ภัยคุกคาม Deepfake ในปี 2025: ทำไมองค์กรจึงไม่ควรมองข้าม?
ในยุคที่เทคโนโลยีปัญญาประดิษฐ์ (AI) ก้าวหน้าอย่างรวดเร็ว อาชญากรไซเบอร์ก็ใช้ประโยชน์จากเครื่องมือเหล่านี้เพื่อสร้างสรรค์ภัยคุกคามที่แนบเนียนยิ่งขึ้น โดยเฉพาะอย่างยิ่ง Deepfake หรือสื่อสังเคราะห์ที่สร้างขึ้นจาก AI ซึ่งปลอมแปลงภาพ เสียง และวิดีโอได้อย่างสมจริงจนแทบแยกไม่ออกจากของจริง ข้อมูลจากการสังเกตการณ์ในเดือน Cybersecurity Awareness Month 2025 ชี้ชัดว่า ภัย Deepfake ได้กลายเป็นอาวุธสำคัญในกลยุทธ์ Social Engineering ของผู้ไม่หวังดี
คุณมั่นใจหรือไม่ว่าคำสั่งโอนเงินเร่งด่วนที่คุณได้รับทางวิดีโอคอลนั้นมาจาก CEO ตัวจริง? ในปี 2025 นี้ องค์กรต่างๆ ไม่สามารถยึดถือเพียงแค่การเห็นหน้าหรือได้ยินเสียงในการยืนยันตัวตนอีกต่อไป เพราะความเสียหายที่เกิดขึ้นอาจรุนแรง ตั้งแต่การสูญเสียทางการเงินมูลค่ามหาศาล (มีรายงานกรณีที่วิดีโอ/เสียง Deepfake ของ CEO ถูกใช้หลอกทีมการเงินให้โอนเงินหลายสิบล้านดอลลาร์) ไปจนถึงความเสียหายต่อชื่อเสียงและผลกระทบทางกฎหมาย
3 จุดสำคัญที่ธุรกิจต้องเสริมเกราะป้องกัน Deepfake
1. กลโกงปลอมแปลงผู้บริหารและการฉ้อโกงทางการเงิน
ภัยคุกคามที่พบบ่อยที่สุดคือการปลอมแปลงเป็นผู้บริหารระดับสูง (CEO Impersonation) เพื่อออกคำสั่งเร่งด่วน เช่น การโอนเงิน การเปลี่ยนแปลงข้อมูลบัญชี หรือการขอข้อมูลลับ การโจมตีประเภทนี้มักใช้ Deepfake Audio หรือ Video เพื่อสร้างความน่าเชื่อถือสูงสุด องค์กรจึงต้องยกระดับพิธีการและโปรโตคอลการตรวจสอบความถูกต้อง:
- ตั้งรหัสยืนยันลับ (Out-of-Band Verification): ควรกำหนดรหัสหรือขั้นตอนการยืนยันตัวตนพิเศษสำหรับการทำธุรกรรมทางการเงินหรือคำสั่งที่สำคัญ ซึ่งต้องยืนยันผ่านช่องทางอื่นที่ไม่ใช่ช่องทางที่ได้รับคำสั่งมา (เช่น โทรกลับไปยังเบอร์ทางการ ไม่ใช่เบอร์ที่โทรเข้ามา)
- ฝึกอบรมให้พนักงานเกิด “Professional Skepticism”: สอนให้พนักงานรู้จัก “หยุด คิด ตรวจสอบ” (Pause, Question, Verify) ทุกครั้งที่ได้รับคำสั่งที่ผิดปกติ มีความเร่งด่วน หรือขอข้อมูลที่ละเอียดอ่อน
2. ผลกระทบต่อชื่อเสียงและการบิดเบือนข้อมูล
Deepfake ไม่เพียงแต่ใช้ในการฉ้อโกงเท่านั้น แต่ยังถูกนำไปใช้เพื่อทำลายชื่อเสียงองค์กรด้วยการเผยแพร่ข่าวปลอม (Fake News) หรือสร้างวิดีโอ/เสียงปลอมของบุคคลสำคัญในองค์กรเพื่อบิดเบือนข้อเท็จจริง สิ่งนี้จะส่งผลกระทบต่อความน่าเชื่อถือของแบรนด์อย่างรวดเร็วและรุนแรง การป้องกันที่ดีที่สุดคือการมีแผนรับมือเหตุการณ์ (Incident Response Plan) ที่ครอบคลุมการจัดการการสื่อสารในภาวะวิกฤต และการใช้เครื่องมือ Reverse Image/Video Search เพื่อตรวจสอบความถูกต้องของสื่อที่น่าสงสัย
3. การรับมือด้านกฎหมายและมาตรการกำกับดูแล
เนื่องจากภัย Deepfake ทวีความรุนแรงขึ้น รัฐบาลและหน่วยงานกำกับดูแลหลายแห่งจึงเริ่มออกกฎหมายและข้อบังคับที่เกี่ยวข้องกับ AI และ Deepfake อย่างจริงจังมากขึ้น เช่น The Digital Operational Resilience Act (DORA) และ The AI Act ในสหภาพยุโรป องค์กรจึงต้องเตรียมความพร้อมด้านกฎหมาย (Legal and Regulatory Readiness) เพื่อให้มั่นใจว่ามาตรการรักษาความปลอดภัยและนโยบายการกำกับดูแลภายในสอดคล้องกับกรอบกฎหมายใหม่ๆ ที่กำลังจะเกิดขึ้น
สรุปและก้าวไปข้างหน้า: จาก “ความตระหนัก” สู่ “ความพร้อม”
Cybersecurity Awareness Month 2025 เน้นย้ำว่า การมีความตระหนักรู้เป็นเพียงก้าวแรก องค์กรต้องเปลี่ยนจากแค่ “รู้” ว่า Deepfake คือภัย มาเป็น “พร้อมรับมือ” อย่างแท้จริง การลงทุนในเทคโนโลยีตรวจจับ Deepfake (Deepfake Detection) ที่ขับเคลื่อนด้วย AI และการใช้ Biometric Security ที่ซับซ้อนขึ้นจึงเป็นสิ่งจำเป็น แต่สิ่งที่สำคัญที่สุดคือการพัฒนา “กำแพงมนุษย์” ด้วยการฝึกอบรมพนักงานให้เข้าใจถึงความซับซ้อนของการโจมตีทางสังคมที่ผสานกับ AI
อย่ารอให้ธุรกิจของคุณตกเป็นเหยื่อของการปลอมแปลงที่สมจริงเกินกว่าจะรับมือได้ ถึงเวลาแล้วที่จะต้องยกระดับมาตรการความมั่นคงปลอดภัยของคุณให้ “ก้าวล้ำหน้า” กว่าผู้ไม่หวังดี
อ้างอิงจาก : Law.com