top of page

คู่มือประเมินความเสี่ยง ICS: ปกป้องระบบควบคุมอุตสาหกรรม



คู่มือนี้เป็นแนวทางปฏิบัติในการประเมินความเสี่ยง (Risk Assessment) ซึ่งมีความสำคัญในการปรับปรุงความปลอดภัยของระบบควบคุมอุตสาหกรรม (Industrial Control Systems: ICS) ได้อย่างมาก โดยมีจุดประสงค์เพื่อ:

  • ส่งเสริมความเข้าใจในภาพรวมและขั้นตอนของการประเมินความเสี่ยง

  • ให้ขั้นตอนและแนวทางที่เป็นรูปธรรมในการดำเนินการประเมินความเสี่ยง

คู่มือนี้แนะนำวิธีการประเมินความเสี่ยงแบบละเอียด (Detailed Risk Assessment) 2 ประเภท ได้แก่

  1. การประเมินความเสี่ยงตามทรัพย์สิน (Asset-based Risk Assessment) ประเมินความเสี่ยงสำหรับแต่ละทรัพย์สิน เช่น เซิร์ฟเวอร์ HMI อุปกรณ์เครือข่าย ฯลฯ ที่ประกอบเป็น ICS โดยใช้ปัจจัยการประเมิน 3 อย่าง ได้แก่ ความสำคัญของทรัพย์สิน ระดับของภัยคุกคาม และระดับของช่องโหว่ เพื่อประเมินภัยคุกคามและสถานะความปลอดภัยของทรัพย์สินได้อย่างครอบคลุม

  2. การประเมินความเสี่ยงตามผลกระทบทางธุรกิจ (Business Impact-based Risk Assessment) ประเมินความเสี่ยงสำหรับธุรกิจ (บริการและฟังก์ชัน) ที่ ICS นำมาใช้ โดยกำหนดผลกระทบทางธุรกิจที่ต้องหลีกเลี่ยง ระดมสมองเกี่ยวกับสถานการณ์โจมตีและต้นไม้การโจมตี (Attack Tree) ที่อาจก่อให้เกิดผลกระทบ แล้ววิเคราะห์ความเสี่ยงโดยใช้ปัจจัยการประเมิน 3 อย่าง คือ ผลกระทบทางธุรกิจ ภัยคุกคาม และช่องโหว่ เพื่อประเมินลำดับการโจมตีที่นำไปสู่ผลกระทบทางธุรกิจ

คู่มือนี้ยังให้ข้อมูลสำหรับการประเมินความเสี่ยง อาทิ

  • รูปแบบแผ่นงานการประเมินความเสี่ยง (Risk Assessment Sheet)

  • รายการภัยคุกคาม (เทคนิคการโจมตี) และการควบคุมความปลอดภัย

  • แบบตรวจสอบแบบละเอียดสำหรับการควบคุมความปลอดภัยเฉพาะด้าน

นอกจากนี้ คู่มือยังนำเสนอวิธีใช้ผลการประเมินความเสี่ยงดังนี้

  • วิธีพิจารณาการควบคุมความปลอดภัยเพิ่มเติมเพื่อลดความเสี่ยง

  • การทดสอบความปลอดภัย (Security Test) เพื่อเพิ่มเติมการประเมินความเสี่ยง

จากเนื้อหาข้างต้น คู่มือนี้จึงเป็นแนวทางปฏิบัติที่สำคัญสำหรับการประเมินความเสี่ยงเพื่อปรับปรุงความปลอดภัยของระบบควบคุมอุตสาหกรรม (ICS) ซึ่งรวมถึงระบบ SCADA ให้มีความปลอดภัยทางไซเบอร์ (Cybersecurity) ที่ดียิ่งขึ้น


ดู 13 ครั้ง

Comments