สมดุลระหว่างการใช้ AI กับความเป็นส่วนตัวของข้อมูล (ตอนที่ 1): ทำไมธุรกิจจึงต้องระวังการใช้แชตบอต AI
“แชตบอตที่มี AI ฝังไว้ภายใน ต้องเป็นแชตบอตที่ ไม่มีการดึงข้อมูลภายในองค์กรโดยเฉพาะข้อมูลผู้ใช้ที่มีความอ่อนไหวมาใช้งาน และไม่มีการจัดเก็บหรือเปิดเผยข้อมูลเหล่านี้ออกภายนอก บทความนี้จะอธิบายแง่มุมที่ซ่อนอยู่เรื่อง AI Chatbot กับ ความเป็นส่วนตัวของข้อมูล
ท่ามกลางการนำเทคโนโลยีปัญญาประดิษฐ์ (AI) มาใช้ในองค์กรไทยที่เพิ่มขึ้นอย่างรวดเร็ว หนึ่งในนั้นคือ การใช้แชตบอต AI เข้ามาเพิ่มประสิทธิภาพ แต่ก็มาพร้อมความเสี่ยงด้านข้อมูล หากขาดมาตรการกำกับดูแลที่เหมาะสม คำถามที่ตามมาคือ องค์กรควรทำอย่างไรเพื่อใช้ แชตบอต AI ได้อย่างปลอดภัยและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้ง GDPR และ PDPA
ผู้เขียน ขออธิบายถึงแนวทางและมาตรการที่องค์กรสามารถนำมาใช้เพื่อลดความเสี่ยงจากการใช้ AI Chatbot เพื่อการปกป้องข้อมูลสำคัญ อาทิ การป้องกัน Shadow AI หรือการใช้ AI แบบลับๆ เพื่อสร้างและเปิดใช้งานการโจมตีทางไซเบอร์ที่ตรวจจับได้ยาก รวมถึงและการสร้างความพร้อมภายในองค์กร เพื่อให้นำเทคโนโลยี AI มาใช้ได้อย่างมั่นใจและเกิดประโยชน์สูงสุดต่อธุรกิจ
แนวทางการควบคุมและเฝ้าระวังการใช้งาน แชตบอต AI อย่างมีประสิทธิภาพ
แม้แชตบอตที่ขับเคลื่อนด้วย AI จะเป็นเครื่องมือที่ช่วยเพิ่มประสิทธิภาพการทำงานอย่างมีนัยสำคัญ แต่ก็อาจกลายเป็นต้นตอของการรั่วไหลของข้อมูลโดยไม่รู้ตัว
องค์กรควรบริหารจัดการการใช้งาน AI เช่นเดียวกับโครงสร้างพื้นฐานด้าน IT อื่นๆ โดยต้องมีมาตรการคุ้มครองข้อมูลที่รัดกุม มีระบบตรวจสอบที่ชัดเจน กลไกกำกับดูแลที่โปร่งใสและมีประสิทธิภาพ
ในมุมมองของผู้เขียนเห็นว่า องค์กรต่างๆ ที่มีโอกาสเลือกลงทุนผลิตภัณฑ์แชตบอต โดยเฉพาะแชตบอตที่มี AI ฝังไว้ภายใน มีข้อพิจารณาคือ ต้องเป็นแชตบอตที่ ไม่มีการดึงข้อมูลภายในองค์กรโดยเฉพาะข้อมูลผู้ใช้ที่มีความอ่อนไหวมาใช้งาน และไม่มีการจัดเก็บหรือเปิดเผยข้อมูลเหล่านี้ออกภายนอก”
AI Chatbot ที่ดี ต้องได้รับการออกแบบมาเพื่อช่วยให้องค์กรสามารถใช้งานได้ภายในระบบของตนเอง โดยเรียนรู้จากข้อมูลที่อยู่ภายในโซลูชันของตัวเองเท่านั้น ซึ่งทำให้ข้อมูลของลูกค้า โดยเฉพาะข้อมูลที่มีความสำคัญ ยังคงปลอดภัยและอยู่ภายในระบบของลูกค้าโดยไม่ถูกส่งออก
โซลูชันแชตบอต AI ที่มีมาตรฐานระดับโลกนั้น ทุกฟังก์ชัน ทุกความสามารถ และเทคโนโลยี ต้องได้รับการพัฒนาโดยมีแนวคิดเรื่องการคุ้มครองข้อมูลเป็นพื้นฐานตั้งแต่ต้นทาง
ยกตัวอย่างองค์กรที่นำแชตบอตของ ManageEngine ไปใช้งาน ความเป็นส่วนตัวของข้อมูลจะได้รับการเสริมความปลอดภัยยิ่งขึ้นผ่านฟีเจอร์อย่าง Data Loss Prevention (DLP) ซึ่งช่วยควบคุมและติดตามการไหลของข้อมูลภายในระบบ
หลายมิติทางเทคโนโลยีและการใช้งานแชตบอต AI ที่ต้องทำความเข้าใจ
ในการใช้งานแชตบอต AI มีหลายเรื่องทั้งในเชิงของเทคโนโลยีและกระบวนการใช้งานที่ไม่ควรมองข้าม ยกตัวอย่าง แชตบอต AI ที่มีประสิทธิภาพนั้น ต้องมีการบูรณาการกระบวนการตรวจสอบด้านความเป็นส่วนตัวและความปลอดภัยอย่างเข้มงวดไว้ตลอดอายุการทำงานของซอฟต์แวร์ ตั้งแต่ขั้นตอนการออกแบบและพัฒนา ระบบจะมีมาตรการในการตรวจจับและลดความเสี่ยงจากช่องโหว่ที่อาจเกิดขึ้น
แม้หลังจากซอฟต์แวร์ถูกนำไปใช้งานแล้ว ระบบยังคงมีการเฝ้าระวังอย่างต่อเนื่อง เพื่อให้สามารถจัดการกับความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นได้อย่างทันท่วงที ช่วยให้ผู้ใช้งานแชตบอตที่ขับเคลื่อนด้วย AI ได้รับการปกป้องอย่างต่อเนื่องและมั่นใจในความปลอดภัย
การระบุและจำแนกข้อมูลสำคัญทั้งหมดภายในระบบถือเป็นสิ่งที่มีความสำคัญอย่างยิ่ง และควรมีการบังคับใช้มาตรการป้องกันการรั่วไหลของข้อมูล (DLP) อย่างครอบคลุมในทุกช่องทางที่ข้อมูลเดินทางผ่าน
การป้องกันข้อมูลอย่างมีประสิทธิภาพต้องเริ่มจาก การระบุข้อมูลและจัดประเภทให้ชัดเจน จากนั้นจึงใช้มาตรการควบคุมไม่ให้ข้อมูลถูกส่งออกผ่านช่องทางต่างๆ องค์กรสามารถใช้ระบบนี้เพื่อบล็อกหรือแจ้งเตือน เมื่อมีความพยายามที่จะส่งอีเมล คัดลอก หรืออัปโหลดเอกสารที่ถูกจัดประเภทว่าเป็นความลับ
แม้กระทั่งหากความพยายามนั้นเกิดขึ้นผ่านอินเทอร์เฟซแชตบอตก็ตาม นโยบายด้านความปลอดภัย เช่น การป้องกันการคัดลอกไฟล์, การใช้ DLP กับอีเมล, และการจำกัดการใช้อุปกรณ์พกพา จะช่วยให้หากพนักงานพยายามวาง (paste) โค้ดลับหรือข้อมูลลูกค้าลงในแชตบอต ระบบจะสามารถแจ้งเตือนหรือหยุดการกระทำนั้นได้ทันที
ควรมีการติดตั้ง ระบบบันทึกข้อมูลแบบศูนย์กลาง (Centralised Logging) และระบบติดตามการเข้าถึงคลาวด์ (Cloud Access Monitoring) เพื่อเพิ่มความปลอดภัยในการใช้งาน แพลตฟอร์ม SIEM เพื่อรวบรวมข้อมูลการใช้งาน (Logs) ของผู้ใช้และระบบ พร้อมผสานการทำงานกับฟังก์ชัน CASB (Cloud Access Security Broker) เพื่อค้นหาและควบคุมการใช้งานแอปพลิเคชันบนคลาวด์โดยอัตโนมัติ
ซึ่งหมายความว่า หากมีการใช้งาน AI จากแหล่งที่ไม่ได้รับอนุญาต (Shadow AI) หรือการเข้าถึง ChatGPT ระบบจะสามารถบันทึกข้อมูลการใช้งานเหล่านั้นไว้และองค์กรสามารถกำหนดนโยบายในการอนุญาตหรือบล็อกการเข้าถึงเหล่านั้นได้ตามความเหมาะสม
เสริมความปลอดภัยของอุปกรณ์ปลายทาง เพื่อปกป้องและเพิ่มประสิทธิภาพให้กับโครงสร้างพื้นฐานด้านไอทีด้วยการติดตั้งแพตช์อัตโนมัติ, การตรวจสอบทรัพย์สินไอทีอย่างชาญฉลาด, การแก้ไขปัญหาระยะไกล, การรักษาความปลอดภัยของข้อมูล, การจัดการพื้นที่เสี่ยงต่อการโจมตี, การป้องกันภัยจากแรนซัมแวร์ และอื่นๆ จากศูนย์ควบคุมเพียงจุดเดียว
