ຈຳນວນການໂຈມຕີທີ່ເກີດຂຶ້ນຕໍ່ໂຄງລ່າງພື້ນຖານທີ່ສຳຄັນໂດຍກຸ່ມລັດຂອງປະເທດໄດ້ເພີ່ມຂຶ້ນສອງເທົ່າໃນປີທີ່ຜ່ານມາ, ອີງຕາມປີ 2022. Microsoft Digital Defense Report. ໃນລະຫວ່າງເດືອນກໍລະກົດ 2021 ຫາເດືອນມິຖຸນາ 2022, ການໂຈມຕີທາງອິນເຕີເນັດຕໍ່ບໍລິສັດໃນດ້ານໄອທີ, ການບໍລິການທາງດ້ານການເງິນ, ການຂົນສົ່ງ, ແລະໂຄງສ້າງພື້ນຖານການສື່ສານກວມເອົາ 40% ຂອງກິດຈະກໍາທັງຫມົດເມື່ອທຽບກັບພຽງແຕ່ 20% ໃນ 12 ເດືອນທີ່ຜ່ານມາ.
Mathieu Gorge, CEO ຂອງ VigiTrust, ແລະ Ian Bramson, ຫົວຫນ້າຄວາມປອດໄພທາງອິນເຕີເນັດທົ່ວໂລກຂອງ ABS Group, ນັ່ງລົງເພື່ອປຶກສາຫາລືກ່ຽວກັບບັນຫາທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພດ້ານໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນ, ບົດບາດຂອງ OT ແລະ IT ໃນການປົກປ້ອງສິ່ງອໍານວຍຄວາມສະດວກທີ່ສໍາຄັນ, ແລະວິທີທີ່ຜູ້ນໍາດ້ານຄວາມປອດໄພສາມາດສື່ສານເຫຼົ່ານີ້. ຄວາມເປັນຫ່ວງຕໍ່ກັບສະມາຊິກສະພາ ແລະຜູ້ທີ່ຢູ່ໃນຫ້ອງ C-suite.
ຄວາມປອດໄພດ້ານພື້ນຖານໂຄງລ່າງທີ່ ສຳ ຄັນ
ຫຼັງຈາກການໂຈມຕີເຊັ່ນ: ຜູ້ບໍລິຫານບໍລິການສຸຂະພາບຂອງໄອແລນ (HSE), Colonial Pipeline, ແລະ JBS Food, ໂລກໄດ້ຕື່ນຕົວກັບໄພຂົ່ມຂູ່ອັນໃຫຍ່ຫຼວງທີ່ເກີດຂື້ນກັບຊຸດຂອງລະບົບທີ່ສໍາຄັນ, ເຄືອຂ່າຍ, ແລະຊັບສິນທີ່ອໍານວຍຄວາມສະດວກຂອງປະເທດ. ສັງຄົມ ແລະ ເສດຖະກິດ. ຊຸດຂອງສິ່ງອໍານວຍຄວາມສະດວກແລະຜູ້ໃຫ້ບໍລິການນີ້ຖືກເອີ້ນທົ່ວໄປວ່າ "ໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນ", ແລະກວມເອົາສິ່ງຕ່າງໆເຊັ່ນ: ລະບົບການສຶກສາ, ສະຖານທີ່ສາທາລະນະສຸກ, ໂຮງງານພະລັງງານ, ລະບົບການຂົນສົ່ງ, ໂຮງງານນ້ໍາປະປາ, ແລະການບໍລິການຄວາມປອດໄພແລະອື່ນໆ.
ຄວາມສ່ຽງດ້ານຄວາມປອດໄພຕໍ່ໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນໄດ້ເພີ່ມຂຶ້ນສູງໃນຊຸມປີມໍ່ໆມານີ້ຍ້ອນວ່າການເຊື່ອມໂຍງທາງດ້ານດິຈິຕອນໃນສະພາບແວດລ້ອມທີ່ເປັນມໍລະດົກໄດ້ເປີດສະຖານທີ່ເຫຼົ່ານີ້ເພື່ອໂຈມຕີ. ນັກສະແດງໄພຂົ່ມຂູ່ໄດ້ຮັບຮູ້ຢ່າງໄວວາທ່າແຮງສໍາລັບການໄດ້ຮັບທາງດ້ານການເງິນທີ່ກ່ຽວຂ້ອງກັບການແຊກແຊງໃນຂະແຫນງການເຫຼົ່ານີ້, ກະຕຸ້ນໃຫ້ລັດຖະບານແລະເອກະຊົນດຽວກັນເພີ່ມທະວີການສົນທະນາຂອງເຂົາເຈົ້າກ່ຽວກັບຄວາມປອດໄພຂອງການບໍລິການທີ່ຈໍາເປັນ.
ໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນແລະການໂຈມຕີແນວໂນ້ມ
ອີງຕາມ Ian Bramson, ສະພາບແວດລ້ອມໄພຂົ່ມຂູ່ແມ່ນພັດທະນາ. ການໂຈມຕີແມ່ນມີຄວາມຊັບຊ້ອນຫຼາຍຂຶ້ນຍ້ອນວ່າຜູ້ສະໜັບສະໜູນປະເທດຊາດ ແລະນັກສະແດງອິດສະລະໄດ້ຫັນຈຸດສຸມຈາກຂໍ້ມູນຂ່າວສານໄປສູ່ສະພາບແວດລ້ອມປະຕິບັດງານ.
ເຖິງແມ່ນວ່າມີຕົວຢ່າງອື່ນໆໃນອະດີດ - ເຊັ່ນ Stuxnet ໃນປີ 2010— ການໂຈມຕີແບບດຽວກັບທໍ່ສົ່ງອານານິຄົມໄດ້ເປັນສັນຍານເຕືອນວ່າພາກລັດແລະເອກະຊົນຄວນເພີ່ມທະວີຄວາມປອດໄພຂອງລະບົບດັ່ງກ່າວ. ໃນເວລາດຽວກັນ, ພວກເຂົາເຈົ້າໄດ້ piqued ຄວາມສົນໃຈຂອງ cybercriminals, ຍ້ອນວ່າເຂົາເຈົ້າໄດ້ສະແດງໃຫ້ເຫັນການຊໍາລະເງິນທີ່ເປັນໄປໄດ້ຂອງການປະຕິບັດການໂຈມຕີຂະຫນາດໃຫຍ່ດັ່ງກ່າວແລະມີຜົນກະທົບ.
ທ່ານ Bramson ອະທິບາຍວ່າ "ມີນັກຂົ່ມຂູ່ຫຼາຍຄົນທີ່ເວົ້າວ່າ, 'ລໍຖ້າ, ລໍຖ້າ, ຂ້ອຍສາມາດປິດທໍ່ນ້ໍາມັນໄດ້," Bramson ອະທິບາຍ. ຍ້ອນວ່າການໂຈມຕີໄດ້ກາຍເປັນຄວາມຊັບຊ້ອນຫຼາຍຂຶ້ນແລະຄວາມຂັດແຍ້ງຂອງຢູເຄລນໄດ້ເພີ່ມທະວີການໂຈມຕີໃນລະບົບ OT, ພວກຄົນບໍ່ດີນັບມື້ນັບຫຼາຍຂຶ້ນແລະໄດ້ຮັບການນໍາໃຊ້ການໂຈມຕີປະເພດເຫຼົ່ານີ້. ຄໍາຖາມທີ່ແທ້ຈິງສໍາລັບຜູ້ຊ່ຽວຊານດ້ານ cyber ໃນປັດຈຸບັນແມ່ນ "ພວກເຂົາຈະປັບຕົວໄດ້ໄວກວ່າທີ່ພວກເຮົາສາມາດພັດທະນາໄດ້ບໍ?”
