เมื่อบอทและ AI Agent กำลังทำระบบพัง! ถอดบทเรียน Non-Human Identities วิกฤตไซเบอร์ใหม่ที่เสี่ยงทำข้อมูลรั่วและทำผิดกฎหมาย PDPA แบบไม่รู้ตัว
ตลอดทศวรรษที่ผ่านมา กลยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กรส่วนใหญ่ถูกสร้างขึ้นภายใต้สมมติฐานเดียวคือ มนุษย์เป็นศูนย์กลาง เราทุ่มเงินมหาศาลไปกับการจัดการสิทธิ์ของพนักงาน การยืนยันตัวตน และการสร้างป้อมปราการเพื่อควบคุมอุปกรณ์ปลายทาง
แต่ในขณะที่เรากำลังยุ่งอยู่กับการจัดระเบียบพนักงานที่เป็นมนุษย์ กลับมี กองทัพล่องหน ขยายตัวอย่างเงียบๆ อยู่ใต้ผืนน้ำ และกำลังกลายเป็นโครงสร้างพื้นฐานหลักที่ขับเคลื่อนองค์กรยุคใหม่ สิ่งนั้นเรียกว่า Non-Human Identities หรือ ตัวตนที่ไม่ใช่มนุษย์
Techhub มีโอกาสได้สัมภาษณ์ ผู้บริหารของ Manage Engine และเห็นถึงเทรนด์สำคัญของเรื่องนี้ โดยในฐานะที่ ManageEngine โลดแล่นอยู่ในสมรภูมิ Identity Management มากว่าสองทศวรรษ ตั้งแต่ยุคที่ระบบนิเวศยังผูกติดอยู่กับ Microsoft มาจนถึงยุค Digital Workplace Transformation เรากำลังเห็นการเปลี่ยนแปลงครั้งใหญ่ที่สุดในประวัติศาสตร์ บทสนทนาในห้องประชุมบอร์ดบริหารกำลังเปลี่ยนจาก พนักงานของเราปลอดภัยไหม? ไปสู่ เรากำลังปล่อยให้อะไร (ที่ไม่ใช่มนุษย์) วิ่งอยู่ในระบบบ้าง?
1. สถาปัตยกรรมเส้นสปาเกตตี กับอัตราส่วนชวนช็อก 200:1
ลองจินตนาการถึงองค์กรในประเทศไทย โดยเฉพาะในภาคบริการหรือการท่องเที่ยวที่มีสัดส่วน GDP สูง ผู้ประกอบการจำเป็นต้องเชื่อมต่อ API กับแพลตฟอร์มการจองระดับโลก พ่วงเข้ากับระบบฟินเทค และมีบุคลากรทั้งอินเฮ้าส์และเอาท์ซอร์สกระจายตัวอยู่ทั่วประเทศ
ในโลกที่ทุกอย่างกระจัดกระจายเช่นนี้ หากองค์กรยังคงยึดติดกับแนวคิดเมื่อสิบปีก่อนที่ว่า แค่มี VPN แข็งๆ มีไฟร์วอลล์หนาๆ ล้อมรอบองค์กรก็พอแล้ว
ภาพที่ได้จะไม่ใช่ป้อมปราการ แต่จะเป็น เส้นสปาเกตตีที่พันกันยุ่งเหยิง เพราะข้อมูลและแอปพลิเคชันวิ่งข้ามไปมาระหว่างคลาวด์และดาต้าเซ็นเตอร์ภายนอกอย่างไร้ทิศทาง และแน่นอนว่าเส้นสปาเกตตีไม่เคยแข็งแรงพอที่จะปกป้องใครได้
ความน่ากลัวที่แท้จริงคือ ภายใต้เส้นสปาเกตตีเหล่านั้น มีสิ่งที่เรียกว่า Machine Identity, Service Accounts, API, โดเมน และบอทระบบอัตโนมัติต่างๆ ซ่อนอยู่
ทราบหรือไม่ว่า? ในองค์กรยุคปัจจุบัน สัดส่วนระหว่างตัวตนของเครื่องจักร (Machine Identities) ต่อตัวตนของมนุษย์นั้นสูงเกินกว่า 200 ต่อ 1 ไปแล้ว
เมื่อ CIO และ CISO หลายท่านได้ยินตัวเลขนี้เป็นครั้งแรก มักจะเริ่มหันกลับไปประเมินระบบของตนเอง และพบว่าในความเป็นจริง ตัวเลขจริงอาจสูงกว่านั้นด้วยซ้ำ นี่คือสิ่งที่ท้าทายระบบรักษาความปลอดภัยยุคเดิม เพราะโครงสร้างพื้นฐานทั้งหมดที่เราใช้ในปัจจุบัน ไม่ได้ถูกออกแบบมาเพื่อรองรับเครื่องจักรตั้งแต่แรก
