NECTEC และ SMC จับมือพันธมิตรเปิดประเด็นร้อนแห่งปีสำหรับโรงงานการผลิตยุคใหม่ ‘Cyber Security for Industry 4.0: ความมั่นคงปลอดภัยทางไซเบอร์ พื้นฐานสำคัญสู่อุตสาหกรรม 4.0’ ชี้ความสำคัญและความเร่งด่วนของภัยที่มาพร้อมกับเทคโนโลยียุคใหม่ในการผลิต
- ความเชื่อเรื่องระบบปิดนั้นเป็นอันตรายต่อการแข่งขันอย่างเต็มศักยภาพในยุคใหม่ ทั้งการต่อยอดและการรักษาความปลอดภัย
- นโยบายและ Roadmap ด้าน Cyber Security ต้องมองให้ครบทุกมิติตั้งแต่ซัพพลายเชนที่เกี่ยวข้อง ตลอดจนการบริหารความเสี่ยงที่เกิดขึ้นทางตรงและทางอ้อม
- ผู้เชี่ยวชาญด้านความปลอดภัยในโรงงานด้าน IT หายาก แต่ความปลอดภัยด้าน OT หายากกว่าหลายเท่า การพัฒนาบุคคลากรภายในจึงเป็นสิ่งจำเป็นอย่างมาก
- Antivirus ไม่เพียงพอในการรับมือกับการโจมตียุคใหม่ ต้องมี EDR และ SOC เพื่อให้แก้สถานการณ์ได้ทันในเวลาที่จำกัด
- เทคโนโลยี Open Source เป็นสิ่งสำคัญและยั่งยืนกว่า จึงควรมีการพัฒนาควบคู่ไปกับการใช้ Subscription ด้านความปลอดภัย หรือมีการใช้งานตั้งแต่แรกควบคู่ไปกับพันธมิตรที่มีความเชี่ยวชาญ
NECTEC NSTDA โดย ศูนย์นวัตกรรมการผลิตยั่งยืน (SMC) ภายใต้การสนับสนุนจาก The Information Society Innovation Fund (ISIF Asia) และ True Digital Cyber Security บริษัท ทรู ดิจิทัล กรุ๊ป จัดงานสัมมนา ‘Cyber Security for Industry 4.0: ความมั่นคงปลอดภัยทางไซเบอร์ พื้นฐานสำคัญสู่อุตสาหกรรม 4.0’ เพื่อสร้างการตระหนักรู้ถึงภัยทางไซเบอร์ที่มีความเร่งด่วนและมีความร้ายแรงในระดับสูงสำหรับความเสียหายที่เกิดขึ้นในภาคอุตสาหกรรม มีทั้งการนำเสนอภาพรวมของสถานการณ์ที่เกิดขึ้น เทคโนโลยีที่เกี่ยวข้องอย่าง SOC (Security Operation Center) ตลอดจนการแบ่งปันประสบการณ์จากโรงงานและผู้เชี่ยวชาญแนวหน้าของประเทศไทย
ข้อมูลจากวงเสวนาภายในงานชี้ให้เห็นว่าภาคการผลิตนั้นถือเป็นภาคส่วนที่มีการถูกโจมตีทางไซเบอร์มากที่สุด เป็นลำดับ 1 และ 2 สลับกันกับภาครัฐบาล เป็นการยืนยันอีกครั้งว่าภาคธุรกิจอย่างการผลิตนั้นได้ตกอยู่ในความเสี่ยงทางด้านไซเบอร์อยู่ตลอดเวลา ผู้ประกอบการต่าง ๆ จึงได้พยายามหาแนวคิดและวิธีป้องกัน รวมถึงแก้ไขปัญหาที่อาจเกิดขึ้นมาโดยตลอด บางกระบวนการนั้นเป็นวิธีที่ได้ผลจริง และมีอีกไม่น้อยที่เป็นเพียงความเชื่อผิด ๆ ที่กลายเป็นภัยย้อนกลับเข้ามาหาธุรกิจเสียเอง
หนึ่งในความเชื่อของผู้คนจำนวนไม่น้อย คือ ‘ระบบปิด’ นั้นมีความปลอดภัย ทั้งที่ในความเป็นจริงแล้วความเสี่ยงของการที่เป็นระบบปิดนั้นผลกระทบมีความร้ายแรงมากกว่าระบบเปิดเสียอีก ซึ่งภายในงานสัมมนานี้เองก็ได้มีการพูดถึงประเด็นและมุมมองในเรื่องระบบปิดเอาไว้อย่างชัดเจนเช่นกัน
