เผย 10 แนวโน้มความมั่นคงปลอดภัยทางไซเบอร์ในปี 2023 เพื่อเตรียมรับมือกับภัยคุกคามไซเบอร์เหล่านี้ กับการเปลี่ยนแปลงที่เห็นได้ชัดในของไทย รู้ถึงแนวโน้ม และทิศทางภัยด้าน Cybersecurity และ Privacy ปี 2023 โดย อาจารย์ปริญญา หอมเอนก .

𝐓𝐨𝐩 𝐓𝐞𝐧 𝐂𝐲𝐛𝐞𝐫𝐬𝐞𝐜𝐮𝐫𝐢𝐭𝐲 & 𝐏𝐫𝐢𝐯𝐚𝐜𝐲 𝐓𝐡𝐫𝐞𝐚𝐭𝐬 𝐚𝐧𝐝 𝐓𝐫𝐞𝐧𝐝𝐬 𝟐𝟎𝟐𝟑.𝐓𝐫𝐞𝐧𝐝 𝟏 : 𝐒𝐞𝐜𝐮𝐫𝐢𝐭𝐲 𝐀𝐰𝐚𝐫𝐞𝐧𝐞𝐬𝐬 𝐢𝐬 𝐍𝐨𝐭 𝐄𝐧𝐨𝐮𝐠𝐡 , 𝐂𝐨𝐫𝐩𝐨𝐫𝐚𝐭𝐞 𝐧𝐞𝐞𝐝𝐬 𝐭𝐨 𝐂𝐮𝐥𝐭𝐢𝐯𝐚𝐭𝐞 𝐂𝐲𝐛𝐞𝐫 𝐑𝐞𝐬𝐢𝐥𝐢𝐞𝐧𝐜𝐞 𝐂𝐮𝐥𝐭𝐮𝐫𝐞 𝐚𝐧𝐝 𝐈𝐦𝐩𝐥𝐞𝐦𝐞𝐧𝐭 𝐂𝐲𝐛𝐞𝐫 𝐀𝐭𝐭𝐚𝐜𝐤 𝐒𝐢𝐦𝐮𝐥𝐚𝐭𝐢𝐨𝐧 (𝐂𝐲𝐛𝐞𝐫 𝐃𝐫𝐢𝐥𝐥) .

ในปัจจุบัน การสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยในองค์กรอาจไม่เพียงพออีกต่อไปแล้ว ดังนั้นไม่ว่าจะเป็นคนทั่วไปตลอดจนผู้บริหารและพนักงานในองค์กรนอกจากต้องหาความรู้เพิ่มเติมและทำความเข้าใจในรายละเอียดของภัยไซเบอร์ในรูปแบบต่างๆ เปรียบเสมือนการฉีดวัคซีนไซเบอร์ในเบื้องต้นให้กับตนเองและครอบครัวเพื่อไม่ให้ตกเป็นเหยื่อภัยไซเบอร์ที่นับวันจะมีวิวัฒนาการขึ้นโดยลำดับ .

สำหรับองค์กรนอกจากการจัดอบรมให้ความรู้ Security Awareness Training แล้วควรจะต้องปลูกฝังวัฒนธรรมด้านการสร้างความมั่นคงปลอดภัยไซเบอร์ให้แก่ผู้บริหารและพนักงาน ด้วยการซ้อมหนีภัยทางไซเบอร์ หรือ Cyber Drill โดยการจัดให้มีการจำลองการโจมตีทางไซเบอร์ขึ้น (Cyber Attack Simulation) โดยเน้นไปที่การโจมตีที่จิตใจคน เพื่อให้ผู้บริหารและพนักงาน มีความคุ้นชิน คล้ายกับการซ้อมหนีไฟ มีความพร้อมเวลาองค์กรเกิด Cyber Attack หรือ ที่เรียกว่า ทำให้องค์กรเกิดสภาวะ Cyber Resilience ต่อภัยคุกคามไซเบอร์ที่อาจเกิดขึ้นเมื่อไหร่ก็ได้ .เพราะปัจจุบันภัยไซเบอร์ไม่ได้มาในรูปแบบการโจมตีเพื่อบุกรุกเข้าสู่ระบบสารสนเทศขององค์กรเพียงอย่างเดียวแต่จะมุ่งเป้าโจมตีไปที่จิตใจคนเพื่อให้เกิดความโลภ เกิดความกลัว จนอาจต้องรีบทำในสิ่งที่แฮกเกอร์หลอกลวงโดยไม่รู้เท่าทัน หรือ อาจเกิดความเข้าใจผิดเช่น หลงไปโอนเงินให้แฮกเกอร์โดยหลงคิดว่าเป็นคู่ค้าเป็นต้น กรณีนี้เรียกว่า “Business Email Compromised” .

