ปัจจุบันวิวัฒนาการของโลกอยู่ในยุคคลื่นลูกที่ 4 ที่หมายถึง อุตสาหกรรมยุคดิจิทัล (Industry 4.0) รัฐบาลไทยเองก็ได้ประกาศนโยบายไทยแลนด์ 4.0 เพื่อก้าวไปสู่ยุคดิจิทัลเช่นกัน ซึ่งวันนี้เราผ่านจากยุคอินเทอร์เน็ตมาสู่ยุคไซเบอร์ที่ไม่ใช่เพียงแค่อินเทอร์เน็ตเท่านั้น แต่ยังมีเทคโนโลยีต่างๆ วิ่งอยู่บนเครือข่ายอินเทอร์เน็ต นั่นก็คือ Social, Mobile, Cloud, Big Data (S-M-C-I)
จากนี้ไป IT (Information Technology) แยกออกจากกัน โดย Information ขยายความสำคัญมากขึ้นซึ่งหมายรวมไปถึง Information Governance หรือ Data Governance เป็นการบริหารจัดการข้อมูลเพื่อให้เกิดธรรมาภิบาลสอดคล้องกับยุคไซเบอร์
การขับเคลื่อนธุรกิจในยุคไซเบอร์ทำให้องค์กรต้องตระหนักถึง Digital Transformation ซึ่งไม่ได้หมายถึงการลงทุนหรือนำเทคโนโลยีเข้ามาเป็นเครื่องมือเพียงเท่านั้น แต่ยังรวมไปถึงการปรับกระบวนทัศน์ทางความคิด (Mindset) ในระดับผู้บริหารลงไปถึงผู้จัดการฝ่ายและพนักงานทั่วไป โดยบุคลากรจะต้องมีวัฒนธรรมดิจิทัล อันจะนำไปสู่การสร้างรากฐานดิจิทัลอย่างยั่งยืน ทำให้เกิดการเปลี่ยนแปลงองค์กรตามแนวทาง Digital Transformation เช่น เกิดบริการใหม่ที่สร้างประสบการณ์ใหม่ให้แก่ลูกค้า เป็นต้น
เมื่อข้อมูลมีความสำคัญและวิ่งอยู่บนโลกไซเบอร์ ทุกภาคส่วนทั้งภาครัฐ ธุรกิจ และบุคคลทั่วไป จำเป็นจะต้องตระหนักถึงความปลอดภัย ซึ่ง อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ผู้จัดงานสัมมนา CDIC 2019 ภายใต้ธีม “The Trust Landscape of DATA Intelligence and Cybersecurity Governance” จะกล่าวถึง Top 10 Cybersecurity and Privacy Trends 2020 (ข้อมูลในล้อมกรอบ) ซึ่งในที่นี้ได้สรุปไว้ 5 แนวโน้ม ดังนี้
1. Deepfake
(Fraud with a Deepfake and the dark side of AI (ML and DL))
ด้านมืดของ AI ที่เกิดจากการหลอกลวงด้วยการสร้างวิดีโอปลอมแปลงเป็นบุคคลนั้ันๆ จากความฉลาดของ AI ที่สามารถเก็บข้อมูลมาประมวลผล วิเคราะห์ และเรียนรู้สิ่งต่างๆ ทำให้สามารถสร้างวิดีโอปลอมแปลงขึ้นมาได้ เช่น การปลอมแปลงเป็น ประธานาธิบดี ดอนัลด์ จอห์น ทรัมป์ สามารถทำได้โดยการตัดต่อใบหน้าจากคนอื่นเป็น ทรัมป์ โดย AI จะเรียนรู้สีหน้าใบหน้า การขยับปากเมื่อพูด หรือการขยับใบหน้าต่างๆ จากทรัมป์ มาตัดต่อแทนที่ใบหน้าคนอื่น ซึ่งในความเป็นจริงบุคคลนั้นสามารถพูดอะไรก็ได้แล้วตัดต่อให้เป็นใบหน้าของประธานาธิบดีทรัมป์
การหลอกลวงด้วยวิดีโอปลอมแปลงเช่นนี้ เป็นภัยที่น่ากลัวในยุคปัจจุบันซึ่งเกิดขึ้นแล้ว และทำได้แนบเนียนมากจนจับผิดได้ยาก ทั้งนี้วิดีโออาจถูกตัดต่อปลอมแปลงเป็นใครก็ได้เช่น อาจเป็นผู้นำประเทศต่างๆ เป็นผู้ที่มีชื่อเสียง ซึ่งจะให้พูดอะไรที่เสียหายย่อมได้ ภัยจาก Deepfake จึงสามารถสร้างปัญหาระดับประเทศ หรือระดับโลกได้อย่างง่ายดาย
