Top Ten Cybersecurity & Privacy Threats and Trends 2023

ในโอกาสที่มีการจัดงานสัมมนา Cyber Defense Initiative Conference (CDIC) ของทุกๆ ปี ผู้เขียนจะออกคาดการณ์ 10 แนวโน้มของปีถัดไป หรือที่เรียกว่า Top Ten Cybersecurity & Privacy Threats and Trends 2023

นอกเหนือจากที่กล่าวในงาน ผู้เขียนยังนำมาถ่ายทอดไว้ในเว็บไซต์ ซึ่งประกอบไปด้วย

Trend 1 : Security Awareness is Not Enough, Corporate needs to Cultivate Cyber Resilience Culture and Implement Cyber Attack Simulation

การสร้างความตระหนักรู้ด้านความปลอดภัยไม่เพียงพออีกต่อไปแล้ว ดังนั้นไม่ว่าจะเป็นคนทั่วไปหรือองค์กรก็จำเป็นจะต้องหาความรู้เพิ่มเติม ทำความเข้าใจในรายละเอียด เป็นเสมือนการฉีดวัคซีนไซเบอร์ในเบื้องต้นเพื่อไม่ให้ตกเป็นเหยื่อ

สำหรับองค์กรควรจะต้องปลูกฝังวัฒนธรรมด้านการสร้างความมั่นคงปลอดภัยไซเบอร์ให้แก่พนักงาน ตลอดจนระบบสารสนเทศขององค์กร เพื่อให้มีความทนทาน ความยืนหยุ่น หรือ ที่เรียกว่า Cyber Resilience ต่อภัยคุกคามไซเบอร์ที่อาจเกิดขึ้นเมื่อไหร่ก็ได้

รวมทั้งควรจะต้องมีการทำ “Cyber Drill” (Cyber Attack Simulation) หรือ “การซ้อมหนีไฟทางไซเบอร์” โดยจำลองเหตุการณ์โจมตีทั้งการโจมตีระบบ และการโจมตีที่จิตใจคน เพราะปัจจุบันภัยไซเบอร์ไม่ได้มาในรูปแบบการโจมตีเพื่อบุกรุกเข้าสู่ระบบสารสนเทศขององค์กรเพียงอย่างเดียว แต่จะมุ่งเป้าโจมตีไปที่จิตใจคนเพื่อให้เกิดความโลภหรือเกิดความกลัวจนรีบทำในสิ่งที่แฮกเกอร์หลอกลวงโดยไม่รู้เท่าทัน

การจำลองเหตุการณ์ Cyber Attack จะทำให้เกิดความคุ้นชินกับการโจมตีที่มุ่งเป้าไปที่ตัวบุคคล เพราะเมื่อเราได้เห็นหรือมีประสบการณ์แล้วก็จะรู้ว่า ถ้าโดนโจมตี เราต้องจัดการกับเหตุการณ์นั้นอย่างไร และไม่ตื่นตระหนกตกใจกับเหตุการณ์ดังกล่าวมากจนเกินไป ถ้าเรามีสติ โอกาสที่จะตกเป็นเหยื่อมิจฉาชีพก็จะลดลง

คำแนะนำ : องค์กรควรจัดให้มีการซ้อมหนีไฟทางไซเบอร์ หรือที่เรียกว่า Cyber Drill เพื่อซักซ้อมแนวทางปฏิบัติที่จะรับมือกับการเผชิญเหตุอย่างน้อยปีละ 1-2 ครั้ง เป็นการสร้างภูมิคุ้มกันให้แก่บุคลากรและองค์กรไปพร้อมๆ กัน

 Trend 2 : Adopt “Cyber Mindset” from “Are We Secure?” to “Are we Ready”

การเปลี่ยน Mindset ยังไม่เพียงพอที่จะรับมือกับภัยไซเบอร์อีกต่อไป แต่เราจะต้องตระเตรียมความพร้อมด้วยการมีแผนสำรองและแผนการรับมือกับภัยไซเบอร์ เพื่อให้มั่นใจได้ว่าจะสามารถโต้ตอบภัยคุกคามที่อาจจะลุกลามเข้ามาถึงตัวเราเมื่อไรก็ได้

