เรามักจะพูดกันถึง ไซเบอร์ซีเคียวริตี้ หรือระบบความปลอดภัยไซเบอร์ ว่าเป็นเรื่องของขั้นตอนกระบวนการ ไม่ใช่ผลลัพธ์ แต่ในวงธุรกิจ มักจะนำมาติดตั้งเป็นส่วนๆ หรือเป็นโปรเจ็ค ซึ่งมีตารางเวลา วัตถุประสงค์และเป้าประสงค์ตามชิ้นงาน และวิธีการดำเนินโครงการนั้นก็พอจะเห็นได้ว่ามีพื้นที่สำหรับการปรับพัฒนาในการบริหารและกระบวนการซึ่ง ท้ายที่สุด เร่งระยะเวลาในการติดตั้งระบบความปลอดภัยไซเบอร์ได้หรือไม่
ในภาคอุตสาหกรรม โครงการติดตั้งระบบควบคุม (industrial control systems) นั้นไม่ใช่เรื่องง่าย โดยเฉพาะการติดตั้งการป้องกันระบบคอมพิวเตอร์ซึ่งควบคุมกังหันไฟฟ้าหรือสายพานในโรงงานยานยนต์ เป็นต้น ลองนึกภาพผลกระทบที่จะเกิดขึ้นหากมีสิ่งผิดพลาด รวมไปถึงการติดตั้งจะไม่กระทบกระเทือนกระบวนการผลิต และนั่นคือเหตุที่การติดตั้งระบบป้องกันจะไปตามมาตรฐานและกฎระเบียบเท่าที่จำเป็นเท่านั้น
การดำเนินโครงการในเงื่อนไขเช่นนี้อาจใช้เวลาหลายปี จากการเก็บข้อมูลกับลูกค้า พบว่าบางคราวใช้เวลาถึงสองปีเลยทีเดียว เพียงเพื่อร่างเอกสารโครงการและซอฟต์แวร์สำหรับการจัดซื้อ ขณะที่ผู้ร้ายก็โหมกระหน่ำโจมตีเกือบครึ่งขององค์กรธุรกิจในภาคอุตสาหกรรมนี้ และเพิ่มความซับซ้อนขึ้นทุกที บริษัทเหล่านี้ไม่ควรเสี่ยงปล่อยให้โครงการติดตั้งระบบความปลอดภัยลากยาวเช่นนี้ได้อีกต่อไป
อเล็กซานเดอร์ มอยซีฟ ประธานบริหารฝ่ายธุรกิจ บริษัท แคสเปอร์สกี้ ขอแนะนำการบริหารจัดการกระบวนการที่น่าจะเป็นประโยชน์ต่อการเลี่ยงความล่าช้าได้ ดังนี้
1. มอบหมายความรับผิดชอบของแต่ละแผนก/ส่วนงานอย่างชัดเจน
ความรวดเร็วของโครงการติดตั้งระบบนั้นขึ้นอยู่กับ ความเป็นเจ้าของและความรับผิดชอบผูกพันต่อโครงการ ความร่วมมือระหว่างหน่วยงานที่เกี่ยวข้องตามขั้นตอนต่างๆ ดังนั้น ต้องวางบทบาทให้แต่ละทีมอย่างชัดเจนไปเลย เช่น ขับเคลื่อนโครงการ ตรวจสอบและติดตั้ง เริ่มต้นโครงการด้วยทีมวิศวกรและทีมไอทีซีเคียวริตี้เป็นผู้ดูแลการใช้งาน เป็นต้น
บางโอกาสแผนกไอทีซีเคียวริตี้มีความต้องการติดตั้งบางอย่างแต่ขาดงบประมาณ ซึ่งแผนก OT มีงบประมาณแต่ความต้องการยังไม่อยู่ในขั้นเร่งด่วน หากทั้งสองแผนกประสานงาน เจรจาต่อรองเรื่องงบประมาณอาจกินเวลาเป็นเดือน ดังนั้นความชัดเจนเรื่องความรับผิดชอบ, ขั้นตอนการตัดสินใจ และเกณฑ์ในการริเริ่มโครงการเป็นสิ่งที่มีความจำเป็น
