พอดแคสต์: การเปลี่ยนผ่านด้านพลังงาน: รวดเร็ว สะอาด… และปลอดภัยทางไซเบอร์?

จอช แฟลนาแกน: 

สวัสดีทุกคน และขอขอบคุณผู้ฟังทั่วโลกทุกท่าน ยินดีต้อนรับสู่พอดแคสต์ Future in Focus ของ LRQA ผมชื่อ จอช แฟลนาแกน และวันนี้เราจะมาสำรวจหนึ่งในความท้าทายที่ใหญ่ที่สุดที่การเปลี่ยนผ่านด้านพลังงานกำลังเผชิญอยู่ในขณะนี้ นั่นคือ วิธีที่เราจะส่งมอบระบบพลังงานที่ไม่เพียงแต่รวดเร็วและสะอาด แต่ยังปลอดภัยและยืดหยุ่นอีกด้วย 

ดิฉันอยู่ร่วมกับ โฮเวิร์ด ฮิวส์ กรรมการผู้จัดการด้านความปลอดภัยทางไซเบอร์ของ LRQA และ โฟติส คัมปูริส รองประธานบริหารประจำภูมิภาคเอเชียแปซิฟิก โฮเวิร์ดและโฟติส ขอบคุณทั้งสองท่านที่มาร่วมรายการค่ะ 

ในตอนนี้ เราจะมาเจาะลึกถึงขนาดและความเร็วของโครงการเปลี่ยนผ่านด้านพลังงานระดับโลก ตั้งแต่พลังงานลมในทะเลและไฮโดรเจน ไปจนถึงพลังงานนิวเคลียร์และการเปลี่ยนแปลงโครงข่ายไฟฟ้า เราจะสำรวจว่าการเพิ่มขึ้นของระบบดิจิทัลกำลังเปลี่ยนแปลงภูมิทัศน์ความเสี่ยงอย่างไร เหตุใดโครงสร้างพื้นฐานด้านพลังงานจึงกลายเป็นเป้าหมายทางไซเบอร์ที่สำคัญมากขึ้น และองค์กรต่างๆ สามารถดำเนินการได้อย่างรวดเร็วโดยไม่กระทบต่อความปลอดภัยได้อย่างแท้จริงหรือไม่ นอกจากนี้ เราจะมาดูว่าการเป็นผู้นำและการกำกับดูแลที่ดีในด้านนี้ควรมีลักษณะอย่างไร และเหตุใดการปฏิบัติตามกฎระเบียบเพียงอย่างเดียวจึงไม่เพียงพออีกต่อไปเมื่อคุณกำลังสร้างสินทรัพย์ที่ต้องใช้งานได้อย่างปลอดภัยเป็นเวลาหลายทศวรรษ 

เราจะเริ่มจากคุณก่อนเลย โฟติส ช่วยอธิบายภาพรวมให้ผู้ชมเข้าใจหน่อยได้ไหม คุณช่วยสรุปสั้นๆ เกี่ยวกับโครงการพลังงานขนาดใหญ่ที่สุดทั่วโลกในขณะนี้ได้ไหม โครงการไหนกำลังมีความคืบหน้ามากที่สุด และความผันผวนทางภูมิรัฐศาสตร์ในปัจจุบันส่งผลต่อการพัฒนาโครงการเหล่านี้อย่างไรบ้าง 

โฟติส คัมปูริส: 

สวัสดีครับ จอช ขอบคุณสำหรับการเชิญครับ เป็นคำถามที่ดีมากและเกี่ยวข้องกับสิ่งที่เกิดขึ้นในปัจจุบัน เมื่อผมมองภาพรวมของสิ่งที่เกิดขึ้นทั่วโลก ขนาดของกิจกรรมนั้นน่าทึ่งมาก เรากำลังเห็นโรงไฟฟ้าพลังงานแสงอาทิตย์และพลังงานลมในทะเลขนาดใหญ่ในจีน อินเดีย ตะวันออกกลาง และออสเตรเลีย ควบคู่ไปกับการลงทุนครั้งใหญ่ในการเชื่อมต่อโครงข่ายไฟฟ้าและการจัดเก็บพลังงาน เพราะเรารู้กันดีว่าการผลิตไฟฟ้าโดยไม่มีระบบส่งไฟฟ้าจะสร้างปัญหาคอขวดขึ้นมาอีกรูปแบบหนึ่ง 

ในขณะเดียวกัน อย่างที่คุณได้เห็นในข่าว พลังงานนิวเคลียร์กำลังกลับมาได้รับความนิยมอีกครั้ง โดยเฉพาะในยุโรป สหรัฐอเมริกา และบางส่วนของเอเชีย ในขณะที่ไฮโดรเจนและคาร์บอนยังคงพัฒนาจากความทะเยอทะยานไปสู่โครงการจริง ๆ พร้อมด้วยท่อส่งเพื่อรองรับอุตสาหกรรมหนักและความมั่นคงด้านพลังงาน 

