ข่าวปลอมหรือ Fake News ว่าแย่แล้ว แต่ปี 63 คือปีที่ภัยไซเบอร์จะไปไกลกว่า Fake News ธรรมดา แถมคนทั่วโลกยังมีโอกาสถูกหลอกด้วยเทคโนโลยีดีพเฟก (Deep Fake) และช่องโหว่อื่นที่เป็นด้านมืดของปัญญาประดิษฐ์ (AI) และระบบเรียนรู้ด้วยเครื่อง (ML) มากขึ้น ขณะเดียวกันก็มีปัญหาระดับชาติเรื่องการเสียอธิปไตยบนโลกไซเบอร์ซึ่งคาดว่ารัฐบาลของบางประเทศจะยื่นมือลงมาเล่นเองมากขึ้นในปีหน้า
ทั้ง 3 เทรนด์ภัยไซเบอร์นี้นำไปสู่การบังคับใช้กฏหมายแบบเข้มข้นทั้งในไทยและต่างประเทศ ซึ่งจะเป็นแนวโน้มสำคัญเรื่องความเป็นส่วนตัวของข้อมูลปี 2563 ที่ทุกคนต้องรู้ โดยเฉพาะ CEO ของบริษัทไทยที่จะเป็นจำเลยที่ 1 ทันทีในคดีแพ่งและอาญา
เหนืออื่นใด การถูกแฮกจะกลายเป็นเรื่องธรรมดายิ่งขึ้นในสายตาชาวโลกยุคใหม่ปี 63 และจะถูกมองเหมือนอุบัติเหตุรถชนที่คนเดินถนนจะทำใจว่าเป็นเรื่องทั่วไปแล้วปล่อยให้เป็นหน้าที่ของบริษัทประกันภัย เทรนด์ที่จะเห็นชัดคือการปรับทัศนคติของบริษัทน้อยใหญ่ ที่จะลุยหา "แผน 2" ให้ระบบไซเบอร์ที่ถูกแฮกสามารถกลับมาทำงานได้ตามปกติโดยเร็วที่สุด
เทรนด์ภัยไซเบอร์เหล่านี้เป็นส่วนหนึ่งของเรื่องราวที่อาจารย์ปริญญา หอมเอนก ประธานกรรมการและผู้ก่อตั้ง บริษัท เอซิส โปรเฟสชันนัล เซ็นเตอร์ จำกัดจะนำไปเจาะรายละเอียดในงานประชุม "โครงการอบรมป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์ครั้งที่ 18" หรือ CDIC 2019 ซึ่ง ACIS ร่วมกับ Software Park และหลายสมาคมด้านความปลอดภัยระบบสารสนเทศ จัดงานสัมมนาช่วงวันที่ 26-27 พฤศจิกายน 62 ที่ศูนย์นิทรรศการและการประชุมไบเทคบางนา
*** "Beyond Fake News" อันตรายกว่า Deep Fake
นอกจากภัย Deep Fake ที่จะยิ่งรุนแรงขึ้นในปี 63 เพราะการเปิดแอปพลิเคชันให้คนทั่วไปสามารถปลอมตัวเป็นคนดังแล้วพูดอะไรก็ได้ผ่านวิดีโอจากบ้าน "ปริญญา"มองว่าภัย Beyond Fake News ที่จะก้าวไปไกลกว่าข่าวปลอมจนทำให้ผู้อ่าน "ถูกล้างสมอง" นั้นน่าเป็นห่วงมากกว่า เพราะเป็นการนำเสนอความจริงที่ไม่ผิดกฏหมาย และหลายคนได้เห็นผลกระทบจริงแล้วในเหตุการณ์ระดับโลก
"วันนี้มีแอปพลิเคชัน Deep Fake ชื่อ Zao Deep Fake เปิดให้คนจีนที่มีเบอร์โทรศัพท์จีนสามารถใช้งานได้ ที่เห็นล่าสุดคือมีวิดีโอพระพยอมชวนคนไปกินเหล้า หลายคนงงว่าทำไมวิดีโอพวกนี้ไม่สะดุดเลย แถมทำได้ง่ายจากที่บ้าน ถ้าเป็นทรัมป์หรือท่านนายกโดนสวมรอย ก็อาจเกิดความวุ่นวาย" ปริญญาระบุ "แต่เทรนด์ที่ 2 นี้อันตรายกว่า ที่เรียกว่า Beyond Fake News เพราะเป็นข้อมูลจริง ผลกระทบเห็นแล้วในเหตุการณ์โลก การล้างสมองแบบนี้ไม่ผิดกฎหมาย แต่น่ากังวลสำหรับเด็กวัยรุ่นหรือคนที่ไม่มีความรู้ ทำให้ประชาชนมองคนแบบฉาบฉวยว่าเป็นคนเก่ง อธิบายได้ว่าทำไมคนนี้ถึงเป็นที่ยอมรับในอินเทอร์เน็ต ทั้งที่ไม่มีผลงานที่จับต้องได้"
สิ่งที่เกิดขึ้นแล้วในวันนี้คือมีองค์กรเริ่มใช้กลยุทธ์ Beyond Fake News คือการเอาข่าวจริงหรือ Real News ที่อิงจากเรื่องจริง มีการรวบรวมสถิติหรืออินโฟกราฟิกจริงน่าเชื่อถือ มาใช้ปูพรมต่อเนื่องจนมีฝ่ายได้ประโยชน์ในวันหนึ่ง เพราะชาวออนไลน์ปักใจเชื่อว่า อีกฝ่ายไม่ดีหรือคล้อยตามจุดประสงค์ที่ตั้งไว้
ปริญญา มองว่าทางออกของภัย Beyond Fake News คือต้องพิสูจน์ความจริง และมองให้ลึกถึงกลุ่มทุนเบื้องหลังหรือนัยแฝงและวัตถุประสงค์ที่แท้จริงของผู้เผยแพร่ข่าว
*** "อธิปไตยไซเบอร์" ไม่มีจริง
เทรนด์ภัยไซเบอร์เรื่องที่ 3 ของปี 63 คือการเสียอธิปไตยบนโลกไซเบอร์ การที่อธิปไตยไซเบอร์หรือ Cyber Sovereignty ไม่มีจริงนั้นมีโอกาสที่ความมั่นคงของชาติอาจมีปัญหาในระยะยาว
"เรื่องนี้เป็นงานวิจัยผมด้วย ตอนนั้นยังไม่มีใครพูด หลายคนหาว่าผมบ้า แต่ผมไม่ได้บ้า ผมแค่เห็นในสิ่งที่คนอื่นไม่เห็น คืออธิปไตยไซเบอร์ มันไม่มีจริง" ปริญญา ยกตัวอย่าง "จีนเป็นประเทศเดียวที่ไม่ได้รับผลกระทบเรื่องนี้ เพราะเค้าบล็อกทราฟิกตะวันตก จนรวยได้ขนาดนี้ นี่เป็นสิ่งที่ไทยทำไม่ได้ และไม่มีทางทำได้บนแผ่นดินไทย"
ปริญญา อธิบายว่าในอดีต การจะล่าอธิปไตยของประเทศใดจะต้องยกเอาเรือ กองทัพ หรือปืนใหญ่มาขู่แลกดินแดน แต่ปัจจุบันการล่าอธิปไตยลักษณะนี้ทำได้จากในห้องนอน และบริษัทต่างชาติสามารถขุดประโยชน์จากข้อมูลของประชาชนทุกคนได้ ผลคือผู้คนกลายเป็นผลิตภัณฑ์ของบริษัทใหญ่ ซึ่งจับเสือมือเปล่ารวยหมื่นล้านจากข้อมูลโดยไม่ต้องมีผลิตภัณฑ์ของตัวเอง
สิ่งที่เห็นชัดคือผลการเสิร์ชบนกูเกิล (Google) ที่ไม่เหมือนกัน แปลว่าอำนาจอธิปไตยไม่ได้อยู่ในมือผู้ใช้อีกต่อไป กรณีนี้ทำให้อียูสั่งปรับกูเกิลหมื่นล้านยูโร ซึ่งในช่วงที่ยังต้องสู้คดีต่อ ปริญญาพบว่าบริษัทของรัฐบาลบางประเทศกำลัง "ลงมาเล่นเอง ด้วยวัตถุประสงค์บางอย่าง" ทำให้เกิดการตื่นตัว เห็นได้ชัดจากที่เวียดนามออกกฏหมายให้ทุกองค์กรในประเทศใช้คลาวด์ในประเทศเท่านั้น ก่อนจะขยายผลมาที่อินโดนีเซีย และสิงคโปร์
การตื่นตัวนี้นำไปสู่เทรนด์ต่อมา คือกฏหมายจะเข้มงวดจนเห็นชัดในปี 63 ทั้งเรื่องอำนาจอธิปไตย การออกกฏหมายให้องค์กรบริษัทต้องทำให้ระบบกลับมาทำงานได้ และการคุ้มครองความเป็นส่วนตัวของข้อมูล ซึ่งทุกคนจะต้องทำตามกฎระเบียบเพราะปัญหาการละเมิดข้อมูล
"ก่อนนี้มีแต่คนเน้น value creation จ่ายเงินลงทุนไปแล้วต้องได้คืน แต่ผู้บริหารบริษัทใหญ่จะเริ่มเปลี่ยนไปเน้น value preservation มากขึ้น นั่นคือการลงทุนเต็มที่ให้ระบบเสถียร เมื่อระบบนิ่งแล้วลูกค้าจะมา พ.ร.บ.ไซเบอร์ของไทยจึงต้องรีไรท์ใหม่ออกมาด้วยเหตุผลทั้งหมดนี้" ปริญญากล่าวต่อ "กฏหมายไซเบอร์ที่เข้มข้นจะทำให้ชีวิตคนไอทีไม่เหมือนเดิมอีกต่อไป ทุกอย่างจะต้องเป็นไปตามกฏหมาย ผู้บริหารระดับ C Level ต้องรู้ว่าจำเป็นต้องทำตามกฎหมาย หากเกิดข้อผิดพลาดจะทำแค่แถลงการณ์ขอโทษไม่ได้ เนื่องจากกฏหมายไซเบอร์ไทยมีทั้งคดีอาญาและเพ่ง โทษปรับกรรมละ 5 ล้านบาท หน่วยงานราชการทุกอย่างโดนหมด"
เทรนด์ภัยไซเบอร์ที่ 5 คือการถูกแฮกจะกลายเป็นเรื่องธรรมดาในโลกยุคใหม่หรือ New Normal องค์กรจะต้องปรับทัศนคติเพื่อให้ระบบไซเบอร์ที่ถูกแฮกสามารถกลับมาทำงานได้ตามปกติ ซึ่งในที่สุดก็จะขึ้นอยู่กับปัจจัยมนุษย์เป็นส่วนใหญ่
"เพราะเราอยู่ในโลกที่ไม่แน่นอน ก่อนนี้รถชนกลายเป็นเรื่องเล็ก การแฮกระบบชิมช้อปใช้จะเป็นเรื่องใหญ่ แต่จากนี้จะกลายเป็นความปกติแบบใหม่ บริษัทไม่ต้องถามเลยว่าจะโดนแฮกไหม แต่ให้ถามว่าจะโดนเมื่อไหร่ เพราะมีโอกาสที่จะถูกแฮก 24 ชั่วโมง"
ปริญญา อธิบายว่าหมดยุคไซเบอร์ซีเคียวริตี้แล้ว แต่กำลังเป็นยุคที่ผู้บริหารต้องเปลี่ยนความคิดแล้วตั้งคำถามกับตัวเองว่า "พร้อมรับมือไหม?" ผู้บริหารไม่ต้องตั้งคำถามแล้วว่าทำไมจ่ายเงินซื้อระบบซีเคียวริตี้ 20 ล้านแล้วระบบยังล่ม? เพราะที่ต้องทำคือการหาแผน 2 เพื่อเตรียมให้องค์กรรับมือกับการถูกแฮกแล้วทำธุรกิจต่อได้
"ประชาชนก็ควรรู้ว่าจะต้องมีบัญชีในหลายธนาคาร และมีเงินใส่ในลิ้นชักบ้าง ถ้าแอป นี้ล่มก็ไปใช้แบงค์อื่น ถ้าล่มกันทั้งหมดก็ต้องหยิบเงินในลิ้นชัก เรียกว่าต้องช่วยตัวเองด้วย"
