PwC เผยผู้นำธุรกิจและเทคโนโลยีไม่ได้เตรียมพร้อมสำหรับเทคโนโลยีเกิดใหม่อย่าง ‘Generative AI’

  • ผู้นำธุรกิจและเทคโนโลยีจัดให้ดิจิทัลและเทคโนโลยีเป็นความเสี่ยงอันดับแรกที่พวกเขาให้ความสำคัญในการบรรเทาผลกระทบ สูงกว่าภัยพิบัติทางธรรมชาติ โรคระบาด และความไม่เท่าเทียมเกือบสองเท่า
  • งบประมาณทางไซเบอร์ในปี 2567 เพิ่มขึ้นและในอัตราที่สูงกว่าเมื่อเทียบกับปีที่แล้ว
  • ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ PwC ไม่คาดหวังว่า GenAI จะนำไปสู่การโจมตีทางไซเบอร์ที่ “เป็นหายนะ” เพิ่มมากขึ้น ซึ่งตรงกันข้ามกับผู้ตอบแบบสำรวจส่วนใหญ่ (52%) ที่กล่าวว่า การโจมตีดังกล่าวอาจเกิดขึ้นได้ภายในปีหน้า
  • เจ็ดใน 10 (69%) กล่าวบุว่า องค์กรของตนจะใช้ GenAI เพื่อการป้องกันทางไซเบอร์ในอีก 12 เดือนข้างหน้า ขณะที่แพลตฟอร์มต่าง ๆ กำลังออกใบอนุญาตโมเดลภาษาขนาดใหญ่ของตนควบคู่ไปกับโซลูชันเทคโนโลยีไซเบอร์
  • การโจมตีทางไซเบอร์ด้านการดูแลสุขภาพมีค่าใช้จ่ายสูงกว่าอุตสาหกรรมอื่น ๆ ถึง 20% — 5.3 ล้านเหรียญสหรัฐ (ราว 190 ล้านบาท)[1] โดยเฉลี่ย

รายงานผลสำรวจ Global Digital Trust Insights ประจำปี 2567 ของ PwC เผยว่า สัดส่วนของธุรกิจที่ประสบกับการละเมิดข้อมูล (Data breach) มากกว่า 1 ล้านดอลลาร์สหรัฐ (ราว 36 ล้านบาท) เพิ่มขึ้นอย่างมีนัยสำคัญจากปีต่อปีถึงหนึ่งในสาม หรือจาก 27% เป็น 36% ทั้งนี้ การสำรวจผู้นำธุรกิจและเทคโนโลยีจำนวนกว่า 3,800 รายใน 71 ประเทศยังพบว่า บริษัทต่าง ๆ กำลังมองเห็นการขยายตัวของเอไอแบบรู้สร้าง (Generative AI: GenAI) ที่สร้างทั้งความระมัดระวังและความตื่นเต้นให้กับผู้ใช้ ขณะที่องค์กรหลายแห่งก็กำลังเพิ่มการลงทุนด้านความปลอดภัยเพื่อป้องกันการโจมตีทางไซเบอร์

เกือบสองในสาม (64%) ของผู้ตอบแบบสำรวจกล่าวว่า รายได้จากการขายเพิ่มขึ้นในปีที่ผ่านมา ในขณะที่แปดใน 10 (82%) คาดว่า รายได้จะเพิ่มขึ้นในปีหน้า โดยแปดใน 10 (79%) คาดว่า งบประมาณไซเบอร์จะเพิ่มขึ้นจาก 65% ในปี 2566 นอกจากนี้ องค์กรที่แสดงความพร้อมในการริเริ่มโครงการด้านความปลอดภัยทางไซเบอร์ยังได้รายงานผลประโยชน์จำนวนมากขึ้น และมีอุบัติการณ์ของการละเมิดทางไซเบอร์ที่มีค่าใช้จ่ายสูงถึง 1 ล้านเหรียญสหรัฐ (36 ล้านบาท) ลดลง หรือการละเมิดผ่านช่องทางอื่น

