การรักษาความปลอดภัยทางไซเบอร์: ความสำคัญของการตรวจสอบความถูกต้องของผลิตภัณฑ์ที่มีการเชื่อมต่อด้วยมาตรฐานระดับโลก

มาตรฐานการรักษาความปลอดภัยทางไซเบอร์ระดับโลกและแบบแผนการประเมินความสอดคล้องสามารถขจัดช่วงเวลาเครื่องหยุดทำงานและการสูญเสียรายได้ได้อย่างไร

Max Wandera ผู้อำนวยการศูนย์ความเป็นเลิศด้านการรักษาความปลอดภัยทางไซเบอร์ของผลิตภัณฑ์

ในโลกที่มีการเชื่อมต่ออยู่ทุกหนแห่ง อุปกรณ์ที่เชื่อถือได้เป็นเหมือนกระดูกสันหลังของสภาพแวดล้อมเครือข่ายที่ปลอดภัย แต่เมื่อผู้ผลิตและอุตสาหกรรมจำนวนมากขึ้นได้สร้างและเลือกใช้อุปกรณ์ Industrial Internet of Things (IIoT) ที่ความชาญฉลาด การรักษาความปลอดภัย และความปลอดภัยของระบบการทำงานที่เป็นหัวใจสำคัญจึงมีความสำคัญมากขึ้นและจัดการได้ยากขึ้น ความซับซ้อนเหล่านี้ส่วนหนึ่งเกิดจากการขาดมาตรฐานการรักษาความปลอดภัยทางไซเบอร์อันเป็นที่ยอมรับในระดับสากล และแบบแผนการประเมินความสอดคล้องที่ออกแบบมาเพื่อตรวจสอบผลิตภัณฑ์ที่มีการเชื่อมต่อโดยเฉพาะ

ทุกวันนี้ หลายประเทศทั่วโลกต่างพัฒนาข้อกำหนดของตนขึ้นมาโดยไม่คำนึงถึงความสอดคล้องกันในระดับโลก ช่องว่างด้านความสอดคล้องนี้ทำให้ผู้ผลิตกระทำการกำหนดและปฏิบัติตามมาตรฐานสำหรับผลิตภัณฑ์ที่ตนผลิตขึ้นมาได้ยาก โดยเฉพาะอย่างยิ่งเมื่อมีการผลิตและจำหน่ายผลิตภัณฑ์ไปทั่วโลก ด้วยเหตุนี้ ผมจึงเชื่อว่าพันธมิตรในอุตสาหกรรมและหน่วยงานด้านมาตรฐานต้องดำเนินการเชิงรุกเพื่อรวบรวมความคาดหวังด้านความปลอดภัยและแนวปฏิบัติที่ดีที่สุดสำหรับระบบนิเวศของ IIoT สิ่งนี้จะช่วยให้มั่นใจได้ว่าระบบรักษาความปลอดภัยในผลิตภัณฑ์ต่างๆ ถูกสร้างขึ้นอย่างสอดคล้องกัน และในท้ายที่สุดก็จะช่วยบริษัทต่างๆ ประหยัดค่าใช้จ่ายในด้านการออกแบบระบบและการกู้คืนจากการถูกโจมตีทางไซเบอร์ได้หลายพันล้านดอลลาร์

