ทำไมการโจมตีไซเบอร์ด้วย AI จึงกลายเป็นความเสี่ยงต่อเสถียรภาพการเงิน

AI เปลี่ยนเกมโจมตีอย่างไร

ความเสี่ยงไซเบอร์ไม่ใช่เรื่องใหม่ และการใช้ระบบอัตโนมัติเพื่อโจมตีก็ไม่ใช่เรื่องใหม่เช่นกัน สิ่งที่ผู้กำกับดูแลกำลังเน้นคือ “ความเร็ว” ของสนามรบที่เปลี่ยนไป เมื่อวันที่ 8 พฤษภาคม 2569 ASIC หรือ Australian Securities and Investments Commission เรียกร้องให้ผู้ได้รับใบอนุญาตด้านบริการการเงินและผู้ร่วมตลาดเร่งยกระดับความทนทานไซเบอร์ เพราะ frontier AI กำลังทำให้สภาพแวดล้อมความเสี่ยงไซเบอร์ทั่วโลกรุนแรงขึ้น .

ความกังวลระยะสั้นจึงไม่ใช่การเกิดรูปแบบโจมตีใหม่ทั้งหมด แต่คือช่องโหว่เดิมอาจถูกค้นพบ ทดสอบ และเจาะได้เร็วขึ้น รายงานเกี่ยวกับบทวิเคราะห์ของ IMF ระบุว่า AI กำลังลดทั้งต้นทุนและเวลาที่ผู้โจมตีต้องใช้ในการระบุและใช้ประโยชน์จากช่องโหว่ ขณะที่ ASIC เตือนว่าการใช้ frontier AI ในทางผิดอาจเปิดเผยช่องโหว่ด้วยความเร็ว ขนาด และความซับซ้อนที่ไม่เคยมีมาก่อน .

แรงกดดันต่อธนาคารและบริษัทการเงินจึงเห็นได้ชัดในสามด้าน:

1. เวลาป้องกันสั้นลง หากช่องโหว่ถูกพบและถูกใช้เร็วขึ้น หน้าต่างเวลาสำหรับตรวจจับ แก้ไข และจำกัดความเสียหายก็แคบลง .
2. ระบบควบคุมเดิมถูกทดสอบหนักขึ้น รายงานเกี่ยวกับจดหมายเปิดผนึกของ ASIC ระบุว่า ประเด็นไม่ใช่ความเสี่ยงชนิดใหม่ทั้งหมด แต่คือมาตรการควบคุมเดิมมีแนวโน้มถูกทดสอบบ่อยขึ้นและภายใต้แรงกดดันมากขึ้น .
3. พื้นผิวการโจมตีกว้างขึ้น APRA เตือนว่าการนำ AI ไปใช้อย่างรวดเร็วในสถาบันการเงินกำลังแซงหน้าการกำกับดูแล ความทนทานไซเบอร์ และการควบคุมความเสี่ยง โดยมีข้อกังวลเรื่องการกำกับของบอร์ด การติดตามตรวจสอบ การใช้งานของพนักงาน การพึ่งพาผู้ให้บริการบางรายมากเกินไป และระบบที่เข้าใจยาก .

จากปัญหา IT สู่ปัญหาเสถียรภาพการเงิน

ถ้าบริษัทเดียวถูกเจาะ ความเสียหายอาจหนักสำหรับบริษัทนั้น แต่ถ้าเหตุโจมตีไปกระทบโครงสร้างพื้นฐานที่หลายสถาบันการเงินใช้ร่วมกัน ผลกระทบอาจลามเป็นลูกโซ่ IMF ชี้ว่าระบบการเงินพึ่งพาโครงสร้างพื้นฐานดิจิทัลร่วมกันอย่างสูง ทั้งซอฟต์แวร์ บริการคลาวด์ และเครือข่ายสำหรับการชำระเงินและข้อมูลอื่น ๆ .

นี่คือเหตุผลที่ความเสี่ยงไซเบอร์ถูกยกระดับจากปัญหาฝ่ายไอทีเป็นปัญหาเสถียรภาพการเงิน บทวิเคราะห์ของ IMF ระบุว่า ความสูญเสียจากเหตุไซเบอร์ขั้นรุนแรงอาจทำให้เกิดแรงกดดันด้านเงินทุน เพิ่มความกังวลด้านความสามารถชำระหนี้ และทำให้ตลาดวงกว้างสะดุด .

รายงาน Global Financial Stability Report บทเกี่ยวกับความเสี่ยงไซเบอร์ยังชี้ว่า จำนวนการโจมตีไซเบอร์เพิ่มขึ้นเกือบสองเท่าเมื่อเทียบกับช่วงก่อนการระบาดของ COVID-19 แม้ความเสียหายโดยตรงที่รายงานส่วนใหญ่ยังค่อนข้างเล็ก เฉลี่ยราว 0.5 ล้านดอลลาร์สหรัฐ แต่ความเสี่ยงของเหตุสูญเสียรุนแรงระดับอย่างน้อย 2.5 พันล้านดอลลาร์สหรัฐเพิ่มขึ้น .

ความต่างตรงนี้สำคัญมาก เหตุไซเบอร์ส่วนใหญ่ไม่ได้กลายเป็นเหตุการณ์ระดับระบบ แต่เหตุการณ์ที่เกิดไม่บ่อยแต่รุนแรงมากอาจกระทบความเชื่อมั่น สภาพคล่อง และการทำงานของตลาดได้ IMF ระบุช่องทางความเสี่ยง เช่น เงินฝากไหลออก การหยุดซื้อขาย และความผันผวนของราคาสินทรัพย์ .

