Security Pitch
การผนวกรวม “ไซเบอร์-กายภาพ” เพื่อความปลอดภัยที่มากกว่า
หากกล่าวถึงความมั่นคงปลอดภัย นอกจากความปลอดภัยทางด้านกายภาพ เช่น ความปลอดภัยของสถานที่ ที่อยู่อาศัย หรือ ความปลอดภัยไซเบอร์ เช่น การใช้โซเชียลมีเดีย หรือการทำธุรกรรมทางการเงินออนไลน์แล้ว ยังมี “ความมั่นคงปลอดภัย” รูปแบบหนึ่งซึ่งมีความสำคัญแต่ไม่ค่อยได้รับความสนใจนั่นก็คือ “ความปลอดภัยแบบไฮบริด หรือ ความปลอดภัยไซเบอร์-กายภาพ (Cyber-Physical Security)¹
.

ความปลอดภัยแบบไซเบอร์-กายภาพ หรือ ความปลอดภัยแบบไฮบริด คืออะไร?
ด้วยเทคโนโลยีที่พัฒนาอย่างก้าวกระโดด ทำให้ทั้งระบบปฏิบัติการของโครงสร้างพื้นฐานสมัยใหม่ (Modern Infrastructure) และอุตสาหกรรมต่าง ๆ ต้องอาศัย การผนวกรวมองค์ประกอบ 2 ส่วน คือ การรักษาความปลอดภัยทางไซเบอร์และการรักษาความปลอดภัยทางกายภาพ เห็นได้จากระบบรักษาความปลอดภัย ณ ปัจจุบัน ไม่ว่าจะเป็น กล้องวงจรปิดอัจฉริยะ, ระบบประตู เปิด-ปิด อัตโนมัติ หรือ ระบบเซ็นเซอร์ อุปกรณ์เหล่านี้แม้จะสามารถจับต้องได้เหมือนอุปกรณ์ทางกายภาพ แต่ก็ยังถูกควบคุมโดยระบบเครือข่าย
.
และเมื่อระบบรักษาความปลอดภัยในองค์กรถูกควบรวม นั่นเองถือเป็นความเสี่ยงต่อการถูกโจมตีได้ง่ายขึ้น การโจมตีส่วนใหญ่นั้นจะเกิดขึ้น 2 รูปแบบ คือ 1.ใช้ระบบไซเบอร์เพื่อเปิดช่องโหว่ และเข้าโจมตีทางกายภาพ (Cyber-enabled Physical Attack) เช่น กรณีการแฮกระบบควบคุมประตูทางเข้า-ออก เพื่อเข้าไปลักทรัพย์, ทำลายข้อมูล และ 2.ใช้ระบบกายภาพเพื่อเปิดช่องโหว่และเข้าโจมตีไซเบอร์ (Physical-enabled Cyber Attack)² เช่น กรณีการปลอมตัวเป็นพนักงานบริษัท ทำการเชื่อมต่อระบบและปล่อยมัลแวร์ นอกจากความท้าทายดังกล่าวแล้ว อาชญากรยังคงสามารถโจมตีในรูปแบบทางเดียวได้อยู่ เช่น ส่งกองกำลังติดอาวุธเข้าโจมตีโดยตรง (โจมตีกายภาพ) หรือ ส่งอีเมล์ฟิชชิ่งเข้าไปในอีเมล์ของบริษัท (โจมตีไซเบอร์)
.
ที่ผ่านมา เคยเกิดกรณีการโจมตีในลักษณะดังกล่าวหลายครั้ง เช่นเหตุการณ์การโจมตีในปี 2007 ซึ่งโรงไฟฟ้านิวเคลียร์ Natanz ของอิหร่านถูกมัลแวร์ “Stuxnet” เข้าทำลายเครื่องเหวี่ยง (Centrifuges) ซึ่งเป็นเครื่องจักรที่ใช้ในการเสริมประสิทธิภาพแร่ยูเรเนียมหลายร้อยเครื่อง ทำให้โรงไฟฟ้าได้รับเสียหาย การโจมตีโดยตัวมัลแวร์ Stuxnet นี้นับเป็น “การโจมตีทางไซเบอร์ที่สร้างความเสียหายทางกายภาพครั้งแรกของโลก”³ หรือ มัลแวร์ Industroyer ที่เข้าโจมตีระบบไฟฟ้าของประเทศยูเครน ทำให้เมืองเคียฟไฟดับทั้งเมืองเป็นเวลาร่วมชั่วโมง
.