2. Beyond Fake News
ภัยที่น่ากลัวกว่าข่าวปลอมโดยเปรียบได้ว่าเป็นกระบวนการล้างสมอง โดยทำการสร้างภาพการ์ตูน หรืออินโฟกราฟฟิค ด้านลบของบุคคลหรือสถาบันใดสถาบันหนึ่งขึ้นมาอย่างต่อเนื่อง และเผยแพร่ออกไปเป็นระยะๆ ในเวลายาวนาน เพื่อตอกย้ำด้านลบของบุคคลหรือสถาบันนั้น มีเป้าหมายให้คนที่ได้เห็นภาพการ์ตูน หรืออินโฟกราฟฟิค เกิดความเชื่อทีละเล็กทีละน้อยสะสมไปเรื่อยๆ จนกระทั่งเป็นความเชื่ออย่างถาวร
Beyond Fake News เป็นกระบวนการล้างสมอง(Brainwash) โดยการสร้างข่าวจริง (Real News) ที่ทำได้อย่างแยบยล ลึกซึ้งโดยมุ่งเป้าโจมตีเป้าหมายโดยอ้อม และอาจไม่สามารถเอาผิดทางกฎหมายจากผู้กระทำได้ โดยเฉพาะในกรณีที่ผู้กระทำอยู่ในต่างประเทศ
3. Cyber Sovereignty and National Security
(Cyber Sovereignty and National Security in the long run include rising in state sponsor attacks)
ในยุคข้อมูลคือ ขุมทรัพย์แห่งใหม่ หรือที่มีการนิยามไว้ว่า “Data is the New Oil”นั้นแฝงมาด้วยอธิปไตยไซเบอร์ (Cyber Sovereignty) ที่ผู้คนบนโลกใบนี้นำข้อมูลส่วนหนึ่งของชีวิตไปไว้บนโลกออนไลน์ไม่ว่าจะเป็นแพลตฟอร์มใดก็ตาม ต่างเป็นการแชร์ข้อมูลส่วนตัว ข้อมูลธุรกิจ หรือข้อมูลอื่นๆ ที่สามารถนำไปศึกษาวิเคราะห์ เพื่อใช้ประโยชน์ต่อไปได้ ซึ่งเป็นการรุกล้ำความเป็นส่วนตัว หรือรุกล้ำข้อมูลทางธุรกิจ
ตัวอย่างเช่น Google และ Facebook เป็นแพลตฟอร์มที่มีการเก็บข้อมูลส่วนตัว ซึ่งเป็นประโยชน์ต่อผู้ให้บริการทั้งสิ้น การแชร์ข้อมูลส่วนตัวหรือข้อมูลธุรกิจบนแพลตฟอร์มเหล่านั้น เจ้าของแพลตฟอร์มจะนำข้อมูลไปใช้ประโยชน์ หรือวิเคราะห์เพื่อศึกษาพฤติกรรมของผู้ใช้แต่ละรายเพื่อนำเสนอสินค้าและบริการถึงผู้ใช้โดยตรง
ยกตัวอย่างเช่น เมื่อเสิร์ชหาข้อมูลโรงแรม คนแต่ละคนจะได้ข้อมูลที่แตกต่างกันไป บางคนอาจได้ข้อมูลโรงแรมระดับ 5 ดาวในขณะที่อีกคนหนึ่งจะได้ข้อมูลโรงแรมระดับ 3 ดาว เป็นต้น ทั้งนี้เป็นเพราะ Google ทำการวิเคราะห์หรือ Analytics พฤติกรรมของผู้บริโภคแต่ละคน เพื่อนำเสนอสินค้าและบริการให้ตรงกับไลฟ์สไตล์ของคนนั้น นั่นก็คือ การรุกล้ําความเป็นส่วนตัวที่เรียกว่า อธิปไตยไซเบอร์ (Cyber Sovereignty)
ดังเช่นกรณีที่ Facebook ถูกรัฐบาลสหรัฐอเมริกาฟ้องร้องกระทั่งต้องเสียค่าปรับราว 5,000 ล้านดอลลาร์สหรัฐไปเมื่อไม่นานนี้ ในโทษฐานที่มีความบกพร่องต่อการป้องกันข้อมูลความเป็นส่วนตัวของผู้ใช้
อธิปไตยไซเบอร์จึงเป็นภัยที่อาจจะลุกลามไปถึงความมั่นคงปลอดภัยของประเทศในระยะยาว รวมถึงอาจเกิดขึ้นจากรัฐบาลเป็นผู้กระทำการรุกล้ำอำนาจอธิปไตยทางไซเบอร์ของประเทศอื่นก็ได้