ระบบ ‘ปิด’ ไม่มีจริงนอกจาก ‘ปิดทางรอด’
พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช./NCSA) ได้พูดถึงเรื่องของระบบปิดเอาไว้ได้อย่างน่าสนใจ “คนชอบพูดว่าระบบปิดปลอดภัยที่สุด มันก็เป็นไปได้ถ้าเกิดว่าระบบนั้นมันปิดแล้วไม่เปิดอีกเลย ซึ่งเอาจริงแล้วก็ทำไม่ได้ จบลงเอยที่ความไม่ปลอดภัยอยู่ดี”
หนึ่งในตัวอย่างกรณีที่เกิดขึ้นจริงในประเทศไทยก็มีให้เห็นอย่างชัดเจน โดยมีเหตุการณ์เกิดขึ้นที่กะดึกในโรงงานแห่งหนึ่ง แรงงานเบื่อต้องอยู่กะดึกเลยนำ Thumb Drive ไปเสียบกับระบบเพื่อจะเล่นเกม (ซึ่งแน่นอนว่าเกมไม่ได้ผิดอะไร!) แต่กลับกลายเป็นว่าระบบภายในโรงงานกลับติดเชื้อและโดนโจมตีจากอุปกรณ์ภายนอกที่เชื่อมต่อเข้าไป ทำให้ระบบล่มต้องหยุดสายการผลิตเป็นวัน หรืออย่างในกรณีอันโด่งดังอย่าง Stuxnet ที่เกิดขึ้นกับโครงการพัฒนาอาวุธนิวเคลียร์ของอิหร่านที่เป็นระบบปิด เชื่อมต่อจากภายนอกไม่ได้ มีแต่คนในที่อยู่ในโครงการเท่านั้นถึงสามารถเข้าระบบได้ ซึ่งในท้ายที่สุดก็มี Thumb Drive หลุดรอดเข้าไปจากภายนอกทำให้ระบบล้มเหลวได้ในที่สุด
จะเห็นได้ว่าในท้ายที่สุดแล้วหากยังมีการรับข้อมูลจากภายนอกก็ยังมีโอกาสในการเกิดรูรั่วของระบบอยู่ดี เพราะระบบในการผลิตนั้นมีความซับซ้อนอย่างมาก ถ้าลองเปรียบเทียบน้ำยาแอร์ที่คนว่าเป็นระบบปิดกันแล้วกับระบบการผลิต น้ำยาแอร์ทำหน้าที่ไหลไปตามท่อสร้างความเย็นจะเปิดก็ต่อเมื่อต้องซ่อมบำรุงหรือเสียหาย การสั่งงานก็สั่งผ่านรีโมทแอร์ ในขณะที่การผลิตต้องมีการส่งไฟล์เข้าไป มีการออกแบบการทำงาน ใช้โปรแกรมต่าง ๆ มีการปรับเปลี่ยนอยู่ตลอดเวลา การหลุดรอดไปได้ของภัยคุกคามจึงเป็นเรื่องง่ายดาย การแก้ไขหรือการสนับสนุนที่จะเกิดขึ้นก็ทำได้ยากขึ้นอีก
ยิ่งหากพิจารณาภายใต้บริบทของโลกสมัยใหม่แล้ว การใช้ประโยชน์จากโซลูชันออนไลน์ต่าง ๆ จะช่วยลดต้นทุนในการบริหารจัดการได้อย่างมาก รวมถึงใช้ศักยภาพการวิเคราะห์ข้อมูล ตอลดจนการทำ Digital Twin ได้อย่างมีประสิทธิภาพ หรือใช้งาน Remote เข้ามาจากภายนอกเพื่อแก้ไขปัญหาได้อย่างรวดเร็ว นอกจากนี้ยังสามารถอัปเดตข้อมูล ความปลอดภัย หรือ Firmware ต่าง ๆ เพื่อป้องกันการเกิดปัญหาในอนาคตได้อีกด้วย
Cyber Security เป็นเรื่องของนโยบาย การลงทุน และความใส่ใจไม่ใช่ ‘อภินิหาร’
ผลกระทบของ Cyber Security นั้นเกิดขึ้นได้ในหลากหลายมิติ ถ้ามองใกล้ตัวสำหรับโรงงานขึ้นมาสักหน่อยก็จะเห็นถึงปัญหาการผลิต ไม่ว่าจะเรื่องควบคุมคุณภาพ ไฟฟ้าลัดวงจร ไปจนถึงการทำให้หุ่นยนต์ทำงานผิดพลาดจนเกิดอันตรายถึงชีวิต หากลองมองให้กว้างยิ่งขึ้นจะเห็นกรณีของ Supply Chain Risk ที่เกิดขึ้นอย่างชัดเจน ยกตัวอย่างเช่น ในกรณีที่ระบบถูกโจมตีและส่งผลต่อคุณภาพการผลิต เกิดของเสียไม่ได้คุณภาพที่ไม่อาจถูกตรวจพบได้เนื่องจากความผิดพลาดของระบบ หากชิ้นส่วนนั้นถูกนำไปประกอบใช้งานทำให้เกิดความเสี่ยงอันตรายได้ ซึ่งอาจจะเกิดขึ้นเมื่อมีการประกอบต่อไปหรือในกรณีเลวร้ายเกิดขึ้นที่มือของผู้บริโภคอาจทำให้ความเสียหายขยายวงไปถึงความเชื่อมั่นแบรนด์และคู่ค้าอื่น ๆ ได้ ดังนั้นเรื่องของ Cyber Security ในปัจจุบันอาจบอกได้สายการผลิตยุคใหม่ถ้าไม่มีประเด็นนี้ก็ไม่อาจเปิดการผลิตอย่างปลอดภัยไม่ได้เลย
ความปลอดภัยทางไซเบอร์นั้นจะเกิดขึ้นได้ไม่ใช่เรื่องของดวง เพราะการถูกโจมตีนั้นเกิดขึ้นแบบสุ่มตลอดเวลา ยกตัวอย่างกรณีที่ ดร. ชาลี วรกุลพิพัฒน์ หัวหน้าทีมวิจัยความมั่นคงปลอดภัยสารสนเทศ กลุ่มวิจัยการสื่อสารและเครือข่าย เนคเทค สวทช. ได้ทดสอบเปิด Public IoT พบว่ามีความพยายามเชื่อมต่อจำนวนมหาศาลเข้ามาจากพื้นที่ต่าง ๆ ทั่วโลกโดยเฉพาะพื้นที่ที่นิยมใช้เป็นฐานการจู่โจมทางไซเบอร์ภายในเวลาเพียง 10 วินาทีเท่านั้น ในกรณีที่มีการเชื่อมต่อมากขึ้นช่องโหว่หรือโอกาสถูกโจมตีก็จะมากขึ้นเช่นกัน การโจมตีมักเกิดขึ้นอย่างเป็นระบบ ดังนั้นการแก้ไขจึงจำเป็นต้องมีระบบและทิศทางที่ชัดเจนด้วยเช่นกัน ดังนั้นความสำเร็จของ Cyber Security ไม่ใช่เรื่องของดวงหรืออภินิหารอย่างแน่นอน
การสร้างความเปลี่ยนแปลงในเรื่องของความปลอดภัยทางไซเบอร์นั้น ‘นโยบาย’ หรือ Roadmap เป็นสิ่งสำคัญอย่างมาก เริ่มต้นตั้งแต่การมอบหมายในการรับผิดชอบ แนวทางการพัฒนาแรงงานและเทคโนโลยีที่จะเกิดขึ้น โดยเฉพาะอย่างยิ่งความเชี่ยวชาญของผู้รับผิดชอบ ยกตัวอย่าง ในกรณีที่ผู้รับผิดชอบต้องการร้องขอเทคโนโลยีหรือการสนับสนุนเพิ่มเติม การโน้มน้าวและชี้ให้ผู้บริหารเห็นถึงความสำคัญความเร่งด่วนเป็นสิ่งสำคัญ ข้อมูลที่ได้ต้องมีความน่าเชื่อถือ ซึ่งอาจเป็นได้ทั้งการติดตั้งอุปกรณ์เพื่อวัดค่าในองค์กรเองหรือเป็นการทำงานร่วมกับพันธมิตรอย่าง SMC เพื่อสร้างความชัดเจนเป็นต้น
ในการป้องปรามภัยที่เกิดขึ้น การลงทุนเรียกได้ว่าเป็นสิ่งสำคัญในทุกขั้นตอนกระบวนการ ต้องพิจารณาว่าสามารถไปด้วยกันได้กับระบบเดิมที่มีหรือไม่ และต้นทุนที่ใช้ว่าจะทำให้เกิดขึ้นได้จริงหรือเปล่า อีกความท้าทายที่สำคัญ คือ ผู้เชี่ยวชาญด้าน Cybersecurity นั้นมีอยู่น้อยมาก ถ้าพิจารณาตามข้อมูลภาครัฐที่มีข้าราชการพลเรือน 436 แสนคน พบว่ามีผู้เชี่ยวชาญเพียง 0.5% แต่ถ้าต้องประเมินแล้วจะพบว่าไม่มีการขาดแคลนเพราะตำแหน่งเหล่านี้ไม่มีการกำหนดตำแหน่งไว้แต่แรก…
