สงครามไซเบอร์ไร้พรมแดน: เมื่อ Geopolitics กลายเป็นความเสี่ยงตรงของโครงสร้างพื้นฐานสำคัญ
ความตึงเครียดทางภูมิรัฐศาสตร์ไม่ได้อยู่แค่ในห้องประชุมหรือสนามรบอีกต่อไป แต่มันกำลังสะท้อนเข้ามาถึงระบบไฟฟ้า น้ำ ขนส่ง สื่อสาร และบริการสำคัญที่คนทั้งประเทศใช้ทุกวัน องค์กรจึงต้องมองความมั่นคงไซเบอร์ของ critical infrastructure แบบเชื่อมกับบริบทโลกจริงมากขึ้น
เวลาคนพูดถึง geopolitics หลายคนมักนึกถึงเรื่องการทูต การคว่ำบาตร สงครามตัวแทน หรือการแข่งขันทางเศรษฐกิจระหว่างประเทศมหาอำนาจ แต่ในโลกที่ระบบไฟฟ้า ระบบน้ำ การขนส่ง การเงิน และการสื่อสารถูกควบคุมด้วยระบบดิจิทัลมากขึ้นทุกปี ความตึงเครียดทางการเมืองระหว่างประเทศไม่ได้หยุดอยู่แค่ข่าวต่างประเทศอีกต่อไป มันไหลลงมาถึงระบบที่คนทั่วไปใช้ในชีวิตประจำวัน และทำให้คำว่า critical infrastructure security กลายเป็นเรื่องที่จับต้องได้มากขึ้นมาก
โจทย์สำคัญคือ เมื่อความขัดแย้งระหว่างรัฐขยับเข้ามาใน cyberspace เป้าหมายของผู้โจมตีไม่ได้มีแค่การขโมยข้อมูล หรือสร้างความเสียหายเชิงภาพลักษณ์เท่านั้น แต่เริ่มรวมถึงการ “เตรียมตำแหน่ง” เพื่อใช้ก่อกวนในอนาคต การกดดันผ่านห่วงโซ่อุปทาน การสร้างผลกระทบต่อความเชื่อมั่นของสาธารณะ และในบางกรณีก็อาจพยายามทำให้บริการสำคัญหยุดชะงักในช่วงเวลาที่สถานการณ์ตึงเครียดที่สุด
รายงาน Global Cybersecurity Outlook 2026 ของ World Economic Forum ซึ่งเผยแพร่เมื่อวันที่ 12 มกราคม 2026 ระบุชัดว่า geopolitics เป็นปัจจัยอันดับต้น ๆ ที่กำลังกำหนดกลยุทธ์การรับมือความเสี่ยงไซเบอร์ขององค์กร โดย 64% ขององค์กรที่สำรวจระบุว่าต้องคำนึงถึงการโจมตีที่มีแรงจูงใจทางภูมิรัฐศาสตร์ เช่น การสอดแนม หรือการก่อกวนโครงสร้างพื้นฐานสำคัญ ขณะเดียวกัน 31% ของผู้ตอบแบบสำรวจยังบอกว่าตนมีความเชื่อมั่นต่ำต่อความพร้อมของประเทศในการรับมือเหตุการณ์ไซเบอร์ขนาดใหญ่ ตัวเลขนี้สะท้อนว่าความเสี่ยงไม่ได้อยู่แค่ระดับองค์กรเดียว แต่โยงไปถึงความพร้อมเชิงระบบของประเทศด้วย
ถ้ามองในมุมของผู้บริหารหรือทีมเทคนิค สิ่งที่ควรเปลี่ยนทันทีคือเลิกมอง critical infrastructure ว่าเป็นเพียง “เป้าหมาย IT ที่มีขนาดใหญ่” เพราะในทางปฏิบัติ โครงสร้างพื้นฐานสำคัญมีเงื่อนไขต่างจากระบบธุรกิจทั่วไปมาก ทั้งเรื่องความต่อเนื่องของบริการ ผลกระทบต่อความปลอดภัยของสาธารณะ ความพึ่งพาระบบ OT, vendor ภายนอก, ผู้รับเหมา, cloud, telecom และ supply chain ที่เชื่อมกันหลายชั้น หากระบบเหล่านี้สะดุด ผลกระทบไม่ได้จบที่เครื่องล่มหรือเว็บเข้าไม่ได้ แต่อาจลามไปถึงโรงพยาบาล น้ำประปา ระบบขนส่ง หรือเศรษฐกิจภาพรวม
ทำไม critical infrastructure ถึงกลายเป็นสนามหลักมากขึ้น
เหตุผลแรกคือโครงสร้างพื้นฐานสำคัญมี “มูลค่าเชิงยุทธศาสตร์” สูงกว่าระบบทั่วไปมาก ผู้โจมตีที่มีแรงจูงใจระดับรัฐไม่จำเป็นต้องรีบทำลายระบบทันที แค่เข้าถึงเครือข่ายได้ก่อน รู้ topology รู้ dependency และรู้จุดที่เชื่อมระหว่าง IT กับ OT ก็ถือว่าได้ leverage ระดับสูงแล้ว
CISA ของสหรัฐฯ ระบุในเอกสารเกี่ยวกับ Volt Typhoon เมื่อวันที่ 19 มีนาคม 2024 ว่ากลุ่มนี้ถูกประเมินว่าพยายาม pre-position ตัวเองบนเครือข่ายของโครงสร้างพื้นฐานสำคัญในสหรัฐฯ เพื่อรองรับ disruptive หรือ destructive cyber activity ในกรณีที่เกิดวิกฤตใหญ่หรือความขัดแย้งกับสหรัฐฯ ประเด็นนี้สำคัญมาก เพราะมันบอกเราว่าการโจมตีบางแบบไม่ได้ถูกออกแบบมาเพื่อสร้างข่าวทันที แต่เพื่อเก็บทางเลือกเชิงยุทธศาสตร์ไว้ใช้ภายหลัง
