Think Your OT Environment Is Safe? Think Again.
ระบบ OT ที่หลายองค์กรคิดว่า “แยกขาดจากอินเทอร์เน็ตแล้ว” อาจอยู่ห่างจากผู้โจมตีแค่ไม่กี่ก้าว
เพราะในหลายองค์กร โครงสร้างระบบถูกออกแบบมาอย่างรัดกุม ฝั่ง Production ถูกแยกออกจากฝั่ง IT มี Firewall การแบ่ง Zone และ Security Policy ที่ถูกกำหนดไว้อย่างชัดเจน
โดยเฉพาะในระบบโรงงานหรือโครงสร้างพื้นฐานสำคัญ หลายทีมมักรู้สึกว่า ต่อให้ฝั่ง Office Network เกิดปัญหา อย่างน้อยระบบควบคุมเครื่องจักร หรือระบบ OT (Operational Technology) ก็น่าจะยังปลอดภัยอยู่
แต่ช่วงหลัง มีคำหนึ่งที่เริ่มถูกพูดถึงมากขึ้นในวงการ OT Security นั่นคือ “Segmentation Illusion”
ถ้าอธิบายให้เห็นภาพง่ายๆ มันคือ “ภาพลวงตา” ที่ทำให้องค์กรเชื่อว่า ระบบถูกแยกออกจากกันเรียบร้อยแล้ว ทั้งที่ในความจริง เส้นทางเชื่อมบางอย่างอาจยังเปิดอยู่โดยไม่มีใครสังเกตเห็น และหลายครั้ง องค์กรไม่เคยรู้ด้วยซ้ำว่า เส้นทางเหล่านั้นมีอยู่
ลองนึกภาพว่า มีเซิร์ฟเวอร์หรือเครื่องคอมพิวเตอร์ในฝั่ง IT ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ตามปกติ ทีมอาจเชื่อว่าเครื่องนี้อยู่คนละเครือข่ายกับระบบ Production และไม่น่าจะมีเส้นทางเชื่อมไปถึงอุปกรณ์ OT สำคัญได้
แต่เมื่อเริ่มไล่เส้นทางจริงของ Network กลับพบว่า จากจุดนั้น ผู้โจมตีอาจค่อยๆ เคลื่อนผ่านจากระบบหนึ่งไปอีกระบบหนึ่ง ผ่านอุปกรณ์ที่เชื่อมหลายเครือข่าย หรือผ่านช่องทางที่ไม่เคยถูกมองว่าเป็นความเสี่ยงมาก่อน
บางระบบอยู่ห่างกันเพียง 1–2 Hops เท่านั้น
คำว่า Hop ถ้าอธิบายง่ายๆ ก็คือ “จำนวนก้าว” ที่ต้องผ่านไปยังอีกระบบหนึ่ง สิ่งที่หลายทีมคิดว่า “อยู่คนละโลก” ในมุมของผู้โจมตี อาจอยู่ห่างกันเพียงไม่กี่ก้าวเท่านั้น
ประเด็นนี้ถูกพูดถึงในสื่อสายอุตสาหกรรมอย่าง Manufacturing Business Technology หลัง runZero เปิดตัวความสามารถใหม่ด้าน Expanded OT Intelligence และ Attack Path Mapping ซึ่งถูกออกแบบมาเพื่อช่วยให้องค์กรมองเห็น “เส้นทางโจมตีจริง” ระหว่าง IT และ OT ได้ชัดขึ้น
แต่สิ่งที่น่าสนใจจริงๆ ไม่ใช่แค่เรื่องของเครื่องมือใหม่
มันคือการสะท้อนว่า Segmentation ที่ “ออกแบบไว้” กับ Segmentation ที่ “พิสูจน์ได้จริง” อาจไม่เหมือนกันเสมอไป
หลายทีมลงทุนกับ Security ไปไม่น้อย ระบบ Monitoring มีครบ SOC Alert ทำงานต่อเนื่อง Asset Inventory ก็อัปเดตตลอด
ถ้าวันนี้มีเครื่องหนึ่งถูกเจาะระบบจริงผู้โจมตีจะเดินต่อยังไง จะข้ามจาก IT ไป OT ได้ตรงไหน และมีจุดไหนที่ผู้โจมตีอาจข้ามจากเครือข่ายหนึ่งไปอีกเครือข่ายหนึ่งได้โดยไม่มีใครรู้หรือไม่ หลายทีมกลับเริ่มไม่มั่นใจกับคำตอบเท่าเดิม
และนั่นคือจุดที่หลายองค์กรเริ่มพบว่า การมี Visibility อย่างเดียวอาจไม่เพียงพออีกต่อไป
เพราะสิ่งที่ทีม Security ต้องรู้ ไม่ใช่แค่ “มีอะไรอยู่ในระบบ” แต่ต้องเห็นด้วยว่า “สิ่งเหล่านั้นเชื่อมถึงกันอย่างไร”
สิ่งที่ทำให้หลายทีมเริ่มกังวล ไม่ใช่แค่จำนวน OT Asset ที่เพิ่มขึ้น แต่คือระยะห่างระหว่างระบบสำคัญ กับอุปกรณ์ที่เปิดสู่อินเทอร์เน็ต อาจใกล้กว่าที่คิด
runZero ระบุว่า ในบาง Environment ที่มีการวิเคราะห์ OT Asset จำนวนไม่น้อยอยู่ห่างจาก Internet-facing Device เพียง 1–2 Hops เท่านั้น
ขณะเดียวกัน ข้อมูลจากหลายแหล่งในภาคอุตสาหกรรมก็เริ่มสะท้อนตรงกันว่า ยังมี OT Asset จำนวนไม่น้อยที่เปิดออกสู่อินเทอร์เน็ตโดยองค์กรไม่รู้ตัว
ยิ่งในยุคที่ Remote Access, Cloud, Vendor Connectivity และ Hybrid Infrastructure เชื่อมถึงกันมากขึ้น Boundary ที่หลายองค์กรเคยเชื่อว่า “แยกขาด” อาจมีเส้นทางเชื่อมที่ไม่เคยถูกมองเห็นมาก่อน
สิ่งที่ runZero พยายามทำ จึงไม่ใช่แค่การสแกนหา Asset เพิ่มขึ้น แต่คือการทำให้ทีม Security เห็น “Attack Path” หรือเส้นทางที่ผู้โจมตีอาจใช้เคลื่อนที่ภายในระบบจริง
หากมีการเจาะเข้ามาจากจุดหนึ่ง ระบบสามารถช่วยให้ทีมเห็นได้ว่า ผู้โจมตีอาจเคลื่อนผ่านเครือข่ายอย่างไร อุปกรณ์ใดกลายเป็นจุดเชื่อมสำคัญ และมีจุดไหนที่ควรถูกป้องกันก่อนเพื่อจำกัดการลุกลามของความเสี่ยง
อีกความสามารถที่ถูกพูดถึงมาก คือการมองลึกเข้าไปหลัง Industrial Protocol Gateway
ปกติอุปกรณ์ OT จำนวนมากที่อยู่หลังโปรโตคอลอย่าง Modbus, BACnet หรือ EtherNet/IP มักไม่ถูกมองเห็นจากเครื่องมือทั่วไป เพราะอุปกรณ์เหล่านี้ไม่ได้เปิดให้เข้าถึงตรงๆ ผ่าน Network แบบเดียวกับระบบ IT ทั่วไป
ปัญหาคือ เมื่อมองไม่เห็น ก็อาจทำให้การประเมินความเสี่ยงเกิด Blind Spot โดยไม่รู้ตัว
และนี่อาจเป็นเหตุผลที่ประโยคของ HD Moore ผู้ก่อตั้งและ CEO ของ runZero ถูกพูดถึงมากในช่วงนี้ “Segmentation ไม่ใช่สิ่งที่คุณเชื่อ แต่มันคือสิ่งที่ต้องพิสูจน์ได้”
เพราะในความเป็นจริง หลายองค์กรไม่ได้มีปัญหาเพราะไม่มี Security Control แต่มีปัญหาเพราะ “คิดว่า” Control ที่มีอยู่เพียงพอแล้ว ทั้งที่ไม่เคยเห็นเส้นทางจริงของความเสี่ยงเลยต่างหาก
ยิ่งระบบซับซ้อนมากขึ้น มีทั้ง Legacy System, OT, Cloud, Third-Party Access และ Hybrid Infrastructure เชื่อมต่อกันเต็มไปหมด คำว่า “แยกระบบแล้ว” อาจไม่ใช่คำตอบที่เพียงพออีกต่อไป