คน + เทคโนโลยี หัวใจของความสำเร็จใน Cyber Security
ในปัจจุบันมี SI และผู้ให้บริการด้านเทคโนโลยีในการดูแลระบบรวมถึงความปลอดภัยจำนวนไม่น้อยในตลาด ทำให้ผู้ประกอบการสามารถพิจารณาความต้องการใช้งานได้หลากหลายรูปแบบ แต่ในขณะเดียวกันการมีผู้เชี่ยวชาญด้าน IT และ OT ภายในองค์กรเองยังคงเป็นส่วนสำคัญอย่างมาก เพราะนอกจากจะสามารถเข้าถึงข้อมูลเชิงลึกภายในหรือข้อมูลความลับต่าง ๆ ได้อย่างรวดเร็วแล้ว ยังมีหน้าที่ในการทำงานควบคู่ไปกับผู้เชี่ยวชาญภายนอกให้เกิดผลสัมฤทธิ์ได้อีกด้วย
อย่างที่ทราบกันดีว่าผู้เชี่ยวชาญด้าน IT และ OT ในโรงงงานนั้นหาได้ยาก การสรรหาบุคคลากรหน้าใหม่นั้นไม่ต่างจากการแย่งกันตกปลาในบ่อขนาดเล็ก ทำให้ทางออกที่เกิดขึ้นได้อย่างมีประสิทธิภาพและยั่งยืน คือ การพัฒนาแรงงานภายในให้มีทักษะดังกล่าว เช่น การมอบหมายหน้าที่ให้ฝึกอบรมทักษะ หรือสนับสนุนให้เกิดการสอบใบประกาศมาตรฐาน เช่น Certified Cyber Security (CC) ของ NCSA ซึ่งไม่มีค่าใช้จ่าย เป็นต้น สิ่งที่ต้องตระหนักสำหรับผู้บริหารหรือเจ้าของกิจการในประเด็นนี้ คือ การสร้างแรงจูงใจให้กับผู้ที่ต้องเข้ารับการฝึกอบรมที่จะเกิดขึ้น ดังเช่นที่พลอากาศตรี อมร ชมเชย ได้กล่าวไว้ว่า “ต้องสร้างแรงจูงใจให้เขา อบรมสำเร็จแล้วเขาจะได้อะไรที่ดีขึ้น เงินเดือน? ผลตอบแทน? อย่าใจร้าย คิดเอาแต่ได้”
เมื่อคนพร้อมแล้ว ในการลงทุนเทคโนโลยีสำหรับโรงงานอุตสาหกรรมเองก็ต้องมองให้ไกลกว่าแค่วันแรกที่ระบบติดตั้งเสร็จ ต้องพิจารณาถึงการอัปเดตและอัปเกรดต่าง ๆ ที่จะเกิดขึ้นในอนาคต แน่นอนว่าในประเด็นดังกล่าวไม่ใช่เพียง Compatibility ของระบบ IT กับ OT เท่านั้นแต่ต้องมองถึงค่าใช้จ่ายในการอัปเดตระบบ ตลอดจนการมอบหมายและผลักดันให้ผู้รับผิดชอบมีการอบรมความรู้ใหม่ ๆ อยู่เสมอ เนื่องจากภัยทางไซเบอร์นั้นเกิดการเปลี่ยนแปลงอย่างรวเร็วอีกด้วย
ตัวอย่างกรณีศึกษาจากหัวข้อการสัมมนา ‘ความมั่นคงปลอดภัยทางไซเบอร์ พื้นฐานสำคัญสู่อุตสาหกรรม 4.0’ ที่ประกอบไปด้วย
คุณอดุลย์ เปรมประเสริฐ ประธานเจ้าหน้าที่บริหาร (CEO) บริษัท ธนากรผลิตภัณฑ์น้ำมันพืช จำกัด, คุณทักษิณ บำเพ็ญ ผู้จัดการแผนกวิจัยและพัฒนา บริษัท เดอะเพ็ท จำกัด, ดร.กลิกา สุขสมบูรณ์ นักวิจัย ทีมระบบไซเบอร์-กายภาพ (CPS) เนคเทค สวทช.
