การวิจัยตลาดความปลอดภัยทางไซเบอร์ในศตวรรษที่ 21

การปกป้องโครงสร้างพื้นฐานของเรา

ด้วยความสำคัญระดับโลกที่เพิ่มขึ้นและการบูรณาการคอมพิวเตอร์เข้ากับทุกแง่มุมของความพยายามของมนุษย์ อาชญากรรมในโลกไซเบอร์ได้แพร่ขยายและก่อให้เกิดความเสี่ยงร้ายแรงต่อประชากร ประเทศ รัฐบาล ธุรกิจ และโครงสร้างพื้นฐานที่สำคัญ  มีการประมาณกันว่ากิจกรรมทางอาญาที่สร้างโดยอินเทอร์เน็ตทำให้เศรษฐกิจโลกเสียหายเกินกว่า $400 พันล้านต่อปี. ₁ ราคาเงินตราและอันตรายที่อาจเกิดขึ้นจาก อาชญากรรมทางไซเบอร์จะเพิ่มมากขึ้นอย่างแน่นอนหากปล่อยทิ้งไว้โดยไม่ตรวจสอบ.

การโจมตีโครงสร้างพื้นฐานด้านพลังงานของเราอาจเป็นหายนะที่อาจเกิดขึ้นได้มากที่สุด เริ่มโดย แฮ็กทีวิสต์รัฐบาลที่เป็นปรปักษ์ รัฐโกง กลุ่มกึ่งศาสนา โจมตีทางคอมพิวเตอร์เพียงลำพังหรือตีคู่กัน และในบางกรณีก็ประสบความสำเร็จในการแทรกซึมเข้าไปในขอบเขตของป้อมปราการโครงสร้างพื้นฐานที่ล้าสมัยหรือไม่เพียงพอ  ผลกระทบของความพยายามทางอาญาดังกล่าวถือเป็นลางร้าย ลองจินตนาการถึงสิ่งอำนวยความสะดวกด้านการบำบัดน้ำ ท่อส่งพลังงาน โทรคมนาคม ระบบดาวเทียม สถาบันการธนาคาร และโรงไฟฟ้า ที่ถูกปิดการใช้งานหรือแม้กระทั่งถูกทำลายจากการโจมตีทางไซเบอร์ ผลที่ตามมาจากการรุกรานดังกล่าวอาจทำให้เกิดความวิตกกังวลและความวุ่นวายในหมู่ประชากรที่ได้รับผลกระทบ ในขณะที่เศรษฐกิจอ่อนแอและได้รับความเสียหายอย่างรุนแรง

ทุกช่วงเวลา ผู้อยู่เบื้องหลังอาชญากรรมไซเบอร์ที่กำลังขยายตัวนี้กำลังก้าวหน้าทางเทคโนโลยีมากขึ้น และกำลังมองหาวิธีที่จะขัดขวาง ทำลาย และประนีประนอมระบบโครงสร้างพื้นฐานที่สำคัญในการจารกรรม การหลบหลีกทางการเมือง การก่อการร้าย และการทำสงครามโดยสิ้นเชิง ในปี 2013 เพียงปีเดียว เจ้าหน้าที่ความมั่นคงแห่งมาตุภูมิในสหรัฐอเมริการายงานเหตุการณ์พยายามก่ออาชญากรรมทางไซเบอร์ 256 ครั้งซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ โดยส่วนใหญ่มีศูนย์กลางอยู่ที่ภาคพลังงาน ₂ อดีตรัฐมนตรีกลาโหม ลีออน ปาเนตตา อ้างว่าสหรัฐฯ กำลังเผชิญกับภัยคุกคามที่เขาเรียกว่า "ไซเบอร์เพิร์ลฮาร์เบอร์" และ "ช่วงเวลาก่อนเหตุการณ์ 9/11"  เขาวาดภาพอันน่าสยดสยองเกี่ยวกับแหล่งน้ำที่อาจปนเปื้อน ไฟดับ และรถไฟถูกบังคับให้ตกราง₃

มีหลายวิธีในการโจมตีทางไซเบอร์ รวมถึงมัลแวร์ ไวรัส เวิร์ม สปายแวร์ การโจมตีด้วยรหัสผ่าน การบุกรุกแบบดุร้าย และการโจมตี DoS (การปฏิเสธการให้บริการ) วิธีการโจมตีทางไซเบอร์เหล่านี้อาจทำให้ระบบป้องกันของโครงสร้างพื้นฐานที่สำคัญทำงานหนักเกินไปหรือติดเชื้อได้ ทำให้เจาะระบบได้ง่ายขึ้น ระบบป้องกันและโครงสร้างพื้นฐานที่เป็นเป้าหมายอาจถูกปิดใช้งานหรือถูกทำลายได้ หากวิธีการโจมตีและผู้กระทำผิดของอาชญากรรมไซเบอร์ไม่ได้รับการระบุและขัดขวางอย่างเหมาะสม

เมื่อวันที่ 12 กุมภาพันธ์^ไทย, 2013 ประธานาธิบดีสหรัฐ บารัค โอบามา ออก คำสั่งผู้บริหารที่ 13636, “การปรับปรุงความปลอดภัยทางไซเบอร์โครงสร้างพื้นฐานที่สำคัญซึ่งกำหนดว่า “เป็นนโยบายของสหรัฐอเมริกาในการเพิ่มความปลอดภัยและความยืดหยุ่นของโครงสร้างพื้นฐานที่สำคัญของประเทศและเพื่อรักษาสภาพแวดล้อมทางไซเบอร์ที่ส่งเสริมประสิทธิภาพ นวัตกรรม และความเจริญรุ่งเรืองทางเศรษฐกิจในขณะเดียวกันก็ส่งเสริมความปลอดภัย ความมั่นคง การรักษาความลับทางธุรกิจ ความเป็นส่วนตัว และเสรีภาพของพลเมือง”₄

คำสั่งนี้นำไปสู่การจัดตั้งกรอบความปลอดภัยทางไซเบอร์ที่ออกแบบมาเพื่อช่วยองค์กรในการจัดการกับปัญหาอาชญากรรมทางไซเบอร์ ความพยายามร่วมกันระหว่างภาคเอกชนและรัฐบาลมุ่งเน้นไปที่การสร้างภาษาที่เหมือนกันสำหรับการสื่อสารและวิธีการที่คำนึงถึงต้นทุนในการดำเนินมาตรการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพ ไม่มีการตรากฎระเบียบโดยตรงที่เกี่ยวข้องกับคำสั่งผู้บริหาร 13636

ประธานาธิบดีโอบามาสั่งสอน NISTสถาบันมาตรฐานและเทคโนโลยีแห่งชาติจะทำงานร่วมกับสถาบันและธุรกิจที่ได้รับผลกระทบโดยตรงจากคำสั่งของผู้บริหารโดยมีวัตถุประสงค์เพื่อสร้างแผนสมัครใจที่ออกแบบมาเพื่อลดความเสี่ยงของอาชญากรรมในโลกไซเบอร์บนโครงสร้างพื้นฐานที่สำคัญของประเทศ  ความพยายามทั้งหมดนี้ดำเนินการเพื่อรวมมาตรฐานและขั้นตอนต่างๆ ไว้ในภาคส่วนต่างๆ ที่หลากหลาย และเพื่อสร้างแนวทางที่สามารถนำไปปฏิบัติได้อย่างรวดเร็ว ด้วยเหตุนี้ การสื่อสารและการทำงานร่วมกันระหว่างอุตสาหกรรมจึงได้รับการสนับสนุนด้วย NIST เปิดเผยร่างกรอบการทำงานฉบับแรกในเดือนกุมภาพันธ์ พ.ศ. 2557 พร้อมด้วยแผนงานประกอบซึ่งเปิดเผยทิศทางในอนาคตของสถาบันที่ตั้งใจไว้สำหรับกรอบการทำงาน

ความพยายามในการกำจัดอาชญากรรมในโลกไซเบอร์ การแฮ็กติวิสต์ กิจกรรมการก่อการร้ายทางไซเบอร์ และสงครามไซเบอร์ เกี่ยวข้องกับการขยายเครือข่ายของหน่วยงานภาครัฐและผลประโยชน์ของภาคเอกชน ในบรรดาสิ่งเหล่านี้คือ กกพ, บริษัท North American Electric Reliability Corporation  กกพ. คือ “หน่วยงานกำกับดูแลระหว่างประเทศที่ไม่แสวงหาผลกำไรซึ่งมีภารกิจคือการรับประกันความน่าเชื่อถือของระบบไฟฟ้าขนาดใหญ่ในอเมริกาเหนือ” ₅ NERC รับผิดชอบในสหรัฐอเมริกา แคนาดา และส่วนหนึ่งของบาฮาแคลิฟอร์เนีย เม็กซิโก ในการสร้างมาตรฐานความน่าเชื่อถือและบังคับใช้ นอกจากนี้ยังมีส่วนร่วมในการฝึกอบรมและการรับรองบุคลากรในอุตสาหกรรมอีกด้วย

ที่ ซีไอพีซี (คณะกรรมการคุ้มครองโครงสร้างพื้นฐานที่สำคัญ) ดำเนินงานภายใต้ร่มของ กกพ. ประกอบด้วยผู้เชี่ยวชาญด้านไซเบอร์ การปฏิบัติงาน และความปลอดภัยทางกายภาพจากอุตสาหกรรม นอกจากนี้ยังรวมถึงสภาประสานงานสาขาย่อยการไฟฟ้าด้วย (อีเอสซีซี) ซึ่งทำงานควบคู่กับรัฐบาลกลางในการพัฒนาแนวคิดและทรัพยากรที่ออกแบบมาเพื่อปกป้องโครงสร้างพื้นฐานที่สำคัญ และเร่งการแลกเปลี่ยนข้อมูลสำคัญที่เกี่ยวข้องกับจุดอ่อนที่เป็นระบบที่ระบุ

กกพ.อยู่ภายใต้การดูแลของ เฟอร์ก, คณะกรรมการกำกับดูแลพลังงานของรัฐบาลกลาง FERC “เป็นหน่วยงานอิสระที่ควบคุมการส่งไฟฟ้า ก๊าซธรรมชาติ และน้ำมันระหว่างรัฐ FERC ยังทบทวนข้อเสนอในการสร้างคลังก๊าซธรรมชาติเหลว (LNG) และท่อส่งก๊าซธรรมชาติระหว่างรัฐ ตลอดจนการออกใบอนุญาตโครงการไฟฟ้าพลังน้ำ -₆   ในปี 2005 พระราชบัญญัตินโยบายพลังงานได้มอบความรับผิดชอบเพิ่มเติมให้กับ FERC รวมถึงการส่งเสริมความปลอดภัยโครงสร้างพื้นฐาน ความน่าเชื่อถือ และการรักษาความปลอดภัย

ประธานาธิบดีโอบามา กล่าวที่มหาวิทยาลัยสแตนฟอร์ดเมื่อเดือนกุมภาพันธ์ พ.ศ. 2558 ขอให้รัฐบาลสหรัฐฯ และภาคส่วนทางเทคนิคร่วมมือกันต่อสู้กับอาชญากรรมในโลกไซเบอร์ กำลังมองหาที่จะสร้างความรู้สึกไว้วางใจอีกครั้งหลังจากการรั่วไหลของ Edward Snowden ที่เกี่ยวข้องกับการบริหารความมั่นคงแห่งชาติ (เอ็นเอสเอ), ประธานาธิบดีโอบามายอมรับว่าโครงสร้างพื้นฐานที่สำคัญของประเทศและเครือข่ายคอมพิวเตอร์ส่วนใหญ่พบได้ในภาคเอกชน จึงจำเป็นต้องมีความพยายามร่วมกันที่เสนอ นอกจากนี้เขายังเน้นย้ำถึงความจริงที่ว่ารัฐบาลมักจะเป็นคนแรกที่ได้รับข้อมูลเกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์ ซึ่งตอกย้ำถึงประโยชน์ของความพยายามต่อสู้กับภัยคุกคามแบบครบวงจร คำพูดของประธานาธิบดีอาจได้รับแจ้งจากการโจมตีครั้งล่าสุดซึ่งคิดว่ากระทำโดยเกาหลีเหนือ นอกจากนี้ ในเดือนมกราคมยังพบเห็นกิจกรรมการแฮ็กที่เกี่ยวข้องกับกองบัญชาการกลางสหรัฐฯ, Twitter และ YouTube ที่กระทำโดยกลุ่มโซเซียลมีเดียของกลุ่มรัฐอิสลามในเครือข่ายญิฮาด ₇ Home Depot, JP Morgan Chase และ Anthem ก็ตกอยู่ภายใต้เหตุการณ์การแฮ็กเมื่อเร็วๆ นี้ 

ที่ปรึกษาสำคัญของประธานฯ เปิดเผยว่า มีการจัดตั้งกลุ่มรักษาความปลอดภัยทางไซเบอร์ใหม่ 3 กลุ่ม สิ่งนี้เป็นไปตามคำสั่งผู้บริหารฉบับใหม่ซึ่งสนับสนุนความสามารถของเฟดในการเทียบข้อมูลระหว่างภาคเอกชนและรัฐบาล หน่วยงานที่เปิดตัวครั้งแรก ได้แก่ Cyber Response Group, ศูนย์บูรณาการข่าวกรองภัยคุกคามทางไซเบอร์ และศูนย์บูรณาการความปลอดภัยทางไซเบอร์และการสื่อสารแห่งชาติ ในอนาคตยังจะได้เห็นการพัฒนาอย่างต่อเนื่องของ อสม. (องค์กรแบ่งปันข้อมูลและการวิเคราะห์) ซึ่งควรอำนวยความสะดวกอย่างมากในการรวบรวมข้อมูลความปลอดภัยทางไซเบอร์ที่สำคัญ

ตัวขับเคลื่อนหลักสำหรับการปฏิบัติตามข้อกำหนดของ NERC

มาตรฐานความน่าเชื่อถือของ NERC มีผลกระทบต่อบริษัทพลังงานอย่างไม่มีวันลบเลือน เนื่องจากหน่วยงานภายในภาคพลังงานจัดการกับการนำมาตรฐานใหม่เหล่านี้ไปใช้บังคับ ปัจจัยขับเคลื่อนหลักของการปฏิบัติตามกฎระเบียบและกฎหมายจึงแตกต่างกันไป ขึ้นอยู่กับขนาดของบริษัทที่ได้รับผลกระทบ ทัศนคติใน C Suite แรงกดดันจากผู้ถือหุ้น และอิทธิพลภายนอกของผู้ขาย NERC ยังคงอำนวยความสะดวกในการฝึกอบรมและการรับรองผู้เชี่ยวชาญด้านความปลอดภัยที่สำคัญในความพยายามที่จะเพิ่มพูนทักษะบรอดแบนด์ทั่วทั้งแพลตฟอร์ม และยืนยันรอยเท้าด้านความปลอดภัยทางไซเบอร์ภายในระบบไฟฟ้าเทกอง เมื่อความสามารถด้านเทคนิคของอาชญากรไซเบอร์เติบโตขึ้น ผู้ที่ได้รับความไว้วางใจในการปกป้องโครงสร้างพื้นฐานด้านพลังงานที่มีช่องโหว่ของเราจะต้องก้าวนำหน้าหนึ่งก้าวผ่านการสื่อสารระหว่างอุตสาหกรรม และโดยการร่วมมือกับ NERC และหน่วยงานภาครัฐที่เกี่ยวข้อง

NERC CIP 

การปฏิบัติตามข้อกำหนดของ NERC CIP ช่วยสาธารณูปโภคในการพัฒนาวาระการรักษาความปลอดภัยและโปรโตคอลเพื่อปกป้องทรัพย์สินโครงสร้างพื้นฐานที่สำคัญจากการโจมตีทางไซเบอร์และการหยุดชะงักของบริการ การป้องกันโครงสร้างพื้นฐานที่สำคัญ (CIP) บรรทัดฐานกำหนดข้อกำหนดที่จำเป็นสำหรับการปฏิบัติตามข้อกำหนดและตรวจสอบให้แน่ใจว่าระบบไฟฟ้าจำนวนมากรักษาความน่าเชื่อถือ ความก้าวหน้าทางเทคโนโลยีอย่างรวดเร็วและความสามารถที่เพิ่มขึ้นของผู้โจมตีทางไซเบอร์ทำให้การปฏิบัติตามกฎระเบียบทำได้ยากและมีความสำคัญมากขึ้น ในการบูรณาการครั้งที่ห้า (เวอร์ชัน 5) มาตรฐาน CIP ช่วยในการระบุสินทรัพย์ที่สำคัญของบริษัท และช่วยในการระบุผู้ที่เชื่อมโยงกับสินทรัพย์เหล่านั้น และหน่วยงานใดที่สามารถเข้าถึงสินทรัพย์เหล่านั้นได้ NERC CIP ครอบคลุมการป้องกันเชิงตรรกะ ความปลอดภัยทางกายภาพ และการควบคุมการจัดการความปลอดภัย ขั้นตอนที่ 8 และ 9 จัดการกับการตอบสนองด้านความปลอดภัยทางไซเบอร์และการกู้คืนความเสียหายที่มีประสิทธิภาพ

แม้จะมีมาตรฐานและข้อบังคับเหล่านี้ แต่บางคนก็รู้สึกว่ายังดำเนินการไม่เพียงพอ คำถามเกิดขึ้น; การปฏิบัติตามกฎระเบียบง่ายๆ เพียงพอหรือไม่ มันให้การรักษาความปลอดภัยและการป้องกันที่จำเป็นจริง ๆ หรือไม่ที่โครงสร้างพื้นฐานด้านพลังงานที่จำเป็นของเราต้องการในปี 21^{เซนต์} ศตวรรษ? บทความนี้จะกล่าวถึงประเด็นดังกล่าวต่อไป 

กรอบการทำงาน NIST

NIST Cybersecurity Framework มีศักยภาพในการขับเคลื่อนพฤติกรรมในอนาคตภายในทุกภาคส่วน  กรอบการทำงานนี้ไม่เชื่อเรื่องพระเจ้าในแง่ที่ว่าช่วยอำนวยความสะดวกในการปรับบทสนทนาระหว่างผู้คนที่กำลังพูดถึงความปลอดภัยทางไซเบอร์ให้เป็นมาตรฐาน ทำให้สามารถรวมตัวกันรอบชุดแนวคิด แนวคิด และหลักการได้

NIST Special Publication 800-53 Revision 4 เป็นการอัปเดตกรอบการทำงาน “ได้รับแรงบันดาลใจหลักจากพื้นที่ภัยคุกคามที่ขยายตัว—โดดเด่นด้วยความซับซ้อนที่เพิ่มขึ้นของการโจมตีทางไซเบอร์และจังหวะการดำเนินการของฝ่ายตรงข้าม (เช่น ความถี่ของการโจมตีดังกล่าว ความเป็นมืออาชีพของ ผู้โจมตีและความคงอยู่ของการกำหนดเป้าหมายโดยผู้โจมตี)”₈ 800-53 กำลังเร่งการพัฒนาการควบคุมความปลอดภัยที่เกี่ยวข้องโดยตรงกับความปลอดภัยของแอปพลิเคชัน การประมวลผลแบบเคลื่อนที่/คลาวด์ และการป้องกันห่วงโซ่อุปทาน

NIST Framework เป็นองค์ประกอบสำคัญในการปรับปรุงความปลอดภัยทางไซเบอร์สำหรับโครงสร้างพื้นฐานด้านพลังงานที่สำคัญของเรา มีศักยภาพในการสร้างบทสนทนาที่จำเป็นเพื่อให้เข้าใจฐานภัยคุกคามได้ดีขึ้น และวิธีที่ผู้เชี่ยวชาญในอุตสาหกรรมสามารถตอบสนองต่อภัยคุกคามทางไซเบอร์เหล่านั้นได้ดีที่สุด ไม่ว่าจะเป็นภัยคุกคามขั้นสูงและต่อเนื่อง หรือไม่ว่าจะเป็นผลงานของแฮ็กเกอร์ในชีวิตประจำวันก็ตาม

ขับเคลื่อนให้ปฏิบัติตาม

ในขณะที่ภาคพลังงานและอุตสาหกรรมอื่น ๆ ก้าวไปข้างหน้า การปฏิบัติตามกฎระเบียบถือเป็นแรงจูงใจหลักและเป็นแรงผลักดันให้เกิดการเปลี่ยนแปลงที่เกี่ยวข้องกับการนำมาตรการรักษาความปลอดภัยทางไซเบอร์ที่พัฒนาขึ้นมาไปใช้ มีเพียงองค์กรที่ใหญ่ที่สุดในอุตสาหกรรมน้ำมันและก๊าซ ซึ่งมักเป็นส่วนหนึ่งของกิจการท่อส่งก๊าซข้ามชาติเท่านั้นที่ถูกมองว่าเป็นเป้าหมายที่น่าสนใจสำหรับการโจมตีทางไซเบอร์ในระดับโลก บริษัทเหล่านี้คือบริษัทที่สมัครใจก้าวไปข้างหน้าในการปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์ด้วยตนเอง การกำหนดเป้าหมายที่รับรู้นี้เป็นตัวขับเคลื่อนอย่างแท้จริง บริษัทขนาดเล็กมีแนวโน้มที่จะรู้สึกว่าถูกกำหนดเป้าหมายน้อยกว่า ดังนั้นพวกเขาจึงได้รับแรงบันดาลใจจากข้อกำหนดด้านการปฏิบัติตามกฎระเบียบเป็นหลัก

อิทธิพลของ C-Suite

องค์กรหลายแห่งได้รับแรงผลักดันจากการตัดสินใจของ C-Suite เป็นหลักในเรื่องการปฏิบัติตามข้อกำหนดของ NERC มีการแย่งชิงอำนาจมากมายภายในองค์กรที่ได้รับผลกระทบว่าใครเป็นผู้ควบคุมอะไรและใครมีอำนาจ และแรงผลักดันที่จะทำให้สิ่งต่าง ๆ เกิดขึ้นภายในบริษัทที่กำหนด บ่อยครั้งที่มีการขาดการเชื่อมต่อระหว่างบุคลากรด้าน IT และ OT ส่งผลให้ขาดการทำงานร่วมกันที่เป็นประโยชน์ กฎเกณฑ์ต่างๆ ไม่สามารถละเลยได้ และกฎเกณฑ์เหล่านี้สร้างแรงจูงใจให้องค์กรดำเนินการในลักษณะที่ได้รับคำสั่ง แต่การปฏิบัติตามกฎระเบียบนั้นแตกต่างจากการรักษาความปลอดภัย มีความแตกต่างอย่างมากจากบริษัทหนึ่งไปยังอีกบริษัทหนึ่งว่าสิ่งใดที่ก่อให้เกิดความปลอดภัยที่แท้จริง หรือหากการปฏิบัติตามในตัวเองก็เพียงพอแล้ว ผู้ที่ยอมปฏิบัติตามกฎระเบียบอาจทำให้ตนเองเสี่ยงต่อการถูกแฮ็กและการโจมตีทางไซเบอร์

สร้างความพึงพอใจให้กับผู้มีส่วนได้ส่วนเสียและผู้ถือหุ้น

ภาครัฐและเอกชนยังมีหน่วยงานอื่นที่ต้องพิจารณาในการนำมาตรฐาน NERC ไปใช้ นักล็อบบี้และผู้ที่พวกเขาเป็นตัวแทนมีความเสี่ยงอย่างมากเมื่อพูดถึงความพยายามด้านความปลอดภัยทางไซเบอร์ เช่นเดียวกับผู้ถือหุ้นในอุตสาหกรรมภาคเอกชน ทั้งคู่จะต้องพึงพอใจและการบรรลุผลนั้นไม่ใช่เรื่องเล็กๆ รัฐบาลอยู่ภายใต้แรงกดดันที่จะต้องรักษาเกณฑ์การปฏิบัติตามกฎระเบียบให้ต่ำ ซึ่งทำให้ภาคพลังงานไฟฟ้าบรรลุได้ยากอย่างแท้จริง จริง การรักษาความปลอดภัยจากการโจมตีทางไซเบอร์ ในอุตสาหกรรมสาธารณูปโภค การกำกับดูแลด้านกฎระเบียบใดๆ จะต้องเสียเงิน ซึ่งเป็นผลสำคัญซึ่งจะส่งผลกระทบต่อผู้ถือหุ้น การแลกเปลี่ยนข้อมูลที่มีความหมายใดๆ ก็ตามจะต้องอาศัยความพยายามควบคู่กัน ดังที่ประธานาธิบดีโอบามากล่าวไว้ในการประชุมสุดยอดความปลอดภัยทางไซเบอร์เมื่อเร็วๆ นี้ -รัฐบาลไม่สามารถทำเช่นนี้ได้โดยลำพัง แต่ความจริงก็คือภาคเอกชนไม่สามารถดำเนินการได้เพียงลำพัง เนื่องจากเป็นรัฐบาลที่มักจะมีข้อมูลล่าสุดเกี่ยวกับภัยคุกคามใหม่ๆ”₉

อิทธิพลของผู้ขาย

ผู้ขายกำลังพยายามที่จะกำหนดอิทธิพลของตนเองในการดำเนินการตามมาตรการรักษาความปลอดภัยทางไซเบอร์ในภาคพลังงานอย่างต่อเนื่อง บริษัทส่วนใหญ่ที่มีระบบควบคุมระดับสากลใช้อุปกรณ์จากผู้ขายหลายราย  ผู้จำหน่ายเหล่านี้รวมความปลอดภัยและการมองเห็นผลิตภัณฑ์ของตนเข้าด้วยกัน “ ดูเหมือนว่าจะไม่มีหน่วยงานเดียวที่สร้าง HDB (ระบบฐานข้อมูลที่แตกต่างกัน) เพื่อรวมระบบการจัดการฐานข้อมูลที่แตกต่างกันทั้งหมดและนำเสนอผู้ใช้ด้วยอินเทอร์เฟซแบบสอบถามแบบครบวงจรเดียว” ₁₀ สิ่งนี้ไม่เพียงแต่ต้องอาศัยหน่วยงานมาตรฐานในการสื่อสารกับผู้ผลิตเท่านั้น แต่ยังเกี่ยวข้องกับผู้ผลิตที่พูดคุยกันเพื่อสร้างกลุ่ม จากการพิจารณาทั้งหมดแล้ว ไม่มีหน่วยงานใดที่จะเป็นตัวขับเคลื่อนหลักในการปฏิบัติตามข้อกำหนดของ NERC ผู้ใช้ปลายทาง หน่วยงานมาตรฐาน และผู้จำหน่ายระบบควบคุมระหว่างประเทศจะต้องรวมความพยายามเพื่อให้บรรลุผลสำเร็จในการดำเนินการ

ผู้มีอิทธิพลหลักในด้านความมั่นคงของภาคพลังงาน

แม้ว่า NERC อาจมีอิทธิพลมากที่สุด แต่บริษัทภายนอกอื่นๆ หน่วยงานกำกับดูแล และฟอรัมต่างๆ ยังสนับสนุนและปรับปรุงการดำเนินงานด้านความปลอดภัยในภาคพลังงานอีกด้วย NERC เป็นผู้ที่แข็งแกร่งที่สุดเนื่องจากเป็นหน่วยงานที่ได้รับมอบหมายจากคณะกรรมการกำกับดูแลพลังงานของรัฐบาลกลาง (FERC). พวกเขามีการกำกับดูแลด้านกฎระเบียบเพื่อกำหนดมาตรฐานความปลอดภัยที่ควรปฏิบัติตาม และพวกเขามีความสามารถในการเรียกเก็บค่าปรับที่มีผลกระทบทางการเงินอย่างมีนัยสำคัญ NERC มีความสามารถในการส่งผลกระทบต่อบริษัทที่มีอำนาจบนโซเชียลมีเดีย มีอิทธิพลต่อวัฒนธรรมของบริษัท และสร้างชื่อเสียงให้กับบริษัทเหล่านั้น  แม้จะมีอิทธิพลอย่างเห็นได้ชัด แต่ก็มีข้อสงสัยบางประการว่า NERC มีความสามารถด้านเทคนิคในการทำสิ่งที่ต้องทำให้สำเร็จ

ต้องปฏิบัติตาม NERC CIP เว้นแต่จะมีหน่วยงานอยู่ในพื้นที่ของรัฐบาลกลาง โรงไฟฟ้าบางแห่งในฝั่งรัฐบาลกลาง เช่น TVA และ Bonneville Power มีงานเพิ่มเติมที่ต้องทำ พวกเขาต้องเป็นไปตามมาตรฐานการปฏิบัติตามข้อกำหนดของ NERC CIP และยังเป็นไปตามข้อกำหนดและแนวปฏิบัติของ FISMA (Federal Information Security Management Act) และ NIST (National Institutes of Standards and Technology) พวกเขาต้องการให้แน่ใจว่าพวกเขาบรรลุเป้าหมาย CIP และเป้าหมายการควบคุมของ NIST และหลีกเลี่ยงการทำซ้ำกระบวนการและมีส่วนร่วมในงานที่ไม่จำเป็น 

สปิค (สมาคมส่งเสริมเทคโนโลยีสารสนเทศ) ในเมืองจันดิการ์ ประเทศอินเดีย มีอิทธิพลในการพัฒนากริดอัจฉริยะเพื่อสร้างมาตรฐานอุตสาหกรรม ในยุโรป คณะกรรมาธิการไฟฟ้าเทคนิคระหว่างประเทศ (ไออีซี)”เป็นเวทีสำหรับบริษัท อุตสาหกรรม และรัฐบาลในการประชุม หารือ และพัฒนามาตรฐานสากลที่พวกเขาต้องการ ผู้เชี่ยวชาญกว่า 10,000 รายจากอุตสาหกรรม การพาณิชย์ รัฐบาล ห้องปฏิบัติการทดสอบและวิจัย นักวิชาการ และกลุ่มผู้บริโภค เข้าร่วมในงานมาตรฐาน IEC”₁₁ IEC ทำงานร่วมกับองค์การระหว่างประเทศเพื่อการมาตรฐาน (ไอเอสโอ) และสหภาพโทรคมนาคมระหว่างประเทศ (ไอทียู) เพื่อบูรณาการและรวมมาตรฐานระดับโลกและรวบรวมความรู้จากผู้เชี่ยวชาญในอุตสาหกรรมทั่วโลก 

อนาคตจะส่งผลกระทบต่อมาตรฐาน NERC อย่างไร

ภัยคุกคามที่มีอยู่ตลอดเวลาจากการโจมตีทางไซเบอร์ การแฮ็ก และการจารกรรมจะยังคงกำหนดรูปแบบและกำหนดวิวัฒนาการในอนาคตของมาตรฐาน NERC และมาตรการทางอุตสาหกรรมที่เกี่ยวข้องซึ่งออกแบบมาเพื่อรักษาความปลอดภัยโครงสร้างพื้นฐานด้านพลังงาน ประเทศ รัฐบาล และกลุ่มการเมือง/ศาสนาที่เป็นศัตรูอื่นๆ อาจกำหนดเป้าหมายไปที่อเมริกาเหนือและระบบไฟฟ้าจำนวนมากของเรา นี่เป็นปัจจัยแบบไดนามิกอย่างแน่นอนเมื่อพิจารณาถึงอนาคตของความปลอดภัยทางไซเบอร์ในสหรัฐอเมริกาและต่างประเทศ ในอีกไม่กี่ปีข้างหน้าจะได้เห็นความสามารถในการตรวจจับแบบเรียลไทม์เพิ่มมากขึ้นอย่างแน่นอน ซึ่งตรงข้ามกับการพึ่งพาการคาดการณ์และการวิเคราะห์แนวโน้มในปัจจุบัน

แม้จะมีความพยายามทั่วทั้งอุตสาหกรรมในการสนับสนุนความปลอดภัยของโครงสร้างพื้นฐานด้านพลังงาน แต่บางคนก็รู้สึกว่าระบบที่สร้างขึ้นและใช้งานในปัจจุบันไม่สามารถทนต่อการโจมตีทางไซเบอร์ระดับสูงได้ ด้วยเหตุนี้ NIST Special Publication 800-160 จึงพยายามให้คำนิยาม "กระบวนการทางวิศวกรรมความปลอดภัยของระบบที่เชื่อมโยงอย่างแน่นหนาและบูรณาการเข้ากับระบบและกระบวนการทางวิศวกรรมซอฟต์แวร์ตามมาตรฐานสากลที่เป็นที่ยอมรับอย่างดี"₁₂ ดำเนินงานภายใต้คำขวัญ "สร้างให้ถูกต้อง ตรวจสอบอย่างต่อเนื่อง" พวกเขาได้ริเริ่มโครงการสี่ระยะที่ช่วยให้นักพัฒนาระบบและผู้รวมระบบสามารถรวมแนวปฏิบัติด้านความปลอดภัยของ NIST เข้ากับซอฟต์แวร์และระบบของตนได้ นอกจากนี้ยังหวังว่า 800-160 จะช่วยอำนวยความสะดวกในการเจรจาที่ดีขึ้นระหว่างวิศวกรระบบและวิศวกรความปลอดภัยของระบบ เพื่อประโยชน์ในการลดขนาดภัยคุกคามจากการโจมตีทางไซเบอร์

การเปลี่ยนแปลงที่ขับเคลื่อนด้วยเทคโนโลยี

ดูเหมือนว่าเวลาจะไม่เข้าข้างความพยายามด้านความปลอดภัยทางไซเบอร์ในภาคพลังงานในอเมริกาเหนือ หน่วยงานกำกับดูแลกำลังพยายามกระตุ้นการเปลี่ยนแปลงที่ก้าวหน้า แต่ผู้จำหน่ายระบบควบคุมระหว่างประเทศมักจะเคลื่อนไหวช้า และบริษัทขนาดใหญ่มักไม่เต็มใจที่จะลงทุนในสิ่งใดก็ตามที่อยู่นอกเหนือระบบของตนเอง เทคโนโลยีเกิดใหม่อาจเป็นตัวสร้างการเปลี่ยนแปลงที่จำเป็นในการปลุกตลาด และช่วยให้บุคลากร OT ติดตั้งผลิตภัณฑ์ที่เป็นนวัตกรรมใหม่ที่ไม่ขัดขวางการดำเนินงานของตน เทคโนโลยีเหล่านี้ยังช่วยให้ผู้เชี่ยวชาญด้านไอทีสามารถจัดเตรียมมาตรการรักษาความปลอดภัยที่เหมาะสมได้

การเปลี่ยนแปลงตัวเองเป็นอุปสรรคสำหรับธุรกิจขนาดใหญ่ส่วนใหญ่ในภาคพลังงานภาคเอกชน บ่อยครั้งที่เทคโนโลยีที่พวกเขามีอยู่ในปัจจุบันมีการใช้งานมาหลายปีแล้ว ไม่ได้ออกแบบมาให้รวมเข้ากับผลิตภัณฑ์รักษาความปลอดภัยที่ใหม่กว่าและปลอดภัยกว่า แนวทางใหม่ๆ ที่นำเสนอโดยผู้จำหน่ายความปลอดภัยระดับองค์กรมักจะพบกับการต่อต้าน และผลิตภัณฑ์ใหม่ๆ ที่ใช้นั้นเป็นการผสมผสานระหว่างโซลูชันระดับองค์กรที่แตกต่างกัน ซึ่งจำเป็นต้องปรับเปลี่ยนเพื่อบูรณาการกับระบบที่มีอยู่

