สกมช.ควงพาโล อัลโต้ เน็ตเวิร์กส์ วางกรอบไทยปลอดภัยไซเบอร์บนคลาวด์ - AI

เกาะติดประเทศไทยยกระดับความปลอดภัยไซเบอร์บนระบบคลาวด์และปัญญาประดิษฐ์ (AI) ล่าสุดสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ สกมช. ลงนามจับมือกับพาโล อัลโต้ เน็ตเวิร์กส์ (Palo Alto Networks) บริษัทรักษาความปลอดภัยไซเบอร์อเมริกัน ร่วมกันขับเคลื่อนมาตรฐานกรอบการทำงาน “Cloud First Policy Framework” สำหรับหน่วยงานภาครัฐไทยใช้งานคลาวด์เป็นหลัก เผยดีเดย์เร่งคลอด "AI Security Guideline" สิงหาคม 68 ตามรอยสหรัฐฯ-สิงคโปร์ เล็งปิดช่องภัย AI ทั้งขาเข้าและขาออก

พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าวว่าเป้าหมายของความร่วมมือครั้งนี้ ไม่ได้อยู่ที่การสร้างกรอบนโยบายความปลอดภัยบนระบบคลาวด์แห่งชาติเท่านั้น แต่อยู่ที่ AI Security หรือความมั่นคงปลอดภัยของการใช้งานปัญญาประดิษฐ์ด้วย โดยระบุว่าหากองค์กรไทยนำ AI มาใช้โดยไม่มีมาตรฐานความปลอดภัยที่ชัดเจน อาจก่อให้เกิดปัญหา เช่น การโจมตีข้อมูล หรือโมเดล AI ที่ให้ผลลัพธ์ผิดเพี้ยน

"เราอยากรีบเร่งพัฒนา AI Security ให้เร็วที่สุด เพื่อให้การพัฒนาของ AI ไม่เหมือนกับยุคของการสอนให้ทุกคนทำเว็บไซต์ ก่อนหน้านี้ทุกคนดีใจที่ทำเว็บไซต์ได้ แต่ 4 ปีต่อมา หลายเว็บไซต์ถูกแฮ็กและองค์กรต้องมาตามจ่ายเงินค่าไถ่ข้อมูลกันทีหลัง สำหรับเทคโนโลยี AI เราไม่อยากให้เกิดเหตุผิดพลาดซ้ำเดิม ว่าเราก้าวหน้าเรื่องการใช้งานเทคโนโลยี แต่ละเลยเรื่องความปลอดภัย ตรงนี้จึงอยากจะให้ไปด้วยกันตั้งแต่แรก"


***ดีเดย์ส.ค.68 คลอด AI Security Guideline

พลอากาศตรี อมร เผยว่ามีแผนจะประกาศ AI Security Guideline หรือแนวทางการรักษาความปลอดภัยบนการใช้งานปัญญาประดิษฐ์ โดยจะนำมาตรฐานจาก 2 ประเทศมาประกอบกัน ได้แก่ ประเทศสิงคโปร์ที่ได้ออกประกาศไปเมื่อตุลาคม 67 และประเทศสหรัฐอเมริกาที่ประกาศ AI Risk Management Framework มาแล้ว

"แม้จะไม่อยากเรียกว่า Guideline หรือแนวทาง แต่หากเป็นเรื่อง AI แล้วมีการตั้งกฏหมายขึ้นมากำกับ จะกลายเป็นว่าบางองค์กรอาจมองว่าอย่าเพิ่งทำ AI เลย เดี๋ยวจะผิด เราจึงต้องเริ่มจาก Guideline เพื่อให้กระตุ้นการพัฒนาเรื่องนี้มากขึ้น"


พลอากาศตรี อมร ชี้ว่าการนำเอามาตรฐานแนวทางปฏิบัติของ 2 ประเทศมาประกอบกัน จะนำไปสู่การกำหนดนโยบายองค์กร ที่จะต้องระบุไว้ล่วงหน้าว่าอะไรคือสิ่งที่ควรทำ อะไรคือสิ่งที่ไม่ควรทำ และอะไรคือสิ่งที่ห้ามทำ ซึ่งเมื่อชัดเจนแล้วจึงจะเข้ากระบวนการกำหนดปัจจัยทางเทคโนโลยี ที่จะมาจับคู่เพื่อตอบโจทย์ในการกำกับดูแลให้ได้ตามนโยบายที่กำหนด

***โฟกัสคู่ กันภัย AI และคลาวด์

แนวทางปฏิบัติที่เสนอเพื่อให้องค์กรไทยใช้งาน AI และคลาวด์อย่างมีความปลอดภัยนั้นคือการนำความมั่นคงปลอดภัยมาเป็นส่วนหนึ่งของการออกแบบระบบตั้งแต่แรก โดยจากการวางโร้ดแมประยะ 3-5 ปีในการลงนามครั้งนี้ พบว่าจะมีการเน้นทั้งการกำหนดมาตรฐาน การอบรมบุคลากร และการประเมินความพร้อมด้านความปลอดภัย