การจำลองเหตุการณ์ Cyber Attack จะทำให้เกิดความคุ้นชินกับการโจมตีที่มุ่งเป้าไปที่ตัวบุคคล เพราะเมื่อเราได้เห็นหรือมีประสบการณ์แล้วก็จะรู้ว่า ถ้าโดนโจมตี เราต้องจัดการกับเหตุการณ์นั้นอย่างไร และไม่ตื่นตระหนกตกลงใจกับเหตุการณ์ดังกล่าวมากจนเกินไป เพราะถ้าเรามีสติ โอกาสที่จะตกเป็นเหยื่อมิจฉาชีพก็จะลดลง .แนวปฏิบัติ : องค์กรควรจัดให้มีการซ้อมหนีไฟทางไซเบอร์ หรือที่เรียกว่า Cyber Drill เพื่อซักซ้อมแนวทางปฏิบัติที่จะรับมือกับการเผชิญเหตุอย่างน้อยปีละ 1-2 ครั้ง เป็นการพัฒนา Cyber Hygiene สร้างภูมิคุ้มกันให้แก่บุคลากรและองค์กรไปพร้อมๆกัน .

𝐓𝐫𝐞𝐧𝐝 𝟐 : 𝐀𝐝𝐨𝐩𝐭 “𝐂𝐲𝐛𝐞𝐫 𝐌𝐢𝐧𝐝𝐬𝐞𝐭” 𝐟𝐫𝐨𝐦 “‘𝐀𝐫𝐞 𝐖𝐞 𝐒𝐞𝐜𝐮𝐫𝐞?” 𝐭𝐨 “𝐀𝐫𝐞 𝐰𝐞 𝐑𝐞𝐚𝐝𝐲?” .การเปลี่ยน Mindset อาจไม่เพียงพอที่จะรับมือกับภัยไซเบอร์อีกต่อไป แต่เราจะต้องเตรียมความพร้อมด้วยการมีแผนสำรองและแผนการรับมือกับภัยไซเบอร์ และมีการทดสอบแผนดังกล่าว เพื่อให้มั่นใจได้ว่าจะสามารถโต้ตอบภัยคุกคามที่อาจจะเข้ามาถึงตัวเราเมื่อไรก็ได้.นอกจากความตระหนักรู้ (Awareness) และความเข้าใจ (Understand) เกี่ยวกับภัยไซเบอร์แล้ว ยังต้องทำให้เกิดการนำไปปรับใช้ (Adopt) อีกด้วย เพราะปัจจุบันหมดยุค “Are We Secure?” หรือ เราจะปลอดภัยหรือไม่? เนื่องจากเป็นไปได้ยากที่เราจะปลอดภัย 100% แต่กลับต้องถามว่า “Are we Ready?” หรือ เราพร้อมหรือไม่เมื่อเราต้องเผชิญกับภัยไซเบอร์? โดยเราทุกคนควรจะต้องสามารถรับมือกับภัยไซเบอร์ที่มีหลากหลายรูปแบบในปัจจุบันได้ด้วยตนเอง .

Adopt “Cyber Mindset” from “Are We Secure?” to “Are we Ready?” แนวโน้มนี้ใช้ได้ทั้งในมุมขององค์กรและการใช้ชีวิตประจำวันของคนทั่วๆ ไป โดยเฉพาะองค์กรควรจะต้องมีแผนในการรับมือภัยไซเบอร์อย่างเป็นขั้นตอน มีความชัดเจน และได้มาตรฐาน ซึ่งปัจจุบันมีการนำหลักการ Incident Response และ Incident Handling มาใช้กันอย่างแพร่หลาย .Incident Response Planเป็นแนวปฏิบัติที่สามารถสร้างความพร้อมในการเผชิญเหตุ ทำให้ผู้บริหารองค์กรมีความมั่นใจมากขึ้น หากต้องเผชิญหน้ากับภัยคุกคาม สามารถที่จะแก้ปัญหา กู้คืนข้อมูล และ สามารถดำเนินธุรกิจต่อไปได้อย่างมั่นคงโดยที่องค์กรจะไม่ได้รับผลกระทบที่รุนแรง.

แนวปฏิบัติ : องค์กรควรจะต้องซ้อมแผน Incident Response Plan เพื่อเป็นการทดสอบขั้นตอนในการเผชิญเหตุในภาพรวม ควบคู่ไปกับการประเมินประสิทธิภาพและประสิทธิผลของ Incident Response Plan อีกด้วยว่าควรต้องนำแผนมาปรับปรุงให้เหมาะสมกับสถานการณ์ปัจจุบันหรือไม่.