อุตสาหกรรมการดูแลสุขภาพ เผชิญกับภัยคุกคามที่ร้ายแรงที่สุดจากความเสี่ยงทางไซเบอร์

แม้ว่าธุรกิจต่าง ๆ ที่ประสบกับการละเมิดข้อมูลจะเพิ่มขึ้นนับตั้งแต่การสำรวจของ PwC ในปี 2566 แต่อุตสาหกรรมการดูแลสุขภาพ (Healthcare) ได้รับผลกระทบมากที่สุด โดยในขณะที่การโจมตีทางไซเบอร์สร้างความเสียหายเฉลี่ยทั่วโลกอยู่ที่ 4.4 ล้านดอลลาร์สหรัฐ (158 ล้านบาท) ค่าเสียหายของภาคการดูแลสุขภาพนั้น สูงกว่าค่าเฉลี่ย 20% หรือ 5.3 ล้านดอลลาร์สหรัฐ (190 ล้านบาท) และเกือบครึ่ง (47%) ของผู้ตอบแบบสำรวจของธุรกิจดูแลสุขภาพรายงานว่า มีการละเมิดข้อมูลที่สร้างค่าเสียหายกว่า 1 ล้านดอลลาร์สหรัฐ (36 ล้านบาท) หรือมากกว่านั้น

นอกจากนี้ เมื่อขนาดของบริษัทเพิ่มขึ้น ต้นทุนเฉลี่ยของการละเมิดข้อมูลที่สร้างความเสียหายก็เพิ่มขึ้นตามไปด้วย โดยบริษัทที่มีมูลค่ามากกว่า 1 หมื่นล้านดอลลาร์สหรัฐ (3.6 แสนล้านบาท) รายงานการถูกละเมิดมูลค่า 7.2 ล้านดอลลาร์สหรัฐ (259 ล้านบาท) ในขณะที่บริษัทที่มีมูลค่าน้อยกว่า 1 พันล้านดอลลาร์สหรัฐ (3.6 หมื่นล้านบาท) รายงานความเสียหายราว 1.9 ล้านดอลลาร์สหรัฐ (68 ล้านบาท)

การเติบโตของ ‘DefenseGPT’

บรรดาผู้นำธุรกิจและเทคโนโลยีแสดงความกังวลเพิ่มขึ้นเกี่ยวกับการขยายตัวของการใช้ GenAI เนื่องจากเกี่ยวข้องกับความปลอดภัยทางไซเบอร์ โดย GenAI สามารถช่วยสร้างอีเมลธุรกิจสำหรับการบุกรุกชั้นสูงในวงกว้างได้ ด้วยเหตุนี้ ผู้บริหารฝ่ายความมั่นคงปลอดภัยสารสนเทศ (Chef Information Security Officer: CISO) และผู้บริหารฝ่ายเทคโนโลยีสารสนเทศ (Chief Information Officer: CIO) ควรให้ความสนใจกับแนวโน้มนี้ โดย 52% ของผู้ตอบแบบสำรวจคาดว่า GenAI จะนำไปสู่การโจมตีทางไซเบอร์ที่ร้ายแรงในอีก 12 เดือนข้างหน้า ขณะที่เกือบแปดใน 10 (77%) เห็นด้วยว่า พวกเขาตั้งใจที่จะใช้ GenAI อย่างมีจริยธรรมและมีความรับผิดชอบ

อย่างไรก็ดี สามในสี่ของผู้นำธุรกิจและเทคโนโลยีได้แสดงความตื่นเต้นเกี่ยวกับศักยภาพของ GenAI โดย

  • 77% เห็นด้วยว่า “เอไอแบบรู้สร้างจะช่วยให้องค์กรพัฒนาสายธุรกิจใหม่ภายในสามปีข้างหน้า”
  • 74% เห็นด้วยว่า “การใช้ GenAI เป็นการส่วนตัวของพนักงานจะนำไปสู่การเพิ่มประสิทธิภาพ การทำงานที่จับต้องได้ภายใน 12 เดือนข้างหน้า”
  • 75% เห็นด้วยว่า “กระบวนการที่ขับเคลื่อนด้วย GenAI ภายในองค์กรจะช่วยเพิ่มประสิทธิภาพการทำงานของพนักงานภายใน 12 เดือนข้างหน้า”

นอกจากนี้ GenAI มีข้อได้เปรียบในการสังเคราะห์ข้อมูลจำนวนมากเกี่ยวกับเหตุการณ์ทางไซเบอร์จากหลายระบบและแหล่งที่มา เพื่อช่วยให้ผู้นำเข้าใจสิ่งที่เกิดขึ้น GenAI ยังสามารถนำเสนอภัยคุกคามที่ซับซ้อนในภาษาที่เข้าใจง่าย ให้คำแนะนำเกี่ยวกับกลยุทธ์ในการบรรเทาผลกระทบ และช่วยเหลือในการค้นหาและการสืบสวน