ดำเนินรายการโดย ดร.พรพรหม อธีตนันท์ รองผู้อำนวยการฝ่ายพัฒนาเครือข่ายเชิงกลยุทธ์และประเมินผล เนคเทค สวทช. พบว่าเงื่อนไขสำคัญของการแก้ไขปัญหา คือ การตรวจวัดค่าสถานะต่าง ๆ ให้ได้เสียก่อน จากนั้นจึงเริ่มต้นทำ Risk Assessment และ Gap Analysis เพื่อประเมินความเสี่ยงในแต่ละจุดร่วมกับผู้เชี่ยวชาญหรือพันธมิตรที่มีประสบการณ์ ซึ่งในปัจจุบันการทำ Cyber Insurance ก็สามารถเพิ่มความมั่นใจให้กับตัวองค์กรได้ด้วยเช่นกัน
Open Source ทางออกระยะยาวที่เป็นไปได้ในทุกโรงงาน
เมื่อพูดถึงโซลูชันในการทำงานของยุคสมัยใหม่ ผู้ประกอบการและผู้เกี่ยวข้องมักจะนึกถึงภาพจำของความสมบูรณ์แบบ รอบด้าน หรูหรา และมีราคาที่แพงระยับเข้าถึงได้ยาก ความท้าทายเหล่านี้ทำให้เกิดเทคโนโลยีหรือโซลูชันที่เป็น Open Source ขึ้นมา มีความเป็นระบบเปิดที่ต้นทุนต่ำหรือบางครั้งอาจไม่มีต้นทุนเลยนอกจากเครื่องมือที่ใช้ จุดเด่นคือเรื่องต้นทุนและการปรับแต่งระบบได้แทบไร้ข้อจำกัด แต่ความท้าทายสำคัญกลับตกมาอยู่ที่ความยุ่งยากซับซ้อนในการบูรณาการ ออกแบบ หรือเขียน Code แทน
หนึ่งในคำแนะนำที่น่าสนใจจากเวทีสัมมนานี้นั้นชี้ให้เห็นว่า Open Source เป็นอะไรที่ต้องเกิดขึ้นในองค์กรให้ได้! ต้องมีผู้เชี่ยวชาญหรือรับหน้าที่ดูแลระบบที่พัฒนาเหล่านี้เป็นการภายในองค์กรเพราะเป็นทางออกที่มีความยั่งยืนมากที่สุดโดยเฉพาะองค์กรที่ทุนน้อยหรือเป็น SME แม้แต่ในกรณีขององค์กรที่สามารถจ่ายค่า Subscription ของโซลูชันชั้นนำไหว แต่หากในระยะยาวเกิดไม่ต้องการจะเสียค่าใช้จ่ายตรงนี้หรือมีค่าใช้จ่ายมากเพิ่มเกินรับไหว
บางครั้งองคฺ์กรไม่สามารถแบกรับต้นทุน Subscription ได้ หรือหากเกิดกรณีที่ไม่ต้องการใช้งานบริการเดิมอีกต่อไป Open Source จะกลายเป็นสิ่งที่อยู่กับองค์กรต่อเนื่องในระยะยาว ทำให้ไม่เกิดช่องว่างในตอนเปลี่ยนผ่านหรือรอพิจารณาในกรณีเงื่อนไขต่าง ๆ อีกด้วย
ป้องกันระบบใหญ่นั้นสำคัญ แต่การพิจารณาถึง EDR นั้นก็มีความสำคัญไม่ยิ่งหย่อนไปกว่ากัน
ข้อมูลจากการนำเสนอของ ดร.พนิตา พงษ์ไพบูลย์ รองผู้อำนวยการ เนคเทค สวทช. และผู้อำนวยการศูนย์นวัตกรรมการผลิตยั่งยืน (SMC) ระบุว่าภาคการผลิตนั้นมีความเสี่ยงในการถูกโจมตีจาก Ransomware ทั้งหมดคิดเป็นสัดส่วน 28% ในขณะที่ข้อมูลใน Dark Web ที่เกี่ยวข้องกับองค์กรอุตสาหกรรมนั้นเพิ่มขึ้น 300% ในปี 2023 โดย 1 ใน 4 ของการโจมตีทั่วโลกเกิดขึ้นในเอเชีย และ 47% ของการโจมตีในภาคอุตสาหกรรมนั้นเกิดขึ้นจากช่องว่างที่องค์กรซึ่งถูกโจมตีนั้นไม่อาจอัปเดตหรืออุดรอยรั่วได้ สำหรับประเทศไทยนั้นก็ติดโผอยู่ในลำดับที่ 9 จากการถูกโจมตีที่เกิดขึ้นทั่วโลกเช่นกัน
