ของมีค่าของคุณย้ายบ้านไปแล้ว — และโจรก็ตามไปด้วย#

เอาตรงๆ ครับ ถ้าย้อนกลับไปสัก 20 ปีที่แล้ว ถามคุณตาคุณยายว่า “ของมีค่าที่สุดในบ้านคืออะไร” คำตอบน่าจะเป็น ทองในตู้เซฟ โฉนดที่ดิน สมุดบัญชีธนาคาร แล้วก็จบ ของพวกนี้มีจุดร่วมคือ “จับต้องได้” และ “อยู่ในบ้าน” โจรจะมาเอาได้ก็ต้องเดินทางมาที่บ้าน งัดประตู ตัดเหล็กดัด เจอหมาเห่า เพื่อนบ้านได้ยินก็โทรแจ้งตำรวจ — ความยากของการขโมยมัน “scale ขึ้นไม่ได้”

แต่ตอนนี้ของมีค่าของคุณมันย้ายบ้านไปอยู่ที่อื่นเกือบหมดแล้วครับ ลองนั่งนึกดูจริงๆ ของในเซฟดิจิทัลของคุณตอนนี้มีอะไรบ้าง — บัญชี LINE ที่มีรูปลูก รูปคู่รัก แชทธุรกิจ 5 ปีย้อนหลัง / เฟซบุ๊กที่เพื่อนคุณ 3,000 คนเชื่อว่าเป็นคุณจริงๆ / Google Drive ที่มีงานทุกชิ้นที่ทำมา / mobile banking ที่กดโอนได้ในนิ้วเดียว / Gmail ที่ถ้าใครเข้าได้ = reset password ของทุกบริการในชีวิตคุณได้ทั้งหมด

ของพวกนี้บางอย่าง “มีมูลค่าตรง” (เช่น เงินในบัญชี) แต่หลายอย่าง “มีมูลค่าเชิงสัมพันธ์” (relational value เช่น ใช้บัญชี LINE คุณส่งข้อความหลอกแม่คุณว่าลูกเดือดร้อนขอยืมเงินด่วน) และที่สำคัญที่สุดคือ ตัวตนดิจิทัล (digital identity) ของคุณเอง รูปหน้าคุณในกล้องมือถือ เสียงคุณใน voice note ลายเซ็นคุณในเอกสาร สามารถถูกประกอบเป็น “คุณปลอม” ที่ไปยืมเงินจากเพื่อน หลอกลูกค้า หรือเซ็นสัญญาในนามคุณได้

ลองคิดเปรียบเทียบกับคุณตาคุณยายอีกครั้งครับ เมื่อก่อนถ้าโจรอยากปลอมเป็นคุณตา เขาต้องหาคนหน้าเหมือนคุณตา + เสียงเหมือนคุณตา + ลายมือเหมือนคุณตา แทบเป็นไปไม่ได้ ตอนนี้โจรแค่ต้องการคลิป TikTok ของคุณ 30 วินาที + รูปใน Facebook 5 รูป + ตัวอย่างลายเซ็นจากเอกสารราชการที่หลุดในเว็บมืดสักที่ AI ประกอบให้เหลือเฟือ ของที่เมื่อก่อน “ปลอมไม่ได้” ตอนนี้ “ปลอมได้ในไม่กี่ชั่วโมง”

ส่วนฝั่งโจร เมื่อก่อนต้องมาที่บ้าน ตอนนี้นั่งร้านเน็ตในประเทศที่ไกลออกไป 8,000 กิโลเมตรก็ปล้นคุณได้ครับ และที่หนักกว่านั้นคือ AI (ปัญญาประดิษฐ์) ทำให้โจรเก่งขึ้นแบบก้าวกระโดด เมื่อก่อนถ้าจะส่งอีเมล phishing (อีเมลปลอมหลอกให้กดลิงก์) เป็นภาษาไทย ก็ต้องจ้างคนไทยเขียน — ราคาแพง ปริมาณจำกัด ภาษาก็ยังเขี้ยวๆ ตอนนี้ ChatGPT เขียนอีเมลไทยที่ใช้คำสุภาพแบบเลขาผู้บริหารได้ใน 5 วินาที ส่งเป็น 100,000 ฉบับ มี persona ต่างกันทุกฉบับ ราคาเกือบฟรี

