ในขณะที่องค์กรทั่วประเทศไทยเริ่มนำ AI เข้ามาใช้ในการทำงานหลัก ประเด็น Identity จึงกำลังกลายเป็นสมรภูมิด้านการรักษาความมั่นคงทางไซเบอร์ที่เราทุกคนต้องจับตามอง
ไทยกำลังอยู่ในช่วงเวลาของการเปลี่ยนผ่านสู่ดิจิทัล ด้วยมีการใช้งาน AI ในทุกอุตสาหกรรมอย่างแพร่หลาย ประเด็นเรื่อง Identity จึงกลายมาเป็นเรื่องที่สำคัญลำดับต้น ๆ ของการรักษาความมั่นคง รวมถึงการที่ภาคธุรกิจเร่งปรับตัวสู่ความทันสมัยด้วยความเร็วสูงสุดเป็นประวัติการณ์ทำให้ทั้งประเทศมีการเชื่อมต่อกันมากขึ้น แต่กลับเปราะบางมากขึ้นกว่าที่เคยเป็นมา Identity จึงไม่ได้เป็นเพียงวิธีการยืนยันตัวตนผู้ใช้บริการอีกต่อไป แต่ได้กลายเป็นช่องทางที่ถูกโจมตีบ่อยครั้งที่สุด และเป็นตัวชี้วัดว่าหากระบบถูกเจาะ ความเสียหายจะลุกลามวงกว้างไปได้ไกลแค่ไหน
ความเสี่ยงเช่นนี้ทวีความรุนแรงขึ้นตามความเร็วและรูปแบบของการนำเทคโนโลยีดิจิทัลมาใช้ นโยบาย Thailand 4.0 และแผนพัฒนาเศรษฐกิจและสังคมดิจิทัลของประเทศนั้นยังมีส่วนเร่งให้เกิดการใช้งานคลาวด์ เทคโนโลยี AI และบริการดิจิทัลทั้งในภาครัฐและภาคเอกชน โดยหากอิงจากข้อมูลจากสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) มีการคาดการณ์ว่า เศรษฐกิจดิจิทัลของประเทศไทยจะมีสัดส่วนประมาณ 30% ของ GDP ภายในปี 2579 โดยมี AI คลาวด์ Smart Manufacturing และบริการดิจิทัลเป็นตัวขับเคลื่อน พร้อมกันนี้ยังมีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทยอย่างเต็มรูปแบบมาตั้งแต่เดือนมิถุนายน 2565 ได้ส่งผลให้องค์กรมีโอกาสจะถูกลงโทษหรือถูกตรวจสอบตามกฎหมายสูงขึ้น ซึ่งเกี่ยวข้องโดยตรงกับการนำ Identity ไปใช้ในทางที่ผิดและการรั่วไหลของข้อมูล
เมื่อ AI เข้าไปเป็นส่วนหนึ่งของกระบวนการทางธุรกิจหลัก จำนวน Identity ที่องค์กรต้องบริหารจัดการก็เพิ่มขึ้นอย่างรวดเร็ว โดย IDC ประเมินว่าองค์กรในภูมิภาคเอเชียแปซิฟิก 66% จะผสานรวมการตัดสินใจที่ขับเคลื่อนด้วย AI เข้ากับกระบวนการทางธุรกิจหลักภายใน 3-5 ปีข้างหน้า ในขณะที่ Gartner คาดการณ์ว่า Non-human Identities เช่น Workloads, Bots และ AI Agents จะมีจำนวนมากกว่า Identity ของคนอย่างน้อย 45 ต่อ 1 ในตลาดที่มีความพร้อมทางดิจิทัลสูงอย่างเช่นสิงคโปร์