นอกจากความตระหนักรู้ (Awareness) และความเข้าใจ (Understand) เกี่ยวกับภัยไซเบอร์แล้ว ก็ยังต้องทำให้เกิดการนำไปปรับใช้ (Adopt) ด้วย เพราะปัจจุบันหมดยุค “Are We Secure?” หรือ เราปลอดภัยหรือไม่? เนื่องจากไม่มีทางที่เราจะปลอดภัยได้ 100% แต่กลับต้องถามว่า “Are we Ready?” หรือ เราพร้อมหรือไม่? โดยเราทุกคนควรจะต้องสามารถรับมือกับภัยไซเบอร์ที่มีหลากหลายรูปแบบในปัจจุบันได้ด้วยตนเอง

Adopt “Cyber Mindset” from “Are We Secure?” to “Are we Ready” แนวโน้มนี้ใช้ได้ทั้งในมุมขององค์กรและการใช้ชีวิตประจำวันของคนทั่วๆ ไป โดยเฉพาะองค์กรควรจะต้องมีแผนในการโต้ตอบอย่างเป็นขั้นเป็นตอน มีความชัดเจน และเป็นมาตรฐาน ซึ่งปัจจุบันมีการนำหลักการ Incident Response Plan มาใช้กันอย่างแพร่หลาย 

Incident Response Plan เป็นแนวปฏิบัติที่สามารถสร้างความพร้อมในการเผชิญเหตุให้ผู้บริหารองค์กรมั่นใจมากขึ้น หากต้องเผชิญหน้ากับภัยคุกคาม สามารถที่จะแก้ปัญหา กู้คืนข้อมูล และดำเนินธุรกิจต่อไปได้อย่างมั่นคงโดยไม่ได้รับผลกระทบรุนแรง

คำแนะนำ : องค์กรควรจะต้องซ้อมแผน Cyber Drill เชิงลึก เพื่อเป็นการทดสอบระบบป้องกันภัยคุกคามในภาพรวม ควบคู่ไปกับการประเมินประสิทธิภาพและประสิทธิผลของ Incident Response Plan อีกด้วย

Trend #3 : Digital Supply Chain @RISK

การดำเนินธุรกิจในปัจจุบันเบื้องหลังมีการใช้ระบบ Digital Supply Chain หรือห่วงโซ่อุปทานดิจิทัลกันอย่างแพร่หลาย ซึ่งหมายถึง มีการติดต่อซื้อขายสินค้าและบริการผ่านระบบออนไลน์ โดยทั้งฝ่ายผู้ซื้อและผู้ขายเชื่อมต่อระบบเข้าหากันในลักษณะ Online Real-time

กล่าวได้ว่าปัจจุบันเป็นโลกแห่งการเชื่อมต่อกันอยู่ตลอดเวลา มีทั้งการเชื่อมต่อแบบออฟไลน์และออนไลน์ เนื่องจากการเชื่อมต่อกันแบบเรียลไทม์ทำให้เกิดทราฟิกขึ้นจำนวนมาก จึงยากต่อการตรวจสอบด้วยสภาวะของระบบที่มีความเร็วสูงและข้อมูลปริมาณมหาศาล

คำถามก็คือ “เราจะมั่นใจได้อย่างไรว่า ระบบของผู้ที่เราติดต่อด้วยนั้นมีความมั่นคงปลอดภัยเพียงพอ?” ตอบได้ว่า เราไม่มีทางรู้ได้ชัดเจนว่าระบบนั้นมีความมั่นคงปลอดภัยเพียงใด เพราะการดำเนินธุรกิจไม่ได้ติดต่อซื้อขายสินค้าและบริการกับเวนเดอร์หรือซัพพลายเออร์เพียงรายเดียว หากแต่บางบริษัทมีเวนเดอร์และซัพพลายเออร์ นับสิบหรือนับร้อยราย ซึ่งนั่นหมายถึงความเสี่ยง แม้ว่าบริษัทของเราจะมีระบบสารสนเทศที่มั่นคงปลอดภัยเพียงใดแต่ก็ยังมีความเสี่ยงจากปัจจัยภายนอกดังกล่าว

นั่นเป็นเพราะแฮกเกอร์สามารถโจมตีระบบของเวนเดอร์หรือซัพพลายเออร์ผ่านเข้ามาสู่ระบบของบริษัทเราได้ ทำให้อาจเกิดปัญหาข้อมูลรั่วไหล ก่อให้เกิดความเดือดร้อนทั้งเราและลูกค้าของเรา ปัญหาเหล่านี้คือ ความเปราะบางในระบบสารสนเทศของเวนเดอร์หรือซัพพลายเออร์ ทำให้เราในฐานะที่เป็นบริษัทคู่ค้าย่อมมีความเสี่ยงไปด้วยอย่างหลีกเลี่ยงไม่ได้

คำแนะนำ : องค์กรควรจะต้องมีหลักการประเมินมาตรฐานความมั่นคงปลอดภัยของเวนเดอร์หรือซัพพลายเออร์ โดยมีการกำหนดมาตรฐานขั้นต่ำเอาไว้ ยกตัวอย่างเช่น องค์กรควรกำหนดให้ เวนเดอร์หรือซัพพลายเออร์ ต้องผ่านการประเมินมาตรฐาน ISO/IEC 27001 ควรมีการจัดทำ Vulnerability Assessment และ Penetration Testing หรือมีการนำกรอบแนวทางปฏิบัติของ NIST Cybersecurity Framework หรือ CISA Cyber Resilience Review มาใช้ภายในองค์กร เป็นต้น

Trend #4 : From “Cyber Drill” to “BAS” (Breach and Attack Simulation)

การจำลองเหตุการณ์ข้อมูลรั่ว เพื่อซักซ้อมการรับมือกับสถานการณ์ดังกล่าวมีความจำเป็นมากในยุคนี้ เพราะการซ้อมหนีไฟไซเบอร์ (Cyber Drill) อาจไม่เพียงพออีกต่อไป

BAS หรือ Breach and Attack Simulation การจำลองเหตุการณ์ข้อมูลรั่วจากการถูกโจมตีทางไซเบอร์ เป็นการสร้างสถานการณ์การถูกเจาะระบบครั้งใหญ่เสมือนจริง อาจเกิดเหตุข้อมูลรั่วไหล ที่ทำให้ธุรกิจไม่สามารถดำเนินต่อไปได้เนื่องจากเกิดความเสียหายที่รุนแรง

BAS จะทำให้เกิดการเรียนรู้ว่า องค์กรจะต้องดำเนินการอย่างไรเพื่อหยุดการรั่วไหลของข้อมูล (How to stop Data Breach) เพื่อให้มีการซักซ้อมการนำแผน Incident Response มาใช้จริง ฝึกให้ผู้ที่มีส่วนเกี่ยวข้องได้เรียนรู้เชิงปฏิบัติ และควรให้พนักงานทุกคนมีส่วนร่วมกับ BAS

แต่เหนือสิ่งอื่นใด เราต้องทำความเข้าใจในความแตกต่างระหว่าง BAS กับ Cyber Drill หรือการซ้อมหนีไฟไซเบอร์ให้ถ่องแท้ โดยอธิบายได้ว่า Cyber Drill เป็นการซ้อมหนีไฟไซเบอร์ที่สร้างความตระหนักรู้ (Awareness) รู้จักรูปแบบของการโจมตี เช่น รู้จักกลวิธีของ Phishing, Malware, Smishing ลดความเสี่ยงที่จะตกเป็นเหยื่อ

ในขณะที่หากซ้อมด้วยการจำลองสถานการณ์เสมือนจริง หรือ BAS มีรายละเอียดที่ซับซ้อนทำให้เกิดการเรียนรู้ ได้ลงมือปฏิบัติ ซึ่งจะให้ผลลัพธ์ที่มากกว่าการซ้อมเพื่อการตระหนักรู้ เพราะรวมถึงการทำ Incident Response และ Incident Handling อีกด้วย

คำแนะนำ : ถ้าไม่ติดขัดเรื่องงบประมาณ องค์กรควรจัดให้มีการจำลองเหตุการณ์ไม่พึงประสงค์เสมือนจริง (BAS) แม้จะมีค่าใช้จ่าย แต่องค์กรจะได้เรียนรู้เชิงลึก พร้อมรับสถานการณ์ไม่พึงประสงค์ เช่น สถานการณ์ข้อมูลรั่วไหล วิธีการกู้คืนข้อมูล วิธีการ Block Traffic ที่เกิดปัญหา แนวปฏิบัติในการรับมือกับสถานการณ์ข้อมูลรั่ว ตลอดจนการซ้อม Crisis Management และการกอบกู้ชื่อเสียงขององค์กรอีกด้วย

Trend #5 : The Hidden Link between “Your Digital Footprint” & “Your Digital Identity”

ความลับของความเชื่อมโยงระหว่างร่องรอยทางดิจิทัล (Digital Footprint) กับอัตลักษณ์ดิจิทัลของบุคคล (Digital Identity) ที่ถูกซ่อนไว้มานานกำลังเริ่มเป็นที่สนใจของผู้ใช้แพลตฟอร์มต่างๆ ทั่วโลก โดยปัจจุบันแพลตฟอร์มมักจะเก็บประวัติการใช้งานของเราทั้งหมดไว้ ทำให้รู้ถึงพฤติกรรมหรือความสนใจส่วนตัวของเราในทุกย่างก้าวโดยที่เราอาจไม่รู้ตัว

เมื่อใดที่มีการนำ Digital Footprint ไปเชื่อมโยงกับ Digital Identity จะทำให้แพลตฟอร์มสามารถวิเคราะห์และรู้จักตัวตนของเรามากยิ่งขึ้น หากข้อมูลรั่วก็จะยิ่งมีความเสี่ยงมากขึ้นตามมาด้วย

แม้ว่าเราจะยกเลิกการใช้งานแพลตฟอร์มนั้นๆ แล้ว และขอให้ลบข้อมูลประวัติการใช้งานของเราด้วยก็ตาม แต่ในความเป็นจริงแพลตฟอร์มอาจไม่ได้ลบข้อมูลของเราออก แต่กระทำเพียง Data Pseudonymization ก็เป็นไปได้

ทั้งนี้การซ่อน Digital Identity ของเราเป็นสิ่งที่หลีกเลี่ยงได้ยาก เพราะการสมัครและเข้าใช้งานจะต้องมีการพิสูจน์และยืนยันตัวตนอยู่เสมอ ซึ่งนั่นก็คือการ Login Sign-in ที่เราอาจจะทำวันละหลายๆ ครั้ง ในหลากหลายแพลตฟอร์ม 

คำแนะนำ : สำหรับ Digital Identity ควรจะต้องใช้ 2FA หรือ Two-factor Authentication เป็นการยืนยันตัวตนแบบสองปัจจัย จะช่วยให้มีความปลอดภัยยิ่งขึ้น ส่วน Digital Footprint เป็นเรื่องที่สามารถควบคุมได้ด้วยตัวเอง ถ้ามีกิจกรรมในแพลตฟอร์มน้อย ประวัติการใช้งานก็จะน้อยตามไปด้วย และข้อสำคัญไม่ควรเปิดการใช้งานเป็นสาธารณะเพราะอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้ามาดูเรื่องราวที่เราโพสต์ไว้ได้ตลอดเวลา และนำ Digital Footprint ของเราไปใช้ประโยชน์ในทางมิชอบ

Trend #6 : From “Cyber Risk” to “Digital Risk” From “Digital Divide” to “Digital Inequality”

ในเทรนด์นี้แบ่งเป็นสองเรื่อง เรื่องแรก From “Cyber Risk” to “Digital Risk” คือ ความเสี่ยงที่มากับยุคแห่ง  Digital Transformation ซึ่งปัจจุบันความเสี่ยงภัยยุคใหม่ได้กลายเป็น “Digital Risk” ไปแล้ว เนื่องจาก Digital Risk นั้นให้ความหมายที่กว้างกว่า Cyber Risk โดย Digital Risk มีประเด็นที่เกี่ยวข้อง 7 ด้าน ดังนี้

1.ความเสี่ยงไซเบอร์

2. ความเสี่ยงภัยที่มากับคู่ค้าหรือบุคคลที่สาม รวมถึงการใช้คลาวด์

3.ความเสี่ยงจากการไม่ปฏิบัติตามกฏหมายและกฎระเบียบ

4. ความเสี่ยงจากการใช้ระบบอัตโนมัต

5. ความเสี่ยงจากการใช้เทคโนโลยี

6. ความเสี่ยงข้อมูลรั่วไหล

7. ความเสี่ยงด้านการขาดแคลนบุคลากร

เรื่องที่สอง From “Digital Divide” to “Digital Inequality” คือ Digital Divide ความไม่เท่าเทียมกันของโอกาสในการเข้าถึงอินเทอร์เน็ตซึ่งหมดยุคไปแล้ว แต่ปัจจุบันประเทศไทยรวมถึงทั่วโลก กำลังก้าวเข้าสู่ยุคที่เป็นความเหลื่อมล้ำทางดิจิทัล ในเรื่องของความรู้ (Knowledge) และทักษะ (Skill) ในการใช้เทคโนโลยีดิจิทัล หรือ “Digital Inequality” ตัวอย่างเช่น คนใช้สมาร์ทโฟนรุ่นเดียวกัน แต่มีความสามารถและทักษะในการตั้งค่าความปลอดภัยของเครื่องได้ไม่เท่ากัน 