สิ่งที่หลายองค์กรเริ่มพบ คือปัญหานี้ไม่ได้แก้ได้ด้วยการซื้อ Firewall เพิ่ม หรือมีแค่เครื่องมือสแกนหาช่องโหว่ เพราะ Tool ช่วยให้เรา 'เห็น' (Visibility) แต่การจะ 'จัดการ' (Mitigate) สิ่งที่เห็นได้อย่างยั่งยืน ต้องอาศัยกรอบการประเมินความเสี่ยงและ Governance ที่แข็งแรง
เพราะสุดท้ายแล้ว มันเกี่ยวข้องตั้งแต่วิธีประเมินความเสี่ยง การมอง Dependency ระหว่างระบบ ไปจนถึง Governance ว่าองค์กรเข้าใจ “ผลกระทบแบบเชื่อมโยง” มากแค่ไหน
โดยเฉพาะใน Environment ที่ IT, OT, Cloud และ Business Operations เชื่อมถึงกันทั้งหมด การประเมินความเสี่ยงแบบมองแยกเป็นส่วนๆ อาจไม่เพียงพออีกต่อไป
นี่คือเหตุผลที่หลายองค์กรเริ่มกลับมาให้ความสำคัญกับแนวคิดด้าน Information Security Risk Management และ Enterprise IT Governance มากขึ้น เพราะเมื่อระบบทุกอย่างเริ่มเชื่อมโยงกัน ความเสี่ยงเองก็ไม่ได้หยุดอยู่แค่ในขอบเขตของทีม IT อีกต่อไป
แนวคิดลักษณะนี้ คือสิ่งที่ถูกพูดถึงมากในมาตรฐานอย่าง ISO/IEC 27005 ซึ่งเน้นเรื่อง Information Security Risk Management ตั้งแต่การประเมินความเสี่ยง การวิเคราะห์ผลกระทบ ไปจนถึงการวางแนวทางจัดการความเสี่ยงให้เหมาะกับบริบทขององค์กร
ขณะเดียวกัน ในมุม Governance หลายองค์กรก็เริ่มให้ความสำคัญกับแนวคิดด้าน Enterprise IT Governance มากขึ้นเช่นกัน โดยเฉพาะใน Environment ที่ IT, OT, Cloud และ Business Operations เชื่อมโยงถึงกันทั้งหมด
แนวคิดของ CGEIT หรือ Certified in the Governance of Enterprise IT จึงเริ่มถูกพูดถึงมากขึ้นในกลุ่มผู้บริหาร IT, Risk Management และ Governance เพราะเนื้อหาครอบคลุมตั้งแต่ Governance Framework, Enterprise Architecture, Risk Optimization ไปจนถึงการทำให้ IT Strategy สอดคล้องกับความเสี่ยงและเป้าหมายขององค์กรจริง
สำหรับองค์กรหรือผู้ที่กำลังมองแนวทางด้าน Risk Visibility, Security Governance และการประเมินความเสี่ยงใน Environment ที่ IT และ OT เริ่มเชื่อมโยงกันมากขึ้น เรามีหลักสูตรที่สามารถใช้เป็นอีกหนึ่งแนวทางในการต่อยอดความรู้และมุมมองด้านนี้ได้
เพราะในหลายเหตุการณ์จริง ปัญหาไม่ได้เริ่มจากการไม่มี Security Control แต่มักเริ่มจากการที่องค์กร “คิดว่าระบบแยกขาดกันแล้ว” ทั้งที่ในความจริง เส้นทางเชื่อมบางอย่างอาจยังเปิดอยู่โดยไม่มีใครรู้ตัว
| COURSE | SCHEDULE | LIST PRICE(THB) ไม่รวม VAT7% |
REGISTER |
| Risk Management for Information Securit (Based on ISO/IEC 27005) |
10 Jul 26 | 13,000 |  |
| Certified in the Governance of Enterprise IT (CGEIT) | 13–15 Jul 26 | 39,500 | |
Add LINE for Get 5% Discount ontop
LINE ID: @NTC-LINE
