พาโล อัลโต เน็ตเวิร์กส์ (Palo Alto Networks) บริษัทผู้นำด้านความปลอดภัยไซเบอร์จากสหรัฐ จัดงาน Ignite on Tour Bangkok เพื่อนำเสนอภาพรวมของภัยคุกคามในยุคเอไอและแนวทางรับมือสำหรับองค์กรในประเทศไทย โดยมีผู้บริหารระดับสูงจากสำนักงานใหญ่และทีมในไทยร่วมให้ข้อมูล
หัวใจของการประชุมครั้งนี้คือ ข้อมูลจากหน่วยวิจัย Unit 42 ของพาโล อัลโต เน็ตเวิร์กส์ ที่ระบุว่า ภัยคุกคามในปัจจุบันไม่ได้แค่ซับซ้อนขึ้น แต่เร็วขึ้นในระดับที่มนุษย์ตามไม่ทัน การโจมตีไซเบอร์ที่เร็วที่สุด 25% ในปัจจุบัน สามารถเจาะระบบและขโมยข้อมูลออกไปได้ภายในเวลาเพียงไม่ถึงสองชั่วโมง หรือเฉลี่ยเพียงกว่าหนึ่งชั่วโมงเท่านั้น ลดลงอย่างมากจากปีก่อนที่ยังใช้เวลาราว 4.8 ชั่วโมง
ขณะเดียวกัน เอไอยังทำให้แฮกเกอร์สามารถสร้างเครื่องมือโจมตีรูปแบบใหม่ได้ภายในเวลาเพียง 15 นาที เพิ่มความเร็วในการโจมตีได้มากขึ้นถึง 4 เท่า และทำให้การโจมตีผ่านห่วงโซ่อุปทานซอฟต์แวร์ เพิ่มขึ้นถึง 348 เท่า
ปัญหาไม่ใช่เทคโนโลยีขาด แต่เครื่องมือมากเกินไป
มีราห์ ราจาเวล (Meerah Rajavel) ประธานเจ้าหน้าที่ฝ่ายสารสนเทศระดับโลกของพาโล อัลโต เน็ตเวิร์กส์ ชี้ว่า ปัญหาใหญ่ขององค์กรส่วนใหญ่ในปัจจุบันไม่ใช่ว่าไม่มีเครื่องมือ แต่คือมี มากเกินไป
โดยเฉลี่ยแล้ว องค์กรหนึ่งแห่งใช้เครื่องมือด้านความปลอดภัยจากผู้ให้บริการต่างกันถึง 29 ราย รวมกัน 83 เครื่องมือ ซึ่งทำให้การมองภาพรวมของภัยคุกคามเป็นเรื่องยาก เปรียบเหมือนกับการเล่นเกม “ตีตุ่น” ที่ไม่มีวันจบสิ้น
ราจาเวล กล่าวว่า แนวทางที่ถูกต้องคือ การออกจากกับดักของเครื่องมือที่กระจัดกระจาย แล้วหันมาใช้ แพลตฟอร์มเดียวที่ทำงานแบบเรียลไทม์ ซึ่งสามารถครอบคลุมผู้ใช้และแอปพลิเคชันทุกส่วนได้ในที่เดียว
นอกจากนี้ เธอยังเน้นถึงแนวคิด “shift left” หรือการฝังเอไอเข้าไปในกระบวนการพัฒนาซอฟต์แวร์ตั้งแต่ต้น ก่อนที่ระบบจะถูกนำไปใช้งานจริง เพื่อค้นพบช่องโหว่ก่อนที่ผู้ไม่หวังดีจะค้นพบมันก่อน
ราจาเวล ยังเล่าว่า ในชีวิตส่วนตัวที่ซิลิคอนวัลเลย์ เธอเลือกนั่งรถไร้คนขับเมื่อต้องพูดคุยเรื่องสำคัญ เพราะไม่อยากให้มนุษย์คนอื่นได้ยิน เป็นตัวอย่างที่สะท้อนว่า เอไอกำลังเป็นส่วนหนึ่งของชีวิตประจำวันไปแล้วอย่างเต็มตัว
ไทยและกลยุทธ์เอไอของชาติ