2. ลดความยุ่งยากของขั้นตอนการอนุมัติ
ความรวดเร็วของโครงการจากจุดตัดสินใจไปถึงดำเนินการติดตั้งขึ้นอยู่กับประสิทธิภาพการบริหารจัดการภายในองค์กร มีคอนเซ็ปท์ของระบบคอมพิวติ้งที่เรียกว่า ค่าความเร็วในการตอบสนอง (latency หรือจังหวะเวลา) ซึ่งเป็นตัวชี้ความเร็วของโปรเซสเซอร์ แสดงความหนืดการทำตามคำสั่ง ยิ่งกำหนดขั้นตอนอย่างดีมีประสิทธิภาพมากเท่าไร เช่น การพัฒนามาตรฐาน ออกแบบโครงการและขออนุมัติจากทุกลำดับชั้น โปรเจ็คนำร่อง การจัดงบประมาณ และการจัดซื้อ ความล่าช้าก็จะลดน้อยลงเท่านั้น
จากข้อมูลการสำรวจตลาดล่าสุดพบว่าขั้นตอนการขออนุมัติที่ไม่เป็นระบบระเบียบส่งผลให้เกิดความล่าช้าต่อการทำงาน ยิ่งมีหลายทีม ยิ่งต้องเสียเวลาไปกับการขออนุมัติหลายแผนกหลายลำดับชั้น จัดว่าเป็นอุปสรรคหนึ่งที่ถูกกล่าวถึงเสมอในโครงการระบบความปลอดภัยไซเบอร์ในภาคอุตสาหกรรม รวมทั้งความล่าช้ากว่าที่จะได้รับการอนุมัติลงมาจากผู้บริหารระดับสูง
การตั้งกำหนดเวลาที่ชัดเจนช่วยให้ขั้นตอนการขออนุมัติราบรื่นและชัดเจนในหัวข้อที่จำเป็นต้องตกลงกันให้ลุล่วง, ผู้ทีเกี่ยวข้อง และในขั้นตอนใด ในหลายกรณี มีผู้จัดการอาวุโสที่เกี่ยวข้องกับขั้นการอนุมัติหลายคน ตั้งแต่ระดับ CIOs ไปจนกระทั่งฝ่ายบริการซีเคียวริตี้และ CFOs ต่างเกี่ยวข้องกับขั้นตอนการอนุมัติ ต่างต้องใช้เวลาศึกษารายละเอียดก่อนตัดสินใจ
เวลาที่ใช้ไป เพราะเรามักจะไม่ได้เห็นภาพ ROI ของโครงการไซเบอร์ซีเคียวริตี้ได้เร็วและชัดเจน การที่เราไม่เข้าใจประโยชน์ที่เกิดขึ้นทันทีมักจะนำไปสู่ความเนือย ขาดแรงจูงใจ ไม่สู้จะได้รับความสนใจแรงสนับสนุนจากบรรดาผู้มีอำนาจตัดสินใจในการอนุมัติโครงการเหล่านี้ ซึ่งจำเป็นต้องแก้ไขในจุดนี้ ทำให้คนตัดสินใจอนุมัติงานได้เห็น ROI ได้ชัดเจน ช่วยประกอบการตัดสินใจอนุมัติงานที่ดีขึ้นเร็วขึ้น
3. สนับสนุนการมีส่วนร่วมของผู้บริหารระดับ C สื่อสารอธิบายให้กระจ่าง
บางโอกาส ผู้บริหารระดับ C ก็ถูกปล่อยไว้ไกลๆ ไร้การสื่อสาร หรือไม่มีส่วนในการระดมความคิดของโครงการไซเบอร์ซีเคียวริตี้ ดังนั้นเขาย่อมไม่เห็นคุณค่าของการลงทุนไปกับเรื่องนี้ อาจจะมาจากการที่ทีม OT ผู้รับผิดชอบโครงการและผู้บริหารพูดกันคนละภาษา โดยที่ทีม OT มักเกาะประเด็นไม่ตรงใจผู้บริหาร และยังเต็มไปด้วยรายละเอียดเทคนิคอลเมื่อต้องนำเสนอโครงการของตนกับคณะกรรมการ และแทบไม่สนใจที่จะนำเสนอมุมมองเกี่ยวข้องธุรกิจว่าโครงการจะช่วยแก้ปัญหาหรือสนับสนุนการเติบโตได้อย่างไร หรือความเสี่ยงที่ลดลง หรือแม้แต่จะลดค่าใช้จ่ายระยะยาวลงไปได้อีกเท่าใด เป็นต้น