ท่ามกลางสถานการณ์ดังกล่าว ประเด็นเรื่อง Identity ทำให้เกิดความท้าทายหกประการ ถือเป็นเรื่องวิกฤตอย่างยิ่งสำหรับกลุ่มอุตสาหกรรม BFSI กลุ่มธุรกิจบริการทางการแพทย์ ภาคการผลิต ภาครัฐ และระบบนิเวศ Data Centre ที่กำลังเติบโตของไทย ภาคการเงินของไทยกำลังเปลี่ยนไปสู่ระบบดิจิทัลอย่างรวดเร็วภายใต้โครงการ Virtual Banking และ Open Banking ของธนาคารแห่งประเทศไทย พร้อมทั้งเขตพัฒนาพิเศษภาคตะวันออก (EEC) ก็กำลังเร่งการปรับตัวสู่ Industry 4.0 ในภาคการผลิตขั้นสูง จึงทำให้มีการนำ Machine Identities การเข้าถึงของ Third-party และขั้นตอนการทำงานที่ขับเคลื่อนด้วย AI มาประยุกต์ใช้อย่างกว้างขวาง ซึ่งทั้งหมดนี้กำลังเปลี่ยนโฉมหน้าของภัยคุกคามด้าน Identity และก็ได้ปรากฏให้เห็นบ้างแล้ว ก่อให้เกิดผลกระทบอย่างใหญ่หลวงต่อวิธีที่ธุรกิจในประเทศไทยจะสร้าง Cyber Resilience หรือการฟื้นตัวของระบบไซเบอร์ต่อไปในอนาคต
การจารกรรม Identity ของ Agent
การเร่งนำ GenAI มาใช้ในการทำงานได้สร้าง Identity แบบใหม่ขึ้นภายในองค์กร นั่นก็คือ Autonomous Agent ที่สามารถร่างคอนเทนต์ โต้ตอบกับระบบ และตัดสินใจได้มากขึ้นเรื่อย ๆ Agent ดังกล่าวจะทำงานโดยมีสิทธิ์ในการเข้าถึงระบบเช่นเดียวกับผู้ใช้งานที่เป็นมนุษย์ เมื่อ Agent ถูกเจาะระบบ ผู้โจมตีสามารถใช้งานพวกมันด้วยความแม่นยำและความเร็วสูงโดยไม่ถูกตรวจพบในทันที Agent ที่ถูกจารกรรมสามารถเคลื่อนไหวในแนวราบไปตามระบบต่าง ๆ พร้อมทั้งสั่งการโดยใช้ “สิทธิ์พิเศษ (privileged)” หรือทำข้อมูลที่ละเอียดอ่อนรั่วไหล โดยไม่ทิ้งร่องรอยตามปกติเหมือนที่ผู้โจมตีที่เป็นมนุษย์มักทิ้งไว้
ภัยคุกคามนี้มีความชัดเจนโดยเฉพาะอย่างยิ่งในประเทศไทยและทั่วภูมิภาคเอเชียแปซิฟิก ซึ่งองค์กรต่างเปลี่ยนถ่ายจากแค่การทดลองไปสู่การใช้งาน Autonomous AI จริงอย่างรวดเร็ว แผนยุทธศาสตร์และแผนปฏิบัติการด้าน AI แห่งชาติของประเทศไทย (พ.ศ. 2565–2570) ส่งเสริมการนำ AI มาใช้ในบริการสาธารณะ สาธารณสุข เกษตรกรรม และอุตสาหกรรมอัจฉริยะอย่างเห็นได้ชัด ซึ่งช่วยเร่งการติดตั้งระบบผู้ช่วยที่ขับเคลื่อนด้วย AI และระบบอัตโนมัติ โดย IDC พบว่าประมาณ 70% ขององค์กรในเอเชียแปซิฟิกคาดหวังว่า Agentic AI จะเข้ามาพลิกโฉมโมเดลธุรกิจภายใน 18 เดือนข้างหน้า และ 34% ให้ความสำคัญกับ AI Governance เป็นอันดับต้น ๆ ในขณะที่มีการใช้ GenAI ในวงกว้างยิ่งขึ้น ตอกย้ำให้เห็นว่าระบบเหล่านี้ถูกฝังเข้าไปในกระบวนการทำงานที่มีความสำคัญสูงสุดต่อองค์กรอย่างรวดเร็วเพียงใด