𝐓𝐫𝐞𝐧𝐝 𝟑 : 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐒𝐮𝐩𝐩𝐥𝐲 𝐂𝐡𝐚𝐢𝐧 @𝐑𝐈𝐒𝐊 .การดำเนินธุรกิจในปัจจุบันเบื้องหลังมีการใช้ระบบ Digital Supply Chain หรือห่วงโซ่อุปทานดิจิทัลกันอย่างแพร่หลาย ซึ่งหมายถึง มีการติดต่อซื้อขายสินค้าและบริการผ่านระบบออนไลน์ โดยทั้งฝ่ายผู้ซื้อและผู้ขายเชื่อมต่อระบบเข้าหากันในลักษณะ online real-time.

กล่าวได้ว่าปัจจุบันเป็นโลกแห่งการเชื่อมต่อกันอยู่ตลอดเวลา มีทั้งการเชื่อมต่อแบบออฟไลน์และออนไลน์ เนื่องจากการเชื่อมต่อกันแบบเรียลไทม์ทำให้เกิดทราฟฟิกขึ้นจำนวนมาก จึงยากต่อการตรวจสอบด้วยสภาวะของระบบที่มีความเร็วสูงและข้อมูลปริมาณมหาศาล .คำถามก็คือ “เราจะมั่นใจได้อย่างไรว่า ระบบของผู้ที่เราติดต่อด้วยนั้นมีความมั่นคงปลอดภัยเพียงพอ?” ตอบได้ว่า เราไม่มีทางรู้ได้ชัดเจนว่าระบบนั้นมีความมั่นคงปลอดภัยเพียงใด เพราะการดำเนินธุรกิจไม่ได้ติดต่อซื้อขายสินค้าและบริการกับเวนเดอร์หรือซัพพลายเออร์เพียงรายเดียว หากแต่บางบริษัทมีเวนเดอร์และซัพพลายเออร์ นับสิบหรือนับร้อยราย ซึ่งนั่นหมายถึงความเสี่ยง แม้ว่าบริษัทของเราจะมีระบบสารสนเทศที่มั่นคงปลอดภัยเพียงใดแต่ก็ยังมีความเสี่ยงจากปัจจัยภายนอกดังกล่าว .

นั่นเป็นเพราะแฮกเกอร์สามารถโจมตีระบบของเวนเดอร์หรือซัพพลายเออร์ผ่านเข้ามาสู่ระบบของบริษัทเราได้ ทำให้อาจเกิดปัญหาข้อมูลรั่วไหล ก่อให้เกิดความเดือดร้อนทั้งเราและลูกค้าของเรา ปัญหาเหล่านี้คือ ความเปราะบางในระบบสารสนเทศของเวนเดอร์หรือซัพพลายเออร์ ทำให้เราในฐานะที่เป็นบริษัทคู่ค้าย่อมมีความเสี่ยงไปด้วยอย่างหลีกเลี่ยงไม่ได้ .คำแนะนำ : องค์กรควรจะต้องมีหลักการประเมินมาตรฐานความมั่นคงปลอดภัยของเวนเดอร์หรือซัพพลายเออร์ โดยมีการกำหนดมาตรฐานขั้นต่ำเอาไว้ ยกตัวอย่างเช่น องค์กรควรกำหนดให้ เวนเดอร์หรือซัพพลายเออร์ ต้องผ่านการประเมินมาตรฐาน ISO/IEC 27001 ควรมีการจัดทำ Vulnerability Assessment และ Penetration Testing หรือมีการนำกรอบแนวทางปฏิบัติของ NIST Cybersecurity Framework หรือ CISA Cyber Resilience Review มาใช้ภายในองค์กร เป็นต้น .

𝐓𝐫𝐞𝐧𝐝 𝟒 : 𝐅𝐫𝐨𝐦 “𝐂𝐲𝐛𝐞𝐫 𝐃𝐫𝐢𝐥𝐥” 𝐭𝐨 “𝐁𝐀𝐒” (𝐁𝐫𝐞𝐚𝐜𝐡 𝐚𝐧𝐝 𝐀𝐭𝐭𝐚𝐜𝐤 𝐒𝐢𝐦𝐮𝐥𝐚𝐭𝐢𝐨𝐧) .การจำลองเหตุการณ์ข้อมูลรั่ว เพื่อซักซ้อมการรับมือกับสถานการณ์ดังกล่าวมีความจำเป็นมากในยุคนี้ เพราะการซ้อมหนีไฟไซเบอร์ (Cyber Drill) อาจไม่เพียงพออีกต่อไป .BAS หรือ Breach and Attack Simulation การจำลองเหตุการณ์ข้อมูลรั่วจากการถูกโจมตีทางไซเบอร์ เป็นการสร้างสถานการณ์การถูกเจาะระบบครั้งใหญ่เสมือนจริง อาจเกิดเหตุข้อมูลรั่วไหล ที่ทำให้ธุรกิจไม่สามารถดำเนินต่อไปได้เนื่องจากเกิดความเสียหายที่รุนแรง.

