เมื่อภัยไซเบอร์พุ่ง องค์กรไทยต้องกลับมาโฟกัส‘พื้นฐาน’ ที่ถูกมองข้าม

17.07.26 | 09:47 น.

แม้องค์กรธุรกิจไทยจะเร่งนำปัญญาประดิษฐ์ (AI) มาใช้งาน แต่หลายองค์กรยังไม่สามารถจัดการระบบพื้นฐานด้านความปลอดภัยทางไซเบอร์ที่มีมานานหลายทศวรรษได้อย่างมีประสิทธิภาพ

เมื่อพูดถึง แรนซัมแวร์ (Ransomware) หลายคนมักนึกถึงความเสียหายทางการเงินหรือการโจรกรรมข้อมูลส่วนบุคคล แต่ในบางอุตสาหกรรม เช่น โรงพยาบาลและธุรกิจการบิน การละเมิดข้อมูลและการโจมตีระบบเทคโนโลยีอาจส่งผลกระทบถึงชีวิตของผู้คนได้โดยตรง

แม้ว่าภัยคุกคามทางไซเบอร์จะทวีความซับซ้อนมากขึ้นอย่างรวดเร็วจากการเข้ามาของ AI แต่ปัญหาที่ทีมผู้เชี่ยวชาญด้านไซเบอร์ของดีลอยท์เข้าไปช่วยแก้ไขส่วนใหญ่ กลับยังมีต้นตอมาจากช่องโหว่พื้นฐานด้านความปลอดภัยที่มีมานานหลายทศวรรษ ไม่ว่าจะเป็นการไม่ทราบอย่างชัดเจนว่าองค์กรมีสินทรัพย์อะไรบ้าง ใครเป็นผู้มีสิทธิเข้าถึงระบบและข้อมูลสำคัญ หรือไม่สามารถติดตามได้ว่าเทคโนโลยีและข้อมูลใดกำลังถูกนำออกจากองค์กร

การไม่ไว้วางใจผู้ใช้งานหรืออุปกรณ์ใดโดยอัตโนมัติ รวมถึงการตรวจสอบทุกคำขอในการเข้าถึงระบบ เป็นหลักการสำคัญที่เรียกว่า “Zero Trust” ซึ่งแนวคิดนี้ได้รับการกำหนดเป็นแนวทางมาตรฐานใน Zero Trust Architecture ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐอเมริกา (NIST) ซึ่งเผยแพร่ในปี 2563 แต่จนถึงปัจจุบัน หลายองค์กรยังไม่ได้นำไปปรับใช้ให้เป็นรูปธรรม AI ได้เพิ่มความเสี่ยงด้านไซเบอร์มากขึ้น ขณะที่การทำงานทางไกล (Remote Work) และการใช้อุปกรณ์หลายประเภทยิ่งทำให้การบริหารจัดการซับซ้อนขึ้น อย่างไรก็ตามหลักการพื้นฐานที่ช่วยให้องค์กรปลอดภัยนั้นแทบไม่ต่างจากเมื่อ 40 ปีก่อนในยุคเริ่มต้นของการรักษาความปลอดภัยทางไซเบอร์

Advertisement

การโจมตีที่เพิ่มขึ้น ซึ่งมาพร้อมกับต้นทุนมหาศาล

ประเทศไทยกำลังเผชิญกับภัยคุกคามทางไซเบอร์และเหตุการณ์ข้อมูลรั่วไหลที่ทวีความรุนแรงขึ้น โดยจำนวนการโจมตีทางไซเบอร์ที่เกิดขึ้นในแต่ละสัปดาห์สูงกว่าค่าเฉลี่ยทั่วโลกถึงร้อยละ 164 ส่งผลให้ความเสี่ยงด้านไซเบอร์ถูกจัดให้เป็นหนึ่งในความเสี่ยงอันดับต้นๆ ที่ภาคธุรกิจไทยต้องเตรียมรับมือในปี 2569

ผลการศึกษาล่าสุดจากรายงาน Family Business Insights Series (2026) ของดีลอยท์ พบว่า ร้อยละ 90 ของธุรกิจครอบครัวในภูมิภาคเอเชียแปซิฟิกเคยถูกโจมตีทางไซเบอร์อย่างน้อยหนึ่งครั้งในช่วงสองปีที่ผ่านมา โดยส่วนใหญ่มาจากการโจมตีด้วยมัลแวร์ การหลอกลวงผ่านอีเมล์ (Phishing) การปลอมแปลงอีเมล์ธุรกิจ และการโจมตีผ่านวิศวกรรมสังคม (Social Engineering) ที่หลอกให้บุคลากรภายในองค์กรเปิดเผยข้อมูลสำคัญ โดยในหลายกรณี ระบบป้องกันขององค์กรถูกเจาะได้อย่างง่ายดายเพียงเพราะพนักงานคลิกลิงก์หรือเปิดอีเมล์ผิดฉบับ นี่จึงเป็นเหตุผลว่าทำไม “วัฒนธรรมด้านความปลอดภัยทางไซเบอร์” จึงมีความสำคัญไม่แพ้เทคโนโลยีใดๆ