คำแนะนำ : ทั้งในมุมของ “Digital Risk” และ “Digital Inequality” สิ่งสำคัญที่สุดคือ การไม่รู้ว่าเราไม่รู้อะไร (Unknown Unknowns) และการที่เราจำเป็นต้องรู้เท่าทัน ดังนั้นเราควรจะต้องหาความรู้ให้กับตัวเอง และเรียนรู้ทักษะการใช้อุปกรณ์ดิจิทัลต่างๆ รวมทั้งลงมือปฏิบัติในการปรับค่าต่างๆ ในอุปกรณ์ดิจิทัลให้มีความมั่นคงปลอดภัยเพื่อจะได้ไม่ตกเป็นเหยื่อภัยจากความเสี่ยงดิจิทัลทั้งเจ็ด  

Trend #7 : Preparing for “The Unknown Unknown Threats” Cyber Resilience : The Foundation of Digital Transformation Success

ภัยคุกคามที่มาจากการไม่รู้ว่าเราไม่รู้อะไร หรือ “Unknown Unknowns” ซึ่งเป็นหลักคิดของ Mr.Donald Rumsfeld อดีตรัฐมนตรีว่าการกระทรวงกลาโหมสหรัฐสองสมัย เป็นเรื่องของความไม่รู้ที่น่ากลัวเพราะ “ไม่รู้ว่าตัวเองไม่รู้” โดยหลักคิดนี้แบ่งได้เป็น 4 กลุ่ม ซึ่งอีก 3 กลุ่ม ได้แก่ 

“Unknown Knowns” สิ่งที่เรารู้และเข้าใจแล้วแต่ยังไม่รู้ลงไปลึกๆ ว่ามันมีอะไรที่ยังซ่อนอยู่และเรายังไม่รู้อีกหรือไม่ “Known Unknowns” เรารู้แล้วว่าเรายังไม่รู้อะไร นำไปสู่การวิจัยแก้ไขปัญหา และ “Known Knowns” สิ่งที่เรารู้แล้วว่าเป็นความจริงและเป็นองค์ความรู้ที่นำมาใช้ได้ หากเรียงลำดับความเสี่ยง “Unknown Unknowns” นับว่าเสี่ยงที่สุด ส่วน “Known Knowns” คือเสี่ยงน้อยสุด

คำแนะนำ : สำหรับองค์กรหากจะปฏิรูปองค์กรไปสู่การทำ Digital Transformation ให้สำเร็จ ควรจะต้องก้าวข้ามจากความปลอดภัยไซเบอร์หรือ Cybersecurity ไปยังแนวทางใหม่ได้แก่ “Cyber Resilience” ซึ่งองค์กรจะมุ่งสู่สภาวะที่มีความยืดหยุ่นและทนทานต่อการโจมตีของภัยคุกคามต่างๆ โดยเปรียบได้ว่าองค์กรต้องหลุดจากกลุ่ม “Unknown Unknowns” มาอยู่ในกลุ่ม “Unknown Knowns” หรือ “Known Unknowns”

Trend #8 : CIO & CISO need to be “Value Driven Professional” 

ปัจจุบันตำแหน่งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง หรือ CIO และผู้บริหารด้านความมั่นคงปลอดภัยสารสนเทศระดับสูง หรือ CISO ในองค์กร มีความจำเป็นที่จะต้องสร้างคุณค่าในการขับเคลื่อนองค์กรแบบมืออาชีพไปพร้อมๆ กับการบริหารจัดการระบบสารสนเทศและการรักษาความมั่นคงปลอดภัยระบบสารสนเทศที่เป็นงานหลักอยู่แล้ว

