คอลัมนิสต์

ทำไมต้อง "Cyber Resilience" ? ความหมายที่แท้จริง

By ดร.ปริญญา หอมเอนก30 ม.ค. 2020 เวลา 4:00 น.
ทำไมต้อง "Cyber Resilience" ? ความหมายที่แท้จริง

ภัยไซเบอร์ไม่ใช่เรื่องใหม่แต่ในปัจจุบันภัยไซเบอร์มีความสลับซับซ้อนมากขึ้นกว่าในอดีต เนื่องจาก ทิศทางการโจมตีทางไซเบอร์ทั่วโลก

มีการโจมตีในลักษณะState-sponsored Attack เพิ่มมากขึ้น ในรูปแบบ APT (Advanced Persistent Threat) ที่สนับสนุนโดยรัฐบาลของประเทศต่างๆแบบลับๆ และมีการขายช่องโหว่ที่ผู้ผลิตยังไม่ถูกค้นพบที่เรียกว่า "Zero-Day Exploit" ในตลาดมืด หรือใน Dark Web อีกทั้งหลายผลิตภัณฑ์ยังฝัง Backdoor มาจากโรงงานโดยการร่วมมือกับรัฐบาลในประเทศผู้ผลิต และยังไม่รวมโปรแกรมเจาะช่องโหว่ผู้ผลิตยังไม่ถูกค้นพบของทั้ง CIA และ NSA ที่หลุดออกมาจากกลุ่มแฮกเกอร์ ที่นำมาปล่อยให้ดาวน์โหลดกันทั่วไป

วิเคราะห์ปัญหาภัยไซเบอร์ในปัจจุบันและอนาคตไม่ใช่แค่ "IT Security" หรือ "Information Security" แต่รวมถึ "OT Security" (Operational Security) ที่ครอบคลุมไปถึงระบบ SCADA/ICS ตลอดจน IOT Security (Internet Of Thing Security) ที่มีการเจาะระบบกันแม้กระทั่งการเจาะกล้องวงจรปิด ยกตัวอย่าง หลายปีที่ผ่านมามีมัลแวร์Mirai Botnet ที่เจาะ CCTV มาทำการโจมตีในรูปแบบDDoS Attack เป็นต้น  ดังนั้นจึงไม่มีระบบออนไลน์ระบบใดที่ปลอดภัย 100% "ทุกระบบมีสิทธิถูกเจาะตลอดเวลา 24X7 ดังนั้นเราจึงควรเตรียมการรับมืออยู่เสมอ จึงเป็นที่มาของแนวคิด “Cyber Resilience”

หลายปีที่ผ่านมามีการยกระดับมาตรฐานและกฎระเบียบของหน่วยงานกํากับดูแลสถาบันการเงินในเรื่องความมั่นคงปลอดภัยไซเบอร์ทั้งในทวีปเอเชียและทั่วโลก หน่วยงานกำกับดูแลสถาบันการเงิน ตลาดทุน ธุรกิจหลักทรัพย์ธุรกิจจัดการลงทุนธุรกิจสัญญาซื้อขายล่วงหน้า และ ธุรกิจประกัน ยกตัวอย่างในประเทศไทยได้แก่ ธนาคารแห่งประเทศไทย หรือ ธปท. (BOT), สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. (SEC) รวมทั้ง สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย หรือ คปภ.(OIC) ตลอดจนหน่วยงานดูแลสถาบันการเงินในต่างประเทศ ไม่ว่าจะเป็น Monetary Authority of Singapore (MAS) ของสิงคโปร์ , Hong Kong Monetary Authority (HKMA) ของฮ่องกง ล้วนแต่ให้ความสำคัญในเรื่อง "Cybersecurity" เป็นประเด็นสำคัญ โดยมีการพัฒนาจาก "Information Security state" มาเป็น "Cybersecurity state" และเข้าสู่ภาวะ " Cyber Resilience" ในที่สุด 

ที่มาขององค์ความรู้"Cyber Resilience"

การทำความเข้าใจ "Cyber Resiliency Engineering Framework (CREF) "

157969279626

รูปที่1 : Cyber Resiliency Engineering Framework (CREF), 2011

157969291660

รูปที่2 : Cyber Resiliency DesignPrinciples, 2017

MITRE Corporationได้พัฒนา “Cyber Resiliency Engineering Framework (CREF) (ดูรูปที่ 1) ขึ้นในปี ค.ศ. 2011โดยมีหลักการในการออกแบบหรือ "Cyber Resiliency Design Principle" (ดูรูปที่ 2) อธิบายแนวคิดนี้ในปี ค.ศ. 2017 มุ่งเน้นไปที่ Advanced Cyber Threat หรือ Advanced Persistent Threat (APT) จึงจำเป็นต้องมีการออกแบบะบบให้มีความพิเศษในการรองรับการโจมตีในรูปแบบนี้โดยเฉพาะ MITREได้นำหลักการในการออกแบบใน 4หัวข้อใหญ่มาใช้ได้แก่ 1. Security 2. Resilience 3. Evolvability 4. Survivability (ดังรูปที่3)

