ติดฉลาก ‘National Cybersecurity’ บนอุปกรณ์ ‘ไอโอที’

ติดฉลาก ‘National Cybersecurity’ บนอุปกรณ์ ‘ไอโอที’

ณ ขณะนี้ เราไม่สามารถหลีกเลี่ยงเลยได้ว่า กระแสการป้องกันและรักษาความปลอดภัยทางไซเบอร์ได้รับการหยิบยกขึ้นมาหารือกันเพิ่มมากขึ้นเรื่อยๆ

อย่างในสหรัฐหน่วยงานกำกับดูแลการรักษาความปลอดภัยโครงสร้างพื้นฐานของอุปกรณ์เริ่มมีความพยายามในการกำหนดมาตรการการรักษาความปลอดภัยให้รัดกุมมากยิ่งขึ้น 

องค์การอาหารและยา (FDA) ได้บังคับใช้ข้อกำหนดทางไซเบอร์สำหรับผู้ผลิต และเมื่อเร็วๆ นี้ กลุ่มผู้นำในอุตสาหกรรมทางไซเบอร์ได้กล่าวเป็นนัยในการประชุม RSA เมื่อช่วงปลาย เม.ย. ที่ผ่านมาว่า จะมีประกาศจากทำเนียบขาวเกี่ยวกับแผนการพัฒนาโครงการติดฉลากความปลอดภัยทางไซเบอร์แห่งชาติอย่างเป็นทางการในเดือน พ.ค.

แต่ที่น่าสนใจคือ จะมีการรวมกันของ OT และ IoT พร้อมกับการรักษาความปลอดภัยทั้งทางกายภาพและทางไซเบอร์ซึ่งเป็นการรวมตัวกัน ไม่ใช่แค่เฉพาะเรื่องของมาตรฐานแต่เป็นข้อบังคับอีกด้วย 

นอกจากนี้ ยังมีความจำเป็นที่เร่งด่วนในการสร้างและยกระดับวัฒนธรรมพื้นฐานในการออกแบบความปลอดภัยและความโปร่งใสของกระบวนการทำงาน เช่น กระบวนการสนับสนุนให้มีการเปิดเผยข้อมูลที่มีคุณภาพ

ฝ่ายบริหารของไบเดน ประธานาธิบดีของสหรัฐได้ประกาศเป็นครั้งแรกถึงแผนการทำงานร่วมกับภาคเอกชน หน่วยงาน รัฐบาลกลางและสถาบันการศึกษาเกี่ยวกับการพัฒนาโครงการติดฉลากความปลอดภัยทางไซเบอร์บนอุปกรณ์ IoT 

โดยระบุว่าแผนนี้มีความสำคัญต่อการรักษาความปลอดภัยโครงสร้างพื้นฐานเป็นอย่างมาก เพราะปัจจุบันมีการใช้งานอุปกรณ์เหล่านี้อย่างแพร่หลายและการเติบโตของตลาดเพิ่มสูงขึ้น 

โปรแกรมการติดฉลากนี้จึงช่วยทำให้ผู้บริโภคมั่นใจได้ว่าอุปกรณ์เหล่านี้มีความปลอดภัยและเป็นการจูงใจให้ผู้ผลิตปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์

โดยล่าสุดสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้นำร่องการติดฉลากผลิตภัณฑ์ความปลอดภัยทางไซเบอร์ บนอุปกรณ์ IoT โดยทีมงาน NIST ได้เริ่มจากการปรับแต่งเนื้อหาให้มีความเหมาะสมกับความเสี่ยงเฉพาะและทำงานร่วมกับผู้มีส่วนได้ส่วนเสียในอุตสาหกรรม

พร้อมทั้งเปิดรับฟังความคิดเห็นสาธารณะเพื่อทำความเข้าใจเกี่ยวกับพื้นฐานที่เหมาะสมสำหรับอุปกรณ์ที่ผู้บริโภคใช้งานอยู่ในปัจจุบัน และความพยายามดังกล่าวก็ได้รับการตอบรับในเชิงบวกจากภาคอุตสาหกรรม 

โดยซัมซุงก็เข้าร่วมสนับสนุนโปรแกรมดังกล่าวเพื่อเป็นการร่วมจูงใจผู้ผลิต ฉลากที่ติดจะแสดงข้อกำหนดและสิ่งต่างๆ ที่เกี่ยวข้องกับโปรแกรมความปลอดภัยซึ่งยึดตามเกณฑ์ของ NIST และถือเป็นการคัดกรองของตลาดหรือการแพดล็อคสำหรับอุปกรณ์เหล่านี้

โปรแกรมติดฉลากที่มีอยู่ในปัจจุบันนี้จะมีหลักเกณฑ์คือ การใช้ใบอนุญาตทางการตลาด โปรแกรม โครงการ และชื่อผู้รับผิดชอบเพื่อการบริการจัดการทางธุรกิจกับผู้ผลิต การลงนามในสัญญา การดูแลใบอนุญาตย่อยๆ จากโครงสร้างการกำกับดูแล จากเจ้าของโปรแกรม และการให้ความช่วยเหลือจากรัฐบาลกลาง 

อย่างไรก็ตาม อุปกรณ์ IoT มีการใช้งานเป็นวงกว้าง มีความรวดเร็วและมีความหลากหลายมากเกินไปที่จะใช้แค่เพียงแผนเดียวในการจัดการ โครงสร้างการกำกับดูแลจึงเป็นสิ่งที่สำคัญด้วยเช่นกัน

ในขณะที่รัฐบาลสหรัฐกำลังเร่งทำความเข้าใจกลไกที่น่าไว้วางใจซึ่งต้องสร้างขึ้นในโปรแกรมโดยการวางแผนเรื่องความปลอดภัยเพื่อเตรียมรับมือในตอนนี้และในอนาคต เพราะฉะนั้นการติดฉลากอุปกรณ์ควรได้รับการพิจารณาในบริบทของการอภิปรายให้มากขึ้น ทั้งในส่วนของมาตรการรักษาความปลอดภัยขั้นพื้นฐาน ตลอดจนความสำคัญในการรักษาความปลอดภัยอุปกรณ์ที่เชื่อมต่อทั้งหมด

ดังนั้นวิธีที่เหมาะสมที่สุดคือการระบุความต้องการให้ชัดเจนเลยว่า ต้องการผลลัพธ์ด้านความปลอดภัยทางไซเบอร์ และเจาะจงวิธีที่คาดหวังว่าผลลัพธ์ด้านความปลอดภัยทางไซเบอร์เหล่านั้นจะสำเร็จ 

โดยมีเจ้าของโปรแกรมเป็นผู้รับผิดชอบในท้ายที่สุด และบทบาทของ NIST คือการให้คำแนะนำที่เป็นประโชยน์ต่างๆ และนี่คือจุดที่การดำเนินการเชิงรุกจะช่วยให้ผู้ผลิตอุปกรณ์สามารถก้าวทันต่อการเปลี่ยนแปลงด้านกฎระเบียบที่กำลังดำเนินอยู่ได้ครับ