ปัจจุบันหมดยุคที่ CIO และ CISO ทำหน้าที่เพียงแค่ดูแลบริหารจัดการระบบสารสนเทศและรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ และมีความรู้เพียงแต่ด้านเทคโนโลยี หากแต่ CIO และ CISO ยุคนี้ “จำเป็นต้อง” มีความรู้มากกว่าที่กล่าวมา รวมทั้งมีความสามารถในการเขียนแผนของบประมาณเพื่อนำมาปรับปรุงระบบให้พร้อมใช้ มีความมั่นคงปลอดภัย ดังนั้น CIO/CISO จำเป็นต้องมีความรู้ทางด้านธุรกิจ ด้านการวางกลยุทธ์ในการขับเคลื่อนองค์กรไปสู่ความสำเร็จ ตลอดจนด้านอื่นๆ ที่เกี่ยวข้องกับเส้นทางที่จะนำองค์กรไปสู่ความสำเร็จตามเป้าหมายที่กำหนดไว้ใน Business Objectives ไม่ใช่ IT Objectives 

คำแนะนำ : CIO/CISO ยังจำเป็นต้องมีผลงานในการสร้างคุณค่าในเชิงประจักษ์ชัดเจน หรือมีส่วนสำคัญในการขับเคลื่อนยุทธศาสตร์ และนวัตกรรมขององค์กรอย่างหลีกเลี่ยงไม่ได้ ซึ่งหาก CIO/CISO ไม่มีความสามารถในการสร้างคุณค่าให้องค์กร เชื่อว่าในไม่ช้าไม่นานก็อาจหมายถึงการสิ้นสุดตำแหน่งที่ครอบครองอยู่ เราจะสังเกตการเปลี่ยนแปลงได้ในยุคปัจจุบันและอนาคตอันใกล้นี้

Trend #9 : Cybersecurity and DEI (Diversity, Equity, and Inclusion)

ปัจจุบัน DEI (Diversity, Equity, Inclusion) เป็นเทรนใหม่ของโลกที่องค์กรยุคใหม่ควรนำมาประยุกต์ใช้ แต่หากเจาะลึกมายังสายอาชีพทางด้าน Cybersecurity สามารถขยายความได้ ดังนี้

Diversity หมายถึง ความหลากหลาย ที่ผ่านมาบุคลากรทางด้าน Cybersecurity ของประเทศไทยส่วนใหญ่มักเป็นเพศชาย แต่ยุคปัจจุบันมีความหลากหลายทางเพศมากขึ้น ไม่เฉพาะเพศหญิงที่เข้ามาทำงานในสายนี้ (Women in Cybersecurity) แต่ยังหมายถึง LGBTQ+ ที่เข้ามาในแวดวงนี้มากขึ้น ซึ่งโดยธรรมชาติจะมีความละเอียดและประณีตมากกว่าเพศชาย ความหลากหลายดังกล่าวนั้นนับเป็นประโยชน์ต่อองค์กร และความหลากหลายยังทำให้เกิดสิ่งใหม่หรือความคิดสร้างสรรค์ใหม่ๆ จากการ Brainstorm กันด้วยความเห็นที่แตกต่าง นอกจากนี้ความหลากหลายทางอายุยังทำให้เกิดผลดีต่อองค์กรในเชิงที่สร้างสรรค์ด้วยเช่นกัน  

Equity หมายถึง ความเสมอภาค ไม่ว่าจะเป็นพนักงานในแผนกใดหรือฝ่ายใดก็ควรมีสิทธิ์ได้รับการปฏิบัติอย่างเสมอภาค เพราะเมื่อใดที่พนักงานในองค์กรมีความเหลื่อมล้ำกัน ก็มักจะนำองค์กรไปสู่ความแตกแยก แบ่งเป็นฝักเป็นฝ่าย สร้างปัญหาให้กับองค์กร แต่หากทุกคนมีความเสมอภาคกันในระดับหนึ่งย่อมจะผลดีต่อองค์กรทั้งในระยะสั้นและระยะยาว

Inclusion หมายถึง การมีส่วนร่วม ประเด็นนี้ควรจะเริ่มจุดประกายตั้งแต่ระดับผู้บริหารขององค์กร ควรจัดให้มีกิจกรรมที่ทุกฝ่ายและพนักงานทุกระดับมีส่วนร่วมซึ่งกันและกัน เช่น ทำงานร่วมกัน มีกิจกรรมร่วมกัน เป็นต้น เพื่อให้เกิดความร่วมมือร่วมใจ และอาจหมายถึงการได้เห็นบทบาทปัญหาอุปสรรคของแต่ละฝ่ายในการทำงานเหล่านั้นด้วย

