RAIU

AI เพิ่มความเสี่ยง 'แอป' ล้นองค์กร เปิด 'จุดบอดไซเบอร์'

การขยายตัวของแอปพลิเคชันองค์กรกำลังกลายเป็น “ความเสี่ยงเชิงโครงสร้าง” ด้านไซเบอร์ในภูมิภาคเอเชียแปซิฟิก

ผลวิจัยล่าสุดพบว่า ธุรกิจจำนวนมากใช้งานแอปพลิเคชันกระจัดกระจายเกินกว่าระบบกำกับดูแลข้อมูลประจำตัว (Credential Governance) จะรองรับได้ทัน

โดยเฉพาะกลุ่มธุรกิจขนาดกลางและขนาดเล็ก (SMB) ที่ยังขาดทั้งบุคลากร เครื่องมือ และการมองเห็นสิทธิ์เข้าถึงข้อมูลอย่างครบถ้วน

รายงาน “State of Workforce Password Security 2026” ซึ่งจัดทำโดย Tigon Advisory Corp. ในนามของ Zoho สำรวจผู้ตอบแบบสอบถามกว่า 3,322 ราย ครอบคลุม 9 ภูมิภาค 6 อุตสาหกรรม และ 12 ตำแหน่งงานทั่วโลก สะท้อนภาพตรงกันว่า องค์กรจำนวนมากตระหนักถึงภัยไซเบอร์มากขึ้น แต่โครงสร้างการจัดการอัตลักษณ์และสิทธิ์เข้าถึงยังล้าหลังกว่าความซับซ้อนของสภาพแวดล้อมดิจิทัลที่กำลังเติบโตอย่างรวดเร็ว

หนึ่งในประเด็นสำคัญคือ “Application Sprawl” หรือการใช้งานแอปพลิเคชันจำนวนมากแบบไร้ศูนย์กลาง ซึ่งเพิ่มพื้นที่โจมตีทางไซเบอร์ (Attack Surface) อย่างต่อเนื่อง

ปัญหาไม่ใช่งบประมาณ

ผลสำรวจพบว่า 64% ขององค์กรในเอเชียแปซิฟิก ใช้งานแอปพลิเคชันทางธุรกิจมากกว่า 15 ระบบ สูงกว่าค่าเฉลี่ยโลก 5 จุด และถือเป็นภูมิภาคที่มีการกระจายตัวของแอปสูงเป็นอันดับสองของโลก ขณะที่พนักงานจำนวนมากต้องล็อกอินเข้าใช้งานหลายระบบในแต่ละวัน ทั้งในรูปแบบการทำงานในสำนักงาน ไฮบริด และรีโมต

แม้องค์กรจะเพิ่มงบลงทุนด้านความปลอดภัย แต่รายงานระบุว่า “ปัญหาหลักไม่ใช่งบประมาณ” หากเป็นความซับซ้อนของสถาปัตยกรรมไอทีเดิม (Legacy Infrastructure) ที่ทำให้การควบคุมสิทธิ์เข้าถึงและการมองเห็นข้อมูลประจำตัวยังไม่เชื่อมต่อกัน

ข้อมูลชี้ว่า 73% ขององค์กรในเอเชียแปซิฟิก ยังไม่มี “Identity Visibility” ที่ครบถ้วน หมายถึงไม่สามารถติดตามได้ชัดเจนว่า ใครเข้าถึงระบบใดอยู่บ้าง มีบัญชีใดถูกปล่อยทิ้ง หรือมีสิทธิ์ใดที่ไม่มีเอกสารกำกับ

อีกด้าน 74% ขององค์กรในภูมิภาคมีแผนเพิ่มงบด้านความปลอดภัยในปี 2569 สูงกว่าค่าเฉลี่ยโลก ขณะที่ 66% ยังไม่ได้นำแนวคิด Zero Trust มาใช้อย่างจริงจัง แม้หลายองค์กรระบุว่าจะเริ่มดำเนินการภายใน 1-3 ปีข้างหน้า

ภาพดังกล่าวสะท้อนความย้อนแย้งสำคัญของตลาดไซเบอร์ในปัจจุบัน คือ “การรับรู้ความเสี่ยงเพิ่มขึ้นเร็วกว่าความสามารถในการจัดการ”

เสี่ยงสูง รับมือ AI ยังไม่ทัน

รายงานยังพบว่า 32% ขององค์กรใน เอเชียแปซิฟิก เคยเผชิญการโจมตีทางไซเบอร์ในช่วง 12 เดือนที่ผ่านมา ขณะที่อีกส่วนหนึ่งไม่สามารถยืนยันได้ด้วยซ้ำว่าระบบของตนถูกโจมตีหรือไม่ ซึ่งสะท้อนปัญหาการตรวจจับและการเฝ้าระวังที่ยังไม่สมบูรณ์

