การ์ทเนอร์ ชี้ GenAI ถูกใช้งานเพิ่มขึ้น! องค์กรต้องเร่งยกระดับ Cybersecurity ให้ทันความเสี่ยงใหม่

โดย Gartner ได้ระบุว่า การใช้ Generative AI หรือ GenAI ในที่ทำงาน กำลังเพิ่มขึ้นอย่างรวดเร็ว จนทำให้แนวทางสร้างความตระหนักรู้ด้าน Cybersecurity แบบเดิมเริ่มไม่เพียงพอ

หนึ่งในความเสี่ยงสำคัญคือ พนักงานบางส่วนนำเครื่องมือ GenAI ที่องค์กรไม่ได้อนุญาตให้ใช้ทำงาน ซึ่งอาจทำให้ข้อมูลสำคัญขององค์กรถูกนำไปใช้โดยไม่รู้ตัว ขณะเดียวกัน แฮกเกอร์ก็กำลังใช้ GenAI เพื่อยกระดับการโจมตีให้ซับซ้อนขึ้น ทั้ง Deepfake, Phishing และ Social Engineering

พฤติกรรมการใช้ GenAI ที่เพิ่มความเสี่ยง

ผลสำรวจจาก Gartner พบว่า พนักงานกว่า 57% ใช้บัญชี GenAI ส่วนตัวในการทำงาน โดย 33% ยอมรับว่าเคยป้อนข้อมูลสำคัญของงานลงในเครื่องมือ GenAI สาธารณะ หรือเครื่องมือที่องค์กรไม่ได้อนุญาต และอีก 36% ดาวน์โหลดหรือใช้เครื่องมือ GenAI ที่ไม่ได้รับอนุญาตบนอุปกรณ์ทำงาน

ซึ่งพฤติกรรมเหล่านี้เพิ่มความเสี่ยงทั้งด้านภัยคุกคามไซเบอร์ และการทำผิดกฎระเบียบขององค์กร เพราะการ GenAI ไม่ได้ถูกใช้แค่ในฝั่งพนักงานเท่านั้น แต่แฮกเกอร์ก็นำไปใช้เพิ่มความซับซ้อนของการโจมตีด้วย

งานวิจัยของ Gartner ระบุว่า 35% ขององค์กรเคยเจอเหตุการณ์ Deepfake และ 84% ของผู้นำ Cybersecurity พบว่า Phishing มีความซับซ้อนมากขึ้นในช่วงไม่กี่ปีที่ผ่านมา รวมถึงในช่วง 2 ปีที่ผ่านมา มีอีเมลอันตรายที่สร้างโดย AI เพิ่มขึ้นเป็นเท่าตัว ผลคือพนักงานตรวจจับภัยคุกคามได้ยากขึ้น เพราะการหลอกลวงดูแนบเนียนกว่าเดิม

หากองค์กรไม่เร่งรับมือ ความเสี่ยงจาก GenAI อาจกระทบต่อธุรกิจในหลายด้าน เช่น

• ความเป็นส่วนตัวของข้อมูล

• ทรัพย์สินทางปัญญา

• ความเสียหายทางการเงิน

• ชื่อเสียงขององค์กรในระยะยาว

• ผลประกอบการโดยรวมของธุรกิจ

ดังนั้น GenAI จึงไม่ใช่แค่เรื่องของเทคโนโลยี แต่เป็นความเสี่ยงที่เกี่ยวข้องกับทั้งคน กระบวนการ และวัฒนธรรมองค์กร

องค์กรควรเร่งปรับ Security Behaviour and Culture Programs

องค์กรจำเป็นต้องเสริมโปรแกรมด้านพฤติกรรมและวัฒนธรรมความปลอดภัย หรือ Security Behaviour and Culture Programs (SBCPs) เป้าหมายคือทำให้พนักงานเข้าใจว่า ควรใช้ GenAI อย่างไรให้ปลอดภัย และรู้เท่าทันความเสี่ยงจาก AI ในทุกระดับของการทำงาน

