ISO/IEC 27032:2012 มาตรฐานความปลอดภัยดิจิทัลสำหรับโรงงาน 4.0

October 16, 2019March 18, 2020 by Thos

Post Views: 2,034

ภัยจากการบุกรุกทางดิจิทัลกลายเป็นอีกหนึ่งมาตรฐานสำคัญสำหรับอุตสาหกรรมยุค 4.0 ที่ต้องได้รับการดำเนินการป้องกันอย่างมีประสิทธิภาพ มิเช่นนั้นแล้วปัญหาที่เกิดขึ้นสามารถลุกลามไปได้ทั่วทุกระบบที่เกี่ยวข้อง วันนี้ผมจึงอยากจะพาไปรู้จักกับมาตรฐาน ISO/IEC 27032:2012 ซึ่งเป็นมาตรฐานความปลอดภัยดิจิทัลกันครับ

ISO/IEC 27032:2012 คำตอบของมาตรฐานความปลอดภัยดิจิทัลสำหรับโรงงาน 4.0

ด้วยการที่มีเทคโนโลยีใหม่เกิดขึ้นอย่างต่อเนื่องและทวีความสำคัญเพิ่มขึ้นตามระยะเวลา ทำให้ความเสี่ยงนั้นมีความหลากหลายยิ่งขึ้นในโลกที่เกี่ยวข้องกับดิจิทัล ซึ่งผู้คนที่ทำงานในโรงงานอุตสาหกรรมโดยเฉพาะอย่างยิ่งในประเทศไทยอาจจะไม่ได้เชี่ยวชาญเทคโนโลยีมากนัก หรืออาจจะพอมีความเข้าใจในการใช้งานพื้นฐาน แต่สำหรับการทำงานในเชิงลึกหลายครั้งการมีขั้นตอนแนวทางที่ชัดเจนสามารถทำให้การแก้ปัญหาในประเด็นที่ไม่คุ้นชินกลายเป็นเรื่องง่ายและลดความสูญเสียได้ โดยการดำเนินงานตามมาตรฐาน ISO จะเป็นส่วนหนึ่งที่ช่วยปกป้องโรงงานยุคใหม่จากภัยไซเบอร์ซึ่งมีหลากหลายมาตรฐาน แต่สำหรับ ISO/IEC 27032:2012 นั้นให้ความสำคัญกับการรักษาความลับขององค์กร ความมั่นคงและการใช้งานสำหรับ Cyberspace หรือความมั่นคงปลอดภัยของทรัพย์สินสำหรับโลก Cyber อาทิ ฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล บริการ

Cyberspace หรือโลกไซเบอร์นั้นเป็นสภาพแวดล้อมที่มีความซับซ้อนซึ่งเป็นผลจากการปฏิสัมพันธ์กันระหว่างผู้คน ซอฟต์แวร์ รวมไปถึงบริการต่าง ๆ บนอินเตอร์เน็ทที่เกิดจากการส่งข้อมูลจากทั่วโลกไม่ว่าจะเป็นข้อมูลกายภาพหรือดิจิทัล ในขณะเดียวกันการส่งผ่านข้อมูลจำนวนมากเหล่านี้กลายเป็นพื้นที่ทำเงินมูลค่ามหาศาลให้กิบมิจฉาชีพผ่านช่องว่างที่เกิดขึ้น เป็นเพราะว่า Cyberspace นั้นมีเจ้าของที่หลากหลายมากมาย แต่ละคนมีธุรกิจของตัวเอง มีจุดที่ต้องใส่ใจแตกต่างกัน ด้วยความหลากหลายและความแตกต่างที่มีทำให้ความปลอดภัยกลายเป็นเรื่องที่เปราะบาง ซึ่งแน่นอนว่าขึ้นอยู่กับว่าขอบเขต Cyberspace ของใครเป็นอย่างไร

ISO/IEC 27032:2012 มีรายละเอียดครอบคลุมกิจกรรมและเงื่อนไขอื่น ๆ ที่เกี่ยวข้องกับกับความปลอดภัยของโดเมน(ขอบข่ายพื้นที่จำเพาะที่รับผิดชอบไม่ใช่โดเมนเนมเวปไซต์อะไรแบบนั้นนะครับ) โดยแบ่งหัวข้อที่จำเป็นต้องได้รับการดำเนินการออกเป็น 4 หัวข้อ ได้แก่

ความปลอดภัยของข้อมูล
ความปลอดภัยของเครือข่าย
ความปลอดภัยของอินเตอร์เน็ท
การปกป้องข้อมูลโครงสร้างสำคัญ Critical Information Infrastructure Protection (CIIP)

หัวข้อเหล่านี้จะครอบคลุมประเด็นพื้นฐานด้านความปลอดภัยสำหรับผู้ที่เกี่ยวข้องกับ Cyberspace โดยมีรายละเอียดที่ต้องสร้างทำความเข้าใจให้แน่ชัด ดังนี้

ภาพรวมของความปลอดภัยทางไซเบอร์ (Cybersecurity)
การอธิบายความสัมพันธ์ระหว่าง Cybersecurity และความปลอดภัยรูปแบบอื่น ๆ
คำจำกัดความของผู้มีส่วนได้เสียและคำอธิบายสำหรับบทบาทหน้าที่ใน Cybersecurity
แนวทางในการดำเนินการในประเด็น Cybersecurity ที่เกิดขึ้นได้ทั่วไป
Framework ที่ทำให้ผู้มีส่วนได้เสียสามารถทำงานร่วมกันเพื่อแก้ปัญหาจาก Cybersecurity ได้