ตามหลักการแล้ว จำเป็นต้องมีโครงสร้างความปลอดภัยทางเทคโนโลยีเพื่อการป้องกันซึ่งครอบคลุมอุตสาหกรรมพลังงานไฟฟ้าจำนวนมาก แต่ต้องใช้เงินลงทุนเริ่มแรกเพียงไม่กี่คนที่ยินดีจะทำ ไม่มีใครผลักดันวาระการรวมกลุ่ม IT และ OT เข้าด้วยกัน เพื่อให้สามารถทำงานร่วมกันในการติดตั้งเทคโนโลยีใหม่ได้ แม้แต่กระบวนการที่เป็นพื้นฐานอย่างการแพตช์ HMI หรือเครื่องจักรใดๆ ที่เกี่ยวข้องกับการปฏิบัติงานก็ยังถือเป็นความท้าทายที่น่ากลัว NERC เวอร์ชัน 5 ได้กำหนดกฎระเบียบในการแพตช์ แต่แม้ว่ากระบวนการจะเป็นแบบอัตโนมัติ ผู้จำหน่ายมักจะต้องใช้เวลาหลายเดือนกว่าจะอนุมัติแพตช์ และในระหว่างนี้ โรงไฟฟ้าจะไม่ได้รับการคุ้มครอง

กระบวนการขององค์กรกระแสหลักในวงจรการรักษาความปลอดภัย

การทำแผนที่ระหว่างหน่วยงานถือเป็นสิ่งสำคัญอย่างยิ่งในการทำให้การควบคุมความปลอดภัยมีความครอบคลุมและมีประสิทธิภาพมากขึ้น NERC CIPs, ISO 27000 ควบคุม ไม่ว่าบริษัทผลิตภัณฑ์ใดก็ตามจะใช้เพื่อเพิ่มความพยายามด้านความปลอดภัยทางไซเบอร์ สิ่งเหล่านี้จะแมปกับสิ่งที่ NIST หรือ ISO ได้ทำหรือไม่  ชุด "แนวทางปฏิบัติที่ดีที่สุด" จำเป็นต่อการก้าวข้ามมาตรฐานและการควบคุมที่แตกต่างกันเหล่านี้ สำหรับผู้ผลิตที่มีการควบคุมการเข้าถึงและการระบุตัวตน การรับรองความถูกต้อง และการเข้ารหัสระบบในตัว กระบวนการนี้อาจมีความซับซ้อนมากยิ่งขึ้น บ่อยครั้งที่ซอร์สโค้ดและองค์ประกอบการออกแบบที่สำคัญอื่นๆ ที่สำคัญสำหรับนักพัฒนาไม่สามารถเข้าถึงได้ ฝังอยู่ในฮาร์ดแวร์ ซอฟต์แวร์ และเฟิร์มแวร์ของระบบที่พวกเขาไม่สามารถเข้าถึงได้ เพื่อแก้ไขสถานการณ์นี้ การควบคุม NERC CIP, NIST และ ISO จำเป็นต้องได้รับการบูรณาการตั้งแต่เนิ่นๆ ในกระบวนการออกแบบและพัฒนาวงจรการรักษาความปลอดภัย ท้ายที่สุดแล้ว การป้องกันความปลอดภัยทางไซเบอร์ถือเป็นกีฬาประเภททีม โครงสร้างพื้นฐานที่สำคัญไม่เพียงแต่ต้องใช้งานได้เท่านั้น แต่ยังต้องทำงานตลอด 24 ชั่วโมงทุกวันอีกด้วย มีผู้เล่นหลักหลายคนที่เกี่ยวข้องกับภาครัฐและเอกชน และในแง่บวก นักพัฒนาซอฟต์แวร์กำลังทำหลายสิ่งที่พวกเขาจำเป็นต้องทำอยู่แล้ว

การประกันภัยความปลอดภัยทางไซเบอร์

ออกแบบมาเพื่อลดการสูญเสียที่เกิดขึ้นจากเหตุการณ์ทางไซเบอร์ (การโจรกรรมข้อมูล การทำลายเครือข่าย และการหยุดชะงักของการค้า) การประกันภัยความปลอดภัยทางไซเบอร์ยังอยู่ในขั้นเริ่มต้นของการดำเนินการ สิ่งนี้เห็นได้ชัดเจนแล้วในอุตสาหกรรมบัตรเครดิต/การชำระเงิน บริษัทประกันภัยอยู่ในช่วงเริ่มต้นของการรณรงค์เพื่อพยายามสร้างแบบจำลองอะไร ความเสี่ยงใหญ่ และประกันจะเป็นอย่างไรหากผู้ผลิตไฟฟ้าได้รับการประกันความเสี่ยงทางไซเบอร์ อาจต้องใช้เวลาอีกระยะหนึ่งเนื่องจากไม่มีการแพร่กระจายของข้อมูลอาชญากรรมไซเบอร์ในภาคพลังงานเพื่อสร้างตารางคณิตศาสตร์ประกันภัย “อาชญากรรมทางไซเบอร์ละเมิดบริษัทที่มีต้นทุนเฉลี่ย $1 – $3 ล้านในความเสียหาย ซึ่งอาจทำให้ธุรกิจขนาดเล็กล้มละลาย ยุยงให้เกิดการฟ้องร้องทางแพ่ง และทำให้ต้องเสียค่าปรับ”₁₃

การโจมตีทางไซเบอร์อาจลดลงได้เมื่อมีตลาดประกันภัยความปลอดภัยทางไซเบอร์ที่ดี
ผลประโยชน์ด้านพลังงานซึ่งกำหนดมาตรการป้องกันและ "แนวปฏิบัติที่ดีที่สุด" อาจได้รับความครอบคลุมมากขึ้น ในปัจจุบัน บริษัทหลายแห่งปฏิเสธความคุ้มครองที่มีอยู่ เนื่องจากพวกเขาเชื่อว่าค่าใช้จ่ายเป็นสิ่งที่ห้ามปราม พวกเขาไม่แน่ใจว่าจะครอบคลุมอะไรบ้าง และพวกเขายินดีที่จะเสี่ยงว่าจะไม่ตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ เมื่อเร็วๆ นี้ กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ได้รวบรวมผลประโยชน์ของภาครัฐและเอกชนที่หลากหลาย “เพื่อตรวจสอบสถานะปัจจุบันของตลาดประกันภัยความปลอดภัยทางไซเบอร์ และวิธีพัฒนาขีดความสามารถให้ดีที่สุดเพื่อจูงใจการจัดการความเสี่ยงทางไซเบอร์ที่ดีขึ้น-₁₄

ผู้มีอิทธิพลหลักของการดำเนินการด้านความปลอดภัยทางไซเบอร์

เนื่องจากมาตรฐานความปลอดภัยของ NERC มีการพัฒนาและปรับปรุงอย่างต่อเนื่อง FERC และบริษัทสาธารณูปโภคจึงให้ข้อมูลที่สำคัญและความคิดเห็นเชิงสร้างสรรค์เพื่อส่งเสริมการปรับปรุงอย่างต่อเนื่อง  ผู้จำหน่ายกำลังขับเคลื่อนการพัฒนามาตรฐานและช่วยเหลือแนวทางปฏิบัติอย่างแน่นอน แต่ละฝ่ายมีอิทธิพลมากน้อยเพียงใดนั้นเป็นประเด็นที่ต้องถกเถียงกัน การดำเนินงานภายใต้สมมติฐานที่ว่าทุกความคิดได้รับการต้อนรับและถูกต้อง ผู้ที่ยินดีทำงานกับมาตรฐานสามารถมีอิทธิพลต่อความคิดเหล่านั้นได้ก่อนที่จะมีการสรุปผลในที่สุด เมื่อเข้าที่แล้ว ก็ทำอะไรไม่ได้นอกจากรอเวอร์ชันถัดไปที่จะเปิดตัว บางคนเชื่อว่าผู้ที่ได้ผลลัพธ์ที่ดีที่สุดคือผู้ที่ตะโกนดังที่สุด บุคคลที่ฉลาดหลายคนแบ่งปันความคิดเห็นอันทรงคุณค่าของตนต่อคณะกรรมการต่างๆ และผู้ที่มีอิทธิพลมากที่สุดสามารถส่งผลต่อการเปลี่ยนแปลงได้อย่างแท้จริง

DOE และความมั่นคงแห่งมาตุภูมิ

บุคคลในวงการอุตสาหกรรมส่วนใหญ่อ้างถึงกระทรวงพลังงาน (DOE) และกระทรวงความมั่นคงแห่งมาตุภูมิว่าเป็นผู้ให้บริการหลักในการมีอิทธิพลและการกำกับดูแลในการพัฒนามาตรฐานและกฎระเบียบของ NERC CIP DOE ได้ระบุห้องปฏิบัติการและศูนย์ความเป็นเลิศหลายแห่งที่ได้ริเริ่มและมุ่งเน้นไปที่การนำบุคลากรที่มีคุณภาพมาทำงานในด้านต่างๆ ของภูมิทัศน์ความปลอดภัยทางไซเบอร์  กลุ่มอื่นๆ เช่น NEI อาจส่งผลกระทบอย่างมากต่อการพัฒนามาตรฐาน NERC “ผู้ทำการแนะนำชักชวนสมาชิกรัฐสภา NEI ขยายอิทธิพลของพวกเขาในปี 2014 โดยดึงดูดความสนใจไปยังวาระการประชุมของพวกเขาด้วยรายจ่ายในการล็อบบี้มากกว่า $2 ล้าน”₁₅ หน่วยงานเหล่านี้และหน่วยงานอื่นๆ จำนวนมากมีปฏิสัมพันธ์กับหน่วยงานระบบไฟฟ้าจำนวนมากเพื่อแก้ไขปัญหาเร่งด่วนที่ส่งผลกระทบต่อโครงสร้างพื้นฐานด้านพลังงานของประเทศ บริษัทที่มีบทบาทมากที่สุดในกระบวนการนี้ โดยเฉพาะบริษัทขนาดใหญ่ มีแนวโน้มที่จะส่งผลกระทบต่อกระบวนการในระดับที่สูงกว่า

แม้ว่าจะมีแนวทางที่เป็นประโยชน์ แต่การปฏิบัติตามมาตรฐานที่แนะนำนั้นไม่ใช่กฎหมาย สาธารณูปโภคและผู้ขายได้เสนอแนวทางปฏิบัติมาตรฐานที่เป็นประโยชน์บางประการ แต่ก็ไม่ได้บังคับ ดังนั้นแต่ละบริษัทจึงตัดสินใจว่าต้องการปฏิบัติตามหรือไม่ สิ่งสำคัญคือบริษัทสาธารณูปโภคและผู้ขายจะต้องร่วมมือกันมากขึ้นเพื่อสร้างมาตรฐานและแนวปฏิบัติ  NERC และ NIST ไม่สามารถดำเนินการได้ด้วยตนเอง แม้ว่า NERC จะสามารถมีอิทธิพลและกำหนดเกณฑ์เริ่มต้นในท้ายที่สุดได้

อิทธิพลของบริษัทไฟฟ้า

ทีมงานร่างของ NERC ประกอบด้วยบุคลากรในอุตสาหกรรม ดังนั้นจึงเป็นการทำงานร่วมกัน คนเหล่านี้คือคนจริงๆ ที่สวมรองเท้าบู๊ตภาคพื้นดินที่ทำงานในแต่ละวัน โดยให้ข้อมูลแก่ทีมร่างมาตรฐาน หลายคนเป็นสมาชิกของอุตสาหกรรมพลังงานซึ่งมีการกระจายอำนาจมาก บริษัทต่างๆ ในภาคพลังงานมีโครงสร้างอัตราที่แตกต่างกันในรัฐต่างๆ ซึ่งส่งผลต่อความสามารถในการทำกำไรและค่าบริการที่อาจเรียกเก็บ

เมื่อโรงไฟฟ้าจำเป็นต้องปรับปรุงความปลอดภัยทางไซเบอร์ จำเป็นต้องมีการลงทุนจำนวนมากและจะต้องมีคนยอมจ่ายเงินเพื่อสิ่งนั้น ผลกำไรของบริษัทจะต้องได้รับการพิจารณาให้เป็นส่วนหนึ่งของการอภิปรายเรื่องความปลอดภัยทางไซเบอร์ เนื่องจากเป็นความเป็นจริงทางธุรกิจ และผู้มีส่วนได้ส่วนเสียก็ควรได้รับความพึงพอใจ ข้อพิจารณาทางการเงินอาจกำหนดได้ว่าจะใช้การควบคุมความปลอดภัยหรือไม่ และข้อเท็จจริงนี้จำเป็นต้องเน้นย้ำในการอภิปรายเกี่ยวกับการปรับมาตรฐานและกฎระเบียบใหม่  ประเทศชาติต้องมีอำนาจอย่างแน่นอน  เป็นหนึ่งในภาคส่วนโครงสร้างพื้นฐานที่สำคัญที่สุด เพราะเช่นเดียวกับเทคโนโลยีสารสนเทศ  มันอยู่เหนือทุกสิ่ง 

อิทธิพลของสถาบันวิจัย

สถาบันวิจัย เช่น EPRI, Cyber Security Center of Excellence และ NSCO มีอิทธิพลในการพัฒนามาตรฐานความปลอดภัยของ NERC CIP เนื่องจากมีความเชี่ยวชาญในระดับสูง ผู้มีส่วนได้ส่วนเสียจากองค์กรต่างๆ มากมายมาที่โต๊ะด้วยความเห็นพ้องต้องกันเพื่อสร้างมาตรฐานรุ่นต่อไป แน่นอนว่าแต่ละองค์กรมีวาระการประชุมของตนเองในการส่งเสริม และท้ายที่สุดแล้วสิ่งนี้จะกำหนดทิศทางของมาตรฐานให้ดีขึ้นหรือแย่ลงในที่สุด กระบวนการตรวจสอบสาธารณะและมาตรฐานย่อยยังมีบทบาทในการกำหนดลักษณะเฉพาะของการแก้ไข NERC CIP ใหม่

ความยากในการปฏิบัติตาม NERC

เมื่อกฎระเบียบและมาตรฐานของ NERC CIP ได้รับการแก้ไขและตกลงกันแล้ว กฎระเบียบและมาตรฐานของ NERC CIP จะถูกนำไปใช้ในภาคพลังงาน น่าเสียดายที่ทีมปฏิบัติตามกฎระเบียบ ทีมกฎหมาย และผู้จัดการประสบปัญหาในการตีความคำแนะนำและข้อกำหนดเหล่านี้อย่างแม่นยำ พวกเขามักจะไม่แน่ใจว่าจะต้องดำเนินการอย่างไร แม้ว่าคนส่วนใหญ่เต็มใจและพร้อมที่จะปฏิบัติตาม แต่บางคนพบว่าเป็นการยากที่จะแยกแยะความหมายอย่างเป็นทางการของภาษากำกับดูแล สิ่งนี้อาจทำให้เกิดความสับสนสำหรับบุคลากรด้านการปฏิบัติตามกฎระเบียบที่ถูกบังคับให้ต้องอาศัยการตีความมาตรฐานและกฎระเบียบของ NERC โดยไม่ได้ตั้งใจและคลุมเครือ

ที่ คือ (เครื่องมือ ระบบ และระบบอัตโนมัติ) ให้ข้อมูลอ้างอิงโดยละเอียดสำหรับแนวทางปฏิบัติและคำแนะนำเกี่ยวกับวิธีการนำข้อกำหนดของ NERC ไปใช้ เพื่อช่วยให้แน่ใจว่าทุกคนเดินไปในทิศทางเดียวกัน การประชุม Cybersecurity Conference ของ ISA ประจำปี 2014 “ให้ความกระจ่างเกี่ยวกับสิ่งที่สามารถทำได้เพื่อปกป้องเครือข่ายอุตสาหกรรมและระบบควบคุมจากความเสียหายร้ายแรงที่อาจสร้างความเสียหายร้ายแรงจากภัยคุกคามทางไซเบอร์”₁₆

เพื่อรับมือกับลักษณะที่ไม่ชัดเจนของ NERC CIP บริษัทหลายแห่งกำลังบันทึกอย่างแข็งขันว่าพวกเขาตั้งใจที่จะปฏิบัติตาม บรรเทา หรือปฏิบัติตามข้อกำหนดอย่างไร และหวังว่าผู้ตรวจสอบบัญชีจะได้รับประโยชน์จากการเก็บบันทึกอย่างขยันขันแข็งนี้ เนื่องจากมีการตีความหลายอย่างในปัจจุบัน ผู้ตรวจสอบจึงสามารถทราบได้เพียงว่าบริษัทดำเนินการตามที่กล่าวไว้ว่าตั้งใจจะทำเกี่ยวกับการปฏิบัติตามข้อกำหนดของ NERC CIP หรือไม่ โรงไฟฟ้าบางแห่งยังประสบปัญหาในการปฏิบัติตามมาตรฐานและข้อบังคับ เนื่องจากขาดผลิตภัณฑ์และอุปกรณ์อิเล็กทรอนิกส์ (เช่น ที่ผลิตโดย Seimans และ GE) ที่ทำให้ปฏิบัติตามข้อกำหนดดังกล่าวได้ 

อิทธิพลของ NIST และ Ir7628

เมื่อเร็วๆ นี้ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้เผยแพร่ NISTIR 7628 ฉบับแก้ไข 1 แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์สำหรับกริดอัจฉริยะ  เพื่อจัดทำ “กรอบการทำงานที่ครอบคลุมซึ่งองค์กรต่างๆ สามารถใช้ในการพัฒนากลยุทธ์ความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพ ซึ่งปรับให้เหมาะกับลักษณะเฉพาะที่เกี่ยวข้องกับกริดอัจฉริยะ ความเสี่ยง และช่องโหว่”₁₇ แม้ว่าแนวปฏิบัติของ NIST จะไม่กำหนดให้มีการควบคุมดูแลด้านกฎระเบียบของ NERC CIP แต่แนวทางเหล่านี้ยังคงมีผลกระทบในภาคพลังงาน

