ມາດຕະການຮັບມືກັບຄວາມສ່ຽງດ້ານໄຊເບີ ແລະ AI ສຳລັບວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SMEs) ແມ່ນຊຸດຂອງການດຳເນີນງານເພື່ອຈັດຕັ້ງລະບົບສຸຂະອະນາໄມທາງໄຊເບີ (Cyber Hygiene) ຂັ້ນພື້ນຖານ ເຊັ່ນ: ການຢືນຢັນຕົວຕົນ (MFA), ການສຳຮອງຂໍ້ມູນ, ແລະ ມາດຕະການປ້ອງກັນການຫຼອກລວງ (Phishing) ກ່ອນທີ່ຈະນຳ AI ເຂົ້າສູ່ຂະບວນການເຮັດວຽກ ລວມເຖິງການກຳນົດກົດລະບຽບການໃຊ້ງານ AI ຂັ້ນພື້ນຖານ. ບົດຄວາມນີ້ໄດ້ຮວບຮວມຄູ່ມືການປະຕິບັດຕົວຈິງເພື່ອປັບປຸງລະບົບປ້ອງກັນໃຫ້ພ້ອມກ່ອນທີ່ຈະເລັ່ງນຳໃຊ້ AI, ໂດຍມີເປົ້າໝາຍເພື່ອຜູ້ປະກອບການ, ຝ່າຍບໍລິຫານ, ຫຼື ພະນັກງານທີ່ຮັບຜິດຊອບວຽກງານໄອທີໃນ SMEs ທີ່ຍັງບໍ່ມີພະນັກງານໄອທີໂດຍສະເພາະ. ເມື່ອອ່ານຈົບ, ທ່ານຈະໄດ້ຮັບລາຍການກວດສອບ 6 ຫົວຂໍ້ທີ່ສາມາດເລີ່ມຕົ້ນປະຕິບັດໄດ້ພາຍໃນ 30 ນາທີ.

ຂໍ້ສົມມຸດຕິຖານທີ່ວ່າ "ພວກເຮົາເປັນບໍລິສັດຂະໜາດນ້ອຍ ຈຶ່ງບໍ່ຕົກເປັນເປົ້າໝາຍ" ນັ້ນ ບໍ່ສາມາດນຳໃຊ້ໄດ້ອີກຕໍ່ໄປ. ຜູ້ໂຈມຕີຈະທຳການສະແກນແບບບໍ່ເລືອກໜ້າ ແລະ ເລີ່ມບຸກລຸກຈາກເປົ້າໝາຍທີ່ມີການປ້ອງກັນອ່ອນແອທີ່ສຸດກ່ອນ. ການແຜ່ຫຼາຍຂອງ AI ໄດ້ປ່ຽນແປງສະຖານະການນີ້ໃຫ້ຮ້າຍແຮງຂຶ້ນ, ໂດຍມີຊ່ອງທາງໃໝ່ໆທີ່ເລີ່ມເກີດຂຶ້ນເປັນປະຈຳໃນການດຳເນີນງານຂອງວິສາຫະກິດຂະໜາດນ້ອຍ ແລະ ກາງ (SMEs) ເຊັ່ນ: ຂໍ້ຄວາມຟິດຊິງ (Phishing) ທີ່ສ້າງຂຶ້ນໂດຍ AI, ຄຳສັ່ງໂອນເງິນຜ່ານການປອມແປງສຽງ, ແລະ ການປ້ອນຂໍ້ມູນພາຍໃນບໍລິສັດເຂົ້າໄປໃນເຄື່ອງມື AI ຟຣີໂດຍບໍ່ຕັ້ງໃຈ.

CISA ໄດ້ລະບຸໄວ້ໃນ Cyber Guidance ສຳລັບ SMEs ວ່າ ອົງກອນທີ່ມີຊັບພະຍາກອນຈຳກັດໃນການຮັບມືກັບ Ransomware ແລະ ການໂຈມຕີຮູບແບບອື່ນໆ ແມ່ນກຸ່ມທີ່ກຳລັງປະສົບກັບເຫດການລະເມີດຄວາມປອດໄພເພີ່ມຂຶ້ນ. ນອກຈາກນີ້, AI Risk Management Framework (AI RMF) ຂອງ NIST ຍັງໄດ້ລະບຸວ່າ ຈຳເປັນຕ້ອງມີການຄຸ້ມຄອງຄວາມສ່ຽງດ້ານ AI ໃນ "ທຸກຂະໜາດອົງກອນ" ແລະ "ທຸກພາກສ່ວນ", ເຊິ່ງຕັ້ງຢູ່ເທິງພື້ນຖານທີ່ວ່າ ຖ້າຫາກຈະນຳ AI ມາໃຊ້ງານ, ມັນຈະບໍ່ແມ່ນສິດທິພິເສດສະເພາະຂອງບໍລິສັດຂະໜາດໃຫຍ່ເທົ່ານັ້ນ ແຕ່ SMEs ກໍຢູ່ໃນສະໜາມດຽວກັນນຳອີກ.

