ข่าว
การ์ทเนอร์เตือน GenAI ทลายกำแพงไซเบอร์แบบเดิม แนะองค์กรปรับกลยุทธ์รับมือพนักงานแอบใช้เครื่องมือส่วนตัว
สำนักข่าวบริคอินโฟ – การ์ทเนอร์ (Gartner) เผยรายงานวิเคราะห์ถึงผลกระทบจากการเติบโตอย่างก้าวกระโดดของ Generative AI (GenAI) ที่กำลังส่งผลให้ระบบการสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ หรือ Cybersecurity ในรูปแบบเดิมเริ่มไม่ได้ผล หลังพบพนักงานจำนวนมากนำเครื่องมือ AI ที่ไม่ได้รับอนุญาตมาใช้ในที่ทำงาน (Shadow AI) และป้อนข้อมูลสำคัญขององค์กรลงในระบบสาธารณะ ซึ่งเพิ่มความเสี่ยงต่อการถูกโจมตีด้วยเทคโนโลยีระดับสูงอย่าง Deepfake และ Phishing ที่มีความแนบเนียนกว่าเดิมหลายเท่าตัว
ผลสำรวจล่าสุดระบุว่าพนักงานกว่า 57% ใช้บัญชี GenAI ส่วนตัวเพื่อทำงาน และอีก 33% ยอมรับว่ามีการป้อนข้อมูลสำคัญขององค์กรลงในเครื่องมือ AI ที่เป็นสาธารณะ นอกจากนี้พฤติกรรมของพนักงานกว่า 36% ที่มีการดาวน์โหลดหรือใช้เครื่องมือที่ไม่ได้รับอนุญาตบนอุปกรณ์ของบริษัท ได้กลายเป็นช่องโหว่สำคัญที่ทำให้ผู้คุกคามสามารถเข้าถึงข้อมูลผ่านกระบวนการทาง Social Engineering ที่ซับซ้อน โดยเฉพาะการเพิ่มขึ้นของอีเมลอันตรายที่สร้างโดย AI ซึ่งเติบโตขึ้นเท่าตัวในช่วง 2 ปีที่ผ่านมา
ริชาร์ด แอดดิสคอตต์ (Richard Addiscott) รองประธานฝ่ายวิเคราะห์ของ การ์ทเนอร์ (Gartner) ระบุว่าการนำเครื่องมือเหล่านี้มาใช้ในงานประจำวันกำลังก้าวนำหน้าการควบคุมที่มีอยู่เดิม ซึ่งหากไม่ได้รับการแก้ไขจะส่งผลกระทบต่อทั้งความเป็นส่วนตัวและทรัพย์สินทางปัญญา โดยเขากล่าวเน้นย้ำถึงแนวทางรับมือว่า
“องค์กรจำเป็นต้องเสริมกำลังให้กับโปรแกรมที่มุ่งปรับเปลี่ยนพฤติกรรมและวัฒนธรรมความปลอดภัย หรือ Security Behaviour and Culture Programs (SBCPs) เพื่อปลูกฝังความตื่นรู้และผลักดันให้เกิดการเปลี่ยนแปลงพฤติกรรมพนักงานในการมีปฏิสัมพันธ์กับ AI ทุกระดับ”
สำหรับการปรับตัวขององค์กร การ์ทเนอร์ แนะนำให้กำหนดเกณฑ์การใช้ GenAI อย่างมีความรับผิดชอบ โดยมุ่งเน้นที่หลักการ Data Minimization หรือการใช้ข้อมูลเท่าที่จำเป็น เพื่อให้พนักงานเข้าใจขอบเขตการป้อนข้อมูลเข้าสู่ระบบ AI พร้อมทั้งต้องกำหนด “ความเป็นเจ้าของ” (Ownership) ให้ชัดเจนว่าใครจะเป็นผู้รับผิดชอบหรือตัดสินใจในแต่ละขั้นตอนของการนำเทคโนโลยีมาใช้ รวมถึงต้องมีการปรับปรุงนโยบายธรรมาภิบาลข้อมูลเดิมให้ครอบคลุมถึงจักรวาลของ AI ทั้งหมดแทนการออกกฎใหม่ที่สร้างความสับสน
นอกจากนี้ การมีส่วนร่วมของผู้บริหารระดับสูงถือเป็นหัวใจสำคัญในการตัดสินใจด้านความเสี่ยงตั้งแต่เนิ่น ๆ เพื่อสร้างกรอบการธรรมาภิบาลที่สอดประสานกันทั้งองค์กร ขณะเดียวกันฝ่ายไอทีต้องเสริมแนวป้องกันให้พนักงานผ่านการฝึกอบรมสถานการณ์จำลอง เช่น การรับมือกับ Deepfake และการตรวจสอบคำขอที่ผิดปกติ แม้กระบวนการดังกล่าวอาจทำให้การทำงานล่าช้าไปบ้างแต่ถือเป็นเรื่องจำเป็นเพื่อความปลอดภัยสูงสุด
ท้ายที่สุด องค์กรไม่ควรพึ่งพาเพียงการฝึกอบรมแบบทั่วไป แต่ต้องมีการอัปเดตเนื้อหาให้ทันต่อกลวิธีของผู้คุกคามอย่างสม่ำเสมอ พร้อมส่งเสริมทักษะ AI Literacy และย้ำเตือนถึงบทบาทของมนุษย์ในการตรวจสอบผลลัพธ์ หรือ Human Oversight เพื่อคัดกรองความผิดพลาดที่อาจเกิดขึ้นจาก AI ก่อนจะนำไปใช้งานจริงในเชิงธุรกิจ