2. ฝันร้ายในเย็นวันศุกร์ และบทลงโทษทางกฎหมาย
เหตุใดเรื่องนี้จึงกลายเป็นวิกฤตคอขวด? ลองนึกภาพสถานการณ์ที่เกิดขึ้นจริงได้แทบทุกวัน
“ในเย็นวันศุกร์อันเร่งรีบ พนักงานคนหนึ่งแอบติดตั้ง AI Agent หรือบอทระบบอัตโนมัติบางอย่างเข้าสู่โครงสร้างพื้นฐานขององค์กรเพื่อช่วยเคลียร์งาน จากนั้นเขาก็กดเซฟและกลับบ้านไปพักผ่อนช่วงสุดสัปดาห์ โดยไม่มีใครคอยติดตาม ไม่มีระบบตรวจสอบ และไม่มีกระบวนการกำกับดูแลใดๆ รองรับเลย
หากเป็นเมื่อสิบปีก่อน ความผิดพลาดจากตัวตนดิจิทัลอาจเป็นเพียงปัญหาเชิงปฏิบัติการ (Logistics Problem) เช่น พนักงานล็อกอินเข้าใช้งานไม่ได้ แต่ในยุคปัจจุบันที่ประเทศไทยขับเคลื่อนด้วยกฎหมายความเป็นส่วนตัวอย่างเข้มงวด เช่น PDPA ผลลัพธ์ที่ตามมาจะต่างออกไปอย่างสิ้นเชิง
หาก AI Agent หรือ API ตัวนั้นเกิดช่องโหว่และถูกโจมตี องค์กรจะเผชิญกับความเสียหายทางการเงินครั้งใหญ่ และที่ร้ายแรงที่สุดคือ คุณอาจไม่มีแม้กระทั่ง “บันทึกการตรวจสอบ” (Audit Trail) เพื่อรายงานต่อหน่วยงานภาครัฐ นำไปสู่การถูกปรับมหาศาลและการสูญเสียความไว้วางใจ (Trust) จากผู้มีส่วนได้ส่วนเสียในพริบตา
3. จาก Generative AI สู่ Autonomous AI เมื่อ Identity คือสมรภูมิหลัก
สาเหตุที่เรื่อง Non-Human Identity ถูกยกระดับจากกระทู้พูดคุยเฉพาะกลุ่มใน Reddit มาสู่จุดสนใจของ Gartner และ Forrester เป็นเพราะพฤติกรรมของ AI ที่เปลี่ยนไป
เมื่อสองสามปีก่อน AI ยังอยู่ในสถานะ ผู้ช่วยผู้ให้คำแนะนำ (Suggestive Capacity) มนุษย์เป็นคนสั่ง AI เสนอแนะ แล้วมนุษย์เป็นคนกดปุ่มขั้นสุดท้าย แต่ในปัจจุบัน เรากำลังก้าวเข้าสู่ยุค Autonomous AI หรือ Agentic AI ที่เครื่องจักรมีความเป็นอิสระในการตัดสินใจ สามารถเปิดกระบวนการทำงาน ทำธุรกรรม หรือสั่งการระบบอื่นได้โดยไม่ต้องมีมนุษย์มาคอยอนุมัติ
เมื่อ AI และระบบอัตโนมัติกลายเป็นแขนขาที่ทำงานแทนเรา “Identity” จึงไม่ใช่แค่ฟังก์ชันไอทีหลังบ้านอีกต่อไป แต่มันได้ยกระดับกลายเป็น ชั้นปฏิบัติการหลักของโครงสร้างพื้นฐาน (Core Operational Layer) ที่เชื่อมต่อทุกบทสนทนาระหว่างเครื่องจักรเข้าด้วยกัน และเป็นสมรภูมิใหม่ที่กลุ่มแฮกเกอร์กำลังจ้องเล่นงาน
4. ปฏิวัติ ฟิสิกส์แห่งความไว้วางใจ ด้วย Continuous Trust
ในยุคที่ Deepfake และข้อมูลบิดเบือนแพร่กระจาย ความไว้วางใจอยู่ในระดับที่ต่ำที่สุด หลักการ Zero Trust จึงต้องถูกนำมาปัดฝุ่นใหม่
