นายเซียง เทียง โยว ผู้จัดการทั่วไป แคสเปอร์สกี้ แล็บ ภูมิภาคเอเชียตะวันออกเฉียงใต้ กล่าวถึงเรื่อง “องค์กรที่เป็นโครงสร้างพื้นฐานสำคัญจะเป็นต้นแบบในการป้องกันให้องค์กรธุรกิจทั่วไปได้หรือไม่?” โดยนายเซียงระบุว่า หลายปีที่ได้มีโอกาสทำงานร่วมกับลูกค้าหลายรายเพื่อให้การป้องกันระบบอุตสาหกรรมขององค์กร ไม่ว่าจะเป็นระบบโรงกลั่นน้ำมันไปจนถึงระบบรถไฟก็ตาม เราได้เรียนรู้หนึ่งประการสำคัญ คือ โครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) จำเป็นต้องได้รับความสนใจโดยเฉพาะเลยทีเดียว เช่นเดียวกับบริษัทธุรกิจทั่วๆ ไป อุปกรณ์เครื่องไม้เครื่องมือทางด้านอุตสาหกรรมนั้นต้อง
อาศัยเครื่องคอมพิวเตอร์และซอฟต์แวร์ แต่บรรดาโซลูชั่นที่ใช้งานอยู่นั้นมีหลากหลายและแตกต่างไปจากที่ใช้กันตามออฟฟิศทั่วไป คุณอาจพบกับเครื่องคอมพิวเตอร์อายุสิบปีที่ยังทำงานได้ดีอยู่ปกติเสมือนใหม่ และผู้ดูแลระบบก็ไม่ได้วิตกเรื่องค่าใช้จ่ายที่จะหาเครื่องมาทดแทน แต่ในทางกลับกัน พวกเขากลับวิตกเรื่องค่าใช้จ่ายหากต้องหยุดการทำงานของเครื่องเป็นเวลาสักหนึ่งชั่วโมง เพราะว่าผู้ดูแลระบบทางอุตสาหกรรมนั้นต้องเผชิญค่าเสียหายเป็นล้านเหรียญหากเครื่องหยุดทำงาน (ดาวน์ไทม์) และเจอค่าปรับหากไม่ปฏิบัติตามกฎหมายในมูลค่าเป็นหมื่นเหรียญจนถึงล้านเหรียญต่อวันได้
ดังนั้น ความเสถียรของระบบและการทำงานอย่างต่อเนื่องไม่สะดุดติดขัดจึงมีความสำคัญอย่างยิ่งในบริบทของภาคอุตสาหกรรม ที่แม้แต่เพียงเสี้ยวหนึ่งของ SLAs ก็จะช่วยส่งเสริมการดำเนินธุรกิจได้เป็นอย่างดี ดังนั้น ธุรกิจที่มีโครงสร้างระบบแบบดั้งเดิมจะสามารถเรียนรู้จากการดำเนินธุรกิจขององค์กรที่เป็นโครงสร้างพื้นฐานสำคัญได้หรือไม่? คำตอบก็คือ ‘ได้’ และ ‘ไม่ได้’
การพัฒนาซอฟต์แวร์เพื่อความปลอดภัยสำหรับภาคอุตสาหกรรมโดยเฉพาะนั้น ต้องคำนึงถึงประเด็นเฉพาะตัวของภาคส่วนอุตสาหกรรม อาทิ
– Observability mode ในสภาพแวดล้อมภาคอุตสาหกรรมที่มีความสำคัญอย่างยิ่งนั้น การใช้โซลูชั่นเพื่อความปลอดภัยต้องมีความระมัดระวังอย่างยิ่ง ตัวโซลูชั่นเองต้องเฝ้าระวังการเคลื่อนไหวต่างๆ และตรวจจับภัยคุกคาม แต่การตัดสินใจสกัดกั้นการโจมตีเป็นหน้าที่ของผู้ดูแลระบบ และในภาคส่วนอุตสาหกรรมนั้นต้องใช้ซอฟต์แวร์ที่ปรับแต่งขึ้นมาสำหรับระบบโดยเฉพาะ ดังนั้น ความเหลื่อมต่างระหว่างโซลูชั่นเพื่อความปลอดภัยแม้เพียงเล็กน้อยย่อมเป็นไปไม่ได้ ลองนึกถึงปัญหาที่จะเกิดขึ้นหากเป็นระบบรถไฟ เป็นต้น โครงสร้างระบบไอทีทั่วไปจึงเป็นตัวอย่างที่ดีของการนำฟีเจอร์ใหม่มาใช้งาน เช่น แอพพลิเคชั่นคอนโทรล ซึ่งต้องมีทดลองรันในแบ๊กกราวด์ เก็บสถิติ วิเคราะห์และปรับแต่งตามความเหมาะสมจนเข้าที่แล้วเท่านั้นจึงจะนำออกมาใช้งานได้แบบเต็มรูปแบบ
