Cybersecurity กับ Cyber Resilience เหมือนหรือต่างกันอย่างไร
เราคงคุ้นชินกับคำว่า Cybersecurity หรือความมั่นคงปลอดภัยไซเบอร์กันอยู่แล้ว แต่ในระยะหลัง ๆ เราจะได้ยินคำว่า Cyber Resilience มากขึ้น (ยังรอผู้เชี่ยวชาญหาคำแปลไทยที่มีความหมายตรงอยู่ บทความนี้จึงขอใช้ทับศัพท์ภาษาอังกฤษไปพลางก่อน)
โดยเฉพาะการที่องค์กรถูกโจมตีด้วย ransomware แล้วทำให้ระบบเทคโนโลยีสารสนเทศหยุดชะงัก อาจส่งผลให้การดำเนินงานและธุรกิจหยุดชะงักตามไปด้วย ทั้งนี้ขึ้นอยู่กับระดับการทำ digital transformation ที่ให้ระบบงาน กระบวนการดำเนินธุรกิจต้องพึงพิงระบบเทคโนโลยีสารสนเทศที่สลับซับซ้อนแบบในยุคปัจจุบันมากน้อยแค่ไหน
สำหรับความหมายหลักของ Resilience จะมี 2 ความหมายคือ ความยืดหยุ่น และความสามารถในการฟื้นคืนสู่ปรกติ ซึ่งความหมายหลังจะตรงกับบริบทของ Cyber Resilience ทีจะกล่าวต่อไป ยิ่งหากจะเติมภาระกิจที่เชื่อมโยงก็จะเป็นคำว่า Cyber Resilience and Recovery
หากเปรียบเทียบระบบเทคโนโลยีสารทนเทศเหมือนกับบ้านหลังหนึ่ง ระบบรักษาความปลอดภัยของบ้าน ก็เพื่อป้องกันทรัพย์สินสำคัญต่าง ๆ ของเรา เช่นการมีรั้วรอบขอบชิด มีเสาแหลม ๆ เสริมโดยรอบ (perimeter protection) ติดกล้องวงจรปิดและสัญญาณกันขโมยรอบบ้าน (monitoring & threat detection)
ประตูหน้าต่างทุกบานต้องป้องกันโดยกลอนและลูกบิดที่แข็งแรง หากไม่มั่นใจพอก็เสริมเหล็กดัดเขาไปอีกชั้น และชั้นสุดท้ายก็มีตู้เซฟขนาดใหญ่เพียงพอเพื่อใส่ทรัพย์สินมีค่าสุด ๆ ของเรา (layer protection)
สุดท้ายขโมยก็อาจเข้าบ้านเราได้อยู่ดีถ้าเราลืมล็อคประตู แม้กระทั่งมิจฉาชีพปลอมตัวเป็นช่างของการไฟฟ้า มาหลอกแม่บ้านแล้วเข้าไปแอบขโมยของออกไป (social engineer attack) หรือกระทั่งตัวแม่บ้านเองแหละเป็นขโมย (insider threat) ฯลฯ
ส่วน Resilience สำหรับบ้านจะเป็นการสร้างความมั่นคง โดยการเลือกวัสดุก่อสร้างที่แข็งแรงเพียงพอในการเจอกับพายุฝนฟ้าคะนอง ลมแรง (โชคดีที่ประเทศไทยไม่ต้องเจอกับแผ่นดินไหว)
หากมีไฟ้ฟ้าดับบ่อย ก็จะลงทุนติดระบบสำรองไฟ หากเจอน้ำท่วมก็เตรียมอุปกรณ์ กระสอบทราย หรือมีเรือไว้รองรับด้วย และจะดียิ่งขึ้นถ้าเล็งบ้านญาติไว้ เผื่อฉุกเฉินที่ทำให้ไม่สามารถอาศัยอยู่ในบ้านเราเองได้ ก็ยังไปขออยู่กับญาติ (business continuity plan, BCP) เป็นต้น
โชคไม่ดีที่โลกไซเบอร์ยากกว่าโลกทางกายภาพมาก เพราะการเชื่อมต่อผ่าน Internet และระบบเทคโนโลยีสารสาเทศสมัยใหม่ที่มีความซับซ้อน มีการใช้ระบบ hybrid / multi cloud ตลอดจนการทำงานแบบผสมจากที่ใด ๆ ก็ได้ ทำให้แนวคิดการป้องกัน perimeter ในโลกไซเบอร์เปลี่ยนไปไกล
เพราะ attack surface ขยายตัวออกไปมากมาย นอกจากนี้โจรหรือ hacker มีตั้งแต่องค์กรอาชญากรรม (criminal) นักรบไซเบอร์ (state sponsored hacker) และกลุ่มอื่น ๆ ที่เก่งและชาญฉลาด แถมฝั่งด้านมืดยังรวมตัวกันแข็งแรง มีการแชร์เครื่องมือเครื่องไม้ในการเจาะระบบและใช้ AI มาชนกับเราอีก
แนวคิดของ Digital Resilience (and Recovery) จึงควรคำนึงถึงประเด็นต่อไปนี้
1.หลักคิดที่ว่าเราสามารถป้องการการโจมตีทางไซเบอร์ได้ 100% ไม่มีอยู่จริง ดังนั้นเราจึงต้องคิดว่า ไม่วันใดก็วันหนึ่ง ไม่เร็วก็ช้า เราจะต้องประสบภัยไซเบอร์อย่างแน่นอน เหมือนกับเราพูดถึงแผ่นดินไหว น้ำท่วมกรุงเทพฯ ล้วนเจอกันมาแล้วทั้งสิ้น ซึ่งตัวแปรที่ต้องคำนึงถึงตามการจัดทำแผน BCP ก็คือ