ຄຳແນະນຳຂອງ CISA ສຳລັບທຸລະກິດຂະໜາດນ້ອຍ ແລະ ກາງ (SME) ໄດ້ຖືກສ້າງຂຶ້ນໂດຍອີງໃສ່ສະພາບການປັດຈຸບັນທີ່ທຸລະກິດເຫຼົ່ານີ້ມີຊັບພະຍາກອນຈຳກັດ ແລະ ຕ້ອງປະເຊີນກັບການໂຈມຕີທາງໄຊເບີ ເຊັ່ນ: Ransomware ແລະ Business Email Compromise (BEC). ໃນມຸມມອງຂອງຜູ້ໂຈມຕີ, ທຸລະກິດຂະໜາດນ້ອຍ ແລະ ກາງທີ່ມີລະບົບປ້ອງກັນທີ່ອ່ອນແອ ແລະ ມີຜົນກະທົບຕໍ່ການຢຸດສະງັກຂອງການດຳເນີນງານທີ່ສົ່ງຜົນໂດຍກົງຕໍ່ຜົນກຳໄລນັ້ນ, ຖືເປັນເປົ້າໝາຍທີ່ມີ "ໂອກາດສູງທີ່ຈະຍອມຈ່າຍເງິນ". ແທນທີ່ຈະເປັນການໂຈມຕີແບບເຈາະຈົງເປົ້າໝາຍ, ລັກສະນະເດັ່ນຂອງມັນແມ່ນການໂຈມຕີແບບບໍ່ເລືອກໜ້າ ໂດຍໃຊ້ການສະແກນອັດຕະໂນມັດເພື່ອຊອກຫາອົງກອນທີ່ມີຊ່ອງໂຫວ່ ແລະ ເຂົ້າໂຈມຕີທັນທີທີ່ພົບເຫັນ.

AI ຊ່ວຍເພີ່ມປະສິດທິພາບການເຮັດວຽກຂອງວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍໄດ້ຢ່າງຫຼວງຫຼາຍ ໃນຂະນະດຽວກັນກໍເພີ່ມປະເພດຂອງຄວາມສ່ຽງໃຫ້ຫຼາຍຂຶ້ນເຊັ່ນກັນ. ໂດຍມີ 3 ປະເດັນຫຼັກທີ່ເປັນຕົວຢ່າງທີ່ເຫັນໄດ້ຊັດເຈນດັ່ງນີ້:

• AI-generated Phishing: ຈຸດສັງເກດເດີມທີ່ວ່າຂໍ້ຄວາມມີຄວາມຜິດປົກກະຕິນັ້ນໄດ້ຫາຍໄປ ເຮັດໃຫ້ອີເມວມີຄວາມແນບນຽນຫຼາຍຂຶ້ນ
• Deepfake ແລະ Voice Clone: ການປອມແປງສຽງ ຫຼື ໃບໜ້າຂອງຜູ້ບໍລິຫານ ເພື່ອສັ່ງໂອນເງິນ ຫຼື ຮຽກຮ້ອງໃຫ້ແບ່ງປັນລະຫັດຜ່ານ
• ການໄຫຼເຂົ້າຂອງຂໍ້ມູນພາຍໃນສູ່ Generative AI: ພະນັກງານນຳເອົາລາຍຊື່ລູກຄ້າ ຫຼື ສັນຍາຕ່າງໆໄປວາງໄວ້ໃນບໍລິການ AI ສາທາລະນະ

ເອກະສານ "Deepfake Threats to Organizations" ທີ່ອອກໂດຍ CISA, NSA ແລະ FBI ຮ່ວມກັນ ກໍໄດ້ລະບຸວ່າສື່ສັງເຄາະ (Synthetic Media) ເປັນໄພຄຸກຄາມທີ່ແທ້ຈິງຂອງການໂຈມຕີແບບປອມແປງຕົວຕົນທີ່ແນເປົ້າໝາຍໃສ່ອົງກອນຕ່າງໆ.

ພາຍໃນບໍລິສັດມັກຈະມີການແບ່ງແຍກກັນວ່າ "AI Governance ແມ່ນເລື່ອງຂອງພະແນກສົ່ງເສີມ DX" ແລະ "ມາດຕະການປ້ອງກັນໄຊເບີແມ່ນເລື່ອງຂອງພະແນກ IT" ແຕ່ໃນຄວາມເປັນຈິງແລ້ວ ທັງສອງຢ່າງນີ້ມີຄວາມກ່ຽວພັນກັນຢ່າງໃກ້ຊິດ. ຖ້າບໍ່ມີກົດລະບຽບວ່າຄວນປ້ອນຂໍ້ມູນຫຍັງໃຫ້ AI ກໍຈະເກີດການຮົ່ວໄຫຼຂອງຂໍ້ມູນ ແລະ ຖ້າບໍ່ເປີດໃຊ້ MFA ສຳລັບບັນຊີອີເມວ ກໍຈະເຮັດໃຫ້ AI Policy ທັງໝົດບໍ່ມີຄວາມໝາຍຫຍັງເລີຍຫາກຖືກ Phishing ທີ່ສ້າງໂດຍ AI ພຽງສະບັບດຽວ. CISA ແລະ ອົງການຈັດຕັ້ງຕ່າງໆໃນຫຼາຍປະເທດ ໄດ້ແບ່ງປັນຫຼັກການທີ່ວ່າລະບົບ AI ຄວນຖືກສ້າງຂຶ້ນໂດຍຍຶດຖື "secure by design" ເຊິ່ງການນຳ AI ມາໃຊ້ ແລະ ການພັດທະນາໂຄງສ້າງພື້ນຖານ ຫຼື Infrastructure ດ້ານໄຊເບີ ຄວນຖືກຈັດການພາຍໃນແຜນງານດຽວກັນຈຶ່ງຈະເປັນເລື່ອງທີ່ເໝາະສົມໃນຄວາມເປັນຈິງ.