– Security assessment ระบบโครงสร้างพื้นฐานที่สำคัญมักจะทำงานคู่ไปกับระบบไอทีดั้งเดิม และมีทีมที่ต่างกันดูแลด้านความปลอดภัยของระบบทั้งสอง ซึ่งจัดเป็นความท้าทายไม่น้อย ดังนั้น การที่มีผู้เชี่ยวชาญด้านความปลอดภัยที่ไม่ขึ้นกับทีมใดทีมหนึ่ง และเชี่ยวชาญทั้งระบบภาคอุตสาหกรรมและระบบไอที มาตรวจสอบระบบในภาพรวมจะช่วยชี้ข้อบกพร่อง หรือช่องโหว่ที่อาจพบได้เสมอตรงรอยต่อระหว่างสองระบบ แม้แต่โครงสร้างระบบไอทีทั่วไปก็พบปัญหานี้ได้เช่นกัน อันที่จริง ระบบหรือโครงสร้างใดก็ตามที่มีเอ็นด์พอยต์หลายประเภท โมบายดีไวซ์ ออนไซต์เซิร์ฟเวอร์ และบริการคลาวด์ ก็มีความซับซ้อนได้ไม่แพ้ระบบของโรงงานไฟฟ้าเลยทีเดียว
– Exploit prevention เทคโนโลยีที่ออกแบบเพื่อตรวจจับการโจมตีทางช่องโหว่ของซอฟต์แวร์หรือระบบนั้นจะเหนือชั้นกว่าระบบต่อต้านมัลแวร์ขึ้นมาหนึ่งขั้น จากกรณี Stuxnet นั้นเราพบว่าระบบโครงสร้างพื้นฐานสำคัญอาจเป็นเป้าหมายการโจมตีที่ใช้อาวุธไซเบอร์ขั้นสูง ซึ่งจำเป็นต้องใช้ทูลที่มีความพิเศษเฉพาะตัวในการรับมือการโจมตีที่มีเป้าหมายเฉพาะเช่นนี้ เพราะสามารถที่จะดึงธุรกิจให้ถึงกับทรุดฮวบลงได้ ดังนั้น ขอแนะนำว่าถึงเวลาแล้วที่จะต้องเริ่มการป้องกันธุรกิจของคุณให้พ้นจากเงื้อมมือของ APTs
ประเด็นเหล่านี้ถือเป็นตัวอย่างเชิงบวกของลักษณะโครงสร้างพื้นฐานสำคัญที่เราสามารถจะนำมาประยุกต์ใช้ในธุรกิจแบบดั้งเดิมได้เลย แต่ก็ยังมีบางประการที่ถือเป็นลักษณะเฉพาะตัวอุตสาหกรรมภาคส่วนการผลิตและการพลังงาน เช่น Older hardware ฮาร์ดแวร์รุ่นเก่า ราคาเป็นล้าน ใช้งานวางใจได้ และยังทำงานได้ดีอยู่แม้ใช้ Windows 98 แม้ฮาร์ดแวร์ยังดีอยู่แต่ไม่ใช่ข้ออ้างที่จะใช้ซอฟต์แวร์รุ่นล้าหลังรวมทั้งฮาร์ดแวร์กรุเก่าอีกด้วย เมื่อระบบไอทีเดินทางมาถึงจุดล้าหลังพ้นอายุใช้งาน ควรลงทุนเปลี่ยนเพื่อเหตุผลด้านความปลอดภัยเสียจะดีกว่า
Isolated operations การต่อเชื่อมระบบ SCADA ตรงกับอินเตอร์เน็ตถือเป็นสิ่งที่เลวร้ายที่สุดที่จะเกิดขึ้นได้กับระบบอุตสาหกรรม มีความเสี่ยงด้านความปลอดภัย โดยเฉพาะการอัพเดตระบบ แต่ก็สามารถแก้ไขได้ แต่การแยกเดี่ยวโครงสร้างระบบโดยไม่ยอมปรับเปลี่ยนวิธีการด้านการรักษาความปลอดภัยนั้นจะนำมาซึ่งปัญหามากมาย
ข้อคิดที่ดีที่สุดสำหรับการดูแลระบบโครงสร้างที่มีความสำคัญและเปราะบางด้านความปลอดภัยนั่นคือ ทัศนคติที่ถูกต้อง เมื่อคุณรู้อยู่ว่าการอัพเดตซอฟต์แวร์ผิดพลาดสามารถทำระบบล่มได้เป็นชั่วโมง และสร้างความเสียหายทางการเงินหลายพันเหรียญต่อนาที จึงควรพิจารณาเปลี่ยนวิธีการด้านความปลอดภัย ระบบไอทีแบบดั้งเดิมนั้น มักมีความหละหลวม แม้เป็นไปได้ที่จะสร้างความเสียหายจากดาวน์ไทม์ด้านความปลอดภัยได้ในมูลค่าไม่น้อยตั้งแต่ 66,000 ดอลลาร์สหรัฐ (สำหรับเอสเอ็มบี) จนถึง 1.4 ล้านดอลลาร์สหรัฐ (สำหรับเอ็นเตอร์ไพรซ์)
ดังนั้น การมีทัศนคติที่ตระหนักเท่าทันถึง ‘ความสำคัญและความอ่อนไหว’ เมื่อคิดถึงเรื่องของความปลอดภัยนั้น จึงเป็นเรื่องสำคัญ
