร์วอลล์จาก 3 ผู้ผลิต และต้องการบล็อกหมายเลข IP ที่เป็นภัยคุกคามเดียวกันในทุกระบบ วิศวกรอาจต้องเข้าไปตั้งค่าแยกกันในแต่ละอุปกรณ์ ซึ่งต้องใช้เวลาและต้องมีผู้เชี่ยวชาญเฉพาะด้าน
แต่หากระบบทั้งหมดถูกเชื่อมเข้ากับแพลตฟอร์มเดียวกัน เอไอสามารถช่วยสั่งการและตั้งค่าความปลอดภัยให้กับอุปกรณ์ทั้งหมดพร้อมกันได้โดยอัตโนมัติ
องค์กรเริ่มหันสู่แพลตฟอร์มรวมศูนย์
ผลสำรวจพบว่าปัจจุบันมีเพียง 31% ขององค์กรที่ใช้แพลตฟอร์มรักษาความปลอดภัยแบบรวมศูนย์ ซึ่งหมายถึงระบบที่สามารถควบคุมและบริหารเครื่องมือด้านความปลอดภัยหลายประเภทจากจุดเดียว
อย่างไรก็ตาม คาดว่าตัวเลขนี้จะเพิ่มขึ้นเป็นประมาณ 60% ภายในช่วง 12-24 เดือนข้างหน้า เหตุผลหลักที่องค์กรต้องการเปลี่ยนไปใช้ระบบลักษณะนี้ ได้แก่
- ต้องการลดความซับซ้อนของเครื่องมือหลายระบบ (58%)
- ต้องการให้ระบบต่างๆ ทำงานร่วมกันได้ดีขึ้น (52%)
- ต้องการรองรับสภาพแวดล้อมไอทีแบบไฮบริดที่ผสมผสานทั้งระบบภายในองค์กรและคลาวด์ (49%)
สำหรับประเทศไทยโดยเฉพาะ 75% ขององค์กรมีแผนเพิ่มงบประมาณด้านความปลอดภัยไซเบอร์ และ 83% มีแผนเพิ่มงบด้านเอไอ เพื่อใช้ในระบบความปลอดภัย
งบประมาณเหล่านี้จะถูกนำไปใช้ในสามด้านหลัก ได้แก่ การใช้เอไอช่วยทำงานในศูนย์ SOC เพื่อลดภาระงานของเจ้าหน้าที่ การเพิ่มความปลอดภัยให้กับระบบคลาวด์ และการรวมระบบความปลอดภัยให้ทำงานบนแพลตฟอร์มเดียว
อย่างไรก็ตาม การเปลี่ยนระบบยังมีอุปสรรคอยู่ โดย 51% ขององค์กรระบุว่าต้นทุนและผลกระทบจากการย้ายระบบเป็นปัญหาสำคัญ และ 46% ยังไม่มั่นใจว่าแพลตฟอร์มรวมศูนย์จะสามารถตอบโจทย์ทุกความต้องการได้
แม้จะมีข้อกังวลเหล่านี้ แต่ 90% ขององค์กรที่วางแผนรวมระบบคาดว่าจะเห็นประสิทธิภาพดีขึ้น โดยมากกว่า 60% เชื่อว่าประสิทธิภาพในด้านต่างๆ เช่น การตรวจจับและตอบสนองต่อภัยคุกคาม จะดีขึ้นอย่างน้อย 10%
เอไอไม่ใช่ยาวิเศษ หากระบบพื้นฐานยังไม่พร้อม
หนึ่งในข้อสรุปสำคัญจากงานนำเสนอของผู้บริหารฟอร์ติเน็ต คือ เอไอไม่สามารถแก้ปัญหาความปลอดภัยไซเบอร์ได้เพียงลำพัง หากองค์กรยังไม่มีโครงสร้างระบบที่เหมาะสมรองรับ
ดร.รัฐิติ์พงษ์ อธิบายว่า หากองค์กรยังไม่มีการมองเห็นข้อมูลแบบรวมศูนย์ หรือระบบต่างๆ ยังไม่เชื่อมต่อกัน เอไออาจยิ่งเพิ่มความซับซ้อนให้กับระบบแทนที่จะช่วยลดปัญหา เพราะเอไอไม่สามารถควบคุมอุปกรณ์หลายประเภทได้โดยตรง แต่ต้องสั่งการผ่านแพลตฟอร์มกลางที่เชื่อมระบบทั้งหมดเข้าด้วยกัน
ผลสำรวจพบว่า 83% ขององค์กรในภูมิภาคมีแผนเพิ่มงบประมาณด้านเอไอ และมากกว่าครึ่งคาดว่างบจะเพิ่มขึ้นในระดับเลขสองหลัก
อย่างไรก็ตาม อุปสรรคสำคัญยังคงเป็นสภาพแวดล้อมด้านไอทีที่กระจัดกระจาย ระบบอัตโนมัติที่ยังไม่เพียงพอ และการขาดฐานข้อมูลกลางที่เชื่อมโยงข้อมูลจากทุกระบบ
อมีเลีย เลา (Amelia Lau) หัวหน้าโครงการจาก Forrester Consulting สรุปภาพรวมว่า องค์กรในเอเชียแปซิฟิกกำลังเผชิญแรงกดดันจากสองด้านพร้อมกัน
ด้านหนึ่งคือ ภัยคุกคามจากเอไอที่พัฒนาอย่างรวดเร็ว ขณะที่อีกด้านคือความซับซ้อนของระบบไอทีภายในองค์กรที่สะสมมานาน
แม้องค์กรจำนวนมากยังคงลงทุนด้านความปลอดภัยไซเบอร์อย่างต่อเนื่อง แต่ความท้าทายสำคัญคือการเปลี่ยนการลงทุนเหล่านั้นให้กลายเป็นระบบป้องกันที่ใช้งานได้จริงและสามารถรับมือภัยคุกคามได้ทันเวลา