ผู้นำธุรกิจและเทคโนโลยีจัดให้ดิจิทัลและเทคโนโลยีเป็นความเสี่ยงอันดับแรกที่พวกเขาให้ความสำคัญในการบรรเทาผล
กระทบ สูงกว่าภัยพิบัติทางธรรมชาติ โรคระบาด และความไม่เท่าเทียมเกือบสองเท่า
งบประมาณทางไซเบอร์ในปี 2567 เพิ่มขึ้นและในอัตราที่สูงกว่าเมื่อเทียบกับปีที่แล้ว
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ PwC ไม่คาดหวังว่า GenAI จะนำไปสู่การโจมตีทางไซเบอร์ที่
“เป็นหายนะ” เพิ่มขึ้น ซึ่งตรงกันข้ามกับผู้ตอบแบบสำรวจส่วนใหญ่ (52%) ที่กล่าวว่า การโจมตีดังกล่าวอาจเกิดขึ้นได้ภายในปีหน้า
7 ใน 10 (69%) ระบุว่า องค์กรของตนจะใช้ GenAI เพื่อการป้องกันทางไซเบอร์ในอีก 12 เดือนข้างหน้า ขณะที่แพลตฟอร์มต่างๆ กำลังออกใบอนุญาตโมเดลภาษาขนาดใหญ่ของตนควบคู่ไปกับโซลูชันเทคโนโลยีไซเบอร์
การโจมตีทางไซเบอร์ด้านการดูแลสุขภาพมีค่าใช้จ่ายสูงกว่าอุตสาหกรรมอื่นๆ ถึง 20% — 5.3 ล้านเหรียญสหรัฐ (ราว 190 ล้านบาท) โดยเฉลี่ย
รายงานผลสำรวจ Global Digital Trust Insights ประจำปี 2567 ของ PwC เผยว่า สัดส่วนของธุรกิจที่ประสบกับการละเมิดข้อมูล (Data breach) มากกว่า 1 ล้านดอลลาร์สหรัฐ (ราว 36 ล้านบาท) เพิ่มขึ้นอย่างมีนัยสำคัญจากปีต่อปีถึงหนึ่งในสาม หรือจาก 27% เป็น 36% ทั้งนี้ การสำรวจผู้นำธุรกิจและเทคโนโลยีจำนวนกว่า 3,800 รายใน 71 ประเทศยังพบว่า บริษัทต่างๆ กำลังมองเห็นการขยายตัวของเอไอแบบรู้สร้าง (Generative AI: GenAI) ที่สร้างทั้งความระมัดระวังและความตื่นเต้นให้กับผู้ใช้
ขณะที่ องค์กรหลายแห่งกำลังเพิ่มการลงทุนด้านความปลอดภัยเพื่อป้องกันการโจมตีทางไซเบอร์ เกือบสองในสาม (64%) ของผู้ตอบแบบสำรวจกล่าวว่า รายได้จากการขายเพิ่มขึ้นในปีที่ผ่านมา ในขณะที่ 8 ใน 10 (82%) คาดว่า รายได้จะเพิ่มขึ้นในปีหน้า โดย 8 ใน 10 (79%) คาดว่า งบประมาณไซเบอร์จะเพิ่มขึ้นจาก 65% ในปี 2566 นอกจากนี้ องค์กรที่แสดงความพร้อมในการริเริ่มโครงการด้านความปลอดภัยทางไซเบอร์ยังได้รายงานผลประโยชน์จำนวนมากขึ้น และมีอุบัติการณ์ของการละเมิดทางไซเบอร์ที่มีค่าใช้จ่ายสูงถึง 1 ล้านเหรียญสหรัฐ (36 ล้านบาท) ลดลง หรือการละเมิดผ่านช่องทางอื่น
๐ อุตสาหกรรมการดูแลสุขภาพ เผชิญกับภัยคุกคามที่ร้ายแรงที่สุดจากความเสี่ยงทางไซเบอร์
แม้ว่าธุรกิจต่าง ๆ ที่ประสบกับการละเมิดข้อมูลจะเพิ่มขึ้นนับตั้งแต่การสำรวจของ PwC ในปี 2566 แต่อุตสาหกรรมการดูแลสุขภาพ (Healthcare) ได้รับผลกระทบมากที่สุด โดยในขณะที่การโจมตีทางไซเบอร์สร้างความเสียหายเฉลี่ยทั่วโลกอยู่ที่ 4.4 ล้านดอลลาร์สหรัฐ (158 ล้านบาท) ค่าเสียหายของภาคการดูแลสุขภาพนั้น สูงกว่าค่าเฉลี่ย 20% หรือ 5.3 ล้านดอลลาร์สหรัฐ (190 ล้านบาท) และเกือบครึ่ง (47%) ของผู้ตอบแบบสำรวจของธุรกิจดูแลสุขภาพรายงานว่า มีการละเมิดข้อมูลที่สร้างค่าเสียหายกว่า 1 ล้านดอลลาร์สหรัฐ (36 ล้านบาท) หรือมากกว่านั้น
