การ์ทเนอร์คาดอีกสองปี องค์กร 30% จะมองว่าการใช้โซลูชันการยืนยันและพิสูจน์ตัวตนแบบเอกเทศ จะไม่น่าเชื่อถืออีกต่อไป เหตุจาก Deepfakes ที่ปัญญาประดิษฐ์เป็นผู้สร้างขึ้น
การ์ทเนอร์ คาดการณ์ว่า ในปี 2569 การโจมตีแบบ Deepfakes ที่สร้างโดยปัญญาประดิษฐ์ (AI) กับเทคโนโลยีระบุตัวตนบนใบหน้าหรือ Face Biometrics เป็นเหตุให้องค์กรประมาณ 30% มองว่าโซลูชันการยืนยันและพิสูจน์ตัวตนจะไม่น่าเชื่อถืออีกต่อไปหากนำมาใช้แบบเอกเทศ
นายอากิฟ ข่าน รองประธานฝ่ายวิจัยการ์ทเนอร์ กล่าวว่า ช่วงทศวรรษที่ผ่านมา มีจุดเปลี่ยนสำคัญด้าน AI เกิดขึ้นหลายประการ นั่นทำให้เกิดการสร้างภาพสังเคราะห์ขึ้นได้ โดยภาพใบหน้าคนจริง ๆ ที่สร้างขึ้นปลอม ๆ เหล่านี้ หรือที่เรียกว่า Deepfakes นั้น เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถนำมาใช้เพื่อทำลายระบบการพิสูจน์ทราบตัวตนด้วยไบโอเมตริกซ์หรือทำให้ระบบใช้การได้อย่างไม่มีประสิทธิภาพ
ผลที่ตามมาก็คือ องค์กรต่าง ๆ อาจเริ่มตั้งคำถามถึงความน่าเชื่อถือของโซลูชันการยืนยันและพิสูจน์ตัวตน เนื่องจากไม่สามารถบอกได้ว่าใบหน้าบุคคลที่ได้รับการยืนยันนั้นเป็นบุคคลที่มีชีวิตจริงหรือเป็นของปลอมกันแน่
กระบวนการยืนยันและพิสูจน์ตัวตน โดยใช้เทคโนโลยีไบโอเมตริกซ์บนใบหน้าในวันนี้ อาศัยการตรวจจับการโจมตีหลอก หรือ Presentation Attack Detection (PAD) เพื่อประเมินการมีชีวิตอยู่จริงของผู้ใช้
มาตรฐานและกระบวนการทดสอบในปัจจุบัน เพื่อกำหนดและประเมินกลไกของการตรวจจับการโจมตีหลอกนั้น ไม่ครอบคลุมการโจมตีผ่านดิจิทัลหรือ Digital Injection Attacks ที่มาจากภาพสังเคราะห์ ที่สร้างโดย AI ที่สามารถพัฒนาขึ้นได้แล้ววันนี้
ผลการวิจัยการ์ทเนอร์ชี้ว่า การโจมตีแบบ Presentation Attack ที่เป็นการปลอมแปลงข้อมูลอัตลักษณ์ทางกายภาพของบุคคลเป็นการโจมตีที่พบบ่อยที่สุด ทว่าการโจมตีแบบ Injection Attack ที่เป็นการแทรกโค้ดลงในโปรแกรมหรือแบบสอบถาม หรือมัลแวร์ในคอมพิวเตอร์เพื่อควบคุมคำสั่งผ่านระยะไกล ในปี 2566 มีอัตราเพิ่มขึ้นถึง 200%
ทั้งนี้ เพื่อช่วยให้องค์กรธุรกิจสามารถปกป้องตนเองจากภัยคุกคาม ที่พัฒนาขึ้นโดย AI และมีความสามารถเหนือกว่าเทคโนโลยีที่ใช้ในการระบุตัวตนบนใบหน้า ผู้บริหาร CISO และผู้นำจัดการความเสี่ยง ต้องเลือกผู้ขายที่สามารถแสดงให้เห็นได้ว่าพวกเขามีความสามารถ มีแผนการจัดการที่เหนือกว่าคุณภาพมาตรฐาน รวมถึงมีระบบมอนิเตอร์ จัดหมวด และกำหนดปริมาณของภัยคุกคามเกิดใหม่นี้
ที่สำคัญ องค์กรควรเริ่มกำหนดบรรทัดฐานการควบคุมขั้นต่ำด้วยการทำงานร่วมกับผู้ขายที่มีการลงทุนโดยเฉพาะในด้านการลดผลกระทบจากภัยคุกคาม โดยใช้การตรวจจับการโจมตีแบบ Injection Attack Detection (IAD) ควบคู่ไปกับระบบการตรวจสอบภาพ Image Inspection
เมื่อกำหนดกลยุทธ์และบรรทัดฐานการควบคุมพื้นฐานแล้ว ผู้บริหาร CISO และผู้นำทีมการจัดการความเสี่ยงจะต้องรวบรวมความเสี่ยงที่จะเกิดขึ้นเพิ่มเติมและตระหนักถึงสัญญาณที่เป็นภัย อาทิ การระบุการใช้งานอุปกรณ์และการวิเคราะห์พฤติกรรม เพื่อเพิ่มโอกาสการตรวจจับการโจมตีในกระบวนการยืนยันตัวตน
นอกจากนี้ ผู้นำด้านความปลอดภัยและการบริหารความเสี่ยงยังมีบทบาทรับผิดชอบในด้านข้อมูลส่วนบุคคลและการจัดการการเข้าถึง ควรมีขั้นตอนดำเนินการเพื่อลดความเสี่ยงการโจมตีแบบ Deepfake ที่ขับเคลื่อนจาก AI โดยเลือกเทคโนโลยีที่สามารถพิสูจน์ความเป็นมนุษย์ที่แท้จริงได้หรือนำมาตรการเพิ่มเติมมาใช้เพื่อป้องกันการเข้ายึดบัญชีใช้งาน
อ่านข่าวเพิ่มเติม
- โทษหนัก! ‘ตำรวจ’ เตือนใช้ ‘AI’ นำหน้าคนอื่นผลิตสื่อลามก เจอคุก 5 ปี ปรับ 2 แสน
- ผู้โดยสารรู้ยัง? CAAT ปรับเกณฑ์ยืนยันตัวตนก่อนขึ้นเครื่องใหม่ มีผลวันนี้!!
- กสทช. จัดระเบียบซิมการ์ด เกิน 5 ซิมต้องยืนยันตัวตน เริ่มม.ค.67
ติดตามเราได้ที่
เว็บไซต์: https://www.thebangkokinsight.com/
Facebook: https://www.facebook.com/TheBangkokInsight
X (Twitter): https://twitter.com/BangkokInsight
Instagram: https://www.instagram.com/thebangkokinsight/
Youtube: https://www.youtube.com/channel/UCYmFfMznVRzgh5ntwCz2Yxg