Deepfake (วิดีโอ/เสียงปลอมที่ AI สร้างเลียนแบบคนจริง) ก็เปลี่ยนเกม เคสที่ฮ่องกงต้นปี 2024 พนักงานฝ่ายการเงินของบริษัทออกแบบวิศวกรรมข้ามชาติ (สำนักงานใหญ่ที่ลอนดอน สาขาที่ฮ่องกง) เข้าประชุม video call กับ “CFO” + “ผู้บริหารคนอื่นๆ” ทั้งห้อง พูดคุยปกติ สั่งให้โอน 200 ล้านดอลลาร์ฮ่องกง (~25 ล้านดอลลาร์สหรัฐ) ออกเป็น 15 ครั้งในวันเดียว ทุกคนในจอเป็น deepfake ทั้งหมด พนักงานคนเดียวเป็นคนจริงในห้องประชุมนั้น 555+ ฟังดูเหมือนหนังแต่เกิดจริง ตำรวจฮ่องกงแถลงข่าวยืนยันเมื่อ 4 กุมภาพันธ์ 2024 ตอนนี้ตัวสร้าง deepfake แบบนั้นมีของฟรีให้โหลด ใช้เครื่องเล่นเกมรันได้

ผมอยากให้คุณจำตัวเลขนี้ไว้ IBM ออกรายงานทุกปีชื่อ Cost of a Data Breach Report (รายงานต้นทุนของเหตุการณ์ข้อมูลรั่ว เป็นรายงานที่ทุกคนในวงการอ่าน) เขาบอกว่าค่าเสียหายเฉลี่ยของ data breach (เหตุการณ์ข้อมูลรั่ว) ของบริษัทระดับโลกตอนนี้อยู่ที่ เกือบ 5 ล้านดอลลาร์ต่อครั้ง และเพิ่มขึ้นทุกปี ที่น่ากลัวคือเวลาตั้งแต่โดนแฮกจนรู้ตัว เฉลี่ย 200 กว่าวัน เกือบ 7 เดือนที่โจรอยู่ในบ้านคุณก่อนคุณรู้ตัว

มุมผู้บริหาร: ของมีค่าของบริษัทคุณเปลี่ยนรูปไปแล้ว เมื่อก่อนเป็นสต็อกของในโกดัง ตอนนี้คือฐานข้อมูลลูกค้า แชทพนักงานในไลน์กลุ่ม ไฟล์ design ใน cloud บัญชี admin ของ Facebook page ที่มีลูกค้าตาม 200,000 คน ถามตัวเองข้อเดียว ถ้าทั้งหมดนี้อยู่ในมือคู่แข่ง หรืออยู่ในมือคนที่อยากเรียกค่าไถ่ พรุ่งนี้เช้าคุณยังเปิดร้านได้ปกติไหม? ถ้าตอบ “ไม่” แปลว่าเรื่องนี้ใหญ่กว่าที่คิด

โจรคือใคร — และทำไม “ผมไม่มีอะไรน่าขโมย” คือคำตอบที่อันตรายที่สุด#

เวลามีคนชวนคุยเรื่อง cybersecurity กับคนที่ไม่ได้อยู่สาย IT คำตอบที่เจอได้บ่อยที่สุดคือ “ผมไม่ใช่บริษัทใหญ่ ผมเป็นแค่ร้านขายของออนไลน์เล็กๆ ไม่มีอะไรน่าขโมยหรอก” ฟังดูสมเหตุสมผลครับ แต่ผมขอบอกตรงๆ ว่ามันคือ mindset ที่ทำให้คุณกลายเป็น เหยื่อในอุดมคติ ของโจรยุคนี้ เพราะคุณคิดว่าไม่ต้องล็อกประตู

ก่อนจะอธิบายว่าทำไม ขอแนะนำให้รู้จักโจรในเมืองนี้ก่อน เพราะ “โจร” ไม่ใช่คนเดียวกันทั้งหมด มันเหมือนสัตว์ในป่า มีเสือ มีหมาป่า มีจิ้งจอก มีนกแร้ง แต่ละตัวล่าเหยื่อต่างวิธี ของกินก็ต่างกัน