“การสำรวจทั่วโลกของเราแสดงให้เห็นว่า ความปลอดภัยทางไซเบอร์ยังคงเป็นประเด็นสำคัญสำหรับผู้นำธุรกิจ และตอนนี้ก็มีมากขึ้นกว่าที่เคย ผู้บริหารระดับสูงจำเป็นต้องมีความคล่องตัวและปรับตัวเข้ากับตลาดที่เปลี่ยนแปลงไป ด้วยการพัฒนาเทคโนโลยีที่เกิดขึ้นใหม่ที่กำลังเข้าสู่ตลาดในรูปแบบการเปลี่ยนแปลง ผู้บริหารจะต้องท้าทายสภาพที่เป็นอยู่ด้วยการสร้างความปลอดภัยให้กับโครงสร้างขององค์กรแทนที่จะตอบสนองเมื่อเกิดวิกฤติ” นาย ฌอน จอยซ์ หัวหน้ากลุ่มลูกค้าความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวระดับโลก PwC ประเทศสหรัฐอเมริกา กล่าว 

‘ผู้พิทักษ์ความเชื่อมั่นด้านความปลอดภัยดิจิทัล’

ความปลอดภัยทางไซเบอร์ จำเป็นต้องได้รับการปรับปรุงอย่างสม่ำเสมอโดยมีองค์กรน้อยกว่าหนึ่งในสามรายงานว่า พวกเขากำลังปฏิบัติตามแนวทางสำคัญที่เกี่ยวข้องกับไซเบอร์บนพื้นฐาน ‘ปกติ’ ที่สอดคล้องกัน เพื่อทำการสำรวจเพิ่มเติม PwC ได้พัฒนาดัชนีเพื่อระบุว่า องค์กรใดมีทีมรักษาความปลอดภัยทางไซเบอร์ที่สาธิตแนวทางปฏิบัติทางไซเบอร์ชั้นนำอย่างสม่ำเสมอ แต่จากผู้ตอบแบบสำรวจทั้งหมดพบว่า มีองค์กรเพียง 5% เท่านั้นที่รายงานการดำเนินการทางไซเบอร์ในเชิงป้องกันและการเติบโต 10 ประการอย่างต่อเนื่อง ซึ่งเราเรียกพวกเขาว่า ‘ผู้พิทักษ์ความเชื่อมั่นด้านความปลอดภัยดิจิทัล’ (Stewards of Digital Trust)

ทั้งนี้ มากกว่าครึ่ง (53%) ของผู้ตอบแบบสำรวจมีรายได้ 5 พันล้านดอลลาร์สหรัฐ (ราว 1.8 แสนล้านบาท) หรือมากกว่า และมีแนวโน้มที่จะเป็นองค์กรที่ ‘เติบโตสูง’ ที่มีประสบการณ์และคาดว่ารายได้เติบโตมากกว่า 10% ในช่วง 12 เดือนที่ผ่านมาและที่กำลังจะมาถึง (17% เทียบกับ 9% โดยรวม)

นอกจากนี้ องค์กรเหล่านี้ยังมีแนวโน้มที่จะกล่าวว่า การละเมิดทางไซเบอร์ที่สร้างความเสียหายมากที่สุดในช่วงสามปีที่ผ่านมา สร้างความเสียหายน้อยกว่า 100,000 ดอลลาร์สหรัฐ (3.6 ล้านบาท) (28% เทียบกับ 19% โดยรวม) ในขณะที่ 36% ขององค์กรโดยรวม ประสบกับการละเมิดทางไซเบอร์มูลค่ามากกว่า 1 ล้านดอลลาร์สหรัฐ (มากกว่า 36 ล้านบาท) แต่กลับลดลงเหลือ 29% ในกลุ่มผู้พิทักษ์ความเชื่อมั่นด้านความปลอดภัยดิจิทัล นอกจากนี้ พวกเขายังมีทัศนคติเชิงบวกเกี่ยวกับผลกระทบของ GenAI โดยหลายรายเห็นพ้องอย่างยิ่งว่า จะสามารถพัฒนาสายธุรกิจใหม่ (49% เทียบกับ 33% โดยรวม) และจะใช้เครื่องมือ Gen AI สำหรับการป้องกันทางไซเบอร์ (44% เทียบกับ 27%) ยิ่งไปกว่านั้น พวกเขามีแนวโน้มที่จะไม่เห็นด้วยว่า ‘Gen AI จะนำไปสู่การโจมตีทางไซเบอร์ที่ร้ายแรง’ (33% เทียบกับ 22% โดยรวม) และจะอนุญาตให้มีการประยุกต์ใช้เครื่องมือ GenAI ก็ต่อเมื่อมีนโยบายภายในแล้ว (31% ไม่เห็นด้วย เทียบกับ 19% โดยรวม และ 53% เห็นด้วย เทียบกับ 63% โดยรวม)