นอกจากนี้ เมื่อขนาดของบริษัทเพิ่มขึ้น ต้นทุนเฉลี่ยของการละเมิดข้อมูลที่สร้างความเสียหายก็เพิ่มขึ้นตามไปด้วย โดยบริษัทที่มีมูลค่ามากกว่า 1 หมื่นล้านดอลลาร์สหรัฐ (3.6 แสนล้านบาท) รายงานการถูกละเมิดมูลค่า 7.2 ล้านดอลลาร์สหรัฐ
(259 ล้านบาท) ในขณะที่บริษัทที่มีมูลค่าน้อยกว่า 1 พันล้านดอลลาร์สหรัฐ (3.6 หมื่นล้านบาท) รายงานความเสียหายราว 1.9
ล้านดอลลาร์สหรัฐ (68 ล้านบาท)
๐ การเติบโตของ ‘DefenseGPT’
บรรดาผู้นำธุรกิจและเทคโนโลยีแสดงความกังวลเพิ่มขึ้นเกี่ยวกับการขยายตัวของการใช้ GenAI เนื่องจากเกี่ยวข้องกับความปลอดภัยทางไซเบอร์ โดย GenAI สามารถช่วยสร้างอีเมลธุรกิจสำหรับการบุกรุกชั้นสูงในวงกว้างได้ ด้วยเหตุนี้ ผู้บริหารฝ่ายความมั่นคงปลอดภัยสารสนเทศ (Chef Information Security Officer: CISO) และผู้บริหารฝ่ายเทคโนโลยีสารสนเทศ (Chief Information Officer: CIO) ควรให้ความสนใจกับแนวโน้มนี้ โดย 52% ของผู้ตอบแบบสำรวจคาดว่า GenAI จะนำไปสู่การโจมตีทางไซเบอร์ที่ร้ายแรงในอีก 12 เดือนข้างหน้า ขณะที่เกือบแปดใน 10 (77%) เห็นด้วยว่า พวกเขาตั้งใจที่จะใช้ GenAI อย่างมีจริยธรรมและมีความรับผิดชอบ
อย่างไรก็ดี สามในสี่ของผู้นำธุรกิจและเทคโนโลยีได้แสดงความตื่นเต้นเกี่ยวกับศักยภาพของ GenAI โดย
77% เห็นด้วยว่า “เอไอแบบรู้สร้างจะช่วยให้องค์กรพัฒนาสายธุรกิจใหม่ภายในสามปีข้างหน้า”
74% เห็นด้วยว่า “การใช้ GenAI เป็นการส่วนตัวของพนักงานจะนำไปสู่การเพิ่มประสิทธิภาพการทำงานที่จับต้องได้ภายใน 12 เดือนข้างหน้า”
75% เห็นด้วยว่า “กระบวนการที่ขับเคลื่อนด้วย GenAI ภายในองค์กรจะช่วยเพิ่มประสิทธิภาพการทำงานของพนักงานภายใน 12 เดือนข้างหน้า”
นอกจากนี้ GenAI มีข้อได้เปรียบในการสังเคราะห์ข้อมูลจำนวนมากเกี่ยวกับเหตุการณ์ทางไซเบอร์จากหลายระบบและแหล่งที่มา เพื่อช่วยให้ผู้นำเข้าใจสิ่งที่เกิดขึ้น GenAI ยังสามารถนำเสนอภัยคุกคามที่ซับซ้อนในภาษาที่เข้าใจง่าย ให้คำแนะนำเกี่ยวกับกลยุทธ์ในการบรรเทาผลกระทบ และช่วยเหลือในการค้นหาและการสืบสวน