• ประเภทที่ 1 — เด็กแว้นดิจิทัล (script kiddie) เด็กวัยรุ่นที่เพิ่งหัดใช้เครื่องมือแฮกฟรีๆ ในอินเทอร์เน็ต ส่วนใหญ่ไม่ได้อยากขโมยอะไรจริงจัง แค่อยากลองของ อยากอวดเพื่อน อยากเห็นว่าเข้าได้จริงไหม กลุ่มนี้อันตรายน้อยที่สุดในแง่แรงจูงใจ แต่อันตรายมากในแง่ปริมาณ เพราะมีเยอะมากและยิงสุ่มไปทั่ว ถ้าประตูคุณเปิดอยู่พอดี โดนแน่นอน
• ประเภทที่ 2 — แก๊งโจรอาชีพ (cybercrime gang) กลุ่มนี้ทำเป็นธุรกิจครับ มีออฟฟิศจริง มีฝ่าย HR มีตารางทำงาน 9-to-5 มี customer support ให้เหยื่อที่จ่ายค่าไถ่ไม่เป็น โมเดลธุรกิจชัดเจน ทั้งแรนซัมแวร์ (ransomware คือมัลแวร์ที่ล็อกไฟล์เรียกค่าไถ่) ขโมยข้อมูลบัตรเครดิตขายต่อ และรับจ้างแฮก 90% ของ data breach ทั่วโลกมาจากกลุ่มนี้ และ motive เดียวคือเงิน ไม่ใช่อุดมการณ์ ไม่ใช่ความเกลียดชัง เงินล้วนๆ
• ประเภทที่ 3 — หน่วยข่าวกรองรัฐ (nation-state actor) กลุ่มนี้ทำงานให้รัฐบาลของประเทศที่อยากรู้ความลับของประเทศอื่น หรืออยากทำลายโครงสร้างพื้นฐานของศัตรู เคสดังที่สุดคือ Stuxnet ที่อเมริกา-อิสราเอลใช้ทำลายเครื่องปั่นยูเรเนียมของอิหร่าน หรือ SolarWinds ที่รัสเซียแอบฝัง malware ไว้ในซอฟต์แวร์ที่ Fortune 500 ทั้งครึ่งโลกใช้ กลุ่มนี้คุณไม่ใช่เป้าโดยตรงหรอก (เว้นแต่คุณทำงานในกระทรวงกลาโหม) แต่ “ของฟรี” จากกลุ่มนี้ เช่น เครื่องมือที่หลุดออกมา จะตกลงไปอยู่ในมือกลุ่ม 1 และ 2 ในที่สุด

ทีนี้กลับมาคำถาม “ผมไม่มีอะไรน่าขโมย” ครับ ความจริงคือ คุณมีของน่าขโมย แต่มันไม่ใช่ของที่คุณคิด

ลองคิดดู ถ้าโจรเข้าถึงบัญชี LINE คุณได้ เขาไม่ได้สนรูปลูกคุณหรอก เขาจะส่งข้อความหา 200 contact ในไลน์คุณว่า “เพื่อน เดือดร้อนด่วน ยืม 5,000 พรุ่งนี้คืน” ใน 200 คนนั้น ถ้ามี 3 คนหลงเชื่อ เขาได้ 15,000 บาท ถ้าทำกับบัญชี 1,000 บัญชีต่อวัน = 15 ล้านบาทต่อวัน นี่คือเศรษฐศาสตร์ของโจรยุคนี้ เขาไม่ต้องการเหยื่อรวย เขาต้องการ “เหยื่อที่ scale ได้” คือเหยื่อจำนวนมากที่ไม่ระวัง

ถ้าโจรเข้าถึงคอมที่บ้านคุณได้ เขาจะไม่สนเอกสารคุณ แต่จะเอาเครื่องคุณไปเป็น botnet (กองทัพคอมซอมบี้) ใช้ยิง DDoS โจมตีเว็บอื่น ใช้ส่งสแปม ใช้ขุดคริปโต คุณไม่รู้ตัวด้วยซ้ำ แค่รู้ว่าค่าไฟแพงขึ้น เน็ตช้าลง

ถ้าโจรเข้าถึงเพจร้านคุณได้ เขาจะไม่สนสินค้าคุณ เขาจะเปลี่ยนเลขบัญชีปลายทางในโพสต์เก่าที่มียอด engagement สูง ลูกค้าคุณจะโอนเงินเข้าบัญชีโจร 2-3 วันกว่าคุณจะรู้ตัว