สำหรับข้อมูลผู้ผลิตในประเทศไทยนั้นพบว่า 88% ของผู้ผลิตต้องเผชิญหน้ากับภัยเหล่านี้อย่างน้อย 1 ครั้งในปีที่ผ่านมา 89% ของผู้ผลิตใช้เวลาหลักชั่วโมงหรือมากกว่านั้นในการกู้การทำงานกลับคืนมา 53% ของการโจมตีเป็นการก่อกวน และ 82% ของการโจมตีส่งผลกระทบต่อระบบ OT
หนึ่งในความท้าทายสำคัญที่ผู้เชี่ยวชาญในงานพูดถึงกันบ่อยครั้ง คือ การป้องกันที่เกิดขึ้นจะต้องเกิดขึ้นที่อุปกรณ์ด้วย เช่น PLC, IoT, หุ่นยนต์ และสายพานอัตโนมัติ เป็นต้น แนวคิดนี้เรียกว่า EDR หรือ Endpoint Detection and Response ซึ่งเป็นการดูแลเทคโนโลยีในส่วนของ OT โดยตรง
ผลกระทบที่เกิดจากการโจมตี OT โดยตรงนั้นอาจหมายถึงการล็อคเครื่อง เข้ารหัสอุปกรณ์ทำให้ไม่สามารถใช้งานหรือเสียหายแบบถาวรได้ หากเปรียบเทียบมูลค่าความเสียหายที่เกิดขึ้นกับอุปกรณ์ IT แล้ว จะพบอุปกรณ์หรือเทคโนโลยีด้าน OT นั้นมีมูลค่าสูงกว่าอย่างมหาศาล การป้องกันโดยคำนึงถึงแนวคิด EDR จึงเป็นส่วนสำคัญอย่างมากสำหรับธุรกิจกลุ่มโรงงานอุตสาหกรรมที่ไม่ได้มีแต่เทคโนโลยีในการขับเคลื่อน
หนึ่งในเครื่องมือสำคัญสำหรับการทำงานตามแนวคิด EDR คือ SOC หรือ Security Operation Center ที่ทำหน้าที่ในการดูแลความปลอดภัยในโรงงานที่ปัจจุบันมีการใช้งานกันอย่างแพร่หลาย
SOC กลไกสำคัญสำหรับความปลอดภัยยุคดิจิทัล
ในการป้องกันภัยทางไซเบอร์นั้นต้องยอมรับว่ามีการใช้เครื่องมือที่ซับซ้อนอย่างมาก ในขณะที่ต้นทุนงานบริการที่เกี่ยวข้องยังมีราคาสูงอีกด้วย หากเป็นบริษัทโรงงานขนาดใหญ่ปัญหาเรื่องต้นทุนอาจไม่ใช่ประเด็นที่ต้องกังวลมากนัก แตกต่างจาก SME ที่มีข้อจำกัดมากมาย โดยเฉพาะ SME ในประเทศไทยที่มีสัดส่วนมากถึง 96% เพื่อป้องกันและสนับสนุนให้เกิดการแก้ไขปัญหารวมถึงความเสี่ยงได้อย่างเป็นระบบจึงเกิด เทคโนโลยีอย่าง SOC ขึ้นมาเพื่อทำหน้าที่เป็นศูนย์กลางในการตอบสนองต่อสถานการณ์ได้อย่างครบถ้วน
SOC คืออะไร? SOC หรือ Security Operation Center เป็นเครื่องมือในการตรวจจับและมินอเตอร์ภัยคุกคามอย่างต่อเนื่อง ช่วยให้บริหารจัดการความเสี่ยงต่าง ๆ ได้อย่างมีประสิทธิภาพ ทั้งยังสามารถตอบสนองและกักกันได้อย่างรวดเร็วเมื่อเกิดปัญหาขึ้น ในแง่ของการป้องปรามสามารถวิเคราะห์และคาดการณ์พร้อมทำนำเสนอรายงานข้อมูลได้อีกด้วย ซึ่งในแง่ของการทำงานแล้วนับเป็นการดำเนินการด้านความปลอดภัยเชิงรุก ประกอบไปด้วย SIEM, IDS, IPD, SOAR, Firewall, EDR, XDR, TIP, VA, Playbooks และ SOP โดยฟังก์ชันของ SOC แบ่งออกเป็น 6 ส่วน ได้แก่ – Log/Traffic Collection – Log/Traffic Processing – Threat Intelligence – DB Management – Data Visualization – Alerting Service |
