PMC Expert | Cyber Security Requirement
1248
post-template-default,single,single-post,postid-1248,single-format-standard,ajax_fade,page_not_loaded,,qode_grid_1300,footer_responsive_adv,qode-child-theme-ver-1.0.0,qode-theme-ver-11.0,qode-theme-bridge,wpb-js-composer js-comp-ver-5.1.1,vc_responsive

Cyber Security Requirement

Cyber Security Requirement

ข้อกำหนดที่เกี่ยวข้องกับ ความปลอดภัยเกี่ยวกับการถูกจู่โจมทางไวรัส

 

จากสถานะการณ์ปัจจุบัน จะได้ยินข่าวบ่อยครั้งที่เกี่ยวข้องกับการถูกจู่โจมทางไวรัส

ช่วงที่ IATF ออก  Sanction มาใหม่ๆโดยมีการเพิ่มแผนฉุกเฉินเรื่องการถูกจู่โจมทางไวรัส ซึ่งในสมัยก่อนเราอาจจะมองว่าเป็นเรื่องไกลตัว แต่พอทางผู้เขียนมีโอกาสได้ไป Consulting  และ  Audit หลายๆองค์กร จึงพบว่ามีหลายองค์กร ที่โดนถูกจู่โจมทางไวรัสและถูกเรียกค่าไถ่โดยจะต้องจ่ายเงินในกรณีที่อยากจะได้ข้อมูลคืน  โดยมีทั้งบริษัทที่ยอมจ่าย, มีบางบริษัทที่จ่ายเงินไปแล้วโดนเรียกเงินเพิ่มก็มี และก็มีบางบริษัทถูกโดนจู่โจมทางไวรัสมากกว่าหนึ่งครั้ง   แต่โดยส่วนใหญ่หลายๆบริษัทก็ไม่ยอมจ่ายเงินให้ แล้วใช้วิธีดึงข้อมูลเก่าเท่าที่มีจากใน  Server  ที่ทำการสำรองข้อมูลไว้. โดยมีอยู่บริษัทหนึ่งที่เคยไป  Audit เหลือข้อมูลให้ตรวจได้แค่  5 เดือนย้อนหลังเท่านั้นคือเพิ่งเริ่มมาเก็บข้อมูลกันใหม่  หรือ ที่เคยไปสอนหนังสืออยู่ที่หนึ่งเป็นบริษัทผลิตที่ขายของให้กับผู้บริโภคโดยตรง ข้อมูลการสั่งซื้อก่อนหน้านั้นที่สำรองข้อมูลก็อาจจะดึงกลับมาได้  แต่ข้อมูล ณ วันนั้นที่โดนไวรัสก็หายไป กรณีนี้ก็ต้องรอให้ลูกค้าติดต่อมาว่าทำไมสั่งของไปแล้วยังไม่ได้ของ แล้วถึงจะส่งไปให้เป็นต้น

แต่ที่เป็นข่าวดังๆ เช่น ที่โรงพยาบาลสระบุรี ข้อมูลคนไข้ถูกขโมยเรียกค่าถ่าย  หรือ ที่ Honda USA  ต้องหยุดโรงงานชั่วคราวเนื่องจากถูก  Cyber attack เป็นต้น

ดังนั้นใน  Sanction ใหม่สำหรับ  IATF16949 จึงมีการกล่าวถึงเรื่อง การถูกจู่โจมทางไวรัสอยู่หลายข้อกำหนดด้วยกันเช่น

  1. ข้อกำหนด 6.1.2.1 การวิเคราะห์ความเสี่ยง ทางองค์กรจะต้องมีการวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับภัยคุกคามจากการโจมตีทางไซเบอร์ต่อระบบเทคโนโลยีสารสนเทศ
  2. ข้อกำหนด 1.2.3 แผนสำรองในกรณีฉุกเฉิน ทางองค์กรจะต้องมีการจัดทำแผนสำรองฉุกเฉิน การโจมตีทางไซเบอร์ในระบบเทคโนโลยีสารสนเทศ
  3. ข้อกำหนด 7.1.3.1 การวางแผนโรงงาน สิ่งอำนวยความสะดวกและอุปกรณ์ ต้องมีการวางแผนใช้การป้องกันทางไซเบอร์ ของอุปกรณ์และระบบที่สนับสนุนการผลิต
  4. ข้อกำหนด 7.2.1 ความสามารถ เพื่อลดหรือขจัดความเสี่ยงต่อองค์กร การฝึกอบรมและความตระหนัก

ต้องรวมข้อมูลเกี่ยวกับการป้องกันที่เกี่ยวข้องกับการทำงานขององค์กรด้วยสภาพแวดล้อมและความรับผิดชอบของพนักงาน เช่น การรู้ของความล้มเหลวของอุปกรณ์ที่รอดำเนินการ และ/หรือการพยายามโจมตีทางไซเบอร์

 

ผู้เขียน  สุขุม รัตนเสรีเกียรติ