เหตุผลที่สองคือโครงสร้างพื้นฐานสำคัญมีความเชื่อมโยงสูง และความเชื่อมโยงนั้นทำให้ผลกระทบขยายตัวได้เร็ว Australian Government ระบุในประกาศเรื่อง 2025 Critical Infrastructure Annual Risk Review เมื่อวันที่ 3 พฤศจิกายน 2025 ว่าภาคส่วนอย่างพลังงาน น้ำ อาหาร สุขภาพ ขนส่ง การเงิน และการสื่อสาร “เชื่อมโยงกับ global supply chain และ third-party dependency มากขึ้น” และจึงเปิดรับความเสี่ยงจาก geopolitical disruption มากขึ้นตามไปด้วย พูดง่าย ๆ คือ ต่อให้ระบบของเราแข็งแรง แต่ถ้า supplier, managed service provider หรือ upstream data/service สำคัญมีปัญหา เราก็โดนผลกระทบได้อยู่ดี
เหตุผลที่สามคือเส้นแบ่งระหว่างการสอดแนม การเตรียมพื้นที่ และการก่อกวนจริง เริ่มไม่ชัดเหมือนเดิม ในอดีตองค์กรอาจมองว่าถ้าเป็น espionage ก็เป็นอีกเรื่องหนึ่ง ถ้าเป็น disruption ค่อยถือว่า serious แต่ทุกวันนี้การสอดแนมระยะยาวอาจเป็นขั้นแรกของการเตรียมโจมตีในอนาคต การมี access อยู่เงียบ ๆ ในระบบสำคัญหลายเดือนหรือหลายปีจึงไม่ใช่เรื่องที่ควรประเมินต่ำ
ปัญหามันไม่ได้อยู่แค่ “โดนแฮ็ก” แต่อยู่ที่ผลกระทบในโลกจริง
เวลาพูดถึง cyberwarfare คนจำนวนไม่น้อยยังนึกภาพเป็นเรื่องของ malware, phishing หรือ command-and-control แต่สำหรับ critical infrastructure จุดอันตรายจริงคือสิ่งที่เกิดหลังจากนั้น เช่น ระบบหยุดจ่ายไฟ ระบบสูบน้ำสลับโหมดผิด ระบบขนส่งติดขัด หรือการสื่อสารระหว่างหน่วยงานภาครัฐกับเอกชนทำงานไม่ทันเวลา
International Committee of the Red Cross อธิบายไว้ชัดว่า cyber operations ในบริบทความขัดแย้งมีความเสี่ยงที่จะส่งผลวงกว้างต่อ civilian infrastructure เช่น อุตสาหกรรมที่จำเป็น โทรคมนาคม ขนส่ง ระบบรัฐ และระบบการเงิน โดยเฉพาะเมื่อเครื่องมือไซเบอร์แพร่กระจายข้ามพรมแดนได้เร็วและอาจกระทบบริการจำเป็นโดยไม่จำกัดอยู่ในพื้นที่เดียว นี่เป็นมุมที่สำคัญมาก เพราะมันเตือนว่าในโลกจริงผู้ได้รับผลกระทบสุดท้ายไม่ใช่แค่ SOC หรือฝ่าย IT แต่คือประชาชนทั่วไป
กรณี Unitronics PLC ที่ CISA แจ้งเตือนเมื่อวันที่ 28 พฤศจิกายน 2023 ก็เป็นตัวอย่างที่เห็นภาพดี เพราะเป็นเหตุการณ์ที่กระทบระบบในภาคน้ำและน้ำเสีย ซึ่งเป็นบริการพื้นฐานมาก ๆ ของสังคม CISA ระบุว่ามีการโจมตี PLC ที่ใช้ในระบบ Water and Wastewater Systems และหน่วยงานที่ได้รับผลกระทบต้องสลับไปทำงานแบบ manual เพื่อคุมความเสี่ยง แม้ในกรณีนั้นจะไม่มีผลต่อคุณภาพน้ำดื่ม แต่บทเรียนชัดมากว่าเมื่อ OT device ถูกเปิดรับกับอินเทอร์เน็ต ใช้ default password หรือขาดการแบ่ง segment ที่ดี ความเสี่ยงจะไม่จบที่ dashboard ถูกเปลี่ยนหน้า แต่มันไปแตะกระบวนการทางกายภาพได้จริง
อีกตัวอย่างหนึ่งคือรายงาน Annual Cyber Threat Report 2024-25 ของ ACSC ที่เผยแพร่เมื่อวันที่ 14 ตุลาคม 2025 ซึ่งระบุว่า critical infrastructure คิดเป็น 13% ของ incidents ทั้งหมดที่มีการรายงาน และย้ำว่าผู้โจมตีระดับรัฐมักเล็งเครือข่ายของ critical infrastructure เพื่อ espionage หรือ pre-position สำหรับ disruptive และ destructive effects ในยาม crisis or conflict ตรงนี้สอดคล้องกับสิ่งที่หลายประเทศเตือนตรงกัน คือความเสี่ยงหลักไม่ได้มีแค่ ransomware แบบเดิม ๆ แต่รวมถึงการเข้ามาปักหลักเงียบ ๆ ด้วย
ความต่างสำคัญระหว่าง enterprise IT ทั่วไป กับโลกของ critical infrastructure
