Cyber Resilience องค์ประกอบสำคัญทางธุรกิจสำหรับ CISO
“แนวคิดเรื่องความสามารถในการฟื้นตัวทางไซเบอร์ (Cyber resilience) ได้ถูกพัฒนามาเป็นองค์ประกอบที่สำคัญของกลยุทธ์ทางธุรกิจในปัจจุบัน เหล่าผู้บริหารความมั่นคงปลอดภัยทางไซเบอร์ (CISO) ต้องให้ความสำคัญและใช้ให้ครอบคลุม ความจริงที่เกิดขึ้น
เมื่อแรนซัมแวร์ (Ransomware) พุ่งสูงเป็นประวัติการณ์ บริษัทต่างๆ นั้นจำเป็นต้องเข้าใจว่า ความสามารถในการฟื้นตัวทางไซเบอร์ หรือ ความยืดหยุ่นทางไซเบอร์ (Cyber resilience) คือ การก้าวข้ามการปฏิบัติตามกฎระเบียบหลังจากได้พิจารณาทุกด้านของธุรกิจ
เริ่มตั้งแต่ความต่อเนื่องในการปฏิบัติงานไปถึงการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ (Software supply chain security)
เหตุการณ์ในเดือนพฤษภาคม ค.ศ.2021 เมื่อบริษัท Colonial Pipeline ตกเป็นเป้าหมายของแฮกเกอร์ (Darkside) โจเซฟ บลันท์ CEO ของ Colonial Pipeline ตัดสินใจจ่ายค่าไถ่จำนวน 4.4 ล้านดอลลาร์ ซึ่งในเวลานั้นเป็นที่ถกเถียงอย่างมาก
การโจมตีทางไซเบอร์ดังกล่าวทำให้โครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกาตกอยู่ในอันตราย ส่งผลให้มีการบรรยายสรุปรายวันต่อประธานาธิบดีโจ ไบเดน ซึ่ง CEO ของบริษัท Colonial Pipeline ให้เหตุผลการจ่ายเงินเรียกค่าไถ่ไว้ว่า
“การตัดสินใจครั้งนี้ เป็นหนึ่งในความท้าทายที่สุดในอาชีพ บริษัทฯ อยู่ในสถานการณ์ที่เลวร้ายและต้องตัดสินใจเลือกในแบบที่ไม่มีบริษัทไหนๆ อยากเผชิญ ที่สำคัญนั้นต้องยอมรับโดยสิ้นเชิงว่ามันสามารถเกิดขึ้นได้”
ทัศนคติในการยอมรับการละเมิดอย่างหลีกเลี่ยงไม่ได้ สามารถช่วยให้บริษัทฯ มีความยืดหยุ่นทางไซเบอร์ที่มากขึ้น บ่อยครั้งที่องค์กรต่างๆ มอง ความยืดหยุ่นทางไซเบอร์ว่าเป็น แบบฝึกหัดสำหรับผู้กำกับดูแล โดยไม่สามารถจัดเตรียมทุกสิ่งที่จำเป็นให้แก่ผู้บริหารความมั่นคงปลอดภัยทางไซเบอร์ (CISO: Chief Information Security Officer) เพื่อฟื้นตัวได้อย่างแท้จริง
หลังจากการถูกโจมตีทางไซเบอร์ เมห์ราน ฟาริมานี ผู้บริหารระดับสูง CEO ของบริษัท RapidFort ที่มีโซลูชันอันเป็นนวัตกรรม ทำให้การระบุช่องโหว่และการแก้ไขเป็นไปโดยอัตโนมัติ กล่าวว่า “ความสามารถในการต้านทานและฟื้นตัวจากเหตุการณ์ที่ไม่พึงประสงค์ทางไซเบอร์ Cyber resilience นั้นถือเป็นองค์ ประกอบสำคัญทางธุรกิจที่นอกเหนือไปจากการปฏิบัติตามกฎระเบียบ”