แม้ว่า NERC อาจได้รับการพิจารณาอย่างจริงจังมากขึ้น แต่มาตรฐาน NIST ก็มักจะผสานรวมเข้ากับแพลตฟอร์มความปลอดภัยทางไซเบอร์จำนวนมาก และอาจชี้ให้เห็นถึงแนวทางที่การป้องกันโครงสร้างพื้นฐานที่สำคัญกำลังดำเนินอยู่ ความคิดเห็นแตกต่างกันไปตามความสำคัญของ NIST เนื่องจากการปฏิบัติตามแนวทางของ NIST นั้นเป็นไปโดยสมัครใจ จึงไม่มีคำสั่งให้บริษัทต่างๆ ปฏิบัติตาม นอกจากนี้ ตลาดพลังงานยังมีการกระจัดกระจายอย่างมาก และธุรกิจจำนวนมากไม่มีบุคลากรเพียงพอหรือไม่มีเงินทุนที่จำเป็นในการดำเนินการตามคำแนะนำจำนวนมากของ NIST ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์

เงินอาจเป็นปัจจัยที่สำคัญที่สุดในการที่บริษัทต่างๆ จะปฏิบัติตาม NIST หรือแม้แต่ NERC หรือไม่ เมื่อพิจารณาจากลำดับความสำคัญนับร้อยที่ธุรกิจพลังงานมี ผลกระทบด้านงบประมาณของการดำเนินการรักษาความปลอดภัยทางไซเบอร์มักจะส่งผลเสียต่อสิ่งที่ดูเหมือนจะเป็นข้อกังวลเร่งด่วนเร่งด่วนมากกว่า นอกเหนือจากการมีอยู่ในฐานะ คำศัพท์กรอบการทำงานมีค่าใช้จ่ายสูงในการบูรณาการและมักไม่มีงบประมาณสำหรับค่าใช้จ่ายดังกล่าว ยิ่งไปกว่านั้น หลายคนยังสงสัยว่าผู้จำหน่ายระบบควบคุมอุตสาหกรรมสามารถจัดหาโซลูชั่นการทำงานที่ทำงานควบคู่กับผลิตภัณฑ์จากผู้ขายรายอื่นได้ พวกเขาระวังการมีส่วนร่วมของบุคคลที่สาม ผู้เชี่ยวชาญด้านความปลอดภัยรู้ว่าต้องทำอะไร แต่ไม่รู้ว่าจะหางบประมาณได้จากที่ไหน และพวกเขาก็ไม่แน่ใจว่าจะใช้เทคโนโลยีใดเพื่อนำแนวคิดดีๆ ที่ NERC และ NIST แนะนำไปใช้

ความคิดเห็นสาธารณะมีอิทธิพลจริงหรือ?

“บุคคลและองค์กรต่างๆ ทั่วประเทศได้ให้ความคิดเห็นเกี่ยวกับมาตรฐาน แนวปฏิบัติที่ดีที่สุด และแนวปฏิบัติที่จะปรับปรุงความปลอดภัยทางไซเบอร์ของโครงสร้างพื้นฐานที่สำคัญอย่างมีนัยสำคัญ”₁₈ เรายินดีรับฟังความคิดเห็นเกี่ยวกับทิศทางของ Cybersecurity Framework เสมอ เป้าหมายสูงสุดคือการให้ธุรกิจ ซัพพลายเออร์ ลูกค้า และหน่วยงานภาครัฐมีภาษาและวิธีการร่วมกันในการพิจารณาว่าพวกเขาสามารถปกป้องตนเองได้ดีที่สุดอย่างไร ไม่ว่าพวกเขาจะมาจาก Microsoft, FERC หรือพลเมืองบุคคลที่สนใจซึ่งมีแนวคิดดีๆ พวกเขาทั้งหมดได้รับการปฏิบัติด้วยความเคารพอย่างเท่าเทียมกัน NIST สนใจเป็นหลักว่าแนวคิดดังกล่าวมีความเหมาะสมทางเทคโนโลยี คุ้มทุนหรือไม่ และสามารถนำไปปฏิบัติได้หรือไม่

ในบางครั้ง NIST มีสัญญาและได้รับการสนับสนุนจากศูนย์วิจัยและพัฒนาที่ได้รับทุนสนับสนุนจากรัฐบาลกลางที่เกี่ยวข้องกับการบินและอวกาศหรือสถาบันเพื่อการวิเคราะห์กลาโหมที่ช่วยพวกเขาสร้างร่างฉบับแรก เมื่อร่างเสร็จสมบูรณ์จะโพสต์บนเว็บไซต์ที่สาธารณชนและเอกชนสามารถดูและแสดงความคิดเห็นได้ NERC สรุปความคิดเห็นที่ได้รับและเผยแพร่เพื่อให้ประชาชนสามารถประเมินการตอบสนองต่อมาตรฐานที่แนะนำด้วยตนเอง NIST ใช้กระบวนการตัดสินโดยทีมผู้เชี่ยวชาญในอุตสาหกรรมจะตรวจสอบความคิดเห็นแต่ละรายการและตอบกลับ ในที่สุด ความคิดเห็นจะช่วยให้ NIST ได้รับการตัดสินขั้นสุดท้ายสำหรับความคิดเห็นแต่ละข้อ ซึ่งเป็นกระบวนการที่ละเอียดถี่ถ้วน สิ่งที่ NIST มุ่งหวังที่จะบรรลุคือการทำให้บทสนทนาที่เกิดขึ้นเมื่อผู้คนพูดคุยเกี่ยวกับความปลอดภัยทางไซเบอร์เป็นมาตรฐาน ซึ่งทำให้เกิดการรวมแนวคิด แนวคิด และหลักการจากภาคส่วนต่างๆ เข้าด้วยกัน และนำเสนอทางเลือกต่างๆ มากมายเกี่ยวกับวิธีการนำกรอบการทำงานไปใช้ 

อนาคตของ NIST

ในอีกไม่กี่ปีข้างหน้า เราจะได้เห็นการดำเนินการอย่างต่อเนื่องของการแก้ไขทั้งห้าของกรอบการทำงานที่ได้รับอนุมัติแล้ว เวอร์ชันที่ 6 และ 7 กำลังอยู่ในระหว่างดำเนินการ และจะมีการเปลี่ยนแปลงภาษาบางอย่างเพื่อความชัดเจน NERC CIP ยังคงพัฒนาต่อไป โดยผสมผสานมาตรฐานและข้อมูลของ NIST เข้าด้วยกัน และเพิ่มความเฉพาะเจาะจงเพิ่มเติมให้กับแนวทางการดำเนินงาน ยกเว้นการเปลี่ยนแปลงครั้งใหญ่ใน Beltway มาตรฐาน NIST มีไว้เพื่อป้องกันการโจมตีและการบุกรุกจากกองกำลังภายนอกภายในระบบไฟฟ้า และเพื่อรักษาการควบคุมโครงข่ายพลังงาน ทุกแง่มุมของระบบไฟฟ้าปริมาณมากได้รับการพิจารณาเมื่อพูดถึงการกู้คืนความเสียหาย

เช่นเดียวกับ NERC CIP แนวปฏิบัติของ NIST มีความคลุมเครือซึ่งทำให้การนำไปปฏิบัติเปิดกว้างสำหรับการตีความมากมาย ในปัจจุบัน NIST ส่งต่อบริษัทต่างๆ ไปยังเอกสารของบุคคลที่สามจำนวนมาก ซึ่งดูเหมือนจะทำให้ผู้คนขาดรายละเอียดมากมาย เอกสาร NIST  “IEC 62443-2-1:2010(E) กำหนดองค์ประกอบที่จำเป็นในการสร้างระบบการจัดการความปลอดภัยทางไซเบอร์ (CSMS) สำหรับระบบอัตโนมัติและระบบควบคุมทางอุตสาหกรรม (IACS) และให้คำแนะนำเกี่ยวกับวิธีการพัฒนาองค์ประกอบเหล่านั้น”₁₉

เทคโนโลยีที่ก้าวหน้าจะยังคงส่งผลกระทบต่อทุกด้านของชีวิตต่อไปในอนาคตอันใกล้นี้ โดยมีฮาร์ดแวร์และซอฟต์แวร์คอมพิวเตอร์เป็นแกนหลักของวิวัฒนาการนี้ จำเป็นต้องมีการพิจารณาเพิ่มเติมเกี่ยวกับการสร้างผลิตภัณฑ์และระบบรักษาความปลอดภัยทางไซเบอร์ เนื่องจากสิ่งต่างๆ มีความซับซ้อนมากขึ้นเรื่อยๆ เป็นไปได้ที่นักวิทยาศาสตร์และช่างเทคนิคจะไปถึงจุดที่พวกเขาไม่เข้าใจสิ่งที่พวกเขาสร้างไว้ในซอฟต์แวร์ของตนอย่างถ่องแท้ อาจมีความซับซ้อนมากจนพวกเขาไม่เข้าใจวิธีป้องกัน บางคนรู้สึกว่าอุตสาหกรรมได้ผ่านจุดนั้นไปแล้ว การป้องกันระบบปฏิบัติการจากการโจมตีทางไซเบอร์ในปัจจุบันและอนาคตอาจจำเป็นต้องมีการรื้อปรับโครงสร้างโครงสร้างพื้นฐานด้านไอทีทั้งในระดับระบบและระดับผลิตภัณฑ์อย่างมีนัยสำคัญ 

สิ่งนี้จะต้องอาศัยความไว้วางใจในหลักการ แนวคิด และวิธีการทางเทคโนโลยีเพื่อสร้างส่วนประกอบและระบบที่มีความมั่นใจในระดับสูง ความท้าทายที่ยิ่งใหญ่ที่สุดคือการรักษาขนาดของระบบปฏิบัติการในอนาคตให้สามารถจัดการและเข้าใจได้ เพื่อให้สามารถประยุกต์ใช้แนวปฏิบัติที่ดีที่สุดได้ มีความหวังว่าจะได้รับการพัฒนาระบบที่ทนทานต่อการเจาะทะลุได้มากขึ้น ในกรณีที่การโจมตีประสบความสำเร็จและแทรกซึมไปทั่วทั้งขอบเขต ภาคพลังงานจะต้องทำงานเพื่อสร้างเทคโนโลยีที่จะหยุดยั้งมัลแวร์ไม่ให้ทำลายโรงไฟฟ้าทั้งหมดหรือทั้งโครงข่ายไฟฟ้า

อนาคตของการรักษาความปลอดภัยแบบเรียลไทม์

อุตสาหกรรมพลังงานเทกองเผชิญกับความท้าทายครั้งใหญ่ที่มุ่งหน้าสู่อนาคต การออกแบบโครงสร้างเครือข่ายใหม่ การแบ่งส่วน และการนำการจัดการความปลอดภัยไปใช้จะมีค่าใช้จ่ายสูงมาก มีอันตรายที่บริษัทต่างๆ จะประเมินต้นทุนฮาร์ดแวร์ ซอฟต์แวร์ สิทธิ์การใช้งาน และการติดตั้งที่มีราคาสูง รวมถึงค่าใช้จ่ายในการดำเนินงานและการบำรุงรักษาโครงสร้างพื้นฐาน และพวกเขาจะประเมินต่ำไป  ในหลายกรณี พวกเขาจะเลือกใช้เส้นทางที่ไม่แพง และไม่มีซอฟต์แวร์ระบบอัตโนมัติเพื่อกำหนดเวลาการบำรุงรักษาที่เกิดซ้ำหรือปฏิบัติตามข้อกำหนด แน่นอนว่ายิ่งบริษัทมีขนาดใหญ่เท่าใด พวกเขาก็ยิ่งต้องบูรณาการผลิตภัณฑ์รักษาความปลอดภัยมากขึ้นเท่านั้น และต้องปฏิบัติตามขั้นตอนที่ซับซ้อนมากขึ้นเท่านั้น การคาดหวังให้มนุษย์ควบคุมระบบรักษาความปลอดภัยด้วยตนเองอาจมีความเสี่ยง แต่เพื่อประโยชน์สูงสุด โรงไฟฟ้าหลายแห่งจะละทิ้งระบบอัตโนมัติที่เชื่อถือได้มากขึ้น

การดูแลรักษาอุปกรณ์รักษาความปลอดภัยทางไซเบอร์ถือเป็นสาขาที่ค่อนข้างใหม่ สาธารณูปโภคไฟฟ้ารู้วิธีที่จะรักษาระบบส่งไฟฟ้าให้ทำงานมาตลอด 50 ปีที่ผ่านมา พวกเขารู้วิธีการออกแบบ ป้องกัน ส่งพลังงาน เชื่อมต่อกับระบบส่ง และกระจายพลังงาน ปัจจุบัน บริษัทเหล่านี้กำลังปรับตัวเข้ากับเทคโนโลยีใหม่ๆ และการเรียนรู้ก็เพิ่มขึ้นอย่างมาก จำเป็นต้องมีช่างเทคนิคที่แบ่งส่วนเพิ่มเติม เช่น ผู้เชี่ยวชาญด้านไฟล์ เซิร์ฟเวอร์ และเครือข่าย แม้จะมีการป้องกันในปัจจุบันทั้งหมดแล้ว แต่โครงสร้างพื้นฐานอาจยังไม่มีอยู่ซึ่งสามารถตรวจจับและขัดขวางการโจมตีทั่วทั้งสเปกตรัม จำเป็นต้องมีความสามารถในการติดตามเพิ่มเติมเพื่อกำหนดการป้องกันเชิงรุก เนื่องจากบริษัทสาธารณูปโภคใช้บริการคลาวด์มากขึ้น พวกเขาจะต้องตระหนักมากขึ้นถึงความเสี่ยงต่างๆ เนื่องจากอัตราการเข้าถึงสมาร์ทกริดจะเพิ่มขึ้นอย่างต่อเนื่อง

ในด้านความปลอดภัย เป็นการยากที่จะคาดเดาสิ่งที่จะเกิดขึ้นในอีกห้าหรือสิบปีข้างหน้า  แน่นอนว่าจะมีการใช้การตรวจจับแบบเรียลไทม์มากขึ้น เนื่องจากผู้คนต้องการทราบว่าจะเกิดอะไรขึ้น  มีกลยุทธ์และประเภทของการโจมตีมากมายที่อาจเกิดขึ้นได้ เทคโนโลยีรุ่นเก่า เช่น ไฟร์วอลล์และโปรแกรมป้องกันไวรัสพยายามตรวจจับมัลแวร์โดยการค้นหาลำดับโค้ด ซอฟต์แวร์ใหม่ล่าสุดในปัจจุบันจะตรวจสอบโค้ดเพื่อตรวจจับกิจกรรม "Kill Chain" ที่ถูกโค่นล้ม แต่มนุษย์ยังคงจำเป็นต้องใช้ข้อมูลนี้และรวมสองและสองเข้าด้วยกัน น่าเสียดายที่การดำเนินการนี้ต้องใช้เวลา ผลิตภัณฑ์รักษาความปลอดภัยทางไซเบอร์สมัยใหม่ไม่สามารถตรวจจับได้อย่างสมบูรณ์ โซ่ ของเหตุการณ์ พวกเขาอาจตรวจจับมัลแวร์ แต่การละเมิดเกิดขึ้นเพียงช่วงเวลาสั้นๆ และบ่อยครั้งที่สายเกินไปที่จะบังคับใช้มาตรการตอบโต้การโจมตีที่มีความหมาย

ระบบการป้องกันแบบเรียลไทม์ที่ประสบความสำเร็จแห่งอนาคตจะสามารถวิเคราะห์ข้อมูลที่เข้ามา รวมถึงตรวจจับและแยกช่องโหว่ที่เป็นอันตรายได้ทันทีก่อนที่จะแพร่กระจายไปตามห่วงโซ่การฆ่า ณ จุดนี้ ระบบอัตโนมัติหรือมนุษย์สามารถแทรกแซงและดำเนินการป้องกันได้

การจัดการข้อมูลประจำตัวและการเข้าถึง

การรับรองความถูกต้องของข้อมูลประจำตัวยังคงเป็นส่วนสำคัญในการรักษามาตรการรักษาความปลอดภัยที่มีประสิทธิผลในภาคพลังงาน “ในความท้าทายของการรักษาความปลอดภัยข้อมูลและเทคโนโลยีสารสนเทศ และในความท้าทายในการป้องกันภัยคุกคามทางไซเบอร์ บ่อยครั้งการขาดการระบุตัวตนที่รัดกุมได้กลายเป็นหนึ่งในจุดอ่อนที่สุดในกลไกการป้องกันโดยรวม  บ่อยครั้งที่ข้อมูลรับรองที่มีอยู่อาจถูกนำไปใช้ในทางที่ผิด ถูกนำไปใช้หรือจัดการอย่างไม่เหมาะสม และนำไปสู่ช่องโหว่หรือเหตุการณ์สำคัญ-₂₀