ผู้นำธุรกิจเพิ่มการลงทุนด้านความปลอดภัยทางไซเบอร์เป็นสองเท่า

แม้ภัยพิบัติทางธรรมชาติที่เกี่ยวข้องกับการเปลี่ยนแปลงสภาพภูมิอากาศจะเพิ่มขึ้นอย่างต่อเนื่อง ผลกระทบของการแพร่ระบาดของโควิด-19 และความไม่เท่าเทียมที่เพิ่มขึ้น ผู้นำธุรกิจและเทคโนโลยีได้จัดอันดับให้ดิจิทัลและเทคโนโลยีเป็นความเสี่ยงสูงสุดที่พวกเขาให้ความสำคัญต่อการบรรเทาผลกระทบในช่วง 12 เดือนข้างหน้า

ทั้งนี้ ภัยคุกคามที่เกี่ยวข้องกับไซเบอร์สามอันดับแรกที่ธุรกิจแสดงความกังวล ได้แก่ ภัยคุกคามที่เกี่ยวข้องกับคลาวด์ การโจมตีอุปกรณ์เชื่อมต่อ และการจารกรรมและการรั่วไหลของข้อมูล อย่างไรก็ตาม มากกว่าหนึ่งในสามของบริษัท ยังไม่ได้ดำเนินการจัดการความเสี่ยง และมีเพียงหนึ่งในสี่เท่านั้นที่ได้ปรับปรุงความสามารถในการฟื้นตัวทางไซเบอร์

นอกจากนี้ องค์กรเพียงสองเปอร์เซ็นต์เท่านั้นที่เพิ่มประสิทธิภาพและปรับปรุงความสามารถในการฟื้นตัวทางไซเบอร์อย่างต่อเนื่องในทุกด้าน ที่สำคัญพอ ๆ กัน คือ ผู้นำมากกว่า 40% กล่าวว่า พวกเขาไม่เข้าใจความเสี่ยงทางไซเบอร์ที่เกิดจากเทคโนโลยีเกิดใหม่ เช่น เครื่องมือจำลองสภาพแวดล้อมเสมือนจริง GenAI บล็อกเชนระดับองค์กร (Enterprise Blockchain) การคำนวณเชิงควอนตัม และเทคโนโลยีเสมือนจริง (Virtual Reality) หรือเทคโนโลยีที่ผสานโลกเสมือนเข้าไปในโลกจริง (Augmented Reality)

“องค์กรต่าง ๆ ควรนำชุดเครื่องมือเอไอที่มีความรับผิดชอบมาใช้เพื่อเป็นแนวทางในการใช้เอไอที่เชื่อถือได้และมีจริยธรรม แม้ว่าบ่อยครั้งจะถือเป็นหน้าที่ของเทคโนโลยี แต่การควบคุมดูแลและการแทรกแซงของมนุษย์ถือเป็นสิ่งสำคัญสำหรับเอไอ และนอกเหนือจากความเสี่ยงด้านความปลอดภัยและความเป็นส่วนตัวแล้ว พวกเขายังต้องคำนึงถึงสิ่งอื่น ๆ เพิ่มเติมที่เกี่ยวข้องกับความเสี่ยงด้านข้อมูล ความเสี่ยงด้านโมเดลและอคติ รวมถึงความเสี่ยงของคำสั่งหรือการป้อนข้อมูล และความเสี่ยงของผู้ใช้เมื่อเริ่มทำงานร่วมกับ GenAI” นาย ฌอน จอยซ์ หัวหน้ากลุ่มลูกค้าความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวระดับโลก PwC ประเทศสหรัฐอเมริกา กล่าว

การยกระดับทักษะและสร้างทักษะใหม่

องค์กรต่าง ๆ จะต้องคำนึงถึงกลยุทธ์ในการสรรหาและรักษาพนักงานที่มีความสามารถของตน โดยต้องทำให้พวกเขารู้สึกมีส่วนร่วมและรับทราบข้อมูลอยู่เสมอ ผู้นำธุรกิจและเทคโนโลยีระบุว่า “การเพิ่มทักษะให้กับกำลังแรงงานในปัจจุบันให้เร็วและทันกับความต้องการขององค์กรของเรา”; “การปรับสมดุลระหว่างบริการภายในและการจัดจ้างภายนอก หรือบริการที่ได้รับการจัดการ”; และ “การระบุผู้สมัครงานที่เหมาะสมสำหรับการเปิดรับสมัคร” ถือเป็นภารกิจที่มีความสำคัญมากที่สุดสามอันดับแรกที่เกี่ยวข้องกับกลยุทธ์ด้านผู้มีความสามารถทางไซเบอร์ นอกจากนี้ องค์กรที่เคยประสบกับการละเมิดทางไซเบอร์มูลค่ามากกว่า 1 ล้านดอลลาร์สหรัฐ (36 ล้านบาท) ยังมีแนวโน้มที่จะให้ความสำคัญกับการแข่งขันแย่งชิงผู้มีความสามารถในตลาด (52%) ในลำดับความสำคัญสามอันดับแรก