1. กำหนดเกณฑ์การใช้ GenAI อย่างรับผิดชอบ

องค์กรควรกำหนดแนวทางการใช้ GenAI ให้ชัดเจน โดยเฉพาะเรื่องการจัดการข้อมูลสำคัญ เช่น ข้อมูลละเอียดอ่อน, ข้อมูลทรัพย์สินทางปัญญา หรือข้อมูลส่วนบุคคล โดยมีหัวใจสำคัญคือ Data Minimization หรือการใช้ข้อมูลเท่าที่จำเป็น เพื่อให้พนักงานรู้ว่าข้อมูลแบบไหนไม่ควรนำเข้าสู่เครื่องมือ GenAI

นอกจากนี้ องค์กรต้องกำหนดความรับผิดชอบให้ชัดเจนตลอดวงจรการใช้ GenAI เช่น ใครเป็นผู้รับผิดชอบ, ใครเป็นผู้ตัดสินใจ , ใครเป็นผู้ให้คำปรึกษา, และใครเป็นผู้รับทราบข้อมูล รวมถึงควรปรับนโยบาย เช่น นโยบายธรรมาภิบาลข้อมูล และนโยบายการใช้งานที่ยอมรับได้ ให้ครอบคลุม GenAI ให้มากขึ้น

2. ให้ผู้บริหารระดับสูงมีส่วนร่วม

ผู้บริหารระดับสูงควรเข้ามามีส่วนร่วมตั้งแต่ต้น โดยเฉพาะการตัดสินใจด้านความเสี่ยงจาก AI เพราะหากผู้นำมีทิศทางตรงกัน องค์กรจะสามารถวางแนวทางรับมือความเสี่ยงจาก GenAI ได้ชัดเจนขึ้น เพราะกรอบธรรมาภิบาลที่แข็งแรง จะช่วยให้ การใช้งาน AI มีนโยบายชัดเจน, การพัฒนา AI มีความปลอดภัย และการดำเนินงานเป็นไปตามกฎระเบียบ

3. เสริมแนวป้องกันให้พนักงาน

การอบรมด้าน Cybersecurity ต้องปรับให้ทันกับความเสี่ยงจาก AI องค์กรควรเพิ่มเนื้อหาเกี่ยวกับความเสี่ยงเฉพาะด้าน AI, สถานการณ์จำลอง Deepfake, การจำลองการโจมตีขั้นสูง และกลวิธี Social Engineering ที่ใช้ GenAI รวมถึงพนักงานควรตรวจสอบคำขอที่ผิดปกติ และทำงานอย่างรอบคอบมากขึ้นเพื่อเพิ่มความปลอดภัย

4. แนวปฏิบัติที่ปลอดภัยในการทำงานประจำวัน

องค์กรควรส่งเสริม AI Literacy หรือความรู้ความเข้าใจด้าน AI ให้กับพนักงานทั่วทั้งองค์กร พนักงานควรรู้ว่า ใช้ AI อย่างไรให้ปลอดภัย, ตรวจสอบผลลัพธ์จาก AI อย่างไร และรายงานผลลัพธ์ที่ผิดปกติได้อย่างไร ซึ่งควรมีการตรวจสอบผลลัพธ์จาก AI เสมอ เพื่อคัดกรองข้อมูลที่อาจไม่ถูกต้อง

สรุปแล้ว การ GenAI กำลังทำให้ความเสี่ยงด้าน Cybersecurity ซับซ้อนขึ้น ทั้งจากการใช้งานของพนักงาน และการโจมตีของผู้ไม่หวังดี

หมายความว่า การรับมือด้วยการออกนโยบายอย่างเดียว หรือสั่งห้ามใช้เครื่องมือ AI อาจไม่เพียงพอ เพราะองค์กรต้องสร้างความเข้าใจ มีการฝึกอบรมอย่างต่อเนื่อง และปลูกฝังพฤติกรรมการใช้ AI อย่างปลอดภัยกับการใช้งาน เพื่อปกป้องระบบได้อย่างครอบคลุมและยั่งยืน