ปัจจุบัน บทบาทของประธานเจ้าหน้าที่ด้านความปลอดภัยของระบบสารสนเทศ (CISO) มาพร้อมความรับผิดชอบอย่างหนักในเรื่องของสังคมและจริยธรรม ซึ่งทั้งองค์กรและทีมงานต่างมีความรับผิดชอบหลักในการปกป้องความปลอดภัยทางไซเบอร์ให้กับโครงสร้างพื้นฐานหลัก ที่ให้บริการสำคัญ อย่าง ไฟฟ้า น้ำ น้ำมัน ก๊าซ เฮลธ์แคร์ และการผลิตอาหาร และอื่นๆ อีกมากมาย ในบทบาทการเป็นเจ้าของเทคโนโลยีการดำเนินงาน (OT) ที่ใช้เครื่องจักรในโรงงานเหล่านี้ ต้องมุ่งเน้นที่การสร้างความยืดหยุ่นทางธุรกิจ เพราะแค่โรงงานต้องหยุดดำเนินการเพียงไม่กี่นาทีอาจทำให้บริษัทต้องสูญเสียเงินหลายสิบล้าน และความรับผิดชอบก็ไม่ได้หยุดอยู่แค่เรื่องนี้
เพราะCISO ยังต้องดูแลทั้งเรื่องสุขภาพและความปลอดภัยของบุคลากร ที่อาจได้รับผลกระทบร้ายแรงจากการโจมตีทางไซเบอร์ และต้องคิดไปไกลกว่าประเด็นเรื่องผลกระทบทางการเงิน เพราะการดำเนินงานที่ต้องหยุดชะงักจากการโจมตีทางไซเบอร์อาจส่งผลอันตรายต่อความปลอดภัยของคนทำงานกระทั่งอาจส่งผลร้ายแรงถึงขั้นเสียชีวิตหากได้รับผลกระทบโดยตรงจากเหตุการณ์ในระบบOT
หนึ่งในปัญหาท้าทายด้านความปลอดภัยทางไซเบอร์ที่CISO ต้องเผชิญคือการปกป้องระบบงานเดิมที่ล้าสมัยซึ่งเป็นระบบที่ใช้กันมาอยู่ก่อนแล้วและเนื่องจากเป็นระบบที่ใช้กันมานาน จึงเป็นเรื่องยากสำหรับทีมรักษาความปลอดภัยที่จะดูแลรักษาระบบเหล่านี้ได้อย่างเหมาะสม และหลายต่อหลายครั้งที่ระบบเหล่านี้ไม่สามารถป้องกันการโจมตีทางไซเบอร์ได้ ซึ่งผู้คุกคามในปัจจุบันก็รู้เรื่องนี้ดี
รู้จักจุดอ่อนในโครงสร้างพื้นฐาน OT
สิ่งอำนวยความสะดวกหลักด้าน OT เกือบทุกอย่างล้วนเป็นระบบเดิมที่ล้าสมัย เพราะถูกสร้างขึ้นเพื่อตอบโจทย์วัตถุประสงค์แค่อย่างเดียวมานานนับหลายสิบปี ไม่ว่าจะเป็นระบบที่ใช้ในโรงบำบัดน้ำ หรืออุปกรณ์ควบคุมการทำงานของเครื่องจักร (programmable logic controller) ในโรงงานผลิตยานยนต์ เครื่องจักรเหล่านี้หลายต่อหลายตัวถูกสร้างขึ้นก่อนที่จะมีอินเทอร์เน็ต ในช่วงที่คนยังไม่กังวลเรื่องความปลอดภัยทางไซเบอร์ โดยไม่ได้สร้างเพื่อให้เชื่อมต่อผ่านระบบดิจิทัลได้ หรือไม่ได้มีมาตรการรักษาความปลอดภัยในตัว แต่ด้วยความแพร่หลายของ IIoTการปฏิรูปกระบวนการทำงานสู่ระบบดิจิทัล และอุตสาหกรรม 4.0 ทำให้ระบบ OT แบบเดิมเหล่านี้ถูกเชื่อมต่อเข้ากับเครือข่ายบริษัทหรืออินเทอร์เน็ต และหลายระบบไม่มีการป้องกันทำให้กลายเป็นความเสี่ยง