หนึ่งในเหตุผลที่องค์กรจำนวนมากรับมือเรื่องนี้ยาก คือเอาวิธีคิดแบบ enterprise IT ไปใช้กับสภาพแวดล้อมที่จริง ๆ แล้วเป็นคนละโลกกัน ในระบบธุรกิจทั่วไป เราอาจยอมปิดบางระบบเพื่อ containment ได้เร็ว patch ได้ตามรอบมาตรฐาน หรือบังคับเปลี่ยน architecture ได้ค่อนข้างคล่อง แต่ในโลกของ critical infrastructure หลายระบบผูกอยู่กับการปฏิบัติการจริง มีข้อจำกัดด้านความปลอดภัยทางกายภาพ มี maintenance window ที่แคบมาก และบางครั้งอุปกรณ์ยังมีอายุยืนเป็นสิบปีขึ้นไป
ในระบบ OT หรือ industrial control environment ความพร้อมใช้งานมักมาก่อนความยืดหยุ่นในการเปลี่ยนแปลง ทีมปฏิบัติการจำนวนมากจึงไม่กล้าแตะระบบบ่อย ซึ่งเข้าใจได้ แต่ผลข้างเคียงคือองค์กรอาจสะสม legacy component, protocol เก่า, remote access pathway เก่าที่ไม่มีใครกล้าปิด รวมถึงการเชื่อมต่อระหว่าง vendor กับระบบภายในที่ไม่ถูกทบทวนอย่างจริงจังมาหลายปี เมื่อเหตุการณ์ปกติผ่านไปนาน ๆ คนก็เริ่มคุ้นกับความเสี่ยงเหล่านี้จนมองว่าเป็นเรื่องธรรมดา
ปัญหาอีกด้านคือคนละทีมมักถือคนละ objective ฝ่าย IT อาจเน้น confidentiality และ patch velocity ฝ่าย OT อาจเน้น safety กับ uptime ส่วนผู้บริหารอาจมองเรื่อง regulatory exposure หรือชื่อเสียงเป็นหลัก ถ้าไม่มีการเชื่อมสามมุมนี้เข้าด้วยกัน องค์กรมักได้มาตรการที่ดูดีบนกระดาษแต่ใช้จริงไม่ได้ เช่น บังคับ control ที่กระทบการผลิตมากเกินไป หรือในทางกลับกัน ปล่อย exception มากจน control แทบไม่มีความหมาย
ในบริบทของ geopolitics ความแตกต่างนี้ยิ่งสำคัญ เพราะผู้โจมตีไม่จำเป็นต้อง exploit ระบบจนพังในวันแรก เขาอาจสนใจเพียงแค่รู้ว่า remote maintenance tunnel อยู่ตรงไหน, jump host ไหนเชื่อมถึง segment สำคัญได้, backup path ถูกแยกจริงหรือไม่, operator ต้องพึ่ง vendor คนใดบ้าง, หรือถ้าสายสื่อสารหลักล่มจะมี failover ไปทางใด ความรู้พวกนี้มีมูลค่าสูงมากในยามวิกฤต แม้ยังไม่เกิดการหยุดชะงักทันที
ทำไม supply chain และ third party ถึงเป็นจุดกดดันที่สำคัญขึ้นเรื่อย ๆ
หลายองค์กรคิดว่าถ้าป้องกัน perimeter ของตัวเองแน่นพอก็จะปลอดภัยขึ้นมาก ซึ่งก็จริงในระดับหนึ่ง แต่สำหรับ critical infrastructure ปัญหาใหญ่มักไม่ได้อยู่ที่ perimeter อย่างเดียว เพราะระบบสำคัญจำนวนมากต้องพึ่งพา software supplier, integrator, managed service provider, telecom carrier, cloud platform, hardware vendor, field engineer และ contractor หลายชั้น
ความซับซ้อนนี้ทำให้คำถามเรื่อง trust ยากขึ้นทุกปี องค์กรไม่ได้แค่ต้องรู้ว่าใครมีสิทธิ์เข้าถึงระบบ แต่ต้องรู้ว่าเข้าถึงผ่านอะไร เมื่อไร ใครอนุมัติ มีการบันทึก log แค่ไหน ใช้ shared credential หรือไม่ และถ้าเกิดเหตุขึ้นจริงจะตัด access ของคู่ค้ารายใดได้ทันทีบ้าง
รายงานของ World Economic Forum ในปี 2026 ชี้ว่าบริษัทขนาดใหญ่ 65% มอง third-party และ supply chain vulnerabilities เป็นอุปสรรคใหญ่ที่สุดต่อความยืดหยุ่นไซเบอร์ ซึ่งผมคิดว่าตรงกับโลกจริงมาก เพราะต่อให้องค์กรลงทุนเองหนักแค่ไหน ถ้ายังมองไม่เห็น chain รอบข้างก็ยังตอบโจทย์ไม่ครบ โดยเฉพาะ sector ที่ต้องเชื่อมต่อกับภาครัฐ ภาคโลจิสติกส์ หรือ utility อื่นตลอดเวลา
ที่สำคัญคือ supplier risk ในบริบท geopolitics ไม่ได้แปลแค่ supplier ถูกแฮ็ก แต่รวมถึงเรื่อง sanctions, ownership, dependency ต่อผู้ผลิตเฉพาะราย, การเข้าถึงชิ้นส่วนหรือ firmware update และความสามารถในการ support ระยะยาวด้วย หาก chain หนึ่งในระบบมี single point of dependence ที่ผูกกับภูมิรัฐศาสตร์มากเกินไป องค์กรอาจมีความเสี่ยงเชิงยุทธศาสตร์แม้จะยังไม่มี incident ด้านเทคนิคเกิดขึ้นเลย