นายปิยะ จิตต์นิมิตร ผู้จัดการประจำประเทศไทย พาโล อัลโต้ เน็ตเวิร์กส์ กล่าวถึงแนวทางความปลอดภัยบนคลาวด์ที่ได้เสนอไว้สำหรับปี 2568 ว่าครอบคลุม 5 ปัจจัยหลัก ได้แก่ การมีแพลตฟอร์มรวมศูนย์ ที่ลดความซับซ้อนและเพิ่มประสิทธิภาพ, การให้ความสำคัญกับความปลอดภัยในการนำ AI ไปใช้งาน, การบริหารจัดการความปลอดภัยของข้อมูลอัจฉริยะ, การปรับกระบวนการพัฒนาระบบหรือ DevOps ให้ปลอดภัย และการสร้างวัฒนธรรมให้ความสำคัญกับความปลอดภัยหรือ DevSecOps ภายในองค์กร

สำหรับ AI Security ปิยะย้ำว่าบริษัทมอง AI Security เป็นเรื่องหลักเนื่องจากพลังของการนำเอา AI มาใช้นั้นมีประสิทธิภาพมาก โดยเฉพาะการตอบโจทย์การทำงานที่ซ้ำซ้อนโดยเฉพาะอย่างยิ่งการตรวจจับความผิดปกติในองค์กร

"ในกรณีที่พบความผิดปกติ ก็ต้องมีเครื่องมือตอบสนองความผิดปกตินั้นแบบอัตโนมัติ นี่คือการทำงานตามเฟรมเวิร์ก"

สำหรับกลไกทางเทคโนโลยีที่จะนำมาเสริมเพื่อป้องกันภัยจากการใช้งาน AI ขององค์กร ผู้บริหารพาโล อัลโต้ เน็ตเวิร์กส์ เสริมว่าสามารถมองได้ 2 ส่วน ส่วนแรกคือขาเข้า (Inbound) ซึ่งเน้นการสร้างความมั่นใจว่าสิ่งที่ผู้ใช้ส่งเข้าหาโมเดล AI นั้นมีความปลอดภัยเพียงพอ หรือมีความพยายามในการสร้างข้อมูลที่เป็นพิษมีใครพยายามจะโยน "ข้อมูลไม่ดี" เข้าไปหรือไม่

"ส่วนนี้ AI Security จะต้องเข้ามากรอง การกรองนี้คือการตรวจสอบมอนิเตอร์คำถามและข้อมูลที่ถูกส่งเข้าโมเดล โดยจะต้องนำเอาระบบ AI มาสู้กับ AI เพื่อให้คำถามและคำตอบที่ถูกส่งเข้าออกโมเดลปัญญาประดิษฐ์ มีระบบรักษาความปลอดภัยมาช่วยประเมินความเสี่ยงอยู่เสมอ หรือประเมินว่าจะส่งผลกระทบต่อการทำงานของโมเดล LLM หรือไม่ หรือทำให้โมเดลข้อมูลที่อยู่หลังบ้านนั้นได้รับผลกระทบหรือไม่"


นอกจากขาเข้า ส่วนขาที่สองของ AI Security คือขาออกหรือ Outbound ซึ่งจะโฟกัสที่ข้อมูลสำหรับส่งกลับไปให้ผู้ใช้งาน ส่วนนี้จะมุ่งสร้างความแน่ใจว่าข้อมูลในองค์กรนั้นปลอดภัยถูกต้อง ไม่มีข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหวหลุดออกไป รวมถึงไม่มีข้อมูลสำคัญความลับที่ผู้ใช้งานไม่ควรจะเห็นหลุดรอดออกไป รวมถึงการดูแลความเสี่ยงของข้อมูล ไม่ให้มีภัยคุกคามแนบไปกับคำตอบ เช่น ลิงก์ URL ที่สามารถคลิกสู่เว็บไซต์ที่มีความผิดปกติ หรือมีความเสี่ยงมีมัลแวร์ฝังอยู่ในเอาท์พุตที่ระบบประมวลผลออกไป

"คำแนะนำคือควรมีการทำระบบ Security สำหรับ AI เหล่านี้ไปตั้งแต่แรกเริ่มการลงทุน ซึ่งจะทำให้ลดความเสี่ยงได้มากที่สุด แต่หากมีการลงทุนไปแล้วก็สามารถนำมาพิจารณาเพื่อรักษาความปลอดภัยเพิ่มเติมได้"


การลงนามระหว่าง สกมช. และพาโล อัลโต้ เน็ตเวิร์กส์ ครั้งนี้เกิดขึ้นหลังจากการทำงานร่วมกันมาแล้ว 3 ปี โดยทั้ง 2 องค์กรวางโร้ดแมปพร้อมเริ่มขยายผลการทำงานเชิงลึกยิ่งขึ้น คาดว่าจะมีการทำกิจกรรมร่วมกันต่อเนื่อง โดยใน 3-6 เดือนจากนี้ จะเน้นทั้งการวางกรอบการปฏิบัติด้าน AI ที่ยังไม่มีความชัดเจน และด้านคลาวด์ที่มีการตั้งมาตรฐานและ ขับเคลื่อนต่อเนื่อง ซึ่งหน่วยงานรัฐที่จะถูกให้ความสำคัญกลุ่มแรกได้แก่หน่วยงานในสังกัดกระทรวงมหาดไทย กระทรวงการคลัง และกระทรวงคมนาคม ซึ่งเก็บข้อมูลที่มีผลกับความปลอดภัยประชาชน และต้องดูเรื่องการใช้คลาวด์ให้เหมาะสม รวมถึงการใช้งานให้ปลอดภัยสูงสุด.