Cyber Fatigue: ทำไมพนักงานเริ่มไม่สนใจ Security?

ในวันที่ภัยไซเบอร์ซับซ้อนขึ้นทุกปีแต่น่าแปลกที่ “ความใส่ใจ” ของพนักงานกลับลดลง

นี่คือสิ่งที่เรียกว่า Cyber Fatigue อาการเหนื่อยล้าทางไซเบอร์ที่กำลังเกิดขึ้นในหลายองค์กร — และหลายครั้งเราไม่รู้ตัว

เมื่อ Security กลายเป็น “เสียงรบกวน”

ลองมองจากมุมพนักงานทั่วไป

• ต้องเปลี่ยนรหัสผ่านบ่อย ๆ
• ต้องทำ Mandatory Training ทุกปี
• ต้องคลิกยอมรับ Policy ยาวหลายสิบหน้า
• ต้องระวังอีเมลทุกฉบับ

Security ค่อย ๆ กลายเป็น “ภาระ” มากกว่า “ความร่วมมือ” เมื่อสิ่งใดถูกบังคับซ้ำ ๆ โดยไม่เข้าใจเหตุผลมนุษย์จะเริ่ม ปิดรับโดยอัตโนมัติ

1. Training ซ้ำ ๆ จนคนเบื่อ

หลายองค์กรยังใช้วิธีเดิม

• วิดีโอเดิม
• Slide เดิม
• Quiz แบบเดิม
• ตัวอย่าง Phishing แบบเดิม

พนักงานจึงเรียนรู้เพียงแค่ “ตอบข้อสอบให้ผ่าน” ไม่ใช่ “เข้าใจความเสี่ยงจริง ๆ” เมื่อ Training กลายเป็นเพียง KPI Security ก็กลายเป็นแค่ Checklist

2. Phishing Simulation ที่ไม่มี Feedback

องค์กรจำนวนมากส่ง Phishing Simulation เพื่อ “จับผิด”

แต่คำถามคือ…

• ถ้าพนักงานคลิก → เขาได้เรียนรู้อะไร?
• มีการอธิบายไหมว่าจุดไหนคือสัญญาณเตือน?
• มีการ Coaching แบบไม่ประจานหรือไม่?

ถ้า Simulation มีแค่ผลลัพธ์ว่า “คุณสอบตก”

สิ่งที่เกิดขึ้นคือ

• ความกลัว
• ความอาย
• ความต่อต้าน

แทนที่จะสร้าง Awareness กลับสร้าง “กำแพง”

3. Security Policy ที่อ่านไม่รู้เรื่อง

หลายองค์กรมี Policy ที่ดีแต่เขียนเหมือนเอกสารทางกฎหมาย

• เต็มไปด้วยศัพท์เทคนิค
• ไม่มีตัวอย่างสถานการณ์จริง
• ไม่มีภาพประกอบ
• ไม่มีสรุปสั้น ๆ ให้เข้าใจง่าย

ผลลัพธ์คืออะไร? พนักงานเลื่อนลงไปล่างสุด แล้วกด “I Acknowledge” โดยไม่เคยอ่านแม้แต่บรรทัดเดียว

Cyber Fatigue ไม่ใช่ปัญหาของพนักงาน แต่เป็นปัญหาของ “วิธีสื่อสาร”

มนุษย์ไม่ได้ต่อต้านความปลอดภัย มนุษย์ต่อต้านความซับซ้อน ความซ้ำซาก และการถูกบังคับโดยไม่เข้าใจ

Security ที่ดีไม่ควรทำให้คนรู้สึกว่า

• “ทำเพราะถูกสั่ง”
• “กลัวโดนลงโทษ”
• “ไม่เกี่ยวกับงานฉัน”

แต่ควรทำให้รู้สึกว่า

• “มันปกป้องฉัน”
• “มันปกป้องทีมของฉัน”
• “ฉันเข้าใจว่าทำไมมันสำคัญ”

แล้วองค์กรควรทำอย่างไร?

เปลี่ยนจาก Training เป็น Experience

• ใช้ Scenario จริง
• ใช้ Case Study จากเหตุการณ์ล่าสุด
• ทำให้ Interactive และสั้นกระชับ

เปลี่ยนจาก Simulation เป็น Coaching

• อธิบายจุดผิดอย่างชัดเจน
• ให้ Feedback ทันที
• ไม่ใช้วิธีประจาน

เปลี่ยน Policy เป็นภาษามนุษย์

• ทำ Executive Summary 1 หน้า
• มี Infographic / Visual
• แปลศัพท์เทคนิคเป็นภาษาง่าย

เพราะสุดท้ายแล้ว… ภัยไซเบอร์ไม่ได้โจมตี “ระบบ” อย่างเดียว มันโจมตี “คน” และคนจะป้องกันองค์กรได้
ก็ต่อเมื่อเขาเข้าใจจริง ๆ

Security ต้องทำให้คน “เข้าใจ” ไม่ใช่แค่ “เซ็นรับทราบ” ถ้าองค์กรยังวัดความสำเร็จจากจำนวนคนที่คลิกผ่าน Training
หรือจำนวน Policy ที่มีลายเซ็นครบนั่นอาจไม่ใช่ Security แต่มันคือแค่เอกสาร Security ที่แท้จริงเริ่มต้นจากการสื่อสารที่เข้าใจมนุษย์และเมื่อพนักงานรู้สึกว่า Security ไม่ใช่ภาระ แต่เป็นเครื่องมือที่ช่วยเขา เมื่อนั้น…Cyber Fatigue จะค่อย ๆ หายไปเอง

#BigFish #Cybersecurity #CyberFatigue #SecurityCulture #HumanFactor #CyberStrategy #CyberResilience #InformationSecurity #SecurityAwareness #PhishingAwareness #CyberRisk #EmployeeEngagement