นี่คือสาเหตุที่ผมบอกว่า “ผมไม่มีอะไรน่าขโมย” คือคำตอบที่อันตรายที่สุดครับ เพราะมันแปลงเป็นภาษาโจรได้ว่า “ผมไม่ระวัง” ซึ่งสำหรับโจรที่ทำงานแบบยิงสุ่มเป็นล้านครั้งต่อวัน คุณคือเป้าในฝัน

มุมผู้บริหาร: ลองนั่งเขียนรายการ “ของในเซฟดิจิทัล” ของบริษัทคุณ ทั้ง admin account ของ Facebook page, รหัส mobile banking ของบัญชีบริษัท, ฐานข้อมูลลูกค้าที่มีเบอร์โทร + ที่อยู่, LINE OA ที่ลูกค้าทักเข้ามาเป็นพันคน ทีนี้สมมติว่าทั้งหมดอยู่ในมือคนที่ไม่หวังดี ความเสียหายจริงๆ คือเท่าไหร่? ไม่ใช่แค่เงินที่หาย แต่รวมค่าฟ้องร้องจากลูกค้าที่ข้อมูลรั่ว ค่าชื่อเสียงที่เสีย ค่าเวลาที่ต้องหยุดร้านมาแก้ปัญหา ถ้าตัวเลขนี้เกินค่า security awareness training ของพนักงาน 1 รอบ แปลว่าคุณ under-invest ในเรื่องนี้

ป้อมปราการที่ดีที่สุด พังเพราะยามเปิดประตูเอง#

เอาล่ะ สมมติว่าคุณยอมรับแล้วว่าเรื่องนี้สำคัญ คำถามถัดมาที่ผู้บริหารส่วนใหญ่ถามคือ “งั้นซื้ออะไรดี?” คำตอบในใจของคุณน่าจะเป็น firewall ตัวแพงๆ ระบบ antivirus ระดับองค์กร เครื่องตรวจจับ malware ยี่ห้อดัง ฟังดูเข้าท่า แต่ผมต้องบอกตรงๆ ว่านี่คือกับดักที่บริษัทไทยส่วนใหญ่ตกอยู่

ลองนึกภาพป้อมปราการในหนังย้อนยุค มีกำแพงสูง 10 เมตร มีคูน้ำลึก 5 เมตร มีปืนใหญ่บนหอคอย มียามถือดาบเรียงรายตามแนวกำแพง ดูป้อมแบบนี้แล้วเราคิดว่ายังไงก็ไม่มีใครเข้าได้ ใช่ไหมครับ ทีนี้สมมติว่าวันหนึ่งมีคนเดินมาเคาะประตูป้อม บอกยามว่า “ผมมาส่งของจากท่านขุนเมือง” ยามไม่ได้เช็คอะไร เปิดประตูให้ โจรเข้ามาในป้อมได้ทันที กำแพง 10 เมตรไร้ความหมาย ปืนใหญ่ไม่ได้ใช้ คูน้ำเสียเปล่า

นี่คือสิ่งที่เกิดขึ้นกับ data breach ส่วนใหญ่ในโลก รายงานของ Verizon (Data Breach Investigations Report อีกหนึ่งรายงานหลักของวงการ คนละเล่มกับ IBM ที่อ้างไปข้างบน) ปี 2024 บอกว่า กว่า 68% ของ breach มี “human element” คือมีคนเผลอกดอะไร หลงเชื่ออะไร พิมพ์รหัสผิดที่ ที่เปิดประตูให้โจร ตัวเลขนี้ยังไม่นับรวมเคสที่ภาพรวมก็ยังเกี่ยวกับคนอยู่ดี เช่น พนักงานตั้งรหัสผ่านอ่อน ใช้รหัสซ้ำกับเว็บอื่น หรือไม่ยอมเปิด 2FA

ปัญหานี้เป็นปัญหาเชิงเศรษฐศาสตร์ของ security ทั้งหมดเลย บริษัทใหญ่ที่ลงทุนกับ firewall 10 ล้านบาท ระบบ SIEM (security information & event management คือระบบรวม log ทั้งบริษัทเพื่อจับเหตุผิดปกติ) อีก 20 ล้าน แต่ไม่เคยจัด security awareness training ให้พนักงาน 200 คนเลย ผลคืออะไร? โจรไม่ต้องสนใจ firewall 10 ล้าน มันส่งอีเมลปลอม 200 ฉบับ ฉบับละหนึ่งคน ขอแค่คนเดียวกดลิงก์ ก็เข้ามาอยู่ในบริษัทคุณแล้ว แล้วใช้เวลา 207 วันเดินสำรวจในนั้นโดยที่ firewall ราคาแพงไม่รู้เรื่อง เพราะ firewall ตรวจคนที่จะเข้ามา ไม่ได้ตรวจคนที่ “อยู่ในแล้ว”

