บทความ MASCIInnoversity เรื่อง ไอเอสโอพัฒนามาตรฐานปกป้องการโจมตีทางไซเบอร์บนยานพาหนะ ตอนที่ 1ได้กล่าวถึงความท้าทายของอุตสาหกรรมยานยนต์ที่ต้องเผชิญกับการเปลี่ยนแปลงด้านเทคโนโลยีครั้งใหญ่ ซึ่งผู้ผลิตในอุตสาหกรรมยานยนต์ต่างเตรียมพร้อมรับมือกันอย่างเต็มที่  เป็นต้นว่าการทดสอบความเข้มแข็งของระบบของบริษัทยานยนต์ ทำให้พบว่ายังมีความเสี่ยงอื่นที่จะกลายเป็นข้อบกพร่องได้ อย่างการแทรกแซงการทำงานของผู้ขับขี่ในรถยนต์ไร้คนขับ หรือการถูกแฮ็กข้อมูลของผู้ขับขี่ ดังนั้น อุปกรณ์ที่อยู่บนซอฟต์แวร์จึงมีโอกาสถูกอาชญกรไซเบอร์คุกคามได้ทุกเมื่อ  ซึ่งอุตสาหกรรมยานยนต์และเครือข่ายซัพพลายเชนจำเป็นต้องแบ่งปันข้อมูลดังกล่าวร่วมกัน ดังที่จะกล่าวถึงต่อไปนี้

องค์กรหนึ่งที่ได้แบ่งปันข้อมูลดังกล่าวในประเทศสหรัฐอเมริกา คือ ศูนย์วิเคราะห์และแบ่งปันข้อมูลยานยนต์ หรือ Auto-ISAC (Automotive Information Sharing and Analysis Center)  สมาชิกของศูนย์ฯ มีการแบ่งปันและวิเคราะห์ข้อมูลเกี่ยวกับความเสี่ยงที่เป็นไปได้ต่อยานยนต์ และมีส่วนร่วมในการสร้างความเข้มแข็งให้กับเทคโนโลยีและมีความมั่นใจทางไซเบอร์ แต่โดยรวมแล้ว ยังจำเป็นต้องมีการสร้างความร่วมมือร่วมกันทั่วโลกอีกด้วย

ดร.กีโด ชาเฟนเบอร์เกอร์ เฟเบียน ผู้นำโครงการของกลุ่มงานผู้เชี่ยวชาญไอเอสโอ WG11 กล่าวว่ากระบวนการและวิธีการที่เป็นไปในทางเดียวกันตลอดทั้งซัพพลายเชนนับว่าเป็นพื้นฐานสำคัญในการนำมาพิจารณาเรื่องของความมั่นคงปลอดภัยทางไซเบอร์อย่างเหมาะสมอันเป็นหัวใจสำคัญในวิศวกรรมระบบยานยนต์  และมีมาตรฐานสากลด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศที่ได้รับการพัฒนาขึ้นมา เช่น มาตรฐานชุด ISO/IEC 27000 หรือมาตรฐานความมั่นคงปลอดภัยเฉพาะด้านของอุตสาหกรรม เช่น  มาตรฐานชุด IEC 62443 สำหรับระบบควบคุมอุตสาหกรรม แต่ยังไม่ได้เน้นถึงความต้องการเฉพาะสำหรับอุตสาหกรรมยานยนต์

เมื่อปี 2558 (ค.ศ.2015) องค์กร SAE International ได้แต่งตั้งคณะกรรมการวิศวกรรมระบบความมั่นคงปลอดภัยทางไซเบอร์ขึ้นมาเพื่อให้ความสำคัญกับภัยคุกคามในเรื่องดังกล่าวในตลาดสหรัฐอเมริกา และในปีต่อมา คณะกรรมการก็ได้พัฒนามาตรฐาน SAE J3061, Cybersecurity Guidebook for Cyber-Physical Vehicle Systems ขึ้นเพื่อระบุกรอบการทำงานของกระบวนการวงจรชีวิตที่สมบูรณ์ซึ่งสามารถออกแบบและใช้ประโยชน์ภายในกระบวนการพัฒนาขององค์กรร่วมกับความมั่นคงปลอดภัยในระบบยานยนต์ทางกายภาพ นับตั้งแต่ขั้นแนวคิดกระบวนการ การปฏิบัติการ และบริการ ไปจนถึงการรื้อถอน

มาตรฐานสากลใหม่จะดึงเอาแนวทางของ SAE มาสร้างเป็นเครื่องมือด้านความปลอดภัยทางไซเบอร์ที่มีความรัดกุมซึ่งเน้นความต้องการและความท้าทายของอุตสาหกรรมยานยนต์ในระดับโลก

เมื่อไม่นานมานี้ มีการพัฒนามาตรฐาน ISO/SAE 21434, Road vehicles – Cybersecurity engineering ซึ่งกำหนดแล้วเสร็จภายในปีนี้ (2564) และมีเป้าหมายที่จะเน้นเรื่องของความมั่นคงปลอดภัยทางไซเบอร์ในวิศวกรรมระบบอิเล็กทรอนิกส์และไฟฟ้าในด้านยานยนต์บนถนน  การใช้มาตรฐานนี้จึงตั้งใจที่จะช่วยให้ผู้ผลิตก้าวทันวิธีการจู่โจมทางไซเบอร์และเทคโนโลยีที่เปลี่ยนแปลงไป

ดร.เฟเบียน ซึ่งได้มีส่วนร่วมในโครงการพัฒนามาตรฐาน อธิบายว่ามาตรฐานดังกล่าวจะเข้ามาแทนที่ SAE J3061 (Cybersecurity Guidebook for Cyber-Physical Vehicle Systems) และจะช่วยให้องค์กรสามารถระบุนโยบายกระบวนการ และการจัดการกับความเสี่ยงของความปลอดภัยทางไซเบอร์  และสนับสนุนวัฒนธรรมด้านความมั่นคงปลอดภัยทางไซเบอร์ อีกทั้งยังสามารถนำไปใช้เสริมกับระบบการจัดการความมั่นคงปลอดภัย รวมทั้งการจัดการที่เหมาะสมสำหรับความปลอดภัยทางมั่นคงทางไซเบอร์ของยานยนต์บนถนนด้วย

ดร.มาร์คุส แชซิช กล่าวว่าสำหรับอุตสาหกรรมที่เคยหยุดชะงักเพราะความท้าทายที่ซับซ้อนและการตอบสนองต่อเรื่องของการมาตรฐานนั้น ความมั่นคงปลอดภัยทางไซเบอร์ยังคงเป็นสิ่งที่เบี่ยงเบนไปจากความคาดหวังในเรื่องมาตรฐาน ดังนั้น มาตรฐานจะสามารถทำให้เรามั่นใจในความมั่นคงปลอดภัยทางไซเบอร์ดุจดังสัญญาที่ไม่มีวันเปลี่ยนแปลงได้หรือไม่ คำตอบก็คือน่าเสียดายที่ไม่มีสิ่งที่เรียกว่า “เทคโนโลยีที่มั่นคงปลอดภัย” และสามารถทำให้เป็นมาตรฐานเดียวกันได้ ดังนั้น การปฏิบัติตามมาตรฐาน ISO/SAE 21434 เพียงอย่างเดียวจะไม่ทำให้การใช้รถยนต์เกิดความมั่นคงปลอดภัย แต่กระบวนการที่อธิบายไว้ในมาตรฐานสามารถสร้างจุดเริ่มต้นที่ใช้ในการเปรียบเทียบสำหรับวิศวกรรมความมั่นคงปลอดภัยทางไซเบอร์และช่วยให้ระบบมีความรัดกุมแน่นหนาได้พอสมควร

กระบวนการเหล่านี้ รวมทั้งการประเมินความเสี่ยงของความมั่นคงปลอดภัยทางไซเบอร์และแนวทางที่จะระบุไว้และทำให้การแก้ไขปัญหาระบบความมั่นคงปลอดภัยทางไซเบอร์เป็นไปในทางเดียวกันและสื่อสารระหว่างกันได้ตลอดทั้งซัพพลายเชน ซึ่งรวมถึงแนวคิด การพัฒนา การผลิต การปฏิบัติการ การบำรุงรักษา และการรื้อถอนระบบอิเล็กทรอนิกส์และไฟฟ้าของยานยนต์บนถนน  รวมทั้งองค์ประกอบและการอินเตอร์เฟสด้วย

มาตรฐานดังกล่าวได้กำหนดกรอบการทำงานด้านความมั่นคงปลอดภัยสำหรับบริษัทยานยนต์ และทำให้มีรูปแบบภาษาร่วมกันสำหรับการสื่อสารและจัดการความเสี่ยงด้านความมั่นคงปลอดภัย

