04 Aug Cyber Security Requirement
ข้อกำหนดที่เกี่ยวข้องกับ ความปลอดภัยเกี่ยวกับการถูกจู่โจมทางไวรัส
จากสถานะการณ์ปัจจุบัน จะได้ยินข่าวบ่อยครั้งที่เกี่ยวข้องกับการถูกจู่โจมทางไวรัส
ช่วงที่ IATF ออก Sanction มาใหม่ๆโดยมีการเพิ่มแผนฉุกเฉินเรื่องการถูกจู่โจมทางไวรัส ซึ่งในสมัยก่อนเราอาจจะมองว่าเป็นเรื่องไกลตัว แต่พอทางผู้เขียนมีโอกาสได้ไป Consulting และ Audit หลายๆองค์กร จึงพบว่ามีหลายองค์กร ที่โดนถูกจู่โจมทางไวรัสและถูกเรียกค่าไถ่โดยจะต้องจ่ายเงินในกรณีที่อยากจะได้ข้อมูลคืน โดยมีทั้งบริษัทที่ยอมจ่าย, มีบางบริษัทที่จ่ายเงินไปแล้วโดนเรียกเงินเพิ่มก็มี และก็มีบางบริษัทถูกโดนจู่โจมทางไวรัสมากกว่าหนึ่งครั้ง แต่โดยส่วนใหญ่หลายๆบริษัทก็ไม่ยอมจ่ายเงินให้ แล้วใช้วิธีดึงข้อมูลเก่าเท่าที่มีจากใน Server ที่ทำการสำรองข้อมูลไว้. โดยมีอยู่บริษัทหนึ่งที่เคยไป Audit เหลือข้อมูลให้ตรวจได้แค่ 5 เดือนย้อนหลังเท่านั้นคือเพิ่งเริ่มมาเก็บข้อมูลกันใหม่ หรือ ที่เคยไปสอนหนังสืออยู่ที่หนึ่งเป็นบริษัทผลิตที่ขายของให้กับผู้บริโภคโดยตรง ข้อมูลการสั่งซื้อก่อนหน้านั้นที่สำรองข้อมูลก็อาจจะดึงกลับมาได้ แต่ข้อมูล ณ วันนั้นที่โดนไวรัสก็หายไป กรณีนี้ก็ต้องรอให้ลูกค้าติดต่อมาว่าทำไมสั่งของไปแล้วยังไม่ได้ของ แล้วถึงจะส่งไปให้เป็นต้น
แต่ที่เป็นข่าวดังๆ เช่น ที่โรงพยาบาลสระบุรี ข้อมูลคนไข้ถูกขโมยเรียกค่าถ่าย หรือ ที่ Honda USA ต้องหยุดโรงงานชั่วคราวเนื่องจากถูก Cyber attack เป็นต้น
ดังนั้นใน Sanction ใหม่สำหรับ IATF16949 จึงมีการกล่าวถึงเรื่อง การถูกจู่โจมทางไวรัสอยู่หลายข้อกำหนดด้วยกันเช่น
- ข้อกำหนด 6.1.2.1 การวิเคราะห์ความเสี่ยง ทางองค์กรจะต้องมีการวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับภัยคุกคามจากการโจมตีทางไซเบอร์ต่อระบบเทคโนโลยีสารสนเทศ
- ข้อกำหนด 1.2.3 แผนสำรองในกรณีฉุกเฉิน ทางองค์กรจะต้องมีการจัดทำแผนสำรองฉุกเฉิน การโจมตีทางไซเบอร์ในระบบเทคโนโลยีสารสนเทศ
- ข้อกำหนด 7.1.3.1 การวางแผนโรงงาน สิ่งอำนวยความสะดวกและอุปกรณ์ ต้องมีการวางแผนใช้การป้องกันทางไซเบอร์ ของอุปกรณ์และระบบที่สนับสนุนการผลิต
- ข้อกำหนด 7.2.1 ความสามารถ เพื่อลดหรือขจัดความเสี่ยงต่อองค์กร การฝึกอบรมและความตระหนัก
ต้องรวมข้อมูลเกี่ยวกับการป้องกันที่เกี่ยวข้องกับการทำงานขององค์กรด้วยสภาพแวดล้อมและความรับผิดชอบของพนักงาน เช่น การรู้ของความล้มเหลวของอุปกรณ์ที่รอดำเนินการ และ/หรือการพยายามโจมตีทางไซเบอร์
ผู้เขียน สุขุม รัตนเสรีเกียรติ