ຊ່ອງຫວ່າງຄວາມຮູ້ຄວາມເປັນຜູ້ນໍາ
ໃນຄວາມຄິດເຫັນຂອງ Bramson, ຜູ້ຕັດສິນໃຈໃນລະດັບຄະນະກໍາມະການຍັງບໍ່ທັນມີຮູບແບບການຈັດຕັ້ງສໍາລັບການແກ້ໄຂບັນຫາຄວາມກັງວົນເຫຼົ່ານີ້. ພວກເຂົາຍັງຊອກຫາຜູ້ທີ່ຮັບຜິດຊອບຕໍ່ໂຄງສ້າງຄວາມປອດໄພຂອງສະພາບແວດລ້ອມດ້ານເຕັກໂນໂລຢີການດໍາເນີນງານ (OT) ຂອງອົງການຈັດຕັ້ງຂອງພວກເຂົາ. ນີ້ແມ່ນເນື່ອງມາຈາກການຂາດຄວາມຮູ້ກ່ຽວກັບວິທີການທີ່ທີມງານເຕັກໂນໂລຊີຂໍ້ມູນຂ່າວສານ (IT) ແລະ OT ແລະນະໂຍບາຍປະຕິສໍາພັນໃນອົງການຈັດຕັ້ງຂອງເຂົາເຈົ້າ. ຄວາມເຂົ້າໃຈຜິດນີ້ເຮັດໃຫ້ມັນຍາກທີ່ຈະກໍານົດວ່າໃຜເປັນຜູ້ຮັບຜິດຊອບສໍາລັບແຕ່ລະພື້ນທີ່, ໃຜຄວນຮັບຜິດຊອບຕໍ່ຄວາມຜິດພາດ, ແລະວິທີການເຮັດວຽກຂອງໂຄງສ້າງ.
ເຖິງແມ່ນວ່າທັງຜູ້ຊ່ຽວຊານດ້ານ IT ແລະ OT ມີສ່ວນຮ່ວມໃນຄວາມປອດໄພ, ບົດບາດຂອງພວກເຂົາແຕກຕ່າງກັນ. ໃນຂະນະທີ່ທີມງານ IT ສຸມໃສ່ການຄວບຄຸມຂໍ້ມູນໂດຍອີງໃສ່ນະໂຍບາຍຄວາມປອດໄພຂໍ້ມູນ (ຄວາມຫນ້າເຊື່ອຖື, ຄວາມຊື່ສັດ, ແລະຄວາມພ້ອມ) ແລະການປ້ອງກັນການລະເມີດຂໍ້ມູນ, ທີມງານ OT ມີຄວາມຮັບຜິດຊອບຕໍ່ຄວາມປອດໄພຂອງຂໍ້ມູນ. ທາງດ້ານຮ່າງກາຍ ຄວບຄຸມສິ່ງແວດລ້ອມ. ເຂົາເຈົ້າໄດ້ຖືກມອບໝາຍໃຫ້ຮັບປະກັນວ່າການປະຕິບັດງານຍັງຄົງມີການເຄື່ອນໄຫວ ແລະ ບໍ່ມີການປະນີປະນອມ.
ການລະເມີດເຄືອຂ່າຍ OT ສາມາດສົ່ງຜົນກະທົບຕໍ່ໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນ, ລົບກວນການບໍລິການສາທາລະນະ, ຜົນກະທົບຕໍ່ເສດຖະກິດໂລກ, ແລະເຮັດໃຫ້ຊີວິດຂອງມະນຸດມີຄວາມສ່ຽງ. ອັນນີ້ກາຍເປັນສິ່ງທ້າທາຍໃນເວລາທີ່ເນັ້ນໃສ່ IT - ແລະຜູ້ນໍາລະດັບຄະນະກໍາມະການມັກຈະບໍ່ມີຄວາມເຂົ້າໃຈຢ່າງຈະແຈ້ງກ່ຽວກັບ nuance ນີ້.
ການແປ OT ແລະຄວາມສ່ຽງດ້ານ IT ສໍາລັບຄະນະ
ວິທີການຂອງ Bramson ໃນເວລາອະທິບາຍຄວາມສ່ຽງເຫຼົ່ານີ້ຕໍ່ສະມາຊິກສະພາແມ່ນການເວົ້າພາສາຂອງພວກເຂົາ. ລາວອະທິບາຍວ່າ "ເມື່ອຜູ້ ນຳ cyber ໄປຫາກະດານ, ພວກເຂົາໃຫ້ຂໍ້ມູນດ້ານວິຊາການຫຼາຍ," ລາວອະທິບາຍ. "ແລະມັນເປັນຂໍ້ມູນທີ່ຄະນະກໍາມະການບໍ່ເຂົ້າໃຈ."