ในโลกไอที เมื่ออุปกรณ์หรือระบบมีความเสี่ยงด้านความปลอดภัยเนื่องจากเป็นระบบเก่าและไม่ทันสมัย ทางออกที่ง่ายที่สุดคือการซื้อใหม่ อย่างไรก็ตาม ในโลก OT เนื่องจากระบบมีขนาดใหญ่กว่าและซับซ้อนกว่า ทำให้เป็นทางเลือกที่มาพร้อมข้อจำกัดเรื่องค่าใช้จ่าย ด้วยเหตุนี้ CISO จึงต้องคอยรับมือกับปัญหาที่เกี่ยวกับความล้าสมัยของระบบและเครื่องจักร เช่นในประเด็นต่อไปนี้
การตั้งค่าที่ไม่ถูกต้อง ทันทีที่สภาพแวดล้อม OT พร้อมรองรับการเชื่อมต่อหลายธุรกิจก็จะรีบทำการเชื่อมต่ออุปกรณ์ ระบบควบคุม หรืออุปกรณ์ที่ไม่มีการป้องกันเข้ากับเครือข่ายโดยตรง การที่ไม่มีระบบควบคุมความปลอดภัยที่เพียงพอ เช่น การใช้ไฟร์วอลล์ในการป้องกันระบบเหล่านี้ สิ่งที่เกิดขึ้นคือเครื่องจักรเหล่านี้ จะถูกเปิดเผยบนอินเทอร์เน็ต โดยไม่มีการป้องกันทั้งพอร์ตและเว็บอินเตอร์เฟสในการบริหารจัดการ เหล่านี้คือโอกาสอันดีสำหรับผู้โจมตี ที่สามารถใช้สิ่งเหล่านี้เข้าถึงโครงสร้างพื้นฐานของบริษัทได้โดยง่าย และดำเนินการโจมตีที่เป็นอันตราย
ขาดการมองเห็นและไม่สามารถควบคุมสินค้าคงคลัง เนื่องจากระบบเหล่านี้ส่วนใหญ่ติดตั้งใช้กันมานานแล้ว ทำให้ไม่มีความสามารถในการสอดส่องหรือตรวจจับอย่างที่เครื่องจักรสมัยใหม่มีกัน ทำให้ไม่สามารถมองเห็นระบบเหล่านี้ได้ และไม่สามารถป้องกัน รวมถึงอัปเกรด หรือบำรุงรักษาได้ ส่งผลให้ CISO ไม่สามารถจัดการกับโครงสร้างเครือข่ายได้
การแพตช์และอัปเกรดเป็นเรื่องท้าทายในโลกไอที การแพตช์ และการอัปเกรด เป็นแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ได้รับการยอมรับและทำกันมาเรื่อยๆ แต่ระบบ OT แบบเก่านั้นบำรุงรักษายาก เพราะนอกจากจะเป็นระบบเก่าแล้วยังมีการปรับแต่งเยอะ และอาจจะไม่ได้รับการสนับสนุนแล้ว แม้ว่าจะสามารถแพตช์และอัปเกรดได้ก็ตาม แต่ค่อนข้างมีค่าใช้จ่ายสูง เนื่องจากการที่ระบบต้องหยุดทำงาน 10 หรือ 15 นาทีเพื่ออัพเดตเครื่องจักร อาจทำให้ต้นทุนเพิ่มขึ้นหลายล้านดอลลาร์สูงกว่ารายรับของโรงงาน
ยังคงมีการสร้างระบบที่ล้าสมัยอยู่ ทำให้เป็นปัญหาที่ซับซ้อนไปอีก เมื่อ OEM หลายรายที่สร้างอุปกรณ์ OT ยังคงส่งระบบที่ไม่รองรับการทำงานร่วมกับระบบใหม่ๆ อย่าง Microsoft Windows 7 ที่ไม่สามารถแพตช์ หรือป้องกันด้วยโซลูชันรักษาความปลอดภัยทางไซเบอร์สมัยใหม่ได้ หลายครั้ง ก็เป็นปัญหาเรื่องค่าใช้จ่าย เนื่องจากการอัปเกรดต้องใช้ไดรเวอร์ใหม่ ซอฟต์แวร์ที่อัปเดต รวมถึงการทดสอบ และอื่นๆ
ทำงานร่วมกันเพื่อพัฒนาแผนปฏิบัติการ
แม้จะระบบ OT แบบเก่าจะมีความท้าทายอยู่ แต่ก็มีหลายสิ่งที่ CISO และทีมชไนเดอร์ สามารถดำเนินการในเชิงรุกเพื่อปกป้องระบบเหล่านี้ ที่แม้จะเก่าแต่เป็นระบบสำคัญ อย่างการที่ ชไนเดอร์อิเล็คทริคกำลังทุ่มเทความพยายามในการทำงานร่วมกับลูกค้า หน่วยงานระดับประเทศ และบรรดาผู้ผลิต OEM เพื่อลดความเสี่ยงของระบบ OT ในเชิงรุกผ่านโครงการความริเริ่มเหล่านี้