BAS จะทำให้เกิดการเรียนรู้ว่า องค์กรจะต้องดำเนินการอย่างไรเพื่อหยุดการรั่วไหลของข้อมูล (How to stop Data Breach) เพื่อให้มีการซักซ้อมการนำแผน Incident Response มาใช้จริง ฝึกให้ผู้ที่มีส่วนเกี่ยวข้องได้เรียนรู้เชิงปฏิบัติ และควรให้พนักงานทุกคนมีส่วนร่วมกับ BAS. แต่เหนือสิ่งอื่นใด เราต้องทำความเข้าใจในความแตกต่างระหว่าง BAS กับ Cyber Drill หรือการซ้อมหนีไฟไซเบอร์ให้ถ่องแท้ โดยอธิบายได้ว่า Cyber Drill เป็นการซ้อมหนีไฟไซเบอร์ที่สร้างความตระหนักรู้ (Awareness) รู้จักรูปแบบของการโจมตี เช่น รู้จักกลวิธีของ Phishing, Malware, Smishing ลดความเสี่ยงที่จะตกเป็นเหยื่อ .ในขณะที่หากซ้อมด้วยการจำลองสถานการณ์เหมือนจริง หรือ BAS มีรายละเอียดที่ซับซ้อนทำให้เกิดการเรียนรู้ ได้ลงมือปฏิบัติ ซึ่งจะให้ผลลัพธ์ที่มากกว่าการซ้อมเพื่อการตระหนักรู้ เพราะรวมถึงการทำ Incident Response และ Incident Handling อีกด้วย .

คำแนะนำ : ถ้าไม่ติดขัดเรื่องงบประมาณ องค์กรควรจัดให้มีการจำลองเหตุการณ์ไม่พึงประสงค์เสมือนจริง (BAS) แม้จะมีค่าใช้จ่าย แต่องค์กรจะได้เรียนรู้เชิงลึก พร้อมรับสถานการณ์ไม่พึงประสงค์ เช่น สถานการณ์ข้อมูลรั่วไหล วิธีการกู้คืนข้อมูล วิธีการ Block Traffic ที่เกิดปัญหา แนวปฏิบัติในการรับมือกับสถานการณ์ข้อมูลรั่ว ตลอดจนการซ้อม Crisis Management และ การกอบกู้ชื่อเสียงขององค์กรอีกด้วย .

𝐓𝐫𝐞𝐧𝐝 𝟓 : 𝐓𝐡𝐞 𝐇𝐢𝐝𝐝𝐞𝐧 𝐋𝐢𝐧𝐤 𝐛𝐞𝐭𝐰𝐞𝐞𝐧 “𝐘𝐨𝐮𝐫 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐅𝐨𝐨𝐭𝐩𝐫𝐢𝐧𝐭” & “𝐘𝐨𝐮𝐫 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐈𝐝𝐞𝐧𝐭𝐢𝐭𝐲” .ความลับของความเชื่อมโยงระหว่างร่องรอยทางดิจิทัล (Digital Footprint) กับอัตลักษณ์ดิจิทัลของบุคคล (Digital Identity) ที่ถูกซ่อนไว้มานานกำลังเริ่มเป็นที่สนใจของผู้ใช้แพลตฟอร์มต่างๆทั่วโลก โดยปัจจุบันแพลตฟอร์มมักจะเก็บประวัติการใช้งานของเราทั้งหมดไว้ ทำให้รู้ถึงพฤติกรรมหรือความสนใจส่วนตัวของเราในทุกย่างก้าวโดยที่เราอาจไม่รู้ตัว .

เมื่อใดที่มีการนำ Digital Footprint ไปเชื่อมโยงกับ Digital Identity จะทำให้แพลตฟอร์มสามารถวิเคราะห์และรู้จักตัวตนของเรามากยิ่งขึ้น หากข้อมูลรั่วก็จะยิ่งมีความเสี่ยงมากขึ้นตามมาด้วย.แม้ว่าเราจะยกเลิกการใช้งานแพลตฟอร์มนั้นๆ แล้ว และขอให้ลบข้อมูลประวัติการใช้งานของเราด้วยก็ตาม แต่ในความเป็นจริงแพลตฟอร์มอาจไม่ได้ลบข้อมูลของเราออก แต่กระทำเพียง Data Pseudonimization ก็เป็นไปได้.