ຖ້າຫາກເຮົາສະສົມມາດຕະການປ້ອງກັນໂດຍທີ່ຍັງບໍ່ເຫັນພາບຊັດເຈນວ່າຈະປ້ອງກັນຈາກຫຍັງ, ປະສິດທິຜົນກໍຈະກະຈັດກະຈາຍ. ຄູ່ມື Small Business Quick-Start Guide ຂອງ NIST CSF 2.0 ໄດ້ວາງໃຫ້ "ການກຳນົດຊັບສິນ, ລະບົບການເຮັດວຽກ ແລະ ຂໍ້ມູນທີ່ມີຢູ່ໃນປັດຈຸບັນ" ເປັນບາດກ້າວທຳອິດສຳລັບວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SME) ໃນການເລີ່ມຕົ້ນຈັດການຄວາມສ່ຽງ. ກ່ອນທີ່ຈະເລີ່ມການສົນທະນາກ່ຽວກັບ AI, ການຂຽນລາຍການສິ່ງທີ່ຕ້ອງປົກປ້ອງຖືເປັນຈຸດເລີ່ມຕົ້ນທີ່ສຳຄັນ.

ຂໍ້ມູນ "ທີ່ສຳຄັນແຕ່ຍັງບໍ່ໄດ້ມີການຈັດສັນ" ທີ່ພົບເຫັນເລື້ອຍໆໃນໜ້າວຽກຂອງວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SME) ມີ 6 ປະເພດດັ່ງນີ້. ພຽງແຕ່ຂຽນສະຖານທີ່ຢູ່ ແລະ ແຫຼ່ງເກັບຮັກສາຂໍ້ມູນເຫຼົ່ານີ້ລົງໃນແຜ່ນດຽວ ກໍຈະຊ່ວຍໃຫ້ການຕັດສິນໃຈຫຼັງຈາກນັ້ນໄວຂຶ້ນ.

ນອກຈາກສະຖານທີ່ຈັດເກັບຂໍ້ມູນແລ້ວ, ສິ່ງທີ່ສຳຄັນບໍ່ແພ້ກັນຄືການຈັດລະບຽບວ່າໃຜສາມາດເຂົ້າເຖິງຂໍ້ມູນໃດໄດ້ແດ່. ສະພາບການທີ່ບັນຊີຜູ້ໃຊ້ຂອງພະນັກງານທີ່ລາອອກໄປແລ້ວຍັງຄົງຢູ່, ພະນັກງານຝ່າຍຂາຍທຸກຄົນສາມາດເບິ່ງໂຟນເດີບັນຊີໄດ້, ຫຼືການໃຊ້ລະຫັດຜ່ານອີເມວຮ່ວມກັນ, ເຫຼົ່ານີ້ລ້ວນແຕ່ເປັນຄວາມສ່ຽງທາງໄຊເບີທີ່ຍັງຄົງຢູ່ຕັ້ງແຕ່ກ່ອນການນຳໃຊ້ AI. ພຽງແຕ່ທົບທວນສິດການເຂົ້າເຖິງຕາມໜ້າວຽກໂດຍຍຶດຫຼັກການສິດທິຂັ້ນຕ່ຳ (least privilege), ກໍຈະຊ່ວຍຫຼຸດຜ່ອນຂອບເຂດຜົນກະທົບເມື່ອເກີດການຮົ່ວໄຫຼຂອງຂໍ້ມູນ (blast radius) ໄດ້ຢ່າງຫຼວງຫຼາຍ.

ສຳລັບວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍຂອງຍີ່ປຸ່ນທີ່ຂະຫຍາຍທຸລະກິດເຂົ້າມາໃນພາກພື້ນ ASEAN, ເນື່ອງຈາກມີການສົ່ງຂໍ້ມູນໄປມາລະຫວ່າງ 3 ພາກສ່ວນ ຄື: ສຳນັກງານໃຫຍ່, ບໍລິສັດສາຂາໃນທ້ອງຖິ່ນ ແລະ ຜູ້ຮັບເໝົາ, ຈຶ່ງເຮັດໃຫ້ການກຳນົດວ່າໃຜສາມາດເຂົ້າເຖິງພາກສ່ວນໃດນັ້ນມີຄວາມບໍ່ຊັດເຈນໄດ້ງ່າຍ. ການຈັດລະບຽບແຜນຜັງການເຂົ້າເຖິງ (Access Map) ຈະໃຫ້ຜົນລັດທີ່ມີປະສິດທິຜົນໂດຍສະເພາະກັບອົງກອນປະເພດນີ້.

