คอลัมนิสต์

“บทวิเคราะห์กรอบความมั่นคงปลอดภัยไซเบอร์ระดับ ***

By ดร.ปริญญา หอมเอนก19 ก.ย. 2018 เวลา 3:40 น.
“บทวิเคราะห์กรอบความมั่นคงปลอดภัยไซเบอร์ระดับ ***

ในขณะที่อินเทอร์เน็ตกำลังเป็นเครื่องมือสำคัญสำหรับการพัฒนาความเจริญเติบโตทางเศรษฐกิจของทุกประเทศทั่วโลก

ขณะเดียวกันอินเทอร์เน็ตกลายเป็นเวทีสำหรับการแลกเปลี่ยนความคิดเห็นของประชาชนในหลายประเทศทั่วโลก จากรายงานของ World Economic Forum แสดงให้เห็นว่าทั่วโลกกำลังวิตกกังวลกับภัยคุกคามด้านไซเบอร์เป็นอย่างมาก เนื่องจากการแก้ปัญหาด้านภัยคุกคามทางไซเบอร์อย่างจริงจังต้องการแนวทางอย่างเป็นระบบเพื่อการบริหารจัดการความเสี่ยงดังกล่าวได้อย่างมีประสิทธิภาพและประสิทธิผล

ทางรัฐบาลของประเทศสหรัฐอเมริกาภายใต้การบริหารของประธานาธิบดี บารัค โอบามา ได้มอบหมายให้สถาบันมาตรฐานและเทคโนโลยีแห่งสหรัฐอเมริกา (NIST) ทำการพัฒนากรอบดำเนินงานเพื่อปรับปรุงความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานระบบโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure Security) เพื่อให้เป็นแนวทางและมาตรฐาน ซึ่งครอบคลุมทั้งในระดับนโยบาย การจัดการองค์กร และ เทคโนโลยี เพื่อบริหารความเสี่ยงไซเบอร์ ที่มีผลกระทบกับหน่วยงานโครงสร้างพื้นฐานสำคัญได้อย่างเหมาะสม

เอกสารกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์นี้ มีที่มาจากการออกเอกสารฉบับหนึ่งที่เรียกว่า “Cybersecurity Executive Order 13686 -- Improving Critical Infrastructure Cybersecurity” โดยประธานาธิบดี บารัค โอบามา เมื่อวันที่ 15 กุมภาพันธ์ พ.ศ. 2556 เป็นการกำหนดนโยบายเกี่ยวกับความมั่นคงปลอดภัยของหน่วยงานโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) มีการกำหนดนโยบายในการแชร์ข้อมูล (Information Sharing) ระหว่างหน่วยงานของรัฐและเอกชน

ต่อมาได้มอบหมายให้ NIST จัดสัมมนา “Voluntary Cybersecurity Framework” เพื่อระดมความคิดจากทั้งหน่วยงานรัฐและเอกชนต่าง ๆ ซึ่งก่อให้เกิดความสำเร็จอย่างสัมฤทธิ์ผลจากการให้ความร่วมมืออย่างเต็มที่จากความเห็นของทุกภาคส่วน รวมกับกรอบการดำเนินงานตามมาตรฐานและแนวปฏิบัติที่ดี เพื่อปรับปรุงให้เป็น “National Cybersecurity Framework” ฉบับสมบูรณ์ โดยได้นำมาจัดทำเป็นกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์สำหรับโครงสร้างพื้นฐานสำคัญ เรียกว่า “Framework for Improving Critical Infrastructure Cybersecurity” (รูปที่ 1 มาตรฐานกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์สำหรับโครงสร้างพื้นฐานสำคัญ, NIST)

“บทวิเคราะห์กรอบความมั่นคงปลอดภัยไซเบอร์ระดับ ***

NIST ได้ทำการออกเวอร์ชั่นล่าสุดของกรอบการดำเนินงานดังกล่าว เมื่อวันที่ 12 กุมภาพันธ์ พ.ศ. 2557 เป็นกรอบการดำเนินงานที่ประกอบด้วยสามองค์ประกอบหลักที่เรียกว่า “Framework Core”, “Framework implementation Tiers” และ “Framework Profiles” เพื่อกำหนดแนวปฏิบัติที่ดีให้นำไปใช้ในการจัดการระบบของหน่วยงานในอุตสาหกรรมที่เกี่ยวกับโครงสร้างพื้นฐานสำคัญ ครอบคลุม 16 กลุ่มสำคัญ (http://www.dhs.gov/critical-infrastructure-sectors) ประกอบด้วย