รายงานฉบับนี้ยังสะท้อนให้เห็นว่า การโจมตีทางไซเบอร์สามารถสร้างความเสียหายต่อธุรกิจได้อย่างรวดเร็วเพียงใดความเสียหายทางการเงินไม่ได้จำกัดอยู่แค่การจ่ายค่าไถ่เพียงอย่างเดียว แต่ยังรวมถึงผลกระทบระยะยาวต่อชื่อเสียงและรายได้ขององค์กร ระบบงานสำคัญอาจหยุดชะงักจากมัลแวร์ ส่งผลต่อประสิทธิภาพการทำงานและขวัญกำลังใจของพนักงาน ขณะที่ผลกระทบด้านชื่อเสียงมักใช้เวลานานที่สุดในการฟื้นฟู เนื่องจากกระแสข่าวเชิงลบอาจบั่นทอนความเชื่อมั่นของผู้ให้กู้ นักลงทุน และพันธมิตรทางธุรกิจ

ขณะเดียวกัน ผลการศึกษาจากรายงาน AI at a Crossroads ของดีลอยท์ ระบุว่า มูลค่าความเสียหายเฉลี่ยจากเหตุการณ์ข้อมูลรั่วไหลทั่วโลกในปี 2567 อยู่ที่เกือบ 5 ล้านดอลลาร์สหรัฐ เพิ่มขึ้นร้อยละ 10 จากปีก่อนหน้า อย่างไรก็ตาม ข่าวดีคือ ภัยคุกคามทางไซเบอร์ส่วนใหญ่สามารถป้องกันได้ หากองค์กรให้ความสำคัญกับหลักพื้นฐานด้านการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ และนำแนวปฏิบัติดังกล่าวมาปรับใช้ในทุกระดับขององค์กรอย่างจริงจัง

สามคำถามที่คณะกรรมการองค์กรไทยควรถามเกี่ยวกับความปลอดภัยทางไซเบอร์

แม้ว่า AI จะมีแนวโน้มทำให้ภัยคุกคามทางไซเบอร์เกิดขึ้นบ่อยขึ้นและสร้างความเสียหายรุนแรงขึ้น แต่หลักการพื้นฐานของการรักษาความมั่นคงปลอดภัยไซเบอร์ยังคงไม่เปลี่ยนแปลง โดยเฉพาะแนวคิด Zero Trust ซึ่งควรได้รับการปลูกฝังและนำมาปรับใช้อย่างเป็นระบบทั่วทั้งองค์กร

โดยในระยะสั้น ทีมผู้เชี่ยวชาญด้านไซเบอร์ของดีลอยท์ประเทศไทย แนะนำให้คณะกรรมการบริษัทให้ความสำคัญกับการเสริมความแข็งแกร่งด้านการจัดการตัวตนและสิทธิการเข้าถึง การกำกับดูแลข้อมูลรับรองการเข้าถึงระบบ และการระบุข้อมูลหรือทรัพย์สินดิจิทัลที่มีความสำคัญสูงสุดต่อองค์กร

เมื่อบุคลากรเปลี่ยนบทบาทหรือหน้าที่ คำถามแรกคือ “ใครสามารถเข้าถึงอะไรได้บ้าง และองค์กรมีวิธีตรวจสอบเรื่องนี้อย่างไร” สิทธิเดิมถูกยกเลิกอย่างเหมาะสมหรือไม่ หรือเพียงแค่เพิ่มสิทธิใหม่เข้าไป ใครเป็นผู้ถือบัญชีผู้ดูแลระบบระดับสูง และมีการควบคุมการใช้งานบัญชีเหล่านั้นอย่างไร

“ตัวตน” และ “สิทธิการเข้าถึง” จึงเปรียบเสมือนประตูหน้าขององค์กร และเป็นจุดอ่อนที่พบได้บ่อยที่สุดในการตรวจสอบด้านไซเบอร์

ในระยะกลาง คณะกรรมการบริษัทควรยกระดับการกำกับดูแลบุคคลที่สาม เพื่อเพิ่มความยืดหยุ่นและลดความเสี่ยงในห่วงโซ่อุปทาน โดยสิ่งที่ควรถามคือ “ผู้ให้บริการภายนอกรายใดมีสิทธิเข้าถึงระบบสำคัญ มาตรฐานความปลอดภัยของพวกเขาเป็นอย่างไร และมีการตรวจสอบให้สอดคล้องกับข้อกำหนดในสัญญาหรือไม่”