เมื่อองค์กรไทยหันมาใช้ AI Copilots ในบริการด้าน IT ดิจิทัลแบงกิ้ง ธุรกิจบริการทางการแพทย์และการปฏิบัติงานที่เกี่ยวข้องกับลูกค้า โดยเฉพาะอย่างยิ่งในตอนนี้ที่มีการขยายตัวของ Virtual Banking และมีการบังคับใช้กฎ PDPA ที่เข้มงวดขึ้น การกำกับดูแล Identity ของ Agent จึงกลายเป็นสิ่งจำเป็นในการบริหารจัดการความเสี่ยงที่เกิดขึ้น
Prompt Injection และ Intent Manipulation
Prompt Injection ได้กลายเป็นวิวัฒนาการขั้นต่อไปของ Phishing เพียงแต่เป้าหมายในตอนนี้คือตัวโมเดล AI เอง ด้วยการฝังคำสั่งที่เป็นอันตรายลงใน Prompt ฟอร์ม หรือคอนเทนต์ที่ไม่มีโครงสร้าง ผู้โจมตีสามารถบีบบังคับให้ระบบ AI ขององค์กรแสดงพฤติกรรมที่ไม่ถูกต้องหรือเป็นอันตราย ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อน การบงการขั้นตอนการทำงาน หรือการหลบเลี่ยงระบบควบคุมต่าง ๆ
ในขณะที่ไทยกำลังเร่งติดตั้ง AI ในบริการของภาครัฐและเอกชน ภัยคุกคามนี้ก็ยิ่งพบแพร่หลายขึ้นในองค์กรต่าง ๆ ในไทย รวมถึงได้มีการนำแชทบอทและผู้ช่วยดิจิทัลที่ขับเคลื่อนด้วย AI มาใช้มากขึ้นในแอปพลิเคชันธนาคาร งานบริการรัฐบาลอิเล็กทรอนิกส์ และระบบคัดกรองผู้ป่วยในสถานพยาบาล โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้ออกโรงเตือนซ้ำหลายครั้งเกี่ยวกับประเด็น Phishing ที่เพิ่มสูงขึ้นและกลโกงที่ใช้ AI เป็นเครื่องมือ พุ่งเป้าไปที่สถาบันการเงินและแพลตฟอร์มบริการดิจิทัล เมื่อบริการสาธารณะดิจิทัลขยายตัวภายใต้แผนพัฒนาองค์กรดิจิทัลของไทย การบิดเบือน Intent ของโมเดลอย่างแนบเนียนเพียงเล็กน้อยอาจส่งผลกระทบที่รุนแรงในวงกว้างได้ และจากผลการศึกษาด้านความมั่นคงในเอเชียแปซิฟิกของ IDC พบว่า องค์กรในภูมิภาค 76.5% ระบุว่าพวกเขาไม่มั่นใจในความสามารถขององค์กรในการตรวจจับและตอบโต้การโจมตีที่ขับเคลื่อนด้วย AI สะท้อนให้เห็นถึงช่องว่างด้านความเชื่อมั่นที่เพิ่มขึ้นเมื่อมีการนำ AI ไปใช้ในระบบที่มีความสำคัญต่อธุรกิจ การรักษาความมั่นคงของ Intent จะมีความสำคัญยิ่งกว่าการรักษาความปลอดภัยของข้อมูลที่ป้อนเข้า เนื่องจาก AI ได้กลายเป็น Interface สำหรับกระบวนการต่าง ๆ ขององค์กร
การโจมตีแบบ Model Poisoning
