IT Risk Management (ITRM) Training
วันนี้ทีมของคุณกดรับนัด เปิดเอกสาร สแกน QR Code หรือ Login เข้าระบบไปกี่ครั้ง โดยแทบไม่ได้เช็กปลายทาง?
สิ่งที่ดูเป็นงานปกติของทีม กำลังกลายเป็นพื้นที่ให้ผู้โจมตีแฝงตัวได้แนบเนียนขึ้น
บทวิเคราะห์จาก Microsoft Threat Intelligence และ Google Fraud & Scams Advisory เดือนมิถุนายน 2569 สะท้อนทิศทางใกล้กันว่า ผู้โจมตีกำลังอาศัยแบรนด์ เครื่องมือ Cloud และบริการที่คนทำงานคุ้นเคย มาเพิ่มความน่าเชื่อถือให้กับการหลอกลวงมากขึ้น สิ่งที่น่าคิดคือ AI Scam หลายกรณีไม่ได้เกิดจากเทคนิคใหม่ทั้งหมด แต่เป็นกลลวงเดิมที่ถูกปรับให้เข้ากับพฤติกรรมของคนทำงานยุค AI ตั้งแต่อีเมลปลอม การแอบอ้างตัวตน ไฟล์อันตราย QR-code Phishing ไปจนถึงหน้า Login ปลอมที่พยายามเลียนแบบบริการจริง
เป้าหมายจึงไม่ได้อยู่ที่การเจาะระบบโดยตรงเสมอไป แต่อาศัยความคุ้นชิน ความเร่งรีบ และความไว้วางใจของคนในองค์กรเป็นทางผ่าน
5 จุดในวันทำงาน ที่ดูธรรมดา แต่อาจกลายเป็นจุดเริ่มต้นของความเสี่ยงด้าน IT
- จุดแรกคือ อีเมลที่อ้างชื่อ AI Tool ดังๆ ซึ่ง Microsoft ระบุว่าพบแคมเปญที่ปลอมแบรนด์ AI Tools เช่น ChatGPT, Microsoft Copilot, DeepSeek และ Claude เพื่อใช้เป็นเหยื่อล่อ เพราะเมื่อชื่อเครื่องมือดูคุ้นเคย ผู้ใช้จำนวนมากอาจลดความระวังลงโดยไม่รู้ตัว
- จุดที่สองคือ Calendar Invite และเครื่องมือ Cloud ที่เรากดรับจนชินมือ โดย Google พบทั้งคำเชิญประชุมปลอม และการใช้เอกสาร Cloud ที่ซ่อนหน้าเพจล่องหน หรือ invisible page เพื่อหลอกให้กรอกข้อมูล พร้อมหลบเลี่ยงการตรวจจับบางรูปแบบ
- จุดที่สามคือ หน้า Login ที่ดูเหมือนของจริง โดยเฉพาะบริการ Cloud หรือระบบองค์กร ความเสี่ยงไม่ได้อยู่แค่ผู้ใช้กรอกข้อมูลผิดที่ แต่คือบัญชีนั้นเชื่อมกับระบบใด มีสิทธิ์เข้าถึงข้อมูลอะไร และหากถูกนำไปใช้ต่อ องค์กรจะตรวจพบและจำกัดผลกระทบได้เร็วแค่ไหน
- จุดที่สี่คือ QR Code ที่พาไปสู่จุดเสี่ยง เพราะ QR Code ทำให้เรามองไม่เห็นปลายทางก่อนกด หากถูกแนบมากับอีเมล เอกสาร ประกาศภายใน หรือข้อความที่อ้างว่าเกี่ยวกับการยืนยันตัวตน ความเสี่ยงอาจเริ่มตั้งแต่จังหวะที่เราหยิบมือถือขึ้นมาสแกน โดยยังไม่รู้ว่าลิงก์นั้นจะพาไปที่ใด
- จุดที่ห้าคือ ข้อเสนอด้านการลงทุนหรือเครื่องมือที่อ้างว่าใช้ AI บางแคมเปญทำให้ข้อเสนอดูทันสมัยและน่าสนใจ เช่น ระบบช่วยลงทุนหรือเครื่องมือวิเคราะห์อัตโนมัติ ก่อนชวนให้ผู้ใช้ดาวน์โหลดไฟล์ รันโค้ด หรือโอนเงินลงทุน ความเสี่ยงจึงอยู่ที่การใช้ภาพลักษณ์ของ AI มาทำให้ผู้ใช้ลดความระวังลง
ทั้ง 5 จุดนี้สะท้อนว่า ความเสี่ยงไม่ได้อยู่แค่อีเมลแปลกๆ หรือเว็บไซต์ที่ดูไม่น่าเชื่อถืออีกต่อไป แต่แทรกอยู่ใน workflow ที่คนทำงานใช้ทุกวัน