รายงาน Global Resilience ของดีลอยท์ชี้ให้เห็นว่า การอัพเดตระบบที่ผิดพลาดจากผู้ให้บริการเพียงรายเดียวสามารถส่งผลกระทบไปยังลูกค้าทั่วโลก ทำให้องค์กรจำนวนมากหยุดชะงักได้ในเวลาอันรวดเร็ว ดังนั้นการพึ่งพาหน่วยงานภายนอกจึงอาจเพิ่มความเสี่ยงได้พอๆ กับที่ช่วยลดภาระงาน

สำหรับระยะยาว องค์กรจำเป็นต้องสร้างความยืดหยุ่นผ่านระบบกำกับดูแลที่มีประสิทธิภาพ และปรับปรุงระบบเดิมให้สอดคล้องกับมาตรฐานสากล ความสามารถในการฟื้นตัวจากภัยไซเบอร์จึงไม่ใช่ปัญหาของฝ่ายไอทีเพียงอย่างเดียว แต่เป็นวินัยระดับองค์กรที่ทุกฝ่ายต้องรับผิดชอบร่วมกัน

คณะกรรมการบริษัทจึงต้องเข้าใจว่า ธุรกิจของตนพึ่งพาระบบภายนอกใดบ้าง และจะเกิดอะไรขึ้นหากระบบเหล่านั้นไม่สามารถใช้งานได้แม้เพียงครึ่งวัน เพราะในโลกปัจจุบัน ความยืดหยุ่นทางธุรกิจเป็นเรื่องของทั้งห่วงโซ่อุปทาน

ไม่มีองค์กรใดอยากเผชิญสถานการณ์เช่นเดียวกับผู้ให้บริการโทรศัพท์มือถือรายใหญ่แห่งหนึ่งในภูมิภาคเอเชียแปซิฟิก ที่ประสบปัญหาระบบล่มเป็นเวลานานจากการบริหารจัดการการเปลี่ยนแปลงที่ไม่เหมาะสม ผลกระทบที่เกิดขึ้นไม่ได้จำกัดอยู่แค่เพียงบริษัทนั้น แต่รวมถึงการชำระเงินแบบไร้เงินสดที่ไม่สามารถใช้งานได้ บริการภาครัฐและสาธารณะหยุดชะงัก ร้านอาหารและร้านค้าปลีกไม่สามารถรับคำสั่งซื้อ และตู้ ATM ไม่สามารถจ่ายเงินสดได้ ส่งผลให้เกิดความเสียหาย ไม่เพียงต่อมูลค่าทางธุรกิจและชื่อเสียงของบริษัท แต่ยังส่งผลกระทบต่อระบบเศรษฐกิจโดยรวมอีกด้วย

ให้ความสำคัญกับปัจจุบัน ก่อนมองไปยังอนาคต

เทคโนโลยีใหม่ๆ และภัยคุกคามรูปแบบใหม่จะยังคงเกิดขึ้นอย่างต่อเนื่อง นอกจาก Generative AI แล้ว ในอนาคตเทคโนโลยีคอมพิวเตอร์ควอนตัม อาจมีศักยภาพมากพอที่จะถอดรหัสระบบเข้ารหัสที่ใช้ปกป้องระบบดิจิทัลในปัจจุบันได้

การเตรียมความพร้อมสำหรับอนาคตเป็นงานเชิงโครงสร้างที่ต้องใช้เวลาหลายปี ทั้งการทำความเข้าใจระบบ ข้อมูล การไหลเวียนของข้อมูล และความเชื่อมโยงภายในองค์กร โดยทำควบคู่ไปกับการสร้างรากฐานด้านความปลอดภัยให้แข็งแกร่ง ซึ่งเป็นสิ่งที่ควรเริ่มดำเนินการแล้ว

สุดท้ายนี้ คณะกรรมการบริษัทไม่จำเป็นต้องเลือกระหว่างการลงทุนใน AI กับการลงทุนด้านความปลอดภัยทางไซเบอร์ เพราะทั้งสองสิ่งต้องดำเนินการควบคู่กัน แต่สิ่งสำคัญคือการสร้างรากฐานที่มั่นคง หากองค์กรยังไม่สามารถจัดการพื้นฐานด้านไซเบอร์ได้อย่างมีประสิทธิภาพ การเดินหน้าสู่การใช้ AI เพื่อสร้างคุณค่าและขับเคลื่อนการเติบโตในระยะยาวก็อาจตั้งอยู่บนพื้นฐานที่เปราะบางและไม่ยั่งยืน