ความเป็นจริงในด้านการรักษาความปลอดภัยที่บริษัทต่างๆ ต้องเผชิญ

ด้วยการผสานรวมอุปกรณ์ IIoT ในระบบและโซลูชันเดิมที่กำลังเพิ่มสูงขึ้น โครงสร้างพื้นฐานที่สำคัญและเครือข่ายระบบควบคุมอุตสาหกรรมอื่นๆ จึงโอกาสถูกโจมตีทางไซเบอร์ที่สูงขึ้น ซึ่งการบรรเทาความเสียหายจากการโจมตีดังกล่าวก็มีความท้าทายมากขึ้นเช่นกัน ปัจจุบัน ความสูญเสียโดยรวมที่เกิดจากอาชญากรรมด้านความปลอดภัยทางไซเบอร์อยู่ที่ประมาณ 6 แสนล้านดอลลาร์¹หรือร้อยละ 0.8 ของ GDP ทั่วโลก เหตุการณ์ต่างๆ ที่เกิดขึ้นในช่วงไม่กี่ปีที่ผ่านมาแสดงให้เห็นถึงการละเมิดความปลอดภัยที่ร้ายแรงหลายครั้งซึ่งได้รับความสนใจจากทั่วโลก รวมถึง มัลแวร์ “Industroyer” หรือ “Crash Override” ในปี 2015 ที่ทำลายกริดไฟฟ้าของยูเครนและ การโจมตี Mirai Botnet ครั้งใหญ่ในปี 2016 ซึ่งได้ลดทอนความสามารถของกล้องวงจรปิดและเราเตอร์ IoT เพื่อเริ่มการโจมตีในรูปแบบการปฏิเสธการให้บริการชนิดกระจายหลายครั้ง

6 แสนล้าน

คือมูลค่าความเสียหายที่เกิดจากอาชญากรรมทางไซเบอร์ทั่วโลก (ดอลลาร์สหรัฐ)

0.8

ของ GDP โลก คือขนาดความเสียหายจากอาชญากรรมไซเบอร์ทั้งหมด

34.8

คืออัตราความสูญเสียในหน่วยดอลลาร์จากอาชญากรรมไซเบอร์ระหว่างปี 2014 ถึง 2018

การโจมตีดังกล่าวมักจะซับซ้อนและสร้างความเสียหายมากกว่าการโจมตีทางไซเบอร์ในช่วงก่อนที่จะมี IIoT เนื่องจากขนาดและผลที่ตามมาของระบบทางกายภาพ และการบรรเทาความเสียหายเหล่านี้ก็ยิ่งยากขึ้นไปอีก ในขณะที่รัฐบาลและผู้ผลิตออกคำเตือนเกี่ยวกับการป้องกันทางไซเบอร์และแนะนำให้ทำการอัปเดต แต่กระบวนการจริงนั้นล้วนขึ้นอยู่กับระดับของความเอาใจใส่และการปฏิบัติตามคำแนะนำโดยละเอียดของเจ้าของสินทรัพย์แต่ละราย แม้ว่าคำแนะนำที่ออกโดยหน่วยงานภาครัฐและผู้ผลิตมักจะเป็นไปอย่างทันท่วงที แต่ขั้นตอนการอัปเดตระบบก็อาจมีความล่าช้า ไม่มีประสิทธิภาพ และไม่คล่องตัว บ่อยครั้งที่บริษัทต่างๆ มักพบกับข้อจำกัดจากการขาดสถาปัตยกรรมระบบที่รองรับการอัปเดตระบบขณะ “เครื่องยังทำงานอยู่” โดยไม่ส่งผลกระทบต่อช่วงเวลาเครื่องไม่ทำงาน การทำให้ระบบโครงสร้างพื้นฐานที่สำคัญเหล่านี้ต้องออฟไลน์เพื่อนำการอัปเดตไปใช้อาจนำไปสู่การสูญเสียความสามารถในการผลิตและรายได้ ซึ่งส่วนใหญ่แล้ว การอัปเดตการรักษาความปลอดภัยทางไซเบอร์จะต้องมีการกำหนดเวลาหรือสอดคล้องกับตารางการบำรุงรักษาประจำปี

ความท้าทายและวิธีแก้ปัญหาที่เป็นไปได้ในการรักษาระบบนิเวศที่เชื่อมต่อถึงกัน

ลักษณะเฉพาะของเทคโนโลยี IIoT นำมาซึ่งความท้าทายทั้งในทางเทคนิคและทางเศรษฐกิจ จากมุมมองทางเทคนิค อุปกรณ์ IIoT มีความสามารถในการประมวลผลและการจัดเก็บข้อมูลที่จำกัด ไม่ได้ออกแบบมาเพื่อรองรับมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพ เช่น การเข้ารหัสขั้นสูงหรือการจัดการช่องโหว่และแพตช์ เป็นต้น การแก้ปัญหาความท้าทายนี้จำเป็นต้องมีการพัฒนาอัลกอริธึมการเข้ารหัสลับที่ใช้ทรัพยากรไม่มากนัก และโมเดลธุรกิจที่ช่วยให้อัปเกรดผลิตภัณฑ์ IIoT ได้ทันท่วงทีมากขึ้น และระบบการออกแบบเพื่อรองรับการอัปเกรดเฟิร์มแวร์แบบผ่านทางอากาศ (Over The Air หรือ OTA) ในความคิดของผม การรักษาความปลอดภัยของเครือข่ายหรือระบบนั้นมีความแข็งแรงพอๆ กับจุดที่อ่อนแอที่สุดของระบบ องค์กรควรใช้สุขอนามัยในด้านการรักษาความปลอดภัยทางไซเบอร์ขั้นพื้นฐานและวิเคราะห์ภัยคุกคามที่เกิดขึ้นใหม่อย่างต่อเนื่อง เพื่อให้แน่ใจว่าได้ปรับใช้ระบบอย่างปลอดภัย นอกจากนี้ บริษัทต่างๆ ยังควรทำรายการอุปกรณ์ทุกรายการที่เชื่อมต่อกับเครือข่ายของตน และใช้โมเดลที่ยึดหลักการไม่ให้ความเชื่อถือกับทุกระบบเครือข่าย การดำเนินการนี้จำเป็นต้องมีพันธมิตรและการประสานงานร่วมกันกับผู้จัดจำหน่ายที่มีความน่าเชื่อถือในด้านการระบุภัยคุกคาม

การรักษาความปลอดภัยของเครือข่ายหรือระบบนั้นมีความแข็งแรงพอๆ กับจุดที่อ่อนแอที่สุดของระบบ องค์กรควรใช้สุขอนามัยในด้านการรักษาความปลอดภัยทางไซเบอร์ขั้นพื้นฐานและวิเคราะห์ภัยคุกคามที่เกิดขึ้นใหม่อย่างต่อเนื่อง เพื่อให้แน่ใจว่าได้ปรับใช้ระบบอย่างปลอดภัย

Max Wandera , director, Cybersecurity Center of Excellence, Eaton

ความท้าทายทางเศรษฐกิจในการปกป้องระบบนิเวศ IIoT เกิดขึ้นจากห่วงโซ่อุปทานการผลิตที่ซับซ้อน และความยากลำบากในการกำหนดความรับผิดที่ชัดเจนให้กับผู้ผลิตและผู้ทำการผนวกรวมระบบสำหรับช่องโหว่ใดก็ตามที่เกิดขึ้น ผลิตภัณฑ์และส่วนประกอบในระบบส่วนใหญ่ประกอบไปด้วยส่วนประกอบจากซัพพลายเออร์หลากหลายราย องค์ประกอบของความไว้วางใจควรเริ่มต้นและสิ้นสุดที่ใดหากไม่มีแผนการประเมินความสอดคล้องในระดับโลกเพื่อให้แน่ใจว่าส่วนประกอบแบบบูรณาการนั้นไร้ซึ่งช่องโหว่ การมีข้อกำหนดร่วมกันสำหรับผลิตภัณฑ์ที่ผ่านการตรวจสอบในระดับโลกคล้ายกับที่เรามีอยู่แล้วสำหรับการประเมินความปลอดภัยนั้นถือเป็นจุดเริ่มต้นที่ดี วิธีแก้ปัญหาที่เป็นไปได้สำหรับปัญหาด้านความรับผิดประกอบไปด้วยการประเมินความสอดคล้องของส่วนประกอบอุปกรณ์ IIoT โดยบุคคลที่สาม และการจดบันทึกรายการอุปกรณ์ที่ใช้เทคโนโลยี IIoT ที่ถูกนำมาปรับใช้ในเครือข่ายเป็นระยะ เพื่อให้แน่ใจว่ามีการติดตั้งเฉพาะอุปกรณ์ที่เชื่อถือได้เท่านั้น

การขาดซึ่งมาตรฐานการปฏิบัติตามกฎระเบียบด้านการรักษาความปลอดภัยทางไซเบอร์ในระดับโลก