CISA ໄດ້ຈັດລຽງລຳດັບຄວາມສຳຄັນສຳລັບທຸລະກິດຂະໜາດນ້ອຍ ແລະ ກາງ ໂດຍກຳນົດໃຫ້ "Four Essentials" ເປັນ 4 ສິ່ງທີ່ຄວນຈັດຕັ້ງປະຕິບັດກ່ອນໝູ່ ຄື: ລະຫັດຜ່ານທີ່ເຂັ້ມແຂງ, ການຢືນຢັນຕົວຕົນຫຼາຍຂັ້ນຕອນ (MFA), ການສຳຮອງຂໍ້ມູນ ແລະ ການອັບເດດຊອບແວ. ໃນຂະນະດຽວກັນ, NCSC ຂອງອັງກິດກໍໄດ້ລະບຸເຊັ່ນດຽວກັນວ່າ ພື້ນຖານສຳລັບອົງກອນຂະໜາດນ້ອຍ ແລະ ກາງ ປະກອບມີ ການສຳຮອງຂໍ້ມູນ, ລະຫັດຜ່ານ, ການປ້ອງກັນມັນແວ ແລະ ການອັບເດດຊອບແວ. ການປຶກສາຫາລືກ່ຽວກັບນະໂຍບາຍການນຳໃຊ້ AI ຍັງບໍ່ສາຍເກີນໄປທີ່ຈະເລີ່ມຕົ້ນ ຫຼັງຈາກທີ່ໄດ້ຈັດຕັ້ງ 4 ສິ່ງນີ້ໃຫ້ຮຽບຮ້ອຍແລ້ວ.

MFA ແມ່ນວິທີທີ່ມີຄວາມຄຸ້ມຄ່າທາງດ້ານຕົ້ນທຶນຫຼາຍທີ່ສຸດ. ຖ້າບັນຊີອີເມວຖືກແຮັກ, ຄວາມເສຍຫາຍຈະເກີດຂຶ້ນຢ່າງຕໍ່ເນື່ອງ ເຊັ່ນ: ການສົ່ງອີເມວຫຼອກລວງໄປຫາຄູ່ຄ້າ, ການນຳຂໍ້ມູນພາຍໃນບໍລິສັດອອກໄປຜ່ານລະບົບ Cloud, ແລະ ການລະເມີດບໍລິການອື່ນໆຜ່ານທາງອີເມວຢືນຢັນຕົວຕົນ. ຖ້າເປີດໃຊ້ງານການຢືນຢັນຕົວຕົນຫຼາຍປັດໄຈ (MFA) ໄວ້, ເຖິງແມ່ນວ່າລະຫັດຜ່ານຈະຮົ່ວໄຫຼອອກໄປ ກໍສາມາດສະກັດກັ້ນຄວາມເສຍຫາຍສ່ວນໃຫຍ່ໄດ້ດ້ວຍການຢືນຢັນຕົວຕົນຂັ້ນທີສອງ.

ຢ່າງໜ້ອຍທີ່ສຸດ, ບັນຊີໃນ 3 ໝວດໝູ່ຕໍ່ໄປນີ້ແມ່ນມີຄວາມຄຸ້ມຄ່າທີ່ຈະເປີດໃຊ້ງານ MFA ໃຫ້ສຳເລັດພາຍໃນມື້ນີ້:

• ອີເມວທີ່ໃຊ້ໃນວຽກງານ (Microsoft 365 / Google Workspace)
• ທະນາຄານອອນລາຍ ແລະ ບໍລິການຊຳລະເງິນ
• Cloud Storage (Google Drive / OneDrive / Dropbox ແລະ ອື່ນໆ)

ສຳລັບລະຫັດຜ່ານ ຄວນໃຫ້ຄວາມສຳຄັນກັບຄວາມຍາວ ແລະ ບໍ່ຄວນໃຊ້ຊ້ຳກັນໃນແຕ່ລະບໍລິການ. ເມື່ອຈຳນວນ SaaS ເພີ່ມທະວີຂຶ້ນເລື້ອຍໆ, ວິທີການທີ່ອາໄສຄວາມຈຳຂອງມະນຸດຈະຮອດຂີດຈຳກັດ, ດັ່ງນັ້ນການເລືອກໃຊ້ Password Manager ຢ່າງໃດຢ່າງໜຶ່ງ ແລະ ນຳມາໃຊ້ງານຮ່ວມກັນທັງໝົດຈະມີຄວາມປອດໄພກວ່າ.

ສິ່ງທີ່ສຳຄັນຂອງການສຳຮອງຂໍ້ມູນບໍ່ແມ່ນ "ມີການສຳຮອງໄວ້ຫຼືບໍ່" ແຕ່ແມ່ນ "ສາມາດກູ້ຄືນໄດ້ຫຼືບໍ່" ຕ່າງຫາກ. ເລື່ອງລາວຂອງວິສາຫະກິດຂະໜາດນ້ອຍ ແລະ ກາງທີ່ພົບກັບ Ransomware ແລ້ວເວົ້າວ່າ "ມີການສຳຮອງຂໍ້ມູນໄວ້ແຕ່ບໍ່ສາມາດກູ້ຄືນໄດ້" ນັ້ນບໍ່ແມ່ນເລື່ອງແປກ. ຄວນສ້າງນິໄສໃນການກວດສອບ 3 ຂໍ້ຕໍ່ໄປນີ້ຢ່າງໜ້ອຍໄຕມາດລະ 1 ຄັ້ງ:

• ຂໍ້ມູນທີ່ສຳຄັນ (6 ປະເພດທີ່ກ່າວມາຂ້າງຕົ້ນ) ໄດ້ຮັບການສຳຮອງຂໍ້ມູນຢ່າງເປັນປະຈຳ
• ຂໍ້ມູນສຳຮອງຖືກແຍກອອກຈາກຕົວເຄື່ອງທັງທາງກາຍະພາບ ແລະ ທາງຕັກກະສາດ (Logical)
• ມີບັນທຶກການທົດລອງກູ້ຄືນ (Restore) ຂໍ້ມູນຕົວຈິງ