คำแนะนำสำหรับภาคธุรกิจ
Gartner ได้คาดการณ์ไว้ว่า ภายในปี 2023 ความเสียหายจากการโจมตีทางกายภาพ-ไซเบอร์ จะคิดเป็นมูลค่าความเสียหายประมาณ 5 หมื่นล้านเหรียญสหรัฐฯ หรือ คิดเป็นเงินไทยประมาณ 153.7 ล้านล้านบาท โดยนอกจากความเสียหายที่เป็นตัวเงิน องค์กรเองก็จะเสียความน่าเชื่อถือ, ฐานลูกค้า และระบบการทำงานทั้งระบบ⁴
.
สำหรับตัวอย่างวิธีการป้องกันทางกายภาพ-ไซเบอร์ ในภาคธุรกิจ เช่น การที่ศูนย์ข้อมูล หรือ Data Center ที่ได้มาตรฐานแห่งหนึ่ง นอกจากการป้องกันทางไซเบอร์ที่แน่นหนาแล้ว ยังมีการเฝ้าระวังพื้นที่ 7 ชั้นตลอด 24 ชั่วโมง มีการติดตั้งกล้องวงจรปิดกว่า 100 ตัว มีการควบคุมทางเข้า-ออก ด้วยระบบ Biotechonlogy รวมถึงมีสถาบันฝึกอบรมทักษะการรักษาความปลอดภัยให้แก่เจ้าหน้าที่⁵
.
ด้วยเหตุผลและตัวอย่างข้างต้น บ่งบอกว่า ความปลอดภัยทางด้านไซเบอร์ และกายภาพแยกออกจากกันไม่ได้ แต่ ณ ปัจจุบัน องค์กรจำนวนมากยังคงแยกการทำงานเป็นส่วน ๆ ขาดมุมมองภาพรวม การวางแผน การดำเนินการ และการตัดสินใจในเรื่องที่ความมั่นคงปลอดภัย บ่อยครั้งจึงมักเกิดผลกระทบต่อความเสี่ยงที่จะถูกโจมตี หรือในกรณีที่ถูกโจมตีแล้ว จะฟื้นคืนสภาพกลับมาดังเดิมได้ยาก

ประโยชน์ของการควบรวมฝ่ายรักษาความปลอดภัยทางกายภาพและไซเบอร์ในองค์กร
ในทางปฏิบัติ แม้องค์กรแต่ละแห่งมีเอกลักษณ์เฉพาะ (Uniqueness) ด้านโครงสร้างองค์กร, สมรรถนะการทำงาน และวัฒนธรรมองค์กรต่างกัน หากโดยหลักการ เพื่อความปลอดภัยขั้นสูงสุด องค์กรทุกระดับ ไม่ว่าจะเป็น SMEs ไปจนถึงองค์กรขนาดใหญ่ สามารถผนวกรวมแผนกความมั่นคงปลอดภัยทั้งสองฝ่ายเข้าด้วยกันได้ เพื่อประโยชน์ ดังนี้
1. องค์กรมีความปลอดภัย (Secure Enterprise) – เพราะผู้มีอำนาจตัดสินใจ สามารถเห็นมุมมองปัญหาในภาพรวม วางแผนป้องกันล่วงหน้า และรับมือได้อย่างมีประสิทธิภาพ
2. มีประสิทธิภาพการรักษาความปลอดภัยสูงขึ้น (Efficiency) - ลดภาระงานซ้ำซ้อน ใช้ทรัพยากรและเวลาน้อยลง แต่ผลผลิตของงานเพิ่มขึ้น
3. เกิดการเชื่อมโยงยุทธศาสตร์การรักษาความปลอดภัยขององค์กร (Strategic Alignment) - การบริหารความเสี่ยง (Risk Management) ขององค์กร ทั้งด้านไซเบอร์และกายภาพเป็นไปในทิศทางเดียวกัน
4. เกิดวัฒนธรรมการแชร์ข้อมูล (Shared Information) – แบ่งปันข้อมูล เรียนรู้และฝึกฝนข้ามสายงาน นำไปสู่การทำงานเป็นทีม
5. มีเป้าหมายหนึ่งเดียว (Common Goals) – เกิดระบบข้อมูล (Shared Information) และแบบแผนการปฏิบัติเดียวกัน (Shared Practices) ภายใต้เป้าหมายหนึ่งเดียว คือ “เพื่อความปลอดภัยขององค์กร ทั้งด้านไซเบอร์และด้านกายภาพ” ¹
.
1.https://www.cisa.gov/publication/cybersecurity-and-physical-security-convergence
2.https://www.osti.gov/servlets/purl/1427000
3.https://world101.cfr.org/cfr_glossary/402
4.https://www.itproportal.com/features/organizations-now-facing-new-threats-protecting-cyber-physical-systems/
5.https://www.supernap.co.th/security/
6.https://www.mcafee.com/enterprise/en-us/security-awareness/ransomware/what-is-stuxnet.html#:~:text=Stuxnet%20reportedly%20destroyed%20numerous%20centrifuges,power%20plants%2C%20and%20gas%20lines.
7.https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/