CISO จะคุมการใช้ AI ในองค์กรอย่างไร? แนะ 3 แนวทางสร้างสมดุลระหว่างนวัตกรรมและความปลอดภัย
การเติบโตอย่างก้าวกระโดดของปัญญาประดิษฐ์ (AI) ในโลกธุรกิจได้สร้างแรงกดดันมหาศาลให้กับผู้บริหารฝ่ายความมั่นคงปลอดภัยสารสนเทศ หรือ CISO (Chief Information Security Officers) ที่ต้องเข้ามาวางกรอบการกำกับดูแล (Governance) การใช้งาน AI อย่างมีประสิทธิภาพ
การวางกรอบการทำงานสำหรับเทคโนโลยีใหม่ๆ นั้นเป็นเรื่องยากอยู่แล้ว แต่การทำให้มันมีประสิทธิภาพนั้นยากยิ่งกว่า สัญชาตญาณแรกขององค์กรส่วนใหญ่มักจะเป็นการออกนโยบายที่เข้มงวด สร้างเอกสารข้อบังคับ แจกจ่ายรายการข้อจำกัดต่างๆ แล้วหวังว่าความเสี่ยงจะถูกควบคุมไว้ได้ แต่ในความเป็นจริง การกำกับดูแลที่มีประสิทธิภาพไม่ใช่แบบนั้น มันต้องเป็นระบบที่มีชีวิตชีวา สามารถปรับเปลี่ยนและชี้นำการใช้ AI ในการทำงานประจำวันได้จริง เพื่อนำพาองค์กรไปสู่การเปลี่ยนแปลงอย่างปลอดภัย โดยไม่ฉุดรั้งความเร็วของนวัตกรรม
สำหรับ CISO แล้ว การสร้างสมดุลระหว่างความปลอดภัยและความเร็วในยุค AI ถือเป็นเรื่องสำคัญอย่างยิ่ง เพราะเทคโนโลยีนี้เปรียบเสมือนดาบสองคมที่ทั้งเป็น "โอกาส" และ "ความเสี่ยง" ครั้งใหญ่ที่สุดนับตั้งแต่ยุคอินเทอร์เน็ต หากเดินหน้าเร็วเกินไปโดยไม่มีเกราะป้องกัน อาจทำให้ข้อมูลที่ละเอียดอ่อนรั่วไหลไปกับ Prompt, เกิดปัญหา "Shadow AI" (การแอบใช้ AI ที่ไม่ได้รับอนุญาต) หรือช่องว่างทางกฎระเบียบกลายเป็นหนี้สินที่ต้องชดใช้ แต่ถ้าเดินช้าเกินไป คู่แข่งก็จะทิ้งห่างไปด้วยประสิทธิภาพที่เหนือกว่าจนเราตามไม่ทัน ไม่ว่าจะเลือกทางไหน ก็อาจส่งผลกระทบถึงตำแหน่งหน้าที่การงานของ CISO ได้เช่นกัน
ดังนั้น CISO จึงไม่สามารถทำตัวเป็น "แผนกที่คอยแต่ปฏิเสธ" (department of no) ที่คอยขัดขวางการนำ AI มาใช้ในองค์กร แต่จำเป็นต้องหาหนทางที่จะ "อนุญาตอย่างปลอดภัย" (path to yes) โดยวางกรอบการกำกับดูแลให้สอดคล้องกับระดับความเสี่ยงที่องค์กรยอมรับได้และเป้าหมายทางธุรกิจ เพื่อให้ฝ่ายความปลอดภัยกลายเป็นส่วนสำคัญในการขับเคลื่อนรายได้ให้กับองค์กรได้อย่างแท้จริง
บทความนี้จะนำเสนอ 3 แนวทางที่จะช่วยให้ CISO เปลี่ยนผ่านและขับเคลื่อนโปรแกรมการกำกับดูแล AI เพื่อให้องค์กรสามารถนำ AI ไปใช้งานได้อย่างปลอดภัยในวงกว้าง
1. เข้าใจสถานการณ์หน้างานจริง (Understand What's Happening on the Ground)