มุมมองที่ควรคุยกับผู้บริหาร: “เราจะล้มแบบไหน” สำคัญพอ ๆ กับ “เราจะกันอย่างไร”
หลายครั้งเวลาเอาเรื่อง nation-state threat เข้าไปคุยในระดับผู้บริหาร การสนทนาจะไปจบที่คำถามว่า “โอกาสเกิดสูงไหม” หรือ “เรามี tool ครบหรือยัง” ซึ่งไม่ผิด แต่ยังไม่พอ สำหรับบริการสำคัญ คำถามที่มีประโยชน์กว่าคือ
- ถ้า attacker เข้ามาได้แล้ว เป้าหมายทางธุรกิจหรือทางสังคมที่เขาอาจใช้กดดันเราคืออะไร
- ระบบใดที่ห้ามหยุดเกินกี่นาทีหรือกี่ชั่วโมง และถ้าหยุดจะกระทบใครบ้าง
- ถ้า network บางส่วนเชื่อถือไม่ได้ เรายังมีวิธีดำเนินงานแบบ degraded mode หรือ manual mode หรือไม่
- ใครเป็นคนตัดสินใจเมื่อต้องเลือกระหว่าง containment กับ service continuity
- เรามี dependency ไหนที่ถ้าหายไปพร้อมกันมากกว่าหนึ่งจุดจะทำให้ recovery plan ใช้งานไม่ได้
คำถามเหล่านี้ฟังดูเหมือน business continuity มากกว่า cyber security แต่ในโลกของ critical infrastructure ทั้งสองเรื่องแทบจะแยกจากกันไม่ได้เลย หากผู้บริหารยังมอง cyber เป็นเรื่องของเครื่องมือและคะแนน maturity อย่างเดียว องค์กรจะพลาดส่วนที่สำคัญที่สุดคือการตัดสินใจภายใต้แรงกดดัน
Checklist สำหรับองค์กรที่อยากเริ่มยกระดับแบบไม่หลงทาง
ถ้าองค์กรยังไม่ได้เริ่มเรื่องนี้อย่างจริงจัง ผมคิดว่าควรเริ่มจาก checklist ง่าย ๆ แต่ตอบให้ตรงไปตรงมา
1. เรารู้หรือยังว่าอะไรคือ critical service จริง
หลายแห่งตอบได้ว่า critical asset คืออะไร แต่ตอบไม่ได้ว่า service ไหนสำคัญที่สุดต่อประชาชน ลูกค้า หรือคู่ค้าสำคัญ ความต่างนี้สำคัญมาก เพราะ asset เดียวอาจรองรับหลาย service และบาง service ก็มี workaround แต่บาง service ไม่มีเลย ถ้าจัดลำดับผิด การลงทุนและการเตรียม incident response จะผิดทิศทันที
2. เราเห็นเส้นทางเข้าถึงจากภายนอกครบหรือยัง
รวมถึง VPN, vendor portal, remote desktop, jump box, maintenance modem, cloud console, privileged workstation, API integration และเครื่องมือ monitor จากภายนอก ถ้ายังตอบไม่ได้ครบ ความมั่นใจเรื่องการป้องกันก็มักเกินจริง
3. เราแยก IT กับ OT ตามความเสี่ยงจริงหรือแยกแค่ใน diagram
หลายองค์กรมี network diagram สวยมาก แต่เมื่อไล่ดูการใช้งานจริงกลับพบว่ามี exception เต็มไปหมด เช่น shared account, file transfer ชั่วคราว, remote tool ที่เปิดทิ้งไว้ หรือ firewall rule ที่ไม่มีใครกล้าลบ ถ้าเป็นแบบนี้ segmentation จะมีค่าทางเอกสารมากกว่าทางปฏิบัติการ
4. เราซ้อมเหตุการณ์ที่มีมิติ geopolitics หรือยัง
ไม่ใช่ซ้อมแค่ ransomware ทั่วไป แต่ลองตั้ง scenario ว่า supplier ต่างประเทศใช้งานไม่ได้พร้อมกัน ระบบสื่อสารบางส่วนเชื่อถือไม่ได้ หรือมีคำเตือนจากรัฐว่ามีการ pre-position ใน sector เดียวกับเรา ถ้าเจอเหตุแบบนี้ board, legal, PR, operations และ security จะทำงานร่วมกันอย่างไร
5. เรามี threshold การยกระดับเหตุการณ์ที่ชัดหรือไม่
critical infrastructure ไม่ควรรอให้ทุกอย่างชัด 100% ก่อนค่อยประกาศ internal crisis เพราะหลายครั้งหน้าต่างเวลาสำคัญอยู่ในช่วงแรก ๆ ถ้ามี signal ว่าเหตุการณ์อาจโยงกับ sector-wide activity หรือ nation-state tradecraft การยกระดับการประสานงานภายในให้เร็วขึ้นมักคุ้มกว่าเสียเวลาเถียงเรื่อง attribution นานเกินไป
ความร่วมมือภาครัฐกับเอกชนยังสำคัญกว่าเดิม
