ติดฉลาก ‘National Cybersecurity’ บนอุปกรณ์ ‘ไอโอที’
ณ ขณะนี้ เราไม่สามารถหลีกเลี่ยงเลยได้ว่า กระแสการป้องกันและรักษาความปลอดภัยทางไซเบอร์ได้รับการหยิบยกขึ้นมาหารือกันเพิ่มมากขึ้นเรื่อยๆ
อย่างในสหรัฐหน่วยงานกำกับดูแลการรักษาความปลอดภัยโครงสร้างพื้นฐานของอุปกรณ์เริ่มมีความพยายามในการกำหนดมาตรการการรักษาความปลอดภัยให้รัดกุมมากยิ่งขึ้น
องค์การอาหารและยา (FDA) ได้บังคับใช้ข้อกำหนดทางไซเบอร์สำหรับผู้ผลิต และเมื่อเร็วๆ นี้ กลุ่มผู้นำในอุตสาหกรรมทางไซเบอร์ได้กล่าวเป็นนัยในการประชุม RSA เมื่อช่วงปลาย เม.ย. ที่ผ่านมาว่า จะมีประกาศจากทำเนียบขาวเกี่ยวกับแผนการพัฒนาโครงการติดฉลากความปลอดภัยทางไซเบอร์แห่งชาติอย่างเป็นทางการในเดือน พ.ค.
แต่ที่น่าสนใจคือ จะมีการรวมกันของ OT และ IoT พร้อมกับการรักษาความปลอดภัยทั้งทางกายภาพและทางไซเบอร์ซึ่งเป็นการรวมตัวกัน ไม่ใช่แค่เฉพาะเรื่องของมาตรฐานแต่เป็นข้อบังคับอีกด้วย
นอกจากนี้ ยังมีความจำเป็นที่เร่งด่วนในการสร้างและยกระดับวัฒนธรรมพื้นฐานในการออกแบบความปลอดภัยและความโปร่งใสของกระบวนการทำงาน เช่น กระบวนการสนับสนุนให้มีการเปิดเผยข้อมูลที่มีคุณภาพ
ฝ่ายบริหารของไบเดน ประธานาธิบดีของสหรัฐได้ประกาศเป็นครั้งแรกถึงแผนการทำงานร่วมกับภาคเอกชน หน่วยงาน รัฐบาลกลางและสถาบันการศึกษาเกี่ยวกับการพัฒนาโครงการติดฉลากความปลอดภัยทางไซเบอร์บนอุปกรณ์ IoT
โดยระบุว่าแผนนี้มีความสำคัญต่อการรักษาความปลอดภัยโครงสร้างพื้นฐานเป็นอย่างมาก เพราะปัจจุบันมีการใช้งานอุปกรณ์เหล่านี้อย่างแพร่หลายและการเติบโตของตลาดเพิ่มสูงขึ้น
โปรแกรมการติดฉลากนี้จึงช่วยทำให้ผู้บริโภคมั่นใจได้ว่าอุปกรณ์เหล่านี้มีความปลอดภัยและเป็นการจูงใจให้ผู้ผลิตปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์
โดยล่าสุดสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้นำร่องการติดฉลากผลิตภัณฑ์ความปลอดภัยทางไซเบอร์ บนอุปกรณ์ IoT โดยทีมงาน NIST ได้เริ่มจากการปรับแต่งเนื้อหาให้มีความเหมาะสมกับความเสี่ยงเฉพาะและทำงานร่วมกับผู้มีส่วนได้ส่วนเสียในอุตสาหกรรม
พร้อมทั้งเปิดรับฟังความคิดเห็นสาธารณะเพื่อทำความเข้าใจเกี่ยวกับพื้นฐานที่เหมาะสมสำหรับอุปกรณ์ที่ผู้บริโภคใช้งานอยู่ในปัจจุบัน และความพยายามดังกล่าวก็ได้รับการตอบรับในเชิงบวกจากภาคอุตสาหกรรม
โดยซัมซุงก็เข้าร่วมสนับสนุนโปรแกรมดังกล่าวเพื่อเป็นการร่วมจูงใจผู้ผลิต ฉลากที่ติดจะแสดงข้อกำหนดและสิ่งต่างๆ ที่เกี่ยวข้องกับโปรแกรมความปลอดภัยซึ่งยึดตามเกณฑ์ของ NIST และถือเป็นการคัดกรองของตลาดหรือการแพดล็อคสำหรับอุปกรณ์เหล่านี้
โปรแกรมติดฉลากที่มีอยู่ในปัจจุบันนี้จะมีหลักเกณฑ์คือ การใช้ใบอนุญาตทางการตลาด โปรแกรม โครงการ และชื่อผู้รับผิดชอบเพื่อการบริการจัดการทางธุรกิจกับผู้ผลิต การลงนามในสัญญา การดูแลใบอนุญาตย่อยๆ จากโครงสร้างการกำกับดูแล จากเจ้าของโปรแกรม และการให้ความช่วยเหลือจากรัฐบาลกลาง
อย่างไรก็ตาม อุปกรณ์ IoT มีการใช้งานเป็นวงกว้าง มีความรวดเร็วและมีความหลากหลายมากเกินไปที่จะใช้แค่เพียงแผนเดียวในการจัดการ โครงสร้างการกำกับดูแลจึงเป็นสิ่งที่สำคัญด้วยเช่นกัน
ในขณะที่รัฐบาลสหรัฐกำลังเร่งทำความเข้าใจกลไกที่น่าไว้วางใจซึ่งต้องสร้างขึ้นในโปรแกรมโดยการวางแผนเรื่องความปลอดภัยเพื่อเตรียมรับมือในตอนนี้และในอนาคต เพราะฉะนั้นการติดฉลากอุปกรณ์ควรได้รับการพิจารณาในบริบทของการอภิปรายให้มากขึ้น ทั้งในส่วนของมาตรการรักษาความปลอดภัยขั้นพื้นฐาน ตลอดจนความสำคัญในการรักษาความปลอดภัยอุปกรณ์ที่เชื่อมต่อทั้งหมด
ดังนั้นวิธีที่เหมาะสมที่สุดคือการระบุความต้องการให้ชัดเจนเลยว่า ต้องการผลลัพธ์ด้านความปลอดภัยทางไซเบอร์ และเจาะจงวิธีที่คาดหวังว่าผลลัพธ์ด้านความปลอดภัยทางไซเบอร์เหล่านั้นจะสำเร็จ
โดยมีเจ้าของโปรแกรมเป็นผู้รับผิดชอบในท้ายที่สุด และบทบาทของ NIST คือการให้คำแนะนำที่เป็นประโชยน์ต่างๆ และนี่คือจุดที่การดำเนินการเชิงรุกจะช่วยให้ผู้ผลิตอุปกรณ์สามารถก้าวทันต่อการเปลี่ยนแปลงด้านกฎระเบียบที่กำลังดำเนินอยู่ได้ครับ