สิ่งที่เปลี่ยนแปลงไปคือ การเปลี่ยนผ่านด้านพลังงานไม่ได้เป็นเรื่องของการลดการปล่อยคาร์บอนอีกต่อไป แต่กำลังกลายเป็นเรื่องของความมั่นคงด้านพลังงาน รัฐบาลและนักลงทุนต่างตั้งคำถามว่า ส่วนประกอบและอุปกรณ์ที่สำคัญมาจากไหน พึ่งพาเส้นทางการจัดหาที่ไม่มั่นคงมากน้อยเพียงใด และระบบยังคงสามารถทำงานได้ในสภาพแวดล้อมทางภูมิรัฐศาสตร์ที่แตกแยกมากขึ้นหรือไม่ 

ทิศทางเริ่มชัดเจนขึ้น: เราต้องการโครงการที่ใหญ่ขึ้น เร็วขึ้น และเชื่อมโยงกันมากขึ้น แต่ในโลกที่มีความผันผวนสูงกว่าเดิมมาก 

จอช แฟลนาแกน: 

ขอบคุณครับ โฟติส โฮเวิร์ด ผมจะไปหาคุณนะครับ โครงการเหล่านี้ดำเนินมาได้สักพักแล้วในหลายกรณี เมื่อไหร่ที่เรื่องความปลอดภัยทางไซเบอร์เริ่มเข้ามาเกี่ยวข้อง และทำไมตอนนี้ถึงกลายเป็นเป้าหมายทางไซเบอร์ที่มีความสำคัญสูง? 

โฮเวิร์ด ฮิวส์: 

ขอบคุณโฟติส และขอบคุณจอช คุณพูดถูก โครงการเหล่านี้ไม่ใช่เรื่องใหม่สำหรับวงการนี้ สิ่งที่เปลี่ยนแปลงไปในช่วงไม่กี่ปีที่ผ่านมามีอยู่ไม่กี่อย่าง 

ประการแรก ความซับซ้อนของผู้ก่อภัยคุกคาม พวกเขามีความสามารถสูงมาก ในบางกรณี หากได้รับการสนับสนุนจากรัฐ พวกเขามีงบประมาณไม่จำกัด คุณควรคิดไว้ก่อนว่าเครื่องมือและเทคนิคทั้งหมดที่บริษัทรักษาความปลอดภัยทางไซเบอร์ใช้ ผู้ก่อภัยคุกคามที่มีความซับซ้อนก็ใช้เช่นกัน ดังนั้นนี่คือสิ่งแรกที่ต้องพิจารณา – ฝ่ายตรงข้ามมีความสามารถมากขึ้นกว่าเดิมมาก 

ประการที่สอง – และมีตัวอย่างมากมายทั่วโลก – ครั้งแรกที่เราเห็นการโจมตีทางไซเบอร์ที่ถูกนำมาใช้เป็นส่วนหนึ่งของปฏิบัติการทางทหารที่รุนแรงมากขึ้น คือ สตักซ์เน็ต (Stuxnet) ที่โจมตีโรงกลั่นนิวเคลียร์ของอิหร่านเมื่อกว่าทศวรรษที่แล้ว นั่นเป็นอาวุธเทคโนโลยีปฏิบัติการ (OT) ที่ถูกนำมาใช้เป็นส่วนหนึ่งของปฏิบัติการทางทหารและการเมือง เหตุการณ์เช่นนี้เกิดขึ้นเป็นประจำนับตั้งแต่นั้นมา หากคุณดูสิ่งที่เกิดขึ้นในตะวันออกกลางในขณะนี้ คุณจะเห็นว่าบางแง่มุมของปฏิบัติการทางทหารที่นั่นได้รับการสนับสนุนจากกิจกรรมด้านความมั่นคงทางไซเบอร์ 

ประการที่สาม – และนี่สอดคล้องกับสิ่งที่โฟติสกล่าวไว้ – คือเราอาศัยอยู่ในโลกที่มีเครือข่ายเชื่อมโยงกันมากขึ้น การผสมผสานระหว่างพลังงานหมุนเวียนและพลังงานแบบดั้งเดิมทั้งหมดต้องเชื่อมโยงกันเป็นเครือข่าย ผู้คนต้องการแบ่งปันพลังงานผ่านโครงข่าย ด้วยการเชื่อมต่อดังกล่าว และการเชื่อมต่อต่อไปยังเครือข่ายอื่นๆ คุณคงเคยได้ยินวลี "พื้นที่โจมตี" – พื้นที่โจมตีจะใหญ่ขึ้น คุณมีเป้าหมายที่ใหญ่ขึ้น เมื่อก่อนเมื่อทุกอย่างยังไม่เชื่อมโยงกันเป็นเครือข่าย เมื่อระบบต่างๆ กระจัดกระจาย ผู้โจมตีต้องโจมตีบริษัทผลิตไฟฟ้าหรือองค์กรจำหน่ายไฟฟ้าแต่ละแห่งโดยตรง แต่ตอนนี้ ด้วยการเชื่อมต่อที่มากขึ้น คุณโจมตีเครือข่ายหนึ่ง และคุณอาจกำลังโจมตีพลังงานทั้งหมดที่เครือข่ายนั้นจัดหาให้ 

