“Cyber Resilience” คืออะไร?

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ : 5 กันยายน 2561

ระบบออนไลน์ไม่มีคำว่าปลอดภัย 100% ดังนั้นเราจึงต้องพร้อมรับมือเสมอกับภัยที่จะเกิดขึ้นเมื่อไรก็ได้ เป็นที่มาของคำว่า “Cyber Resilience” ซึ่งหมายถึงความสามารถในการเตรียมตัวและการปรับตัวต่อการเปลี่ยนแปลง และความทนทานต่อการบุกรุก โจมตี รวมถึงความสามารถในการคืนสภาพของระบบด้วย

ปัจจุบันคำว่า “Cybersecurity” กำลังกลายเป็นคำยอดฮิตในวงการไอทีและยังฮิตนอกวงการไอทีอีกด้วย

ประชาชนทั่วไปได้เห็นปัญหาการโจมตีทางไซเบอร์ตามสื่อต่างๆ ซึ่งคำว่า “Cyber Attack” หรือ “Cybersecurity” ถูกนำมากล่าวถึงอยู่บ่อยครั้ง

ส่วนคำว่า “Cyber Resilience” เราอาจไม่ค่อยได้ยินกันมากนัก แต่แท้จริงแล้ว “Cyber Resilience” มีความสำคัญกับ “สภาวะไซเบอร์” ที่เราใช้สมารท์โฟนและอินเทอร์เน็ตเพื่อใช้งานโซเซียลมีเดียอย่างมาก

ดังนั้นเราควรศึกษาและทำความเข้าใจกับคำว่า “Cybersecurity” และ “Cyber Resilience” ให้ถ่องแท้ เพื่อให้เกิดประโยชน์ต่อตัวเรา ครอบครัว และองค์กร ตลอดจนประเทศชาติในภาพรวมต่อไปในอนาคต

BACK TO THE BASIC : “Security” and “Resilience”

จากคำนิยามศัพท์ในเอกสาร Presidential Policy Practice : Critical Infrastructure. Security and Resilience (PPD-21) โดยทำเนียบขาว รัฐบาลสหรัฐได้ให้คำจำกัดความคำว่า “Security” แตกต่างจากคำว่า “Resilience” ดังนี้

• Security หมายถึง การลดความเสี่ยงให้กับโครงสร้างพื้นฐานทั้งทางกายภาพและทางไซเบอร์ มุ่งเน้นไปที่การบริหารจัดการ การบุกรุก การโจมตี รวมทั้งภัยธรรมชาติและภัยที่มนุษย์ได้ก่อขึ้นทั้งตั้งใจและไม่ได้ตั้งใจ เช่น การก่อการร้าย หรือการโจมตีทางไซเบอร์
• Resilience หมายถึง ความสามารถในการเตรียมตัวและการปรับตัวต่อการเปลี่ยนแปลง รวมทั้งความสามารถในการทนทานต่อการบุกรุก การโจมตี รวมถึงความสามารถในการคืนสภาพของระบบ ไม่ว่าจะเป็นการโจมตีที่เกิดจากภัยธรรมชาติและภัยที่มนุษย์ได้ก่อขึ้นทั้งตั้งใจและไม่ได้ตั้งใจ

ดังนั้น จะเห็นได้ว่าความหมายของคำว่า Resilience มีความหมายลึกซึ้งกว่าคำว่า Security

และเมื่อพูดถึง “Cybersecurity” ก็ไม่ได้มีคำจำกัดความอย่างชัดเจนมาก่อน (แต่ในปัจจุบัน MITRE Corporation ได้นิยามไว้ในเอกสาร Cyber Resiliency Design Principles, January 2017) ซึ่งเข้าใจกันโดยรวมว่า “Cybersecurity” หมายถึง ความมั่นคงปลอดภัยทางไซเบอร์ ที่ไม่ใช่ความมั่นคงปลอดภัยทางกายภาพ เช่น ประตูรั้ว การล็อคประตูบ้าน ประตูรถ

หากแต่หมายถึง ความมั่นคงปลอดภัยในการนำคอมพิวเตอร์และระบบสารสนเทศมาใช้ รวมถึงความมั่นคงปลอดภัยในการใช้งานอินเทอร์เน็ตผ่านอุปกรณ์เคลื่อนที่ต่างๆ ในปัจจุบัน ดังเช่น สมาร์ทโฟน เป็นต้น

โดยสภาวะไซเบอร์นั้นยากที่จะควบคุมได้ ไม่เหมือนกับทางกายภาพที่สามารถกำหนดขอบเขตในการควบคุมได้อย่างชัดเจน ดังนั้น “Cybersecurity” จึงบริหารจัดการยากกว่า “Physical Security” หรือ “Conventional Security”

ทำไมต้อง Cyber Resilience?

