“Cyber Resilience” คืออะไร ***
ในปัจจุบันคำว่า “Cybersecurity” กำลังกลายเป็นคำยอดฮิตในวงการไอทีและยังฮิตนอกวงการไอทีอีกด้วย ประชาชนทั่วไปได้เห็นปัญหาการโจมตีทางไซเบอร์
ประชาชนทั่วไปได้เห็นปัญหาการโจมตีทางไซเบอร์ตามสื่อต่างๆ กันอย่าง คำว่า “Cyber Attack” หรือ “Cybersecurity” ถูกนำมากล่าวถึงตามสื่ออยู่บ่อยๆ แต่เราไม่ค่อยได้ยินคำว่า “Cyber Resilience” กันมากนัก ซึ่งแท้จริงแล้ว “สภาวะไซเบอร์” ที่เราใช้สมารท์โฟนและอินเทอร์เน็ตในการใช้งานโซเซียลมีเดียอยู่ในขณะนี้ คำว่า “Cyber Resilience” มีความสำคัญกับ “สภาวะไซเบอร์” อย่างมาก ดังนั้นเราควรศึกษาและทำความเข้าใจกับคำว่า “Cybersecurity” และ “Cyber Resilience” ให้ถ่องแท้ เพื่อให้เกิดประโยชน์ต่อตัวเรา ครอบครัว และองค์กร ตลอดจนประเทศชาติของเราในภาพรวมต่อไปในอนาคต
BACK TO THE BASIC : “Security” and “Resilience”
จากคำนิยามศัพท์ในเอกสาร Presidential Policy Practice : Critical Infrastructure. Security and Resilience(PPD-21) โดยทำเนียบขาว รัฐบาลสหรัฐได้ให้คำจำกัดความคำ “Security” แตกต่างจากคำว่า “Resilience ” ดังนี้
“Security” หมายถึง การลดความเสี่ยงให้กับโครงสร้างพื้นฐานทั้งทางกายภาพและทางไซเบอร์ มุ่งเน้นไปที่การบริหารจัดการ การบุกรุก การโจมตี รวมทั้งภัยธรรมชาติและภัยที่มนุษย์ได้ก่อขึ้นทั้งตั้งใจและไม่ได้ตั้งใจ เช่น การก่อการร้าย หรือ การโจมตีทางไซเบอร์
“Resilience” หมายถึง ความสามารถในการเตรียมตัวและการปรับตัวต่อการเปลี่ยนแปลง รวมทั้งความสามารถในการทนทานต่อการบุกรุก การโจมตี รวมถึงความสามารถในการคืนสภาพของระบบ ไม่ว่าจะเป็นการโจมตีที่เกิดจากภัยธรรมชาติและภัยที่มนุษย์ได้ก่อขึ้นทั้งตั้งใจและไม่ได้ตั้งใจ
ดังนั้น จะเห็นได้ว่าความหมายของคำว่า “Resilience” มีความหมายลึกซึ้งกว่าคำว่า “Security” และเมื่อพูดถึง “Cybersecurity” ก็ไม่ได้มีคำจำกัดความอย่างชัดเจนมาก่อน (แต่ในปัจจุบัน MITRE corporation ได้นิยามไว้ในเอกสาร Cyber Resiliency Design Principles, January 2017) ปัจจุบันเข้าใจกันโดยรวมว่า “Cybersecurity” หมายถึง ความมั่นคงปลอดภัยทางไซเบอร์ ที่ไม่ใช่ความมั่นคงปลอดภัยทางกายภาพ เช่น ประตูรั้ว, การล็อคประตูบ้าน ประตูรถ แต่หากหมายถึง ความมั่นคงปลอดภัยในการนำคอมพิวเตอร์และระบบสารสนเทศมาใช้ รวมถึงความมั่นคงปลอดภัยในการใช้งานอินเทอร์เน็ตผ่านอุปกรณ์เคลื่อนที่ต่างๆ ในปัจจุบัน อาทิเช่น สมาร์ทโฟน โดยสภาวะไซเบอร์นั้นยากที่จะควบคุมได้ ไม่เหมือนทางกายภาพ ที่สามารถกำหนดขอบเขตในการควบคุมได้อย่างชัดเจน ดังนั้น “Cybersecurity” จึงบริหารจัดการยากกว่า “Physical Security” หรือ “Conventional Security”
ทำไมต้อง "Cyber Resilience "?