หากเกิดเหตุการณ์นั้นขึ้นมาแล้ว จะส่งผลกระทบถึงธุรกิจขนาดไหน โดยธรรมชาติผลกระทบจะแปรผันสูงขึ้นแบบ exponential ตามเวลา เช่น หากระบบเทคโนโลยีสารสนเทศหยุดชะงัก 1 ชม. 1 วัน 1 อาทิตย์ โดยแต่ละองค์กรจะมีค่า Maximum Tolerable Period of Disruption (MTPD) ต่าง ๆ กัน หากท่านไม่ทราบอาจจะต้องคิดใหม่
2.การถูกโจมตีทางไซเบอร์เป็นประเด็นทางธุรกิจ ไม่ใช่แค่ปัญหาทางเทคนิคที่ทีมเทคโนโลยีสารสนเทศจะดูแลรับผิดชอบเท่านั้น ดังนั้นการจัดทำแผน Cyber Resilience ต้องเชื่อมโยงคนทั้งองค์กรเหมือนแนวคิดการทำ BCP เช่นกัน
กระบวนการต้องให้ทีมรักษาความมั่นคงปลอดภัยไซเบอร์ทำงานร่วมกับหน่วยธุรกิจ และจัดทำแนวทางการป้องกันทรัพย์สินดิจิทัล (digital assets) ที่ครบถ้วน มีการจัดทำตามวงจรธรรมมาภิบาลข้อมูล (data governance, DG)
3.การจัดลำดับความสำคัญในการป้องกัน เมื่อการทำ DG ชัดเจน ตั้งแต่การค้นหา การจัดชั้นความสำคัญ ความลับ ก็ต้องมาดำเนินการสร้างแนวทางการป้องกันที่เหมาะสม (หลาย ๆ องค์กรที่ทำ DG ไม่สำเร็จอาจจะต้องย้อนกลับไปทำ enterprise architecture เพื่อเชื่อมโยง business architect กับ data architect และส่วนอื่น ๆ ให้มีมาตราฐานชัดเจนไม่เป็นแบบ silo)
บางท่านอาจสงสัยว่าทำไมไม่หาทางป้องกันให้เต็มที่ในทุกๆ ส่วน ก็ต้องอย่าลืมว่าการป้องกันจะมีส่วนลดทอนประสิทธิภาพการดำเนินงานไม่มากก็น้อย
ตัวอย่างที่เราเจอบ่อย เช่นการทำ 2-factor authentication แต่รอ sms นานมากไม่มาสักที ดังนั้นเราคงต้องหาจุดสมดุลที่เหมาะสมเป็นกรณี ๆ ไป และที่สำคัญ เราอาจจะต้องมองให้คลอบคลุมไปถึงข้อมูลในรูปแบบกายภาพด้วย เพราะ PDPA (GDPR) รอเราอยู่
เข้าใจว่าหลาย ๆ องค์กรมีแผนดำเนินธุรกิจอย่างต่อเนื่องอยู่แล้ว และแผน BCP ปรกติก็คลอบคลุม 3 ประเด็นคือ 1) deny access to the main building/HQ 2) Pandemics และ 3) IT Failure
สำหรับกรณีที่ 3 นอกจากการที่ระบบเทคโนโลยีสารสนเทศหยุดชะงักจากความเสียหายของ hardware และ software (โดยเฉพาะการทำ upgrade และ patch ทำให้ใจระทึกในทุกครั้ง)
บทความนี้จึงเป็นการเสริมแนวคิดการที่ระบบเทคโนโลยีสารสนเทศหยุดชะงักจากภัยคุกคามทางไซเบอร์เป็นอีกกรณีหนึ่ง ภัยหลัก ๆ คือ Ransomware ซึ่งมักจะเป็นการโจมตีแบบเฉพาะเจาะจง (APT) แบบ human-operated ransomware ซึ่ง hacker จะใช้กระบวนการ 2-3 extortions
เริ่มจากการดูดข้อมูลออกไปบางส่วนก่อน แล้วจึง encrypt main database ของระบบ ERP นอกจากนี้ hacker ยังตามไป encrypt backup ที่เป็นแบบ disk to disk ด้วย จะรอดก็คือแบบ disk to tape (ซึ่งค่า Recovery Point Objective, RPO อาจจะยาวเกินไป)
หลังจากนั้นหากเรายังไม่ยอมจ่ายค่าไถ่ แม้ว่า hacker ขู่ว่าจะเปิดเผย หรือขายข้อมูลใน dark web แล้ว มาตราการขั้นสุดท้ายคือกลับมาโจมตีด้วย DDOS attack ทำให้ระบบ web ของเราล่มไปอีกชั้นหนึ่ง
ผู้เขียนหวังว่าบทความนี้จะช่วยเสริมแนวคิดของท่าน สำหรับการบ้านขั้นต่อไปคือ การจัดทำแผนและสรรหาเทคโนโลยีที่เหมาสมมาดำเนินการเรื่อง Cyber Resilience and Discovery ต่อไป.