ลองนึกภาพดูว่าจะเกิดอะไรขึ้นถ้าอยู่ ๆ เราพบว่ามีการวางยาพิษในอาหารทั่วประเทศ
คุณต้องตรวจสอบและตรวจสอบซ้ำเกี่ยวกับบันทึกข้อมูลการแปรรูป และพบว่าล็อตการผลิตไก่ที่ปรุงสุกทั้งหมดนั้นดูเหมือนจะปกติดี ถ้าอย่างนั้นอะไรคือข้อผิดพลาด
แฮกเกอร์ (ซึ่งอาจจะเป็นอดีตพนักงานที่ไม่พอใจบริษัท) ได้ทำการเจาะระบบและเปลี่ยนแปลงกระบวนการดำเนินงานที่สำคัญมาก ซึ่งสามารถเข้าถึงได้จากระยะไกลโดยผ่านอุปกรณ์ IoT (Internet of Things) โดยที่คุณไม่ทราบ ส่งผลให้การผลิตไก่ล็อตหนึ่งมีการปรุงที่ไม่สุกและเป็นอันตราย แต่คุณไม่ทราบว่าล็อตการผลิตใดที่ได้รับผลกระทบ ดังนั้นจึงจำเป็นต้องเรียกคืนสินค้าทั่วประเทศ
จุดเด่นของผลิตภัณฑ์ของคุณถูกลดทอนลง เพราะคู่แข่งเพิ่งเปิดตัวผลิตภัณฑ์ที่คล้ายกันโดยใช้ทรัพย์สินทางปัญญาที่ขโมยไปผ่านทางแฮกเกอร์ แฮกเกอร์ได้ขโมยข้อมูลเชิงพาณิชย์และห่วงโซ่อุปทานที่ละเอียดอ่อนซึ่งเป็นของลูกค้าห้างค้าปลีกรายใหญ่เจ้าหนึ่งของคุณ และเรียกค่าไถ่เป็นจำนวนเงินมหาศาล คุณจะทำอย่างไร
คุณคิดว่าทำอะไรไม่ได้หรือ ลองคิดดูใหม่อีกครั้ง
ในอดีตที่ผ่านมา ภาคธุรกิจการเงินและการค้าปลีกตกเป็นเป้าหมายสำคัญของบรรดาอาชญากรไซเบอร์ โดยมักจะเกี่ยวข้องกับการเจาะระบบข้อมูล แต่เมื่อเร็ว ๆ นี้ ระบบต่าง ๆ ของธุรกิจการดูแลสุขภาพและภาครัฐได้ตกเป็นเหยื่อการโจมตีทางไซเบอร์ และภาคธุรกิจเหล่านี้ต้องปรับปรุงระบบป้องกันของตน อาชญากรไซเบอร์จะเคลื่อนไปสู่เป้าหมายที่โจมตีได้ง่ายขึ้นและสะดวกขึ้น นั่นคือ ภาคธุรกิจอาหารซึ่งดูเหมือนว่าจะตกเป็นเป้าหมายใหญ่อันดับต่อไป
ปัญหาส่วนหนึ่งเกิดจากการที่ภาคธุรกิจอาหารเชื่อว่าตนมีภูมิคุ้มกัน ทำไมจึงต้องมีใครมาโจมตีบริษัทอาหารด้วยล่ะ องค์กรอาชญากรรมระดับชาติและระดับสากล มักจะมุ่งเป้าหมายที่ห่วงโซ่อาหารเพื่อทำการปลอมปนในอาหารในระดับใหญ่ ทำการปลอมแปลง ฉ้อโกง โจรกรรม และลักลอบนำเข้าหรือส่งออก หรือแม้แต่แฮกเข้าไปในระบบจัดเก็บและระบบจัดจำหน่ายของบริษัทเพื่อปลอมแปลงผลิตภัณฑ์และใส่ผลิตภัณฑ์เหล่านี้เข้าไปในห่วงโซ่อุปทานที่ถูกต้องตามกฎหมาย อันตรายก็คือ บริษัทอาหารที่แท้จริงในทุกขนาดต้องดำเนินการเพื่อเสริมสร้างความสามารถปรับตัวของระบบสารสนเทศให้แข็งแกร่งยิ่งขึ้น เหตุผลก็คือ:
- ส่วนงานไอทีและส่วนงานการรักษาความปลอดภัยทางไซเบอร์ไม่ใช่หน้าที่การทำงานอย่างเดียวกัน แต่ในหลายประเทศ ส่วนงานไอทีต้องรับผิดชอบด้านการรักษาความปลอดภัยทางไซเบอร์ด้วย นี่คือข้อผิดพลาดขั้นพื้นฐาน หลักการทำงานของสองส่วนงานนี้แตกต่างกันโดยสิ้นเชิงและต้องมีวิธีดำเนินการ วิธีคิด และชุดทักษะที่แตกต่างกัน
