อุตสาหกรรม4.0กับความปลอดภัยด้านไซเบอร์

 

การเปลี่ยนแปลงด้านความปลอดภัยด้านไซเบอร์ในภาคอุตสาหกรรม

จากตัวอย่าง Use case ในการวิเคราะห์ประสิทธิภาพและการบำรุงรักษาที่คาดการณ์ล่วงหน้า (Predictive maintenance) ที่อาศัยการทำงานร่วมกันของเครื่องจักรผ่านเครือข่ายอินเทอร์เน็ต หรือ Industrial Internet of Things (IIoT) หรือการเชื่อมต่อคลังข้อมูลผ่านการแชร์ในระบบคลาวด์ เทคโนโลยีเหล่านี้ช่วยให้ผู้ผลิตสามารถวิเคราะห์การทำงาน การตัดสินใจ และแก้ไขข้อบกพร่องได้อย่างรวดเร็ว อีกทั้งสามารถบริหารจัดการทรัพย์สินได้แบบเรียลไทม์ โดยเฉพาะจากการแพร่ระบาดของเชื้อโควิด-19 ได้เร่งความต้องการเทคโนโลยีเหล่านี้มากขึ้น เนื่องจากพนักงานไม่สามารถทำงานที่โรงงานได้ แต่ยังคงต้องดูแลปกป้องทรัพย์สิน

ในปัจจุบันภัยคุกคามใหม่ๆ เริ่มมีความซับซ้อนมากขึ้น เช่น มัลแวร์เรียกค่าไถ่ (Ransomware) และการโจมตีที่ได้รับการสนับสนุนจากหน่วยงานรัฐ (State-sponsored attack) ทำให้ผู้ผลิตเสี่ยงต่อการถูกโจมตีมากกว่าที่เคย ซึ่งการโจมตีทางไซเบอร์และความเสี่ยงต่อทั้งเทคโนโลยีปฏิบัติการ (Operational technology: OT) และเทคโนโลยีสารสนเทศ (Information technology: IT) เพิ่มขึ้นอย่างมาก อาจเป็นเพราะการบรรจบกันของสภาพแวดล้อมการทำงานในส่วน IT และ OT ในอุตสาหกรรม 4.0 รวมทั้งการเชื่อมต่อไปยังระบบคลาวด์

 

ดีลอยท์ร่วมกับ Manufacturers Alliance for Productivity and Innovation (MAPI) เพื่อศึกษาความปลอดภัยไซเบอร์ในการผลิตและความเสี่ยงที่เกี่ยวข้องตั้งแต่ปี 2016 โดยอ้างอิงจากรายงาน 2019 Deloitte and MAPI Smart Factory Study เปิดเผยความเสี่ยงหลายประการในการริเริ่มโรงงานอัจฉริยะ (Smart factory) ซึ่งผู้ตอบแบบสำรวจจำนวน 48% คิดว่าความเสี่ยงด้านปฏิบัติการ รวมถึงความปลอดภัยด้านไซเบอร์ เป็นอันตรายต่อการริเริ่มโรงงานอัจฉริยะมากที่สุด และแสดงให้เห็นว่า ผู้ผลิตมีความกังวลเกี่ยวกับความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาต (87%) การโจรกรรมทรัพย์สินทางปัญญา (85%) และการหยุดชะงักในการปฏิบัติงาน (86%)

ความไม่สอดคล้องของITและOT

แม้ว่ามีหลายส่วนที่คาบเกี่ยวระหว่าง IT และ OT ที่ต้องบริหารจัดการบุคลากร (People) กระบวนการ (Process) และเทคโนโลยี (Technology) แต่ผู้ผลิตหลายรายยังไม่ได้รวมกลยุทธ์ IT และ OT เข้าด้วยกัน โดยแผนก IT ในปัจจุบันมักจะรับผิดชอบในการบริหารความปลอดภัยในสภาพแวดล้อม OT ควบคู่ไปกับระบบ IT ที่มีอยู่ อย่างไรก็ตาม หัวหน้าฝ่ายปฏิบัติการมักเป็นผู้ตัดสินใจเกี่ยวกับการลงทุนในระบบ OT โดยฝ่าย IT และฝ่ายรักษาความปลอดภัยมีส่วนร่วมในการตัดสินใจเพียงเล็กน้อย

 

โดยทั่วไปแล้ว การนำเทคโนโลยีขั้นสูงมาใช้ในสภาพแวดล้อม OT ทำให้อาจมองข้ามความปลอดภัยด้านไซเบอร์ไป ซึ่งการรักษาความปลอดภัยอย่างต่อเนื่องของระบบ OT จะไม่ครอบคลุมในข้อตกลงระดับการให้บริการ (Service level agreement หรือ SLA) และสัญญากับผู้วางระบบและผู้ให้บริการอุปกรณ์ ที่อาจส่งผลกระทบร้ายแรงต่อการปฏิบัติงานหากตกเป็นเป้าหมายของการโจมตี