ทั้งนี้การซ่อน Digital Identity ของเราเป็นสิ่งที่หลีกเลี่ยงได้ยาก เพราะการสมัครและเข้าใช้งานจะต้องมีการพิสูจน์และยืนยันตัวตนอยู่เสมอ ซึ่งนั่นก็คือการ Login Sign-in ที่เราอาจจะทำวันละหลายๆ ครั้ง ในหลากหลายแพลตฟอร์ม .คำแนะนำ : สำหรับ Digital Identity ควรจะต้องใช้ 2FA หรือ Two-factor Authentication เป็นการยืนยันตัวตนแบบสองปัจจัย จะช่วยให้มีความปลอดภัยยิ่งขึ้น ส่วน Digital Footprint เป็นเรื่องที่สามารถควบคุมได้ด้วยตัวเอง ถ้ามีกิจกรรมในแพลตฟอร์มน้อย ประวัติการใช้งานก็จะน้อยตามไปด้วย และข้อสำคัญไม่ควรเปิดการใช้งานเป็นสาธารณะเพราะอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้ามาดูเรื่องราวที่เราโพสต์ไว้ได้ตลอดเวลา และนำ Digital Foorprint ของเราไปใช้ประโยชน์ในทางมิชอบ​​​​​​.

𝐓𝐫𝐞𝐧𝐝 𝟔 : 𝐅𝐫𝐨𝐦 “𝐂𝐲𝐛𝐞𝐫 𝐑𝐢𝐬𝐤” 𝐭𝐨 “𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐑𝐢𝐬𝐤” 𝐅𝐫𝐨𝐦 “𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐃𝐢𝐯𝐢𝐝𝐞” 𝐭𝐨 “𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐈𝐧𝐞𝐪𝐮𝐚𝐥𝐢𝐭𝐲”. ในเทรนด์นี้แบ่งเป็นสองเรื่อง เรื่องแรก From “Cyber Risk” to “Digital Risk” คือ ความเสี่ยงที่มากับยุคแห่ง Digital Transformation ซึ่งปัจจุบันความเสี่ยงภัยยุคใหม่ได้กลายเป็น “Digital Risk” ไปแล้ว เนื่องจาก Digital Risk นั้นให้ความหมายที่กว้างกว่า Cyber Risk โดย Digital Risk มีประเด็นที่เกี่ยวข้อง 7 ด้าน ดังนี้ .

1. ความเสี่ยงไซเบอร์

2. ความเสี่ยงภัยที่มากับคู่ค้าหรือบุคคลที่สาม รวมถึงการใช้คลาวด์

3.ความเสี่ยงจากการไม่ปฏิบัติตามกฏหมายและกฎระเบียบ

4. ความเสี่ยงจากการใช้ระบบอัตโนมัต

5. ความเสี่ยงจากการใช้เทคโนโลยี

6. ความเสี่ยงข้อมูลรั่วไหล

7. ความเสี่ยงด้านการขาดแคลนบุคลากร .

เรื่องที่สอง From “Digital Divide” to “Digital Inequality” คือ Digital Divide ความไม่เท่าเทียมกันของโอกาสในการเข้าถึงอินเทอร์เน็ตซึ่งหมดยุคไปแล้ว แต่ปัจจุบันประเทศไทยรวมถึงทั่วโลก กำลังก้าวเข้าสู่ยุคที่เป็นความเหลื่อมล้ำทางดิจิทัล ในเรื่องของความรู้ (Knowledge) และทักษะ (Skill) ในการใช้เทคโนโลยีดิจิทัล หรือ “Digital Inequality” ตัวอย่างเช่น คนใช้สมาร์ทโฟนรุ่นเดียวกัน แต่มีความสามารถและทักษะในการตั้งค่าความปลอดภัยของเครื่องได้ไม่เท่ากัน .

คำแนะนำ : ทั้งในมุมของ “Digital Risk” และ “Digital Inequality” สิ่งสำคัญที่สุดคือ การไม่รู้ว่าเราไม่รู้อะไร (Unknown Unknowns) และ การที่เราจำเป็นต้องรู้เท่าทัน ดังนั้นเราควรจะต้องหาความรู้ให้กับตัวเอง และเรียนรู้ทักษะการใช้อุปกรณ์ดิจิทัลต่างๆ รวมทั้งลงมือปฏิบัติในการปรับค่าต่างๆในอุปกรณ์ดิจิทัลในมีความมั่นคงปลอดภัยเพื่อจะได้ไม่ตกเป็นเหยื่อภัยจากความเสี่ยงดิจิทัลทั้งเจ็ด .