ภัยไซเบอร์ไม่ใช่เรื่องใหม่ แต่ในปัจจุบันภัยไซเบอร์มีความสลับซับซ้อนมากขึ้น เนื่องจากมีการโจมตีในลักษณะ APT (Advanced Persistent Threat) ที่สนับสนุนโดยรัฐบาลของประเทศต่างๆ แบบลับๆ ที่เรียกกันว่า “State-Sponsored Attack” และมีการขายช่องโหว่ที่ผู้ผลิตยังไม่ถูกค้นพบ ซึ่งเรียกว่า “Zero-Day Exploit” ในตลาดมืด หรือใน Dark Web

อีกทั้งหลายผลิตภัณฑ์ยังฝัง Backdoor มาจากโรงงาน โดยการร่วมมือกับรัฐบาลในประเทศผู้ผลิต และยังไม่รวมโปรแกรมเจาะช่องโหว่ผู้ผลิตยังไม่ถูกค้นพบของทั้ง CIA และ NSA ที่หลุดออกมาจากกลุ่มแฮกเกอร์ ที่นำมาปล่อยให้ดาวน์โหลดกันทั่วไป

เราจะเห็นได้ว่าในปัจจุบันและอนาคตไม่ใช่แค่ “IT Security” หรือ “Information Security” แต่รวมถึง “OT Security” (Operational Security) ที่ครอบคลุมไปถึงระบบ SCADA/ICS ตลอดจน IoT Security (Internet of Thing Security) ที่มีการเจาะระบบกัน

แม้กระทั่งการเจาะกล้องวงจรปิด ยกตัวอย่างมัลแวร์ Mirai Botnet ที่เจาะ CCTV มาทำการโจมตีในรูปแบบ DDoS Attack เป็นต้น

ดังนั้น จึงไม่มีระบบออนไลน์ระบบใดที่ปลอดภัย 100% ทุกระบบมีสิทธิ์ถูกเจาะตลอดเวลา 24X7 ดังนั้นเราจึงควรเตรียมการรับมืออยู่เสมอ จึงเป็นที่มาของแนวคิด “Cyber Resilience” ในที่สุด

กล่าวโดยสรุปจะเห็นว่า องค์กรทั่วโลกโดยเฉพาะองค์กรที่มีความเกี่ยวข้องกับโครงสร้างพื้นฐานที่สำคัญยิ่งยวด (Critical Infrastructure) นั้น ควรให้ความสำคัญกับ 3 เรื่องใหญ่ๆ ได้แก่

1. Threat Models

2.Threat information

3. Frameworks

โดยเรื่องแรก Threat Models จะเน้นไปที่ Cyber Attack Lifecycle หรือ Cyber Kill Chain ซึ่งเราควรทำความเข้าใจกับภัยไซเบอร์ให้ถ่องแท้เสียก่อน

จากนั้นหันมาดูเรื่องที่ 2 “Threat Information” หมายถึง การติดตามข่าวสารภัยไซเบอร์ต่างๆ ติดตามเทคนิคใหม่ๆ ของแฮกเกอร์ และ Zero Day Exploit ที่หลุดออกมา

ตลอดจนเรื่อง CTI (Cyber Threat Intelligence) รวมถึงเรื่องการแชร์ Threat Information ในรูปแบบการรวมตัวกันเป็น ISAC (Information Sharing and Analysis Center) และ ISAO (Information Sharing and Analysis Organizations)

และเรื่องที่ 3 การนำ NIST Cybersecurity Framework และ Cyber Resiliency Engineering Framework (CREF) มาใช้ในการบริหารจัดการปัญหาภัยไซเบอร์ ที่นับวันจะมีความสลับซับซ้อนและรุนแรงขึ้น

จะเห็นได้ว่าการบริหารจัดการกับภัยไซเบอร์ในปัจจุบัน นิยมบริหารจัดการในลักษณะ “Threat Orientated Approach” ที่กำลังเป็นทิศทางของหลายองค์กรในโลกนี้ โดยมี Security Mindset ที่ว่า

“ไม่มีระบบใดในโลกนี้ที่ปลอดภัย 100%” จึงต้องมีการนำหลักการ Cyber Resilience หรือ Cyber Resiliency เข้ามาใช้ในการเตรียมรับมือกับภัยไซเบอร์ของวันนี้และอนาคต