- "เราไม่ใช่ SME ทำไมต้องกังวลเรื่องนี้ด้วย" รายงานชี้ให้เห็นว่า SME ถูกโจมตีบ่อยพอๆ กับบริษัทขนาดใหญ่ โดยเฉพาะอย่างยิ่งทางอีเมล
- "ส่วนงานไอทีและส่วนงานรักษาความปลอดภัยทางไซเบอร์ของเราเป็นแบบเอาท์ซอร์ส ดังนั้นนี่ไม่ใช่ปัญหาของเรา" ผู้ให้บริการไอทีมักเป็นขุมทองของบรรดาแฮกเกอร์ ดังนั้นจึงตกเป็นเป้าหมายเสมอ ปัญหาของพวกเขาจะกลายเป็นปัญหาของคุณได้อย่างรวดเร็ว
- การก่ออาชญากรรมไซเบอร์กำลังเป็นเรื่องง่ายขึ้นและเข้าถึงได้มากขึ้น แม้ว่าในอดีตการก่ออาชญากรรมไซเบอร์มักจะเกิดจาก "ผู้เชี่ยวชาญด้านโค้ด (code)" แต่ตอนนี้ได้พัฒนามาเป็นธุรกิจโดยตัวเองแล้ว ปัจจุบันผู้เขียนมัลแวร์พบว่าการเสนอบริการของตนและขายผลงานให้แก่บุคคลอื่นเพื่อทำการโจมตีนั้น ทำเงินได้มากกว่า (และแน่นอนว่าปลอดภัยกว่า)
- การใช้ระบบเก่า ระบบแปรรูปอาหารในปัจจุบันมักพึ่งพาแพลตฟอร์มซอฟต์แวร์ที่ล้าสมัย เช่น Linux หรือ Windows 98 หรือเป็นระบบที่ติดตั้งมานานกว่า 20 ปีแล้ว นอกจากนี้ รหัสดั้งเดิมเหล่านี้ยังไม่สามารถอัปเดตหรือทำการแก้ไขได้อีกด้วย
- การเชื่อมต่อที่ทรงพลัง ด้วยการเชื่อมต่อกระบวนการผลิตภายในเข้ากับระบบและเครือข่ายข้อมูลภายนอกผ่านอินเทอร์เน็ต การเชื่อมต่อนี้หมายถึงการเพิ่มผลิตภาพและประสิทธิภาพของกระบวนการ แต่ข้อเสียก็คือ ระบบที่ทันสมัยหากต้องดำเนินการร่วมกับระบบที่ล้าสมัย จะทำให้การรักษาความปลอดภัยกลายเป็นเรื่องยาก นอกจากนี้ ยังหมายถึงการที่หากมีการเจาะระบบรักษาความปลอดภัยที่จุดหนึ่งแล้ว ก็อาจแพร่กระจายไปอย่างรวดเร็ว
- ถ้าระบบยังไม่พัง ก็ยังไม่ต้องซ่อม ฝ่ายบริหารมักรีรอที่จะลงทุนเพื่อให้ได้ระบบที่ดีขึ้นและปลอดภัยขึ้น เพราะพวกเขามองว่าระบบเก่ายังใช้การได้ดีและคิดว่าคงไม่มีความเสี่ยงอย่างที่คาดการณ์ไว้ ซึ่งเป็นมุมมองที่ไม่ถูกต้อง
- ขาดความตระหนัก พนักงานปฏิบัติการได้รับการฝึกอบรมมาว่าให้รักษาระบบที่มีอยู่ให้ทำงานต่อไปได้และพวกเขาไม่ใช่ "ผู้เชี่ยวชาญทางไซเบอร์"
- ความโกลาหลจากระบบอัจฉริยะ สิ่งที่เรียกว่า "อุปกรณ์ไร้ประสิทธิภาพ" เช่น กล่องเหยื่อล่อแมลง กำลังจะถูกแทนที่ด้วยอุปกรณ์ที่เปิดใช้งาน IoT อุปกรณ์เดิมเหล่านี้มักจะมีเซนเซอร์ "ที่หาได้ง่าย" พร้อมด้วยระบบในตัวที่ไม่ปลอดภัยซึ่งทำงานอยู่บนซอฟต์แวร์ที่ออกแบบมาไม่ดี แต่คำถามที่สำคัญเหล่านี้มักถูกมองข้ามไปในกระบวนการจัดซื้อ
