เส้นทางสู่ “Cyber Resilience” การประเมินองค์กรด้วย “CRR" (1)
ในปัจจุบันเกิดความเปลี่ยนแปลงแนวคิดด้านการบริการจัดการความมั่นคงปลอดภัยไซเบอร์จาก “Information Security” ไปสู่ “Cyber Resilience”
เนื่องจากการเปลี่ยนแปลงวิธีการโจมตีของเหล่าแฮกเกอร์ และเป็นไปตามกระแสโลกจากการเปลี่ยนแปลงของ “Threat Landscape” ทำให้แนวทางในการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ต้องมีการปรับเปลี่ยนแนวความคิด จากแค่เพียง “Information Security” ซึ่งไม่เพียงพอ ปรับเปลี่ยนมาเป็น “Cyber Security” และปรับเข้าสู่แนวคิดที่จะนำพาองค์กรเข้าสู่สภาวะ “Cyber Resilience” ในที่สุด เพื่อให้องค์กรสามารถตอบรับกับ Unknown, Unpredictable, Uncertain, Unexpected กับความเสี่ยงที่มองไม่เห็น และความไม่แน่นอนของผลกระทบจากภัยไซเบอร์ในรูปแบบต่างๆ ได้อย่างทันท่วงที(ดูรูปที่ 1)
รูปที่ 1: How to build cyber resilience to your organization : 3 Stages from ISF , Information Security , Cyber Security and Cyber Resilience : source : Information Security Forum (ISF)
ดังนั้น แนวคิด “Cyber Resilience” จึงเป็นแนวคิดที่ได้รับความนิยมเพิ่มขึ้นอย่างรวดเร็วทั่วโลก เนื่องจากแนวคิด “Cyber Resilience” มีการนำหลักการ 3 เรื่องมารวมเข้าด้วยกัน ได้แก่ “Information Security”, “Business Continuity” และ “Organizational Resilience” ดังนั้นแนวคิด “Cyber Resilience” สามารถนำไปใช้ได้กว้างขวางในหลายวงการ เช่น ใช้กับการบริหารจัดการความมั่นคงปลอดภัยระบบสารสนเทศ (IT/Information System) การบริหารจัดการความมั่นคงปลอดภัยโครงสร้างพื้นฐานที่มีความสำคัญยิ่งยวด (Critical Infrastructure) การบริหารจัดการความมั่นคงปลอดภัยกระบวนการทางธุรกิจ (Business Process) ตลอดจน การประยุกต์ใช้ในเรื่องความมั่นคงของชาติ (National Security) ได้อีกด้วย
ปรัชญาของแนวคิด “Cyber Resilience” ก็คือ หลังจากธุรกิจ ธุรกรรม หรือระบบต่างๆ ขององค์กรถูกโจมตี ทาให้องค์กรได้รับผลกระทบจากการโจมตีดังกล่าว ระบบหรือธุรกิจ ธุรกรรมดังกล่าวยังจำเป็นต้องมีความสามารถในการทำงานต่อไปได้โดยไม่สะดุดติดขัด ไม่เสีย Service Level Agreement (SLA) ที่ให้ไว้กับผู้ใช้บริการในช่วงเวลาที่กำลังถูกโจมตี หรือกำลังมี Crisis เกิดขึ้นในระบบ จะเห็นได้ว่ามีการนำแนวคิดด้าน Business Continuity Management (BCM) มาประยุกต์ใช้กับการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management)
รูปที่ 2 : President Executive Order ( EO) 13636 “ Improving Critical Infrastructure Cybersecurity”, February 2013.
แนวคิด “Cyber Resilience” จะมุ่งเน้นไปที่การป้องกัน (Prevention), การตรวจจับ (Detection) และการตอบสนอง (Responsiveness) โดยทาง NIST ซึ่งเป็นหน่วยงานที่มีหน้าที่กำหนดมาตรฐานของรัฐบาลสหรัฐได้รับผิดชอบงานสำคัญที่ดำริโดยประธานาธิบดีบารัค โอบามา ในรูปแบบของ President Executive Order (EO) 13636 “Improving Critical Infrastructure Cybersecurity” ในปี 2013 (ดูรูปที่ 2) โดย NIST ได้เริ่มพัฒนากรอบปฏิบัติ NIST Cybersecurity Framework ขึ้นเมื่อปลายปี 2013 (http://www.nist.gov/cyberframework) และเสร็จสมบูรณ์เป็น version 1.0 ในเดือน ก.พ.2014 ซึ่งทาง ACIS Cyber Lab ได้เคยนำเสนอเป็นบทความไปแล้ว ขณะนี้หลายองค์กรในประเทศไทยกำลังเริ่มนำ NIST Cybersecurity Framework มาประยุกต์ใช้เพราะมีความสอดคล้องและสามารถอ้างอิงได้กับมาตรฐานระดับโลกต่างๆ ไม่ว่าจะเป็น ISO/IEC 27001 หรือ COBIT 5(ดูรูป ที่ 3 และ รูปที่ 4)
รูปที่ 3 : NIST Cybersecurity Framework , February 2014.
รูปที่ 4 : 5 Core Functions from NIST Cybersecurity Framework , February 2014.