แต่เดิม วิธีสร้างความไว้วางใจเป็นแบบ Event-Based หรือมองเป็นเหตุการณ์ เช่น มนุษย์แตะบัตรพนักงาน เดินเข้าประตู พิสูจน์ตัวตนเสร็จคือจบ แต่ AI Agent ไม่มีร่างกาย ไม่มีเวลาเข้างาน และสามารถเดินทางข้ามระบบคลาวด์ไปได้ทุกที่ ส่งผลให้ “ฟิสิกส์แห่งความไว้วางใจ” แบบเดิมใช้ไม่ได้ผล
เราจำเป็นต้องเปลี่ยนไปสู่แนวคิด State-Based หรือ Continuous Authentication ทุกๆ ปฏิสัมพันธ์ที่เกิดขึ้นระหว่างเครื่องจักรกับเครื่องจักร จำเป็นต้องได้รับการตรวจสอบและยืนยันตลอดเวลา
คำถามคือ มนุษย์จะขยายขนาดการเฝ้าระวังเครื่องจักรนับแสนตัวพร้อมกันได้อย่างไร? คำตอบคือ เราไม่สามารถทำได้ด้วยแรงงานมนุษย์อีกต่อไป แต่ต้องใช้ระบบที่ชาญฉลาดเข้ามาจัดการ ซึ่งนี่คือสิ่งที่แพลตฟอร์มของ ManageEngine ถูกออกแบบมาเพื่อตอบโจทย์ผ่าน 2 ภารกิจหลัก
Visibility ค้นหาและระบุพิกัดว่า Machine Identity ทั้งหมดในองค์กรซ่อนอยู่ที่ไหนบ้าง ไม่ว่าจะอยู่บน On-Premises หรือบนคลาวด์กระจัดกระจายขนาดไหน
Governance เมื่อมองเห็นแล้ว ต้องควบคุมและตรวจสอบสิทธิ์ในระดับเดียวกับที่คุมมนุษย์ ต้องตอบให้ได้ว่าบอทตัวนี้มีสิทธิ์เข้าถึงอะไรบ้าง และพฤติกรรมสอดคล้องกับหน้าที่หรือไม่ (ไม่ใช่ปล่อยให้บอทตัวเล็กๆ มีสิทธิ์เข้าถึงข้อมูลมากกว่า CEO หรือหัวหน้าฝ่าย IT โดยไม่มีเหตุผลรองรับ)
ที่น่าสนใจคือ จากการทดสอบระบบร่วมกับลูกค้าในโครงการ AI Pilot พบว่า การเพิ่มความเข้มงวดในระดับ Machine Identity เช่นนี้ กลับทำให้ชีวิตของพนักงานที่เป็นมนุษย์ง่ายขึ้น เพราะระบบหลังบ้านจะใช้ข้อมูลบริบท (Context) เช่น ภูมิศาสตร์ ชีวมิติ และประวัติการใช้งานในการตรวจสอบอัตโนมัติ ทำให้มนุษย์ไม่ต้องคอยกดยืนยันตัวตนซ้ำๆ 17 ครั้งให้หงุดหงิดอีกต่อไป
ทศวรรษถัดไปของความมั่นคงปลอดภัยไซเบอร์คือยุคของ Agentic Security และ AI Security อย่างแท้จริง ปัญหาใหญ่ในอนาคตอาจไม่ใช่ภาพจำในหนังไซไฟที่ AI หลุดการควบคุมแล้วทำลายโลก แต่จะเป็นภัยเงียบที่ค่อยๆ สะสมตัวจากการที่เราปล่อยให้ตัวตนที่ไม่ใช่มนุษย์เข้าถึงระบบโดยไร้การควบคุม
เรื่องของ Non-Human Identity และ Security Posture จึงไม่ใช่เรื่องเชิงเทคนิคที่ปล่อยให้ฝ่ายไอทีเผชิญหน้าตามลำพัง แต่มันคือ วาระสำคัญระดับกลยุทธ์ที่ต้องถูกยกขึ้นมาพูดคุยในห้องประชุมคณะกรรมการบริษัท
องค์กรที่เริ่มทบทวน ออกแบบสถาปัตยกรรมความปลอดภัย และสร้างมาตรการควบคุม ให้กับกองทัพล่องหนตั้งแต่วันนี้ คือองค์กรที่จะกุมความได้เปรียบและรักษาความไว้วางใจของธุรกิจไว้ได้ในอนาคต ส่วนองค์กรที่ยังคงเพิกเฉย… อาจกำลังนับถอยหลังรอวันที่ระบบสปาเกตตีของตัวเองจะพังทลายลงมาจากภายใน…
ที่มา
บทสัมภาษณ์พิเศษ Jay Reddy ผู้บริหาร ผู้บริหารฝ่ายการเติบโตทางธุรกิ