เพื่อแก้ Pain Point ที่เกิดขึ้น SMC โดย NECTEC จึงได้พัฒนา SOC ที่ SME สามารถเข้าถึงได้ง่ายขึ้นและมีประสิทธิภาพในการใช้งานสูง โดยมีพื้นฐานการทำงานในรูปแบบของ Open Source ขึ้นมา ครอบคลุมการใช้งานทั้งในรูปแบบของซอฟต์แวร์ที่เกี่ยวข้องและลงลึกไปถึง Bios สำหรับฮาร์ดแวร์ต่าง ๆ ในเวลาเดียวกัน เป็นการผสมผสานโซลูชันอันหลากหลายลงในฟังก์ชันแต่ละส่วนไม่ว่าจะเป็น ZEEK, SURICATA, WAZUH, Grafana และ MISP
โดยกรณีตัวอย่างในการใช้งาน SMC SOC นั้นเกิดขึ้นแล้วกับ บริษัท ธนากรผลิตภัณฑ์น้ำมันพืช จำกัด (น้ำมันพืชกุ๊ก) และ THE PET ผูผลิตขวดน้ำดื่ม ซึ่งทั้ง 2 บริษัทมีการใช้งานที่แตกต่างกัน ดังนี้
น้ำมันพืชกุ๊ก – ติดตั้ง SMC SOC กับเครือข่ายภายในบริษัทในรูปแบบ Server เพื่อดึงข้อมูลจากองค์กร 2 จุด ได้แก่ Server ที่เป็น Domain Controller ขององค์กร และอุปกรณ์เครือข่ายของฝ่ายขายและฝ่ายบริหารซัพพลายเชน ทำให้สามารถวิเคราะห์ความผิดปกติของข้อมูลและพฤติกรรมการใช้งานระบบได้ ทำให้สามารถแบ่งพฤติกรรมที่เกิดขึ้นในระบบตามความเสี่ยงได้ชัดเจน โดยส่วนมากพบภัยความเสี่ยงระดับต่ำจากการเข้าถึงของ Anydesk เพื่อดูข้อมูลในบริษัท ทำให้ผู้เชี่ยวชาญของ SMC แนะนำว่าควรติดตั้งซอฟต์แวร์เพื่อเก็บประวัติและคัดกรองบุคคลผู้ได้รับอนุญาติเท่านั้นให้เข้ามาในระบบได้ เกิดเป็นการเฝ้าระวังแบบ Real-Time 24/7 พร้อมการสนับสนุนจากผู้เชี่ยวชาญของ NECTEC-SMC
THE PET – เนื่องจากเป็นระบบปิด การทำงานทั่วไปจึงต้องใช้อุปกรณ์ 2 เครื่องแยกกันสำหรับงานภายในและงานภายนอก โดย SMC SOC จะถูกติดตั้งเข้ากับระบบปิดเพื่อตรวจสอบกระบวนการภายในสายการผลิต/องค์กร แม้ว่าจะเป็นระบบปิดที่ไม่มีการเชื่อมต่อภายนอกแต่กลับพบความพยายามในการ Request การตอบสนองจากข้อมูลจากภายนอกโดยซอฟต์แวร์หรืออุปกรณ์ในระบบปิด ทำให้เกิดการลงไประบุปัญหาและแก้ปัญหาได้ก่อนที่จะเกิดความผิดพลาดใด ๆ ขึ้น
จุดเด่นของ SMC SOC นั้นอยู่ที่การบูรณาการจุดเด่นของโซลูชันในแต่ละฟังก์ชันหรือกระบวนการในการทำงานขึ้นมาด้วยความเชี่ยวชาญของ NECTEC-SMC ทำให้สามารถปับเปลี่ยนความต้องการได้เหมาะสมกับโรงงานที่ต้องการใช้ ทั้งยังมีต้นทุนราคาที่เข้าถึงได้ง่ายกว่าโซลูชันแบรนด์ใหญ่ ๆ ที่อาจจะมีฟังก์ชันมากเกินความต้องการของ SME อีกด้วย
การมีเครื่องมืออย่าง SOC และมีผู้เชียวชาญที่คอยตอบสนองต่อความท้าทายที่เกิดขึ้นนั้นสามารถสร้างความมั่นใจให้กับซัพพลายเชนและธุรกิจได้เป็นอย่างมาก การป้องกันจะเกิดความมั่นคงและรับมือได้อย่างเป็นระบบ แต่ในอีกมุมหนึ่งนั้นการแก้ไขปัญหาเฉพาะหน้าหากเกิดสถานการณ์ขึ้นแล้วก็ยังมีข้อจำกัดเรื่องเวลาในการดำเนินการอีกด้วยเช่นกัน
’60 นาที’ ช่วงเวลาชี้เป็นชี้ตายในการแก้สถานการณ์ถูกคุกคามในระบบองค์กร