157969315124

รูปที่3 : Representative Examples of Design Principles from Different Specialty Disciplines

ตัว CREF ได้รับการออกแบบมาอย่างปราณีตโดยแบ่งออกเป็น 3 โดเมนหลักได้แก่ 1. Goals 2. Objectives 3. Techniques (ดูรูปที่4) โดย Goals จะแบ่งออกเป็น 4 Goals ได้แก่ 1. Anticipate 2. Withstand 3. Recover 4. Evolveและแบ่ง Objective ออกเป็น 8 Objectives และ 14Techniques โดย TechniqueจะสนับสนุนObjective (ดังรูปที่5)โดยCREF ได้ออกแบบมาให้เหมาะสมกับ Cyber Attack Lifecycle ในปัจจุบัน (ดูรูปที่6) Cyber Attack Lifecycleได้รับการพัฒนาต่อยอดมาจาก Cyber Kill Chain โดยหลักการของCyber Resiliency จะเน้นเรื่องเวลาในการกู้คืนระบบTime of Recovery(ดังรูปที่7)การออกแบบจะคิดถึงความสัมพันธ์ ของ Cybersecurity และ Cyber Resilience (ดังรูปที่8)โดย Cyber Resilience มุ่งเน้นไปที่ Mission Assurance และ Resilience/Availabilityแต่ Cybersecurity มุ่งไปที่ Privacy และ Conventional Security

157969342545

รูปที่4:  Cyber Resiliency Engineering Framework (CREF)

157969341083

รูปที่ 5: Cyber Resiliency Techniques support Cyber Resiliency Objectives

157969339346

รูปที่ 6 :  Cyber Attack Lifecycle

157969337734

รูปที่ 7 : Performance Curve Illustrating Aspects of Resilience

  157969336485

รูปที่ 8 : Notional Relationships Among Dimensions of Trustworthiness

ในเอกสาร Cyber Resiliency Design Principles, January 2017 ได้ให้คำจำกัดความของคำว่า "Cybersecurity" หมายถึง การป้องกันต่อความเสียหายรวมถึงการกู้คืนระบบคอมพิวเตอร์ ระบบการสื่อสารทางอิเล็กทรอนิกส์ การให้บริการสื่อสารทางอิเล็กทรอนิกส์ รวมถึงการปกป้องข้อมูลเพื่อให้อยู่ในสภาพพร้อมใช้, ความถูกต้องครบถ้วน, การรักษาความลับ, การพิสูจน์ตัวตน และการห้ามปฏิเสธความรับผิดชอบ (ดูรูปที่ 9)

157969332873

รูปที่ 9 :  Cybersecurity Definition from MITRE Corporation

MITRE สรุปหลักการพื้นฐานของ Cyber Resilience ได้เป็นรูปสามเหลี่ยม4 รูป ดังรูปที่ 10
ทาง MITREเองได้มองภาพในอนาคตว่า Cyber Resilience จะกลายเป็นส่วนหนึ่งของ Cybersecurity ดังรูปที่ 11โดยการนำ Cyber Resilience Technique ต่างๆมาใช้ เป็นไปตามหลักการของ Maturity ตั้งแต่ Immature ไปจนถึง Highly Mature ดังรูปที่12

157969328463

รูปที่ 10 :  Foundation of Cyber Resiliency

157969325353
รูปที่ 11 :  Cybersecurity Resiliency as part of Cybersecurity from MITRE Corporation

  157969322611

รูปที่ 12 :  Relative Maturity and Ease of Adoption for Approaches to Implementing Cyber Resiliency Techniques

 

ในปัจจุบัน CISO หรือ CSO ทั่วโลก นิยมนำ NIST Cybersecurity Framework และCyber Resiliency Engineering Framework(CREF)มาใช้ในการบริหารจัดการปัญหาภัยไซเบอร์ที่นับวันจะมีความสลับซับซ้อนและรุนแรงขึ้นจะเห็นได้ว่าการบริหารจัดการกับภัยไซเบอร์ในปัจจุบัน นิยมบริหารจัดการในลักษณะ “Threat Orientated Approach”หรือ “Cyber Risk-based Approach”ที่กำลังเป็นทิศทางของหลายองค์กรในระดับโลกโดยที่ผู้บรหารระดับสูงจำเป็นต้องมี Security Mindsetที่ว่าไม่มีระบบใดในโลกนี้ที่ปลอดภัย 100%”จึงต้องมีการนำหลักการ “Cyber Resilience” หรือ “Cyber Resiliency”เข้ามาใช้ในการเตรียมรับมือกับภัยไซเบอร์ของวันนี้และอนาคต