การพัฒนาตนเองด้านทักษะการสื่อสารเพื่อการนำเสนอโครงการที่ตรงกับผู้ฟังจึงมีความจำเป็นและสำคัญไม่น้อย เมื่อปีที่แล้ว ในงาน Kaspersky Industrial Cybersecurity Conference มีปาฐกถา โดย แพทริก มิลเลอร์ กรรมการผู้จัดการ อาร์เชอร์ อินเตอร์เนชันแนล บริษัทที่เชี่ยวชาญด้านการป้องกันโครงสร้างระบบ เขาเน้นย้ำในประเด็นที่ว่าเมื่อต้องนำเสนอโครงการต่อคณะกรรมการบริหารเพื่อการพิจารณานั้น วิธีการพิจารณาตามแนวความเสี่ยง (risk-based approach) เป็นกุญแจสำคัญ ไม่ต้องสาธยายว่าการเฝ้าระวังระบบเครือข่ายจะช่วยตรวจจับสิ่งแปลกปลอมได้แต่เนิ่นๆ นั้นสุดยอดอย่างไร แต่จงบอกพวกเขาว่า เขาจะต้องสูญเสียอะไรบ้างหากไม่ทำตามนี้ หลักๆ ที่น่าสยองสำหรับผู้บริหารที่จะได้ยิน ได้แก่ สูญเสียเงิน ความไว้วางใจของลูกค้าและพาร์ตเนอร์ การจัดอันดับความน่าเชื่อถือขององค์กรตกฮวบ และความได้เปรียบเหนือกว่าคู่แข่งอ่อนแอลง เป็นต้น
4. จัดแนวระบบให้สอดคล้องกับกฎข้อบังคับ
ปกติแล้วนั้น ความต้องการระบบป้องกันความปลอดภัยไซเบอร์จะมาจากส่วนล่างขององค์กรขึ้นมา (the bottom up) อย่างไรก็ตาม มีบางกรณีที่กลับกัน ที่ฝ่ายบริหารตัดสินใจลงทุนกับระบบซีเคียวริตี้ เนื่องจากต้องปฏิบัติตามมาตรฐานหรือกฎข้อบังคับ ซึ่งแนวทางนี้มีข้อมูลตัวเลขจากการสำรวจตลาดเมื่อปีที่ผ่านมามายืนยันว่าเกินครึ่ง (55%) แจงว่าเหตุผลหลักของการลงทุนกับระบบซีเคียวริตี้ของ ICS คือ กฎข้อบังคับ
ถึงแม้ว่าโครงการที่มีที่มาเช่นนี้อาจจะดีกว่าไม่มีอะไรเลย แต่ก็คงจะมีประสิทธิภาพกว่านี้หากเข้ากับความต้องการเชิงธุรกิจ และความจำเป็นในความปลอดภัยบนระบบไอทีขององค์กรด้วย ซึ่งเป็นเรื่องจำเป็นที่ฝ่าย OT, ไอที, ความปลอดภัยข้อมูล, ผู้บริหารระดับ C และกรรมการบริหารควรได้ร่วมพูดคุยกันเพื่อหาจุดลงตัวของความร่วมมือจากทุกฝ่าย ผู้เชี่ยวชาญจากบริษัทที่คำปรึกษา โอลิเวอร์ ไวแมนยกให้ความพยายามดังกล่าวนั้นเป็นการเปลี่ยนแปลงพื้นฐานของวัฒนธรรมองค์กรเลยทีเดียว มีความจำเป็นในการลดช่องว่างในการป้องกันระบบของภาคส่วนอุตสาหกรรม
5. ลับคมเพิ่มความเฉียบแหลมและความเชี่ยวชาญงานให้ทีมงานของคุณ