ภัยไซเบอร์ไม่ใช่เรื่องใหม่แต่ในปัจจุบันภัยไซเบอร์มีความสลับซับซ้อนมากขึ้น เนื่องจากมีการโจมตีในลักษณะ APT (Advanced Persistent Threat) ที่สนับสนุนโดยรัฐบาลของประเทศต่างๆแบบลับๆ ที่เรียกกันว่า “State - Sponsored Attack” และมีการขายช่องโหว่ที่ผู้ผลิตยังไม่ถูกค้นพบที่เรียกว่า “Zero-Day Exploit” ในตลาดมืด หรือใน Dark Web อีกทั้งหลายผลิตภัณฑ์ยังฝัง Backdoor มาจากโรงงานโดยการร่วมมือกับรัฐบาลในประเทศผู้ผลิต และยังไม่รวมโปรแกรมเจาะช่องโหว่ผู้ผลิตยังไม่ถูกค้นพบของทั้ง CIA และ NSA ที่หลุดออกมาจากกลุ่มแฮกเกอร์ ที่นำมาปล่อยให้ดาวน์โหลดกันทั่วไป
เราจะเห็นได้ว่าในปัจจุบันและอนาคตไม่ใช่แค่ “IT Security” หรือ “Information Security” แต่รวมถึง “OT Security” (Operational Security) ที่ครอบคลุมไปถึงระบบ SCADA/ICS ตลอดจน IOT Security (Internet Of Thing Security) ที่มีการเจาะระบบกันแม้กระทั่งการเจาะกล้องวงจรปิด ยกตัวอย่างมัลแวร์ Mirai Botnet ที่เจาะ CCTV มาทำการโจมตีในรูปแบบ DDoS Attack เป็นต้น ดังนั้นจึงไม่มีระบบออนไลน์ระบบใดที่ปลอดภัย 100% "ทุกระบบมีสิทธิถูกเจาะตลอดเวลา 24X7 ดังนั้นเราจึงควรเตรียมการรับมืออยู่เสมอ” จึงเป็นที่มาของแนวคิด “Cyber Resilience” ในที่สุด
กล่าวโดยสรุปจะเห็นว่า องค์กรทั่วโลกโดยเฉพาะองค์กรที่มีความเกี่ยวข้องกับโครงสร้างพื้นฐานที่มีความสำคัญยิ่งยวด (Critical Infrastructure) นั้น ควรให้ความสำคัญกับ 3 เรื่องใหญ่ๆ ได้แก่ 1. Threat Models 2.Threat information และ3. Frameworks
โดยเรื่องที่ 1 Threat Models จะเน้นไปที่ Cyber Attack Lifecycle หรือ Cyber Kill Chain ทำความเข้าใจกับภัยไซเบอร์ให้ถ่องแท้เสียก่อน จากนั้นหันมาดูเรื่องที่ 2 “Threat Information ” หมายถึง การติดตามข่าวสารภัยไซเบอร์ต่างๆ ติดตามเทคนิคใหม่ๆ ของแฮกเกอร์ และ Zero Day Exploit ที่หลุดออกมา ตลอดจน เรื่อง CTI (Cyber Threat Intelligence) รวมถึง เรื่องการแชร์ Threat Information ในรูปแบบการรวมตัวกันเป็น ISAC (Information Sharing and Analysis Center) และ ISAO (Information Sharing and Analysis Organizations) รวมทั้งการนำ NIST Cybersecurity Framework และ Cyber Resiliency Engineering Framework (CREF) มาใช้ในการบริหารจัดการปัญหาภัยไซเบอร์ที่นับวันจะมีความสลับซับซ้อนและรุนแรงขึ้น จะเห็นได้ว่าการบริหารจัดการกับภัยไซเบอร์ในปัจจุบัน นิยมบริหารจัดการในลักษณะ “Threat Orientated Approach” ที่กำลังเป็นทิศทางของหลายองค์กรในโลกนี้ โดยมี Security Mindset ที่ว่า “ไม่มีระบบใดในโลกนี้ที่ปลอดภัย 100%” จึงต้องมีการนำหลักการ “Cyber Resilience” หรือ “Cyber Resiliency” เข้ามาใช้ในการเตรียมรับมือกับภัยไซเบอร์ของวันนี้และอนาคต
*** ชื่อเต็ม: “Cyber Resilience” คืออะไร? ต่างจาก “Cybersecurity” อย่างไร?
ทำไมวันนี้องค์กรที่อยู่ในกลุ่ม Critical Infrastructure ต้องให้ความสำคัญ?