ลองคิดเปรียบเทียบ กำแพงสูง 10 เมตร ราคา 10 ล้าน กันโจรที่จะปีนข้ามได้ 1% แต่ฝึกพนักงานให้รู้จัก phishing ราคา 200,000 บาทต่อปี ลดอัตราการกดลิงก์อันตรายจาก 30% เหลือ 5% คำถามคือ ROI ของไหนสูงกว่ากัน?

มีอีกตัวอย่างที่อยากเล่า เคส Target ปี 2013 (ห้างใหญ่ของอเมริกา) ที่ข้อมูลบัตรเครดิตลูกค้า 40 ล้านใบรั่ว Target ลงทุนใน security เยอะมาก มีระบบเตือนภัยที่ดี firewall ดี เครื่องมือดีทุกอย่าง แล้วโจรเข้ามาทางไหน? ผ่านบริษัทแอร์ที่ Target จ้างให้ดูแลระบบทำความเย็นในห้าง บริษัทแอร์โดนแฮกก่อน รหัสที่บริษัทแอร์ใช้ login เข้าระบบ Target ถูกขโมย → โจรเข้า Target ผ่านประตูบริษัทแอร์ กำแพง 10 ล้านดอลลาร์ของ Target ไม่ได้ช่วยอะไรเลย เพราะโจรไม่ได้ปีนกำแพง เขามากับช่างซ่อมแอร์

นี่คือสิ่งที่วงการเรียกว่า supply chain attack (การโจมตีผ่านห่วงโซ่คู่ค้า) และมันเตือนเราว่าความปลอดภัยของคุณ = ความปลอดภัยของคู่ค้าที่อ่อนแอที่สุดที่คุณเชื่อมต่อด้วย คนทำบัญชีฟรีแลนซ์ที่คุณส่งไฟล์ Excel ลูกค้าให้ทุกเดือน บริษัทเช่าโกดังที่มีบัตรเข้าออฟฟิศคุณ เอเจนซีโฆษณาที่มีรหัส Facebook ads manager ของคุณ ทุกคนคือประตูเข้า

ที่น่ากลัวที่สุดในเรื่องนี้ไม่ใช่ว่าบริษัทใหญ่ขนาด Target ยังพังได้ครับ แต่คือบริษัทไทยส่วนใหญ่ที่ไม่มี budget เท่า Target ใช้วิธีคิดเดียวกัน คือ “ซื้อของแพงแล้วจบ” และละเลย “คน” ซึ่งเป็นต้นทุนที่ถูกที่สุดและให้ ROI สูงที่สุด

มุมผู้บริหาร: ก่อนเซ็นสัญญาซื้อระบบ security ตัวต่อไป ลองตอบคำถาม 3 ข้อ

1. พนักงานคุณรู้จัก phishing แบบสมัยใหม่ไหม รวมถึง deepfake voice ที่หลอกเป็น CEO?
2. คุณเปิด 2FA (ยืนยันตัวตน 2 ขั้น) ใน account สำคัญทุกตัวที่บริษัทใช้หรือยัง?
3. vendor + คู่ค้า + ฟรีแลนซ์ที่เข้าถึงข้อมูลคุณได้ มีใครบ้างและตอนนี้สิทธิ์เขายังเปิดอยู่หรือเปล่า?

ถ้ายังไม่เคลียร์ 3 ข้อนี้ ของแพงไม่ช่วย

”ผมไม่ใช่ฝ่าย IT — ทำไมผมต้องสน”#

มาถึงคำถามสุดท้าย และเป็นคำถามคลาสสิคที่เจอได้ในวงสนทนาเรื่องนี้บ่อยมาก “ผมเป็นเจ้าของร้าน / ผมเป็นผู้บริหาร / ผมทำการตลาด ผมไม่ใช่ฝ่าย IT จ้างคนอื่นมาดูแลก็จบ ทำไมผมต้องมานั่งเข้าใจเรื่อง cybersecurity เอง?”