เมื่อ ChatGPT เปิดตัวครั้งแรกในเดือนพฤศจิกายน 2022 CISO ส่วนใหญ่ต่างเร่งรีบออกนโยบายที่เข้มงวดเพื่อบอกพนักงานว่า "ห้ามทำอะไรบ้าง" ซึ่งมาจากเจตนาที่ดีเพราะกังวลเรื่องข้อมูลรั่วไหล อย่างไรก็ตาม นโยบายที่สร้างขึ้นจากบนลงล่างแบบนี้มักจะดูดีแค่ในทฤษฎี แต่ใช้ไม่ได้ผลในทางปฏิบัติ
เนื่องจาก AI พัฒนาเร็วมาก การกำกับดูแลจึงต้องออกแบบจาก "โลกความเป็นจริง" โดยคำนึงถึงสิ่งที่เกิดขึ้นจริงในองค์กร CISO จำเป็นต้องมีความเข้าใจพื้นฐานเกี่ยวกับ AI อย่างถ่องแท้ ไม่ว่าจะเป็นตัวเทคโนโลยี, แพลตฟอร์ม SaaS ที่เปิดใช้งาน AI, และวิธีที่พนักงานนำ AI ไปใช้ในการทำงานจริงๆ
เครื่องมืออย่าง การจัดทำบัญชีรายการ AI (AI inventories), ทะเบียนโมเดล AI (model registries), และ คณะกรรมการที่มาจากหลายสายงาน (cross-functional committees) อาจฟังดูเป็นศัพท์เทคนิค แต่สิ่งเหล่านี้คือกลไกสำคัญที่ช่วยให้ผู้บริหารฝ่ายความปลอดภัยเข้าใจ AI ได้ดีขึ้น ตัวอย่างเช่น รายการส่วนประกอบของ AI หรือ AIBOM (AI Bill of Materials) จะช่วยให้เห็นภาพรวมว่า AI โมเดลนั้นๆ ประกอบด้วยอะไรบ้าง ใช้ชุดข้อมูลใด และเชื่อมต่อกับบริการภายนอกอะไร เปรียบเสมือน SBOM (Software Bill of Materials) ในโลกซอฟต์แวร์ที่ช่วยให้เรารู้ว่ามีข้อมูลอะไรถูกนำไปใช้ มาจากไหน และมีความเสี่ยงอะไรบ้าง
ทะเบียนโมเดล AI ก็ทำหน้าที่คล้ายกันสำหรับระบบ AI ที่ใช้งานอยู่แล้ว โดยจะติดตามว่ามีการใช้โมเดลใดบ้าง อัปเดตล่าสุดเมื่อไหร่ และมีประสิทธิภาพเป็นอย่างไร เพื่อป้องกัน "การใช้งาน AI แบบกล่องดำที่ควบคุมไม่ได้" และช่วยในการตัดสินใจว่าจะแก้ไข, ปลดระวาง หรือขยายการใช้งานต่อไป
ส่วน คณะกรรมการ AI จะช่วยให้ภาระการกำกับดูแลไม่ได้ตกอยู่กับฝ่ายความปลอดภัยหรือฝ่ายไอทีเพียงฝ่ายเดียว แต่จะมีตัวแทนจากฝ่ายกฎหมาย, Compliance, HR และหน่วยธุรกิจต่างๆ เข้ามาร่วมด้วย ทำให้การกำกับดูแลกลายเป็นความรับผิดชอบร่วมกันที่เชื่อมโยงระหว่างความปลอดภัยและผลลัพธ์ทางธุรกิจ
2. ปรับนโยบายให้ทันความเร็วขององค์กร (Align Policies to the Speed of the Organization)
หากไม่มีนโยบายที่อิงจากความเป็นจริง ผู้บริหารฝ่ายความปลอดภัยมักจะติดกับดักการสร้างข้อบังคับที่ไม่สามารถทำได้จริง มีตัวอย่างจากเพื่อนร่วมงาน CISO คนหนึ่งที่พยายามส่งเสริมให้พนักงานใช้แอปพลิเคชัน GenAI อย่างมีความรับผิดชอบ แต่เมื่อมี CIO คนใหม่เข้ามาและมองว่ามีการใช้แอปฯ GenAI มากเกินไป CISO คนดังกล่าวจึงได้รับคำสั่งให้ "แบน GenAI ทั้งหมด" จนกว่าจะเลือกแพลตฟอร์มกลางขององค์กรได้เพียงหนึ่งเดียว เวลาผ่านไปหนึ่งปี แพลตฟอร์มที่ว่าก็ยังไม่ได้ข้อสรุป แต่พนักงานกลับแอบไปใช้เครื่องมือ GenAI ที่ไม่ได้รับการอนุมัติ และสร้างช่องโหว่ด้าน "Shadow AI" ให้กับองค์กร สุดท้าย CISO ก็ต้องพยายามบังคับใช้นโยบายที่ทำไม่ได้จริงและถูกตำหนิโดยไม่มีอำนาจในการหาทางออกที่เหมาะสม