องค์กรต่างๆ กำลังเปลี่ยนจากรูปแบบการล็อกออนที่ใช้ร่วมกันที่มีความน่าเชื่อถือสูง ไม่ใช่เพราะพวกเขาไม่เชื่อมั่นในพนักงานของตน แต่เพื่อประโยชน์ในการแปลผลกระทบของเหตุการณ์ที่เกิดขึ้นโดยไม่ได้ตั้งใจหรือเป็นอันตราย ในระยะยาวพวกเขาจะพยายามเอาชนะข้อจำกัดทางเทคโนโลยีต่อไป สาธารณูปโภคจะยังคงใช้เครื่องมือไอทีมาตรฐานเช่น ซิสโก้ และ จูนิเปอร์แต่แง่มุมอื่นๆ ของการทำงาน (รีเลย์, RTU, PLC, s) ไม่มีระบบป้องกันแบบเดียวกัน จนกว่าพวกเขาจะสามารถซื้อจากผู้ขายได้ พวกเขาอาจต้องบรรเทาภัยคุกคามด้วยไฟร์วอลล์ในเครื่อง ข้อมูลที่ดูเหมือนไม่เป็นอันตราย เช่น เวลาเครือข่าย ตำแหน่งของศูนย์ควบคุม ที่อยู่ IP แม้แต่ผู้จำหน่ายที่ได้รับเลือกให้ใช้งานโครงสร้างพื้นฐาน อาจมีความสำคัญสำหรับผู้ที่มีเจตนาไม่ประสงค์จะโจมตีทางไซเบอร์

การป้องกันและบรรเทาเหตุฉุกเฉิน 

เครื่องมือรักษาความปลอดภัยด้านไอทีในปัจจุบันได้รับการกำหนดค่าให้ตรวจสอบพฤติกรรมการเข้าสู่ระบบ “ปกติ” แต่จะอ่อนแอเมื่อเผชิญกับการโจมตีขั้นสูง ฝ่ายตรงข้ามไม่เพียงแค่ต้องการแทรกซึมระบบควบคุมเท่านั้น แต่ยังต้องการสร้างความเสียหายในสถานการณ์ที่ผู้ปฏิบัติงานไม่เข้าไปแทรกแซง และระบบความปลอดภัยทำงานได้ไม่เพียงพอ ผู้ปฏิบัติงานไม่สามารถบอกได้อย่างแท้จริงว่าข้อมูลที่เห็นนั้นถูกต้องหรือถูกดัดแปลงหรือไม่ เนื่องจากไม่มีเทคโนโลยีที่จะตรวจสอบได้ว่าข้อมูลนั้นถูกต้องหรือไม่ เหตุการณ์ไปป์ไลน์ที่ซานบรูโนมุ่งความสนใจไปที่อันตรายของระบบรักษาความปลอดภัยที่ล้าสมัยและข้อมูลที่ไม่ดี

“บริษัท Pacific Gas and Electric … ต่อสู้ดิ้นรนมาเกือบสองทศวรรษกับระบบคอมพิวเตอร์ที่มีจุดประสงค์เพื่อติดตามลักษณะของสายส่งก๊าซธรรมชาติ ซึ่งเป็นการต่อสู้ที่ส่งผลให้บริษัทขาดข้อมูลที่สำคัญในการทำความเข้าใจจุดอ่อนที่อาจเกิดขึ้นของท่อ … การละเว้นหรือข้อผิดพลาดในการป้อนข้อมูลเกิดขึ้นเมื่อระบบได้รับการพัฒนาและปล่อยทิ้งไว้โดยไม่แก้ไข อาจอธิบายได้ว่าทำไม PG&E ไม่ทราบว่าท่อส่งก๊าซโบราณปี 1956 ซึ่งระเบิดในซานบรูโนเมื่อวันที่ 9 กันยายน คร่าชีวิตผู้คนไปแปดคน ถูกสร้างขึ้นด้วยตะเข็บ ตามบันทึกและการสัมภาษณ์ … ผู้เชี่ยวชาญกล่าวว่าข้อเท็จจริงที่ว่าท่อมีรอยเชื่อมเป็นข้อมูลพื้นฐานที่ควรพร้อมใช้งานด้วยการคลิกเมาส์บนฐานข้อมูลไปป์ไลน์ที่เหมาะสม”₂₁

แม้ว่าโรงงานไฟฟ้าจะมีความเปราะบาง แต่ดูเหมือนว่าเจ้าหน้าที่รักษาความปลอดภัยจะเข้าใจถึงความสำคัญของการวางแผนฉุกเฉิน โครงข่ายไฟฟ้ามีความน่าเชื่อถือโดยรวมสูง แต่เมื่อเกิดเหตุการณ์ขึ้น แผนรับมือจะต้องมีผลบังคับใช้ก่อนที่มัลแวร์จะเข้ามาตั้งหลักและสร้างความเสียหายให้กับระบบปฏิบัติการที่สำคัญได้ จำเป็นอย่างยิ่งที่ผู้คนจะต้องรู้อย่างชัดเจนว่าจะตอบสนองอย่างไรในสถานการณ์ที่กำหนด แผนฉุกเฉินสำหรับโรงไฟฟ้าอาจรวมถึงสถานที่แปรรูปทางเลือก ความสามารถในการสื่อสารทางเลือก และสถานที่จัดเก็บทางเลือก สิ่งเหล่านี้คือสามระดับที่โดยทั่วไปจะเน้นไปที่  เป้าหมายสูงสุดคือการนำทางการโจมตีและปฏิบัติการต่อไปในสภาพที่ทรุดโทรมหรือเสื่อมโทรม มีแผนฉุกเฉินสำหรับภัยคุกคามสี่ประเภทหลัก รวมถึงภัยพิบัติทางธรรมชาติ ความล้มเหลวของโครงสร้าง การโจมตีทางไซเบอร์ และข้อผิดพลาดของการละเว้นหรือการกระทำ

หลุมดำและภัยคุกคามที่ไม่รู้จัก

มาตรการรักษาความปลอดภัยทางไซเบอร์ได้รับการดำเนินการอย่างต่อเนื่องเพื่อจัดการกับภัยคุกคามที่ทราบต่อโครงสร้างพื้นฐานด้านพลังงาน แต่ในอนาคตจะเต็มไปด้วยอันตรายที่ไม่รู้จักและ "หลุมดำ" ที่จะต้องใช้ความสามารถในการป้องกันและตอบสนองเชิงนวัตกรรม โชคดีที่ ES-ISAC และเครือข่ายการสื่อสารการทำงานร่วมกันทั้งหมดได้ปรับปรุงแนวโน้มในการรักษากริดอย่างปลอดภัยและมีประสิทธิภาพ ภัยคุกคามได้รับการตรวจสอบตลอด 24 ชั่วโมงทุกวัน และ ES-ISAC ได้รับการอัปเดตอย่างต่อเนื่อง

ระบบควบคุมระหว่างประเทศจำนวนมาก แม้ว่าจะแตกต่างจากระบบที่ติดตั้งในประเทศ แต่เชื่อมต่อกับเครือข่ายความปลอดภัยทางไซเบอร์ทั่วโลก แน่นอนว่า ยังมีข้อกังวลมากมายเกี่ยวกับช่องว่างอากาศ การป้องกันแบบดั้งเดิม และยูนิคอร์น ภาคพลังงานขึ้นอยู่กับบริษัทที่มีความคิดก้าวหน้าซึ่งคิดค้นแนวทางแก้ไขที่ก้าวหน้าเพื่อจัดการกับปัญหาด้านความปลอดภัยที่มีอยู่ อาชญากรไซเบอร์มีทักษะการโจมตีที่น่าประทับใจ และเครื่องมือแฮ็กที่มีให้ช่วยให้ค้นหาการโจมตีใหม่ๆ ได้ง่าย โดยเฉพาะอย่างยิ่งเมื่อพูดถึงอุปกรณ์เก่าในระบบควบคุมอุตสาหกรรม

ภัยคุกคามที่ไม่รู้จักประกอบด้วยสิ่งใดก็ตามที่สามารถแทรกซึมเข้าไปในขอบเขตของระบบรักษาความปลอดภัยได้ ระบบใหม่มีความซับซ้อนมากจนเชื่อมโยงกันในลักษณะที่ผู้ผลิตอาจไม่เข้าใจด้วยซ้ำ ผู้ใช้อาจไม่ทราบว่าอินเทอร์เฟซของระบบควบคุมที่พวกเขาใช้งานนั้นมีเผยแพร่ต่อสาธารณะบนอินเทอร์เน็ต อาชญากรไซเบอร์สามารถค้นหาไซต์ทางภูมิศาสตร์เฉพาะหรือผู้จำหน่ายรายใดรายหนึ่งและละเมิดอินเทอร์เฟซผู้ใช้ (HMI) ของระบบควบคุมนั้น หากผู้ใช้ไม่ได้เปลี่ยนรหัสผ่านมาตรฐานและชื่อผู้ใช้จากผู้ขาย ผู้โจมตีทางไซเบอร์สามารถเริ่มดำเนินการได้จริง

ศูนย์วัน

มีการวิจัยมากมายเกี่ยวกับ Zero Days ซึ่งระบุถึงช่องโหว่ที่ไม่รู้จัก -  “การหาประโยชน์แบบซีโรเดย์” …  คือไวรัสหรือเวิร์มที่สามารถใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ผู้อื่นรวมถึงผู้สร้างซอฟต์แวร์ยังไม่ได้ค้นพบ การใช้ประโยชน์จากช่องโหว่แบบ Zero-day นั้นเกิดขึ้นได้ยาก เนื่องจากผู้สร้างซอฟต์แวร์ทำงานอย่างหนักเพื่อให้แน่ใจว่าจะปล่อยโปรแกรมที่ไม่มีช่องโหว่ประเภทนี้ออกมา  … เมื่อมีการค้นพบมัลแวร์ มันบ่งบอกถึงจุดประสงค์ที่สูงกว่า บางสิ่งบางอย่างที่นอกเหนือไปจากอาชญากรไซเบอร์ที่หวังจะดูดฝุ่นหมายเลขบัตรเครดิต”₂₂

ภัยคุกคามร้ายแรงอีกประเภทหนึ่งคือ “งานภายใน” ที่สร้างขึ้นภายในองค์กรหรือระบบ เช่น โรงไฟฟ้าหรือหน่วยงานรัฐบาลกลาง  หลังจากการโจมตีทางไซเบอร์ ผู้กระทำผิดสามารถควบคุมระบบและสร้างช่องโหว่ใหม่ๆ ขึ้นมาได้ ซึ่งพวกเขาสามารถกลับมาและใช้ประโยชน์ได้ในภายหลัง ภาคพลังงานต้องพึ่งพาเทคโนโลยีพื้นฐานอย่างที่ไม่เคยมีมาก่อนและมีความเสี่ยง 

กล้องวงจรปิดและข้อมูลการเข้าสู่ระบบเพียงพอหรือไม่

การตรวจจับและยับยั้งอาชญากรรมไซเบอร์ด้วยกล้องวงจรปิดมาตรฐานไม่ใช่วิธีที่มีประสิทธิภาพที่สุดในการปกป้องโครงสร้างพื้นฐานที่สำคัญ กล้องจะดีได้ก็ต่อเมื่อคนที่คอยจับตาดูและผู้คนจะถูกเบี่ยงเบนความสนใจได้ง่าย กล้องจำเป็นต้องควบคู่ไปกับการวิเคราะห์ที่แจ้งเตือนและแจ้งเตือน เทคโนโลยีประเภทนี้มีอยู่จริงและสามารถปรับปรุงระบบรักษาความปลอดภัยที่มีอยู่ได้อย่างมาก ซอฟต์แวร์มีความรอบรู้มากขึ้นตลอดเวลา กำลังคนสามารถลดลงได้ด้วยเทคโนโลยีใหม่ ๆ แต่เป็นเรื่องยากที่จะรักษาคนที่มีความสามารถทางเทคโนโลยีและจ่ายเงินให้พวกเขาเพียงพอที่จะรักษาพวกเขาไว้ ดังนั้นจึงมีอัตราการหมุนเวียนอย่างมากในภาคพลังงาน 

แผนกความปลอดภัยทางไซเบอร์ใหม่มีค่าใช้จ่ายสูงในการบำรุงรักษา และอาจเป็นเรื่องยากที่จะโน้มน้าว C-Suite และผู้ถือหุ้นของบริษัทว่าแผนกเหล่านี้มีความคุ้มค่าในระยะยาว บางครั้งอาจต้องใช้เหตุการณ์ราคาแพงในการเน้นข้อเท็จจริงนี้

แพลตฟอร์มอัตโนมัติ?   กึ่งอัตโนมัติ?

แม้ว่าธรรมชาติของระบบแพลตฟอร์มไอทีจะเป็นแบบอัตโนมัติมากขึ้น แต่บุคคลภายในส่วนใหญ่เชื่อว่าอินเทอร์เฟซของมนุษย์จะยังคงเป็นสิ่งจำเป็นต่อไปในอนาคต ดังที่กล่าวไปแล้ว เมื่อยูทิลิตี้ขนาดใหญ่มีทรัพย์สินหลายร้อยรายการตรวจสอบ มันเป็นไปไม่ได้ที่ผู้ดำเนินการรักษาความปลอดภัยสองหรือสามคนจะรักษาความปลอดภัยด้วยภาพในพื้นที่นั้น การวิเคราะห์ด้วยภาพและระบบแจ้งเตือนอัตโนมัติจะยังคงมีการใช้มากขึ้นเรื่อยๆ เนื่องจากเป็นไปไม่ได้ที่บุคคลจะตรวจสอบสตรีมข้อมูลทางกายภาพอย่างต่อเนื่องเพื่อดูว่าอาจเกิดความผิดปกติใดๆ ขึ้นหรือไม่ ในอนาคตจะได้เห็นการวิเคราะห์แบบเรียลไทม์มากขึ้นเพื่อตรวจจับอุบัติการณ์ ขณะที่พวกเขากำลังเกิดขึ้น หรือตรวจจับได้ล่วงหน้า อีกครั้ง มีแนวโน้มว่าจะมีอินเทอร์เฟซของมนุษย์ที่เกี่ยวข้องกับการวิเคราะห์ข้อมูลและรับรู้แหล่งที่มาของการบุกรุกและภัยคุกคามใด ๆ หรือเพื่อจัดการกับปัญหาของการเตือนภัย สภาพอากาศ หรือแม้แต่เกมที่ดุร้าย

ใครต้องการทราบเกี่ยวกับการโจมตีทางไซเบอร์?

ในที่สุด เหตุการณ์ต่างๆ ก็เกิดขึ้นได้แม้ว่าทีมรักษาความปลอดภัยจะพยายามอย่างเต็มที่แล้วก็ตาม มีการถกเถียงกันว่าข้อมูลที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ในภาคพลังงานควรได้รับการเปิดเผยต่อสาธารณะหรือไม่ หลายคนในอุตสาหกรรมมีความคิดที่ว่าความฉลาดดังกล่าวไม่มีธุรกิจใดที่จะแยกวิเคราะห์ออกไปให้กับผู้ที่ไม่จำเป็นต้องรู้ ดูเหมือนว่าคนส่วนใหญ่ต้องการให้แบ่งปันข้อมูลแบบส่วนตัวระหว่างสาธารณูปโภค เพื่อที่ว่าหากมีการประสานงานการโจมตี ก็สามารถป้องกันร่วมกันได้ บริษัทพลังงานมีหน้าที่ยอมรับในการแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามหรือเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นในกลุ่มต่างๆ ในสหรัฐอเมริกามีแปดภูมิภาคที่แต่ละแห่งมีการกำกับดูแลด้านกฎระเบียบและกลุ่มคณะกรรมการที่แยกออกจาก ES-ISAC

เป็นเรื่องสมเหตุสมผลที่อุตสาหกรรมสาธารณูปโภคจะแบ่งปันข้อมูล แต่มียานพาหนะไม่มากนักที่จัดตั้งขึ้น ณ จุดนี้เพื่ออำนวยความสะดวกในกระบวนการดังกล่าว ในกรณีส่วนใหญ่ ผู้ใช้จะเปิดเผยข้อมูลที่เกี่ยวข้องกับอาชญากรรมในโลกไซเบอร์เมื่อพวกเขาไม่มีทางเลือกใดๆ เนื่องจากการประชาสัมพันธ์เชิงลบที่อาจเกิดขึ้นกับเหตุการณ์ดังกล่าว มีกลุ่มผู้จำหน่ายความปลอดภัยบางรายที่ถูกสร้างขึ้นเพื่อวัตถุประสงค์ในการแบ่งปันข้อมูล นอกจากนี้ มีรายงานว่าไซแมนเทคและผู้เล่นรายใหญ่บางรายได้เผยแพร่ข่าวกรองให้กันและกัน บางคนเรียกร้องให้มีการสร้างแบบจำลองการแบ่งปันข้อมูลเวอร์ชัน ICS แต่อาจต้องใช้เวลาสองสามปีก่อนที่เป้าหมายนั้นจะเป็นจริง “ภัยคุกคามต่อระบบควบคุมอาจมาจากหลายแหล่ง รวมถึงรัฐบาลที่ไม่เป็นมิตร กลุ่มก่อการร้าย พนักงานที่ไม่พอใจ และผู้บุกรุกที่เป็นอันตราย เพื่อป้องกันภัยคุกคามเหล่านี้ จำเป็นต้องสร้างอุปสรรคทางไซเบอร์ที่ปลอดภัยรอบระบบควบคุมอุตสาหกรรม (ICS)”₂₃

บางคนชอบแนวทางแบบองค์รวมสำหรับปัญหาความปลอดภัยทางไซเบอร์  ซึ่งจะรวมถึงผลิตภัณฑ์และระบบการก่อสร้างที่สามารถป้องกันได้มากที่สุดเท่าที่จะเป็นไปได้ จากนั้นจึงติดตามตรวจสอบอย่างต่อเนื่อง แม้ว่าทุกอย่างจะถูกสร้างขึ้นตามข้อกำหนดเฉพาะที่ดีที่สุดเท่าที่จะเป็นไปได้ การโจมตีจำนวนเล็กน้อยก็ยังคงเกิดขึ้นอย่างหลีกเลี่ยงไม่ได้ การทำความเข้าใจการโจมตีทางไซเบอร์ประเภทต่างๆ และการแบ่งปันข้อมูลที่เกี่ยวข้องกับเหตุการณ์เหล่านี้อาจมีคุณค่ามาก แต่ขอย้ำอีกครั้งว่า บริษัทส่วนใหญ่ไม่กล้าที่จะแบ่งปัน เนื่องจากการกระทำดังกล่าวอาจส่งผลเสียหายต่อชื่อเสียงของพวกเขา ในที่สุดมันก็เป็นกีฬาประเภททีม หากมีช่องโหว่เฉพาะในโรงไฟฟ้าและมีการนำส่วนประกอบเชิงพาณิชย์เดียวกันที่พัฒนาโดยผู้จำหน่ายร่วมมาใช้ทั่วทั้งอุตสาหกรรม ข้อมูลที่กระจายอย่างรวดเร็วสามารถช่วยให้บริษัทอื่นๆ จัดการกับช่องโหว่เหล่านั้นได้อย่างรวดเร็ว ก่อนที่จะกลายเป็นเหยื่อรายต่อไป 