𝐓𝐫𝐞𝐧𝐝 𝟕 : 𝐏𝐫𝐞𝐩𝐚𝐫𝐢𝐧𝐠 𝐟𝐨𝐫 “𝐓𝐡𝐞 𝐔𝐧𝐤𝐧𝐨𝐰𝐧 𝐔𝐧𝐤𝐧𝐨𝐰𝐧 𝐓𝐡𝐫𝐞𝐚𝐭𝐬” 𝐂𝐲𝐛𝐞𝐫 𝐑𝐞𝐬𝐢𝐥𝐢𝐞𝐧𝐜𝐞 : 𝐓𝐡𝐞 𝐅𝐨𝐮𝐧𝐝𝐚𝐭𝐢𝐨𝐧 𝐨𝐟 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐧𝐬𝐟𝐨𝐫𝐦𝐚𝐭𝐢𝐨𝐧 𝐒𝐮𝐜𝐜𝐞𝐬𝐬. ภัยคุกคามที่มาจาก การไม่รู้ว่าเราไม่รู้อะไร หรือ “Unknown Unknowns” ซึ่งเป็นหลักคิดของ Mr. Donald Rumsfeld อดีตรัฐมนตรีว่าการกระทรวงกลาโหมสหรัฐสองสมัย เป็นเรื่องของความไม่รู้ที่น่ากลัวเพราะ “ไม่รู้ว่าตัวเองไม่รู้” โดยหลักคิดนี้แบ่งได้เป็น 4 กลุ่ม ซึ่งอีก 3 กลุ่ม ได้แก่ .“Unknown Knowns” สิ่งที่เรารู้และเข้าใจแล้วแต่ยังไม่รู้ลงไปลึกๆ ว่ามันมีอะไรที่ยังซ่อนอยู่และเรายังไม่รู้อีกหรือไม่ “Known Unknowns” เรารู้แล้วว่าเรายังไม่รู้อะไร นำไปสู่การวิจัยแก้ไขปัญหา และ “Known Knowns” สิ่งที่เรารู้แล้วว่าเป็นความจริงและเป็นองค์ความรู้ที่นำมาใช้ได้ หากเรียงลำดับความเสี่ยง “Unknown Unknowns” นับว่าเสี่ยงที่สุด ส่วน “Known Knowns” คือเสี่ยงน้อยสุด .

สำหรับองค์กรหากจะปฏิรูปองค์กรไปสู่การทำ Digital Transformation ให้สำเร็จ ควรจะต้องก้าวข้ามจากความปลอดภัยไซเบอร์หรือ Cybersecurity ไปยังแนวทางใหม่ได้แก่ “Cyber Resilience” ซึ่งองค์กรจะมุ่งสู่สภาวะที่มีความยืดหยุ่นและทนทานต่อการโจมตีของภัยคุกคามต่างๆ โดยเปรียบได้ว่าองค์กรต้องหลุดจากกลุ่ม “Unknown Unknowns” มาอยู่ในกลุ่ม “Unknown Knowns” หรือ “Known Unknowns”.

𝐓𝐫𝐞𝐧𝐝 𝟖 : 𝐂𝐈𝐎 & 𝐂𝐈𝐒𝐎 𝐧𝐞𝐞𝐝 𝐭𝐨 𝐛𝐞 “𝐕𝐚𝐥𝐮𝐞 𝐃𝐫𝐢𝐯𝐞𝐧 𝐏𝐫𝐨𝐟𝐞𝐬𝐬𝐢𝐨𝐧𝐚𝐥” . ปัจจุบันตำแหน่งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง หรือ CIO และผู้บริหารด้านความมั่นคงปลอดภัยสารสนเทศระดับสูง หรือ CISO ในองค์กร มีความจำเป็นที่จะต้องสร้างคุณค่าในการขับเคลื่อนองค์กรแบบมืออาชีพไปพร้อมๆ กับการบริหารจัดการระบบสารสนเทศและการรักษาความมั่นคงปลอดภัยระบบสารสนเทศที่เป็นงานหลักอยู่แล้ว .

ปัจจุบันหมดยุคที่ CIO และ CISO ที่ทำหน้าที่เพียงแค่ดูแลบริหารจัดการระบบสารสนเทศและรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ และมีความรู้เพียงแต่ด้านเทคโนโลยี หาก CIO และ CISO ยุคนี้ “จำเป็นต้อง” มีความรู้มากกว่าที่กล่าวมา รวมทั้งมีความสามารถในการเขียนแผนของบประมาณเพื่อนำมาปรับปรุงระบบให้พร้อมใช้ มีความมั่นคงปลอดภัย ดังนั้น CIO/CISO จำเป็นต้องมีความรู้ทางด้านธุรกิจ ด้านการวางกลยุทธ์ในการขับเคลื่อนองค์กรไปสู่ความสำเร็จ ตลอดจนด้านอื่นๆ ที่เกี่ยวข้องกับเส้นทางที่จะนำองค์กรไปสู่ความสำเร็จตามเป้าหมายที่กำหนดไว้ใน Business Objectives ไม่ใช่ IT Objectives .