สถานการณ์เช่นนี้เกิดขึ้นเมื่อนโยบายถูกเขียนขึ้นเร็วกว่าที่จะนำไปปฏิบัติได้จริง หรือเมื่อนโยบายไม่สอดคล้องกับความเร็วในการปรับตัวขององค์กร นโยบายที่ดูเด็ดขาดบนหน้ากระดาษอาจล้าสมัยได้อย่างรวดเร็ว หากไม่ปรับเปลี่ยนตามการใช้งานจริงของพนักงาน
ทางออกคือการออกแบบนโยบายให้เป็น "เอกสารที่มีชีวิต" (living documents) ที่สามารถพัฒนาไปพร้อมกับธุรกิจ โดยอิงจากกรณีการใช้งานจริงและเป้าหมายที่วัดผลได้ และการกำกับดูแลต้องไม่หยุดอยู่แค่ที่นโยบาย แต่ต้องถูกถ่ายทอดลงไปสู่มาตรฐาน, ขั้นตอนการปฏิบัติงาน และแนวทางพื้นฐานที่ชี้นำการทำงานในแต่ละวัน เพื่อให้พนักงานเข้าใจว่าการใช้ AI อย่างปลอดภัยในทางปฏิบัตินั้นหน้าตาเป็นอย่างไร
3. สร้างการกำกับดูแล AI ให้ยั่งยืน (Make AI Governance Sustainable)
แม้จะมีนโยบายและแผนงานที่แข็งแกร่งเพียงใด พนักงานก็จะยังคงหาทางใช้ AI ในรูปแบบที่ไม่ได้รับการอนุมัติอยู่ดี เป้าหมายของ CISO จึงไม่ควรเป็นการ "แบน" แต่ควรเป็นการทำให้ "การใช้งานอย่างรับผิดชอบ" เป็นทางเลือกที่ง่ายและน่าสนใจที่สุด
นั่นหมายถึงการจัดหาเครื่องมือ AI ระดับองค์กร (Enterprise-grade) ให้กับพนักงาน ไม่ว่าจะเป็นการซื้อหรือพัฒนาขึ้นเอง เพื่อที่พวกเขาจะได้ไม่ต้องหันไปใช้เครื่องมือทางเลือกที่ไม่ปลอดภัย นอกจากนี้ ยังควรส่งเสริมและยกย่องพฤติกรรมการใช้งานที่ดี เพื่อให้พนักงานเห็นคุณค่าของการปฏิบัติตามกฎเกณฑ์มากกว่าการหลีกเลี่ยง
การกำกับดูแลที่ยั่งยืนยังต้องอาศัย 2 เสาหลักจาก SANS Institute's Secure AI Blueprint นั่นคือ การใช้ประโยชน์จาก AI (Utilizing AI) และ การปกป้อง AI (Protecting AI) กล่าวคือ CISO ควรส่งเสริมให้ทีมรักษาความปลอดภัย (SOC) ใช้ AI เพื่อป้องกันภัยคุกคามไซเบอร์ เช่น การลดปริมาณข้อมูลแจ้งเตือนที่ไม่จำเป็น, การตรวจสอบข้อมูลภัยคุกคาม และให้ทีมวิเคราะห์เข้ามาจัดการเมื่อจำเป็น ขณะเดียวกันก็ต้องมีมาตรการควบคุมที่เหมาะสมเพื่อป้องกันระบบ AI จากการถูกโจมตีตามแนวทางของ SANS Critical AI Security Guidelines
บทความนี้เขียนโดย Frank Kim, SANS Institute Fellow
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก