ช่วงนี้ผมนึกถึงวลีนี้บ่อยมากๆ คิดว่าเป็นสิ่งที่ควรอยู่ในลำดับต้นๆ ของการทำ awareness training ให้กับผู้มีส่วนเกี่ยวข้องด้าน OT security ทุกกลุ่ม โดยเฉพาะ “ผู้ดูแลระบบ”, “ผู้รับจ้าง” และ “หน่วยงานเจ้าของระบบ/โครงการ” 🤣

ความหมายของวลีนี้ก็ค่อนข้างตรงตัว

แค่เพราะคุณทำได้ ไม่ได้แปลว่าคุณควรทำ

เพราะช่วงปีที่ผ่านมา ผมพบว่าหลายๆ ครั้ง ความเสี่ยงที่เกิดขึ้นกับระบบ OT จะเกิดจากกลุ่มคนที่มีสิทธิ์สูง (ที่สามารถแก้ไข config ในระบบได้เอง) หรือเกิดจากผู้มีอำนาจตัดสินใจในขั้นตอน implementation สิ่งต่างๆ ในระบบ อาจจะด้วยความตั้งใจ ความไม่รู้ หรืออาจเพราะเชื่อคำแนะนำจากผู้รับจ้าง เป็นต้น

ซึ่งส่วนใหญ่เมื่อได้ implement ไปแล้ว การที่ทีม security จะพยายามอธิบายหรือแจ้งให้แก้ไขเพื่อลดความเสี่ยง จะมีแรงเสียดทานสูงมาก 😑 ไม่ว่าอาจจะด้วยความยากในการแก้ไขจริงๆ หรือการถูกบังคับด้วย deadline และเป้าเบิกจ่าย หรืออาจเพราะคิดว่าไม่ใช่ความรับผิดชอบของตัวเองอีกต่อไปก็ตาม

วิธีการป้องกันไม่ให้เกิดเหตุการณ์นี้ที่พอจะนึกออกก็คือการกำหนด policy ที่ละเอียดและชัดเจน แต่จะให้ policy ครอบคลุมทุกเรื่องก็คงจะเป็นไปไม่ได้ 😣

คิดไปคิดมาก็วนมาที่เรื่องของการสื่อสารอีกเหมือนเดิม เพราะถ้ามาคุยกับทีม security ก่อนลงมือทำอะไร ก็จะช่วยลดโอกาสการเกิดประเด็นเหล่านี้ได้มาก ความยากคือทำอย่างไรให้ผู้เกี่ยวข้องมีความเอ๊ะ ว่าสิ่งนี้ควรปรึกษาทีม security ก่อนมั้ยนะ อะไรทำนองนี้

แต่ส่วนใหญ่น่าจะคิดว่า ไม่ถามดีกว่า เดี๋ยวทำให้งานช้ากว่าเดิม 555+

ส่วนวิธีบังคับผลักดันให้เกิดการแก้ไขถ้ามีการ implement แบบเสี่ยงๆ ไปแล้ว พอนึกออกอยู่ 2-3 ทาง คือ 1) ให้ผู้บริหารเป็นคนสั่งการให้แก้ไข หรือ 2) ให้ internal auditor เขียนในรายงาน (และให้ผู้บริหารสั่งแก้อีกที) หรือถ้าจะไม่แก้ไขจริงๆ ก็ 3) ให้ผู้บริหารลงนามยอมรับความเสี่ยงนั้น 💣