เมื่อความเสี่ยงเข้ามาอยู่ในกระบวนการทำงานจริง องค์กรจึงต้องมองให้ไกลกว่าเหตุการณ์เฉพาะหน้า หากบัญชีหนึ่งถูกขโมย ผลกระทบอาจไม่หยุดอยู่ที่ User คนนั้น แต่อาจต่อเนื่องไปถึงข้อมูลลูกค้า เอกสารโครงการ การอนุมัติทางการเงิน ความต่อเนื่องของบริการ หรือความน่าเชื่อถือของระบบที่องค์กรใช้ส่งมอบงานให้ลูกค้า
สิ่งที่ดูเหมือนเหตุการณ์เล็กๆ จึงอาจกลายเป็นความเสี่ยงระดับองค์กรได้ หากไม่มีการประเมินและวางแผนรับมือล่วงหน้า AI Scam จึงไม่ควรถูกมองแค่เป็นเรื่องการเตือนพนักงานให้ระวังตัว แต่ควรถูกประเมินในมุม IT Risk Management ด้วยว่า หากเกิดขึ้นแล้วจะกระทบระบบ ข้อมูล ลูกค้า โครงการ หรือกระบวนการสำคัญของธุรกิจอย่างไร เพราะความเสี่ยงลักษณะนี้ไม่ได้จบแค่ระบบถูกโจมตีหรือข้อมูลรั่ว แต่ยังอาจกระทบความต่อเนื่องของบริการ ประสิทธิภาพการทำงาน ความน่าเชื่อถือของระบบ การปฏิบัติตามข้อกำหนด และคุณค่าทางธุรกิจโดยรวม
การเตือนว่า “อย่ากดลิงก์แปลกๆ” ยังจำเป็น แต่ช่วยได้เพียงระดับหนึ่ง ในการทำงานจริง องค์กรต้องตอบให้ได้มากกว่านั้น เช่น จุดเสี่ยงอยู่ตรงไหน ทีมใดมีโอกาสเจอมากที่สุด หากเกิดเหตุแล้วจะกระทบระบบหรือกระบวนการใด มาตรการควบคุมที่มีอยู่เพียงพอหรือไม่ และเรื่องไหนควรถูกจัดลำดับให้รับมือก่อน
นี่คือมุมมองที่หลักสูตร IT Risk Management ของ NTC ต้องการพัฒนาให้กับผู้เรียน เพื่อให้ทีมเข้าใจแนวคิดและกระบวนการบริหารความเสี่ยงด้าน IT อย่างเป็นระบบ ตั้งแต่ความแตกต่างระหว่าง Information Security Risk และ IT Risk การประเมินความเสี่ยงแบบ Asset-based และ Event-based ไปจนถึงการวิเคราะห์ Risk และ Control ในสถานการณ์ที่ใกล้เคียงกับงานจริง
เนื้อหาครอบคลุมหลายมิติของ IT Risk
- ตั้งแต่ Cybersecurity
- และการดูแลข้อมูล
- การให้บริการ IT
- และการปฏิบัติงานประจำวัน
- ไปจนถึงการทำโครงการหรือพัฒนาระบบ
- รวมถึงการพิจารณาความคุ้มค่าและคุณค่าทางธุรกิจที่องค์กรคาดหวังจากการใช้เทคโนโลยี
ผู้เรียนยังจะได้เรียนรู้แนวทางรับมือกับข้อกำหนด กฎหมาย มาตรฐาน และแนวปฏิบัติที่เกี่ยวข้อง เพื่อให้การบริหารความเสี่ยงด้าน IT เชื่อมกับการทำงานจริงขององค์กรได้มากขึ้น
เมื่อนำมาปรับใช้กับกรณี AI Scam ทีมจะสามารถใช้จุดเสี่ยงใน workflow มาประเมินต่อได้ว่า เหตุการณ์ใดมีโอกาสเกิดสูง จุดใดกระทบธุรกิจมากที่สุด Control ใดควรทบทวน และควรจัดลำดับการรับมืออย่างไรให้เหมาะกับบริบทขององค์กร
ภัยไม่ได้มาในรูปแบบที่ดูน่าสงสัยเสมอไป องค์กรของคุณมองเห็นความเสี่ยงในงานประจำวันที่ทีมทำจนคุ้นเคยแล้วหรือยัง?
| COURSE | SCHEDULE | LIST PRICE(THB) ไม่รวม VAT7% |
REGISTER |
| IT Risk Management [ITRM] | 3-5 Aug 26 | 43,500 ไม่รวม VAT7% |
 |
Add LINE for Get 5% Discount ontop
LINE ID: @NTC-LINE