ทำไมผู้กำกับดูแลเตือนธนาคารตอนนี้

คำเตือนจากหลายฝ่ายกำลังมาบรรจบกัน เพราะศักยภาพของ AI เดินหน้าเร็วกว่ากรอบกำกับดูแลและความพร้อมด้านปฏิบัติการของสถาบันการเงินบางแห่ง

ในออสเตรเลีย APRA ระบุว่าธนาคารยังตามไม่ทันพัฒนาการของอุตสาหกรรม AI และแนวปฏิบัติด้านความปลอดภัยสารสนเทศจำนวนมากกำลังพยายามรับมือกับอัตราการเปลี่ยนแปลงที่เร็วมาก . APRA ยังเตือนว่าการนำ AI ไปใช้อย่างรวดเร็วในสถาบันการเงินกำลังแซงหน้าการกำกับดูแล ความทนทานไซเบอร์ และการควบคุมความเสี่ยง .

ต่อมา ASIC เรียกร้องเมื่อวันที่ 8 พฤษภาคม 2569 ให้ผู้ได้รับใบอนุญาตด้านบริการการเงินและผู้ร่วมตลาดลงมือทันที เสริมความทนทานไซเบอร์ และอย่ารอให้มีเครื่องมือ AI ขั้นสูงก่อนจึงค่อยยกระดับพื้นฐานความปลอดภัยไซเบอร์ . ในระดับโลก บทวิเคราะห์ของ IMF เมื่อวันที่ 7 พฤษภาคม 2569 วางกรอบการโจมตีไซเบอร์ที่ถูกเร่งด้วย AI ว่าเป็นความเสี่ยงต่อเสถียรภาพการเงิน และรายงานอีกชิ้นระบุว่า IMF เรียกร้องความร่วมมือระหว่างประเทศมากขึ้นต่อภัยไซเบอร์ที่ขับเคลื่อนด้วย AI .

น้ำเสียงเร่งด่วนยังสะท้อนจากถ้อยแถลงที่รายงานว่าเป็นของ Kristalina Georgieva กรรมการผู้จัดการ IMF ซึ่งเตือนว่า โลกยังไม่มีความสามารถเพียงพอในการปกป้องระบบการเงินระหว่างประเทศจากความเสี่ยงไซเบอร์ขนาดใหญ่ .

ความทนทานที่แข็งแรงขึ้นควรหน้าตาอย่างไร

สารจากผู้กำกับดูแลไม่ได้หมายความว่าองค์กรต้องซื้อเครื่องมือความปลอดภัยเพิ่มเพียงอย่างเดียว แต่หมายถึงการยกระดับธรรมาภิบาล ความทนทานในการดำเนินงาน และความรับผิดชอบให้ทันกับความเร็วของ AI

สิ่งที่ธนาคารและบริษัทการเงินควรเร่งทำ ได้แก่:

• ให้บอร์ดและผู้บริหารเป็นเจ้าของความเสี่ยง AI อย่างชัดเจน APRA ระบุว่าการกำกับดูแลและการกำกับของบอร์ดยังตามหลังการใช้ AI ที่เร่งตัวขึ้น .
• เสริมพื้นฐานไซเบอร์ทันที ASIC ขอให้องค์กรลงมือเดี๋ยวนี้ ไม่ใช่รอเครื่องมือ AI ขั้นสูงก่อนจึงค่อยยกระดับพื้นฐานความปลอดภัยไซเบอร์ .
• ติดตามและควบคุมการใช้ AI ภายในองค์กรให้ดีขึ้น APRA ระบุความเสี่ยงเรื่องการติดตามตรวจสอบ การควบคุม และการใช้งานของพนักงาน .
• จัดการความเสี่ยงจากผู้ให้บริการและโครงสร้างพื้นฐานร่วม APRA ชี้ถึงความเสี่ยงจากการพึ่งพาผู้ให้บริการบางรายและระบบที่ไม่โปร่งใส ขณะที่คำเตือนของ IMF เน้นซอฟต์แวร์ คลาวด์ เครือข่ายชำระเงิน และข้อมูลที่ใช้ร่วมกัน .
• ประสานงานข้ามสถาบันและข้ามประเทศ IMF เรียกร้องความร่วมมือระหว่างประเทศมากขึ้น เพราะแรงกระแทกไซเบอร์สามารถข้ามพรมแดนและไหลผ่านโครงสร้างพื้นฐานที่เชื่อมโยงกันได้ .

บทสรุป

การโจมตีไซเบอร์ด้วย AI ไม่ได้ทำให้วิกฤตธนาคารเกิดขึ้นอย่างหลีกเลี่ยงไม่ได้ แต่ทำให้ความเสี่ยงเดิมเร็วขึ้น ขยายตัวง่ายขึ้น และกดดันจุดพึ่งพาร่วมของระบบการเงินมากขึ้น ค่าเสียหายเฉลี่ยอาจยังดูไม่สูง แต่ความเสี่ยงของเหตุการณ์สุดโต่งกำลังเพิ่มขึ้น นั่นคือเหตุผลที่ IMF, ASIC และ APRA ต้องการให้ธนาคารยกระดับการกำกับดูแล ความทนทานไซเบอร์ และระบบควบคุม ก่อนที่เหตุโจมตีที่ถูกเร่งด้วย AI จะกลายเป็นบททดสอบจริงของเสถียรภาพการเงิน .