เอาล่ะ นี่เป็นช่วงเวลาที่น่าสนใจ ผมได้พูดถึง OT ไปสองสามครั้งแล้ว นั่นเป็นสิ่งที่ LRQA ทำอยู่ในปัจจุบัน ถ้าจะติก็คือเราไม่ได้ประชาสัมพันธ์เรื่องนี้มากพอ และเราจำเป็นต้องทำ เราทำการทดสอบ OT ในปัจจุบัน และเราจะพิจารณาทำการตรวจสอบ OT และสิ่งอื่นๆ ที่เกี่ยวข้องกับเทคโนโลยีการปฏิบัติงานต่อไปในอนาคต 

จอช แฟลนาแกน: 

ขอบคุณครับ ฮาวาร์ด เราได้เห็นแล้วว่าเหตุการณ์ทางภูมิรัฐศาสตร์ รวมถึงความไม่มั่นคงในตะวันออกกลางเมื่อเร็วๆ นี้ สามารถส่งผลกระทบต่อตลาดพลังงานและโครงสร้างพื้นฐานได้อย่างรวดเร็วเพียงใด สิ่งนี้ควรปรับเปลี่ยนวิธีคิดขององค์กรต่างๆ เกี่ยวกับความยืดหยุ่นในระยะยาวในการเปลี่ยนผ่านด้านพลังงานอย่างไร โดยเฉพาะอย่างยิ่งสำหรับสินทรัพย์ที่จำเป็นต้องดำเนินการอย่างปลอดภัยเป็นเวลาหลายสิบปี โฟติส ผมขอเริ่มที่คุณก่อน แล้วฮาวาร์ด โปรดเข้ามาเสริมในประเด็นเกี่ยวกับด้านไซเบอร์ด้วยครับ 

โฟติส คัมปูริส: 

ถูกต้องแล้วครับ จอช คุณได้กล่าวถึงว่าสินทรัพย์เหล่านี้ต้องใช้งานได้นานสิบ ยี่สิบ สามสิบ หรือแม้กระทั่งห้าสิบปี หากพิจารณาถึงสภาพแวดล้อมทางนิวเคลียร์ ความไม่มั่นคงในตะวันออกกลางเมื่อเร็วๆ นี้ได้เตือนทุกคนว่าระบบพลังงานนั้นมีความเสี่ยงต่อภัยคุกคามทั้งทางกายภาพและทางดิจิทัล เรามักออกแบบสินทรัพย์เหล่านี้โดยเน้นประสิทธิภาพและผลผลิต แต่ไม่ได้คำนึงถึงการหยุดชะงักเสมอไป และนั่นคือความท้าทาย เพราะระบบเหล่านี้ต้องทำงานได้อย่างปลอดภัยเป็นเวลาหลายปีเพื่อให้เกิดเสถียรภาพในด้านพลังงาน 

ความยืดหยุ่นต้องได้รับการออกแบบตั้งแต่เริ่มต้น ซึ่งก่อนหน้านี้ไม่ได้เกิดขึ้น นั่นหมายความว่าเราต้องกระจายแหล่งซัพพลายเออร์ ตรวจสอบความสัมพันธ์ที่ซับซ้อนอย่างรอบคอบ มีความโปร่งใสในห่วงโซ่อุปทานมากขึ้น และเริ่มสร้างความยืดหยุ่นทางดิจิทัลในรูปแบบการดำเนินงาน ดังที่ฮาวาร์ดได้กล่าวไว้ก่อนหน้านี้ ความคิดของเราต้องเปลี่ยนจากการเพิ่มประสิทธิภาพไปสู่ความยั่งยืน และผู้ชนะจะเป็นผู้ที่เริ่มออกแบบระบบเหล่านี้ในลักษณะนั้น นั่นคือจุดที่บริบทเชิงกลยุทธ์สำหรับความปลอดภัยทางไซเบอร์และความยืดหยุ่นทางไซเบอร์เข้ามาเกี่ยวข้อง และวิธีการที่เราทำงานร่วมกับลูกค้าในเรื่องนี้ ฮาวาร์ด? 

โฮเวิร์ด ฮิวส์: 

ขอบคุณครับ โฟติส ส่วนสำคัญส่วนหนึ่งเริ่มจากวัฒนธรรมด้วย นั่นคือการมองเห็นภาพรวมในห้องประชุม อย่าออกแบบอะไรสักอย่าง สร้างมันขึ้นมา แล้วนำไปใช้งาน จากนั้นค่อยเพิ่มระบบรักษาความปลอดภัยทีหลัง 

สิ่งหนึ่งที่ LRQA สามารถทำได้กับฐานลูกค้าของเราคือ การช่วยให้พวกเขาเข้าใจแนวคิดต่างๆ เช่น การออกแบบที่ปลอดภัยตั้งแต่เริ่มต้น (secure-by-design) ซึ่งหมายถึงการสร้างความปลอดภัยให้กับเครือข่ายในทุกจุดของการออกแบบ หรือหลักการเจ็ดประการของโมเดลความไว้วางใจเป็นศูนย์ (zero-trust model) ซึ่งหมายถึงการประเมินทุกชั้นของการออกแบบและตรวจสอบให้แน่ใจว่าทุกชั้นมีความปลอดภัย 