ສຳລັບການອັບເດດຊອບແວ, ໃຫ້ຮັກສາ OS, ແອັບພລິເຄຊັນທາງທຸລະກິດ, ເບົາເຊີ ແລະ ເຟີມແວຂອງ Router ໃຫ້ເປັນເວີຊັນຫຼ້າສຸດຢ່າງສະໝໍ່າສະເໝີ. ເນື່ອງຈາກເມື່ອຊ່ອງໂຫວ່ຖືກເປີດຕົວ ຫຼື Launch, ການສະແກນຫາຊ່ອງໂຫວ່ຈະເລີ່ມຕົ້ນຂຶ້ນພາຍໃນບໍ່ເທົ່າໃດມື້, ດັ່ງນັ້ນການອັບເດດທີ່ຊັກຊ້າຈຶ່ງກາຍເປັນຊ່ອງທາງໃນການບຸກລຸກໂດຍກົງ.

ການໂຈມຕີສ່ວນໃຫຍ່ທີ່ວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SME) ພົບເຫັນໃນຄວາມເປັນຈິງ ບໍ່ແມ່ນການໂຈມຕີດ້ວຍ AI ທີ່ທັນສະໄໝ ແຕ່ເປັນການໂຈມຕີທີ່ແນເປົ້າໝາຍໃສ່ຄົນ ເຊັ່ນ: ອີເມວ, ໃບແຈ້ງໜີ້ປອມ, ຄຳສັ່ງໂອນເງິນ ແລະ ການປອມແປງເປັນຄູ່ຄ້າທາງທຸລະກິດ. ໃນເອກະສານ Phishing Guidance ຂອງ CISA ກໍໄດ້ລວບລວມມາດຕະການປ້ອງກັນທີ່ປັບໃຫ້ເໝາະສົມກັບທຸລະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍໄວ້ເຊັ່ນກັນ.

ສິ່ງທີ່ຄວນກຳນົດເປັນກົດລະບຽບພາຍໃນບໍລິສັດມີ 3 ຂໍ້ດັ່ງນີ້:

• ກວດສອບໂດເມນຂອງຜູ້ສົ່ງກ່ອນເປີດລິ້ງ ຫຼື ໄຟລ໌ແນບໃນອີເມວທີ່ໄດ້ຮັບ
• ຄຳສັ່ງໂອນເງິນ ຫຼື ຄຳຮ້ອງຂໍທີ່ຮີບດ່ວນ ຕ້ອງກວດສອບຜ່ານຊ່ອງທາງອື່ນສະເໝີ (ໂທລະສັບ, ພົບໜ້າກັນ ຫຼື ແຊັດຊ່ອງທາງອື່ນ)
• ຢ່າຖືວ່າສຽງ, ຮູບພາບ ຫຼື ວິດີໂອສັ້ນເປັນຫຼັກຖານພຽງຢ່າງດຽວ ຕ້ອງມີການກວດສອບເພີ່ມເຕີມສະເໝີ

ຂໍ້ສຸດທ້າຍນີ້ແມ່ນມີໄວ້ເພື່ອປ້ອງກັນ Deepfake ແລະ Voice Clone. FTC ຂອງສະຫະລັດອາເມຣິກາກໍໄດ້ອອກຄຳເຕືອນເຖິງຜູ້ບໍລິໂພກກ່ຽວກັບກົນໂກງທີ່ໃຊ້ AI ຄລອນສຽງເພື່ອປອມແປງເປັນສະມາຊິກໃນຄອບຄົວ ຫຼື ຫົວໜ້າ ເພື່ອສັ່ງໃຫ້ໂອນເງິນ.

ເມື່ອພື້ນຖານດ້ານ Cyber Hygiene ພ້ອມແລ້ວ, ຂັ້ນຕອນຕໍ່ໄປແມ່ນການກຳນົດກົດລະບຽບການນຳໃຊ້ AI. NIST AI RMF ໄດ້ຈັດລະບຽບການຄຸ້ມຄອງຄວາມສ່ຽງດ້ານ AI ໂດຍມີ 4 ຟັງຊັນຫຼັກຄື: ການກຳກັບດູແລ (Governance), ການສ້າງແຜນຜັງຄວາມສ່ຽງ (Mapping), ການວັດແທກ (Measure), ແລະ ການຄຸ້ມຄອງ (Manage) ເປັນ ຈຸດສຳຄັນ ຫຼື ແກນຫຼັກ, ແຕ່ສຳລັບວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SME) ບໍ່ຈຳເປັນຕ້ອງສ້າງເອກະສານນະໂຍບາຍທີ່ຍາວຢຽດຕັ້ງແຕ່ເລີ່ມຕົ້ນ. ພຽງແຕ່ຕອບ 4 ຄຳຖາມທີ່ສາມາດສະຫຼຸບໄດ້ໃນໜ້າດຽວ, ທ່ານກໍຈະສາມາດຂຽນກົດລະບຽບທີ່ນຳໄປໃຊ້ງານໄດ້ຈິງໃນພາກປະຕິບັດ.