ในภาคพลังงานส่วนใหญ่ดูเหมือนจะรู้สึกว่าสาธารณชนมีลำดับความสำคัญที่จำเป็นต้องรู้จำกัดเกี่ยวกับเหตุการณ์การโจมตีทางไซเบอร์ ถือว่ามีความสำคัญมากกว่าสำหรับหน่วยงานที่ได้รับการคัดเลือก ชุมชนเทคโนโลยี และผู้จำหน่ายในการรับข้อมูลที่สำคัญ เพื่อป้องกันเหตุการณ์ในอนาคต มิฉะนั้น คงเป็นเรื่องยากที่จะสร้างการวิเคราะห์รูปแบบของอาชญากรรมทางไซเบอร์ หรือแจ้งผู้ขายเกี่ยวกับผลิตภัณฑ์ที่อาจตกอยู่ในอันตราย

การโจมตีที่อาจเกิดขึ้น

มีการพูดคุยกันมากมายเกี่ยวกับการจัดตั้งสำนักหักบัญชีข้อมูลสำหรับบริษัทในภาคพลังงานที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ เครือข่ายข้อมูลความมั่นคงแห่งมาตุภูมิพยายามที่จะเป็นเช่นนั้น บริษัทที่มีอำนาจจำเป็นต้องรู้เกี่ยวกับการโจมตีแบบฟิชชิ่งหรือมัลแวร์ที่อาจเกิดขึ้น เพื่อที่พวกเขาจะได้เพิ่มความตระหนักรู้และทำงานเพื่อบรรเทาภัยคุกคามที่อาจเกิดขึ้นเหล่านี้

การแบ่งปันข้อมูลกับประเทศอื่น

บางครั้งในการใช้มาตรการป้องกันความปลอดภัยทางไซเบอร์ อาจจำเป็นต้องแบ่งปันข้อมูลกับประเทศอื่นๆ เช่น ในกรณีของยุโรปและอเมริกาเหนือที่เสถียรภาพของกริดข้ามพรมแดนทางการเมืองของเรา หากแต่ละประเทศติดตามพฤติกรรมที่ไม่ดีและสภาวะทางไซเบอร์ที่ไม่ปลอดภัย จะเป็นประโยชน์สำหรับพวกเขาที่จะแบ่งปันมากกว่าเรื่องราวเล็กๆ น้อยๆ กับประเทศเพื่อนบ้าน เป็นกรณีนี้ในวันนี้  มีการแลกเปลี่ยนข้อมูลระหว่างประเทศเกี่ยวกับความปลอดภัยทางไซเบอร์ไม่เพียงพอ บริษัทประกันภัยและอุตสาหกรรมด้านความปลอดภัยกำลังพยายามที่จะรวบรวมข้อมูลทางสถิติจำนวนมาก แต่หลายแห่งในแวดวงพลังงานยังคงดำเนินการในสิ่งที่เรียกว่า ที่ อายุของเรื่องราว.

มีที่ว่างสำหรับผู้ขายในต่างประเทศหรือไม่?

มีความวิตกกังวลบางประการที่เกิดจากความคิดในการแบ่งปันข้อมูลระหว่างสาธารณูปโภคในภาคพลังงาน และความกังวลเกี่ยวกับการแจ้งเตือนภัยคุกคามร่วมกันระหว่างประเทศต่างๆ จะปลอดภัยหรือไม่ที่จะมอบความไว้วางใจให้ผู้จำหน่ายในต่างประเทศในการพัฒนาระบบรักษาความปลอดภัยที่ออกแบบมาเพื่อป้องกันการโจมตีทางไซเบอร์? มีองค์ประกอบของความกลัวชาวต่างชาติและความกลัวที่ไม่มีมูลในการต่อต้านที่บริษัทในต่างประเทศเหล่านี้เผชิญในบางครั้ง หรือมีการรับประกันความรอบคอบหรือไม่? 

ความกังวลใจมากมายเหล่านี้ได้รับการแก้ไขโดยไม่จำเป็น เนื่องจากภัยคุกคามด้านความปลอดภัยทางไซเบอร์กำลังเกิดขึ้นทั่วโลก ท้ายที่สุดแล้ว การแบ่งปันข้อมูลทั่วโลกถือเป็นสิ่งสำคัญ ถึงกระนั้น บางคนก็รู้สึกว่าไม่น่าเป็นไปได้อย่างยิ่งที่ผู้ขายในต่างประเทศจะสามารถแทรกซึมเข้าไปในตลาดสหรัฐฯ ได้ อุตสาหกรรมมีการยึดที่มั่นและความสัมพันธ์ทางธุรกิจมีมายาวนาน โครงข่ายพลังงานทำงานในระดับของความสะดวกสบายและความไว้วางใจ จะต้องอาศัยบุคคลที่สามจากประเทศโพ้นทะเลซึ่งมีเทคโนโลยีและความสามารถที่เป็นเอกลักษณ์เพื่อเข้าสู่ตลาดพลังงานในอเมริกาเหนือและแสวงหาความโปรดปรานที่นั่น

อิสราเอลได้สร้างช่องทางเฉพาะและตำแหน่งทางการตลาดที่แข็งแกร่งในด้านความมั่นคงปลอดภัยทางไซเบอร์ ประเทศได้ลงทุนอย่างมากในการเปิดตัวสตาร์ทอัพใหม่และสร้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่มีความสามารถ ประเทศนี้เป็นเจ้าภาพการประชุม Cyber Security ระดับโลกที่สำคัญทุกปี และได้สร้างชุมชน "แฮกเกอร์ที่เป็นมิตร" ที่จะระบุจุดบกพร่อง และได้รับค่าตอบแทนจาก "Bug Bounties"

Nerc ในตลาดความปลอดภัยของ Ics

เนื่องจากโครงสร้างพื้นฐานทางอุตสาหกรรมที่สำคัญยังคงถูกคุกคามโดย เปลวไฟ, Stuxnet, มังกรกลางคืน, และ ดูคู การโจมตีตลาดความปลอดภัย ICS จะยังคงขยายตัวต่อไป นักวิเคราะห์ของ TechNavio คาดการณ์ว่าตลาดระบบควบคุมอุตสาหกรรมทั่วโลกจะเติบโตที่ CAGR ที่ 8.15 เปอร์เซ็นต์ในช่วงปี 2556-2561₂₄ NERC ยังคงมีการดำเนินงานขนาดใหญ่ในอุตสาหกรรม โดยมีสถานีไฟฟ้าย่อยมากกว่า 50,000 แห่งและบริษัทสาธารณูปโภคหลายร้อยแห่ง ในภาคตะวันตกของสหรัฐอเมริกา NERC มีสาธารณูปโภคที่จดทะเบียนเกือบ 500 แห่งซึ่งปฏิบัติตามมาตรฐานของ NERC

ตลาดความปลอดภัยทางไซเบอร์ของ ICS ได้รับการประมาณการว่ามีมูลค่าระหว่าง $3 ถึง $4 พันล้านต่อปี บริษัทที่ปรึกษาและผู้จำหน่ายความปลอดภัยระดับองค์กรเป็นผู้เล่นหลักในด้านนี้ NERC มีอำนาจในการกำกับดูแลและมีอิทธิพลอย่างมากต่อภาคสาธารณูปโภคไฟฟ้า น้ำมัน และก๊าซ, แต่มัน เป็นเรื่องยากที่จะวัดอัตราส่วนหรือขนาดตลาดของ NERC ในตลาดโซลูชันด้านความปลอดภัย เนื่องจากไม่มีวิธีแบ่งส่วนที่เหมาะสม ผลิตภัณฑ์จำนวนมากที่ใช้ในการบรรลุการประเมินมูลค่า NERC CIPs ในระดับหนึ่งยังสามารถนำมาใช้เพื่อให้มองเห็นได้และให้ความสามารถในการจัดการความปลอดภัยในอุตสาหกรรมอื่นๆ เช่น การผลิต

ความท้าทายในการตอบสนองภัยคุกคามความปลอดภัยทางไซเบอร์

การติดตามเทคโนโลยีที่ก้าวหน้าอย่างต่อเนื่องถือเป็นความท้าทายในการดำเนินงานครั้งใหญ่สำหรับระบบสาธารณูปโภคในภาคพลังงาน อาจเป็นเรื่องยากที่จะปรับใช้มาตรการรักษาความปลอดภัยที่ “ดีที่สุด” เพื่อรับมือกับภัยคุกคามในอนาคต เมื่อมีความก้าวหน้าใหม่ๆ ในเทคโนโลยีการป้องกันทางไซเบอร์เกิดขึ้นอย่างต่อเนื่อง นอกจากนี้ ระบบต่างๆ ก็เริ่มเชื่อมโยงถึงกันมากขึ้นเรื่อยๆ ดังนั้น ความน่าจะเป็นที่เครือข่ายเหล่านี้จะถูกโจมตีหรือถูกโจมตีก็เพิ่มมากขึ้นอย่างทวีคูณ “การโจมตีทางไซเบอร์ต่อโครงสร้างพื้นฐานกลายเป็นความกังวลหลักสำหรับสาธารณูปโภคภายหลังไวรัสคอมพิวเตอร์ Stuxnet ปี 2010 ซึ่งผู้เชี่ยวชาญเชื่อว่าถูกใช้โดยอิสราเอลและสหรัฐอเมริกาเพื่อทำลายเครื่องหมุนเหวี่ยงนิวเคลียร์ของอิหร่านบางส่วนแยกออกจากกัน ภัยคุกคามได้รับการเสริมกำลัง … โดยการปรากฏตัวของไวรัสคอมพิวเตอร์ที่เรียกว่า Havex Trojan ซึ่งแฮกเกอร์ดูเหมือนจะใช้เพื่อโจมตีบริษัทน้ำมันและก๊าซ”₂₅

จำเป็นอย่างยิ่งที่เทคโนโลยีที่ใช้ในโครงสร้างพื้นฐานในปัจจุบันจะต้องได้รับการอัปเกรดและทำให้สามารถบูรณาการเข้ากับระบบที่กำลังพัฒนารุ่นต่อไปได้ บางบริษัทสร้างผลิตภัณฑ์ที่น่าประทับใจที่สุด แต่ก็เข้ากันไม่ได้กับสิ่งอื่นใด ในทำนองเดียวกัน ให้พิจารณา iPhone มี iPhone กี่เครื่องและมีที่ชาร์จกี่เครื่อง? เป็นสถานการณ์ที่คล้ายกันกับความปลอดภัยทางไซเบอร์ มีการใช้จ่ายเงินหลายพันล้านดอลลาร์เพื่อรักษาความปลอดภัยให้กับผลิตภัณฑ์ใหม่ล่าสุด แต่บ่อยครั้งที่สิ่งต่างๆ จำเป็นต้องได้รับการกำหนดค่าใหม่เนื่องจากผลิตภัณฑ์เข้ากันไม่ได้ ในขณะเดียวกัน ผู้โจมตีทางไซเบอร์ก็เชี่ยวชาญในการนำหน้าเกมไปหนึ่งก้าว ดังนั้นทีมรักษาความปลอดภัยจึงต้องพยายามอย่างดีที่สุดเพื่อตามทันการแข่งขันทางเทคโนโลยีด้านความปลอดภัยทางไซเบอร์ มันไม่ใช่กิจการเล็กๆ น้อยๆ สาธารณูปโภคส่วนใหญ่ให้ความสำคัญกับการลงทุนเพื่ออัพเกรดอย่างเพียงพอ น่าเสียดายที่สหกรณ์ขนาดเล็กมักไม่มีเงินทุนที่จะทำเช่นเดียวกัน

โครงสร้างกำลังคนในการรักษาความปลอดภัยในการปฏิบัติงาน

ในแง่ของการปรับใช้กำลังคนสำหรับบริษัทไฟฟ้าและแผนผังชั้นภายในเพื่อความปลอดภัยในการปฏิบัติงาน โดยทั่วไปจะมีประธานเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) และประธานเจ้าหน้าที่ฝ่ายสารสนเทศ (CIO) “CIO มีความสำคัญมากขึ้นในการคำนวณวิธีการเพิ่มผลกำไรผ่านการใช้กรอบงาน ICT เช่นเดียวกับบทบาทที่สำคัญในการลดค่าใช้จ่ายและจำกัดความเสียหายโดยการตั้งค่าการควบคุมและการวางแผนสำหรับภัยพิบัติที่อาจเกิดขึ้น”₂₆

หน่วยงานสาธารณูปโภคด้านการลงทุนขนาดใหญ่ในภาคพลังงานมี CIO ซึ่งมีหลายขั้นตอนในการแยกระดับผู้อำนวยการอาวุโสฝ่ายไอที บริษัทขนาดเล็กมีแนวโน้มที่จะมีสถานการณ์ที่มีขนาดเดียวเหมาะกับทุกสถานการณ์ บุคคลหรือกลุ่มเล็กๆ ที่เป็นหัวหน้าโต๊ะซึ่งมีทักษะหลายด้านในด้านความปลอดภัยทางไซเบอร์ บางครั้งก็เป็นวิศวกรไฟฟ้าหรือทีมงานซ่อมบำรุงเฉพาะทาง บางองค์กรจ้างหรือพัฒนากลุ่มไอทีอุตสาหกรรมหรือเทคโนโลยี OT ปฏิบัติการ ซึ่งมีการรวมทีมที่มีสมาชิกหลายคนเพื่อแก้ไขปัญหา ในยุค 80 บริษัทต่างๆ ไม่มีแผนกไอที แต่ในปัจจุบันมีแผนกดังกล่าวแล้ว ยูทิลิตี้กำลังสร้างการรวมกลุ่มที่ดำเนินการที่ไหนสักแห่งระหว่างกลุ่มควบคุมและองค์กรด้านไอทีด้วยความหวังว่าพวกเขาจะสามารถเข้าใจจุดแข็งและประเด็นของทั้งสองกลุ่มได้

ผู้จำหน่ายโซลูชั่นรักษาความปลอดภัยและ “การคิดนอกกรอบ”

บริษัทพลังงานไฟฟ้าพึ่งพาผู้จำหน่ายโซลูชั่นรักษาความปลอดภัยเป็นอย่างมากสำหรับ "การคิดนอกกรอบ" ผู้จำหน่ายเหล่านี้ให้บริการการจัดการวงจรการใช้งานและมีความสัมพันธ์ที่ดีกับผู้ที่เข้าใจปัญหาความเข้ากันได้และวิธีการปรับใช้ผลิตภัณฑ์ด้านความปลอดภัย เนื่องจากบริษัทสาธารณูปโภคไม่ใช่บริษัทเทคโนโลยี พวกเขาจึงต้องอาศัยผู้จำหน่ายระบบรักษาความปลอดภัยเพื่อมอบความเชี่ยวชาญทางเทคโนโลยีที่พวกเขาต้องการ ตามที่กล่าวไว้ บริษัทในภาคพลังงานมักจะอยู่กับผู้ขายที่พวกเขาเคยร่วมงานด้วยในอดีตที่พวกเขาไว้วางใจ  ความภักดีนี้อาจขึ้นอยู่กับความสัมพันธ์อันยาวนานของแต่ละบุคคล มีแนวโน้มที่ระบบสาธารณูปโภคจะใช้ผลิตภัณฑ์ที่บุคลากรของตนคุ้นเคยต่อไป เนื่องจากการฝึกอบรมสำหรับการใช้เทคโนโลยีใหม่มีราคาแพง

ผู้ขายที่มีอิทธิพลมากที่สุด

ในขณะที่อุตสาหกรรมส่วนใหญ่มักไม่ค่อยเอ่ยชื่อเมื่อต้องระบุผู้ขายที่มีอิทธิพลเป็นพิเศษ แต่สาธารณูปโภคหลายแห่งก็มองหา EPC (วิศวกรรม การจัดซื้อจัดจ้าง การก่อสร้าง) หรือบริษัทวิศวกรรม เช่น Flur ผู้ขายดังกล่าวจะต้องรับผิดชอบในการออกแบบโรงงานตั้งแต่คอนกรีต งานโลหะ และแผนผังไฟฟ้า ระบบควบคุมมักเสนอราคาให้กับผู้ขายภายนอก ยูทิลิตี้จะเตรียมข้อมูลจำเพาะที่เกี่ยวข้องกับฟังก์ชันการทำงานและประเภทอุปกรณ์ที่เสียบปลั๊ก ผู้จำหน่ายจะประมูลโครงการ โดยแข่งขันกับผู้จำหน่ายโซลูชั่นรักษาความปลอดภัยรายอื่นเพื่อส่งมอบข้อมูลจำเพาะในราคาที่ดีที่สุด บริษัทในภาคพลังงานต้องจัดการกับปัญหาการปฏิบัติตามกฎระเบียบ ดังนั้นพวกเขาจึงปรับแนวทางการจัดซื้อจัดจ้างและสัญญาเพื่อรวมความปลอดภัยทางไซเบอร์ไว้ในข้อกำหนดเฉพาะของตน