สิ่งแรกเลยคือวัฒนธรรมและการสร้างความตระหนักรู้ ตั้งแต่ระดับผู้บริหารสูงสุด ไปจนถึงพนักงานทุกระดับ 96% ของการโจมตีที่ประสบความสำเร็จทั่วโลกเมื่อปีที่แล้ว มาจากการโจมตีผ่านอีเมลธุรกิจ (Business Email Compromise หรือ BEM) เช่น มีคนคลิกบัตรของขวัญปลอมของ Amazon (มีบัตรของขวัญอื่นๆ ให้เลือกด้วย) ในอีเมล พวกเขาคิดว่ามันเป็นเรื่องดี แต่แล้วจู่ๆ ก็มีมัลแวร์เข้ามาในคอมพิวเตอร์ และนั่นก็เป็นการเปิดช่องโหว่ในเครือข่าย ดังนั้น วัฒนธรรม การสร้างความตระหนักรู้ และการฝึกอบรมจึงมีความสำคัญ 

อีกประเด็นหนึ่งก็คือ ด้วยความเร็วในการนำเทคโนโลยีมาใช้โดยผู้คุกคาม คุณแทบจะต้องปรับเปลี่ยนความคิดให้เข้ากับสถานการณ์ ซึ่งเป็นความคิดที่น่ากลัวมาก ผมขอแนะนำให้ทุกคนที่พูดคุยกับลูกค้าเริ่มต้นจากสมมติฐานที่ว่า การละเมิดข้อมูลจะเกิดขึ้น และผู้คุกคามจะประสบความสำเร็จ ดังนั้นคำถามจึงกลายเป็นว่า หากระบบของเราถูกละเมิด เราจะต้องทำอะไรบ้าง? การกู้คืน การตอบสนองต่อเหตุการณ์ การฝึกซ้อมแผนการกู้คืนจากภัยพิบัติ และแผนการดำเนินธุรกิจอย่างต่อเนื่อง ลูกค้าของเรากี่รายที่ทำการจำลองสถานการณ์ในห้องประชุมเป็นประจำที่มีคุณภาพสูง ซึ่งเป็นส่วนหนึ่งของการฝึกซ้อมการกู้คืนจากภัยพิบัติ? เรื่องไซเบอร์ก็เป็นส่วนหนึ่งของเรื่องนั้นเช่นกัน 

ดังนั้นจึงจำเป็นต้องมีการเปลี่ยนแปลงทัศนคติ เนื่องจากฝ่ายตรงข้ามมีความซับซ้อนมากขึ้น มีจำนวนมากขึ้น และส่วนใหญ่ได้รับการสนับสนุนจากรัฐบาล ควรคิดไว้เสมอว่าพวกเขามีเครื่องมือและผู้เชี่ยวชาญที่ยอดเยี่ยมในกลุ่มผู้ก่อภัยคุกคามเหล่านั้น ควรฝึกฝนรับมือเมื่อระบบของคุณอาจถูกโจมตี แทนที่จะคิดว่าคุณจะป้องกันได้สำเร็จ 

นอกจากนี้แล้ว ในมุมมองด้านการขาย ผมได้กล่าวถึงการจำลองสถานการณ์ในห้องประชุมและกรอบการทำงานต่างๆ ไปแล้ว ไม่ว่าจะเป็นกรอบการทำงานแบบ NIST ก็ตาม หากคุณไม่รู้ว่าสิ่งที่ดีควรเป็นอย่างไร ให้ประเมินว่าคุณอยู่ตรงไหนเมื่อเทียบกับมาตรฐานที่เป็นที่ยอมรับในอุตสาหกรรม การทดสอบอย่างสม่ำเสมอ ทั้งจากมุมมองภายนอก (การทดสอบเจาะระบบแบบดั้งเดิม) และจากมุมมองของฝ่ายตรงข้าม ลองนึกถึงการทดสอบแบบ Red Team ที่ทีมงานเข้าไปสวมบทบาทเป็นฝ่ายตรงข้ามและทดสอบระบบป้องกันของคุณ 

ดังนั้น มีหลายสิ่งที่เราทำในปัจจุบันที่ไม่เพียงแต่ภาคอุตสาหกรรมพลังงานเท่านั้น แต่ยังรวมถึงฐานลูกค้าทั้งหมดของเราสามารถนำไปใช้ได้ 

จอช แฟลนาแกน: 

เยี่ยมเลย ขอบคุณครับ ฮาวาร์ด ขณะที่เรากำลังจะถามคำถามต่อไป สิ่งสำคัญคือเราต้องพูดถึงว่าทำไมหัวข้อนี้ถึงดูน่ากลัว ในโครงการเปลี่ยนผ่านด้านพลังงานขนาดใหญ่ ความเสี่ยงทางไซเบอร์มักถูกมองข้ามไปตรงไหน ใครคือกลุ่มที่ได้รับผลกระทบมากที่สุด และเพราะอะไร โฟติส เดี๋ยวผมจะมาถามคุณเกี่ยวกับเรื่องนี้ครับ 

โฟติส คัมปูริส: 