“การสำรวจทั่วโลกของเราแสดงให้เห็นว่า ความปลอดภัยทางไซเบอร์ยังคงเป็นประเด็นสำคัญสำหรับผู้นำธุรกิจ และตอนนี้ก็มีมากขึ้นกว่าที่เคย ผู้บริหารระดับสูงจำเป็นต้องมีความคล่องตัวและปรับตัวเข้ากับตลาดที่เปลี่ยนแปลงไป ด้วยการพัฒนาเทคโนโลยีที่เกิดขึ้นใหม่ที่กำลังเข้าสู่ตลาดในรูปแบบการเปลี่ยนแปลง ผู้บริหารจะต้องท้าทายสภาพที่เป็นอยู่ด้วยการสร้างความปลอดภัยให้กับโครงสร้างขององค์กรแทนที่จะตอบสนองเมื่อเกิดวิกฤติ” นาย ฌอน จอยซ์ หัวหน้ากลุ่มลูกค้าความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวระดับโลก PwC ประเทศสหรัฐอเมริกา กล่าว
๐ ‘ผู้พิทักษ์ความเชื่อมั่นด้านความปลอดภัยดิจิทัล’
ความปลอดภัยทางไซเบอร์ จำเป็นต้องได้รับการปรับปรุงอย่างสม่ำเสมอโดยมีองค์กรน้อยกว่าหนึ่งในสามรายงานว่า
พวกเขากำลังปฏิบัติตามแนวทางสำคัญที่เกี่ยวข้องกับไซเบอร์บนพื้นฐาน ‘ปกติ’ ที่สอดคล้องกัน เพื่อทำการสำรวจเพิ่มเติม PwC ได้พัฒนาดัชนีเพื่อระบุว่า องค์กรใดมีทีมรักษาความปลอดภัยทางไซเบอร์ที่สาธิตแนวทางปฏิบัติทางไซเบอร์ชั้นนำอย่างสม่ำเสมอ แต่จากผู้ตอบแบบสำรวจทั้งหมดพบว่า มีองค์กรเพียง 5% เท่านั้นที่รายงานการดำเนินการทางไซเบอร์ในเชิงป้องกันและการเติบโต 10 ประการอย่างต่อเนื่อง ซึ่งเราเรียกพวกเขาว่า ‘ผู้พิทักษ์ความเชื่อมั่นด้านความปลอดภัยดิจิทัล’ (Stewards of Digital Trust) ทั้งนี้ มากกว่าครึ่ง (53%) ของผู้ตอบแบบสำรวจมีรายได้ 5 พันล้านดอลลาร์สหรัฐ (ราว 1.8 แสนล้านบาท) หรือมากกว่า และมีแนวโน้มที่จะเป็นองค์กรที่ ‘เติบโตสูง’ ที่มีประสบการณ์และคาดว่ารายได้เติบโตมากกว่า 10% ในช่วง 12 เดือนที่ผ่านมาและที่กำลังจะมาถึง (17% เทียบกับ 9% โดยรวม)
นอกจากนี้ องค์กรเหล่านี้ยังมีแนวโน้มที่จะกล่าวว่า การละเมิดทางไซเบอร์ที่สร้างความเสียหายมากที่สุดในช่วงสามปีที่ผ่านมา
สร้างความเสียหายน้อยกว่า 100,000 ดอลลาร์สหรัฐ (3.6 ล้านบาท) (28% เทียบกับ 19% โดยรวม) ในขณะที่ 36% ขององค์กรโดยรวม ประสบกับการละเมิดทางไซเบอร์มูลค่ามากกว่า 1 ล้านดอลลาร์สหรัฐ (มากกว่า 36 ล้านบาท) แต่กลับลดลงเหลือ 29% ในกลุ่มผู้พิทักษ์ความเชื่อมั่นด้านความปลอดภัยดิจิทัล นอกจากนี้ พวกเขายังมีทัศนคติเชิงบวกเกี่ยวกับผลกระทบของ GenAI โดยหลายรายเห็นพ้องอย่างยิ่งว่า จะสามารถพัฒนาสายธุรกิจใหม่ (49% เทียบกับ 33% โดยรวม) และจะใช้เครื่องมือ Gen AI สำหรับการป้องกันทางไซเบอร์ (44% เทียบกับ 27%) ยิ่งไปกว่านั้น พวกเขามีแนวโน้มที่จะไม่เห็นด้วยว่า ‘Gen AI จะนำไปสู่การโจมตีทางไซเบอร์ที่ร้ายแรง’ (33% เทียบกับ 22% โดยรวม)
และจะอนุญาตให้มีการประยุกต์ใช้เครื่องมือ GenAI ก็ต่อเมื่อมีนโยบายภายในแล้ว (31% ไม่เห็นด้วย เทียบกับ 19% โดยรวม และ 53% เห็นด้วย เทียบกับ 63% โดยรวม)
๐ ผู้นำธุรกิจเพิ่มการลงทุนด้านความปลอดภัยทางไซเบอร์เป็นสองเท่า
แม้ภัยพิบัติทางธรรมชาติที่เกี่ยวข้องกับการเปลี่ยนแปลงสภาพภูมิอากาศจะเพิ่มขึ้นอย่างต่อเนื่อง ผลกระทบของการแพร่ระบาดของโควิด-19 และความไม่เท่าเทียมที่เพิ่มขึ้น ผู้นำธุรกิจและเทคโนโลยีได้จัดอันดับให้ดิจิทัลและเทคโนโลยีเป็นความเสี่ยงสูงสุดที่พวกเขาให้ความสำคัญต่อการบรรเทาผลกระทบในช่วง 12 เดือนข้างหน้า
ทั้งนี้ ภัยคุกคามที่เกี่ยวข้องกับไซเบอร์สามอันดับแรกที่ธุรกิจแสดงความกังวล ได้แก่ ภัยคุกคามที่เกี่ยวข้องกับคลาวด์ การโจมตีอุปกรณ์เชื่อมต่อ และการจารกรรมและการรั่วไหลของข้อมูล อย่างไรก็ตาม มากกว่าหนึ่งในสามของบริษัท ยังไม่ได้ดำเนินการจัดการความเสี่ยง และมีเพียงหนึ่งในสี่เท่านั้นที่ได้ปรับปรุงความสามารถในการฟื้นตัวทางไซเบอร์ นอกจากนี้
องค์กรเพียงสองเปอร์เซ็นต์เท่านั้นที่เพิ่มประสิทธิภาพและปรับปรุงความสามารถในการฟื้นตัวทางไซเบอร์อย่างต่อเนื่องในทุกด้านที่สำคัญพอ ๆ กัน คือ ผู้นำมากกว่า 40% กล่าวว่า พวกเขาไม่เข้าใจความเสี่ยงทางไซเบอร์ที่เกิดจากเทคโนโลยีเกิดใหม่ เช่น เครื่องมือจำลองสภาพแวดล้อมเสมือนจริง GenAI บล็อกเชนระดับองค์กร (Enterprise Blockchain) การคำนวณเชิงควอนตัม และเทคโนโลยีเสมือนจริง (Virtual Reality) หรือเทคโนโลยีที่ผสานโลกเสมือนเข้าไปในโลกจริง (Augmented Reality)
“องค์กรต่าง ๆ ควรนำชุดเครื่องมือเอไอที่มีความรับผิดชอบมาใช้เพื่อเป็นแนวทางในการใช้เอไอที่เชื่อถือได้และมีจริยธรรม
แม้ว่าบ่อยครั้งจะถือเป็นหน้าที่ของเทคโนโลยี แต่การควบคุมดูแลและการแทรกแซงของมนุษย์ถือเป็นสิ่งสำคัญสำหรับเอไอ
และนอกเหนือจากความเสี่ยงด้านความปลอดภัยและความเป็นส่วนตัวแล้ว พวกเขายังต้องคำนึงถึงสิ่งอื่นๆ เพิ่มเติมที่เกี่ยวข้องกับความเสี่ยงด้านข้อมูล ความเสี่ยงด้านโมเดลและอคติ รวมถึงความเสี่ยงของคำสั่งหรือการป้อนข้อมูล และความเสี่ยงของผู้ใช้เมื่อเริ่มทำงานร่วมกับ GenAI” นาย ฌอน จอยซ์ หัวหน้ากลุ่มลูกค้าความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวระดับโลก PwC ประเทศสหรัฐอเมริกา กล่าว
๐ การยกระดับทักษะและสร้างทักษะใหม่
องค์กรต่างๆ จะต้องคำนึงถึงกลยุทธ์ในการสรรหาและรักษาพนักงานที่มีความสามารถของตน โดยต้องทำให้พวกเขารู้สึกมีส่วนร่วมและรับทราบข้อมูลอยู่เสมอ ผู้นำธุรกิจและเทคโนโลยีระบุว่า “การเพิ่มทักษะให้กับกำลังแรงงานในปัจจุบันให้เร็วและทันกับความต้องการขององค์กรของเรา”; “การปรับสมดุลระหว่างบริการภายในและการจัดจ้างภายนอก หรือบริการที่ได้รับการจัดการ”; และ “การระบุผู้สมัครงานที่เหมาะสมสำหรับการเปิดรับสมัคร” ถือเป็นภารกิจที่มีความสำคัญมากที่สุดสามอันดับแรกที่เกี่ยวข้องกับกลยุทธ์ด้านผู้มีความสามารถทางไซเบอร์