ในเมื่อไม่มีใครรอด ปริญญา ย้ำว่าองค์กรจะต้องเตรียมทั้งเรื่องคน ทุน เวลา และระบบในการวาง "แผน 2" บางบริษัทจำเป็นต้องแยกร่างโครงสร้างฐานข้อมูลเพื่อความปลอดภัยยิ่งขึ้นตามข้อกำหนดของกฏหมาย GDPR ซึ่งสุดท้าย ทุกบริษัทต้องเปลี่ยนที่ตัวบุคคลเพื่อให้บรรลุเป้าหมายธุรกิจ
"ทั้ง 5 เทรนด์นี้ ผมว่าเทรนด์ที่ 2 น่าเป็นห่วงที่สุด แม้จะไม่ใช่เทรนด์ใหม่เพราะเกิดมานานเกิน 5 ปีแล้ว แต่ความคิดจากข่าว Beyond Fake News สามารถฝังหัวและเปลี่ยนความคิดได้ต่อเนื่องจนทำให้คนโนเนมหรือพรรคการเมืองใหม่สามารถได้รับการเลือกตั้งโดยไม่ต้องซื้อเสียงอีกต่อไป Beyond Fake News จะมีผลในระยะยาวซึ่งกระทบทั้งชาติ เศรษฐกิจ และวัฒนธรรม"
***ทุกคนต้องรู้เท่าทัน
เมื่อถามถึงแนวปฏิบัติเพื่อรับมือเทรนด์ภัยไซเบอร์เหล่านี้ ปริญญา บอกว่าต้องดูตามระดับพีรามิดทางสังคม ชั้นบนสุดของพีรามิดคือผู้บริหารประเทศ รองลงมาเป็นองค์กรธุรกิจจนถึง SME และระดับฐานรากคือครอบครัว ซึ่งสิ่งที่ทุกระดับต้องทำคือการรู้เท่าทันและเข้าใจผ่านการเห็นโลกจากความเป็นจริง
"ภาครัฐอาจต้องยกระดับให้ประชาชนรู้ทันภัยไซเบอร์แบบเดียวกับการทำแคมเปญเมาไม่ขับหรือให้เหล้าเท่ากับแช่ง แม้แคมเปญเหล่านี้จะยังไม่สำเร็จทั้งหมดในประเทศไทย แต่ในช่วง 10 ปีที่ผ่านมาถือว่าดีขึ้นซึ่งเป็นการค่อยๆดีขึ้นตามลำดับ"
สำหรับระดับองค์กร ต้องมีการอบรมโดยเน้นที่ผู้บริหารจึงจะทำให้เกิดการเปลี่ยนแปลงในด้านนโยบาย รวมถึงแก้ปัญหาในบางองค์กรที่ยังยึดติดกับความสำเร็จ ขณะที่ระดับครอบครัว ทุกคนในครอบครัวไม่ควรรับสื่อทางเดียว อาจเลือกสัมมนา ดูทีวี หรือเสพสื่อที่หลากหลาย อย่างไรก็ตามปริญญามองว่าทุกระดับควรจะมีผู้นำ ซึ่งทั้งหมดนี้อาจจะทำได้ด้วยการมีคนดังหรือ เซเลบริตี้มาเป็นเครื่องมือช่วยสร้างความตระหนักถึงภัยไซเบอร์อย่างจริงจัง และมองปัญหานี้เป็นภารกิจอันดับ 1 ในฐานะวาระแห่งชาติ
"ภัยไซเบอร์ดั้งเดิมที่เคยเกิดขึ้นตลอดช่วง 10 ปีที่ผ่านมาไม่ได้หายไปไหน แต่จะเปลี่ยนหน้าตาและกลยุทธ์ เช่นอาจมีการเผยแพร่ลิงค์หลอกลวงทางไลน์หรือการชักชวนให้โหวตญาติพี่น้อง ซึ่งแม้เทคนิคจะเปลี่ยนไปแต่การแฮกผ่านอีเมลจะยังเป็นอันดับ 1 เช่นเดิม โดยอาจจะมาจากช่องทางอื่นมากขึ้น"
เทคโนโลยีที่จะเปลี่ยนไปในปี 63 คือการยืนยันตัวบุคคลหรือ Authenticate ปริญญาเชื่อว่าการใช้ชื่อยูสเซอร์เนมและรหัสผ่านจะลดน้อยลง และการยืนยันตัว 2 ชั้นหรือ Two factor authentication จะกลายเป็น Multi factor โดยขณะนี้บางธนาคารเริ่มต้นพิจารณาเปลี่ยนวิธีการยืนยันตัวบุคคลแล้ว