วัชระ จิรเจริญสุวรรณ ผู้อำนวยการประจำประเทศไทย พาโล อัลโต เน็ตเวิร์กส์ กล่าวว่า นโยบายเอไอแห่งชาติของไทย กำลังผลักดันการเติบโตของนวัตกรรมในหลายภาคส่วน แต่สิ่งที่ต้องควบคู่กันไปคือ การคิดใหม่เรื่องความปลอดภัยตั้งแต่รากฐาน
เขาระบุว่า การรักษาความปลอดภัยเอไอที่มีประสิทธิภาพ ไม่ใช่การนำเครื่องมือจำนวนมากมาวางซ้อนกัน แต่ต้องเป็นการปกป้องระบบเอไอตลอดทั้งกระบวนการทำงานขององค์กร ตั้งแต่การยืนยันตัวตนของระบบ ไปจนถึงเอไอเอเจนต์ และระบบประมวลผลทุกส่วนที่ใช้งานอยู่ภายในองค์กรเดียวกัน
วัชระ ยังชี้ว่า พาโล อัลโต เน็ตเวิร์กส์รับมือกับการโจมตีกว่า 3 หมื่นล้านครั้งต่อวัน และประมวลผล 5 แสนล้านรายการต่อวัน โดยอาศัยเอไอเอเจนต์ของตัวเอง ซึ่งทำงานอัตโนมัติได้ในระดับที่ไม่ต้องรอมนุษย์ในหลายกระบวนการ
สามเทรนด์ใหญ่ที่องค์กรต้องรู้
ในช่วงถาม-ตอบ ผู้บริหารได้อธิบายภาพรวมของสิ่งที่กำลังเปลี่ยนแปลงในโลกความปลอดภัยไซเบอร์ โดยแบ่งเป็น 3 เรื่องหลัก
1. โมเดลเอไอที่เปลี่ยนแปลงตลอดเวลา โมเดลเอไอรุ่นใหม่ออกมาเรื่อยๆ และแต่ละรุ่นก็สร้างผลลัพธ์ทางธุรกิจที่ดีขึ้นตามลำดับ แต่ในขณะเดียวกัน โมเดลใหม่แต่ละตัวก็นำมาซึ่งช่องโหว่และความเสี่ยงใหม่ที่ต้องรับมือเช่นกัน ทีม Unit 42 พบว่าการไล่ตามโมเดลใหม่ไม่ใช่แค่การอัปเดต แต่คือการเรียนรู้ว่าโมเดลนั้นสร้างประโยชน์ให้ธุรกิจได้อย่างไร และมีความเสี่ยงอะไรใหม่เพิ่มมาด้วย
2. เอไอเข้าถึงได้โดยทุกคน ไม่ว่าจะอายุเท่าไหร่ เรียนมาสายไหน ตอนนี้ทุกคนสามารถเข้าถึงเอไอได้แล้ว ซึ่งหมายความว่าพนักงานที่ไม่ใช่สายไอทีก็สามารถสร้างเอไอเอเจนต์ของตัวเองได้ สิ่งนี้ทำให้พื้นผิวของความเสี่ยงในองค์กรขยายตัวออกไปในทิศทางที่คาดเดาได้ยาก
3. ความปลอดภัยเป็นเรื่องของทุกขนาดธุรกิจ สมัยก่อน องค์กรขนาดเล็กมักมองว่าเรื่องความปลอดภัยไซเบอร์เป็นเรื่องของบริษัทใหญ่ แต่ปัจจุบันแฮกเกอร์ไม่เลือกขนาดองค์กร ดังนั้นทุกธุรกิจไม่ว่าเล็กหรือใหญ่ต้องให้ความสำคัญกับเรื่องนี้เท่ากัน
กรณีตัวอย่าง: เอไอโจมตีซอฟต์แวร์ที่เขียนมา 25 ปี
ราจาเวล ยกกรณีที่เกิดขึ้นจริงว่า เอไอถูกนำมาใช้ค้นหาช่องโหว่ใน BSD ซึ่งเป็นซอฟต์แวร์ที่เขียนมานานกว่า 25 ปีแล้ว ประเด็นนี้สะท้อนให้เห็นปัญหาของกระบวนการระยะยาว ที่ไม่มีใครรู้ว่ายังมีช่องโหว่ซ่อนอยู่ในโค้ดเก่าเก่าตรงไหนบ้าง