นอกจากนี้ องค์กรที่เคยประสบกับการละเมิดทางไซเบอร์มูลค่ามากกว่า 1 ล้านดอลลาร์สหรัฐ (36 ล้านบาท) ยังมีแนวโน้มที่จะให้ความสำคัญกับการแข่งขันแย่งชิงผู้มีความสามารถในตลาด (52%) ในลำดับความสำคัญสามอันดับแรก ความพร้อมรับมือภัยคุกคามทางไซเบอร์ของไทยยังไม่เพียงพอ
ด้านนายริชี อานันท์ หุ้นส่วนสายงานที่ปรึกษาด้านความเสี่ยง PwC ประเทศไทย กล่าวเสริมว่า การดำเนินงานแบบดิจิทัลที่เพิ่มขึ้นทำให้ธุรกิจในประเทศไทยมีความเสี่ยงต่อภัยคุกคามทางไซเบอร์มากขึ้น ทั้งนี้ 2 ไทยประสบปัญหาการโจมตีผ่านช่องทางเว็บไซต์ (Web-based attacks) เพิ่มขึ้นอย่างมีนัยสำคัญ โดยจากข้อมูลของสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ระบุว่า พบกรณีการโจมตีถึง 973 ครั้งในปีนี้ (สิ้นสุด ณ เดือนสิงหาคม 2566) เพิ่มขึ้นจากการโจมตีจำนวน 651 ครั้งในปี 2565 ขณะที่ภาคธุรกิจบริการทางการเงิน (Financial Services) ถือเป็นเป้าหมายหลักของการถูกโจมตีจากผู้ไม่ประสงค์ดี
“ธุรกิจจำนวนมากมีความเสี่ยงที่จะถูกคุกคามจากกลยุทธ์การโจมตีทางไซเบอร์หลายรูปแบบตั้งแต่ฟิชชิ่ง มัลแวร์ แรนซัมแวร์
และการขโมยข้อมูล ซึ่งเกี่ยวข้องกับข้อมูลทางการเงินและข้อมูลส่วนบุคคลอื่น ๆ โดยนอกจากธนาคารรายใหญ่ ๆ แล้ว
บริษัทไทยส่วนใหญ่ยังคงใช้มาตรการดูแลรักษาความปลอดภัยขั้นต่ำอยู่”นาย ริชี กล่าว “ถึงแม้องค์กรจะตระหนักถึงภัยคุกคามทางไซเบอร์โดยทั่วไป แต่หลายรายยังคงคิดว่า องค์กรของตนจะไม่ตกเป็นเหยื่อการโจมตีทางไซเบอร์ เราจะเห็นว่ามาตรการความปลอดภัยทางไซเบอร์ขององค์กรไทยยังไม่พร้อมในหลาย ๆ ด้าน ไม่ว่าจะเป็นการระบุ การตรวจจับ
การป้องกัน การตอบสนอง และการฟื้นฟูให้กลับมาอยู่ในสภาพปกติ”
นายริชี กล่าวอีกว่า แม้ธุรกิจจจะแสดงความตื่นเต้นและความกลัวในระดับที่เท่าเทียมกันเกี่ยวกับศักยภาพของ AI แต่ปัจจัยดังกล่าวจะมีบทบาทสำคัญต่อการปรับปรุงการควบคุมความปลอดภัยทางไซเบอร์ ความเสี่ยงสำคัญจากการใช้ GenAI คือ ความปลอดภัย ความเป็นส่วนตัว และอคติ แต่ GenAI สามารถนำไปปรับปรุงความปลอดภัยทางไซเบอร์ด้วยกระบวนการอัตโนมัติ เช่น 3 การจัดการแพตช์ การจัดการช่องโหว่ และการทดสอบการเจาะระบบ รวมถึงการตรวจจับภัยคุกคามแบบเรียลไทม์ เทคโนโลยีใหม่ที่ทรงพลังเหล่านี้จะช่วยเร่งการสอบสวน ตอบสนองอัตโนมัติ และประสานการดำเนินงานในระหว่างเหตุการณ์คุกคามความปลอดภัยได้