จากข้อมูลในรายงานของ Barracuda (Barracuda report) เกี่ยวกับความยืดหยุ่นทางไซเบอร์ถูกเผยแพร่ในเดือนเมษายนที่ผ่านมา องค์กรที่ให้บริการทางการเงินดูเหมือนจะมีความพร้อมมากที่สุด โดย 55% ให้คะแนนกับมาตรการรักษาความปลอดภัยขององค์กรว่ามีประสิทธิภาพสูง
ปัจจุบันด้วยความไม่มั่นคงทางภูมิรัฐศาสตร์ และความชาญฉลาดของปัญญาประดิษฐ์เชิงกำเนิด (Generative AI) ที่เพิ่มขึ้น เหล่า CISO นั้น จะต้องไม่ทำแค่เสริมความแข็งแกร่งการป้องกันทางไซเบอร์ของบริษัทเพียงอย่างเดียว
แต่ยังต้องช่วยทีมงานที่เกี่ยวข้องเตรียมความพร้อมสำหรับสถานการณ์ที่เลวร้ายที่สุด ทั้งนี้เพื่อให้ แน่ใจได้ว่าบริษัทและทีมงานทั้งหมดสามารถฟื้นตัวได้อย่างรวดเร็ว ในกรณีที่เกิดเหตุการณ์ถูกโจมตีทางไซเบอร์
โดยบทความในฉบับมีมุมมองและรายละเอียดที่น่าสนใจดังนี้
ความสามารถในการฟื้นตัวทางไซเบอร์เป็นองค์ประกอบที่สำคัญทางธุรกิจ
แนวคิดเรื่องความสามารถในการฟื้นตัวทางไซเบอร์ (Cyber resilience) นั้น ได้ถูกพัฒนามาเป็นองค์ประกอบที่สำคัญของกลยุทธ์ทางธุรกิจในปัจจุบัน เหล่าผู้บริหารความมั่นคงปลอดภัยทางไซเบอร์ (CISO) ต้องให้ความสำคัญและใช้ให้ครอบคลุม ความจริงที่เกิดขึ้น
โครี่ แดเนียลส์, CISO ของบริษัท Trustwave รับผิดชอบด้านกลยุทธ์การป้องกันทางไซเบอร์ที่พัฒนาอย่างต่อเนื่องเพื่อปรับขนาดความยืดหยุ่นขององค์กร บอก csoonline.com ว่า คณะกรรมการ (Boards) เริ่มตั้งคำถามกันแล้วว่า “การมีตำแหน่งหัวหน้าเจ้าหน้าที่เพื่อการฟื้นฟูทางไซเบอร์ (Chief Resilience Officer) อย่างเป็นทางการเป็นสิ่งที่ต้องมีใช่ไหม?”
ตัวอย่างที่ชัดเจน เช่น การถูกโจมตีทางไซเบอร์ที่ตกเป็นข่าวโด่งดังอย่างของ บริษัท Colonial Pipeline ที่เคยประสบมานั้น แสดงให้เห็นถึงความสำคัญของ 3 องค์ประกอบ CIA ก็คือ Confidentiality (การรักษาความลับ), Integrity (ความสมบูรณ์) และ Availability (ความพร้อมใช้งาน)
ซึ่งต้องพร้อมใช้งานเพิ่มขึ้น เนื่องจากความขัดข้องไม่พร้อมใช้งานนั้นไม่เพียงแต่ส่งผลต่อความต่อเนื่องในการดำเนินงาน แต่ยังส่งผลโดยรวมมาถึงบริษัทอันมีผลต่อความไว้วางใจของลูกค้า และการรับรู้ทางการตลาด
แดเนียลส์ กล่าวว่า “การนำแนวทางแบบองค์รวม (Holistic approach) มาใช้สำหรับความสามารถในการฟื้นตัวทางไซเบอร์ถือเป็นสิ่งสำคัญ โดยคำนึงถึงทุกด้านของธุรกิจและทีมงานทั้งหมด ตั้งแต่พนักงานและหุ้นส่วนไปจนถึงคณะกรรมการบริหาร”
บ่อยครั้งที่องค์กรต่างๆ มีความสามารถมากกว่าที่องค์กรคาดคิด แต่ทรัพยากรเหล่านี้อาจถูกกระจัดกระจายไปตามแผนกต่างๆ และแต่ละกลุ่มที่รับผิดชอบในการสร้างความยืดหยุ่นทางไซเบอร์ อาจมองเห็นไม่ทั้งหมดของความสามารถที่มีอยู่ภายในองค์กร