 

  • Chemical Sector
  • Commercial Facilities Sector
  • Communications Sector
  • Critical Manufacturing Sector
  • Dams Sector
  • Defense Industrial Base Sector
  • Emergency Services Sector
  • Energy Sector
  • Financial Services Sector
  • Food and Agriculture Sector
  • Government Facilities Sector
  • Healthcare and Public Health Sector
  • Information Technology Sector
  • Nuclear Reactors, Materials, and Waste Sector
  • Transportation Systems Sector
  • Water and Wastewater Systems Sector

 

โครงสร้างหลักของกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์สำหรับโครงสร้างพื้นฐานสำคัญ (Framework Core)

องค์ประกอบของ Framework Core เพื่อนำมาใช้ในการดำเนินการร่วมกัน ประกอบด้วย

 

  • หน้าที่งาน (Functions) เป็นกิจกรรมพื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์ในระดับภาพรวม ในเอกสารนี้ จำแนกเป็น 5 functions (IPDRR: Identify, Protect, Detect, Respond, Recover)
  • กลุ่มงาน (Categories) เป็นกลุ่มงานที่จำแนกตามผลลัพธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อาทิ การจัดการทรัพย์สิน การควบคุมการเข้าถึง
  • กลุ่มงานย่อย (Subcategories) เป็นกลุ่มงานที่จำแนกย่อยตามผลลัพธ์เฉพาะด้านในเชิงเทคนิค และ/หรือกิจกรรมในการบริหารจัดการ
  • ข้อมูลอ้างอิง (Informative References) เป็นส่วนที่เป็นมาตรฐาน แนวทาง และแนวปฏิบัติ ที่ใช้ในกลุ่มหน่วยงานโครงสร้างพื้นฐานสำคัญในแต่ละกลุ่ม

         

องค์ประกอบ Framework Core Functions แบ่งย่อยออกเป็นกรอบงานหลัก 5 functions ซึ่งเป็นกิจกรรมงานหลักด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) ได้แก่

 

  • การระบุ (Identify) เป็นขั้นตอนแรกในการศึกษาทำความเข้าใจบริบท ทรัพยากร และกิจกรรมงานสำคัญ เพื่อบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่มีต่อระบบ ทรัพย์สิน ข้อมูล และขีดความสามารถ
  • การป้องกัน (Protect) เป็นการจัดทำและดำเนินการตามมาตรการป้องกันที่เหมาะสมสำหรับการให้บริการโครงสร้างพื้นฐานสำคัญ โดยมีวัตถุประสงค์เพื่อจำกัดระดับผลกระทบของเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ ครอบคลุมการฝึกอบรมและการสร้างความตระหนัก มาตรการควบคุมการเข้าถึง และมาตรการด้านความมั่นคงปลอดภัยต่าง ๆ ทั้งกระบวนการและวิธีปฏิบัติ ตลอดจนเทคโนโลยี
  • การตรวจจับ (Detect) เป็นการจัดทำและดำเนินกิจกรรมเพื่อตรวจหาเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้น ครอบคลุมถึงกระบวนการเฝ้าระวังหรือตรวจติดตามต่อเนื่อง
  • การตอบสนอง (Respond) เป็นการจัดทำและดำเนินกิจกรรมเพื่อตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ที่ตรวจพบ ครอบคลุมถึงการวางแผนรับมือ การสื่อสาร การวิเคราะห์ การลดความเสี่ยง และการปรับปรุง
  • การคืนสภาพ (Recover) เป็นการจัดทำและดำเนินกิจกรรมตามแผนงาน เพื่อรองรับการดำเนินงานต่อเนื่อง รวมถึงแผนการกู้คืนทั้งด้านขีดความสามารถและบริการให้ได้ตามที่กำหนด