โซลูชั่นและผลิตภัณฑ์รักษาความปลอดภัยแห่งอนาคต

อนาคตจะได้เห็นการพัฒนาอย่างรวดเร็วอย่างต่อเนื่องของโซลูชันและผลิตภัณฑ์รักษาความปลอดภัยใหม่ๆ มากมายที่ออกแบบมาเพื่อตอบสนองความท้าทายในการปกป้องโครงสร้างพื้นฐานด้านพลังงานจากการโจมตีทางไซเบอร์ สิ่งที่ปรารถนาสำหรับหลายๆ คนในอุตสาหกรรมพลังงานคือแพลตฟอร์มแบบครบวงจรสำหรับโซลูชันด้านความปลอดภัยที่ผสานรวมขั้นตอนนโยบายของบริษัท มีหลายแพลตฟอร์มที่ใช้งานได้แล้วและยังคงได้รับการปรับปรุงและปรับปรุงต่อไป

จำเป็นต้องมีการอัพเกรดระบบควบคุมสำหรับสถาบันและองค์กรที่มีฐานรหัสที่เก่าแก่หรือดั้งเดิม โดยเฉพาะอย่างยิ่งหากระบบควบคุมโรงไฟฟ้าเปิดดำเนินการมาเป็นเวลาสิบปีหรือมากกว่านั้น ระบบเหล่านี้บางระบบอาจมีฐานรหัสที่มีอายุ 20 ปี องค์กรเหล่านี้ไม่น่าจะถดถอยและเขียนโค้ดทุกบรรทัดใหม่ พวกเขาจะพัฒนาแนวปฏิบัติใหม่ที่ปลอดภัยแทนโดยหวังว่าจะสามารถแสดงให้เห็นว่าฐานโค้ดทั้งหมดของพวกเขามีความปลอดภัย แน่นอนว่ามาตรฐานการรับรองใหม่จะเกิดขึ้นอย่างหลีกเลี่ยงไม่ได้ซึ่งจะต้องปฏิบัติตาม ซึ่งจะเร่งการพัฒนาอย่างต่อเนื่องไปสู่การปรับปรุงความปลอดภัยของกริด

ผู้จำหน่ายโซลูชันด้านความปลอดภัยมีอุปกรณ์ที่สามารถตรวจจับความผิดปกติและความคลาดเคลื่อนในระบบปฏิบัติการซึ่งจำเป็นต่อการเติมเต็มช่องว่างการขาดดุลเทคโนโลยีที่ระบบสาธารณูปโภคต้องเผชิญในปัจจุบัน ผู้จำหน่ายเหล่านี้ยังสามารถรักษาความปลอดภัยของการบันทึกแอมป์ การแพตช์ การจัดการการเปลี่ยนแปลง MOC (การบำรุงรักษาการรับรอง) และการเข้าถึงระยะไกล อาจต้องใช้ผู้จำหน่ายหลายรายเพื่อเติมเต็มความต้องการเฉพาะที่สร้างขึ้นโดยช่องว่างทางเทคโนโลยีเหล่านี้ ผู้จำหน่ายที่ประสบความสำเร็จจะสร้างผลิตภัณฑ์รักษาความปลอดภัยที่ตรงตามข้อกำหนดของสภาพแวดล้อม OT และพึ่งพาตนเองได้มากที่สุดเท่าที่จะเป็นไปได้ ตามหลักการแล้ว พวกเขาจะต้องทำหน้าที่รักษาความปลอดภัยได้ดีกว่าผลิตภัณฑ์รักษาความปลอดภัยอื่นๆ รวมกัน แน่นอนว่างานนี้ง่ายต่อการจินตนาการมากกว่าที่จะดำเนินการ

ในอุตสาหกรรมพลังงานบางรายรู้สึกว่าผู้จำหน่าย ICS รายใหญ่หลายรายไม่เชี่ยวชาญด้านนวัตกรรม พวกเขาอาจพบว่าเป็นเรื่องยากที่จะจินตนาการว่าอนาคตจะเป็นอย่างไร ผู้ค้ารายใหญ่มุ่งความสนใจไปที่การสร้างผลิตภัณฑ์ที่ดีขึ้นและปลอดภัยมากขึ้น แต่มักไม่รับทราบว่าผู้ใช้ปลายทางรวมผลิตภัณฑ์จากผู้ขายหลายราย สาธารณูปโภคเรียกร้องโซลูชันที่แตกต่างกันซึ่งมีมุมมองที่สูงขึ้นของเครือข่ายทั้งหมด และไม่ต้องพึ่งพาอุปกรณ์ของผู้จำหน่ายรายใดรายหนึ่ง “หนึ่งในความท้าทายหลักในการสร้างกริดอัจฉริยะคือการรับมือกับลักษณะที่แตกต่างกันของเทคโนโลยีที่ประยุกต์ใช้ เนื่องจากวงจรชีวิตของผลิตภัณฑ์อาจขยายออกไปหลายทศวรรษ ความซับซ้อนของระบบโดยรวมจะเพิ่มขึ้นอย่างมากในปีต่อๆ ไป เนื่องจากการประยุกต์ใช้โปรโตคอลและโซลูชันทางเทคนิคที่แตกต่างกันมากมาย ความแตกต่างนี้จะเพิ่มพื้นผิวการโจมตีให้เป็นกริดอัจฉริยะในที่สุด และอาจนำไปสู่ช่องโหว่ที่เพิ่มขึ้น”₂₇

ผู้จำหน่าย ICS เป็นบริษัทขนาดใหญ่แบบดั้งเดิมที่ก่อตั้งขึ้นในลักษณะการดำเนินงานของพวกเขา ในปัจจุบัน เกิดการเปลี่ยนแปลงครั้งใหญ่ในพื้นที่ตลาดที่ขยายไปถึงฝั่งผู้ขาย บริษัทใหม่ชื่อ Bedrock Automation กำลังออกแบบระบบควบคุมอุตสาหกรรมตั้งแต่เริ่มต้น พวกเขากำลังจัดการกับความท้าทายหลายประการในปัจจุบันด้านความปลอดภัยทางไซเบอร์ และกำลังพยายามที่จะสร้างสรรค์สิ่งใหม่ ๆ ซึ่งเป็นสิ่งที่ผู้ค้ารายใหญ่มักไม่ค่อยทำเพราะความพยายามของพวกเขามักจะมุ่งเน้นน้อยกว่า

มีผู้จำหน่ายโซลูชั่นรักษาความปลอดภัยหลายรายที่เกี่ยวข้องกับการป้องกันทางไซเบอร์สำหรับสาธารณูปโภค แต่มีไม่มากนัก มีความเชี่ยวชาญสูง และมุ่งเน้นไปที่การสร้างส่วนประกอบที่ใช้ในระบบ ICS นี่อาจเป็นข้อได้เปรียบสำหรับผู้ที่หวังจะมีอิทธิพลต่อทิศทางของผู้ผลิตในอุตสาหกรรมที่กำลังผลิต

ขณะนี้ผลิตภัณฑ์ใหม่กำลังเข้าสู่แวดวง ICS จากทั่วทุกมุมโลก และมีความซับซ้อนอย่างไม่น่าเชื่อ ซึ่งบางครั้งอยู่นอกเหนือจุดที่บริษัทที่ซื้อผลิตภัณฑ์เหล่านั้นจะเข้าใจได้อย่างแท้จริง วิธีนี้ช่วยให้ฝ่ายตรงข้ามซ่อนสิ่งต่าง ๆ ในผลิตภัณฑ์ของตนได้ง่ายขึ้น และสร้างความเสียหายร้ายแรงต่อระบบปฏิบัติการและโครงสร้างโค้ด ภัยคุกคามนี้ได้ส่งผลให้บริษัทที่เคยเป็นเอกเทศมารวมตัวกันและก่อตั้งกลุ่มความร่วมมือโดยมีจุดประสงค์เพื่อสร้างโซลูชันที่เชื่อถือได้มากขึ้น

มิเตอร์อัจฉริยะ ผลิตภัณฑ์วิเคราะห์ โครงสร้างพื้นฐานการจัดการที่สำคัญ และสินค้าใดๆ ที่ช่วยในการตรวจจับภัยคุกคามทางไซเบอร์ที่รุกคืบหรือขยายวงกว้าง สิ่งเหล่านี้ล้วนเป็นพื้นที่เพิ่มเติมของการรักษาความปลอดภัยที่เปิดกว้างสำหรับนวัตกรรม ซึ่งผู้ขายที่มีความคิดก้าวหน้าอาจพบช่องทางเฉพาะหรือรุกเข้าสู่ตลาดใหม่และที่มีศักยภาพ

อนาคตของการเข้าถึง ID และการรับรองความถูกต้อง

รหัสผ่านที่อ่อนแอและซอฟต์แวร์ที่ไม่ค่อยได้รับการอัปเดตเป็นประเด็นที่เกิดขึ้นซ้ำๆ เบื้องหลังเหตุการณ์ทางไซเบอร์จำนวน 48,000 เหตุการณ์ที่รายงานต่อกระทรวงความมั่นคงแห่งมาตุภูมิ รวมถึงการขโมยข้อมูลในเขื่อนที่อ่อนแอที่สุดของประเทศโดย “ผู้บุกรุกที่เป็นอันตราย” และเหตุการณ์ที่แฮกเกอร์เผยแพร่คำเตือนที่เป็นอันตรายเกี่ยวกับ รายงานของ DHS พบว่ามีการโจมตีด้วยซอมบี้ผ่านสถานีโทรทัศน์ในอเมริกา₂₈

การโจมตีทางไซเบอร์จำนวนมากเริ่มต้นจากการเจาะข้อมูลประจำตัวหรือใช้รหัสผ่านที่อ่อนแอ การจัดการการรับรองความถูกต้องของข้อมูลประจำตัวเป็นองค์ประกอบสำคัญของระบบที่เชื่อถือได้มากขึ้น การควบคุมทางเทคนิคต่างจากการควบคุมระดับสาธารณะ การปฏิบัติงาน และระดับการจัดการ การควบคุมทางเทคนิคเป็นผลิตภัณฑ์ที่บริษัทสาธารณูปโภคใช้เพื่อปรับปรุงความสามารถในการปฏิบัติงาน ดังนั้น เมื่อพูดถึงการควบคุมการเข้าถึง การรับรองความถูกต้องเมื่อเข้าสู่ระบบ และการป้องกันตัวแทนที่ไม่ต้องการออกจากระบบ สิ่งเหล่านี้คือการควบคุมที่สามารถใส่ลงในผลิตภัณฑ์ในระดับผู้จำหน่ายเท่านั้น และกลายเป็นจุดสนใจของผู้จำหน่าย

การรับรองความถูกต้องด้วยสองปัจจัย สามารถป้องกันไม่ให้บุคคลเข้าถึงระบบปฏิบัติการได้ด้วยการป้อนชื่อผู้ใช้และรหัสผ่านอย่างง่าย ในระบบ ICS ร่วมสมัย ผู้จำหน่ายมักจะสร้างผลิตภัณฑ์โดยรู้ว่าจะต้องมีการบำรุงรักษาในอนาคต พวกเขาอาจให้ความสามารถในการเข้าสู่ระบบสำหรับเจ้าหน้าที่บำรุงรักษาเพื่อใช้งานซึ่งโดยธรรมชาติแล้วอ่อนแอ อาจใช้อักขระเพียงสี่ตัว บางครั้งรหัสผ่านเหล่านี้จะถูกแจกจ่ายพร้อมกับผลิตภัณฑ์และจะไม่มีการเปลี่ยนแปลงโดยผู้ใช้ปลายทาง ทำให้ระบบถูกแทรกซึมได้ง่ายโดยผู้โจมตีทางไซเบอร์ที่ทราบรหัสผ่านและชื่อผู้ใช้ที่รู้จักโดยทั่วไป นี่คือตัวอย่างของสิ่งพื้นฐานที่แก้ไขได้ และไม่ห้ามต้นทุนซึ่งอาจมีประโยชน์ในการยับยั้งการโจมตีทางไซเบอร์ รหัสผ่านแบบครั้งเดียวและโทเค็นความปลอดภัยยังเป็นวิธีที่มีประโยชน์ในการตรวจสอบผู้ใช้ระบบเมื่อเข้าสู่ระบบ

เห็นได้ชัดว่ามีการนับวันของการรับรองความถูกต้องด้วยสองปัจจัย ในโลกที่เชื่อมต่อทางไซเบอร์มากขึ้น จะต้องมีการพัฒนาวิธีการพิสูจน์ตัวตนที่ปลอดภัยยิ่งขึ้น “ไบโอเมตริกซ์ … เป็นการเปลี่ยนแปลงพื้นฐานในการระบุตัวตนของเรา ไบโอเมตริกต่างจากการระบุตัวตนแบบเดิมๆ ที่คุณต้องจดจำหรือพกติดตัวไปด้วย เป็น คุณ ประกอบด้วยการวิเคราะห์เสียง รูปแบบม่านตา การจับคู่หลอดเลือดดำ การวิเคราะห์การเดิน และอื่นๆ ลักษณะดังกล่าวมีเอกลักษณ์เฉพาะตัวและยากที่จะปลอมแปลงอย่างไม่น่าเชื่อ-₂₉ ไบโอเมตริกซ์และวิธีการรับรองความถูกต้องที่ปลอดภัยยิ่งขึ้นนั้นกำลังจะเกิดขึ้นเร็วๆ นี้ ภาคพลังงานจะปรับตัวและพัฒนาเพื่อตอบสนองความท้าทายในการทำให้ภัยคุกคามความปลอดภัยทางไซเบอร์เป็นโมฆะ แต่ศัตรูในอุตสาหกรรมนั้นฉลาดอย่างยิ่งและเป็นส่วนหนึ่งของการแข่งขันเดียวกันเพื่อควบคุมเทคโนโลยีใหม่

ปัจจัยการซื้อที่สำคัญ  ในการคัดเลือกผู้จำหน่ายระบบรักษาความปลอดภัย

บริษัทสาธารณูปโภคไฟฟ้าเลือกผู้จำหน่าย ICS และผู้จำหน่ายโซลูชันด้านความปลอดภัยอย่างระมัดระวัง พวกเขาตรวจสอบประวัติของผู้ขายเพื่อให้เข้าใจว่าพวกเขาเคยวิจัยประเภทใดในอดีต และยังพิจารณาถึงประเทศที่เป็นแหล่งกำเนิดสินค้าและผลกระทบของสิ่งนั้นด้วย แน่นอนว่าความสัมพันธ์อันยาวนานและพันธะแห่งความไว้วางใจมีความสำคัญในภาคพลังงาน  ไม่น่าเป็นไปได้ที่ยูทิลิตี้ขนาดใหญ่จะมีส่วนร่วมในการขายตรงกับสตาร์ทอัพขนาดเล็กที่ส่งมอบสิ่งที่อาจก่อกวนได้ ในกรณีส่วนใหญ่ สตาร์ทอัพจะต้องผ่านพันธมิตรช่องทางการขาย เช่น บริษัทรักษาความปลอดภัยหรือผู้จำหน่าย ICS เพื่อให้ได้รับการรับรองและความน่าเชื่อถือที่ช่องทางเหล่านั้นสามารถให้ได้ 

บริษัทหลายแห่งเกี่ยวข้องกับการปฏิบัติตามมาตรฐานของ NERC และเกณฑ์การปฏิบัติตามข้อกำหนด บางคนอาจแย้งว่าจุดสนใจสูงสุดจะต้องอยู่ที่การรักษาความปลอดภัย โดยเชื่อว่าผลพลอยได้จากการรักษาความปลอดภัยที่ดีคือการปฏิบัติตามกฎระเบียบที่ดี ครั้งแล้วครั้งเล่าที่การปฏิบัติตามกฎระเบียบได้รับชัยชนะเนื่องจากมีต้นทุนสูงในการรักษาความปลอดภัย ผลิตภัณฑ์รักษาความปลอดภัยที่ผู้จำหน่ายจัดหามาจำเป็นต้องทำงานได้ดีภายในระบบควบคุมต่างๆ บูรณาการกับผลิตภัณฑ์และการดำเนินงานแบบเดิม และมีความคุ้มค่าและสามารถแข่งขันได้   

แม้จะมีอุปสรรคก็มี เป็น ห้องสำหรับสตาร์ทอัพและนักสร้างสรรค์นวัตกรรม ปัจจุบันตลาดไม่ปลอดภัย และกำลังมองหาโซลูชันที่ใช้การได้ไม่ว่าจะมาจากไหน ระบบใหม่มีมาตลอดเวลา บริษัทพลังงานกำลังมองหาผู้จำหน่ายที่มีความสามารถของระบบในการปกป้องและตอบสนองต่อพวกเขาได้อย่างรวดเร็ว พวกเขาต้องการผู้จำหน่ายที่นำเสนอโซลูชั่นที่ใช้งานได้จริงซึ่งสามารถอัปเดตได้ทันทีเมื่อสถานการณ์เปลี่ยนแปลง “บทบาทของผู้สร้างนวัตกรรมตกอยู่กับบริษัทที่ไม่มีมรดกตกทอดและเต็มใจที่จะมองปัญหาในรูปแบบใหม่ … ที่นั่น เป็น โอกาสสำหรับผู้ค้ารายย่อยในการได้รับเงินทุนและสร้างความเสียหายในพื้นที่รักษาความปลอดภัย”₃₀

เนื่องจากทุกสิ่งตกอยู่ในความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ชื่อเสียงของผู้จำหน่ายจึงเป็นข้อพิจารณาอย่างมากสำหรับบริษัทด้านพลังงาน เจ้าหน้าที่ IT/OT และความปลอดภัยทางกายภาพเข้าร่วมการประชุมหลายครั้งทุกปี และชื่อเสียงของผู้ขายก็เป็นหัวข้อที่น่าสนใจเสมอ มีความเห็นพ้องต้องกันว่าผู้ขายรายใดดีและรายใดไม่ดี เจ้าหน้าที่รักษาความปลอดภัยตระหนักดีว่าใครให้คำมั่นสัญญามากเกินไปและใครทำไม่ได้ ดังนั้นชื่อเสียงจึงเป็นสิ่งสำคัญยิ่ง

ผู้ขายในต่างประเทศสามารถเชื่อถือได้กับระบบรักษาความปลอดภัยของอเมริกาหรือไม่?