นั่นเป็นคำถามที่ดี จากประสบการณ์ของผมตลอดหลายปีที่ผ่านมา ผมได้สัมผัสกับโครงการด้านพลังงานมากมาย และผมต้องบอกว่าโดยปกติแล้วประเด็นนี้มักถูกมองข้ามไปตั้งแต่เนิ่นๆ – เมื่อโครงการยังคงถูกมองในแง่ของการออกแบบ จัดซื้อ และส่งมอบเพียงอย่างเดียว แทนที่จะมองว่าเป็นสินทรัพย์ที่ใช้งานได้ยาวนาน ดังที่เราได้กล่าวไว้ในตอนต้น สินทรัพย์เหล่านี้ต้องใช้งานได้นานถึงยี่สิบ สามสิบ สี่สิบ หรือห้าสิบปีขึ้นไป 

ทีมวิศวกรรมกำลังเผชิญกับแรงกดดันให้ทำงานอย่างรวดเร็ว งบประมาณถูกตรวจสอบอย่างเข้มงวด การตัดสินใจด้านการออกแบบและซัพพลายเออร์ที่สำคัญทั้งหมดกำลังถูกกำหนดขึ้นก่อนที่ข้อกำหนดด้านความปลอดภัยทางไซเบอร์จะเข้ามาเกี่ยวข้อง นี่คือจุดที่ LRQA สามารถให้การสนับสนุนได้ ด้วยโซลูชันของเราเกี่ยวกับการประเมินผู้ขาย การจัดการห่วงโซ่อุปทาน และคุณภาพและความปลอดภัย เพราะเราสามารถพิจารณาองค์ประกอบเหล่านี้ได้อย่างอิสระ และให้การสนับสนุนผู้ซื้อหรือซัพพลายเออร์ที่แตกต่างกันเพื่อลดความเสี่ยง 

องค์กรที่เสี่ยงที่สุดมักจะเป็นองค์กรที่มีโครงสร้างการเป็นเจ้าของแบบกระจัดกระจาย บ่อยครั้งที่ฝ่ายหนึ่งออกแบบ ฝ่ายหนึ่งจัดซื้อ และอีกฝ่ายหนึ่งบูรณาการ ในสภาพแวดล้อมเช่นนั้น ทุกคนต่างพูดว่าเรื่องไซเบอร์สำคัญ แต่ไม่มีใครรับผิดชอบ พวกเขาปล่อยให้เป็นหน้าที่ของผู้ตัดสินใจขั้นสุดท้าย ซึ่งโดยปกติแล้วก็คือเจ้าของ ดังนั้นนี่จึงเป็นความท้าทายสำหรับผม ปัญหาไม่ได้อยู่ที่ความไม่รู้ แต่เป็นเพราะไซเบอร์ไม่ได้ถูกมองว่าเป็นความเสี่ยงหลักในการส่งมอบงาน และไซเบอร์ต้องกลายเป็นความเสี่ยงรองในการส่งมอบงาน 

จอช แฟลนาแกน: 

เยี่ยมเลย เราได้พูดคุยกันถึงข้อผิดพลาดบางอย่างที่องค์กรต่างๆ กำลังทำอยู่ แต่คงจะดีถ้าได้พูดถึงว่าการกำกับดูแลที่ดีนั้นเป็นอย่างไร ฮาวาร์ด ผมขอคุยกับคุณก่อนนะครับ 

โฮเวิร์ด ฮิวส์: 

ขอบคุณครับ ผมจะยกตัวอย่างล่าสุด – ไม่ใช่บริษัทพลังงาน แต่เป็นโครงการรักษาความปลอดภัยทางไซเบอร์ของโครงสร้างพื้นฐานระดับชาติที่ยังคงมีความสำคัญอย่างยิ่งในบริษัทขนส่งขนาดใหญ่แห่งหนึ่ง 

คณะกรรมการของพวกเขาเริ่มต้นการประชุมด้วยการบรรยายสรุปด้านความปลอดภัย ตามด้วยการบรรยายสรุปด้านความปลอดภัยทางไซเบอร์ ดังนั้นสิ่งที่คณะกรรมการทำเป็นอันดับสองก็คือการบรรยายสรุปด้านความปลอดภัยทางไซเบอร์: มีภัยคุกคามอะไรบ้างในปัจจุบัน? เราถูกโจมตีในรอบระยะเวลาการรายงานที่ผ่านมาหรือไม่? มันไม่ได้เกิดขึ้นหลังจากเรื่องการเงินหรือหลังจากตัวชี้วัดการดำเนินงาน แต่เกิดขึ้นตั้งแต่ต้นเลย ความปลอดภัย ความปลอดภัยทางไซเบอร์ จากนั้นก็การเงิน บุคลากร การขาย และอื่นๆ ดังนั้นจึงมีการเปลี่ยนแปลงทางวัฒนธรรมบางอย่าง คุณถามว่าสิ่งที่ดีควรเป็นอย่างไร นั่นก็เป็นหนึ่งในนั้น เริ่มต้นที่วัฒนธรรม 

