มาตรฐาน OT Security ที่องค์กรต้องรู้
จากบทความที่แล้ว เราได้พูดถึงความท้าทายที่เกิดจากการเพิ่มประสิทธิภาพความปลอดภัยทางไซเบอร์บนระบบ OT กันมาแล้ว ในบทความนี้เรามาต่อกันด้วยเรื่องมาตรฐานของระบบ OT กัน ซึ่งในปัจจุบันมี Framework และ Standard ที่ช่วยให้การออกแบบระบบรักษาความมั่นคงปลอดภัยทางไซเบอร์สำหรับระบบ OT ให้มีประสิทธิภาพมากยิ่งขึ้น โดยเราได้หยิบยก Framework และ Standard ที่ได้รับมาตรฐาน และความนิยมมาเพื่อเป็นตัวอย่างให้กับองค์กรได้นำมาปรับใช้
- NIST Cyber Security Framework (CSF): เป็น Framework หรือ กรอบการทำงานที่ได้รับความนิยมและรู้จักกันดี เพราะเป็นกรอบการทำงานขั้นพื้นฐานที่ทุกองค์กรควรนำมาปรับใช้ เพื่อพัฒนาในเรื่องการดูแลรักษาความมั่นคงปลอดภัยทางไซเบอร์ โดยมีการแบ่งออกเป็น 5 ขั้นตอนสำคัญคือ
- Identify – เป็นการระบุสภาพแวดล้อมขององค์กร เพื่อให้มีความเข้าใจในด้านความเสี่ยงทางด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ตั้งแต่ เรื่องของ ระบบ บุคลกร ทรัพย์สิน ข้อมูลต่าง ๆ และ ความสามารถด้านต่าง ๆ
- Protect – เป็นมาตรการการป้องกันที่เหมาะสมสำหรับการให้บริการที่สำคัญ เพื่อจำกัดและป้องกันผลกระทบที่อาจทำให้เกิดความเสี่ยง และเกิดเป็นภัยคุกคามที่เกิดขึ้น เช่น การจัดการข้อมูลส่วนบุคคล สิทธิ์การเข้าถึงและควบคุมการเข้าระบบต่าง ๆ การสร้างความตระหนักด้านความปลอดภัยไซเบอร์ การรักษาความปลอดภัยของข้อมูล กระบวนการคุ้มครองข้อมูล การซ่อมบำรุง และรวมถึงเทคโนโลยีที่ใช้ในการป้องกันอีกด้วย
- Detect – เป็นการตรวจหาเหตุการณ์ที่ผิดปกติทางด้านความมั่นคงทางไซเบอร์ ซึ่งจะช่วยให้สามารถค้นพบเหตุการณ์ที่ผิดปกติได้อย่างทันท่วงที โดยต้องมีการตรวจสอบด้านความมั่นคงปลอดภัยอย่างต่อเนื่อง รวมถึงต้องมีกระบวนการตรวจจับที่ชัดเจน
- Respond – เป็นการดำเนินการตอบสนองต่อเหตุการณ์ที่ผิดปกติด้านความมั่นคงปลอดภัยไซเบอร์ที่ตรวจพบ โดยจะต้องมีการวางแผนการตอบสนอง การสื่อสาร เพื่อประสานงานกับหน่วยงานที่เกี่ยวข้อง รวมถึงการควบคุมและจำกัดของเขตและผลกระทบที่เกิดขึ้น และปรับปรุงจากสิ่งที่ได้เรียนรู้จากเหตุการณ์ที่ตรวจพบ
- Recovery – เป็นการดำเนินการกู้คืนสภาพของระบบสารสนเทศที่ได้รับความเสียหายจากการถูกโจมตีทางไซเบอร์ โดยจะต้องมีการวางแผนการกู้คืน การปรับปรุงแผนการรวมถึงกระบวนการกู้คืนให้เหมาะสมกับภัยคุกคามที่มีเพิ่มขึ้น รวมถึงการสื่อสารทั้งการสื่อสารภายในและภายนอกองค์กรด้วย
โดยนอกจากนี้เรายังสามารถนำ NIST CSF ไปใช้งานร่วมกับ Standard อื่น ๆ ได้อีกเช่น
