เมื่อสองอาทิตย์ก่อนได้อ่านบล็อกของ Dale Peterson เรื่อง False and True: You Can’t Protect What You Don’t Know รู้สึกเห็นด้วยกับประเด็นที่เค้าต้องการสื่อ ทั้งในส่วน “False” และ “True”

ประโยคข้างบนเป็นสิ่งที่ทั้ง vendor และที่ปรึกษาชอบพูด เวลามานำเสนอ product หรือ project ต่างๆ ซึ่งพอผมได้ยินก็จะรู้สึกตะหงิดๆ ทุกครั้ง จนได้มาอ่านบล็อกนี้ เลยเพิ่งถึงบางอ้อว่า เออ ไม่ได้คิดไปเอง มันมีประเด็นแปลกๆ อยู่จริง 🤣

Dale ยกตัวอย่างตู้เซฟในธนาคาร ว่าเราไม่จำเป็นต้องรู้ว่ามีอะไรอยู่ข้างใน สิ่งนั้นมันก็ถูก protect ตามมาตรการต่างๆ ของธนาคารอยู่แล้ว หรืออีกตัวอย่างเช่นเรามีเน็ตเวิร์กวงนึง ถึงในนั้นจะมีเครื่องคอมพิวเตอร์เชื่อมต่ออยู่หรือไม่ก็ตาม ไฟร์วอลล์มันก็ทำหน้าที่ของมันในการ protect เครือข่ายตามที่เราตั้งค่าไว้ สรุปสั้นๆ คือ ในความเป็นจริงแล้ว แม้เราจะไม่รู้รายการ asset ทั้งหมด เราก็ยังสามารถปกป้องมันได้ 😆

คำพูดที่น่าจะสมเหตุสมผลกว่าก็คือ

“You Can Provide Better Protection If You Know What You are Protecting”

ทั้งนี้ทั้งนั้น Dale บอกว่าจะเห็นด้วยกับคำพูดดั้งเดิมถ้าคำว่า “know” ของคนพูด หมายถึงรู้เกี่ยวกับภารกิจขององค์กร, กระบวนการบริหารความเสี่ยง, ผลกระทบทางธุรกิจที่จะเกิดขึ้นถ้าระบบ OT มีปัญหา, และรู้ว่า incident แบบไหนที่จะทำให้เกิดผลกระทบร้ายแรง 💀

เรื่องนี้น่าจะเป็น pain point ใหญ่อันหนี่งขององค์กรที่เป็น CII ที่มีระบบ OT ขนาดใหญ่ในประเทศไทย เพราะกฎหมายระบุว่าให้ทำ asset inventory ของ critical services โดยต้องมีฟิลด์ข้อมูลตามที่กำหนด ซึ่งในมุมของผมก็รู้สึกว่าเป็นภาระกับหน่วยงานเจ้าของระบบ OT มากพอสมควร ที่ต้องทำเพื่อ compliance โดยอาจไม่เห็นประโยชน์ที่ชัดเจน

คำถามคือ เราควรต้องมี asset inventory ที่ครบระดับไหนถึงจะพอดี 50%, 80%, 95%, 99%, หรือต้อง 100% เท่านั้น ถึงจะปกป้องระบบได้ 🤔 ในความเห็นส่วนตัว สิ่งหลักๆ ที่เราควรจะต้องรู้น่าจะเป็น

  1. Asset ในระบบที่จำเป็นต่อ business process ขององค์กร
  2. Network boundary ของระบบ
  3. Physical boundary ของระบบ
  4. รูปแบบ/ช่องทาง การเชื่อมต่อกับระบบอื่นๆ

ถ้ารู้ประมาณนี้ น่าจะสามารถประเมิน attack surface ของระบบ, รู้ว่าอุปกรณ์ไหนในระบบมี priority สูงสุด, สามารถกำหนด scanario เพื่อประเมินความเสี่ยงของระบบ รวมไปถึงการทำ security baseline configuration ในส่วนที่สำคัญได้ โดยไม่จำเป็นต้องมีรายการ asset inventory ครบถ้วน 100%

ถ้าพูดเท่ๆ ตามหลัก 80:20 ก็คือ เราอาจต้องการข้อมูล asset inventory เพียง 20% เพื่อปกป้อง 80% ของระบบนั้นๆ ในด้านไซเบอร์ 😏

ซึ่งถ้ามานั่งดูจริงๆ ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานฯ พ.ศ. 2564 ข้อ 21 ก็ระบุแค่ว่า “… ต้องมีทะเบียนทรัพย์สิน (Inventory) ที่ระบุทรัพย์สินของบริการที่สำคัญ…” โดยไม่ได้ระบุว่า ต้องมีครบถ้วนสมบูรณ์ทั้งหมด… ปัญหาที่เหลือคือ ทำยังไงให้ผู้บริหาร, auditor, และ regulator เข้าใจและเห็นด้วยกับสิ่งนี้ 🤣