แม้ว่าโซลูชันที่ผมพูดถึงจะเป็นไปได้ แต่การขาดซึ่งมาตรฐานผลิตภัณฑ์ระดับโลกที่มีความสอดคล้องกันสำหรับการรักษาความปลอดภัย IIoT ทำให้การปรับใช้และการใช้ตัวเลือกดังกล่าวช้าลงอย่างมาก มาตรฐาน แนวทาง และข้อบังคับด้านการรักษาความปลอดภัยทางไซเบอร์ที่ไม่สอดคล้องกันระหว่างหน่วยงานต่างๆ ทั่วโลกทำให้การจัดข้อกำหนดด้านความปลอดภัยทางไซเบอร์ระดับระบบของ IIoT ที่เป็นสากลให้สอดคล้องกันสำหรับผู้ผลิตกลายเป็นเรื่องยาก หรืออาจเป็นไปไม่ได้ด้วยซ้ำ ในหลายประเทศ หน่วยงานรัฐบาลในระดับภูมิภาคและท้องถิ่นได้พัฒนาแนวปฏิบัติและมาตรฐานด้านการรักษาความปลอดภัยทางไซเบอร์สำหรับอุปกรณ์ IIoT และโครงสร้างพื้นฐานที่สำคัญเป็นของตนเอง ซึ่งส่งผลให้ขาดความสอดคล้องกัน ในหลายกรณี หน่วยงานของรัฐเหล่านั้นขาดความเชี่ยวชาญที่จำเป็นในการอธิบายความซับซ้อนของอุปกรณ์ IIoT และการใช้งานอุปกรณ์เหล่านั้น

นอกจากนี้ มาตรฐานและข้อกำหนดด้านการรักษาความปลอดภัยทางไซเบอร์ยังกระจัดกระจายไปตามแต่ละภูมิภาคและประเทศ เนื่องจากรัฐบาลได้เริ่มควบคุมเทคโนโลยี IIoT โดยใช้วิธีที่แตกต่างกันมากและถึงกับขัดแย้งกันในบางครั้ง สิ่งนี้สร้างความยากลำบากให้กับผู้ผลิตและผู้ทำการผนวกรวมระบบที่กำลังพยายามสร้างและปรับใช้บริการสำหรับตลาดโลก

มาตรฐานสากลของอุตสาหกรรมและแผนการประเมินความสอดคล้องเร่งด่วนสำหรับ IIoT

หน่วยงานด้านอุตสาหกรรมและมาตรฐานต้องส่งเสริมให้เกิดแผนการประเมินความสอดคล้องที่เหมาะสม เพื่อนำไปช่วยตรวจสอบการปฏิบัติตามข้อกำหนดในระดับโลกสำหรับผลิตภัณฑ์และระบบเพื่อแก้ปัญหาความซับซ้อนในการปฏิบัติตามข้อกำหนดที่หลากหลายจากประเทศและภูมิภาคต่างๆ

ผมมีความรู้สึกอย่างแรงกล้าว่าหน่วยงานด้านมาตรฐานสามารถขึ้นมาเป็นผู้นำในการพัฒนามาตรฐานระดับโลกของการรักษาความปลอดภัยทางไซเบอร์ของ IIoT ซึ่งรวมถึงแผนการประเมินความสอดคล้องที่มีความเหมาะสม มาตรฐานระดับโลกจะปูทางไปสู่ความเป็นพันธมิตรทั้งในระดับองค์กรและทางวิชาการ ซึ่งความสัมพันธ์เหล่านี้จะช่วยสร้างไปป์ไลน์บุคลากรที่แข็งแกร่งยิ่งขึ้นที่จำเป็นต่อการแก้ไขปัญหาการขาดแคลนแรงงานที่มีทักษะในการรักษาความปลอดภัยทางไซเบอร์และโดยเฉพาะอย่างยิ่งสำหรับ IIoT

Max Wandera, ผู้อำนวยการศูนย์ความเป็นเลิศด้านการรักษาความปลอดภัยทางไซเบอร์ที่ Eaton