อีกมิติที่น่าสนใจคือบทบาทของ AI ในระบบความปลอดภัยไซเบอร์ แม้ 91% ขององค์กรใน เอเชียแปซิฟิก เชื่อว่า AI จะช่วยยกระดับความปลอดภัยได้ แต่มีเพียง 8% ของธุรกิจทั่วโลกที่ถูกประเมินว่า “พร้อมใช้งานจริง” สำหรับระบบรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI

ช่องว่างดังกล่าวสะท้อนว่าหลายองค์กรยังอยู่ในช่วง “เชื่อมั่นเชิงแนวคิด” มากกว่าการปรับโครงสร้างพื้นฐานเพื่อรองรับ AI อย่างแท้จริง

องค์กรส่วนใหญ่ให้ความสำคัญกับ AI ในการตรวจจับความผิดปกติและภัยคุกคาม มากกว่าการใช้ AI เพื่อควบคุมสิทธิ์เข้าถึงแบบอิงความเสี่ยง (Risk-based Access Control) ซึ่งสะท้อนว่า ตลาดยังมอง AI ในฐานะ “เครื่องมือตรวจจับ” มากกว่า “แกนกลางของสถาปัตยกรรมความปลอดภัย”

แข่งกันที่ 'สถาปัตยกรรมดิจิทัล'

สำหรับ อุปสรรคสำคัญต่อการนำ AI มาใช้ ไม่ใช่ต้นทุน แต่คือโครงสร้างระบบเดิมที่แยกส่วนและยากต่อการเชื่อมต่อ โดย 52% ของผู้ตอบแบบสอบถามทั่วโลกมองว่า Legacy Infrastructure เป็นข้อจำกัดหลัก ขณะที่ 48% ระบุว่าการย้ายระบบมีความซับซ้อนสูง

แนวโน้มนี้มีนัยสำคัญต่อ เอเชียแปซิฟิกซึ่งเป็นภูมิภาคที่เศรษฐกิจจำนวนมากขับเคลื่อนโดย SMB แต่ธุรกิจขนาดเล็กกลับเป็นกลุ่มที่มี “จุดบอดด้านข้อมูลประจำตัว” สูงที่สุด

ผู้ตอบแบบสอบถามมากกว่าครึ่งในองค์กรที่มีพนักงานต่ำกว่า 250 คน ระบุว่าไม่มีทีมความปลอดภัยเฉพาะทาง หลายองค์กรยังใช้สเปรดชีต การจัดการด้วยมือ หรือแนวทางไม่เป็นทางการในการดูแลรหัสผ่านและสิทธิ์เข้าถึงระบบ

ในเชิงยุทธศาสตร์ นี่หมายความว่า ความเสี่ยงไซเบอร์ไม่ได้กระจุกอยู่เฉพาะองค์กรขนาดใหญ่ แต่กำลังกระจายไปยังห่วงโซ่ธุรกิจทั้งหมด ผ่านคู่ค้า ซัพพลายเออร์ และระบบเชื่อมต่อระหว่างองค์กร

ประเด็นสำคัญไม่ใช่ “องค์กรควรลงทุนเพิ่มหรือไม่” แต่คือ "การลงทุนอย่างไรให้ลดความซับซ้อนของระบบลงได้จริง" เพราะในยุคที่พนักงานหนึ่งคนใช้งานหลายสิบแอปพลิเคชันต่อวัน ความเสี่ยงไม่ได้เกิดจากรหัสผ่านอ่อนแอเพียงอย่างเดียว แต่เกิดจากการที่องค์กรไม่สามารถมองเห็น “อัตลักษณ์ดิจิทัล” ของตนเองได้ครบถ้วนอีกต่อไป

ในระยะต่อไป ประเด็นความปลอดภัยไซเบอร์จึงอาจไม่ใช่การแข่งขันเรื่องเครื่องมือป้องกันที่ล้ำสมัยที่สุด แต่เป็นการแข่งขันด้าน “สถาปัตยกรรมดิจิทัล” ว่าองค์กรใดสามารถลดความกระจัดกระจายของระบบ เชื่อมข้อมูลอัตลักษณ์เข้าหากัน และสร้างโครงสร้างพื้นฐานที่พร้อมรองรับ AI ได้ก่อนกันมากกว่า

ที่มา : กรุงเทพธุรกิจ

วันที่ 13 พ.ค. 2569