เธอยังอ้างถึงกรณีที่กูเกิล (Google) เปิดเผยว่า พบแฮกเกอร์ใช้เอไอสร้างระบบสแกนหาช่องโหว่ในระบบเก่าโดยอัตโนมัติ เป็นตัวอย่างที่แสดงให้เห็นว่าฝั่งผู้โจมตีพัฒนาเร็วกว่าที่หลายองค์กรคิด
บทบาทของมนุษย์ในโลกที่เอไอทำงานแทนได้มากขึ้น
ประเด็นหนึ่งที่ถูกถามในงานคือ เมื่อเอไอป้องกันภัยไซเบอร์ได้ดีขึ้นมาก บทบาทของทีม IT security ในองค์กรจะเปลี่ยนไปอย่างไร
ราจาเวล อธิบายว่า เอไอยังไม่ได้ทำงานได้ครบถ้วนสมบูรณ์โดยไม่ต้องมีมนุษย์ดูแล เหตุผลสำคัญมีสองประการ ประการแรก คนที่จะเปิดสวิตช์ให้เอไอทำงานสู้กับเอไอฝั่งตรงข้ามได้ ยังคงต้องเป็นมนุษย์
ประการที่สอง คือการตัดสินใจในหลายสถานการณ์ยังต้องอาศัยความเข้าใจเรื่องบริบท ยกตัวอย่างเช่น หากให้เอไอเอเจนต์เข้าไปรีเซ็ตนโยบายไฟร์วอลล์ของลูกค้า เอไออาจไม่เข้าใจว่า policy บางส่วนมีข้อยกเว้นหรือเงื่อนไขเฉพาะที่เกี่ยวข้องกับการทำงานขององค์กร ดังนั้น แม้เอไอจะช่วยวิเคราะห์และดำเนินการได้มากขึ้น แต่มนุษย์ก็ยังต้องทำหน้าที่เป็นผู้อนุมัติการตัดสินใจขั้นสุดท้ายอยู่ดี
เธอสรุปว่า ถ้าสมัยก่อนเรามองว่า “เอไอช่วยมนุษย์ทำงาน” ตอนนี้กลายเป็น “มนุษย์ช่วยเอไอทำงาน” กล่าวคือ มนุษย์ทำหน้าที่กดยืนยันในจังหวะที่ต้องการบริบทและการตัดสินใจจริงๆ
ในทางปฏิบัติ ระบบ SOC (Security Operations Center) ของพาโล อัลโต เน็ตเวิร์กส์รับข้อมูลเข้ามาสูงถึง 9.6 เทราไบต์ต่อวัน โดยงานส่วนใหญ่เอไอจัดการเองได้ แต่ยังมีบางส่วนที่ต้องส่งให้มนุษย์อนุมัติก่อนดำเนินการ
สิ่งที่ควรเลิกใช้ในยุค Agentic AI
ผู้บริหารพาโล อัลโต เน็ตเวิร์กส์ระบุชัดเจนว่า ในยุคเอไอเอเจนต์มีเครื่องมือบางประเภทที่ควรพิจารณาเลิกใช้แล้ว ได้แก่
- Traditional Firewall แบบดั้งเดิมที่ยังไม่เข้าใจ AI traffic
- Traditional Identity Solution ที่ไม่รองรับความซับซ้อนของ machine identity และ AI agent
- Traditional SOC ที่ยังต้องให้มนุษย์นั่งดูข้อมูลและตัดสินใจเองทุกขั้นตอน
สิ่งที่ต้องมีแทน คือระบบความปลอดภัยแบบเอเจนต์ ที่มีคุณสมบัติสำคัญ 3 ด้าน ได้แก่ มีความสามารถในการวิเคราะห์และตัดสินใจได้เอง สามารถตอบสนองหรือดำเนินการบางอย่างได้อัตโนมัติ และเชื่อมโยงทุกระบบเข้าด้วยกันให้อยู่บนแพลตฟอร์มเดียว ไม่ใช่ทำงานแยกส่วนเหมือนในอดีต
คำแนะนำสำหรับ CEO และ CIO ไทย