การแก้ไขระบบที่ตั้งค่าไม่ถูกต้องให้กับลูกค้าที่มีอยู่ โดยในช่วงสองสามปีที่ผ่านมา ชไนเดอร์อิเล็คทริคได้ทำงานร่วมกับลูกค้า เพื่อตรวจจับอินเทอร์เฟซการจัดการเว็บที่ไม่ได้รับการป้องกันและ IP แบบเปิดในระบบเดิมที่ถูกเชื่อมเข้ากับระบบต่างๆ ที่อยู่ในการติดตั้งสำคัญ ไม่ว่าจะเป็นเพราะระบบที่ตั้งค่ามาผิดหรือระบบที่เลิกใช้งานแล้วก็ตาม บริษัทกำลังช่วยลูกค้าระบุช่องโหว่ ประเมินความเสี่ยง และดำเนินการเพื่อลดความเสี่ยงและการป้องกันปัญหาที่จะเกิดขึ้น
การสร้างความตระหนักรู้ให้กับหน่วยงานในประเทศ โดยหน่วยงานภาครัฐบาลทั้งในระดับท้องถิ่นและในระดับภูมิภาค ล้วนต้องการรับรู้ถึงเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่อาจเกิดขึ้น ซึ่งอาจส่งผลเสียต่อชุมชน และประชาชน ชไนเดอร์อิเล็คทริค กำลังทำงานร่วมกับหน่วยงานเหล่านี้ เพื่อสร้างการตระหนักรู้ถึงวิกฤตที่เกี่ยวข้องกับระบบ OT ที่ไม่ได้รับการป้องกัน พร้อมกับกระตุ้นให้หน่วยงานเหล่านี้ เป็นหัวหอกในโครงการริเริ่มเพื่อจัดการกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์เหล่านี้
ส่งเสริมแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดีที่สุดให้กับผู้ประกอบการOEM ทั้งนี้ ชไนเดอร์อิเล็คทริค ยังตระหนักถึงคุณค่าของการเป็นพาร์ทเนอร์กับ OEM อีกทั้งทำงานร่วมกับซัพพลายเออร์ เพื่อนำแนวปฏิบัติที่ดีที่สุดไปช่วยปรับปรุงความปลอดภัยทางไซเบอร์ ตัวอย่างเช่น บริษัทได้ดำเนินการตามกระบวนการพัฒนาวงจรการทำงานทั้งหมดโดยเน้นเรื่องความปลอดภัยตั้งแต่ขั้นตอนการออกแบบ ที่ได้รับการรับรองว่าสอดคล้องตามมาตรฐานความปลอดภัยทางไซเบอร์ ISA/IEC 62443-4-1 ซึ่งหาก OEM ปฏิบัติตามแนวทางเดียวกัน ก็จะทำให้ไม่มีการสร้างและจัดส่งอุปกรณ์ที่ล้าสมัย ไม่ปลอดภัย และไม่มีการป้องกันออกสู่ตลาด นอกจากนี้ ชไนเดอร์อิเล็คทริคยังสนับสนุนให้ OEMS ออกแพตช์และอัปเดตเฟิร์มแวร์ได้ทันการในทันทีที่มีการระบุช่องโหว่ที่เป็นที่รู้จัก ซึ่งอาจก่อให้เกิดอันตรายต่อระบบ OT
ร่วมกันปกป้องระบบ OT เพื่อไม่ให้เกิดผลกระทบต่อผู้คน
ระบบ OT รุ่นเก่าที่ล้าสมัย ยังคงเป็นหนึ่งในความกังวลเรื่องความปลอดภัยทางไซเบอร์อันดับต้นของ CISO มาระยะหนึ่งแล้ว ซึ่งเราก็ไม่ได้เพิกเฉย เราทุกคนต่างมีความรับผิดชอบร่วมกัน พร้อมความมุ่งมั่นที่จะทำให้โลกนี้ดีขึ้น ปลอดภัยขึ้นด้วยการพยายามปกป้องโครงสร้างพื้นฐาน OTของเราให้ดีที่สุด