วิกฤติมาเยือน ‘Critical Infrastructure’
ผู้ที่ต้องรับความเสี่ยงมักจะไม่ใช่ผู้ที่ต้องจัดการกับความเสี่ยง
เมื่อไม่นานมานี้บริษัท Colonial Pipeline ผู้ดูแลท่อส่งน้ำมันฝั่งตะวันออกของสหรัฐ ถูกมัลแวร์เรียกค่าไถ่(Ransomware) โจมตีจนเป็นข่าวดังไปทั่วโลก ทั้งในกลุ่มของผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ รัฐบาล และลูกค้าที่พบว่าถังเก็บน้ำมันของพวกเขาไม่มีน้ำมันเติมเข้ามาตามปกติ
การที่ระบบโครงสร้างพื้นฐานที่สำคัญเช่นนี้เกิดปัญหาขึ้น ทำให้มีการตีความหมายถึงสิ่งที่เกิดขึ้นในหลายแง่มุม บางคนมองว่านี่เป็นการถูกโจมตีด้วยแรนซัมแวร์ที่เกิดขึ้นได้ทั่วไป บางคนให้ความเห็นว่า เหตุการณ์นี้สะท้อนให้เห็นว่าระบบโครงสร้างพื้นฐานที่สำคัญของประเทศยังมีระบบรักษาความปลอดภัยที่หละหลวมอยู่ และบางคนกล่าวว่าสิ่งที่เกิดขึ้นแสดงให้เห็นถึงความไม่สมบูรณ์ของวิธีการทำงานในบริษัทที่เป็นการร่วมทุนระหว่างภาครัฐและเอกชน
อย่างไรก็ดี การทำงานภายในบริษัท Colonial Pipeline จะมีระบบสำคัญที่แบ่งออกเป็น 2 ส่วนคือ เทคโนโลยีเชิงปฏิบัติงาน หรือ Operational Technology (OT) และ เทคโนโลยีสารสนเทศ หรือ Information Technology (IT)
เมื่อบริษัท Colonial Pipeline ถูกโจมตีจนต้องหยุดกระบวนการทำงาน สิ่งแรกที่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ตั้งข้อสงสัยคือ ระบบ OT ถูกโจมตีหรือไม่ ซึ่งในกรณีนี้ผู้เชี่ยวชาญกล่าวว่าเป็นผลกระทบที่เกิดขึ้นกับระบบ OT หรือการที่ระบบ OT ไฟฟ้าดับอันมีสาเหตุมาจากการทำงานของระบบไอที
ทั้งนี้เรื่องที่น่าสนใจคือเราจะเห็นได้ว่าผู้ที่ต้องรับความเสี่ยงมักจะไม่ใช่ผู้ที่ต้องจัดการกับความเสี่ยง อย่างในกรณีนี้บริษัท Colonial Pipeline เป็นผู้จัดการกับความเสี่ยง แต่ประชาชนเป็นผู้รับความเสี่ยงจากการขาดแคลนน้ำมันไว้ใช้เมื่อบริษัทถูกโจมตี
นั่นทำให้ภาครัฐต้องเข้ามามีส่วนร่วมโดยการออกกฎระเบียบ โดยล่าสุด Transportation Security Administration ซึ่งเป็นหน่วยงานด้านความปลอดภัยในการเดินทางของสหรัฐได้รับมอบหมายให้ดูแลเรื่องความปลอดภัยของการขนส่งน้ำมันและก๊าซธรรมชาติ และมีการออกข้อกำหนดของการรักษาความปลอดภัยไซเบอร์สำหรับธุรกิจนี้
เป็นที่ถกเถียงกันถึงการที่บริษัท Colonial Pipeline ได้ทำการปิดระบบทันทีเมื่อพบว่าถูกโจมตี เพราะจากการหารือระหว่างผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์สำหรับกลุ่มอุตสาหกรรม พบว่าการตัดสินใจปิดระบบทั้งหมดของท่อลำเลียงน้ำมันเป็นเรื่องยากที่จะทำ ต้องมีเหตุผลสำคัญ และถูกสั่งการโดยผู้บริหาร การที่บริษัท Colonial Pipeline สั่งปิดระบบทันทีแสดงให้เห็นว่า พวกเขาไม่มั่นใจว่าจะสามารถรับมือกับสิ่งที่เกิดขึ้นได้อย่างปลอดภัย
ทั้งนี้บริษัท Colonial Pipeline ได้ทำประกันภัยความเสียหายจากอาชญากรรมทางไซเบอร์ (Cyber Insurance) ที่ครอบคลุมถึงการถูกคุกคามจาก Ransomware ด้วย นั่นทำให้บางบริษัทที่ก่อนหน้านี้ให้ความสำคัญกับการทำ Cyber Insurance น้อยลง โดยการลดความคุ้มครองในส่วนนี้ และบางบริษัทที่มุ่งไปที่การเพิ่มมาตรฐานระบบการรักษาความปลอดภัยไซเบอร์เพื่อป้องกันไม่ให้ภัยคุกคามเข้ามาทำร้ายได้ ต้องกลับมาพิจารณาเรื่อง Cyber Insurance อีกครั้ง
เราจะสังเกตได้ว่าขณะนี้แฮกเกอร์ไม่ได้มีเป้าหมายเพียงแค่กลุ่มธุรกิจทั่วไปอีกแล้วครับ แต่ขยายกลุ่มเป้าหมายไปถึงระบบโครงสร้างพื้นฐานที่สำคัญของประเทศ ดังนั้นประเทศไทยเองก็ต้องเรียนรู้จากเหตุการณ์นี้และตรวจสอบว่า ระบบโครงสร้างพื้นฐานที่สำคัญของเรามีการรักษาความปลอดภัยไซเบอร์ที่ได้มาตรฐานมากพอแล้วหรือยังครับ