มีการโจมตีทางไซเบอร์ประเภทต่าง ๆ ที่จะส่งผลกระทบต่อบริษัทอาหาร บางครั้งจุดเด่นของผลิตภัณฑ์ของคุณอาจถูกลดทอนลง เพราะคู่แข่งเพิ่งเปิดตัวผลิตภัณฑ์ที่คล้ายกันโดยใช้ทรัพย์สินทางปัญญาที่ขโมยไปผ่านทางแฮกเกอร์ หรือบางครั้งแฮกเกอร์ได้ขโมยข้อมูลเชิงพาณิชย์และห่วงโซ่อุปทานซึ่งเป็นข้อมูลละเอียดอ่อนของลูกค้าห้างค้าปลีกรายใหญ่เจ้าหนึ่งของคุณ และเรียกค่าไถ่เป็นจำนวนเงินมหาศาล ไม่ว่าจะเป็นกรณีใด การเตรียมพร้อมเพื่อรับมือกับความเสี่ยงเหล่านี้ก็เป็นสิ่งที่สำคัญมาก
แล้วเราทำอะไรได้บ้าง
- เข้าสู่ CHACCP หรือ Cyber Hazard Analysis Critical Control Point (การวิเคราะห์อันตรายทางไซเบอร์และจุดวิกฤติที่ต้องควบคุม) หน้าที่ในการรับรองคุณภาพและหน้าที่ทางเทคนิคนั้นอยู่ในภาคธุรกิจอาหารที่มี HACCP (การวิเคราะห์อันตรายและจุดวิกฤติที่ต้องควบคุม) มานานถึง 30 ปีแล้ว ลองนึกถึง CHACCP ในฐานะที่เป็นการขยายแนวทางที่พิจารณาตามความเสี่ยงเดียวกัน เพื่อพิจารณาช่องโหว่ทางไซเบอร์และการเชื่อมต่อในสภาพแวดล้อมการผลิต และนำไปปรับใช้ในฐานะที่เป็นส่วนขยายของระบบการจัดการความปลอดภัยทางอาหารที่มีอยู่ในระบบ
- การใช้มาตรฐานความปลอดภัยทางไซเบอร์ บริษัทส่วนใหญ่ไม่ค่อยนึกถึงการทดสอบความปลอดภัยขององค์กรโดยใช้การทดสอบด้านการเจาะระบบ และการใช้ BitSight เพื่อระบุความเสี่ยงทางไซเบอร์ของบริษัท ซึ่งอาจเกิดขึ้นโดยซัพพลายเออร์ และสร้างการป้องกันด้วยการคัดเลือก ตรวจสอบติดตาม และประเมินซัพพลายเออร์ของตน การปรับปรุงที่เหมาะสมก็คือ การพิจารณาที่จะนำมาตรฐาน ISO 27001 ระบบจัดการสารสนเทศมาปรับใช้และกำหนดมาตรฐานนี้สำหรับซัพพลายเออร์ที่สำคัญ โดยเฉพาะแพลตฟอร์มด้านไอทีของพวกเขาที่ผสานรวมเข้ากับแพลตฟอร์มขององค์กรของคุณ
- การสร้างวัฒนธรรม พนักงานทุกคนควร "มีความเชี่ยวชาญด้านไซเบอร์" โดยผ่านการฝึกอบรมความตระหนักทางไซเบอร์ ซึ่งเป็นส่วนหนึ่งของกระบวนการฝึกอบรมก่อนเริ่มงาน และพนักงานควรได้รับการสนับสนุนให้รีบรายงานทันทีหากพบเห็นสิ่งใดผิดปกติ ซึ่งอาจเกี่ยวข้องกับภัยคุกคามทางไซเบอร์ ก่อนที่ปัญหานั้นจะบานปลาย
ข่าวดีก็คือ บริษัทต่าง ๆ ที่ดำเนินการตามขั้นตอนที่สมเหตุสมผลเหล่านี้ ไม่เพียงแต่ลดความเสี่ยงให้แก่ธุรกิจของตนเท่านั้น แต่ยังตระหนักว่าการทำเช่นนี้จะช่วยส่งเสริมการป้องกันที่แข็งแกร่งในการสอบทานธุรกิจ และเป็นข้อดีในการเคลื่อนไหวก่อนและเป็นข้อได้เปรียบด้านการแข่งขัน
ผู้เขียน: Richard Werran
ผู้อำนวยการฝ่ายอาหาร ─ EMEA