ราจาเวล กล่าวถึงแนวทางสำหรับผู้บริหารองค์กรว่า การมีเพียงนโยบายและกระบวนการทำงานบนกระดาษไม่เพียงพออีกต่อไป เพราะปัจจุบันหลายอุตสาหกรรมกำลังเปลี่ยนไปสู่ระบบอัตโนมัติอย่างเต็มรูปแบบ
สิ่งสำคัญคือ องค์กรต้องเริ่มจากการทำความเข้าใจก่อนว่า อุตสาหกรรมที่ตัวเองอยู่มีความเสี่ยงเฉพาะด้านอะไรบ้าง เพราะแต่ละอุตสาหกรรมมีลักษณะความเสี่ยงไม่เหมือนกัน เช่น ภาคการผลิตกับภาคการเงินย่อมเผชิญภัยคุกคามคนละรูปแบบ
หลังจากนั้นจึงค่อยออกแบบนโยบายด้านความปลอดภัยให้สอดคล้องกับความเสี่ยงเหล่านั้น และนำระบบเอไอหรือโซลูชันอัตโนมัติเข้ามาช่วยทำให้นโยบายเหล่านั้นเกิดขึ้นได้จริงโดยอัตโนมัติ แทนที่จะอาศัยเพียงการรอให้พนักงานปฏิบัติตามเอง
Cloud First ต้องมาพร้อมการควบคุมบนคลาวด์
ช่วงท้ายของงาน มีการถามถึงคำแนะนำสำหรับหน่วยงานภาครัฐไทยที่กำลังผลักดันนโยบาย “Cloud First” หรือการย้ายระบบขึ้นสู่คลาวด์เป็นหลัก
ราจาเวล อธิบายว่า หนึ่งในความเข้าใจผิดที่พบได้บ่อยในหลายประเทศ คือการคิดว่าเมื่อย้ายระบบไปอยู่กับผู้ให้บริการคลาวด์แล้ว ความปลอดภัยทั้งหมดจะเป็นหน้าที่ของผู้ให้บริการทันที ทั้งที่ในความเป็นจริง ความปลอดภัยบนคลาวด์กับความปลอดภัยของระบบภายในองค์กรเดิม เป็นคนละเรื่องกันโดยสิ้นเชิง
เธอเปรียบเทียบว่า การนำระบบขึ้นคลาวด์ก็เหมือนการเข้าไปอยู่ในชุมชนขนาดใหญ่ที่มีผู้ใช้งานนับล้านราย ผู้ให้บริการคลาวด์ไม่ได้เข้ามานั่งดูแลความปลอดภัยให้ทีละองค์กร ดังนั้นแต่ละองค์กรยังต้องมีหน้าที่ดูแลและควบคุมระบบของตัวเองอยู่เสมอ
ปัจจุบันแทบไม่มีองค์กรไหนที่ไม่พึ่งพาเครื่องมือจากภายนอก ไม่ว่าจะเป็นไมโครซอฟท์ (Microsoft) กูเกิล ซูม (Zoom) หรือบริการอื่นๆ ซึ่งล้วนทำงานอยู่บนคลาวด์ทั้งหมด นั่นหมายความว่า ทุกองค์กรในยุคนี้กลายเป็นองค์กรแบบไฮบริดโดยปริยาย และไม่สามารถหลีกเลี่ยงการเชื่อมต่อกับระบบคลาวด์ได้อีกต่อไป
คำแนะนำสำคัญที่เธอฝากถึงประเทศไทยคือ นโยบาย Cloud First จำเป็นต้องเดินควบคู่กับ Cloud Control หรือการควบคุมและตรวจสอบระบบอย่างต่อเนื่อง ไม่ใช่เพียงแค่ย้ายระบบขึ้นคลาวด์แล้วจบ แต่ต้องมีระบบเฝ้าระวังและตรวจสอบแบบเรียลไทม์อยู่ตลอดเวลา เพราะแม้คลาวด์จะขับเคลื่อนเร็วอยู่แล้ว แต่เอไอกำลังพัฒนาเร็วกว่าไปอีกขั้น และกำลังเปลี่ยนรูปแบบของภัยคุกคามอย่างรวดเร็วกว่าเดิมมาก