ทั้งนี้ CIO/CISO ยังจำเป็นต้องมีผลงานในการสร้างคุณค่าในเชิงประจักษ์ชัดเจน หรือมีส่วนสำคัญในการขับเคลื่อนยุทธศาสตร์ และนวัตกรรมขององค์กรอย่างหลีกเลี่ยงไม่ได้ ซึ่งหาก CIO/CISO ไม่มีความสามารถในการสร้างคุณค่าให้องค์กร เชื่อว่าในไม่ช้าไม่นานก็อาจหมายถึงการสิ้นสุดตำแหน่งที่ครอบครองอยู่ เราจะสังเกตุการเปลี่ยนแปลงได้ในยุคปัจจุบันและอนาคตอันใกล้นี้ .

𝐓𝐫𝐞𝐧𝐝 𝟗 : 𝐂𝐲𝐛𝐞𝐫𝐬𝐞𝐜𝐮𝐫𝐢𝐭𝐲 𝐚𝐧𝐝 𝐃𝐄𝐈 (𝐃𝐢𝐯𝐞𝐫𝐬𝐢𝐭𝐲, 𝐄𝐪𝐮𝐢𝐭𝐲, 𝐚𝐧𝐝 𝐈𝐧𝐜𝐥𝐮𝐬𝐢𝐨𝐧) .ปัจจุบัน DEI (Diversity, Equity, Inclusion) เป็นเทรนใหม่ของโลกที่องค์กรยุคใหม่ควรนำมาประยุกต์ใช้ แต่หากเจาะลึกมายังสายอาชีพทางด้าน Cybersecurity สามารถขยายความได้ ดังนี้. Diversity หมายถึง ความหลากหลาย ที่ผ่านมาบุคลากรทางด้าน Cybersecurity ของประเทศไทยส่วนใหญ่มักเป็นเพศชาย แต่ยุคปัจจุบันมีความหลากหลายทางเพศมากขึ้น ไม่เฉพาะเพศหญิงที่เข้ามาทำงานในสายนี้ (Women in Cybersecurity) แต่ยังหมายถึง LGBTQ+ ที่เข้ามาในแวดวงนี้มากขึ้น ซึ่งโดยธรรมชาติจะมีความละเอียดและประณีตมากกว่าเพศชาย ความหลากหลายดังกล่าวนั้นนับเป็นประโยชน์ต่อองค์กร และความหลากหลายยังทำให้เกิดสิ่งใหม่หรือความคิดสร้างสรรค์ใหม่ๆ การ Brainstorm กันด้วยความเห็นที่แตกต่าง นอกจากนี้ความหลากหลายทางอายุยังทำให้เกิดผลดีต่อองค์กรในเชิงที่สร้างสรรค์ด้วยเช่นกัน .

Equity หมายถึง ความเสมอภาค ไม่ว่าจะเป็นพนักงานในแผนกใดหรือฝ่ายใดก็ควรมีสิทธิได้รับการปฏิบัติอย่างเสมอภาค เพราะเมื่อใดที่พนักงานในองค์กรมีความเหลื่อมล้ำกัน ก็มักจะนำองค์กรไปสู่ความแตกแยก แบ่งเป็นฝักเป็นฝ่าย สร้างปัญหาให้กับองค์กร แต่หากทุกคนมีความเสมอภาคกันในระดับหนึ่งย่อมจะผลดีต่อองค์กรทั้งในระยะสั้นและระยะยาว.Inclusion หมายถึง การมีส่วนร่วม ประเด็นนี้ควรจะเริ่มจุดประกายตั้งแต่ระดับผู้บริหารขององค์กร ควรจัดให้มีกิจกรรมที่ทุกฝ่ายและพนักงานทุกระดับมีส่วนร่วมซึ่งกันและกัน เช่น ทำงานร่วมกัน มีกิจกรรมร่วมกัน เป็นต้น เพื่อให้เกิดความร่วมมือร่วมใจ และอาจหมายถึงการได้เห็นบทบาทปัญหาอุปสรรคของแต่ละฝ่ายในการทำงานเหล่านั้นด้วย.