คุณฐิติรัตน์ ศิริพัฒนาเลิศ หัวหน้าคณะผู้บริหารด้านความปลอดภัยระบบข้อมูลสารสนเทศ ทรู ดิจิทัล ไซเบอร์ซิคิวริตี้ บริษัท ทรู ดิจิทัล กรุ๊ป ได้เล่าถึงความเสียหายของ SME ที่เกิดจากการถูก Ransomware จู่โจมทำให้หยุดการผลิตเป็นเวลากว่า 2 สัปดาห์ เป็นผลมาจากการไม่ได้ตระหนักรู้หรือเข้าใจถึงความสำคัญของ Cyber Security ในยุคใหม่
นอกจากนี้ยังมีข้อมูลชี้ให้เห็นว่าการโจมตีทางไซเบอร์นั้นเกิดขึ้นเฉลี่ยทุก ๆ 39 วินาที โดยในปี 2023 นั้นมีการประเมินว่าระยะเวลาที่ใช้ในการโจมตีตั้งแต่เริ่มต้นจนสิ้นสุดนั้นใช้เวลาเพียง 84 นาที และองค์กรใช้เวลาเฉลี่ยยในการตรวจจับภัยคุกคามทั้งหมดรวมกันมากถึง 277 วัน สำหรับ SME เองปัญหาส่วนใหญ่จากการถูกโจมตีกว่า 80% มีสาเหตุมาจากรหัสของระบบหลุด โดยมักใช้รหัสชุมชนออนไลน์กับที่ทำงานเป็นรหัสเดียวกัน ซึ่งคุณฐิติรัตน์ให้คำแนะนำเบื้องต้นในการป้องปรามไว้ดังนี้
- กำหนด 2 FA (2 Factors Authentication)
- ต้องมี EDR ซึ่งสามารถรองรับ Zero Day ได้ดีกว่า Antivirus ด้วยการศึกษาพฤติกรรมมาวิเคราะห์
- ตรวจสอบความปลอดภัยของ Web Application โดยดูที่ Source Code อย่างน้อยต้องมี Firewall ป้องกัน
- ใช้ SOC เพื่อดำเนินการต่าง ๆ ให้ทัน
โดยการตอบสนองต่อสถานการณ์เฉพาะหน้าที่เกิดขึ้นควรทำให้เสร็จสิ้นใน 1 ชั่วโมง ไม่ว่าจะเป็นการตัดการเชื่อมต่อ การบล็อค IP ต่าง ๆ หากไม่สามารถทำได้ผู้ร้ายจะเริ่มขโมยข้อมูลและส่งออกไปยังภายนอก ทำให้การมีระบบอัตโนมัติที่ช่วยตอบสนองต่อสถานการณ์จึงเป็นสิ่งจำเป็น เช่น ถ้าตรวจเจอ IP ผู้ร้ายก็สามารถตั้งค่า Server ไม่ให้มีการเรียกหรือส่งข้อมูลไปยัง IP นั้น ๆ ในทันที
ในกรณีของ คุณนฤดม รุ่งศิริวงศ์ SVP, Global Enterprise Architecture and Cyber Security บริษัท บ้านปู จำกัด (มหาชน) ยังชี้ให้เห็นถึงความสำคัญในเรื่องของผลกระทบที่เกิดขึ้นกับความใส่ใจของซัพพลายที่เกี่ยวข้อง ไปจนถึงกรณีความเสียหายที่อาจเกิดขึ้นได้จริง เช่น กรณีของบอยเลอร์ในโรงงาน ในกรณีที่สามารถควบคุมผ่านเครือข่ายได้และถูกขโมยการควบคุมไปแล้ว หากทำให้เกิดความร้อนเกินขีดจำกัดได้จะทำให้เกิดความเสียหายต่อชีวิตและทรัพย์สินจำนวนมหาศาลเป็นต้น
หนึ่งในข้อสรุปจากประเด็นของ Cyber Security ในยุค 4.0 ที่ได้นั้นจะเป็นเรื่องของแนวทางในการดำเนินการด้านความปลอดภัยทางไซเบอร์โรงงานที่ต้องมองไปไกลกว่าระบบปิด ตั้งต้นด้วยการมอบหมายและสร้างบุคคลากรที่มีความเชี่ยวชาญขึ้นมา พร้อมวางระบบ SOC และ EDR เพื่อให้สามารถตอบสนองต่อภัยคุกคามรูปแบบใหม่ ๆ ที่สามารถเกิดขึ้นได้ตลอดเวลา 24/7 โดยการเฝ้าระวังทั้งระบบเพื่อป้องกันรูรั่วเป็นสิ่งจำเป็นแต่ต้องไม่มองข้ามในเรื่องของการเข้าถึงและควบคุมเทคโนโลยี OT ซึ่งเป็น End Point ด้วย และการเริ่มต้น Framework สำหรับความปลอดภัยควรเริ่มต้นที่ IT ก่อน เนื่องจากความขาดแคลนผู้เชี่ยวชาญด้าน OT ซึ่งไม่ควรดันทุรังดำเนินการหากขาดการแนะนำที่เหมาะสม