การคาดการณ์ที่ผิดพลาด อาจไม่พร้อมรับมือภัยคุกคามใหม่ๆ

ผู้ตอบแบบสำรวจกว่า 90% กล่าวว่า พวกเขามีความสามารถตรวจจับเหตุการณ์ด้านไซเบอร์ แต่มีเพียงไม่กี่บริษัทเท่านั้นที่ขยายการเฝ้าระวังไปยังสภาพแวดล้อม OT ของตน จึงเป็นเรื่องยากที่จะตรวจจับการโจมตีที่เกิดขึ้นได้ นอกจากว่า เหตุการณ์นั้นมีผลกระทบต่อการปฏิบัติงาน และผู้ตอบแบบสำรวจมากกว่า 50% ไม่ได้ทำการประเมินความปลอดภัยด้านไซเบอร์ (Cybersecurity assessment) ในช่วง 6 เดือนที่ผ่านมา ซึ่งหมายถึงการไม่ตระหนักถึงผลกระทบของการโจมตีทางไซเบอร์ (Cyberattack) ต่อการดำเนินงานขององค์กร ชี้ให้เห็นว่า ผู้ผลิตที่ตอบแบบสำรวจมั่นใจว่าพร้อมรับมือภัยคุกคามไซเบอร์ มากกว่าขีดความสามารถในการตอบสนองหรือกู้คืนที่ตนเองมี

 

การเตรียมพร้อมและรับมือต่อภัยคุกคามไซเบอร์(Cyber resilience)

องค์กรควรลงทุนเรื่องการบริหารจัดการทางไซเบอร์แบบองค์รวม (ทั้ง IT และ OT) เพื่อที่จะระบุ ปกป้อง ตอบสนอง และกู้คืนจากการโจมตีทางไซเบอร์ องค์กรควรพิจารณาขั้นตอนต่อไปนี้ความปลอดภัยด้านไซเบอร์ที่มีประสิทธิภาพ:

การประเมินขีดความสามารถความปลอดภัยด้านไซเบอร์(Cybersecurity maturity assessment)หากยังไม่ได้ทำการประเมินในปีที่ผ่านมา แนะนำให้พิจารณาดำเนินการ โดยคำนึงถึงสภาพแวดล้อม OT และความเสี่ยงด้านไซเบอร์ที่สำคัญการจัดตั้งการกำกับดูแลความปลอดภัยไซเบอร์ ซึ่งพิจารณาถึงสภาพแวดล้อมOT

การกำกับดูแลความมั่นคงปลอดภัยไซเบอร์ควรทำให้ความสอดคล้องกันในทุกสถานที่ ส่วนโครงสร้างการกำกับดูแลควรประกอบด้วยตัวแทนจากด้านธุรกิจ เพื่อให้ทีม IT และ OT สามารถทำงานร่วมกันได้ในทางปฏิบัติ อาจพิจารณาให้คณะกรรมการ (Steering committee) เป็นผู้มอบหมายอำนาจในการตัดสินใจ ให้มีความสอดคล้องกันในแผนงานต่อไป

การจัดลำดับความสำคัญของการดำเนินการตามโปรไฟล์ความเสี่ยง(Risk profile)

การใช้ผลการประเมินความขีดความสามารถด้านความปลอดภัยไซเบอร์ เพื่อสร้างกลยุทธ์และแผนงาน (Roadmap) สำหรับนำเสนอผู้บริหารเพื่อจัดการความเสี่ยงที่เหมาะสมกับระดับความเสี่ยงที่ยอมรับได้และขีดความสามารถขององค์กร

การบูรณาการความปลอดภัยไซเบอร์

การนำอุตสาหกรรม 4.0 มาใช้ในองค์กรในระยะแรกๆ อาจเป็นเวลาที่เหมาะสมที่จะบูรณาการการบริหารจัดการความปลอดภัยด้านไซเบอร์เข้ากับโครงการเหล่านั้น ทั้งการออกแบบ และการนำควบคุมความมั่นคงปลอดภัยที่เหมาะสมมาใช้ในระยะแรกของโครงการ

หมายเหตุบทความข้างต้น เขียนขึ้นโดย วุทธิ นพสุวรรณชัย ผู้จัดการอาวุโส และศาริณ ตรีสิริประเสริฐ ผู้ช่วยผู้จัดการ

ที่ปรึกษาด้านความเสี่ยง ดีลอยท์ ประเทศไทย

 

อ้างอิงจากDeloitte and MAPI,”Cybersecurity for smart factories”, 2020.

Deloitte and MAPI,”Smart Factory Study”, 2019.