ในกระบวนการจัดทำงบประมาณนั้น โดยทั่วไปแล้วเรื่องความปลอดภัยทางไซเบอร์มักถูกนำมาพิจารณาในภายหลัง แนวทางปฏิบัติที่ดีที่สุดคือการบูรณาการเรื่องความปลอดภัยทางไซเบอร์เข้ากับโครงการเปลี่ยนแปลงองค์กรตั้งแต่เริ่มต้น ไม่ใช่แค่การคิดค่าใช้จ่ายหนึ่งเปอร์เซ็นต์ของรายได้ หรือตัวชี้วัดใดๆ ก็ตาม แต่ต้องพิจารณาว่า: เราต้องเสียค่าใช้จ่ายเท่าไหร่ในการรักษาความปลอดภัยของระบบนี้? เราต้องเสียค่าใช้จ่ายเท่าไหร่ในการดำเนินงานของเราอย่างต่อเนื่อง เพื่อให้ในอุดมคติแล้วเราจะไม่ถูกโจมตี แต่หากถูกโจมตี การดำเนินธุรกิจอย่างต่อเนื่องก็จะยังคงดำเนินต่อไปได้ และเรายังคงสามารถให้บริการลูกค้าได้ต่อไป? 

สุดท้ายนี้ ผมขอเสริมอีกประเด็นหนึ่ง คือ การรายงานระดับคณะกรรมการ การเปิดเผยข้อมูลตลอดเวลา ทั้งด้านดีและด้านไม่ดี อย่ากลัวสีแดง เราได้รับคำขอให้จัดทำรายงานระดับคณะกรรมการในรายละเอียดที่สูงมาก คณะกรรมการต้องการทราบรายละเอียดของการละเมิดครั้งล่าสุด ดังนั้นมันจึงเป็นการเปลี่ยนแปลงวัฒนธรรม การเปลี่ยนแปลงความคิดเล็กน้อย แต่สามารถทำได้จริง ๆ และเราเป็นบริษัทประเภทที่มองหาพันธมิตรกับผู้ให้บริการด้านพลังงานเพื่อจัดหาความสามารถนั้น 

คุณคิดอย่างไรบ้าง โฟติส? มีอะไรเพิ่มเติมอีกไหม? 

โฟติส คัมปูริส: 

ขอบคุณครับ ฮาวาร์ด คุณได้กล่าวถึงแง่มุมของวัฒนธรรมและความรับผิดชอบได้อย่างยอดเยี่ยมแล้ว บางทีผมอาจจะเพิ่มเติมเรื่องความสามารถเข้าไปด้วย เพราะความเสี่ยงเปลี่ยนแปลงไปอย่างรวดเร็วมาก ทำให้ยากที่จะมีผู้เชี่ยวชาญและผู้ทรงคุณวุฒิที่เหมาะสมทั้งหมดอยู่ภายในองค์กร นี่คือจุดที่ LRQA สามารถเข้ามาช่วยได้ ด้วยข้อได้เปรียบด้านการบริหารความเสี่ยงแบบบูรณาการตลอดวงจรชีวิต ตั้งแต่การออกแบบและการจัดซื้อ ไปจนถึงการดำเนินงานและการเปลี่ยนแปลงตลอดเวลา เพื่ออยู่เคียงข้างลูกค้าและช่วยให้พวกเขาเข้าใจสิ่งที่เกิดขึ้นในแต่ละวัน 

จอช แฟลนาแกน: 

ขอบคุณครับ นั่นเป็นข้อมูลเชิงลึกที่ยอดเยี่ยมมาก สิ่งหนึ่งที่ควรเรียนรู้จากเรื่องนี้คือ เรื่องนี้อาจเป็นเรื่องที่หนักหน่วงมากสำหรับธุรกิจและโครงการบางประเภท เมื่อพูดถึงความยืดหยุ่นทางไซเบอร์ คุณคิดว่าจุดเริ่มต้นที่ดีสำหรับผู้ฟังทุกคนคือตรงไหนครับ ฮาวาร์ด? 

โฮเวิร์ด ฮิวส์: 

ตามธรรมเนียมปฏิบัติ – และยังคงใช้ได้ผลดีอยู่ – ให้เลือกใช้กรอบการปฏิบัติตามข้อกำหนดสักกรอบหนึ่ง แล้วประเมินตนเองเทียบกับกรอบนั้น กรอบเหล่านี้มีมานานแล้ว NIST เป็นเกณฑ์การให้คะแนนที่ดี ISO 27000 ก็เป็นเกณฑ์การให้คะแนนที่ดีเช่นกัน เลือกใช้กรอบใดกรอบหนึ่ง ประเมินตนเองเทียบกับเกณฑ์เหล่านั้น และนำทีมของคุณร่วมเดินทางไปด้วยกัน 

ตามธรรมเนียมแล้ว ผู้คนจะตั้งระบบขึ้นมาแล้วทดสอบ พวกเขาจะพูดว่า "ปีนี้ฉันจะทำการทดสอบเจาะระบบสี่ครั้ง ฉันจะทำการล่าภัยคุกคามหนึ่งครั้งในปีนี้" หนึ่งในด้านที่กำลังเกิดการเปลี่ยนแปลงในอุตสาหกรรมตอนนี้คือ คุณต้องคิดอย่างต่อเนื่อง เราต้องถูกต้องทุกวัน ในขณะที่ผู้โจมตีเพียงแค่ถูกต้องครั้งเดียวก็พอแล้ว หากผู้โจมตีที่ได้รับการสนับสนุนจากรัฐต้องการเจาะระบบ พวกเขาเพียงแค่ต้องถูกต้องครั้งเดียวเท่านั้น แต่เราต้องถูกต้องทุกวัน 