การโจมตีแบบ Model Poisoning มีวัตถุประสงค์เพื่อทำให้ข้อมูลที่ใช้ในการฝึกฝนหรือขั้นตอนการปรับจูนที่ขับเคลื่อนระบบ AI ขององค์กรเกิดความเสียหาย สำหรับระบบ Identity และระบบความมั่นคง เรื่องนี้สร้างความเสียหายได้รุนแรงเป็นพิเศษ โมเดลที่ถูกโจมตีแบบ Poisoning อาจอนุมัติการเข้าถึงที่มีความเสี่ยง ล้มเหลวในการแจ้งเตือนความผิดปกติ หรือประเมินความเสี่ยงด้านพฤติกรรมผิดพลาดไป
ในภาค BFSI และธุรกิจบริการทางการแพทย์ของไทย มีการนำ AI และ Machine Learning เข้ามาใช้ในการตรวจจับการทุจริต การยืนยันตัวตนด้วย Biometric และกระบวนการ Digital Onboarding มากขึ้น ธนาคารแห่งประเทศไทยได้ย้ำถึงการใช้การวิเคราะห์ที่ขับเคลื่อนด้วย AI ในการป้องกันการทุจริตและการบริหารความเสี่ยง ซึ่งเป็นส่วนหนึ่งของการยกระดับภาคการเงิน เมื่อสถาบันการเงินถึง 90% หันมาใช้ AI เพื่อต่อสู้กับการทุจริตและอาชญากรรมทางการเงิน การป้องกัน Model Poisoning ในประเทศไทยจึงจำเป็นต้องมีความสามารถในการตรวจสอบแหล่งที่มาของข้อมูลฝึกฝน มีการควบคุมการอัปเดตโมเดลอย่างเข้มงวด และมีการตรวจสอบพฤติกรรมของ AI เทียบกับรูปแบบที่คาดการณ์ไว้อย่างต่อเนื่อง โดยเฉพาะในภาคส่วนที่อยู่ภายใต้การกำกับดูแลของ PDPA และแนวทางความเสี่ยงด้านไซเบอร์ของ ธปท. (BOT)
Shadow Entitlements
การอนุญาตแบบไม่ถูกติดตามหรือถูกซ่อนไว้ ซึ่งบางครั้งเรียกว่า ‘Shadow Entitlements’ เป็นความกังวลที่ไม่มีใครพูดถึงนักแต่กำลังกลายเป็นปัญหาที่เราควรจะต้องจับตามอง ด้วยการใช้งานแพลตฟอร์ม SaaS, Cloud Services, DevOps Pipelines และเทคโนโลยีระบบอัตโนมัติอย่างรวดเร็ว บริษัทต่าง ๆ ในประเทศไทยจึงได้รับสิทธิ์ระดับสูงในรูปแบบที่ไม่เคยเห็นในกระบวนการทำงานแบบดั้งเดิมมาก่อน ความเสี่ยงนี้กำลังทวีรุนแรงเมื่อไทยกำลังเร่งนำ Cloud มาใช้งานภายใต้แผนพัฒนาเศรษฐกิจและสังคมดิจิทัล พร้อมกับทุ่มลงทุนในดาต้าเซ็นเตอร์ระดับไฮเปอร์สเกลและการปรับใช้ Multi-cloud ที่เพิ่มขึ้นในภาคธนาคาร ภาคการผลิต และบริการดิจิทัล
สิทธิ์เหล่านี้มักจะถูกสร้างขึ้นโดยอัตโนมัติ ถูกทิ้งไว้หลังจากการรวมระบบ หรือได้รับเพียงชั่วคราวแต่ไม่เคยถูกยกเลิก เนื่องจากสิทธิ์เหล่านี้มองไม่เห็นด้วยกระบวนการ Audit แบบดั้งเดิม การลดความเสี่ยงด้าน Identity จึงขึ้นอยู่กับการควบคุมการขยายตัวของสิทธิ์การเข้าถึงหรือ ‘Entitlement Sprawl’ ผ่านการล้างระบบแบบอัตโนมัติและการค้นหาสิทธิ์ที่มีอยู่อย่างต่อเนื่องตามระบบนิเวศดิจิทัลที่เติบโตขึ้นเรื่อย ๆ