มาตรฐานและกรอบการดำเนินงานด้านความปลอดภัยสำหรับ ISO/IEC 27032:2012 ถูกแบ่งออกเป็น 2 ส่วน โดยในส่วนแรกจะเป็นคำแนะนำขั้นตอนการดำเนินการสำหรับปัญหาที่สามารถพบเห็นได้บ่อยครั้ง อาทิ

การ Hacking หรือการเจาะข้อมูล
ซอฟต์แวร์อันตรายกลุ่ม Malware
Spyware หรือซอฟต์แวร์สอดส่องข้อมูล
ซอฟต์แวร์ที่ไม่เป็นที่ต้องการอื่น ๆ
Social Engineering Attack หรือ การโจมตีทางวิศวกรรมสังคม

โดยขั้นตอนเหล่านี้จะครอบคลุมไปถึงคำแนะนำทางเทคนิคเพื่อควบคุมและบริหารจัดการความเสี่ยงที่จะเกิดขึ้น ได้แก่ การเตรียมพร้อมสำหรับการถูกโจมตี เช่น การโจมตีจาก Malware หรือองค์กรอาชญากรรมจากอินเตอร์เน็ท การตรวจจับและติดตามการโจมตีที่เกิดขึ้น และการตอบสนองต่อการโจมตี

สำหรับในส่วนที่ 2 จะเป็นการให้ความสำคัญกับความร่วมมือในการตอบสนองต่อภัยคุกคาม เช่น

การแบ่งปันข้อมูลที่มีศักยภาพ
การทำงานร่วมกัน
การช่วยกันรับมือกับปัญหาจาก Cyberspace ของเหล่าผู้ที่เกี่ยวข้อง

ซึ่งการดำเนินการทั้งหมดต้องคำนึงถึงความปลอดภัยและขั้นตอนที่เชื่อถือได้ในการปกป้องสิทธิความเป็นความเป็นส่วนตัวของข้อมูลในแต่ละภาคส่วนซึ่งมีเงื่อนไขที่แตกต่างกันออกไป

ผู้ที่เกี่ยวข้องในกระบวนการแบ่งออกเป็น 2 กลุ่ม ได้แก่ ผู้บริโภค และผู้ให้บริการ โดย ISO ได้แบ่งขอบเขตมาตรฐานการดำเนินการสำหรับการร่วมมือกันระหว่างผู้เกี่ยวข้องออกเป็น 3 ส่วน ได้แก่ การแบ่งปันข้อมูล การให้ความร่วมมือ และการลำดับและการจัดการกับปัญหา ภายใต้ความร่วมมือที่เกิดขึ้นนั้นมีเงื่อนไขสำคัญที่ต้องดำเนินการตาม ดังนี้

ข้อมูลองค์ประกอบสำคัญสำหรับการตัดสินใจต้องมีความน่าเชื่อถือ ไว้ใจได้
มีรูปแบบกระบวนการสำหรับความร่วมมือ แลกเปลี่ยนและแบ่งปันข้อมูลที่ชัดเจน
พร้อมสำหรับความต้องการทางเทคนิคสำหรับ SI และ Interoperability (ความสามารถในการทำงานร่วมกัน) ระหว่างผู้เกี่ยวข้องที่มีความแตกต่างกัน

จะเห็นได้ว่ามาตรฐาน ISO/IEC 27032:2012 นั้นเป็นขั้นตอนที่สามารถตอบสนองต่อปัญหาที่สามารถเจอได้บ่อยครั้งสำหรับการทำงานในโลกดิจิทัล ซึ่งในขณะที่การทำงานของโรงงานอุตสาหกรรมนั้นมีมาตรฐานสำหรับกิจกรรม OT อยู่มากมาย แต่หากมีการปรับใช้ให้ระบบดิจิทัลเข้าไปเกี่ยวข้องแล้ว ปัญหาที่เกิดจากภัยคุกคามของ Cyberspace จะเป็นเหมือนเงาตามตัวแทรกซึมเข้าไปในทุกส่วนที่เทคโนโลยีดิจิทัลหรือเครือข่ายเข้าถึงด้วยเช่นกัน ดังนั้นหากโรงงานใดมีการใช้งานเทคโนโลยีดิจิทัลหรือระบบ 4.0 อย่างน้อยก็ควรมีการดำเนินการด้านมาตรฐานความปลอดภัยดิจิทัลเป็นพื้นฐาน อย่างแรกที่สุด คือ การไม่ใช่ซอฟต์แวร์เถื่อนในระบบครับ เพราะซอฟต์แวร์เถื่อนนั้นจะเป็นซอฟต์แวร์ที่ถูกแก้ไขมาโดยบุคคลที่ 3 ซึ่งไม่สามารถมั่นใจหรือมีการรับประกันใด ๆ ได้เลยว่าจะไม่มีไวรัสหรือพวกภัยคุกคามแฝงมา (ซึ่งส่วนมากจะมีเพื่อให้สามารถทำการแก้ไขไฟล์ได้ แต่ก็ขึ้นอยู่กับตัวผู้ดัดแปลงแล้วว่าจะให้ส่งข้อมูลหรือดำเนินการอะไร เมื่อไหร่ อย่างไร)

ที่มา:

Iso.org
Techtalkthai.com/standards-and-frameworks-in-thailand-4-0-era-by-acinfotec/
Ida.org/-/media/corporate/files/publications/researchnotes/rn2011/2011-cyberspace—the-fifth-operational-domain.ashx?la=en&hash=4DCB5CA98848C3DDFE3B82067FD94768

Thos

"Judge a man by his questions rather than his answers"
Voltaire