ที่สำคัญ CISO ของบริษัทหลายแห่ง ในสหรัฐฯ นั้นกำลังบูรณาการความยืดหยุ่นทางไซเบอร์ให้เข้ากับกระบวนการบริหารความเสี่ยง ขององค์กร (Enterprise risk management processes) โดยที่บริษัทต่างๆ เริ่มใช้มาตรการเชิงรุกเพื่อค้นหาจุดอ่อน (Identify vulnerabilities)
ประเมินความเสี่ยง (Assess risks) และดำเนินการควบคุมที่ถือว่าเหมาะสม (Implement appropriate controls) ซึ่งในมาตรการเชิงรุกเหล่านี้ (Proactive measures) มักจะขยายออกไปเกินขอบเขตของบริษัท จนข้ามไปครอบคลุมทีมงานที่เกี่ยวข้องทั้งหมด
ข้อคิดที่ฝากไว้
แม้ว่าบริษัทต่างๆ จำนวนมากเริ่มลงทุนในโซลูชันทางเทคนิค เพื่อความสามารถในการฟื้น ตัวทางไซเบอร์หรือความยืดหยุ่นทางไซเบอร์ (Cyber resilience) เหล่า CISO ต้องไม่มองข้ามความสำคัญของการมีบุคลากรที่เหมาะสม และส่งเสริมวัฒนธรรมการตระหนักรู้ทางด้านความปลอดภัยในหมู่ขององค์กร ความสามารถในการค้นหาผู้ที่มีความสามารถทางไซเบอร์ (Cyber talent) ได้อย่างรวดเร็วจากการลงทุนที่บริษัทนั้นเอื้อมถึง กำลังเป็นข้อได้เปรียบในอุตสาหกรรม
ด้วยเหตุนี้ ผู้นำด้านความปลอดภัยจึงต้องพัฒนากลยุทธ์การจัดหาที่แข็งแกร่งและหลากหลาย เพื่อให้แน่ใจว่าความต้องการผู้ที่มีความสามารถทางไซเบอร์จะได้รับการตอบสนอง นอกจากนี้ ควรลงทุนในโปรแกรมการฝึกอบรมที่นอกเหนือไปจากการรับรู้ขั้นพื้นฐาน ที่เกี่ยวกับอีเมลฟิชชิ่ง และการรักษาความปลอดภัยด้วยรหัสผ่าน
ซึ่งการฝึกอบรมควร ครอบคลุมความเข้าใจที่ลึกซึ้งยิ่งขึ้นเกี่ยวกับภัยคุกคามทางไซเบอร์, ความสำคัญของการปกป้องข้อมูล และบทบาทของทุกคนในองค์กร อันเกี่ยวข้องกับการรักษาความสามารถในการฟื้นตัวทางไซเบอร์ แบบฝึกหัดและการจำลองภาวะวิกฤติก็ช่วยได้เช่นกัน
บริษัทควรตรวจสอบให้แน่ใจว่าแบบฝึกหัดสามารถใช้ในสถานการณ์ที่หลากหลาย เพื่อรับประกันแผนเผชิญเหตุสามารถรับมือกับเหตุการณ์ทางไซเบอร์ ที่ไม่คาดคิดได้ ที่สำคัญนั้นแบบฝึกหัดดังกล่าวควรทำกันอย่างสม่ำเสมอและควรฝึกให้ยากขึ้นด้วยวิธีดำเนินการฝึกที่มีความท้าทายนั้น จะผลักดันในขีดจำกัดของทีม, ของนโยบาย และของขั้นตอนต่างๆ ซึ่งบริษัทเองจะรู้ว่าขีดจำกัดอยู่ที่ไหนและจำเป็นต้องปรับปรุงกันอย่างไร
สุดท้ายนี้เหล่า CISO ไม่ควรปล่อยให้เหตุการณ์ถูกโจมตีทางไซเบอร์นั้น เป็นครั้งแรกในการทดสอบแผนเผชิญเหตุของบริษัทที่เตรียมไว้…เพื่อรับมือกับภัยคุกคามทางไซเบอร์
อ่านบทความทั้งหมดของ น.อ.สรรสิริ สิริสันตคุปต์
Featured Image: Image by freepik