อุปสรรคในการติดตั้งระบบซีเคียวริตี้อีกประการคือ ทีมงานไม่เชี่ยวชาญในงานที่ทำ การพัฒนา, ติดตั้งและปฏิบัติการของโครงการ และโดยเฉพาะอย่างยิ่งกรณีที่เป็นโครงการขนาดใหญ่ที่มีความซับซ้อน เช่น SIEM นั้น จะมีขั้นตอนและการดำเนินการที่พิเศษเฉพาะตัว ซึ่งเป็นความเชี่ยวชาญที่หาคนรู้เรื่องนี้ไม่มากนัก และใช้เวลาในการสร้างขึ้นมาอีกด้วย
ดังนั้น นอกจากการอำนวยความคล่องตัวในการตัดสินใจของผู้บริหารและขั้นตอนการอนุมัติ องค์กรก็ควรจะต้องอบรมให้ความรู้แก่พนักงานอยู่เสมอ สำหรับทีม IT และ OT นั้นหมายถึงการอัพเดทข้อมูลที่ทันสมัยที่สุดเกี่ยวกับภัยคุกคามไซเบอร์ รวมทั้งจัดเทรนนิ่งฝึกอบรมเฉพาะทางเรื่องโซลูชั่นนั้นๆ ก็จะเป็นการช่วยให้ทีมงานนั้นมีความรู้ความเข้าใจลำดับความสำคัญและบทบาทหน้าที่ความรับผิดชอบได้กระจ่างขึ้น, สื่อสารได้อย่างมีประสิทธิภาพตรงประเด็น และสื่อสารต่อรองระหว่างการดำเนินงานได้อย่างคล่องตัวมากขึ้น
ความปลอดภัยของภาคอุตสาหกรรมมีแนวทางในการพัฒนาปรับเปลี่ยนไปอย่างเป็นธรรมชาติ หากไม่มีภัยร้ายแรงใดมากระทบกับบริษัทเข้าอย่างจังแล้ว ก็หาน้อยมากที่จะรีบเร่งผลักดันให้การติดตั้งระบบความปลอดภัย ICS สำเร็จลงได้ ยกเว้นในกรณีของ บริษัทน้ำมันและก๊าซธรรมชาติแห่งหนึ่งที่สามารถบริหารโครงการระบบปลอดภัยของตนให้เป็นผลสำเร็จภายใน 18 เดือนเพื่อป้องกันสินทรัพย์ของตน ซึ่งได้รับการสนับสนุอย่างเข้มแข็งจากผู้บริหารระดับสูงลงมา และทรัพยากรในการดำเนินการอย่างเพียบพร้อม ในกรณีนี้ นั่นหมายถึงพนักงานทั้งสิ้น 30,000 คน สำหรับบริษัทอื่นๆ น่าจะเป็นเรื่องวิวัฒนาการค่อยเป็นค่อยไปมากกว่าการปฏิวัติชั่วข้ามคืน ตามที่แนะนำข้างต้นนั้นมีส่วนช่วยให้โครงการติดตั้งระบบความปลอดภัยไซเบอร์รุดหน้าได้เร็วขึ้น ทีละขั้นตอน ที่ก้าวไปก็จะง่ายและเร็วขึ้น
ในทางกลับกัน ตลาดก็จะได้รับการพัฒนาเพียงพอและพร้อมที่จะมีส่วนช่วยในเรื่องนี้ ด้วยการระบุ ROI และประโยชน์ที่จะคืนกลับแก่องค์กรที่ชัดเจน มีการสื่อสารถึงความเสี่ยงธุรกิจที่กระจ่างชัดไม่คลุมเครือ มีผู้เชี่ยวชาญพร้อมให้ความช่วยเหลือ ให้ข้อมูลวิเคราะห์เชิงลึกด้านที่จำเป็น และจัดการฝึปอบรมให้ความรู้ เหล่านี้ เมื่อผนวกกับการปรับปรุงวิธีการป้องกันระบบขององค์กรอย่างต่อเนื่องแล้วก็จะส่งผลดี รองรับการสร้างความเข้าใจปัญหาอุปสรรค ที่จำเป็นต้องก้าวข้ามเพื่อระบบความปลอดภัยขององค์กรที่เป็นจริง