สิ่งที่อุตสาหกรรมนี้สามารถทำได้ในปัจจุบัน

ความท้าทายที่อยู่ข้างหน้าเราคือการเจรจากับหน่วยงานด้านมาตรฐานต่างๆ ให้มากยิ่งขึ้นโดยการให้ความรู้เกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับผลิตภัณฑ์และโซลูชันที่ไม่ปลอดภัยแก่ผู้ผลิต ซัพพลายเออร์ และผู้บริโภคที่ใช้งาน IIoT แม้ว่าผมจะรู้สึกว่าหน่วยงานด้านมาตรฐานสามารถช่วยชี้นำการสนทนาเกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์ได้ แต่การรักษาความปลอดภัยทางไซเบอร์เป็นงานที่ต้องทำร่วมกัน และการทำงานร่วมกันนี้จะต้องใช้เวลา โดยเฉพาะอย่างยิ่งในภาคส่วนที่ตอบสนองต่อความก้าวหน้าทางเทคโนโลยีได้ช้ากว่า

ในขณะที่อุตสาหกรรมต่างๆ เริ่มผลักดันการรักษาความปลอดภัยทางไซเบอร์ไปข้างหน้าอย่างช้าๆ นี่คือขั้นตอนที่เจ้าของธุรกิจและผู้จัดการสถานที่สามารถนำมาใช้ได้ทันทีเพื่อลดความเสี่ยงด้านการรักษาความปลอดภัยทางไซเบอร์ในระบบและเครือข่าย:

ผนวกรวมการรักษาความปลอดภัยทางไซเบอร์เข้ากับการออกแบบและพัฒนาผลิตภัณฑ์

การรักษาความปลอดภัยเป็นงานที่ต้องทำอย่างต่อเนื่อง ความซับซ้อนของผลิตภัณฑ์ สถานการณ์ภัยคุกคาม และเทคโนโลยี สิ่งเหล่านี้ล้วนมีวิวัฒนาการ และด้วยเหตุนี้จึงต้องมีกฎเกณฑ์สำหรับทุกขั้นตอนตลอดวงจรการพัฒนาผลิตภัณฑ์ นับตั้งแต่การสร้างโมเดลภัยคุกคามไปจนถึงการวิเคราะห์ข้อกำหนด การยืนยันความถูกต้อง และการบำรุงรักษาที่ทำอย่างต่อเนื่อง ขั้นตอนเหล่านี้ช่วยให้องค์กรระบุหาภัยคุกคามที่เกิดขึ้นใหม่ ระบุหาวิธีป้องกัน และช่วยให้ลูกค้าเพิ่มประสิทธิภาพ ความน่าเชื่อถือ และความปลอดภัยได้ถึงระดับสูงสุด กระบวนการ Secure Development Life Cycle (SDLC) ของ Eaton คือตัวอย่างที่ยอดเยี่ยมของโมเดลที่มีการรักษาความปลอดภัยผนวกรวมอยู่ในทุกขั้นตอนของการพัฒนาผลิตภัณฑ์

ใช้สุขอนามัยในด้านการรักษาความปลอดภัยทางไซเบอร์ขั้นพื้นฐานบนเครือข่าย

สุขอนามัยในด้านความปลอดภัยทางไซเบอร์ขั้นพื้นฐานช่วยให้แน่ใจได้ว่าคลังสินทรัพย์นั้นมีความเป็นปัจจุบันและรู้ว่าอุปกรณ์ใดบ้างที่เชื่อมต่อกับเครือข่าย โดยสิ่งนี้ควรรวมไปถึงทั้งสินทรัพย์ทางกายภาพและข้อมูล การใช้แพตช์เมื่อพบช่องโหว่ การมีนโยบายควบคุมการเข้าถึงที่เข้มงวด และการจัดให้มีการเฝ้าระวังพฤติกรรมที่ผิดปกติของข้อมูลบันทึกและระบบอย่างต่อเนื่อง นอกจากนี้ องค์กรควรจัดตารางเวลาให้กับชุดอัปเดตการรักษาความปลอดภัยทางไซเบอร์ตามผลจากการประเมินระดับความเสี่ยงที่จัดทำขึ้นในแพตช์ความปลอดภัยแต่ละรายการ