อีกประเด็นที่ไม่ควรมองข้ามคือ cyber resilience ของ critical infrastructure ไม่สามารถแก้ได้ด้วยองค์กรใดองค์กรหนึ่งเพียงลำพัง ทั้ง CISA, ACSC, Home Affairs ของออสเตรเลีย และ WEF ต่างพูดในแกนเดียวกันว่าความร่วมมือ การแชร์สัญญาณเตือนล่วงหน้า และการเตรียมพร้อมแบบข้าม sector เป็นสิ่งจำเป็น
ในโลกจริง ผู้ให้บริการโครงสร้างพื้นฐานสำคัญมักพึ่งพากันเองอยู่แล้ว เช่น พลังงานพึ่ง telecom, telecom พึ่งพลังงาน, โลจิสติกส์พึ่ง data service, โรงพยาบาลพึ่งเครือข่ายและซัพพลายด้านอุปกรณ์ ถ้าแต่ละองค์กรเตรียมตัวแบบแยกส่วนโดยไม่คุยกันเลย เวลามีเหตุจริงจะเกิด blind spot จำนวนมาก โดยเฉพาะเรื่องลำดับการกู้คืนและการสื่อสารต่อสาธารณะ
สำหรับองค์กรที่อยู่ในไทยหรือภูมิภาคเอเชียตะวันออกเฉียงใต้ สิ่งที่น่าคิดคือ แม้กรอบกฎหมายและรูปแบบการบังคับใช้ในแต่ละประเทศจะต่างกัน แต่หลักการเรื่อง public-private coordination ใช้ได้เหมือนกันหมด ยิ่ง sector ไหนมีผลต่อชีวิตประจำวันของประชาชนมาก การมีช่องทางสื่อสารกับ regulator, sector lead, partner สำคัญ และผู้ให้บริการโครงสร้างพื้นฐานที่เกี่ยวข้องไว้ล่วงหน้า จะช่วยลดเวลาตัดสินใจได้มากในวันที่เกิดวิกฤต
สัญญาณเตือนที่ไม่ควรมองข้ามในช่วงที่ภูมิรัฐศาสตร์ตึงตัว
ในช่วงที่ความสัมพันธ์ระหว่างประเทศเริ่มตึงเครียด องค์กรไม่จำเป็นต้องรอ indicator ที่ชัดเจนแบบ malware signature เสมอไป เพราะหลายสัญญาณสำคัญจะมาในรูปของ “ความผิดปกติที่ดูไม่รุนแรงเมื่อมองแยกกัน” มากกว่า เช่น การสแกนระบบจากหลายแหล่งพร้อมกัน การพยายามเข้าถึงบัญชีเก่า ๆ ที่ไม่ได้ใช้นาน การถามข้อมูลเชิงเทคนิคจากคู่ค้าที่ละเอียดกว่าปกติ การพบ credential reuse ในจุดเชื่อมต่อของ vendor หรือการเห็นพฤติกรรม living off the land ที่ใช้เครื่องมือปกติของระบบ
สิ่งที่น่ากังวลคือหลายองค์กรเคยชินกับ noise พวกนี้จนคิดว่าเป็นเรื่องปกติ ทั้งที่ในบางสถานการณ์มันอาจเป็นส่วนหนึ่งของการทำแผนที่ระบบล่วงหน้า ยิ่งถ้าเกิดพร้อมกับ sector advisory จากหน่วยงานรัฐ หรือมีข่าวว่ากลุ่ม actor รายเดียวกันกำลังเล็ง industry ใกล้เคียงกันอยู่ เราควรยกระดับการตีความให้จริงจังขึ้นทันที
อีกสัญญาณหนึ่งที่มักถูกมองข้ามคือความผิดปกติด้าน operational dependency เช่น vendor support ตอบสนองช้าลงอย่างมีนัยสำคัญ การอัปเดตหรือ patch จากผู้ผลิตสำคัญล่าช้า การเปลี่ยนนโยบาย remote access แบบกระทันหัน หรือการที่ supplier ขอ exception ด้าน security เพิ่มขึ้นเรื่อย ๆ ในช่วงเวลาเดียวกัน สิ่งเหล่านี้ไม่ได้แปลว่ามีการโจมตีเกิดขึ้นแล้วเสมอไป แต่เป็นสัญญาณว่า resilience ของห่วงโซ่กำลังอ่อนลง และควรถูกจับตาในระดับบริหารด้วย
สิ่งที่ไม่ควรทำเมื่อเริ่มสงสัยว่าเหตุอาจเชื่อมกับ geopolitics
ข้อแรกคืออย่าหมกมุ่นกับ attribution จนช้าเกินไป ในระยะแรกของเหตุการณ์ องค์กรมักยังไม่มีข้อมูลพอจะสรุปได้ว่าเป็น actor รายใดหรือรัฐใดอยู่เบื้องหลัง การพยายามตอบคำถามนี้เร็วเกินไปอาจทำให้เสียเวลาไปกับสิ่งที่ยังพิสูจน์ไม่ได้ แทนที่จะโฟกัสกับ containment, visibility, dependency check และการปกป้องบริการสำคัญ
ข้อที่สองคืออย่าคิดว่า “ยังไม่กระทบ production แปลว่ายังไม่ร้ายแรง” สำหรับ critical infrastructure การพบ persistence หรือ pre-positioning ตั้งแต่เนิ่น ๆ ถือเป็นเหตุร้ายแรงในตัวเองแล้ว เพราะมูลค่าของ access ประเภทนี้อยู่ที่ศักยภาพในอนาคต ไม่ใช่ผลกระทบทันที การรีบสรุปว่าไม่เป็นไรเพราะระบบยังทำงานได้ จึงเป็นกับดักที่อันตรายมาก