- ISA/IEC 62443: เป็น Framework หรือ กรอบการทำงานที่มีจุดมุ่งหมายเพื่อลดช่องโหว่ด้านความปลอดภัยทางไซเบอร์ทั้งในปัจจุบันและอนาคต ของระบบควบคุมอัตโนมัติและระบบควบคุมทางอุตสาหกรรม ซึ่งพัฒนาโดย ISA99 และรับรองโดยInternational Electrotechnical Commission (IEC) ซึ่งใน Framework ก็ยังได้ถูกนำไปอยู่ใน Standard และ Framework อื่น ๆ ด้วย เช่น NERC CIP, NIST-Directive และ NIST CSF เป็นต้น ซึ่ง Domain หลัก ๆ ของ ISA/IEC 62443 แบ่งเป็น 4 Domain ดังภาพ
- NIST 800-53: NIST Special Publication 800-53 เป็นส่วนหนึ่งของ Special Publication 800-series ที่ได้จัดทำขึ้นเพื่อมุ่งเน้นในด้านการรักษาความมั่นคงปลอดภัยและความเป็นส่วนตัวสำหรับระบบข้อมูลขององค์กรต่าง ๆ เพื่อปกป้องทั้งองค์กร ทรัพย์สินขององค์กร ที่อาจเกิดความเสี่ยงทั้งจากความผิดพลาดของมนุษย์ ภัยธรรมชาติ โครงสร้างพื้นฐาน งานข่าวกรอง และความเสี่ยงทางด้านความเป็นส่วนตัว
- NIST 800-82: NIST Special Publication 800-82 เป็นส่วนหนึ่งของ Special Publication 800-series ที่ได้จัดทำขึ้นเพื่อมุ่งเน้นในด้านการรักษาความมั่นคงปลอดภัยทางด้านระบบการควบคุมอิเล็กทรอนิกส์เชิงอุตสาหกรรม (Industrial Control Systems Security) หรือ ICS ซึ่งรวมถึง Supervisory Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS) และการกำหนดค่าระบบควบคุมอื่น ๆ เช่น Programmable Logic Controllers (PLC) ที่มีการเชื่อมโยงกันระหว่างระบบกับระบบผ่านการออกแบบโครงสร้างพื้นฐานให้เชื่อมกัน ไม่ว่าจะเป็นระบบภายใน หรือระบบกับคู่ค้าภายนอกที่ต้องพึ่งพากันและกัน
- NERC CIP: The North American Electric Reliability Corporation (NERC) เป็นองค์กรที่ไม่แสวงผลกำไรของ ประเทศอเมริกาที่ตรวจสอบและให้การรับรองด้านความมั่นคงเชื่อถือได้ (reliable) ความเพียงพอ (adequate) และความปลอดภัย (secure) ของระบบไฟฟ้าในประเทศอเมริกาเหนือ NERC ได้กำหนด มาตรฐานสำหรับความน่าเชื่อถือของระบบที่ระบุถึงรายละเอียดที่ใช้ในการออกแบบ และการดำเนินการ เกี่ยวกับระบบไฟฟ้า โดยหนึ่งในมาตรฐานเหล่านั้น ได้แก Critical Infrastructure Protection (CIP) Cyber Security Standards หรือเป็นที่อ้างถึงโดยทั่วไปในชื่อของ NERC CIP Standards 002-009 ที่ถูกออกแบบมา เพื่อกำหนดมาตรฐานในการป้องกันสินทรัพย์ด้าน ICT ที่สำคัญต่อการใช้ควบคุมหรือมผลกระทบต่อความเสถียรต่อระบบไฟฟ้า
มาตรฐานที่เราได้ยกตัวอย่างไปข้างต้นเป็นเพียงส่วนหนึ่งของการดูและรักษาความมั่นคงปลอดภัยทางไซเบอร์บนระบบ OT เท่านั้น ยังมีรายละเอียดอีกมากที่องค์กรควรให้ความใส่ใจ เพื่อให้มั่นใจได้ว่าสามารถปิดช่องโหว่ให้ได้อย่างแท้จริง มากไปกว่านั้นยังคงต้องคำนึงถึงประสิทธิภาพการทำงานอื่นๆ ให้เป็นไปได้อย่างดี ไม่สะดุดอีกด้วย ซึ่งแน่นอนว่าเรื่องนี้เป็นเรื่องที่ท้าทายและซับซ้อน ที่องค์กรต่างพากันมองข้าม บริษัท ไซเบอร์ อีลีท จำกัด มีบริการที่ปรึกษาด้านความมั่นคงปลอดภัยทางไซเบอร์ ทั้งในระบบ OT และ IT พร้อมพาองค์กรก้าวข้ามความท้าทายเหล่านี้ไปอย่างมั่นคงปลอดภัย