1. ຂໍ້ມູນປະເພດໃດແດ່ທີ່ບໍ່ຄວນປ້ອນເຂົ້າໃນ AI (ຂໍ້ມູນສ່ວນຕົວຂອງລູກຄ້າ, ເງື່ອນໄຂສັນຍາ, ຊໍສໂຄດ, ຂໍ້ມູນຍຸດທະສາດ ແລະ ອື່ນໆ)
2. ພະນັກງານຄົນໃດສາມາດໃຊ້ເຄື່ອງມື AI ໃດໄດ້ແດ່ (ບົດບາດ ແລະ ສິດອຳນາດ)
3. ຜົນລັອບປະເພດໃດທີ່ຈຳເປັນຕ້ອງມີການກວດສອບໂດຍມະນຸດ (ສັນຍາ, ເອກະສານທາງກົດໝາຍ, ການສື່ສານພາຍນອກ)
4. ໃຜເປັນຜູ້ຮັບຜິດຊອບໃນກໍລະນີທີ່ AI ໃຫ້ຂໍ້ມູນທີ່ຜິດພາດ ຫຼື ມີຂໍ້ມູນຮົ່ວໄຫຼ

ຖ້າເລີ່ມນຳໃຊ້ AI ໂດຍບໍ່ໄດ້ຂຽນ 4 ຂໍ້ນີ້ເປັນລາຍລັກອັກສອນ, ອຸບັດຕິເຫດຕ່າງໆອາດຈະເກີດຂຶ້ນໃນໜ້າວຽກຕົວຈິງ ເຊັ່ນ: "ການນຳລາຍຊື່ລູກຄ້າໄປວາງໃນ AI ເພື່ອແປພາສາ" ຫຼື "ການສົ່ງຮ່າງສັນຍາໃຫ້ລູກຄ້າໂດຍບໍ່ໄດ້ກວດສອບກ່ອນ".

ກໍລະນີການນຳໃຊ້ທີ່ຄວນທົດລອງໃນເບື້ອງຕົ້ນ ແມ່ນໃຫ້ເລີ່ມຈາກກໍລະນີທີ່ມີຄວາມສ່ຽງຕໍ່າກ່ອນ.

ຄວາມສ່ຽງຕໍ່າ (ຄວນທົດລອງໃນໄລຍະເລີ່ມຕົ້ນ):

• ການຊ່ວຍຮ່າງເນື້ອໃນອີເມວທົ່ວໄປ
• ການສະຫຼຸບເນື້ອໃນການປະຊຸມ
• ການຮ່າງ FAQ ຫຼື SOP ສຳລັບພາຍໃນບໍລິສັດ
• ການຈັດລະບຽບໂຄງສ້າງເອກະສານທີ່ມີການ ເປີດຕົວ ຫຼື Launch ໄວ້ແລ້ວ

ຄວາມສ່ຽງສູງ (ຄວນຕັດສິນໃຈຢ່າງລະມັດລະວັງ):

• ການອະນຸມັດຄ່າໃຊ້ຈ່າຍ ຫຼື ການຊຳລະເງິນແບບອັດຕະໂນມັດ
• ການກວດສອບສັນຍາທາງກົດໝາຍ
• ການປະມວນຜົນຂໍ້ມູນທີ່ລະອຽດອ່ອນຂອງລູກຄ້າ
• ການຕັດສິນໃຈທີ່ສຳຄັນແທນບຸກຄົນ

ເອກະສານ "AI Data Security: Best Practices for Securing Data Used to Train and Operate AI Systems" ທີ່ເຜີຍແຜ່ໂດຍ CISA ແລະ ໜ່ວຍງານທີ່ຮ່ວມມື ຍັງໄດ້ຍົກເອົາການຄວບຄຸມການເຂົ້າເຖິງ, ການປົກປ້ອງຄວາມຖືກຕ້ອງຂອງຂໍ້ມູນ ແລະ ການບໍລິຫານຈັດການຂໍ້ມູນທີ່ປ້ອນເຂົ້າສູ່ AI ມາເປັນຫຼັກການພື້ນຖານ. ເມື່ອວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SMEs) ເຮັດສັນຍາກັບຜູ້ໃຫ້ບໍລິການ (Vendor), ຄວນກວດສອບຢ່າງໜ້ອຍ 3 ຈຸດສຳຄັນ ຄື: ຂໍ້ມູນທີ່ປ້ອນເຂົ້າຈະບໍ່ຖືກນຳໄປໃຊ້ໃນການຝຶກຝົນ AI, ໄລຍະເວລາໃນການຈັດເກັບຂໍ້ມູນ ແລະ ການຄວບຄຸມການເຂົ້າເຖິງ.

ຂ້າພະເຈົ້າໄດ້ຫຍໍ້ເນື້ອໃນທີ່ຜ່ານມາໃຫ້ເປັນການກະທຳທີ່ສາມາດເລີ່ມຕົ້ນໄດ້ພາຍໃນ 30 ນາທີຂອງມື້ນີ້. ຖ້າປະຕິບັດຕາມລຳດັບຈາກເທິງລົງລຸ່ມ, ທ່ານຈະສາມາດສ້າງແນວປ້ອງກັນຂັ້ນພື້ນຖານຂຶ້ນມາໄດ້.