ข้อที่สามคืออย่าให้ communication plan ช้ากว่า technical response มากเกินไป ถ้า sector นี้กระทบคนจำนวนมาก การสื่อสารภายในและภายนอกต้องถูกเตรียมพร้อมตั้งแต่ต้น ไม่เช่นนั้นข่าวลือจะวิ่งเร็วกว่าข้อเท็จจริง และความเสียหายด้านความเชื่อมั่นอาจขยายเร็วกว่าผลกระทบทางเทคนิคเสียอีก
Geopolitics เปลี่ยน “เป้าหมายของผู้โจมตี” อย่างไร
ถ้าเป็นอาชญากรรมไซเบอร์ทั่วไป แรงจูงใจหลักมักหนีไม่พ้นเงิน ข้อมูล หรือการเข้าถึงเพื่อเรียกค่าไถ่ แต่เมื่อแรงจูงใจมาจาก geopolitics วิธีคิดจะต่างออกไป ผู้โจมตีอาจสนใจเป้าหมายที่ให้แรงต่อรองทางยุทธศาสตร์ สนใจ sector ที่มีคุณค่าทางสังคมและการเมือง หรือสนใจระบบที่หากหยุดชะงักแล้วจะสร้างแรงกดดันต่อรัฐบาลหรือประชาชนได้
นี่ทำให้การประเมินความเสี่ยงแบบเดิมที่อิงเฉพาะความน่าจะเป็นทางเทคนิคอย่างเดียวเริ่มไม่พอแล้ว องค์กรต้องถามเพิ่มว่า ถ้าเกิดวิกฤตระหว่างประเทศ ใครได้ประโยชน์จากการเข้าถึงระบบของเรา? ถ้าเราอยู่ในห่วงโซ่การขนส่ง พลังงาน สุขภาพ หรือสื่อสาร เรามีบทบาทอะไรในภาพรวมของประเทศ? และ dependency ไหนของเราที่ถ้าถูกกดดันแล้วจะลามไปถึงคนจำนวนมาก
รายงานของ ACSC ยังยกกรณีในเดือนพฤษภาคม 2025 ที่หน่วยงานพันธมิตรออกมาเตือนเรื่อง Russian GRU targeting Western logistics entities และ technology companies ที่เกี่ยวข้องกับการสนับสนุนยูเครน กรณีนี้สะท้อนชัดว่าภาค logistics หรือ technology support ที่หลายแห่งอาจไม่ได้คิดว่าตัวเองเป็น “แนวหน้า” ก็สามารถกลายเป็นเป้าหมายได้ทันทีเมื่อมันเชื่อมกับเป้าหมายทางยุทธศาสตร์ของรัฐ
ดังนั้นคำว่า critical infrastructure ในยุคนี้จึงไม่ได้หมายถึงแค่โรงไฟฟ้าหรือระบบน้ำเท่านั้น แต่รวมถึง ecosystem รอบข้างที่ทำให้บริการเหล่านั้นเดินต่อได้ เช่น software vendor, telecom provider, cloud dependency, remote maintenance channel, industrial integrator หรือแม้แต่ผู้รับเหมาที่มีสิทธิ์เข้าถึงระบบบางส่วน ถ้าเรายังประเมินเฉพาะ asset ที่อยู่ใน data centre ของตัวเอง ความเสี่ยงจริงจะถูกประเมินต่ำเกินไปเกือบทุกครั้ง
สิ่งที่องค์กรพลาดบ่อยเมื่อเอาเรื่องนี้ไปคุยในห้องประชุม
ข้อผิดพลาดแรกคือคิดว่าเรื่องนี้ไกลตัวเกินไป หลายองค์กรจะรู้สึกว่าตนไม่ได้อยู่ในประเทศคู่ขัดแย้ง ไม่ได้เป็น target ชั้นสูง หรือไม่มีข้อมูลลับระดับรัฐ จึงไม่น่าโดน แต่ความจริงคือผู้โจมตีจำนวนมากเลือกเข้าทางอ้อมผ่าน partner, supplier หรือ entity ที่ security maturity ต่ำกว่าเสมอ ถ้าเราอยู่ในห่วงโซ่เดียวกัน เราก็มีโอกาสโดนใช้เป็นทางผ่านหรือโดนกระทบจากผลลัพธ์ปลายน้ำได้อยู่ดี
ข้อผิดพลาดที่สองคือแยก cyber risk ออกจาก business continuity และ operational resilience มากเกินไป ใน critical infrastructure สองเรื่องนี้เป็นเรื่องเดียวกันแทบทั้งหมด เพราะคำถามไม่ได้อยู่แค่ “กันการบุกรุกได้ไหม” แต่รวมถึง “ถ้าถูกบุกรุกแล้วจะเดินบริการต่ออย่างไร” “จะสลับไป manual mode ได้ไหม” “ใครมีอำนาจตัดสินใจตัดระบบเมื่อไร” และ “จะสื่อสารกับ regulator, partner และประชาชนอย่างไร”
ข้อผิดพลาดที่สามคือให้ความสำคัญกับ compliance มากกว่าความพร้อมใช้งานจริง หลายแห่งมี policy ครบ มี document ครบ แต่ยังไม่รู้เลยว่าระบบสำคัญจริง ๆ มี dependency อะไรบ้าง เชื่อมกับ vendor ไหน ใช้ remote access แบบใด และถ้าลิงก์หนึ่งใน chain หายไปจะมี service ใดล้มตามบ้าง ในบริบท geopolitics เรื่องพวกนี้ไม่ใช่ detail เชิงปฏิบัติการเล็ก ๆ แต่มันคือสิ่งที่ตัดสินว่าปัญหาจะอยู่ในขอบเขตจำกัดหรือบานปลาย
