Cyber Security
12.09.2025
ในยุคปัจจุบันที่เทคโนโลยีมีบทบาทสำคัญต่อการขับเคลื่อนธุรกิจ Cybersecurity จึงไม่ได้สื่อความหมายแค่เพียง “ความมั่นคงทางไซเบอร์” หรือ “การป้องกันไม่ให้คอมพิวเตอร์ถูกโจมตี” เท่านั้น แต่ยังสื่อถึงความยั่งยืนขององค์กรอีกด้วย
ดร.ศาศวัต มาลัยวงศ์ หรือ ดร.แก็ป Business Director บริษัท เอซีอินโฟเทค จำกัด (ACinfotec) กล่าวถึงภาพรวมของภัยไซเบอร์ว่า “โลกไซเบอร์ไม่เคยหยุดนิ่ง เพราะเทคโนโลยีเปลี่ยนแปลงเร็วมาก โดยเฉพาะเรื่องของ AI ทำให้ภัยคุกคามโตเร็วกว่าวิธีป้องกัน มีความซับซ้อนและรุนแรงขึ้นอย่างต่อเนื่อง ในประเทศไทยพบว่ามีเหตุโจมตีทางไซเบอร์สูงกว่าค่าเฉลี่ยทั่วโลก”
เมื่อการโจมตีทางไซเบอร์มีความซับซ้อนและรุนแรงมากขึ้น จึงอาจส่งผลกระทบต่อองค์กรของเราเข้าในสักวัน แต่เรายังสามารถรับมือได้ด้วย Cybersecurity ที่มีประสิทธิภาพ และบุคลากรที่มีความเข้าใจ
ดังนั้น เพื่อยกระดับการป้องกันทางไซเบอร์ให้แข็งแกร่ง บริษัท เอซีอินโฟเทค จำกัด (ACinfotec) ผู้ให้บริการ Cybersecurity ครบวงจร จึงแนะแนวทางให้กับองค์กรธุรกิจต่าง ๆ ไว้ในบทความนี้
เอซีอินโฟเทค (ACinfotec) ผู้นำทางความคิดด้าน Cybersecurity
เอซีอินโฟเทค (ACinfotec) เป็นบริษัทที่ให้คำปรึกษา และตรวจสอบความมั่นคงปลอดภัยไซเบอร์ รวมถึงการปกป้องข้อมูลส่วนบุคคลตามมาตรฐานสากล กฎหมาย และระเบียบข้อบังคับ โดยให้บริการมากว่า 20 ปี ด้วยวิสัยทัศน์ที่เล็งเห็นว่าความมั่นคงปลอดภัยทางไซเบอร์เป็นเงื่อนไขของการทำธุรกิจ
จากมุมมองที่เห็นว่า ‘ยิ่ง ICT หรือ Digital Technology มีบทบาทต่อการดำเนินธุรกิจมากเท่าไหร่ ย่อมมีผู้ประสงค์ร้ายมากขึ้นเท่านั้น ผู้ประสงค์ร้ายเหล่านี้ มุ่งทำลาย หรือหาประโยชน์ในทางมิชอบจากการใช้ Digital Technology ของบริษัท เช่น การฉกฉวยข้อมูลสำคัญเพื่อใช้ในการทุจริต หรือใช้เทคโนโลยีในการก่อการร้าย ซึ่งปัจจุบันกำลังเป็นปัญหาที่ลุกลามในทั่วทุกแห่งของโลก’ จึงมีความจำเป็นต้องพัฒนาวิธีการป้องกัน รวมถึง รักษาความมั่นคงปลอดภัยของระบบ และสร้างความตระหนักรู้ของบุคคลากรอย่างเข้มข้น
ปัจจุบัน เอซีอินโฟเทค (ACinfotec) ให้บริการที่ปรึกษาและโซลูชั่นด้าน Cybersecurity ให้กับหน่วยงานต่าง ๆ ทั้งภาครัฐ และเอกชน ตั้งแต่สตาร์ทอัพ ไปจนถึงบริษัทขนาดใหญ่
“จุดเด่นของเราไม่ใช่แค่มีความรู้ในเชิงเทคนิคด้าน Cybersecurity เท่านั้น แต่ยังมีความเข้าใจในเรื่องของธุรกิจและกฎหมายอีกด้วย เรียกได้ว่าเป็นการให้บริการที่ครบวงจร ตั้งแต่วิเคราะห์บริบทความต้องการของหน่วยงาน มีการวัดระดับความมั่นคงปลอดภัยทางไซเบอร์ขององค์กร วางกลยุทธ์ออกแบบสถาปัตยกรรมมาตรการป้องกันภัยต่าง ๆ และร่างนโยบายขั้นตอนปฏิบัติอบรมพนักงาน เพื่อสร้างความตระหนักรู้ในการรับมือภัยคุกคามทางไซเบอร์ รวมไปถึงการพัฒนาเทคโนโลยี AI เพื่อที่จะนำมาช่วยในเรื่องของ Cybersecurity” ดร.แก็ป กล่าว
ความเปลี่ยนแปลงของภัยไซเบอร์ใน 3 ปีข้างหน้า และสิ่งที่ธุรกิจไทยควรเตรียมรับมือ
ข้างต้นได้เกริ่นไว้แล้วว่า ไทยมีเหตุโจมตีทางไซเบอร์สูงกว่าค่าเฉลี่ยทั่วโลก คือสูงกว่าค่าเฉลี่ยถึง 70% ซึ่งน่าตกใจไม่น้อย สำหรับรูปแบบที่มักโดนโจมตีประกอบด้วย
– Email Phishing ซึ่งเป็นการส่งอีเมลมาหลอกให้คลิกลิงก์ ซึ่งแฝงไปด้วยมัลแวร์และ Ransomware และเมื่อกดแล้วตัวมัลแวร์ก็จะฝังอยู่ในเครื่องคอมพิวเตอร์ ซึ่งส่งผลร้ายได้ทั้งการลบข้อมูล ขโมยข้อมูล หรือแม้กระทั่งเรียกค่าไถ่ (ให้จ่ายค่าไถ่เพื่อแลกกับการคืนข้อมูล)
– การส่ง SMS ให้กดลิงก์เพื่อดูดเงินในบัญชี
– การโจมตีแบบ Distributed Denial of Service (DDoS) โดยการส่ง Traffic จำนวนมาก หรือ Traffic ที่ผิดปกติ เข้าเว็บไซต์ และแอปพลิเคชัน ให้ระบบล่ม
รูปแบบการโจมตีทางไซเบอร์ที่ยกมา ดร.แก็ป กล่าวว่า “2 ปีที่ผ่านมา การโจมตีเหล่านี้เพิ่มขึ้นมากกว่า 100% ถามว่าทำไมถึงเพิ่มขึ้น ตอบว่า มาจากที่ประเทศไทยเปลี่ยนแปลงเข้าสู่ดิจิทัลอย่างรวดเร็ว เรามีการใช้งานบนคลาวด์ ทำงานผ่าน Remote Work แล้วก็มีการใช้ IoT (Internet of Things) มีการชำระเงินผ่านระบบดิจิทัล สิ่งเหล่านี้ส่งผลให้ Attack Surface หรือพื้นผิวที่ถูกโจมตีได้ ขยายเพิ่มมากขึ้น ทำให้ผู้ร้ายมีจุดประสงค์ และมีช่องทางในการโจมตีมากขึ้นตามไปด้วย”
นอกจากถูกโจมตีจากผู้ร้ายภายนอกองค์กรแล้ว ภัยทางไซเบอร์ยังสามารถเกิดจากภายในอีกด้วย โดย ดร.แก็ป บอกว่า ส่วนหนึ่งมาจากพฤติกรรมการใช้ AI ของบุคลากร เช่น การใช้งาน AI ที่ไม่ปลอดภัย และไม่ได้รับอนุญาตจากฝ่ายไอทีขององค์กร หรือที่เรียกว่า Shadow AI จนทำให้ข้อมูลรั่วไหล เป็นต้น
“แต่ในทางกลับกัน หลายองค์กรก็ขาดแคลนบุคลากรที่รู้เรื่อง Cybersecurity โดยเฉพาะภาครัฐ จากผลสำรวจเมื่อประมาณ 2 ปีที่แล้ว พบว่า มีข้าราชการไทยประมาณ 0.5% เท่านั้นที่อยู่ในสายงาน IT นอกนั้นทำงานด้านอื่น แล้วที่น้อยกว่านั้นอีก คือ ผู้ที่อยู่ในสายงาน IT เหล่านั้นกลับมีคนที่เชี่ยวชาญด้านไซเบอร์น้อยลงไปอีก ทำให้เรามีบุคลากรที่จะป้องกันภัยคุกคามเชิงรุกไม่เพียงพอ”
เมื่อพูดถึงภัยคุกคามทางไซเบอร์ที่ประเทศไทยมีโอกาสเจอ ดร.แก็ป ยังกล่าวอีกว่า ปัจจุบันหลายองค์กรตระหนักเรื่อง Cybersecurity และมีการลงทุนด้านเทคโนโลยี แต่มักลงทุนผิดจุด หลายบริษัทซื้อโซลูชั่นมาติดตั้งนับ 10 ตัว แต่ลืมมองไปว่าแต่ละโซลูชั่นทำงานตอบสนองแบบ Point Solution คือ 1 Solution ก็ทำงานเพื่อ 1 วัตถุประสงค์ จึงอาจไม่บูรณาการกัน ส่งผลให้ทำงานได้ไม่เต็มประสิทธิภาพ ไม่สามารถใช้ประโยชน์ได้อย่างคุ้มค่า
“ดังนั้นจึงขอสรุปว่าในอีก 1-3 ปีข้างหน้า เราจะเห็นการโจมตีที่ซับซ้อนขึ้น จะมีการใช้ AI มาค้นหาช่องโหว่เพื่อโจมตีแบบเรียลไทม์ และนอกจากนี้ ผู้ร้าย หรือผู้ที่จะโจมตีเราอาจไม่โจมตีเราโดยตรง แต่จะไปโจมตีผู้ให้บริการแทน เช่น โจมตีบริษัทคลาวด์ที่เราใช้บริการ ดังนั้นสิ่งที่เราต้องรับมือ นอกจากโซลูชั่นที่มีประสิทธิภาพแล้ว บุคลากรก็ต้องมีความรู้ความเข้าใจด้านภัยทางไซเบอร์ด้วย” ดร.แก็ป สรุป
ภัยไซเบอร์ คือ ระเบิดเวลาขององค์กร
การถูกโจมตีทางไซเบอร์มีหลายวิธี บ่อยครั้งเราอาจยังไม่รู้ว่าโดนโจมตีแล้ว (ทั้ง ๆ ที่มัลแวร์มาแฝงตัวอยู่นานนับเดือน) จึงไม่ต่างกับระเบิดเวลาที่รอทำลายองค์กร
ดร.แก็ป กล่าวว่า ระเบิดเวลาที่ว่าร้าย แต่อย่างน้อยก็ยังมีเสียงดังติ๊ก ติ๊ก เตือนภัยล่วงหน้า แต่ภัยไซเบอร์กลับไม่มีสัญญาณเตือนใด ๆ
“ถ้าพูดถึงระเบิดเวลา เราจะนึกถึงภาพยนตร์ นึกถึงระเบิดที่มีเสียง ติ๊ก ต๊อก ติ๊ก ต๊อก แต่จริง ๆ แล้ว ภัยไซเบอร์ไม่มีเสียงเตือน เพราะมันมาแฝงตัวอยู่ในระบบ ซึ่งพนักงานอาจจะเผลอคลิ๊ก email Phishing ไป แล้วมันก็คอยดักจับข้อมูล และส่งข้อมูลออกไปแบบเงียบ ๆ นานแล้ว”
นอกจากนี้ ดร.แก็ป ได้ยกตัวอย่างเพิ่มเติมว่า หากองค์กรที่ใช้ Operation Technology (OT) เป็นหลัก หรือคือเทคโนโลยีที่ใช้จัดการระบบโครงสร้างพื้นฐานหรืออุตสาหกรรม เช่น โรงไฟฟ้า ประปา โรงงานอุตสาหกรรม ถูกโจมตีทางไซเบอร์ ทำให้ผลิตไฟฟ้า ประปา ไม่ได้ เครื่องจักรหยุดทำงาน ก็จะเกิดความเสียหายมหาศาลตามมาเช่นกัน ดังนั้นจึงต้องมีระบบ Cybersecurity สำหรับ OT ด้วย
เมื่อนำนิยามระเบิดเวลามาจับกับ Cybersecurity อ่านแล้วก็รู้สึกหวาดเสียวไม่น้อย แต่ ดร.แก็ป ยังสามารถขยายความน่ากลัวของภัยคุกคามทางไซเบอร์ได้อีก โดยอธิบายว่า นอกจากข้อมูลองค์กรจะรั่วไหลแล้ว ยังกระทบกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) อีกด้วย เนื่องจาก หากข้อมูลลูกค้ารั่วไหล องค์กรก็จะถูกปรับเป็นเงินมหาศาล เรียกได้ว่าหากการป้องกันภัยคุกคามทางไซเบอร์ไม่มีประสิทธิภาพพอ ผลเสียจะมาจากรอบทิศทางเลยทีเดียว
ภัยไซเบอร์ ทำให้วางแผนธุรกิจผิดพลาด
การถูก Hack ข้อมูลว่าร้ายแล้ว การถูกบิดเบือนข้อมูลยิ่งร้ายกว่า การโจมตีทางไซเบอร์ ไม่ใช่มีแค่ขโมยข้อมูล เพราะบางครั้งผู้ประสงค์ร้ายมีเป้าหมายอื่น เช่น ต้องการทำให้องค์กรของเราตัดสินใจผิดพลาด โดยการเข้าไปแก้ไข หรือบิดเบือนข้อมูล
ข้อมูลที่ถูกบิดเบือน ส่งผลให้ผู้บริหารตัดสินใจผิดพลาด ดร.แก็ป อธิบายว่า “เดี๋ยวนี้เราใช้ AI มาช่วยวิเคราะห์ และวางแผนธุรกิจกันมากขึ้น ดังนั้นถ้า AI นำข้อมูลที่ผิดไปประมวลผล ก็จะทำให้เราตัดสินใจผิดพลาดครั้งใหญ่ได้ เช่น นำข้อมูลที่ผิดพลาดไปประเมินปล่อยสินเชื่อให้บุคคลที่ไม่น่าเชื่อถือ ก็อาจทำให้เกิดภาระหนี้เสีย เป็นต้น”
มาตรฐานทางด้าน Cybersecurity ที่น่าเชื่อถือ
แม้ภัยทางไซเบอร์มีแนวโน้มเติบโตรุนแรงอย่างก้าวกระโดด แต่หากยึดหลัก Cybersecurity ตามมาตรฐานสากลก็จะทำให้องค์กรของเราปลอดภัยได้ โดยมาตรฐานที่ ดร.แก็ป แนะนำ ประกอบด้วย 1. ISO 27001 และ 2. NIST Cybersecurity Framework
“ISO 27001 เป็นมาตรฐานชั้นนำในระดับสากลสำหรับจัดการความมั่นคงด้านสารสนเทศ ที่องค์กรทั่วโลกใช้ ส่วน NIST Cybersecurity Framework เป็น Framework ด้าน Cybersecurity ของฝั่งสหรัฐอเมริกา ซึ่ง 2 มาตรฐานนี้ใช้กันเยอะในประเทศไทย”
ความแตกต่างระหว่าง ISO 27001 กับ NIST Cybersecurity Framework
ดร.แก็ป อธิบายความแตกต่างระหว่าง ISO 27001 กับ NIST Cybersecurity Framework ไว้ ดังนี้
ISO 27001 เน้นเรื่องการบริหารความมั่นคงปลอดภัยอย่างต่อเนื่อง โดยมุ่งให้เกิดผลสำเร็จ 3 ประการหลัก ประกอบด้วย
1. การรักษาความลับ
2. รักษาความถูกต้องของข้อมูล
3. ความพร้อมใช้งาน
ข้อดี คือ มีลิสต์รายการควบคุมแบบสำเร็จรูปมาให้ แต่ละองค์กรสามารถเลือกไปใช้งานได้ตามความเหมาะสม โดยไม่ต้องใช้ทั้งหมดก็ได้ เช่น หากเป็นธนาคาร เป็นหน่วยงานภาครัฐ ก็ต้องใช้มาตรการมากตามระดับความเสี่ยง หากเป็น SME ก็เลือกตามความเหมาะสมของธุรกิจ เป็นต้น
ส่วน NIST Cybersecurity Framework เป็น Framework การรับมือและตอบสนองต่อภัยไซเบอร์ชนิดที่เรียกว่าครบวงจร ประกอบด้วย
1. Identify (การระบุความเสี่ยง)
2. Protect (การป้องกัน)
3. Detect (การตรวจจับ)
4. Respond (การตอบสนองต่อภัยคุกคาม)
5. Recover (การกู้คืนระบบ)
6. Govern (การกำกับดูแล)
จากทั้ง 6 ฟังก์ชั่นจะเห็นว่า NIST Cybersecurity Framework ครอบคลุมการป้องกันและตอบสนองต่อการโจมตีทางไซเบอร์ไว้หมด จึงเรียกว่าเป็น Cycle หรือครบวงจร เพราะมีการกำกับดูแล ระบุภัย ป้องกันภัย ตรวจจับ เมื่อตรวจจับแล้วพบภัยก็ตอบสนอง หลังจากนั้นก็กู้คืน จึงเป็นอะไรที่เข้าใจง่าย เป็นกระบวนการที่ชัดเจน นำไปปฏิบัติได้จริง
“NIST Cybersecurity Framework เหมาะสมกับธุรกิจที่เพิ่งเริ่มต้น ส่วน ISO 27001 เหมาะสำหรับองค์กรที่ต้องการยกระดับไปสู่การจัดการทางไซเบอร์ระดับสากล”
“แม้มีความแตกต่าง แต่ทั้งสองส่งเสริมกัน เพราะถ้าใครทำ ISO 27001 ก็เหมือนกับทำ NIST Cybersecurity Framework ไปแล้วประมาณ 80% แต่ถ้าไปเริ่มที่ NIST Cybersecurity Framework ก็เหมือนทำ ISO 27001 ไปแล้ว 60%” ดร.แก็ปสรุป
PDPA กับ Cybersecurity
เมื่อกล่าวถึง Cybersecurity ก็ต้องพูดถึง PDPA เนื่องจาก 2 อย่างนี้แยกกันไม่ออก เพราะแนวความคิดของการป้องกันภัยทางไซเบอร์ คือ การป้องกันข้อมูลและทรัพย์สินทางดิจิทัล ซึ่งข้อมูลส่วนบุคคลถือเป็นข้อมูลหนึ่งที่ต้องคุ้มครอง เพราะต้องเคารพสิทธิ์ของเจ้าของข้อมูล เนื่องจากเมื่อจะจัดเก็บข้อมูลส่วนบุคคลต้องมีการแจ้งขอความยินยอม และเมื่อได้รับความยินยอมแล้ว ก็ต้องเอาไปใช้ตามวัตถุประสงค์ที่แจ้ง นำไปใช้ผิดวัตถุประสงค์ไม่ได้ รวมทั้งต้องมีการป้องกันข้อมูลส่วนบุคคลไม่ให้รั่วไหล หรือถูกเข้าถึงโดยไม่ได้รับอนุญาต
ประเด็นส่งท้าย
Cybersecurity เมื่อวางแผนอย่างเหมาะสม ย่อมสร้างคุณค่าทางธุรกิจได้เหนือคู่แข่ง
สุดท้ายนี้ ดร.แก็ป กล่าวว่า “Cybersecurity ไม่ได้เป็นแค่การป้องกันความเสียหาย แต่เป็นปัจจัยที่ช่วยสร้างคุณค่าเชิงธุรกิจที่สำคัญ และยั่งยืนให้กับองค์กรได้ดีในหลาย ๆ มิติ”
พร้อมอธิบายโดยสรุปไว้ ดังนี้