         

          เมื่อองค์กรสามารถใช้ทั้ง 5 functions ได้อย่างเหมาะสม โดยการกำหนดผลลัพธ์ที่ต้องการ และกรอบปฏิบัติที่อ้างอิงสำหรับการดำเนินงานเพื่อบรรลุตามวัตถุประสงค์ของแต่ละอุตสาหกรรม/โครงสร้างพื้นฐาน จะช่วยให้องค์กรเข้าใจ และ จัดทำโครงงานและระบบด้าน Cybersecurity ได้อย่างมีประสิทธิภาพมากขึ้น (รูปที่ 2 โครงสร้างองค์ประกอบของกรอบงานหลักด้านความมั่นคงปลอดภัยไซเบอร์ “Framework Core Structure”) และรายละเอียดการจำแนกกลุ่มงาน จำแนกตามกิจกรรมงานหลักด้านความมั่นคงปลอดภัยไซเบอร์ - Function and Category Unique Identifiers)

“บทวิเคราะห์กรอบความมั่นคงปลอดภัยไซเบอร์ระดับ ***

กล่าวโดยสรุปได้ว่า ถึงเวลาแล้วที่หน่วยงานของรัฐและองค์กรทุกองค์กร โดยเฉพาะอย่างยิ่งองค์กรในกลุ่มโครงสร้างพื้นฐานสำคัญ ซึ่งความมั่นคงปลอดภัยของระบบควบคุมอุตสาหกรรม (ICS) สำหรับระบบโครงสร้างพื้นฐานสำคัญขององค์กร มีผลกระทบทางกายภาพโดยตรงต่อสังคมและโลก รวมทั้งความเสี่ยงที่อาจเกิดขึ้นต่อสุขภาพและความปลอดภัยของประชาชน และผลกระทบต่อสิ่งแวดล้อม ผู้บริหารหน่วยงานของรัฐและองค์กรทุกองค์กรจำเป็นต้องตระหนักถึงการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์เป็นสำคัญ ซึ่งต้องมาจากวิสัยทัศน์และภาวะผู้นำของผู้บริหารระดับสูงขององค์กร (Top Management’s Vision and Leadership) ที่ต้องให้เตรียมพร้อมรับมือ ดังคำที่ว่า “ป้องกันไว้ก่อน ดีกว่ามาแก้กันทีหลัง” ด้วยการมองหาแนวทางและโอกาสในการปรับปรุง (Opportunities for improvement: OFI) โดยการดำเนินการป้องกันไว้ก่อนในรูปแบบลักษณะเกราะกันภัย

จากกรอบการดำเนินงานที่นำมาปฏิบัติใช้งานได้อย่างจริงจังและต่อเนื่อง ไม่ใช่มีเกราะกันภัยแต่ปล่อยไว้ไม่ใช้งานหรือใช้บ้างไม่ใช้บ้าง หรืออาจต้องมาตามแก้ไขจากภัยคุกคามและความเสี่ยงที่เกิดขึ้น ทั้งที่รู้และไม่รู้ (Known and Unknown Threats/Risk) โดยควรคำนึงถึง Zero Day Attack อยู่เสมอ  เพราะการป้องกันที่ดี ย่อมทำให้พร้อมที่จะรับมือและแก้ไขได้อย่างเหมาะสมทันท่วงที แต่หากไม่มีการป้องกันที่ดี รอเหตุการณ์เกิดขึ้นก็อาจจะยากที่รับมือหรือแก้ไขได้  เมื่อถึงตอนนั้น ภัยคุกคามก็อาจจะเป็นความเสี่ยงที่ยากต่อการบริหารจัดการ เป็นความเสี่ยงที่กระทบต่อความอยู่รอดขององค์กรในระยะยาวและยากที่จะดำเนินธุรกิจแบบยั่งยืนได้ในที่สุด

////////

*** ชื่อเต็ม: 

“บทวิเคราะห์กรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ระดับโลก” 

“NIST’s Framework for Improving

Critical Infrastructure Cybersecurity”

 

... โอกาส ภัยคุกคาม และความเสี่ยงที่ผู้บริหารองค์กรต้องตระหนัก ...