Tenable เปิดรายงานความเสี่ยงความปลอดภัยบนคลาวด์ปี 2568 ชี้ชัด เวิร์กโหลด AI ในเอเชียตะวันออกเฉียงใต้ รวมถึงไทย มีช่องโหว่ร้ายแรงสูงถึง 70% เสี่ยงกว่าเวิร์กโหลดแบบดั้งเดิมอย่างมีนัยสำคัญ สั่นคลอนความเชื่อมั่นและสร้างความท้าทายทางเศรษฐกิจครั้งใหญ่ ท่ามกลางการเร่งออกกฎหมายควบคุมของหน่วยงานกำกับดูแลทั่วทั้งภูมิภาค
กรุงเทพฯ, ประเทศไทย – การเปลี่ยนผ่านสู่ยุคปัญญาประดิษฐ์ (AI) ที่ถูกมองว่าเป็นเครื่องยนต์ขับเคลื่อนเศรษฐกิจดิจิทัลแห่งอนาคต กำลังเผชิญกับความท้าทายด้านความปลอดภัยทางไซเบอร์ครั้งสำคัญ เมื่อรายงานล่าสุดจาก Tenable® บริษัทชั้นนำด้านการจัดการความเสี่ยง (Exposure Management) ได้เปิดเผยข้อมูลที่น่าตกใจว่า เวิร์กโหลดบนคลาวด์ที่สนับสนุนโครงการริเริ่มด้าน AI นั้น มีความเปราะบางและเสี่ยงต่อการถูกโจมตีสูงกว่าเวิร์กโหลดแบบดั้งเดิมอย่างมาก ซึ่งส่งผลกระทบโดยตรงต่อองค์กรในสิงคโปร์และภูมิภาคเอเชียตะวันออกเฉียงใต้ รวมถึงประเทศไทย
รายงานความเสี่ยงความปลอดภัยบนคลาวด์ประจำปี 2568 (2025 Cloud Security Risk Report) ของ Tenable ซึ่งวิเคราะห์ข้อมูลจากสภาพแวดล้อมคลาวด์สาธารณะและองค์กรที่หลากหลาย ตั้งแต่เดือนตุลาคม 2567 ถึงมีนาคม 2568 พบว่า 70% ของเวิร์กโหลด AI ทั้งบนแพลตฟอร์ม AWS, Azure และ GCP มีช่องโหว่ระดับวิกฤต (Critical Vulnerability) อย่างน้อยหนึ่งรายการที่ไม่ได้รับการแก้ไข เมื่อเทียบกับเวิร์กโหลดที่ไม่ใช่ AI ซึ่งพบเพียง 50% ตัวเลขดังกล่าวสะท้อนให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นอย่างมีนัยสำคัญสำหรับองค์กรต่างๆ ในขณะที่การนำ AI มาใช้งานกำลังเร่งตัวขึ้นอย่างก้าวกระโดด
AI: เป้าหมายใหม่ที่น่าดึงดูดของอาชญากรไซเบอร์
ด้วยลักษณะของเวิร์กโหลด AI ที่ต้องอาศัยชุดข้อมูลการฝึกสอน (Training Datasets) ขนาดมหาศาล และกระบวนการพัฒนาโมเดลที่ซับซ้อน ทำให้มันกลายเป็นเป้าหมายที่น่าดึงดูดสำหรับผู้ไม่หวังดี รายงานของ Tenable ได้เจาะลึกถึงปัญหาเชิงเทคนิคที่น่ากังวล โดยพบว่า 77% ขององค์กรที่ใช้ Vertex AI Workbench ของ Google มีอินสแตนซ์โน้ตบุ๊กอย่างน้อยหนึ่งรายการที่ถูกกำหนดค่าด้วยบัญชีบริการเริ่มต้น (Default Service Account) ที่มีสิทธิ์สูงเกินความจำเป็น (Overprivileged)
การตั้งค่าที่ผิดพลาดในลักษณะนี้เปรียบเสมือนการเปิดประตูหลังไว้ให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตนเอง (Privilege Escalation) และเคลื่อนไหวในแนวราบ (Lateral Movement) ไปยังส่วนอื่นๆ ของสภาพแวดล้อมคลาวด์ได้อย่างง่ายดาย ซึ่งอาจนำไปสู่การขโมยข้อมูลสำคัญ การทำลายโมเดล AI หรือแม้กระทั่งการยึดครองระบบคลาวด์ทั้งหมด สร้างความเสียหายทางธุรกิจและเศรษฐกิจอย่างประเมินค่าไม่ได้
หน่วยงานกำกับดูแลทั่วอาเซียนตื่นตัว ออกกฎคุมเข้ม
ความเสี่ยงที่เพิ่มขึ้นนี้ไม่ได้อยู่นอกสายตาของหน่วยงานกำกับดูแลในภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งต่างกำลังออกมาตรการและกฎระเบียบที่เข้มงวดเพื่อควบคุมความปลอดภัยบนคลาวด์และ AI อย่างจริงจัง:
- สิงคโปร์: มีกฎหมายความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Act) และแนวทางการจัดการความเสี่ยงด้านเทคโนโลยี (Technology Risk Management Guidelines) ของธนาคารกลางสิงคโปร์ (MAS) ที่กำหนดให้มีการควบคุมความปลอดภัยของคลาวด์และ AI อย่างเคร่งครัด
- อินโดนีเซีย: กฎระเบียบ PP 71 และข้อบังคับจากหน่วยงานบริการทางการเงิน (OJK) กำหนดให้สถาบันการเงินต้องใช้คลาวด์อย่างปลอดภัยและจัดเก็บข้อมูลไว้ในประเทศ
- มาเลเซีย: กรอบการบริหารความเสี่ยงด้านเทคโนโลยี (RMiT) กำหนดแนวปฏิบัติที่เข้มงวดด้านความเสี่ยงบนคลาวด์สำหรับธนาคาร
- ประเทศไทย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) และแนวปฏิบัติของ ธนาคารแห่งประเทศไทย (ธปท.) ได้เน้นย้ำถึงความสำคัญของการควบคุมการเข้าถึง (Access Controls) และความโปร่งใสในการดำเนินงาน ซึ่งองค์กรที่ใช้ AI ในการประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติตามอย่างเคร่งครัดเพื่อหลีกเลี่ยงบทลงโทษที่รุนแรง
- ฟิลิปปินส์: พระราชบัญญัติความเป็นส่วนตัวของข้อมูล (Data Privacy Act) และข้อบังคับของธนาคารกลางฟิลิปปินส์ (BSP) เรียกร้องให้มีการจำแนกประเภทข้อมูล การยืนยันตัวตนที่รัดกุม และการกำกับดูแลบุคคลที่สามที่แข็งแกร่ง
การพัฒนาของกรอบกฎหมายเหล่านี้บีบให้องค์กรต่างๆ ต้องฝังเรื่องความปลอดภัยเข้าไปในกระบวนการพัฒนา AI ตั้งแต่เนิ่นๆ (Embed Security Early) ไม่ใช่แค่เพื่อปฏิบัติตามกฎหมาย แต่ยังเป็นการลดความเสี่ยงที่เกิดขึ้นใหม่จากเทคโนโลยีคลาวด์และ AI
ข่าวดีท่ามกลางความท้าทาย: ความคืบหน้าในการจัดการความเสี่ยง
แม้ว่าความเสี่ยงจาก AI จะเพิ่มสูงขึ้น แต่รายงานของ Tenable ยังแสดงให้เห็นถึงความก้าวหน้าที่น่าพอใจในการจัดการความเสี่ยงบนคลาวด์โดยรวม โดยพบว่า “Toxic Cloud Trilogies” ซึ่งหมายถึงเวิร์กโหลดที่มีความเสี่ยงร้ายแรง 3 ประการร่วมกัน คือ เปิดเผยต่อสาธารณะ (Publicly Exposed), มีช่องโหว่ระดับวิกฤต (Critically Vulnerable) และมีสิทธิ์การเข้าถึงสูง (Highly Privileged) ลดลงเหลือเพียง 29% ขององค์กรที่สำรวจ ซึ่งเป็นการปรับปรุงที่ดีขึ้นถึง 9 จุดจากปี 2567
นักวิจัยของ Tenable เชื่อว่าการลดลงนี้เป็นผลมาจากแนวทางปฏิบัติในการจัดลำดับความสำคัญของความเสี่ยงที่เฉียบคมขึ้น และการใช้เครื่องมือรักษาความปลอดภัยบนคลาวด์ (Cloud-Native Security Tooling) ที่แพร่หลายมากขึ้น อย่างไรก็ตาม ทีมวิจัยยังคงเตือนว่า แม้จะมีไตรภาคีที่เป็นพิษเช่นนี้เพียงกรณีเดียว ก็เปรียบเสมือนการเปิดช่องทางด่วนให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนได้ทันที
“ข้อมูลประจำตัว” ยังคงเป็นรากฐานและจุดอ่อนสำคัญ
รากฐานที่สำคัญที่สุดของสภาพแวดล้อมคลาวด์ที่ปลอดภัยคือ “การจัดการข้อมูลประจำตัว” (Identity Management) รายงานพบว่า 83% ของผู้ใช้ AWS ได้กำหนดค่าผู้ให้บริการข้อมูลประจำตัว (Identity Provider – IdP) อย่างน้อยหนึ่งราย ซึ่งเป็นแนวปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยข้อมูลประจำตัวทั้งของมนุษย์และของบริการ (Service Identities)
อย่างไรก็ตาม ความเสี่ยงที่เกี่ยวข้องกับข้อมูลประจำตัวยังคงมีอยู่ โดย “การใช้ข้อมูลประจำตัวในทางที่ผิด” (Credential Abuse) ยังคงเป็นช่องทางการเจาะระบบเริ่มต้นที่พบบ่อยที่สุด โดยเกี่ยวข้องกับการละเมิดข้อมูลถึง 22% สิ่งนี้ตอกย้ำว่าการบังคับใช้นโยบายการยืนยันตัวตนแบบหลายปัจจัย (MFA) และหลักการให้สิทธิ์น้อยที่สุด (Least Privilege) ยังคงเป็นสิ่งสำคัญอย่างยิ่งยวด เพื่อให้สอดคล้องกับความคาดหวังด้านกฎระเบียบและปกป้องข้อมูลที่ละเอียดอ่อนขององค์กร
นายอารี ไอแทน ผู้อำนวยการฝ่ายวิจัยความปลอดภัยบนคลาวด์ของ Tenable กล่าวสรุปสถานการณ์ว่า “องค์กรต่างๆ มีความก้าวหน้าที่แท้จริงในการจัดการกับความเสี่ยงบนคลาวด์ที่เป็นพิษ แต่การเพิ่มขึ้นของเวิร์กโหลด AI ก็นำมาซึ่งความซับซ้อนระลอกใหม่ ลักษณะของ AI ที่ต้องใช้ข้อมูลจำนวนมหาศาล ประกอบกับการกำหนดค่าที่ผิดพลาดและช่องโหว่ที่ยังคงมีอยู่ ทำให้องค์กรต้องมีความขยันหมั่นเพียรในระดับใหม่ การจัดการความเสี่ยง (Exposure Management) จะช่วยให้ทีมรักษาความปลอดภัยมีบริบทที่จำเป็นในการปกป้องสิ่งที่สำคัญที่สุด รวมถึง ‘มงกุฎเพชร’ ที่ซ่อนอยู่ภายในสภาพแวดล้อมของ AI”
บทสรุปจากรายงานฉบับนี้ชี้ให้เห็นว่า ขณะที่องค์กรในประเทศไทยและเอเชียตะวันออกเฉียงใต้กำลังเดินหน้าเปิดรับ AI เพื่อสร้างความได้เปรียบทางการแข่งขันและขับเคลื่อนการเติบโตทางเศรษฐกิจ การลงทุนและการให้ความสำคัญกับการจัดการความเสี่ยงทางไซเบอร์เชิงรุกและครอบคลุมได้กลายเป็นสิ่งจำเป็นที่ไม่อาจหลีกเลี่ยงได้อีกต่อไป ความปลอดภัยทางไซเบอร์ไม่ได้เป็นเพียงปัญหาของฝ่ายไอที แต่เป็นวาระสำคัญทางธุรกิจและเศรษฐกิจที่ผู้นำองค์กรต้องให้ความสำคัญสูงสุด
#ความปลอดภัยไซเบอร์ #AI #CloudSecurity #Tenable #เศรษฐกิจดิจิทัล #PDPA #ความเสี่ยงAI #ข่าวเศรษฐกิจ #ธปท #อาเซียน
