เปลี่ยนแนวคิดการจัดการด้านความปลอดภัยใหม่แบบ Cyber Resilience

แนวคิดในการป้องกันในปัจจุบันได้เปลี่ยนแปลงจากการ “ป้องกันเพื่อไม่ให้เกิด” มาเป็น “หากเกิดแล้วจะกู้คืนได้เร็วที่สุดได้อย่างไร” ซึ่งแนวคิดนี้ชื่อว่า Cyber Resilience นั่นเอง

หลายครั้งผมเองได้ยินคำพูดบ่อยๆ เช่น “มีโปรแกรม Anti-Malware ยี่ห้อ ABC ไม่ดีป้องกัน Ransomware ไม่ได้สู้ยี่ห้อ XYZ ไม่ได้” หรือ “ไฟร์วอลล์ยี่ห้อ ABC เก่งกว่ายี่ห้อ XYZ เพราะสามารถปิดเว็บ phishing ได้เยอะกว่า” เป็นต้น แนวคิดเหล่านี่ถือว่าไม่ผิด แต่เป็นแนวคิดเชิงป้องกัน (Cyber Security) เป็นหลัก แต่ถ้าเราเปลี่ยนแนวคิดของเราเป็น “ไม่มีระบบใดที่ปลอดภัย 100% แต่ถ้าหากเกิดเหตุการณ์แล้วจะกู้คืนได้เร็วที่สุดได้อย่างไร ได้เร็วแค่ไหน” จะเห็นได้ว่าแค่การเปลี่ยนแนวคิดส่งผลให้การจัดการเปลี่ยนไปเลยทีเดียว 

Cyber Resilience ไม่ได้ทดแทน Cyber Security

แนวคิดเรื่อง Cyber Resilience อาจจะถือว่าเป็นขั้นถัดมาจาก Cyber Security ก็ว่าได้ เพราะในความเป็นจริงแล้วต่อให้เราป้องกันได้ดีแค่ไหน มีลำดับการป้องกันหลายชั้น (defense in depth) ก็ยังมีโอกาสหลุดอยู่ดี คำถามคือหากหลุดการป้องกันแล้วเรามีการรับมือได้อย่างไร มีแผนการกู้คืนได้อย่างไร ซึ่งเป็นสาระสำคัญที่มากกว่าการป้องกันเพียงอย่างเดียว

ยกตัวอย่างกรณีศึกษาที่พบบ่อยเช่น การป้องกัน Ransomware ในองค์กรของเรา การติดตั้งโปรแกรมป้องกันแบบ Endpoint Protection Platform (EPP) ที่มีการป้องกันตามฐานข้อมูล (Signature based) และการป้องกันด้วยโปรแกรมแบบ Endpoint Detection and Response (EDR) ที่ป้องกันตามพฤติกรรมการทำงานของไฟล์ต้องสงสัย (Behavior based) ถือว่าเป็นแนวทางที่แนะนำในการป้องกันที่แนะนำ การติดตั้งไฟร์วอลล์ที่มีการป้องกันเป็นอย่างดี การติดตั้งระบบ Email Security Gateway ชั้นสูงก็ล้วนแล้วแต่เป็นการป้องกันด้าน Cyber Security ทั้งสิ้น แต่ถ้าเกิดระบบทั้งหมดที่เราติดตั้งเอาไว้เกิดป้องกันไม่อยู่ การสำรองข้อมูลและการกู้คืนให้เร็วที่สุด รวมไปถึงศูนย์ข้อมูลสำรอง (Disaster Recovery หรือ DR) ถือว่าเป็นส่วนของ Cyber Resilience นั่นเอง เพราะก็ไม่สามารถรับประกันได้ว่าระบบที่มีจะป้องกันได้นั่นเอง

สำหรับแนวคิดเรื่อง Cyber Resilience นั้น มักจะมีการใช้ในหน่วยงานขนาดใหญ่ กลุ่มธุรกิจสถาบันการเงิน รวมไปถึงหน่วยงานเกี่ยวกับความมั่นคงของประเทศ เนื่องจากเป็นหน่วยงานที่เป็นเป้าหมายการโจมตีของแฮกเกอร์ไม่ว่าจะเป็นแรงจูงใจทางการเงิน ชื่อเสียงที่ได้ ความมั่นคงปลอดภัยระดับประเทศ แต่ในความเห็นส่วนตัวแล้วคิดว่าแนวคิดเรื่อง Cyber Resilience ควรนำมาใช้ในทุกหน่วยงาน ทุกองค์กร เพียงแต่พิจารณาตามความเหมาะสมกับองค์กร รวมไปถึงผลกระทบทางธุรกิจ (Business Impact) ที่จะเกิดขึ้นครับ ไม่จำเป็นต้องทำทั้งหมด ลงทุนมากมายเพื่อป้องกันเพียงอย่างเดียว

การนำ Cyber Resilience มาใช้ในองค์กร

เนื่องจาก Cyber Resilience เป็นแนวคิดค่อนข้างใหม่ในวงการไอที แต่ไม่ถือว่าเป็นเรื่องใหม่ในการบริหารแต่อย่างใด ขอยกตัวอย่างเช่น การซ้อมหนีไฟในองค์กรถือว่าเป็นตัวอย่างของการทำ Resilience ได้เป็นอย่างดี เพราะเราไม่สามารถมั่นใจได้ว่าระบบป้องกันอัคคีภัยสามารถป้องกันได้ 100% (ในที่นี้เปรียบเสมือนระบบ Security) แต่การซ้อมหนีไฟเป็นการทดสอบกระบวนการทำงานจริง ทั้งพนักงาน กระบวนการ รวมไปถึงเครื่องมือเตือนภัยต่างๆ ในองค์กรว่าสามารถทำได้จริงหรือไม่ (ในที่นี้เปรียบเสมือน Resilience) ซึ่งการพิจารณาทั้ง 3 องค์ประกอบดังกล่าวคือการพิจารณาการจัดการในเรื่อง People-Process-Technology (PPT) นั่นเอง

จะเห็นได้แนวคิดเรื่อง Cyber Resilience นั้นจะเป็นแนวคิดที่ไม่ได้ยึดติดกับเทคโนโลยีเพียงอย่างเดียว แต่เป็นแนวคิดในการบริหารจัดการระบบไอทีภายในองค์กร ซึ่งช่วยเปิดรับแนวคิดใหม่ๆ เข้ามาประยุกต์ใช้ ไม่ว่าจะเป็นการนำระบบ Cloud Computing มาช่วยเหลือ เช่นในการทำ Backup on Cloud หากเราพิจารณาว่าความเสี่ยงที่ระบบภายในจะเสียหายทั้งหมดจากไฟไหม้ การกู้คืนระบบเพื่อให้ใช้งานได้โดยการใช้ DR on Cloud ก็สามารถนำมาใช้งานได้เช่นเดียวกัน ดังนั้นแนะนำว่าการประยุกต์ใช้เทคโนโลยีที่หลากหลายจะช่วยให้องค์กรดำเนินธุรกิจโดยมีผลกระทบน้อยที่สุด ซึ่งระบบธุรกิจในปัจจุบันต่างก็ต้องพึ่งพาระบบไอทีเป็นแกนหลักอยู่แล้ว

อ้างอิง: