สกมช.ดัน ระบบยืนยันตัวตน 2 ชั้น รับมือภัย AI ชงครม.เดือน ก.ค. นี้
สกมช.เตรียมดัน ระบบยืนยันตัวตน 2 ชั้น เข้า ครม.อุดช่องโหว่หน่วยงานรัฐใช้การเข้ารหัสแค่ยูสเซอร์เนม พาสเวิร์ด ถูกเดาง่าย ล้วงข้อมูลประชาชน
พล.อ.ต.อมร ชมเชย เลขาธิการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเผยว่า การผลักดันมาตรการยืนยันตัวตนหลายปัจจัย หรือ Multi-Factor Authentication: MFA สำหรับระบบสำคัญของภาครัฐ เป็นสิ่งจำเป็น เนื่องจากการใช้รหัสผ่านเพียงชั้นเดียวไม่เพียงพออีกต่อไป ท่ามกลางความเสี่ยงจากข้อมูลบัญชีผู้ใช้รั่วไหล การโจมตีแบบเดาสุ่ม และการใช้เครื่องมืออัตโนมัติหรือ AI ช่วยเพิ่มประสิทธิภาพการโจมตี
ภายใน 2 สัปดาห์จากนี้ หรือ เดือน ก.ค.เราจะนำเสนอครม.ให้มีการใช้มาตรฐานการยืนยันตัวตน 2 ชั้น แทนการใช้รหัสผ่านแบบเดิม เพียงแค่ ยูสเซอร์เนม พาสเวิร์ด ควรเพิ่มการใช้งานแบบอื่นร่วมด้วย เช่น THAID หรือ OTP เพราะเป็นสิ่งที่แฮกเกอร์เดาได้ง่าย เพื่อนำไปล้วงข้อมูลของประชาชน
ยกตัวอย่างภัยไซเบอร์ในต่างประเทศพบว่า AI เริ่มถูกนำมาใช้สนับสนุนการโจมตีอย่างเหตุที่เกิดขึ้นในเม็กซิโก ซึ่งมีข้อมูลรั่วไหลราว 150 กิกะไบต์ จาก 5 ระบบของหน่วยงานรัฐ และกระทบประชาชนกว่า 190 ล้านคน โดยผู้โจมตีเป็นแฮกเกอร์รายเดียวที่ใช้ AI ช่วยวิเคราะห์แนวทางโจมตีระบบ ผ่านการตั้งคำถามในลักษณะจำลองบทบาทงานด้านความปลอดภัย ไม่ได้ถามตรงๆ ว่าจะเจาะระบบอย่างไร แต่ค่อยๆ ขอคำแนะนำเป็นขั้นตอนจนสามารถขโมยข้อมูลออกไปได้
กรณีดังกล่าวสะท้อนว่า AI-enabled Attack หรือการโจมตีที่มี AI เป็นตัวช่วย ไม่ใช่ภาพอนาคตอีกต่อไป แต่เริ่มเกิดขึ้นจริงแล้ว เพราะผู้โจมตีสามารถใช้ AI ช่วยวิเคราะห์ช่องโหว่ ทดลองแนวทางโจมตี และเร่งความเร็วของกระบวนการแฮกได้มากขึ้น จากเดิมที่การโจมตีจำนวนมากอาจเป็นรูปแบบเดิมซ้ำๆ แต่ปัจจุบันเริ่มเห็นพฤติกรรมที่ซับซ้อนขึ้น ทั้งการทดลองโจมตีหลายระบบ หลายเทคนิค และการปรับวิธีไปตามผลลัพธ์ที่พบ
ขณะเดียวกัน กรณีที่คนอ่านทั่วไปเห็นภาพชัดที่สุดคือเหตุหลอกลวงด้วย Deepfake ในสิงคโปร์ หลังมีผู้เสียหายถูกหลอกให้เข้าร่วมประชุมออนไลน์ที่อ้างว่าเป็นการพูดคุยกับนายกรัฐมนตรีสิงคโปร์ ก่อนสูญเงินไป 4.9 ล้านดอลลาร์สิงคโปร์ โดยขบวนการไม่ได้หลอกแบบสุ่ม แต่มีการศึกษาข้อมูลเป้าหมายล่วงหน้า ส่งคำเชิญอย่างเป็นทางการ สร้างเรื่องราวเฉพาะบุคคล และใช้ภาพกับเสียงที่สร้างด้วย AI เพื่อเพิ่มความน่าเชื่อถือ
ยิ่งไปกว่านั้น ขบวนการดังกล่าวไม่ได้ใช้เพียง Deepfake บุคคลสำคัญคนเดียว แต่สร้างองค์ประกอบให้การประชุมดูสมจริงขึ้น ทั้งผู้เชี่ยวชาญที่มาบรีฟสถานการณ์และพิธีกรคอยซักถาม ทำให้เหยื่อรู้สึกว่ากำลังอยู่ในวงสนทนาที่เป็นทางการจริง กรณีนี้จึงสะท้อนว่า Deepfake กำลังเปลี่ยนจากการปลอมใบหน้าและเสียง ไปสู่การหลอกลวงแบบมีโครงเรื่อง มีการปรับข้อความตามเหยื่อแต่ละราย และใช้ AI ทำให้กระบวนการทั้งหมดดูน่าเชื่อถือกว่าการหลอกออนไลน์แบบเดิม
จากบทเรียนเหล่านี้ สกมช. จึงให้ความสำคัญกับ AI Security ภายใต้แนวคิด “AI เพื่อการปกป้อง และการปกป้อง AI” หรือ AI for Security and Security for AI โดยมองว่า AI ไม่ได้เป็นเพียงเครื่องมือช่วยป้องกันภัยไซเบอร์ แต่ยังเป็นเครื่องมือที่ผู้โจมตีสามารถนำไปใช้ค้นหาช่องโหว่ สร้างรูปแบบโจมตีใหม่ หรือผลิต Deepfake เพื่อหลอกลวงประชาชนและองค์กรได้เช่นกัน