1. ສ້າງລາຍການບັນຊີທີ່ສຳຄັນ — ຂຽນລາຍການອີເມວວຽກ, ທະນາຄານ, ຄລາວສະຕໍເຣຈ (Cloud Storage), ໂຊຊຽວມີເດຍ (SNS) ແລະ ບໍລິການຊຳລະເງິນຕ່າງໆອອກມາ.
2. ເປີດໃຊ້ງານ MFA — ຢ່າງໜ້ອຍຕ້ອງເປີດໃຊ້ງານໃນ 3 ຢ່າງຂ້າງຕົ້ນ ຄື: ອີເມວວຽກ, ທະນາຄານ ແລະ ຄລາວສະຕໍເຣຈ.
3. ກວດສອບການສຳຮອງຂໍ້ມູນ (Backup) — ກວດສອບວ່າຂໍ້ມູນຖືກເກັບໄວ້ໃສ, ເວລາໃດ, ມີຫຍັງແດ່ ແລະ ສາມາດກູ້ຄືນໄດ້ຫຼືບໍ່.
4. ອັບເດດອຸປະກອນເຮັດວຽກ ແລະ ຊອບແວ — ເຮັດໃຫ້ OS, ເບຣົາເຊີ ແລະ ແອັບພລິເຄຊັນທີ່ໃຊ້ໃນວຽກເປັນເວີຊັນຫຼ້າສຸດ.
5. ສ້າງກົດລະບຽບການໃຊ້ AI ພາຍໃນ 1 ໜ້າ — ຂຽນຄຳຕອບສຳລັບ 4 ຄຳຖາມທີ່ກ່າວມາຂ້າງຕົ້ນລົງໃນເອກະສານ.
6. ແບ່ງປັນ 3 ຄວາມສ່ຽງໃຫ້ທີມງານຮັບຊາບ — ການຟິດຊິງ (Phishing), ໃບເກັບເງິນປອມ ແລະ ການປອມແປງຕົວຕົນດ້ວຍ Deepfake.

ລາຍການນີ້ບໍ່ແມ່ນມາດຕະການປ້ອງກັນທີ່ສົມບູນແບບ ແຕ່ໄດ້ຖືກຈັດລຽງຕາມລຳດັບທີ່ຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງໄດ້ຫຼາຍທີ່ສຸດໂດຍໃຊ້ຄວາມພະຍາຍາມໜ້ອຍທີ່ສຸດ. ເຖິງແມ່ນວ່າຈະເປັນວິສາຫະກິດຂະໜາດນ້ອຍ ແລະ ກາງທີ່ບໍ່ມີພະນັກງານໄອທີ (IT) ໂດຍສະເພາະ ກໍສາມາດປະຕິບັດໃຫ້ຄົບທຸກຂັ້ນຕອນໄດ້ພາຍໃນເຄິ່ງມື້ ໂດຍມີພຽງຜູ້ບໍລິຫານ ແລະ ພະນັກງານທົ່ວໄປ 2 ທ່ານເທົ່ານັ້ນ.

ໄດ້ຮວບຮວມຄຳຖາມທີ່ມັກພົບເລື້ອຍ ເມື່ອວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SME) ເລີ່ມຕົ້ນດຳເນີນການດ້ານ AI ແລະ ມາດຕະການຮັບມືກັບໄພຄຸກຄາມທາງໄຊເບີ.

ບໍ່ຈຳເປັນຕ້ອງຍາວ ແຕ່ຕ້ອງມີຄວາມຈຳເປັນ. ສຳລັບວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SME), ການສະຫຼຸບເລື່ອງການຈັດການລະຫັດຜ່ານ, MFA, ການສຳຮອງຂໍ້ມູນ, ການອັບເດດຊອບແວ ແລະ ການຮັບມືກັບຟິດຊິງ (Phishing) ໃຫ້ຢູ່ໃນ 1-2 ໜ້າ ແມ່ນຈຸດເລີ່ມຕົ້ນທີ່ເໝາະສົມ. ຄູ່ມື Small Business Quick-Start Guide ຂອງ NIST CSF 2.0 ກໍໄດ້ແນະນຳວິທີການທີ່ບໍ່ຄວນຕັ້ງເປົ້າໝາຍໃຫ້ສົມບູນແບບຕັ້ງແຕ່ຕົ້ນ, ແຕ່ໃຫ້ເລີ່ມຈາກການເຂົ້າໃຈສະຖານະປັດຈຸບັນ ແລະ ພັດທະນາປັບປຸງໄປເທື່ອລະຂັ້ນ.

ໃນທາງປະຕິບັດ, ຄວາມສ່ຽງທີ່ເປັນຈິງມີ 4 ຢ່າງ ຄື: ການຮົ່ວໄຫຼຂອງຂໍ້ມູນ, ການຟິດຊິງ (Phishing) ທີ່ຂຽນໂດຍ AI, ການປອມແປງຕົວຕົນ, ແລະ ການແຜ່ກະຈາຍຂອງຜົນລັດຈາກ AI ໂດຍບໍ່ມີການກວດສອບຈາກມະນຸດ, ເຊິ່ງເປັນໄພຄຸກຄາມທີ່ຮ້າຍແຮງກວ່າການໂຈມຕີແບບຈຳລອງທີ່ທັນສະໄໝ. ຄວາມສ່ຽງເຫຼົ່ານີ້ແມ່ນຄວາມສ່ຽງຮ່ວມທີ່ເກີດຂຶ້ນໄດ້ທັງໃນບໍລິສັດຂະໜາດໃຫຍ່ ແລະ ວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SMEs), ໂດຍທີ່ SMEs ຈະໄດ້ຮັບຜົນກະທົບທີ່ຮຸນແຮງກວ່າເນື່ອງຈາກມີຊັບພະຍາກອນໃນການຮັບມືທີ່ຈຳກັດ.