อ้าว คำถามนี้ดีครับ แต่ขอเปรียบเทียบให้เห็นภาพก่อน ลองย้อนกลับไปยุค 1990s ตอนนั้นถ้าใครพูดว่า “ผมเป็นเจ้าของร้าน ผมไม่ใช่นักบัญชี ทำไมผมต้องเข้าใจเรื่องบัญชี” ฟังดูสมเหตุสมผลใช่ไหม จ้างนักบัญชีมาทำก็จบ แต่ลองนึกถึงเจ้าของกิจการที่ “ไม่เข้าใจบัญชีเลย” ในปี 2026 เขาจะรู้ได้ยังไงว่านักบัญชีโกง? จะรู้ได้ยังไงว่ากำไรจริงเท่าไหร่? จะตัดสินใจซื้อเครื่องจักรเครื่องใหม่จากตัวเลขไหน? คำตอบคือ “เขาตัดสินใจจากความรู้สึก” ซึ่งแปลว่าตัดสินใจผิดบ่อยมาก

cybersecurity ในปี 2026 อยู่ในจุดเดียวกันกับบัญชีในยุค 1990s มันกำลังเปลี่ยนจาก “เรื่องเฉพาะทาง” เป็น “literacy พื้นฐานของการทำธุรกิจ” คุณไม่ต้องเป็น expert แต่คุณต้องเข้าใจพอที่จะ:

(1) ถามคำถามที่ถูก กับ vendor ที่มาขายของ ทุกวันนี้บริษัท IT ขายของ security ให้เจ้าของกิจการไทยที่ไม่เข้าใจ ใช้วิธีง่ายมาก ขายราคาแพง ใส่ buzzword “AI-powered”, “next-gen”, “military-grade encryption” แล้วหวังว่าคุณจะกลัวจนซื้อทุกอย่าง ถ้าคุณเข้าใจพื้น คุณจะถามได้ว่า “ของนี้แก้ปัญหาอะไรที่ของถูกกว่าแก้ไม่ได้?” และ “vendor ของคุณก่อนหน้านี้มีเคสที่ลูกค้าโดนแฮกแล้วของคุณช่วยได้จริงไหม?” 2 คำถามนี้ตัด vendor ปลอม 80% ทันที

(2) ตรวจสอบทีม IT ของตัวเอง ได้ว่าทำงานครบไหม เป็นเคสที่เจอได้ทั่วไป ผู้บริหารถามทีม IT ว่า “เราปลอดภัยไหม” แล้วได้คำตอบว่า “ปลอดภัยครับ” แล้วก็เชื่อ ทีม IT บอก “ปลอดภัย” หมายความว่าอะไร? เปิด firewall? อัพเดท Windows? backup ข้อมูล? ทั้งหมดนี้? เพิ่งทำเมื่อไหร่? บางทีไม่ใช่ทีม IT โกหก แต่เขาเองก็ไม่รู้ว่าต้องทำอะไรบ้าง เพราะไม่มีใครกำหนด baseline ให้ ถ้าผู้บริหารเข้าใจพื้น จะถามได้ “ครั้งล่าสุดที่เรา test restore ข้อมูลจาก backup คือเมื่อไหร่?” คำถามเดียวเปิดบาดแผลทันที

(3) ตัดสินใจ trade-off ของธุรกิจ ระหว่างความสะดวกกับความปลอดภัยได้ ทุก decision ใน security คือ trade-off ถ้าจะปลอดภัย 100% ก็ต้องปิดเน็ต ปิดร้าน ไล่ลูกค้ากลับบ้าน ถ้าเปิดทุกอย่าง 100% สะดวก = โดนปล้นแน่ คนที่ตัดสินใจตรงนี้ไม่ใช่ฝ่าย IT เป็นคุณ ฝ่าย IT บอกได้ว่า “ถ้าทำแบบนี้ความเสี่ยงเป็น X” แต่คนที่บอกว่า “X เท่านี้ผมรับได้ / ผมรับไม่ได้” = คุณ ถ้าคุณไม่เข้าใจพื้น คุณตัดสินใจจากความรู้สึก = ผิดทาง