ดังนั้น การตรวจสอบช่องโหว่การโจมตีอย่างต่อเนื่องจึงมีความสำคัญ คือการตรวจสอบระบบของคุณอย่างต่อเนื่อง แทนที่จะทดสอบเพียงไม่กี่ครั้งต่อปี หรือทำการทดสอบเจาะระบบทุกไตรมาส ลองนึกถึงแนวทางการตรวจสอบอย่างต่อเนื่องดู 

สำหรับท่านที่ได้ติดตามข่าวในช่วงสองสัปดาห์ที่ผ่านมาเกี่ยวกับโมเดลล่าสุดที่ Anthropic เปิดตัว ซึ่งก็คือ Mythos ผ่านโครงการ Glasswing นั้น ได้พบช่องโหว่ในเครือข่ายโครงสร้างพื้นฐานที่สำคัญของประเทศ ซึ่งมีอายุมากกว่ายี่สิบปีแล้ว 

บางส่วนเป็นเรื่องสุขอนามัยขั้นพื้นฐาน หากคุณพบปัญหาในระบบของคุณ คุณต้องแก้ไขมันในวันนั้น ชั่วโมงนั้น นาทีนั้น เพราะมันเปิดกว้าง และหากคุณพบมัน คุณมั่นใจได้ 100% ว่าผู้โจมตีก็จะพบมันเช่นกัน 

จากนั้นก็ถึงขั้นตอนการฝึกฝนจำลองสถานการณ์ เมื่อคุณได้พัฒนามาตรฐานให้ถึงระดับที่เหมาะสมและมีแผนงานที่จะปรับปรุงอย่างต่อเนื่องแล้ว การจำลองการโจมตีระบบอย่างต่อเนื่องก็เป็นสิ่งสำคัญ ลองจ้างบริษัทภายนอกอย่าง LRQA มาช่วยคิดในสิ่งที่คาดไม่ถึง อย่าทำการโจมตีแบบเดิมๆ แต่ให้คิดถึงการโจมตีที่แตกต่างออกไปที่คุณอาจไม่เคยคิดมาก่อน และฝึกฝนซ้ำแล้วซ้ำเล่า 

นั่นเป็นแนวทางปฏิบัติที่ดีที่สุดบางส่วนที่ผมอยากแนะนำให้เรานำมาหารือกันครับ 

จอช แฟลนาแกน: 

ขอบคุณทั้งสองท่านที่ให้คำตอบที่ลึกซึ้งในวันนี้ สำหรับข้อคิดปิดท้าย: ในความคิดของคุณ การเปลี่ยนแปลงทัศนคติที่สำคัญที่สุดที่องค์กรต่างๆ จำเป็นต้องทำเพื่อปกป้องการเปลี่ยนผ่านด้านพลังงานคืออะไร? เราจะเริ่มจากคุณก่อนเลย โฟติส 

โฟติส คัมปูริส: 

ก่อนที่ผมจะพูดถึงเรื่องขององค์กร ผมขอพูดถึงเรื่องที่กว้างกว่านั้นสักหน่อย การเปลี่ยนผ่านด้านพลังงานเป็นช่วงการเติบโตที่สำคัญที่สุดที่เรากำลังเผชิญ และเราต้องการการสนับสนุนจากรัฐบาลด้วย รัฐบาลจำเป็นต้องทำให้กรอบการทำงานต่างๆ ง่ายขึ้นและเชื่อมโยงกันได้ดียิ่งขึ้น เพราะเมื่อเราพูดถึงเครือข่ายด้านความปลอดภัยทางไซเบอร์ ลองนึกถึงโครงข่ายไฟฟ้าที่เชื่อมต่อระหว่างฝรั่งเศสและสหราชอาณาจักร หรือญี่ปุ่นและเกาหลีดูสิ กฎระเบียบและมาตรฐานที่แตกต่างกันทำให้การเชื่อมต่อและการสื่อสารด้วยภาษาเดียวกันทำได้ยากขึ้นมาก ดังนั้นเราจึงต้องการการเปลี่ยนแปลงในกรอบการกำกับดูแลจากรัฐบาลและสถาบันกำกับดูแลต่างๆ 

เมื่อพูดถึงองค์กรต่างๆ เพื่อให้สามารถก้าวทันความเปลี่ยนแปลงได้ พวกเขาจำเป็นต้องเริ่มมองเรื่องความปลอดภัยทางไซเบอร์และความยืดหยุ่นเป็นสิ่งที่ต้องแก้ไขในตอนนี้ แทนที่จะติดตั้งเพิ่มเติมในภายหลัง มันต้องเป็นส่วนหนึ่งของการดำเนินงานตั้งแต่วันแรก ต้นทุนของการจัดการเรื่องความปลอดภัยทางไซเบอร์ผิดพลาดอาจร้ายแรงมาก คุณอาจสูญเสียพลังงาน คุณอาจสูญเสียห่วงโซ่อุปทาน และที่สำคัญที่สุด คุณอาจได้รับความเสียหายต่อชื่อเสียง เราได้เห็นสิ่งที่เกิดขึ้นในตะวันออกกลางและปัญหาต่างๆ ที่เกิดขึ้นในช่วงสองสามสัปดาห์ที่ผ่านมาแล้ว 