ในมุมสมาร์ทซิตี้ ปริญญามองว่าจะยังไม่เกิดโดยเฉพาะIoTยังไม่ได้รับความนิยมเท่าที่ควร ขณะที่ยูสเซอร์ในไทยจะเปลี่ยนพฤติกรรมการเสพคอนเทนต์ เห็นได้ชัดจากการเปิดตลาดของบริการอย่าง Netflix, Disney Plus และอีกหลายบริการที่จะแข่งขันกันดุเดือดในปี 63
สำหรับพ.ร.บ.ไซเบอร์ที่จะมีผลบังคับใช้ในเร็ววัน ปริญญามองว่าแม้การออกพ.ร.บ.จะแก้ปัญหาไม่ได้ 100% แต่จะปลุกให้ผู้บริหารตื่น พ.ร.บ.นี้จะระบุโทษกรรมการผู้มีอำนาจ ที่ละเว้นไม่สั่งการทั้งในอาญาและทางแพ่ง กรรมการด้านการสอบบัญชีและกรรมการลงนามของทุกบริษัทล้วนมีความผิด โดยเฉพาะ CEO ที่จะเป็นจำเลยที่ 1
สิ่งที่ปริญญากังวลเรื่องพ.ร.บ.คือการสื่อสารที่ไม่ชัดเจนและการไม่มีผู้สานต่อโครงการ ซึ่งจะทำให้สิ่งที่กรรมการร่าง พ.ร.บ. ดำเนินการมาสูญเปล่า และการออกกฎหมายขั้นต้นจะไม่สำเร็จ ซึ่งทางออกเบื้องต้นคือการไปพึ่งพาองค์กรที่ทำแล้วสำเร็จอย่างเช่นแบงก์ชาติ ซึ่งคาดว่าราว 3-5 ปีถึงจะเห็นผลในภาพรวม
คำแนะนำที่หวังให้คนไทยในปี 2563 ท่องให้ขึ้นใจคือการระวังคำพูดบนโลกไซเบอร์ทั้งในกลุ่มผู้นำและประชาชน ขณะเดียวกันก็ขอให้ทุกคน "คิดย้อนกลับ" และรอบคอบในการคลิกยอมรับเงื่อนไขของแอปพลิเคชันต่างๆบนอุปกรณ์ดิจิทัล เนื่องจากหากใครพลาดไป ทุกอย่างจะวุ่นวายมาก บุคคลตัวจริงอาจกลายเป็นตัวปลอม และบุคคลตัวปลอมอาจจะกลายเป็นตัวจริงก็ได้
สำหรับงานประชุมโครงการอบรมป้องกันความปลอดภัยข้อมูลคอมพิวเตอร์ครั้งที่ 18 หรือ CDIC 2019 ที่ปริญญาเป็นเจ้าภาพนั้นธีมหลักของงานคือการปรับใช้กฎหมาย ภายในงานจะมีกรรมการไซเบอร์ และหน่วยงานผู้บังคับใช้กฎหมาย 3 รายทั้งกลต. แบงก์ชาติ และ คปภ. ท่ามกลาง 40-50 บูธแสดงเทคโนโลยีและเนื้อหาที่เติบโตมากขึ้น เหมาะกับผู้ฟังระดับผู้บริหาร แต่ในงานจะมีโชว์น่าตื่นเต้น 6 โชว์ ทั้งการแฮกแอนดรอยด์, ระบบสมาร์ทโฮม, IoT, การเจาะระบบรถยนต์อัจฉริยะ และการขโมยข้อมูลไบโอเมทริก
"ถ้าถูกขโมยข้อมูลไบโอเมตริกแล้วต้องไปเกิดใหม่ไหม? เรื่องนี้สำคัญมากแต่คนยังไม่รู้" ปริญญาทิ้งท้าย "ปีหน้าเราอาจจับมือกับต่างชาติ คิดว่าปี 2563 จะเป็นครั้งสุดท้ายที่คนไทยจัดงาน CDIC เอง แต่ยังไงเราจะเน้นเสน่ห์ด้านวิชาการเหมือนเดิม"