ร่วมมือกับองค์กรบุคคลที่สามารถที่มีความรู้

การพัฒนาขั้นตอนที่เข้มงวดในแต่ละระยะของการพัฒนาผลิตภัณฑ์จะช่วยกำหนดเกณฑ์การรักษาความปลอดภัยทางไซเบอร์ที่วัดผลได้สำหรับผลิตภัณฑ์และระบบที่เชื่อมต่อกับเครือข่าย การเป็นพันธมิตรกับบุคคลที่สามที่เชื่อถือได้สามารถช่วยให้องค์กรเพิ่มเติมแนวปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัยทางไซเบอร์ได้ เนื่องจากสถาบันเหล่านั้นมักสร้างแนวทางซึ่งเป็นที่ยอมรับอย่างกว้างขวางในประชาคมระหว่างประเทศ การทำงานร่วมกันของเรากับ UL เป็นโมเดลการทำงานซึ่งต้องใช้กฎเกณฑ์การทดสอบภาคบังคับสำหรับช่องโหว่ จุดอ่อนของซอฟต์แวร์ และมัลแวร์ เนื่องจากตอนนี้ Eaton กำลังทดสอบผลิตภัณฑ์ด้วยความชาญฉลาดหรือตรรกะแบบฝังต่อแง่มุมหลักๆ ของมาตรฐาน UL 2900-1 และ IEC 62443

ตอนนี้ได้เวลาลงมือทำแล้ว

ผู้ผลิตไม่สามารถดำเนินการภายใต้มาตรฐานการรักษาความปลอดภัยที่แตกต่างกันได้อีกต่อไป อาชญากรไซเบอร์และเทคโนโลยีที่คนเหล่านี้ใช้ยังคงพัฒนาอย่างต่อเนื่อง และมาตรฐานที่หลากหลายยังขาดความเป็นเอกภาพซึ่งเป็นสิ่งจำเป็นในการต่อสู้กับภัยคุกคามใหม่ๆ

เวลาแห่งการขับเคลื่อนการประเมินความสอดคล้องระดับโลกสำหรับการรักษาความปลอดภัยทางไซเบอร์ในอุตสาหกรรมต่างๆ มาถึงแล้ว หน่วยงานด้านอุตสาหกรรมและมาตรฐานทั่วโลกต้องเร่งรัดการพูดคุยที่จำเป็นเพื่อจัดการกับความท้าทายด้านการรักษาความปลอดภัยทางไซเบอร์ในปัจจุบัน และก้าวให้ทันการเปลี่ยนแปลงของเทคโนโลยี ก่อนที่จะสายเกินไป

ข้อมูลอ้างอิง

1, 2 - Lau, Lynette (กุมภาพันธ์ 2018) 'การระบาดใหญ่' ของอาชญากรรมไซเบอร์อาจทำให้โลกต้องสูญเสียเงินไปแล้วถึง 6 แสนล้านดอลลาร์สหรัฐในปีที่ผ่านมา แหล่งข้อมูล: https://www.csis.org/analysis/economic-impact-cybercrime

Eaton เป็นบริษัทจัดการพลังงานอัจฉริยะที่มุ่งมั่นพัฒนาคุณภาพชีวิตและปกป้องสิ่งแวดล้อมสำหรับผู้คนทุกที่ เรามุ่งมั่นทำธุรกิจอย่างถูกต้อง ดำเนินการอย่างยั่งยืน และช่วยให้ลูกค้าของเราจัดการพลังงานในวันนี้และในอนาคต ด้วยการใช้ประโยชน์จากแนวโน้มการเติบโตทั่วโลกของการใช้พลังงานไฟฟ้าและระบบดิจิทัล เรากำลังเร่งการเปลี่ยนผ่านของโลกไปสู่พลังงานหมุนเวียน และช่วยแก้ปัญหาความท้าทายด้านการจัดการพลังงานที่เร่งด่วนที่สุดในโลก