แนวทางที่ practical กว่าการพูดว่า “ต้อง Zero Trust ทุกอย่าง”
ในทางปฏิบัติ ผมคิดว่าองค์กรไม่ควรเริ่มจากการไล่ซื้อเครื่องมือใหม่ทุกตัว แต่ควรเริ่มจากการทำให้ตัวเอง “เห็นภาพจริง” ก่อนว่าระบบไหนคือ crown jewels และระบบไหนถ้าล้มแล้วจะสร้างผลกระทบต่อบริการสาธารณะหรือ supply chain มากที่สุด
1. ทำ dependency mapping ให้ลึกกว่าที่เคยทำ
ไม่ใช่แค่ asset inventory แต่ต้องเห็นทั้งคน ระบบ supplier การเชื่อมต่อ remote access ช่องทางดูแลรักษา และบริการภายนอกที่หากหายไปแล้วจะทำให้ operations สะดุด จุดนี้สำคัญมาก เพราะรายงานของ WEF 2026 ก็สะท้อนว่าความเสี่ยงจาก third-party และ supply chain กลายเป็นอุปสรรคใหญ่ต่อ cyber resilience ขององค์กรขนาดใหญ่ถึง 65%
2. แยก “ระบบที่ต้องให้บริการต่อ” ออกจาก “ระบบที่หยุดได้ชั่วคราว”
critical infrastructure ไม่สามารถใช้วิธี incident response แบบ IT enterprise ทั่วไปทั้งหมดได้เสมอไป บางระบบตัดได้ บางระบบตัดไม่ได้ บางระบบต้องรอหน้าต่างเวลาที่ปลอดภัยก่อน และบางระบบต้องมีการประสานกับหน่วยงานภายนอกก่อนเสมอ ถ้าไม่แยกตรงนี้ไว้ล่วงหน้า เวลาเกิดเหตุจริงทีมจะตัดสินใจช้า หรือเลือก action ที่เสี่ยงต่อการทำให้บริการหยุดเอง
3. ลด internet exposure และ default pathway ที่ไม่จำเป็น
กรณี Unitronics PLC เตือนเราเรื่องพื้นฐานมาก ๆ เช่น default password, exposed device, และการเชื่อม OT device เข้ากับโลกภายนอกโดยไม่มี compensating control ที่เหมาะสม แม้หลายองค์กรจะคิดว่าตนมีเทคโนโลยีซับซ้อนแล้ว แต่ช่องโหว่ที่เปิดทางให้ผู้โจมตีจำนวนมากกลับยังเป็นเรื่องพื้นฐานแบบนี้อยู่บ่อยครั้ง
4. เตรียม manual fallback และ cross-functional exercise
ถ้าระบบสำคัญต้องเปลี่ยนไปใช้ manual mode ชั่วคราว ใครจะทำ? ทำได้นานแค่ไหน? ต้องใช้เอกสารอะไร? ต้องติดต่อใครบ้าง? สิ่งเหล่านี้ควรซ้อมก่อนเกิดเหตุ ไม่ใช่รอตอบคำถามในวันที่คนทั้งองค์กรกดดันพร้อมกัน ประเด็นจาก CISA, ACSC และหน่วยงานด้าน critical infrastructure ในหลายประเทศสอดคล้องกันมากว่า resilience ไม่ได้เกิดจากการป้องกันอย่างเดียว แต่เกิดจากความสามารถในการรักษาบริการและฟื้นตัวให้เร็วด้วย
5. ทำให้ผู้บริหารเข้าใจว่า cyber posture คือ strategic posture
ถ้าระบบขององค์กรอยู่ใน sector ที่มีผลต่อชีวิตประจำวันของคนจำนวนมาก เรื่องนี้ไม่ใช่ responsibility ของทีม security ทีมเดียวอีกต่อไป แต่เป็นเรื่องของผู้บริหาร ฝ่ายปฏิบัติการ ฝ่ายกฎหมาย ฝ่ายสื่อสาร และคู่ค้าสำคัญทั้งหมด เพราะเมื่อ geopolitics เข้ามาเกี่ยวข้อง การตัดสินใจเรื่อง cyber จะมีผลเชิงเศรษฐกิจ สังคม และความเชื่อมั่นสาธารณะพร้อมกัน
แล้วสำหรับไทยหรือองค์กรที่ไม่ได้เป็น infrastructure operator โดยตรงควรคิดอย่างไร
ผมคิดว่าไม่ควรมองหัวข้อนี้เป็นเรื่องของรัฐหรือ utility รายใหญ่เท่านั้น เพราะหลายองค์กรในไทยแม้จะไม่ถูกนิยามเป็น critical infrastructure โดยกฎหมาย แต่ก็อยู่ใน ecosystem ที่ critical มาก เช่น โรงพยาบาล private, logistics provider, data centre, managed service provider, fintech, industrial supplier หรือบริษัทที่ดูแลระบบให้หน่วยงานภาครัฐและโครงสร้างพื้นฐานอื่น