4. The New Normal in Cybersecurity
(The New Normal in Cybersecurity : Cyber Resilience Mindset)
The New Normal หรือ ความปกติแบบใหม่ ที่เกิดขึ้นบนโลกไซเบอร์ ซึ่งทุกคนต้องพร้อมรับเข้าสู่ยุคแห่งการเตรียมการรับมือเมื่อโดนภัยไซเบอร์จู่โจม เพราะต่อไปภัยคุกคามเป็นเรื่องปกติที่จะต้องเกิดขึ้น ดังนั้น สิ่งที่ต้องวางแผนคือ จะทำอย่างไร หากองค์กรโดนจู่โจม ซึ่งเรียกได้ว่า หมดยุคของ Cybersecurity แต่เป็นการก้าวเข้าสู่ยุคของ Cyber Resiliency ผู้บริหารต้องเปลี่ยนความคิดใหม่ ในการวางมาตรการต่อกรกับภัยไซเบอร์ ที่จะถูกคุกคามอย่างเลี่ยงไม่ได้ เพียงแต่ว่าจะเกิดขึ้นเมื่อใด ดังนั้น องค์กรต้องเตรียมพร้อมและบริหารจัดการความเสี่ยงที่จะเกิดขึ้น การวางแผนสำรองเมื่อถูกจู่โจม
ทุกวันนี้ เราอยู่บนโลกของ VUCA World คือ อยู่กับ Volatility- ความผันผวนUncertainty- ความไม่แน่นอน Complexity – ความซับซ้อน และ Ambiguity – ความคลุมเครือ ปัจจัยทั้งหมดเหล่านี้รวมกันเรียกว่า The New Normal หรือ ความปกติแบบใหม่
5. Tighten in Cybersecurity
(Tighten in cybersecurity Sovereignty, Cyber Resilience, Data Privacy Regulatory Compliance cause from Data Breaches , when “Value Preservation” is more important not only “Value Creation”)
ปัญหาที่เกิดขึ้นจากข้อมูลรั่วไหลอยู่บ่อยครั้ง ดังนั้นมาตรการที่องค์กรต้องมีจำเป็นต้องรองรับต่อการจู่โจมทางไซเบอร์ การทำระบบให้รองรับต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลจากข้อมูลที่รั่วไหล รวมทั้งองค์กรจำเป็นต้องทำระบบรักษาความปลอดภัยเพื่อให้การบริการดิจิทัลขององค์กรมีเสถียรภาพ หรือการลงทุนใน “Value Preservation”เช่น การบริการผ่านแอปพลิเคชั่นเช่น การโอนเงินจากมือถือ
ต้องมีเสถียรภาพและความปลอดภัยต่อการใช้งาน ซึ่งในยุคดิจิทัลถือว่ามีความสำคัญอย่างมาก ดังนั้นในยุคนี้ผู้บริหารจำเป็นต้องมีวิสัยทัศน์ และเห็นความสำคัญต่อการลงทุนเพื่อสร้างเสถียรภาพและความปลอดภัยบนบริการดิจิทัล เพื่อให้ลูกค้าเกิดความไว้วางใจ และเกิดมูลค่าต่อแบรนด์ในท้ายที่สุด ไม่ใช่แค่คำนึงถึงแต่เพียงความคุ้มค่าจากการลงทุน (Value Creation) เพียงแง่มุมเดียว
ดังนั้นประเทศไทยจึงมีความจำเป็นจะต้องมีกฎหมายด้านไซเบอร์ไม่ว่าจะเป็น พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล รวมถึงพระราชบัญญัติฉบับอื่นๆ ที่เกี่ยวกับดิจิทัล
จาก 5 แนวโน้มดังกล่าวข้างต้น ปัจจัยสำคัญที่สุดในการจัดการระบบรักษาความปลอดภัยข้อมูล คือ “คน” ทั้งนี้ หากคนไม่มีจิตสำนึก ประมาท หรือไม่เห็นความสำคัญของระบบรักษาความปลอดภัย โดยเฉพาะหากผู้บริหารระดับสูงสุดไม่ให้ความสำคัญ มาตรการต่างๆ ก็คงไม่อาจเกิดขึ้นได้