ແທນທີ່ຈະ, ລາວແນະນໍາ CISOs ແລະຜູ້ຊ່ຽວຊານດ້ານ cyber ອື່ນໆ:
- ອະ ທິ ບາຍ ແນວ ຄວາມ ຄິດ cyber ເປັນ ທີ່ ເຂົາ ເຈົ້າ ຈະ ເປັນ layman. ສໍາລັບຕົວຢ່າງ, ໃນດ້ານ OT, ພວກເຂົາຄວນຈະເຮັດໃຫ້ມັນຊັດເຈນວ່າໄພຂົ່ມຂູ່ຕໍ່ OT ບໍ່ພຽງແຕ່ກ່ຽວກັບການລັກຂໍ້ມູນ. ໃນກໍລະນີດັ່ງກ່າວ, ພວກຄົນບໍ່ດີໄດ້ພະຍາຍາມລົບກວນການດໍາເນີນງານທີ່ສາມາດມີຜົນກະທົບຢ່າງຊັດເຈນຕໍ່ຄວາມປອດໄພທາງດ້ານຮ່າງກາຍຂອງສະຖານທີ່ແລະຄວາມປອດໄພຂອງພະນັກງານແລະສະມາຊິກຂອງຊຸມຊົນຢ່າງຫຼວງຫຼາຍ.
- ສະແດງໃຫ້ເຫັນຜົນກະທົບຕໍ່ລາຍໄດ້ຂອງບໍລິສັດແລະຄວາມສ່ຽງຕໍ່ທຸລະກິດ. ຕົວຢ່າງ, ຜູ້ນໍາທາງອິນເຕີເນັດຢູ່ສະຖານີພະລັງງານຕ້ອງການເນັ້ນຫນັກວ່າການໂຈມຕີທາງອິນເຕີເນັດສາມາດສົ່ງຜົນກະທົບຕໍ່ຄວາມສາມາດຂອງສະຖານທີ່ສ້າງພະລັງງານແລະແຈກຢາຍມັນຢ່າງປອດໄພໄດ້ແນວໃດ.
- ສະແດງໃຫ້ເຫັນສິ່ງທີ່ເຂົາເຈົ້າກໍາລັງເຮັດເພື່ອກວດພົບແລະຕອບສະຫນອງຕໍ່ເຫດການ. ບອກໃຫ້ຮູ້ວິທີການກະທຳ ແລະນະໂຍບາຍເຫຼົ່ານັ້ນສາມາດຫຼຸດຜ່ອນຜົນກະທົບຂອງການໂຈມຕີ.
ໃກ້ກັບຄະນະ
Bramson ເຊື່ອວ່າວິທີການທີ່ດີທີ່ສຸດທີ່ຈະເຈລະຈາກັບຄະນະກໍາມະການແມ່ນເພື່ອຮັກສາມັນງ່າຍດາຍ. ລາວແນະນໍາໃຫ້ເລີ່ມຕົ້ນໂດຍການວາງຂອບການສົນທະນາປະມານຄໍາຖາມພື້ນຖານເຫຼົ່ານີ້:
- ເຮົາຮູ້ບໍວ່າເຮົາຕ້ອງປົກປ້ອງຫຍັງ?
- ພວກເຮົາຮູ້ບໍ່ວ່າຂຸມຢູ່ໃສ? ພວກເຮົາຮູ້ບໍວ່ານັກສະແດງທີ່ບໍ່ດີສາມາດເຂົ້າໄປໃນ?
- ພວກເຮົາສາມາດເຫັນໄດ້ວ່າມີຜູ້ໃດລະເມີດລະບົບບໍ?
- ພວກເຮົາມີແຜນການທີ່ຈະເອົາຄົນທີ່ລະເມີດລະບົບອອກຈາກມັນບໍ?
ອີງຕາມການ Bramson: "ການວາງບັນຫາເຂົ້າໄປໃນຄໍາທີ່ງ່າຍດາຍເຫຼົ່ານີ້ສາມາດຊ່ວຍໃຫ້ຜູ້ນໍາລະດັບຄະນະກໍາມະການເຂົ້າໃຈວ່າຄໍາຖາມທີ່ຖືກຕ້ອງແມ່ນຫຍັງ, ເພື່ອໃຫ້ຜູ້ຊ່ຽວຊານດ້ານອິນເຕີເນັດສາມາດຂັບລົດການສົນທະນາທີ່ຖືກຕ້ອງ."
ແຫຼ່ງຂໍ້ມູນ: https://www.forbes.com/sites/forbesbooksauthors/2023/01/10/critical-infrastructure-why-its-the-new-target-for-cybercriminals-a-discussion-with-ian-bramson/