ความพร้อมรับมือภัยคุกคามทางไซเบอร์ของไทยยังไม่เพียงพอ 

ด้านนาย ริชี อานันท์ หุ้นส่วนสายงานที่ปรึกษาด้านความเสี่ยง PwC ประเทศไทย กล่าวเสริมว่า การดำเนินงานแบบดิจิทัลที่เพิ่มขึ้นทำให้ธุรกิจในประเทศไทยมีความเสี่ยงต่อภัยคุกคามทางไซเบอร์มากขึ้น ทั้งนี้[2] ไทยประสบปัญหาการโจมตีผ่านช่องทางเว็บไซต์ (Web-based attacks) เพิ่มขึ้นอย่างมีนัยสำคัญ โดยจากข้อมูลของสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ระบุว่า พบกรณีการโจมตีถึง 973 ครั้งในปีนี้ (สิ้นสุด ณ เดือนสิงหาคม 2566) เพิ่มขึ้นจากการโจมตีจำนวน 651 ครั้งในปี 2565 ขณะที่ภาคธุรกิจบริการทางการเงิน (Financial Services) ถือเป็นเป้าหมายหลักของการถูกโจมตีจากผู้ไม่ประสงค์ดี”ธุรกิจจำนวนมากมีความเสี่ยงที่จะถูกคุกคามจากกลยุทธ์การโจมตีทางไซเบอร์หลายรูปแบบตั้งแต่ฟิชชิ่ง มัลแวร์ แรนซัมแวร์ และการขโมยข้อมูล ซึ่งเกี่ยวข้องกับข้อมูลทางการเงินและข้อมูลส่วนบุคคลอื่น ๆ โดยนอกจากธนาคารรายใหญ่ ๆ แล้ว บริษัทไทยส่วนใหญ่ยังคงใช้มาตรการดูแลรักษาความปลอดภัยขั้นต่ำอยู่” นาย ริชี กล่าว”ถึงแม้องค์กรจะตระหนักถึงภัยคุกคามทางไซเบอร์โดยทั่วไป แต่หลายรายยังคงคิดว่า องค์กรของตนจะไม่ตกเป็นเหยื่อการโจมตีทางไซเบอร์ เราจะเห็นว่ามาตรการความปลอดภัยทางไซเบอร์ขององค์กรไทยยังไม่พร้อมในหลาย ๆ ด้าน ไม่ว่าจะเป็นการระบุ การตรวจจับ การป้องกัน การตอบสนอง และการฟื้นฟูให้กลับมาอยู่ในสภาพปกติ” เขา กล่าวนาย ริชี กล่าวว่า แม้ธุรกิจจจะแสดงความตื่นเต้นและความกลัวในระดับที่เท่าเทียมกันเกี่ยวกับศักยภาพของ AI แต่ปัจจัยดังกล่าวจะมีบทบาทสำคัญต่อการปรับปรุงการควบคุมความปลอดภัยทางไซเบอร์”ความเสี่ยงสำคัญจากการใช้ GenAI คือ ความปลอดภัย ความเป็นส่วนตัว และอคติ แต่ GenAI สามารถนำไปปรับปรุงความปลอดภัยทางไซเบอร์ด้วยกระบวนการอัตโนมัติ เช่น [3]การจัดการแพตช์ การจัดการช่องโหว่ และการทดสอบการเจาะระบบ รวมถึงการตรวจจับภัยคุกคามแบบเรียลไทม์ เทคโนโลยีใหม่ที่ทรงพลังเหล่านี้จะช่วยเร่งการสอบสวน ตอบสนองอัตโนมัติ และประสานการดำเนินงานในระหว่างเหตุการณ์คุกคามความปลอดภัยได้” นาย ริชี กล่าว

[1] อัตราแลกเปลี่ยน 1 ดอลลาร์สหรัฐ เท่ากับ 36.02 บาท ณ วันที่ 2 พฤศจิกายน  2566

[2] สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)

[3] กระบวนการค้นหาช่องโหว่เพื่อปรับปรุงความปลอดภัยและความเสถียรของซอฟต์แวร์