สำหรับผมแล้ว การเปลี่ยนความคิดนั้นง่ายมาก: ความเร็วและความปลอดภัยไม่ใช่สิ่งที่ต้องแข่งขันกัน เราต้องเคลื่อนไหวอย่างรวดเร็ว แต่เราก็ต้องจำไว้ด้วยว่าเรากำลังอยู่ในโลกที่ผันผวนอยู่ตลอดเวลา และความยืดหยุ่นคือสิ่งที่ทำให้เราสามารถทำเช่นนั้นได้ 

โฮเวิร์ด เชิญเลยครับ 

โฮเวิร์ด ฮิวส์: 

ผมเกือบจะพูดถึงเรื่องวัฒนธรรมอีกครั้งแล้ว – ผมคิดว่ามันสำคัญที่สุดสำหรับผม – แต่ผมจะเลือกอย่างอื่นแทน: ความเร็วที่คุณต้องเคลื่อนไหว สมมติว่ากลุ่มผู้ก่อการร้ายที่ได้รับการสนับสนุนจากรัฐและจัดตั้งเป็นองค์กรอาชญากรรมมีงบประมาณไม่จำกัด พวกเขาไม่ต้องไปประชุม ไม่ต้องขออนุญาต พวกเขาหาเป้าหมายได้ มีเครื่องมือและเทคนิคที่เหมาะสม และต้องการเคลื่อนไหวอย่างรวดเร็ว 

ดังนั้น สิ่งสำคัญคือการหาพันธมิตรอย่าง LRQA นำพันธมิตรนั้นเข้ามาในระบบนิเวศของคุณ และปล่อยให้ LRQA ช่วยคุณดำเนินการได้อย่างรวดเร็ว อย่ารอจนถึงไตรมาสหน้าเพื่อติดตั้งเกตเวย์อีเมลใหม่ของคุณ อย่ารอจนถึงปีหน้าเพื่อวางแผนงบประมาณสำหรับไฟร์วอลล์ทดแทนของคุณ อย่าคิดว่าการทดสอบเจาะระบบสี่ครั้งต่อปีคือสิ่งที่ดี – นั่นเป็นสิ่งที่ดีในยุค 1990 ตอนนี้คุณต้องคิดว่า "ฉันจะทำการทดสอบในวันพรุ่งนี้" 

เราเพิ่งเปิดตัวการทดสอบเจาะระบบด้วย AI ซึ่งใช้เอเจนต์ในการทดสอบอย่างมีประสิทธิภาพ รวดเร็ว และทันท่วงทีมากขึ้น โดยแทบไม่ต้องแจ้งล่วงหน้า กล่าวคือ "ฉันต้องการทดสอบพรุ่งนี้" แทนที่จะต้องจองการทดสอบในเดือนหน้า นี่เป็นการอธิบายให้ลูกค้าเข้าใจว่าเรื่องนี้มีความเร่งด่วน เพราะทุกวันที่คุณรอ คืออีกวันที่ผู้โจมตีทำการสอดแนมเครือข่ายของคุณ สร้างมัลแวร์ที่ออกแบบเอง ซึ่งอาจเป็นช่องโหว่ Zero-day ที่ไม่เคยมีใครใช้มาก่อน และหากพวกเขานำมันเข้ามาในเครือข่ายของคุณ ระบบป้องกันของคุณจะไม่สามารถป้องกันได้อย่างมีประสิทธิภาพ 

สำหรับผมแล้ว ทุกอย่างขึ้นอยู่กับวัฒนธรรมและอัตราการเปลี่ยนแปลงครับ 

จอช แฟลนาแกน: 

ขอบคุณทั้งสองท่านครับ สำหรับตอนนี้ก็จบลงแล้ว ขอบคุณที่แบ่งปันความคิดเห็น และขอบคุณทุกท่านที่รับฟังครับ 

วันนี้เราได้สำรวจว่าการเปลี่ยนผ่านด้านพลังงานไม่ใช่แค่เรื่องของความเร็วและขนาด แต่ยังเป็นเรื่องของความยืดหยุ่นด้วย เนื่องจากระบบพลังงานมีความเชื่อมโยงกันมากขึ้นและเผชิญกับความเสี่ยงทางภูมิรัฐศาสตร์และไซเบอร์มากขึ้น องค์กรต่างๆ จึงจำเป็นต้องให้ความสำคัญกับความปลอดภัยทางไซเบอร์เป็นหลักตั้งแต่เริ่มต้น ไม่ใช่สิ่งที่นึกถึงทีหลัง 

หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่ LRQA สนับสนุนองค์กรในการจัดการความเสี่ยงตลอดวงจรการเปลี่ยนผ่านด้านพลังงาน และบริการด้านความปลอดภัยทางไซเบอร์ของเรา โปรดเยี่ยมชม lrqa.com หรือติดต่อเรา 

ขอบคุณที่รับฟัง และพบกันใหม่ในตอนต่อไป