การจารกรรม Identity ในห่วงโซ่อุปทาน
การโจมตีห่วงโซ่อุปทานหรือ ‘Supply-Chain Attack’ รูปแบบใหม่ ๆ จะมุ่งเน้นไปที่การระบุตัวตนมากกว่าเรื่องซอฟต์แวร์ ผู้โจมตีเริ่มหันมาให้ความสำคัญกับผู้รับเหมา Vendor พันธมิตรผู้ให้บริการ Cloud และผู้ใช้งานภายนอก ซึ่งเป็น Identity ที่มักจะได้รับสิทธิ์ในการเข้าถึงระบบขององค์กรแบบถาวรหรือสิทธิ์ระดับสูง
ความเสี่ยงนี้ทวีความรุนแรงขึ้นในประเทศไทย เนื่องจากองค์กรต่าง ๆ ดำเนินงานภายใต้ห่วงโซ่อุปทานระดับภูมิภาคที่เชื่อมโยงกันอย่างลึกซึ้ง โดยเฉพาะในภาคการผลิต ยานยนต์ อิเล็กทรอนิกส์ และกลุ่มอุตสาหกรรมอัจฉริยะภายใน EEC เมื่อมีการพึ่งพาผู้ให้บริการ IT จากภายนอก พันธมิตรกลุ่ม Fintech และผู้ให้บริการดูแลระบบเพิ่มสูงขึ้น ผู้โจมตีจึงสามารถอาศัยช่องโหว่จาก Identity ของบุคคลภายนอกเหล่านี้เพื่อเข้าถึงพื้นที่ส่วนสำคัญขององค์กรได้โดยตรง ดังนั้น การประยุกต์ใช้หลักการ Zero-trust กับทุก ๆ Identity จากภายนอกจึงถือเป็นเรื่องสำคัญอย่างยิ่งในการดูแลความมั่นคงของการดำเนินงานในองค์กรในสถานการณ์ที่ระบบเศรษฐกิจของไทยที่พึ่งพาการส่งออก
ความเสี่ยงใหม่ที่รวมความเสี่ยงทั้งห้าประการนี้เข้าด้วยกันคือ เมื่อ Identity มีการเปลี่ยนแปลงไป ภัยคุกคามรอบตัวก็มีการวิวัฒนาการตามไปด้วยเช่นกัน ไม่ว่าจะเป็นมนุษย์ เครื่องจักร AI Agent ผู้รับเหมา หรือระบบอัตโนมัติต่างล้วนเป็นส่วนหนึ่งในระบบนิเวศที่เปลี่ยนแปลงอยู่ตลอดนี้ การนำการยืนยันตัวตนตามความเสี่ยงอย่างต่อเนื่องมาใช้ การยกเลิกสิทธิ์ที่ค้างไว้ (Standing Privileges) การกำกับดูแล Identity ของทั้งมนุษย์และไม่ใช่มนุษย์อย่างเข้มงวด และการปรับปรุงการตรวจจับโดยใช้ข้อมูลเชิงลึกที่ขับเคลื่อนด้วย AI แบบเรียลไทม์ ล้วนเป็นสิ่งจำเป็นในการทำให้อนาคตดิจิทัลในไทยเกิดความมั่นคงมากที่สุด
องค์กรที่เร่งเสริมสร้างรากฐานด้าน Identity ให้แข็งแกร่งตั้งแต่วันนี้จะอยู่ในตำแหน่งที่ได้เปรียบที่สุดในการเสริมสร้างความเชื่อมั่น การรักษาความต่อเนื่องทางธุรกิจ และสามารถรับมือกับความท้าทายจากระบบนิเวศดิจิทัลของประเทศไทยที่มีความซับซ้อนเพิ่มสูงขึ้นในปี 2569 ได้
