ความมั่นคงปลอดภัยของระบบสารสนเทศใน Supply Chain ต่อทางรอดทางธุรกิจ
นางสาวนันท์ บุญยฉัตร
วิศวกรโลหการชำนาญการ กองโลจิสติกส์
จากสถานการณ์การระบาดของมัลแวร์คอมพิวเตอร์เรียกค่าไถ่ Wanna Cry ตั้งแต่วันที่ 12 พฤษภาคม 2560 โดยเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ดังกล่าวจะไม่สามารถเปิดใช้งานข้อมูลใดๆได้เลย เว้นแต่ยอมจ่ายเงินสกุลดิจิทัลเสมือนจริง “บิตคอยน์” (Bit coin) เพื่อให้ได้รับรหัสมาปลดล็อก จนปั่นป่วนไปทั่วโลก ทำให้ประเทศไทยตื่นตัว ทั้งหน่วยราชการและเอกชน เพื่อรับมือกับภัยคุกคามทางด้านไอที โดยเฉพาะปัจจุบันที่อุตสาหกรรมไทยมุ่งเข้าสู่อุตสาหกรรม 4.0 ตามนโยบายของรัฐบาล และเพื่อเป็นการเพิ่มประสิทธิภาพการดำเนินงานขององค์กร จึงทำให้ผู้ประกอบการนำระบบเทคโนโลยีสารสนเทศมาใช้ในการดำเนินการทางธุรกิจเพื่อเชื่อมโยง กระบวนการผลิต และการทำธุรกรรมต่างๆ ใน Supply Chain มากขึ้น เช่น การใช้ระบบ ERP ในกระบวนการทำงานขององค์กร และการจัดเก็บข้อมูลในรูปแบบอิเล็คทรอนิกส์ เป็นต้น ดังนั้น ผู้ประกอบการไทยจึงมีความจำเป็นอย่างยิ่งในการเตรียมความพร้อมรับมือภัยคุกคามทางด้าน IT ซึ่งเครื่องมือหนึ่งในการลดความเสี่ยง คือ การนำระบบการจัดการมาตรฐาน ISO 22301 และมาตรฐาน ISO 27001 มาประยุกต์ใช้ในองค์กร
มาตรฐาน ISO 22301 (มาตรฐานการบริหารความต่อเนื่องทางธุรกิจ) เป็นมาตรฐานสากลที่ให้ความสำคัญในการเตรียมความพร้อมรับมือกับภัยคุกคามต่างๆ ที่มีต่อธุรกิจ โดยองค์กรจะมีการวิเคราะห์และการจัดการความเสี่ยงขององค์กรอย่างเป็นระบบ และมีการจัดทำแผนฉุกเฉินทางธุรกิจกรณีที่เกิดภัยคุกคาม หรือแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan : BCP) ซึ่ง BCP คือ ขั้นตอนการดำเนินการที่จะให้กิจการสามารถให้บริการหรือผลิต และส่งสินค้าให้ลูกค้าได้แม้จะอยู่ในสถานการณ์ที่เกิดภัยคุมคามที่ไม่สามารถคาดหมายได้ก่อนล่วงหน้าหรือไม่เคยเกิดขึ้นกับกิจการมาก่อน เช่น ภัยธรรมชาติ (เช่น แผ่นดินไหว
สึนามิ) การโจมตีของผู้ก่อนการร้าย หรือเกิดการแพร่กระจายของไวรัสคอมพิวเตอร์ เป็นต้น
ส่วนมาตรฐาน ISO 27001 (มาตรฐานระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ) เป็นมาตรฐานที่สำคัญที่ช่วยให้องค์กรมีความสามารถในการบริหารจัดการสารสนเทศขององค์กรให้มีความมั่นคงปลอดภัยอย่างเป็นระบบ พร้อมในการใช้งาน โดยการประยุกต์ใช้กระบวนการบริหารความเสี่ยงทาง IT และมีการจัดทำแผนการกอบกู้ระบบ (Disaster Recovery Plan : DRP) เพื่อลดความเสี่ยงจากภัยคุกคามต่างๆ ซึ่งแผน DRP เป็นขั้นตอนการดำเนินการในการกู้ระบบเทคโนโลยีสารสนเทศ ในกรณีที่ระบบล่ม (System Down) ที่มาจากภัยคุมคาม โดยในรายละเอียดของแผนจะกล่าวถึงแผนโต้ตอบภาวะฉุกเฉิน (Emergency Response Procedure) กระบวนการสำรองข้อมูล (Extended Backup Operation) และการกู้คืนอุปกรณ์ที่สำคัญของระบบคอมพิวเตอร์ (Restoring Computing Facilities)
จะเห็นได้ว่าแผน DRP เป็นส่วนหนึ่งของแผน BCP โดยแผน DRP จะเน้นด้าน IT เป็นหลัก ในขณะที่แผนBCP จะกล่าวถึงภาพรวมการดำเนินงานขององค์กรทั้งหมดจากความสัมพันธ์ที่เกี่ยวข้องกันนี้องค์กรจึงควรจัดทำแผน BCP และ DRP ร่วมกันเสมอเพราะเทคโนโลยีสารสนเทศมีความสำคัญต่อธุรกิจในปัจจุบันเป็นอย่างมากโดยเฉพาะในยุคดิจิตอล ถ้าเกิดการหยุดชะงักก็จะส่งผลกระทบต่อกระบวนการต่างๆ และส่งผลให้เกิดการหยุดชะงักของธุรกิจได้ ซึ่งการจัดทำแผนอาจแตกต่างกันในแต่ละประเภทและขนาดของกิจการ แต่ในบางธุรกิจระบบเทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการนำข้อมูลในฐานข้อมูลกลับมาทำการเชื่อมโยงเพื่อให้เกิดการใช้งานในธุรกิจได้ ดังนั้น ต้องเน้นการประสานและเชื่อมโยงกันของแผน BCP กับแผน DRP เพื่อกอบกู้ระบบงานหลักของธุรกิจให้กลับมาอยู่ในสภาพพร้อมที่จะใช้งานตามปกติ
ตัวอย่างกลยุทธ์ในการจัดทำแผน DRP คือ การจัดเตรียม DR-Site หรือ Disaster Recovery Site เป็น แนวทางในการกู้คืนระบบที่มีความสำคัญ ซึ่งเกิดจากภัยพิบัติต่างๆ อันเป็นเหตุให้ระบบ Data Center หลักหยุดให้บริการ จึงจำเป็นต้องใช้ Site สำรองในการทำงานแทนโดยมีทางเลือกในการดำเนินการสำหรับ DR-Site ดังนี้
- Hot Sites คือ การสร้างระบบสำรองที่เหมือนกับระบบหลัก โดยจะพร้อมทำงานแทนระบบหลักได้ทันที
- Warm Sites คือ คล้ายกับ Hot site แต่มีการใช้งานเพียงบางแอปพลิเคชั่นเท่านั้น หรือเป็นระบบสำรองที่สามารถทำงานได้เมื่อมีการอัพเดทข้อมูลที่ได้จากการทำสำรองข้อมูล
- Cold Sites คือ พื้นที่สำรองที่มีเพียงบริการพื้นฐานที่พร้อมใช้งานสำหรับการดำเนินการ โดยมีทรัพยากรที่จำกัด
ดังนั้น เมื่อองค์กรได้เลือกกลยุทธ์แล้ว ก็มากำหนดหน้าที่ความรับผิดชอบและขั้นตอนการดำเนินการตามกลยุทธ์ที่ได้เลือกเพื่อรองรับภัยคุกคามที่จะเกิดขึ้นต่อไป
ที่มา http://www.logistics.go.th/en/news-article/bol-article/9616-60lof43-supply-chain