คำแนะนำ : DEI เป็นแนวโน้มใหม่ของโลกในศตวรรษที่ 21 ที่ผู้บริหารระดับสูงขององค์กร ควรจะต้องรู้และปรับตัวให้รับกับการเปลี่ยนแปลงที่เกิดขึ้น ในขณะที่ผู้บริหารจัดการงานทางด้าน Cybersecurity ก็ควรจะต้องเปิดใจให้กว้างขึ้นตามแนวโน้มของ DEI เช่นเดียวกันกับผู้บริหารสายงานอื่นๆ ด้วยเช่นกัน 

Trend #10 : The Age of “Information Disorder”

ปัจจุบันกล่าวได้ว่าพวกเราทุกคนบนโลกอยู่ในยุคสมัยที่เรียกว่า “The Age of Information Disorder” ทุกครั้งที่เปิดใช้สื่อโซเชียลไม่ว่าจะเป็น LINE, Facebook, Twitter ฯลฯ นอกจากข้อมูลข่าวสารที่เป็นความจริงตามปกติแล้ว เรายังต้องพบกับข้อมูลอีก 3 ประเภทที่ไม่เป็นปกติ หรือที่เรียกว่า Information Disorder ซึ่งประกอบไปด้วย

Misinformation เป็นข้อมูลที่ “ผิด” แต่ถูกแชร์ออกไปโดยไม่รู้ว่าข้อมูลนั้นไม่เป็นความจริง เช่น มีคนแชร์มาว่า สมุนไพรนี้กินแล้วไม่ต้องกินยาความดัน เมื่อได้รับข้อมูลนั้นก็เกิดความเชื่อแล้วก็แชร์ต่อให้คนอื่นๆ หวังว่าจะเป็นประโยชน์ต่อคนๆ นั้น โดยไม่รู้ว่าข้อมูลที่แชร์ออกไปไม่เป็นความจริง

Disinformation เป็นข้อมูลที่ “ถูกบิดเบือน” คือ เป็นความจริงที่ถูกนำมาเปิดเผยเพียงแค่ส่วนที่ไม่ดี โดยผู้ไม่ประสงค์ดี สร้างความเชื่อด้วยการนำความจริงด้านลบมาตีแผ่ แต่ไม่พูดถึงด้านดี หรือเรียกว่า Half-truth เช่น บอกว่าฉีดวัคซีนโควิดแล้วตาย แต่ไม่ได้บอกว่าโอกาสที่จะตายด้วยวัคซีนนั้นมีเพียงแค่ 0.0018% เท่านั้น จนทำให้คนหลงเชื่อไม่ยอมฉีด ทั้งที่ในความเป็นจริง ฉีดดีกว่าไม่ฉีด เพราะโอกาสที่จะตายด้วยโควิดมีสูงถึง 2 %

Malinformation เป็นข้อมูล “ความจริงที่สร้างความเดือดร้อน” คือข้อมูลจริง แต่หากเปิดเผยออกไปจะสร้างความเสียหาย และเสื่อมเสียให้แก่เจ้าของข้อมูล มีการใส่ไฟ ให้ร้าย ดูถูกเหยียดหยาม มีเจตนามุ่งร้ายไปยังบุคคลนั้นๆ ยกตัวอย่างเช่น แอบถ่ายคลิปซึ่งเป็นเรื่องลับแล้วนำมาเปิดเผยต่อสาธารณะ เป็นต้น

คำแนะนำ : เราควรจะต้องแยกแยะให้ออกว่าข่าวสารหรือข้อความที่ได้รับมานั้นจัดอยู่ในประเภทใด ไตร่ตรองให้ดีก่อนเชื่อก่อนแชร์ เมื่อรู้ว่าเป็นข้อมูลที่อยู่ใน 3 ประเภทที่กล่าวมาก็ไม่ควรที่จะเสพต่อไป เพราะปัจจุบันมีผู้ไม่หวังดีสร้างข่าวที่บิดเบือนความจริงขึ้นมา โดยมีจุดประสงค์ร้าย หากเรายังเสพและมีการแชร์ก็จะทำให้เกิดความเข้าใจผิดหมู่ หรือที่เรียกว่าการสร้างจิตวิทยาหมู่ และอคติมีความเอนเอียงทางความคิด เพื่อหลอกลวงคนกลุ่มนั้นให้เชื่อในสิ่งที่ผู้ไม่ประสงค์ดีต้องการให้เชื่อไม่ว่าสิ่งนั้นจะจริงหรือไม่จริงก็ตาม