1. สร้างความไว้วางใจ เพราะการจัดการ Cybersecurity ที่ดี เป็นการแสดงออกถึงความมุ่งมั่นขององค์กรในการปกป้องข้อมูลที่สำคัญให้กับลูกค้า
2. ธุรกิจดำเนินได้ต่อเนื่อง ไม่สะดุด เพราะหากมี Cybersecurity ที่ดี ก็สามารถทำงานได้อย่างต่อเนื่อง ไม่ต้องหยุดพักมาแก้ไขระบบจากภัยไซเบอร์
3. ช่วยให้ธุรกิจเติบโตอย่างยั่งยืน ในอดีตหลายองค์กรมีการจัดทำแผน Business Continuity Plan (BCP) เพื่อรับมือภัยพิบัติในรูปแบบต่าง ๆ แต่ปัจจุบันต้องนำความเสี่ยงการถูกโจมตีทางไซเบอร์มาวางแผนด้วย เพราะการโจมตีทางไซเบอร์จะมาทุกทิศทุกทาง ยิ่งเป็นการโจมตีโดยใช้ AI ยิ่งอันตราย เป็นความเสี่ยงที่มีโอกาสเกิดสูงกว่าภัยรูปแบบอื่น ผลกระทบก็รุนแรง ดังนั้นทุกองค์กรจึงต้องสร้างความภูมิคุ้มกันทาง Cybersecurity หรือที่เรียกว่า Cyber Resilience ไว้แต่เนิ่น ๆ นั่นคือไม่ใช่เพียงป้องกันให้เข้มแข็ง แต่หากถูกโจมตีจะสามารถแก้ไขได้อย่างรวดเร็วและลดผลกระทบให้น้อยที่สุด
และนี่คือบทความที่ย้ำชัดให้เห็นว่าความปลอดภัยทางไซเบอร์ ช่วยเสริมสร้างความยั่งยืนให้กับองค์กรได้จริง และเพื่อให้เห็นภาพที่ชัดเจนยิ่งขึ้น ในบทความถัดไปเราจะเจาะลึกไปถึงขั้นตอนการจัดการและแนวทางปฏิบัติจริงที่ทุกองค์กรสามารถนำไปใช้ได้ รอติดตามกันได้เลย
ช่องทางติดต่อ บริษัท เอซีอินโฟเทค จำกัด (ACinfotec)
Website: https://www.acinfotec.com/
Email: sales@acinfotec.com
โทร 02-670-8980-3
Fanpage: https://www.facebook.com/acinfotecthailand
********
Related Articles
แพลตฟอร์มที่ให้บริการคำปรึกษาด้านสุขภาพจิต โดยจิตแพทย์ และนักจิตวิทยามืออาชีพ ซึ่งให้บริการทั้งบุคคลทั่วไป และองค์กรธุรกิจมาอย่างยาวนาน เพื่อพูดคุยในประเด็นปัญหาสุขภาพจิต ว่าสามารถส่งผลกระทบต่อองค์กรอย่างไรบ้าง และ HR Tech จะมีบทบาทช่วยเหลือได้อย่างไร
25.07.2025
เพราะบุคลากร คือ ทรัพยากรที่สำคัญ ดังนั้นในทุกองค์กรจึงต้องมีการบริหารทรัพยากรมนุษย์อย่างมีคุณภาพ เพื่อให้พนักงานใช้ความสามารถของเขาได้อย่างเต็มประสิทธิภาพ และเป็นส่วนสำคัญในการขับเคลื่อนองค์กรสู่ความสำเร็จ
17.07.2025
ด้วยเทคโนโลยีปัญญาประดิษฐ์ในปัจจุบัน ส่งผลให้กล้องวงจรปิดมีความเป็นอัจฉริยะมากขึ้น ไม่ใช่แค่บันทึกภาพรอไว้เปิดดูภายหลัง หรือดูผ่านออนไลน์ ส่งเสียงพูดคุยกันได้เท่านั้น แต่มันยังทำหน้าที่รักษาความปลอดภายในขั้นตอนต่าง ๆ ได้อีกด้วย
05.08.2025
