Operational Technology (OT) ในปัจจุบันเริ่มถูกหลอมรวมเข้าสู่ระบบ IT มากขึ้นเรื่อยๆ คุณณฐวัฒน์ ศิริพลับพลา Data Center Software Solutions Consultant (Thailand & APJ) จาก Schneider Electric ได้ออกมาแนะนำการหลอมรวม IT/OT สู่ระบบนิเวศทางไซเบอร์อย่างมั่นคงปลอดภัย พร้อมแนะนำมาตรฐาน IEC 62443 และแนวทางปฏิบัติในการออกแบบและวางกลยุทธ์ด้าน OT Security อย่างบูรณาการ เพื่อให้องค์กรมุ่งสู่การเป็นผู้นำด้านการเปลี่ยนแปลงทางดิจิทัลของการจัดการพลังงานและระบบอัตโนมัติได้อย่างยั่งยืน โดยสรุปสาระสำคัญได้ดังนี้
Digital Transformation นำมาซึ่งการหลอมรวม OT และ IT เข้าสู่ระบบนิเวศไซเบอร์
การทำ Digital Transformation เพื่อพลิกโฉมอุตสาหกรรมสู่การเป็น Industry 4.0 ก่อให้เกิดการหลอมรวมกันระหว่างระบบ OT และ IT เข้าด้วยกัน เครื่องจักรถูกเชื่อมต่อเข้ากับเซ็นเซอร์ต่างๆ เพื่อเพิ่มประสบการณ์การใช้งานของลูกค้า และยกระดับการดำเนินธุรกิจให้มีประสิทธิภาพมากยิ่งขึ้น ส่งผลให้กระบวนการทางอุตสาหกรรมและการผลิตต่างๆ ถูกผสานรวมเข้ากับระบบ IT มากขึ้นเรื่อยๆ องค์กรจะได้รับประโยชน์สูงสุดจากการทำ Digital Transformation ก็ต่อเมื่อองค์กรสามารถดำเนินการได้อย่างมั่นคงปลอดภัย
นอกจากนี้ IoT ยังเข้ามามีบทบาทในการทำ Digital Transformation เป็นอย่างมาก ด้วยการเชื่อมต่อทุกสิ่งเข้าด้วยกัน ทั้งเครื่องจักร์ เซ็นเซอร์ และอุปกรณ์ต่างๆ สู่ระบบเครือข่าย อินเทอร์เน็ต และระบบ Cloud ทำให้องค์กรสามารถเก็บข้อมูลได้มากขึ้นและละเอียดยิ่งขึ้น จากนั้นนำข้อมูลมาประยุกต์ใช้ให้เกิดประโยชน์ เช่น วิเคราะห์แนวโน้ม ข้อมูลเชิงลึก ซึ่งจะช่วยให้ผู้บริหารสามารถตัดสินใจเชิงธุรกิจได้ถูกต้องและแม่นยำมากยิ่งขึ้น คาดการณ์ว่าภายในปี 2025 อุปกรณ์ IoT ที่ใช้ในอุตสาหกรรมจะมีจำนวนมากถึง 75,440 ล้านเครื่อง
“การต่อยอด IoT กับระบบ Data Analytics และ AI/ML บน Cloud ย่ิงทำให้องค์กรได้ประโยชน์มากกว่าเดิม ที่เห็นได้ชัดคือการคาดการณ์ล่วงหน้า (Predictive) เกี่ยวกับการบำรุงรักษาเครื่องจักร การตลาด และความเสี่ยงต่างๆ ซึ่งช่วยให้องค์กรสามารถประหยัดค่าใช้จ่ายด้านต่างๆ ลง ทั้งด้านการปฏิบัติงาน ค่าไฟ ค่าบำรุงรักษา เป็นต้น” — คุณณฐวัฒน์กล่าว
Cybersecurity คือความท้าทายอันดับหนึ่งของการทำ Digital Transformation
จากรายงานการสำรวจ Morgan Stanley-Automation World Industrial Automation Survey โดย AlphaWise พบว่า ความมั่นคงปลอดภัยไซเบอร์คือความท้าทายสำคัญอันดับหนึ่งของการทำ Digital Transformation องค์กรควรจัดสรรงบประมาณให้การรักษาความมั่นคงปลอดภัยไซเบอร์ 10 – 14% ของงบประมาณด้าน IT ทั้งหมด อย่างไรก็ตาม พบว่าปัจจุบันองค์กรส่วนใหญ่จัดสรรงบประมาณด้าน IT ให้กับการรักษาความมั่นคงปลอดภัยไซเบอร์เพียง 2% เท่านั้น คำถามคือองค์กรที่ใช้ OT เช่น อุตสาหกรรมการผลิต ควรเริ่มต้นการรักษาความมั่นคงปลอดภัยไซเบอร์อย่างไร?