ในโลกที่ cyber campaign ข้ามพรมแดนได้ง่ายกว่าเดิม การแบ่งว่า “เรื่องนี้เป็นของประเทศไหน” เริ่มมีประโยชน์น้อยลงเรื่อย ๆ สิ่งที่สำคัญกว่าคือองค์กรของเราอยู่ตรงไหนในห่วงโซ่คุณค่า มี dependency กับใครบ้าง และหากเกิดแรงกระเพื่อมจากความขัดแย้งระดับภูมิภาคหรือระดับโลก เราจะเป็นเป้าตรง เป้าทางอ้อม หรือ collateral damage แบบไหน
นอกจากนี้ยังต้องยอมรับด้วยว่า cyberwarfare ไม่ได้หมายถึงสงครามเต็มรูปแบบเสมอไป หลายครั้งมันอยู่ในพื้นที่สีเทา เป็นการสอดแนม การเตรียมแทรกแซง การสร้างแรงกดดัน หรือการส่งสัญญาณเชิงการเมืองมากกว่าการทำลายทันที ยิ่งอยู่ในสภาวะนี้ องค์กรยิ่งต้องระวังการประเมินต่ำ เพราะสิ่งที่ดู “ยังไม่เกิดอะไร” อาจเป็นแค่ช่วงที่ผู้โจมตีกำลังวางหมากอยู่
ที่น่าสนใจคือองค์กรขนาดกลางและขนาดเล็กในห่วงโซ่มักเป็นจุดที่ถูกมองข้ามมากที่สุด ทั้งที่ในความเป็นจริงกลับเป็น target ที่คุ้มสำหรับผู้โจมตี เพราะมีสิทธิ์เข้าถึงระบบของลูกค้ารายใหญ่ มีข้อมูลโครงสร้างระบบบางส่วน และมักมีข้อจำกัดด้านคน งบประมาณ และการเฝ้าระวังตลอดเวลา ถ้าเราเป็น MSP, integrator, software house เฉพาะทาง, contractor ภาคอุตสาหกรรม หรือผู้ให้บริการ support ด้าน OT เราอาจไม่ได้ถูกโจมตีเพราะตัวเราเองมีมูลค่าทางยุทธศาสตร์สูง แต่ถูกเลือกเพราะเราเป็นประตูที่เงียบกว่า
ดังนั้นองค์กรกลุ่มนี้ไม่ควรปลอบใจตัวเองว่า “เราไม่ใหญ่พอจะเป็นเป้า” แต่ควรถามให้ชัดว่าเราเชื่อมอยู่กับใคร มี privileged access แบบใดบ้าง เก็บ configuration, credential หรือ network knowledge ของลูกค้าไว้ตรงไหน และถ้าเราโดน compromise จะกระทบ downstream กี่ราย การตอบคำถามนี้ให้ได้มีประโยชน์กว่าการพยายามเดาว่าจะโดน actor ระดับใดเสียอีก
สรุปแบบ practical
ถ้าจะสรุปให้สั้นที่สุด geopolitics ทำให้ความเสี่ยงไซเบอร์ของ critical infrastructure เปลี่ยนจากเรื่องป้องกันการแฮ็กทั่วไป ไปเป็นเรื่องของความมั่นคง ความต่อเนื่องของบริการ และ strategic leverage ผู้โจมตีไม่ได้มองหาแค่ข้อมูลที่ขายได้ แต่กำลังมองหาระบบที่ให้แรงต่อรองในช่วงวิกฤต
เพราะฉะนั้นองค์กรที่เกี่ยวข้องกับบริการสำคัญ ไม่ว่าจะโดยตรงหรือผ่าน supply chain ควรเร่งทำ 3 เรื่องพร้อมกัน คือ
- มอง dependency และ attack surface ให้ครบกว่าที่เคยเห็น
- เตรียม resilience และ manual fallback ให้พร้อมใช้งานจริง
- ยกระดับการคุยเรื่อง cyber จากเรื่องเทคนิค ไปเป็นเรื่อง strategic risk ของทั้งองค์กร
ในโลกที่สงครามไซเบอร์ไม่มีพรมแดน การรอให้มีข่าวใหญ่ก่อนค่อยขยับมักช้าเกินไปเสมอ สิ่งที่คุ้มค่าที่สุดในตอนนี้ไม่ใช่การพยายามทำนายว่าผู้โจมตีรายไหนจะมา แต่คือการทำให้ระบบสำคัญของเราทนต่อแรงกระแทก ฟื้นตัวได้เร็ว และไม่ล้มทั้งห่วงโซ่เมื่อเจอเหตุที่ไม่ปกติ
แหล่งอ้างอิง
- World Economic Forum: Global Cybersecurity Outlook 2026, เผยแพร่วันที่ 12 มกราคม 2026
- Australian Government: Critical Infrastructure Annual Risk Review highlights changing risk landscape, เผยแพร่วันที่ 3 พฤศจิกายน 2025
- ACSC: Annual Cyber Threat Report 2024-2025, เผยแพร่วันที่ 14 ตุลาคม 2025
- CISA: PRC-sponsored Volt Typhoon fact sheet for critical infrastructure leaders, เผยแพร่วันที่ 19 มีนาคม 2024
- CISA: U.S. and international partners publish advisory on PRC state-sponsored hacking of U.S. critical infrastructure, เผยแพร่วันที่ 7 กุมภาพันธ์ 2024
- CISA: Exploitation of Unitronics PLCs used in Water and Wastewater Systems, เผยแพร่วันที่ 28 พฤศจิกายน 2023
- ICRC: Cyber operations and harmful information