คำแนะนำ : DEI เป็นแนวโน้มใหม่ของโลกในศตวรรษที่ 21 ที่ผู้บริหารระดับสูงขององค์กร ควรจะต้องรู้และปรับตัวให้รับกับการเปลี่ยนแปลงที่เกิดขึ้น ในขณะที่ผู้บริหารจัดการงานทางด้าน Cybersecurity ก็ควรจะต้องเปิดใจให้กว้างขึ้นตามแนวโน้มของ DEI เช่นเดียวกันกับผู้บริหารสายงานอื่นๆ ด้วยเช่นกัน .

𝐓𝐫𝐞𝐧𝐝 𝟏𝟎 : 𝐓𝐡𝐞 𝐀𝐠𝐞 𝐨𝐟 “𝐈𝐧𝐟𝐨𝐫𝐦𝐚𝐭𝐢𝐨𝐧 𝐃𝐢𝐬𝐨𝐫𝐝𝐞𝐫”.ปัจจุบันกล่าวได้ว่าพวกเราทุกคนบนโลกอยู่ในยุคสมัยที่เรียกว่า “The Age of Information Disorder” ทุกครั้งที่เปิดใช้สื่อโซเชียลไม่ว่าจะเป็น LINE, Facebook, Twitter ฯลฯ นอกจากข้อมูลข่าวสารที่เป็นความจริงตามปกติแล้ว เรายังต้องพบกับข้อมูลอีก 3 ประเภทที่ไม่เป็นปกติ หรือที่เรียกว่า Information Disorder ซึ่งประกอบไปด้วย.

Misinformation เป็นข้อมูลที่ “ผิด” แต่ถูกแชร์ออกไปโดยไม่รู้ว่าข้อมูลนั้นไม่เป็นความจริง เช่น มีคนแชร์มาว่า สมุนไพรนี้กินแล้วไม่ต้องกินยาความดัน เมื่อได้รับข้อมูลนั้นก็เกิดความเชื่อแล้วก็แชร์ต่อให้คนอื่นๆ หวังว่าจะเป็นประโยชน์ต่อคนๆ นั้น โดยไม่รู้ว่าข้อมูลที่แชร์ออกไปไม่เป็นความจริง.

Disinformation เป็นข้อมูลที่ “ถูกบิดเบือน” คือ เป็นความจริงที่ถูกนำมาเปิดเผยเพียงแค่ส่วนที่ไม่ดี โดยผู้ไม่ประสงค์ดี สร้างความเชื่อด้วยการนำความจริงด้านลบมาตีแผ่ แต่ไม่พูดถึงด้านดี หรือเรียกว่า Half-truth เช่น บอกว่าฉีดวัคซีนโควิดแล้วตาย แต่ไม่ได้บอกว่าโอกาสที่จะตายด้วยวัคซีนนั้นมีเพียงแค่ 0.0018% เท่านั้น จนทำให้คนหลงเชื่อไม่ยอมฉีด ทั้งที่ในความเป็นจริง ฉีดดีกว่าไม่ฉีด เพราะ โอกาสที่จะตายด้วยโควิดมีสูงถึง 2 %.Malinformation เป็นข้อมูล “ความจริงที่สร้างความเดือดร้อน” คือข้อมูลจริง แต่หากเปิดเผยออกไปจะสร้างความเสียหาย และเสื่อมเสียให้แก่เจ้าของข้อมูล มีการใส่ไฟ ให้ร้าย ดูถูกเหยียดหยาม มีเจตนามุ่งร้ายไปยังบุคคลนั้นๆ ยกตัวอย่างเช่น แอบถ่ายคลิปซึ่งเป็นเรื่องลับแล้วนำมาเปิดเผยต่อสาธารณะ เป็นต้น .

คำแนะนำ : เราควรจะต้องแยกแยะให้ออกว่าข่าวสารหรือข้อความที่ได้รับมานั้นจัดอยู่ในประเภทใด ไตร่ตรองให้ดีก่อนเชื่อก่อนแชร์ เมื่อรู้ว่าเป็นข้อมูลที่อยู่ใน 3 ประเภทที่กล่าวมาก็ไม่ควรที่จะเสพต่อไป เพราะปัจจุบันมีผู้ไม่หวังดีสร้างข่าวที่บิดเบือนความจริงขึ้นมา โดยมีจุดประสงค์ร้าย หากเรายังเสพและมีการแชร์ก็จะทำให้เกิดความเข้าใจผิดหมู่ หรือที่เรียกว่าการสร้างจิตวิทยาหมู่ และ อคติความแอนเอียงทางความคิด เพื่อหลวกลวงคนกลุ่มนั้นให้เชื่อในสิ่งที่ผู้ไม่ประสงค์ดีต้องการให้เชื่อไม่ว่าสิ่งนั้นจะจริงหรือไม่จริงก็ตาม