ในโลกการค้าโลก บางครั้งบริษัทพลังงานจะเลือกผู้ขายในต่างประเทศเพื่อความปลอดภัย แต่การตัดสินใจจ้างบุคคลภายนอกอาจเป็นเรื่องยากที่จะทำ และอาจเกิดปัญหาได้เมื่อต้องดำเนินการตรวจสอบประวัติสำหรับผู้ขายที่เข้าถึงการจัดส่งจากระยะไกลได้ . บางคนอาจมองว่านี่เป็นช่องโหว่ที่ชัดเจน ในบางครั้ง สถานการณ์ทางการเมืองอาจทำให้บริษัทไม่สามารถเลือกผู้ขายบางรายได้ (ตัวอย่าง: บริษัทในอเมริกาเหนือไม่สามารถขายสินค้าในตะวันออกกลางได้เนื่องจากส่วนประกอบบางอย่างผลิตในอิสราเอล) บริษัทขนาดเล็กดูเหมือนจะไม่เจาะจงเกี่ยวกับแหล่งที่มาของผลิตภัณฑ์มากนักตราบใดที่พวกเขาทำงานสำเร็จลุล่วง

ปัจจุบันมีผู้ให้บริการรักษาความปลอดภัย ICS สตาร์ทอัพรายย่อยบางรายในอิตาลี ฝรั่งเศส และเนเธอร์แลนด์ ในสหรัฐอเมริกา มีเพียงไม่กี่แห่งเท่านั้นที่ให้บริการแก่บริษัทสาธารณูปโภคที่มีความสามารถในการตอบสนองต่อเหตุการณ์ที่ได้รับการพัฒนาและครบถ้วนแล้ว หากผู้ขายในต่างประเทศจะประสบความสำเร็จในสหรัฐอเมริกา พวกเขาจะต้องมีการตอบสนองต่อเหตุการณ์ที่เกิดขึ้นในสหรัฐฯ- ผู้ขายในต่างประเทศจะพบว่าการเคารพพรมแดนทางภูมิศาสตร์และผลประโยชน์ด้านความมั่นคงของชาติโดยการมีตัวแทนทางกายภาพที่สำคัญในสหรัฐอเมริกาจะเป็นประโยชน์

ในสหรัฐอเมริกา หลายคนพูดถึงความสำคัญของ "การซื้อของชาวอเมริกัน" อุตสาหกรรมยานยนต์นำเสนอคู่ขนานที่น่าสนใจ รถยนต์ประกอบด้วยส่วนประกอบต่างๆ ที่สร้างขึ้นในสถานที่ต่างๆ ทั่วโลก ก่อนที่จะประกอบกันในรัฐเทนเนสซีในที่สุด แล้วมันเป็นรถอเมริกันจริงๆ หรือเปล่า? บริษัทพลังงานดำเนินธุรกิจในตลาดระดับโลก และผู้ผลิตจากต่างประเทศจะผลิตผลิตภัณฑ์ที่บริษัทอเมริกันจำเป็นต้องใช้เพิ่มมากขึ้น หลายปีที่ผ่านมา ไอที คอมพิวเตอร์ และซอฟต์แวร์ถูกสร้างขึ้นในสหรัฐอเมริกา แต่ปัจจุบันมีการจ้างบุคคลภายนอกเพิ่มมากขึ้น และจะยังคงขยายตัวต่อไป โดยมีบริษัทต่างๆ เช่น Seimens ในเยอรมนีเป็นตัวอย่างที่สำคัญ 

อีกไม่นานก็ไม่สำคัญว่าผลิตภัณฑ์จะมาจากไหนหากสร้างตามข้อกำหนดและเชื่อถือได้ ผู้ซื้ออาจไม่ต้องการใส่ผลิตภัณฑ์รักษาความปลอดภัยเฉพาะเข้าไป ทั้งหมด แต่อาจเลือกที่จะรวมผลิตภัณฑ์ที่หลากหลาย ในการโจมตีทางไซเบอร์ ผลิตภัณฑ์ประเภทหนึ่งที่แพร่กระจายไปทั่วเครือข่ายอาจทำให้โครงสร้างพื้นฐานทั้งหมดล่ม ความหลากหลายของส่วนประกอบทำให้ระบบปฏิบัติการมีความยืดหยุ่นดีขึ้น ไม่ว่าส่วนประกอบจะมาจากไหนก็ตาม ผู้จำหน่ายโซลูชั่นรักษาความปลอดภัยจำเป็นอย่างยิ่งที่จะต้องมอบความมั่นใจและความน่าเชื่อถือให้กับลูกค้าเกี่ยวกับผลิตภัณฑ์ของตน

แน่นอนว่าสหรัฐฯ มีความสัมพันธ์ที่แน่นแฟ้นกับประเทศ “บินผ่าน” หลายประเทศ เช่น สหราชอาณาจักร แคนาดา นิวซีแลนด์ และออสเตรเลีย สถานที่เหล่านี้ยังมีเครือญาติที่ใกล้ชิดในชุมชนข่าวกรอง และใช้ในการโต้ตอบและแบ่งปันข้อมูล

ความสัมพันธ์กับหน่วยงานกำกับดูแล

ผู้ค้าในต่างประเทศที่หวังจะรุกเข้าสู่ตลาดความปลอดภัยทางไซเบอร์อาจมองว่าการสร้างเครือข่ายและสร้างความสัมพันธ์ใกล้ชิดกับหน่วยงานกำกับดูแลนั้นเป็นประโยชน์ อย่างไรก็ตาม พวกเขาอาจต้องการระมัดระวังในการโต้ตอบเหล่านั้น มีนโยบายและคำสั่งที่ห้ามความสัมพันธ์ดังกล่าวเพื่อประโยชน์ของหน่วยงานกำกับดูแลที่รักษาความเป็นกลางไว้ บริษัทขนาดใหญ่ที่มีบุคลากรจำนวนมากอาจติดต่อกับหน่วยงานกำกับดูแลในระดับที่สูงขึ้น เพื่อผลักดันวาระต่างๆ ของพวกเขา แต่สิ่งนี้ไม่สำคัญสำหรับผู้ที่เกี่ยวข้องในการสร้างเทคโนโลยีหลัก

ตามหลักการแล้ว หน่วยงานกำกับดูแลควรดำเนินการเหนือการต่อสู้ พวกเขามีงานต้องทำและมีภาคส่วนที่ต้องควบคุมและนั่นคือสิ่งที่พวกเขาทำ ในโลกของความปลอดภัยทางไซเบอร์ ความเป็นกลาง ความถูกต้องทางเทคนิค การตรวจสอบโดยสาธารณะ และความโปร่งใสโดยรวมถือเป็นสิ่งสำคัญยิ่ง สิ่งใดที่น้อยกว่าสามารถส่งผลเสียต่อความสัมพันธ์ในทิศทางใดทิศทางหนึ่งได้

ผู้ขายรายใหม่สามารถตั้งหลักได้หรือไม่?

คนส่วนใหญ่คุ้นเคยกับผู้จำหน่ายรายใหญ่ในอุตสาหกรรมพลังงาน. Shell, Exxon และ Chevron เป็นผู้นำในด้านน้ำมันและก๊าซ Honeywell และ Seimens เหนือกว่าบริษัทอื่นๆ ในฐานะผู้จำหน่ายระบบควบคุม DCS การกำหนดผู้นำในอุตสาหกรรมอย่างชัดเจนอาจเป็นเรื่องยาก แต่มีสิ่งหนึ่งที่แน่นอน บริษัทใหญ่ๆ มีความเสี่ยงมากกว่า และมักจะจัดการกับประเด็นที่เกี่ยวข้องกับความคิดเห็นสาธารณะที่ใหญ่กว่าอยู่เสมอ

สำหรับผู้ค้ารายใหม่ที่พยายามจะเข้ามาในตลาดโซลูชันการรักษาความปลอดภัย อาจเป็นเรื่องยากอย่างไม่น่าเชื่อ วิสาหกิจที่เพิ่งเริ่มก่อตั้งจำนวนมากเหล่านี้ล้มเหลวในช่วงสองสามปีแรก แม้จะมีภัยคุกคามจากการโจมตีทางไซเบอร์ แต่ผู้ขายยังคงต้องเผชิญกับภารกิจในการเอาชนะใจและความคิดของผู้มีโอกาสเป็นลูกค้า จะต้องมีเหตุผลที่น่าสนใจสำหรับบริษัทพลังงานหลายแห่งในการลงทุนที่สำคัญในการป้องกันที่จำเป็นเพื่อให้มีความปลอดภัยที่เพียงพอ “หากผู้ขายไม่สามารถระบุได้ว่ามีปัญหาที่แท้จริงและขาดแนวทางแก้ไขที่ดี ก็อาจมีปัญหาในการออกสู่ตลาด … แนวทางของสตาร์ทอัพจะต้องมีแนวโน้มและมีความสามารถในการปรับให้เข้ากับสภาพแวดล้อมขององค์กรได้ นอกจากนี้ยังจะต้องมีความรู้สึกว่าผู้ขายมีทีมงานที่เหนียวแน่นและมีความคล่องตัวเพียงพอที่จะตอบสนองต่อสภาวะตลาดที่เปลี่ยนแปลงและแนวโน้มความปลอดภัยที่พัฒนาไป”₃₁

ส่วนหนึ่งของปัญหาสำหรับผู้ขาย ภาคพลังงาน และสังคมโดยรวมก็คือไม่มีพารามิเตอร์ที่กำหนดไว้อย่างชัดเจนว่าการตรวจสอบสถานะด้านความปลอดภัยคืออะไร กฎระเบียบในบางพื้นที่ช่วยกำหนดพฤติกรรมที่จำเป็นเกี่ยวกับการดำเนินการและการปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์ แต่อุตสาหกรรมยังคงจมอยู่ในพื้นที่สีเทา “ต้องทำกับน่าทำ” และอาจยังจำเป็นต้องบรรลุ จุดปวด ที่ซึ่งภัยพิบัติบางอย่างเกิดขึ้นจนทำให้บทสนทนาเปลี่ยนไปและทำให้สิ่งที่ดูไม่สมเหตุสมผลกลายเป็นเรื่องสมเหตุสมผลขึ้นมาทันใด

ใช่ พวกเขาทำได้!

คนอื่นๆ เชื่อว่าผู้ขายรายใหม่ที่มีไหวพริบสามารถได้รับส่วนแบ่งการตลาดในด้านการปฏิบัติตามกฎระเบียบได้อย่างแท้จริง ท้ายที่สุดแล้ว โลกมักจะมองหาสิ่งที่ดีอยู่เสมอ … สิ่งใหม่ๆ ที่ปฏิวัติวงการ ผู้ขายรายย่อยจำนวนมากสร้างความสัมพันธ์ที่มีคุณค่าเนื่องจากมีความตรงไปตรงมา เชื่อถือได้ ตรงไปตรงมา และโปร่งใส เพียงเพราะบริษัทมีขนาดใหญ่ พวกเขาไม่จำเป็นต้องเป็นบริษัทที่ดีที่สุดเสมอไป บริษัทเล็กๆ ที่มีระบบเทคโนโลยีที่ช่วยได้อย่างแท้จริงสามารถพบกับความสำเร็จได้ มีผลิตภัณฑ์ เครื่องมือ และ GRC ที่น่าประทับใจไม่ขาดสาย  (การกำกับดูแล การบริหารความเสี่ยง และการปฏิบัติตามกฎระเบียบ) แต่ยังคงต้องการบุคลากรที่สามารถดำเนินการและบำรุงรักษาได้ ผู้ขายที่จะชนะในท้ายที่สุดจะต้องจัดหาผลิตภัณฑ์ที่ต้องใช้การแทรกแซงและการบำรุงรักษาของมนุษย์น้อยลง จำเป็นต้องมีการปรับปรุงในด้านนี้และมีโอกาสที่ดีอยู่

แม้จะมีโอกาสนี้ แต่ก็ไม่มีการเคลือบน้ำตาล ความจริงที่ว่าการบรรลุสถานะการเข้าสู่ตลาดไม่ใช่เรื่องง่าย ผู้จำหน่ายรายใหม่อาจมีผลิตภัณฑ์ที่ดี แต่การเปิดใช้งานการบรรจบกันของ IT และ OT และการตอบสนองความต้องการและความท้าทายขององค์กรเฉพาะถือเป็นเรื่องยุ่งยาก มักจะเป็นประโยชน์สำหรับผู้จำหน่ายรายใหม่และ/หรือรายย่อยในการพยายามเป็นพันธมิตรกับบริษัทขนาดใหญ่เพื่อเปิดใช้งานความสัมพันธ์ใหม่กับยูทิลิตี้ ท้ายที่สุดแล้ว ผู้จำหน่ายจะต้องนำเสนอกรณีที่น่าสนใจว่าเหตุใดเทคโนโลยีของตนจึงนำเสนอโซลูชั่นด้านความปลอดภัยที่แท้จริงได้ ตลาดกำลังรอนวัตกรรมประเภทนี้อยู่ การใช้งานเฉพาะกลุ่มเป็นอีกโอกาสหนึ่งที่มีแนวโน้มในด้านการปฏิบัติตามกฎระเบียบ โซลูชันขนาดเล็กที่เน้นความสำคัญมากเกินไปก็มีที่ในตลาดเช่นกัน แต่ผู้ขายอาจจำเป็นต้องร่วมมือกับผู้เล่นรายใหญ่อีกครั้ง

โซลูชั่นการวิจัยตลาดความปลอดภัยทางไซเบอร์

ความปลอดภัยทางไซเบอร์ถือเป็นขอบเขตใหม่ และความสำคัญในภาคพลังงานและอื่นๆ จะเติบโตขึ้นในปีต่อๆ ไปเท่านั้น พื้นที่การเติบโตที่สำคัญอยู่ในการเข้ารหัส การปกป้องข้อมูล ไวรัส AI และบล็อกเชนในความปลอดภัยทางไซเบอร์ ภัยคุกคามที่แท้จริงของการโจมตีทางไซเบอร์มีอยู่ตลอดเวลาและเพิ่มมากขึ้น เนื่องจากผู้ที่มุ่งสร้างความสับสนวุ่นวาย การแสวงหาผลประโยชน์อย่างผิดกฎหมาย หรือยุติการรับรู้ทางการเมือง ยังคงปรับปรุงทักษะของพวกเขาและรวมเอาเทคโนโลยีที่พัฒนาอย่างรวดเร็วเข้าไว้ในคลังแสงการโจมตีทางไซเบอร์ของพวกเขา ผู้จำหน่ายโซลูชันการรักษาความปลอดภัยมีบทบาทสำคัญในการปกป้องโครงสร้างพื้นฐานด้านพลังงานที่สำคัญและบุคลากรที่ให้บริการ นักนวัตกรรมที่แท้จริงจะประสบความสำเร็จ เช่นเดียวกับผู้ที่แสดงให้เห็นว่าผลิตภัณฑ์ของตนใช้งานได้ดีและมีส่วนช่วยในการทำงานโดยรวมของระบบส่งไฟฟ้าของประเทศเรา และต่อความน่าเชื่อถือในการจัดส่งพลังงานทั่วโลก

ลิงก์ต่อไปนี้สอดคล้องกับแหล่งข้อมูลที่ใช้ในการสร้างบทความนี้

2. http://securityaffairs.co/wordpress/25240/hacking/critical-infrastructure-hackers-targeted-public-utility-scada.html

3. http://usnews.nbcnews.com/_news/2013/02/19/17019005-successful-hacker-attack-could-cripple-us-infrastructure-experts-say?lite

4. http://itlaw.wikia.com/wiki/Cybersecurity_Framework

7. http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609

8. http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800_53_r4_draft_fpd.pdf

10. http://en.wikipedia.org/wiki/Heterogeneous_database_system

11.  

12. http://csrc.nist.gov/publications/drafts/800-160/sp800_160_draft.pdf

13. http://phys.org/news/2014-06-breaches.html

14. http://www.dhs.gov/publication/cybersecurity-insurance

17. http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol3.pdf

18. http://www.whitehouse.gov/blog/2013/10/29/seeking-comments-preliminary-cybersecurity-framework

20. http://www.leadersinsecurity.org/events/icalrepeat.detail/2015/01/29/84/-/-.html

24. http://www.marketwatch.com/story/global-industrial-control-systems-ics-security-market-2014-2018pdf-2014-08-28

25. http://news.yahoo.com/smart-technology-could-utilities-more-vulnerable-hackers-013153609–finance.html

27. http://www.jocm.us/uploadfile/2013/0827/20130827022712405.pdf

28. http://www.welivesecurity.com/2014/02/05/weak-passwords-and-ancient-software-left-u-s-government-data-vulnerable-dhs-report-finds/

29. http://www.pbs.org/wgbh/nova/next/tech/biometrics-and-the-future-of-identification/

30. http://www.darkreading.com/small-vendors-driving-innovation-in-security-venture-capitalists-say/d/d-id/1134669

แหล่งข้อมูลเพิ่มเติม:

http://itlaw.wikia.com/wiki/Cybersecurity_Framework

http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609

https://news.vice.com/article/what-the-hell-is-going-on-with-the-new-us-cybersecurity-initiative

http://www.dhs.gov/protective-investigations-program-0

http://www.quora.com/Do-you-agree-that-real-time-attack-detection-is-the-future-of-cyber-security

http://www.securitymagazine.com/articles/85752-the-most-influential-people-in-security-2014