(4) สื่อสารกับลูกค้า + คู่ค้า + ผู้กำกับ เมื่อเกิดเรื่อง วันที่ข้อมูลคุณรั่ว ลูกค้าจะถาม คู่ค้าจะถาม สื่อจะถาม PDPA (พรบ.คุ้มครองข้อมูลส่วนบุคคล) จะมาถาม ถ้าคุณไม่เข้าใจเลยว่ามันเกิดอะไรขึ้น คุณตอบทุกคนว่า “ไม่ทราบครับ ฝ่าย IT กำลังดูอยู่” ความเชื่อมั่นพังในวันเดียว ผู้บริหารที่อธิบายได้ในระดับ “เกิดอะไรขึ้น ผลกระทบเท่าไหร่ เรากำลังทำอะไร” จะเก็บลูกค้าได้

ผมอยากเน้นว่าเป้าหมายของคุณ ไม่ใช่การเป็น expert เป้าหมายคือเข้าใจพอที่จะรู้ว่าใครรู้จริง ใครรู้ปลอม รู้ว่าถามคำถามอะไรในห้องประชุม รู้ว่าตอนตัดสินใจซื้ออะไร ลงทุนใน training พนักงานรอบไหน คุณกำลังแลกอะไรกับอะไร แค่นี้พอ แต่ “แค่นี้” ก็เป็นกำแพงที่ผู้บริหารไทยส่วนใหญ่ยังข้ามไม่ได้ เพราะไม่มีใครเล่าเรื่องนี้ในภาษาคน มีแต่คอร์สที่เต็มไปด้วยศัพท์เทคนิคและคำอังกฤษยาวๆ ที่อ่านแล้วท้อ

นั่นคือเหตุผลที่ซีรีส์นี้เกิดขึ้น ผมจะพาคุณเดินรอบ “เมือง” ของ cybersecurity ทั้งเมือง ตั้งแต่บัตรประชาชนของชาวเมือง (Identity) → ของในเซฟ (Data) → ถนนกับกำแพง (Infrastructure) → ตำรวจกับนักดับเพลิง (Operations) → เทศบาลและกฎหมายเมือง (Governance) ทุกอย่างในภาษาที่คุณตาคุณยายอ่านได้ ไม่ต้องจำศัพท์ ไม่ต้องสอบ

พูดให้ชัดอีกครั้ง เป้าของซีรีส์นี้ไม่ใช่ทำให้คุณกลายเป็น CISO (Chief Information Security Officer ผู้บริหารดูแลความปลอดภัยข้อมูล) ในวันเดียว เป้าคือทำให้คุณเดินเข้าห้องประชุมที่ทีม IT + vendor + ที่ปรึกษาคุยกัน แล้วเข้าใจ 80% ของบทสนทนา + ถามคำถามที่ทำให้คนรู้ว่าคุณตามทัน แค่นี้เกมเปลี่ยนทันที vendor หลอกยากขึ้น พนักงานทำงานจริงจังขึ้น คุณตัดสินใจดีขึ้น

สรุป — เมืองนี้ทำไมต้องมียาม#

ถ้าให้สรุปทั้ง EP เป็นภาพเดียว เราอยู่ในเมืองที่ของมีค่ามากขึ้นทุกวัน เพราะของมีค่าของเรา ย้ายจาก “ทองในเซฟ” ไปอยู่ใน “ตัวตนดิจิทัล + ความสัมพันธ์ + ข้อมูลธุรกิจ” ที่กระจัดกระจายอยู่ในมือถือ ใน cloud ใน account ต่างๆ และในเวลาเดียวกัน โจรในเมืองนี้ก็เก่งขึ้นทุกวัน เพราะ AI ทำให้การปลอมแปลง การหลอก การยิงสุ่ม scale ได้แบบที่ไม่เคยมีมาก่อน

ในเมืองนี้ ยามที่เก่งที่สุดไม่ใช่กำแพงที่สูงที่สุด ไม่ใช่ปืนใหญ่ที่แพงที่สุด แต่คือ ชาวเมืองที่รู้ว่าเมืองทำงานยังไง รู้ว่าโจรหลอกแบบไหน รู้ว่าตอนเปิดประตูต้องเช็คอะไรก่อน ถ้าคุณคือเจ้าของเมือง (เจ้าของกิจการ) หรือผู้บริหารเมือง (ผู้บริหาร) คุณไม่ต้องลงไปยืนเฝ้ายามเอง แต่คุณต้องเข้าใจว่ายามทำงานยังไง พอที่จะรู้ว่ายามคนไหนทำงานจริง คนไหนแค่ใส่ชุด