เมื่อระบบ OT หลอมรวมเข้ากับระบบ IT การทำ OT Security จะไปขยายในส่วนของ Physical Security และ IT Security องค์กรสามารถใช้เครื่องมือด้าน IT Security ที่มีอยู่เพื่อประยุกต์ใช้ในการปกป้องระบบ OT ได้ อย่างไรก็ตาม ต้องตระหนักว่า OT ส่วนใหญ่จะไม่มี Mission Critical Data แต่การทำงานจะเป็นแบบ Mission Critical Tasks เนื่องจากอยู่ในส่วนของกระบวนการผลิตซึ่งเป็นหัวใจหลักของการดำเนินธุรกิจ
เริ่มต้น OT Security ด้วยกรอบการทำงานตามมาตรฐาน IEC 62443
IEC 62443 คือกรอบการทำงานที่เป็นมาตรฐานพื้นฐานทั่วไปด้านความมั่นคงปลอดภัยไซเบอร์สำหรับระบบ OT โดยเน้นที่ 3 ประเด็นหลัก คือ
- แนวทางปฏิบัติในการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
- วิธีการวิเคราะห์และประเมินผลความเสี่ยง รวมถึงแนวทางต่างๆ ในการจัดการกับความเสี่ยงด้านไซเบอร์
- กรอบการทำงานในการติดตามและปรับปรุง Cyber Security Management System (CSMS) อย่างต่อเนื่อง
IEC 62443 จะเริ่มต้นด้วยการแนะนำการกำหนดระดับความมั่นคงปลอดภัย (Security Level: SL) ของระบบ OT ซึ่งแบ่งเป็น 5 ระดับ คือ SL1 – SL5 โดย SL1 คือการป้องกันการละเมิดที่เกิดขึ้นโดยบังเอิญหรือไม่ได้ตั้งใจ ในขณะที่ SL5 คือการป้องกันการละเมิดโดยเจตนา จากการโจมตีที่มีความซับซ้อนและรุนแรงสูงสุด จากนั้นจะแนะนำการทำ Gap Analysis เพื่อวิเคราะห์ศักยภาพของมาตรการควบคุมด้านความมั่นคงปลอดภัยที่มีอยู่ 7 ด้าน ได้แก่ Identification and Authentication Control, Use Control, System Integrity, Data Confidentiality, Restricted Data Flow, Timely Response to Events และ Resource Availability เทียบกับเป้าหมายที่ต้องการไปให้ถึงตาม Security Level ไปจนถึงการดำเนินการปิด Gap ไม่ว่าจะเป็นมาตรการควบคุมที่องค์กรควรมี วิธีการชี้วัดประสิทธิภาพของมาตรการควบคุมดังกล่าว รวมถึงงบประมาณที่ลงทุนไป
นอกจากนี้ IEC 62443 ยังมีข้อกำหนดสำหรับ Asset Owner/Operator, SI, Product Supplier อีกด้วย เพื่อให้ระบบนิเวศทางไซเบอร์ขององค์กรที่หลอมรวม IT/OT เข้าด้วยกันแล้วมีความมั่นคงปลอดภัย สำหรับมาตรฐานอื่นๆ ที่แนะนำให้ใช้ร่วมกับ IEC 62443 เพื่อสร้างรากฐานการทำ Cybersecurity Management ได้แก่
- ISO/IEC 27001 – ระบบบริหารจัดการความมั่นคงปลอดภัยของข้อมูล
- ISO/IEC 27017 – แนวปฏิบัติมาตรการควบคุมด้านความมั่นคงปลอดภัยบนบริการ Cloud
- IEC 62531 – มาตรฐานเกี่ยวกับโปรโตคอลด้านความมั่นคงปลอดภัย
สรุปแนวทางปฏิบัติการออกแบบและวางมาตรการด้าน Cybersecurity ระบบ OT
แนวทางปฏิบัติการออกแบบและวางมาตรการด้านความมั่นคงปลอดภัยไซเบอร์ระบบ IT/OT ตามมาตรฐาน IEC 62443 แบ่งออกเป็น 4 ฟังก์ชัน ดังนี้
- Permit – การบริหารจัดการการเข้าถึงระบบปฏิบัติการและข้อมูลผ่าน Network & Physical Control เช่น AAA, MFA, Network Segmentation, Secure Remote Access และ Physical Security
- Protect – การวางมาตรการควบคุมจำเพาะโดยเป็นส่วนหนึ่งของระบบปฏิบัติการเพื่อการป้องกันอย่างต่อเนื่อง เช่น Endpoint Protection, Anti-malware, DLP, HIPS, Whitelisting, Removeable Media Control และ Patch Management
- Detect – การเฝ้าระวังสภาพแวดล้อมเพื่อตรวจจับภัยคุกคาม เช่น SIEM, Network Performance Monitoring, Asset Identification, Anomaly Detection, Intrusion Detection
- Respond – การพัฒนากระบวนการและระบบเพื่อให้สามารถตอบสนองกับเหตุผิดปกติด้านไซเบอร์ได้ รวมถึงการกักกันและรับมือกับการโจมตีได้อย่างรวดเร็ว เช่น Backup & Recovery, Disaster Recovery, Forensics และ Incident Response
โดยสรุปแล้ว OT Security ต้องครอบคลุมตั้งแต่ระดับ Connected Product, Edge Control ไปจนถึง App, Analytics & Services ทั้งที่อยู่บน On-premises และบน Cloud ซึ่งทาง Schneider Electric ก็ให้บริการโซลูชัน OT Security ทั้งหมดนี้แบบครบวงจร ตามมาตรฐาน IEC 62443
ผู้ที่สนใจเรื่องการผนวกระบบ OT เข้าสู่ระบบ IT อย่างมั่นคงปลอดภัย และมาตรฐาน IEC 62443 สามารถรับชมวิดีโอการบรรยายเรื่อง “หลอมรวม IT/OT สู่ระบบนิเวศทางไซเบอร์อย่างมั่นคงปลอดภัย” โดยคุณณฐวัฒน์ ศิริพลับพลา Data Center Software Solutions Consultant (Thailand & APJ) จาก Schneider Electric ภายในงานสัมมนา TTT 2022 Reinforce: Enterprise IT Infrastructure ที่เพิ่งจัดไปเมื่อวันที่ 5 ตุลาคม ได้ที่นี่
ต้องการทราบข้อมูลเพิ่มเติม ติดต่อทีม Schneider Electrice ได้ที่นี่ คลิก