ຖ້າຕ້ອງເລືອກພຽງຢ່າງດຽວ, ຄວນຈັດການເລື່ອງ MFA ກ່ອນ. ບໍ່ວ່າກົດລະບຽບການນຳໃຊ້ AI ຈະລະອຽດຖີ່ຖ້ວນພຽງໃດກໍຕາມ, ແຕ່ທັນທີທີ່ບັນຊີອີເມວຖືກແຮັກ ທຸກຢ່າງກໍຈະບໍ່ມີຄວາມໝາຍ. MFA ເປັນມາດຕະການທີ່ສາມາດຫຼຸດຜ່ອນຄວາມສ່ຽງດ້ານການລະເມີດບັນຊີໄດ້ໃນເວລາສັ້ນທີ່ສຸດ ແລະ ມີຕົ້ນທຶນຕໍ່າທີ່ສຸດ, ສ່ວນການສົນທະນາເລື່ອງນະໂຍບາຍ AI ແມ່ນສາມາດເຮັດຫຼັງຈາກນັ້ນໄດ້ຢ່າງທັນການ.

ສາມາດເຮັດໄດ້. CISA ໄດ້ເປີດຕົວ ຫຼື Launch ເຄື່ອງມື ແລະ ການບໍລິການຟຣີຫຼາຍຢ່າງສຳລັບວິສາຫະກິດຂະໜາດນ້ອຍ ແລະ ກາງ (SME), ແລະ ຄຳແນະນຳສຳລັບ SME ຂອງ NCSC ປະເທດອັງກິດ ກໍມີເນື້ອຫາທີ່ສາມາດປະຕິບັດໄດ້ໃນໄລຍະເວລາສັ້ນໆ ເຖິງແມ່ນວ່າຈະບໍ່ແມ່ນຜູ້ຊ່ຽວຊານດ້ານເຕັກນິກກໍຕາມ. ລາຍການກວດສອບ 30 ນາທີໃນບົດຄວາມນີ້ ໄດ້ຖືກຈັດໂຄງສ້າງໃຫ້ຢູ່ໃນຂອບເຂດດັ່ງກ່າວ. ການບໍ່ມີພະນັກງານ IT ໂດຍສະເພາະ ບໍ່ຄວນຖືກເບິ່ງວ່າເປັນ "ເຫດຜົນທີ່ບໍ່ສາມາດຮັບມືໄດ້", ແຕ່ຄວນເບິ່ງວ່າເປັນ "ເຫດຜົນໃນການເລືອກສິ່ງທີ່ຄວນເຮັດກ່ອນ" ເຊິ່ງຈະຊ່ວຍໃຫ້ເລີ່ມຕົ້ນໄດ້ງ່າຍຂຶ້ນ.

ເມື່ອວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SME) ເລີ່ມຕົ້ນຮັບມືກັບຄວາມສ່ຽງດ້ານ AI ແລະ ໄຊເບີ, ບໍ່ຈຳເປັນຕ້ອງເລີ່ມຈາກເຄື່ອງມືທີ່ທັນສະໄໝທີ່ສຸດ. ຈຸດເລີ່ມຕົ້ນຄວນເປັນ 4 ພື້ນຖານຫຼັກ ຄື: MFA, ການສຳຮອງຂໍ້ມູນ (Backup), ການອັບເດດຊອບແວ, ແລະ ການປ້ອງກັນຟິດຊິງ (Phishing), ລວມເຖິງການລະບຸສະຖານທີ່ຈັດເກັບຂໍ້ມູນສຳຄັນ ແລະ ກົດລະບຽບການໃຊ້ງານ AI ທີ່ຂຽນຈົບພາຍໃນໜ້າດຽວ. ລາຍການກວດສອບ 6 ຫົວຂໍ້ໃນບົດຄວາມນີ້ ຄືເສັ້ນທາງທີ່ສັ້ນທີ່ສຸດສຳລັບການດຳເນີນການດັ່ງກ່າວ. ກ່ອນທີ່ຈະເລີ່ມປຶກສາຫາລືເລື່ອງການນຳໃຊ້ AI, ໃຫ້ໃຊ້ເວລາ 30 ນາທີໃນການຈັດລະບຽບຝ່າຍປ້ອງກັນໃຫ້ຮຽບຮ້ອຍ. ນີ້ຄືເສັ້ນທາງທີ່ອົງກອນທີ່ມີຊັບພະຍາກອນຈຳກັດຈະສາມາດບັນລຸການຫຼຸດຜ່ອນຄວາມສ່ຽງທີ່ມີປະສິດທິພາບດ້ານການລົງທຶນສູງສຸດ.

ເອກະສານອ້າງອີງ

• NIST. AI Risk Management Framework. https://www.nist.gov/itl/ai-risk-management-framework
• NIST. Cybersecurity Framework 2.0: Small Business Quick-Start Guide. https://csrc.nist.gov/pubs/sp/1300/final
• CISA. Cyber Guidance for Small Businesses. https://www.cisa.gov/cyber-guidance-small-businesses
• CISA. Phishing Guidance: Stopping the Attack Cycle at Phase One. https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one
• CISA / NSA / FBI. Contextualizing Deepfake Threats to Organizations. https://www.cisa.gov/news-events/alerts/2023/09/12/nsa-fbi-and-cisa-release-cybersecurity-information-sheet-deepfake-threats
• NCSC. Cyber security advice for small to medium sized organisations. https://www.ncsc.gov.uk/collection/small-business-guide
• CISA and partners. AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems. https://www.cisa.gov/