Human Factor ใน Cybersecurity ที่องค์กรต้องเข้าใจ

พนักงานไม่ได้พลาดเพราะไม่รู้ แต่เพราะ “สถานการณ์พาไป”: Human Factor ใน Cybersecurity ที่องค์กรต้องเข้าใจ

เมื่อ “คน” กลายเป็นจุดตัดสินใจสุดท้าย

ตลอดทั้ง Series นี้ เราได้เห็นแล้วว่า

• ความเชื่อ (Trust) สามารถถูกใช้เป็นช่องโหว่

• AI ทำให้การโจมตีซับซ้อนขึ้น

• และการโจมตีสามารถเข้ามาผ่าน Partner หรือระบบที่เชื่อมต่อกันได้

แต่ในท้ายที่สุด ไม่ว่าระบบจะซับซ้อนแค่ไหน การตัดสินใจสุดท้ายมักอยู่ที่ “คน”

นี่คือสิ่งที่เรียกว่า Human Factor ใน Cybersecurity

Human Factor คืออะไรในบริบท Cybersecurity

Human Factor ไม่ได้หมายถึง “ความผิดพลาดของคน” เพียงอย่างเดียว แต่หมายถึง “วิธีที่มนุษย์ตัดสินใจ” ภายใต้สถานการณ์จริง

ตัวอย่างสถานการณ์ที่เกิดขึ้นบ่อย

• เปิดอีเมลเพราะคิดว่าเป็นเรื่องด่วน

• กดอนุมัติคำขอ เพราะดูเหมือนมาจากผู้บริหาร

• ไม่ตรวจสอบซ้ำ เพราะเชื่อว่าระบบปลอดภัยอยู่แล้ว

สิ่งเหล่านี้ไม่ได้เกิดจาก “ไม่รู้” แต่เกิดจาก “สถานการณ์” ที่ทำให้การตัดสินใจเปลี่ยนไป

ทำไม “คนที่รู้” ก็ยังพลาดได้

องค์กรจำนวนมากลงทุนกับ Cyber Awareness Training แต่เหตุการณ์ยังคงเกิดขึ้น เหตุผลสำคัญคือ “ความรู้” ไม่ได้เท่ากับ “การตัดสินใจที่ถูกต้องในทุกสถานการณ์”

ปัจจัยทางจิตวิทยาที่มีผล

• Urgency (ความเร่งด่วน): ทำให้ตัดสินใจเร็วโดยไม่ตรวจสอบ

• Authority (อำนาจ): เชื่อคำสั่งจากผู้มีตำแหน่งสูง

• Familiarity (ความคุ้นเคย): ไว้วางใจสิ่งที่ดูคุ้นเคย

เมื่อปัจจัยเหล่านี้เกิดขึ้นพร้อมกัน แม้แต่คนที่มีความรู้ ก็สามารถตัดสินใจผิดพลาดได้

ในยุค AI สถานการณ์ยิ่ง “เหมือนจริง”

การเข้ามาของ AI ทำให้สถานการณ์ที่ผู้ใช้งานเผชิญ มีความสมจริงมากขึ้น

สิ่งที่เปลี่ยนไป

• ข้อความ phishing ดูเป็นธรรมชาติ

• รูปแบบการสื่อสารสอดคล้องกับบริบทองค์กร

• ข้อมูลที่ใช้มีความถูกต้องมากขึ้น

ผลลัพธ์คือ ผู้ใช้งานไม่ได้แค่ “หลงเชื่อ” แต่กำลัง “ตัดสินใจบนข้อมูลที่ดูสมเหตุสมผล”

ปัญหาไม่ใช่คน “ไม่เก่ง” แต่ระบบ “ไม่รองรับการตัดสินใจ”

หนึ่งในความเข้าใจผิดที่พบบ่อย คือ การมองว่าเหตุการณ์ไซเบอร์เกิดจาก “ความผิดพลาดของพนักงาน” แต่ในความเป็นจริง ปัญหามักอยู่ที่ “ระบบโดยรวม”

ตัวอย่างสิ่งที่องค์กรอาจมองข้าม

• ไม่มีขั้นตอนตรวจสอบที่ชัดเจน

• การอนุมัติขึ้นอยู่กับบุคคล ไม่ใช่ระบบ

• การแจ้งเตือนไม่ช่วยให้ตัดสินใจได้จริง

เมื่อระบบไม่รองรับ การตัดสินใจของคนจึงกลายเป็นจุดเสี่ยงโดยไม่ตั้งใจ

องค์กรควรออกแบบ Cybersecurity อย่างไรในมุม Human Factor

การแก้ปัญหา Human Factor ไม่ใช่การ “สอนให้คนระวังมากขึ้น” เพียงอย่างเดียว แต่คือการ “ออกแบบระบบให้ช่วยคนตัดสินใจได้ดีขึ้น”

แนวทางที่องค์กรควรพิจารณา

• ลดการพึ่งพาการตัดสินใจแบบทันที (reduce impulsive decisions)

• เพิ่มขั้นตอนการตรวจสอบที่เหมาะสม

• ออกแบบ alert ให้ “เข้าใจง่ายและ actionable”

• สร้างสภาพแวดล้อมที่ตั้งคำถามได้โดยไม่กลัวผิด

สรุปทั้ง Series – Cybersecurity ไม่ใช่แค่เรื่องของเทคโนโลยี

หากมองย้อนกลับทั้ง 4 บทความ

• Trust → จุดเริ่มต้นของความเสี่ยง

• AI → ตัวเร่งให้การโจมตีซับซ้อนขึ้น

• Supply Chain → เส้นทางการโจมตีที่กว้างขึ้น

• และ Human Factor → จุดตัดสินใจสุดท้าย

สิ่งนี้สะท้อนให้เห็นว่า Cybersecurity ไม่ใช่แค่การป้องกันระบบ แต่คือการเข้าใจ “การตัดสินใจของมนุษย์”

ตัดสินใจภายใต้สถานการณ์ที่ไม่สมบูรณ์

ในโลกไซเบอร์ ความเสี่ยงไม่ได้เกิดขึ้นเพราะคน “ไม่รู้” เสมอไป แต่เกิดขึ้นเพราะคนต้อง “ตัดสินใจภายใต้สถานการณ์ที่ไม่สมบูรณ์” องค์กรที่ปลอดภัยกว่า ไม่ใช่องค์กรที่มีแต่คนเก่ง แต่คือองค์กรที่ออกแบบระบบให้ คนสามารถตัดสินใจได้ถูกต้อง แม้ในสถานการณ์ที่กดดัน