ในขณะที่ ISO/SAE 21434 ไม่ได้เน้นหรือผลักดันเทคโนโลยีโดยตรง แต่ก็ได้มีการจัดเตรียมกรอบการทำงานมาแล้วซึ่งจะสนับสนุนความร่วมมือภายในอุตสาหกรรมยานยนต์ร่วมกันและนำไปสู่แนวทางการแก้ไขปัญหาระบบความมั่นคงปลอดภัยทางไซเบอร์ในอนาคต และจะช่วยให้รู้ประเด็นต่างๆ ตั้งแต่เนิ่นๆ ในทุกระยะของกระบวนการพัฒนา ทำให้วิศวกรสามารถสร้างเช็คลิสต์รวมถึงการสแกนหาข้อผิดพลาดในระบบอันเป็นการป้องกันระบบความมั่นคงปลอดภัยของยานพาหนะ และสร้างการวิเคราะห์ความเสี่ยงของความเปราะบางที่อาจเกิดขึ้นในทุกองค์ประกอบได้

ปัจจุบัน มีความต้องการ ISO/SAE 21434 เพื่อสนับสนุนกฎระเบียบที่มีอยู่แล้ว เช่น มีการนำไปใช้เป็นเอกสารอ้างอิงสำหรับระบบการจัดการความมั่นคงปลอดภัย หรือ CSMS (Cybersecurity Management System) ซึ่งกฎระเบียบขององค์การสหประชาชาติในส่วนที่เกี่ยวข้องกับความมั่นคงปลอดภัยในยานยนต์ มีความต้องการใช้เมื่อเร็วๆ นี้อันเนื่องมาจากความร่วมมือเป็นอย่างดียิ่งระหว่างกลุ่มงานร่วมของไอเอสโอและ SAE กับคณะทำงานเฉพาะกิจขององค์การสหประชาชาติ

ในการที่จะปรับปรุงความสัมพันธ์ระหว่างกฎระเบียบขององค์การสหประชาชาติและการมาตรฐานเมื่อเร็วๆ นี้ ไอเอสโอจึงได้เริ่มต้นงานชิ้นหนึ่งคือข้อกำหนดที่สาธารณชนสามารถเข้าถึงได้ ISO/PAS 5112, Road Vehicles – Guidelines for auditing cybersecurity engineering (PAS – Publicly Available Specification) ซึ่งให้แนวทางในการตรวจประเมินองค์กรที่อ้างอิงตามวิศวกรรมความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งจะมีพื้นฐานอยู่บนข้อกำหนด ISO/SAE 21434, Road vehicles – Cybersecurity engineering และกำหนดว่าจะนำไปใช้ประเมินระบบ CSMS ตามที่กฎระเบียบขององค์การสหประชาชาติระบุไว้

ไอเอสโอมีเป้าหมายสุดท้ายคือการนำมาตรฐานนี้ไปใช้อย่างแพร่หลายในอุตสาหกรรมและแนวปฏิบัติทางวิศวกรรมประจำวันรวมถึงการเพิ่มความตระหนักในการนำมาตรฐานนี้ไปใช้ในการฝึกอบรมวิศวกรด้วย

หากการพัฒนาผลิตภัณฑ์นี้มีพื้นฐานอยู่บนหลักการที่มั่นคงที่รวมอยู่ใน ISO/SAE 21434 แล้ว ความมั่นคงปลอดภัยของยานพาหนะก็จะมีเพิ่มมากขึ้นด้วย อนาคตของมาตรฐานได้รับการออกแบบมาเพื่อปรับปรุงความมั่นคงปลอดภัยทางไซเบอร์ของยานยนต์และการลดความเสี่ยงลงตลอดทั้งซัพพลายเชน นับตั้งแต่การออกแบบยานยนต์ วิศวกรรม ไปจนถึงการรื้อถอน  ซึ่งในอุตสาหกรรมยานยนต์ มีการวางแผนเรื่องนี้รวมเอาไว้แล้ว ดังตัวอย่างที่นักพัฒนายานยนต์ไฟฟ้าชาวโครเอเชียกำลังผลักดันให้เกิดโมเดลล่าสุดที่รวมเอาแนวคิดของรถยนต์ชั้นสูงที่ใช้ไฟฟ้าเข้าไว้และมีการทดสอบการชนกระแทกเป็นอย่างดี

แม้ว่าภัยคุกคามความมั่นคงปลอดภัยทางไซเบอร์จะเป็นเรื่องใหม่ แต่ก็ยังคงมีความวิตกกังวลจนทำให้ผู้ผลิตรถยนต์ต้องคำนึงถึงเรื่องนี้เป็นส่วนสำคัญที่ขาดไม่ได้สำหรับธุรกิจอุตสาหกรรมรถยนต์ และต้องพัฒนาต่อไปอย่างต่อเนื่อง เพราะพวกเขาไม่คิดว่าจะสามารถป้องกันความพยายามที่จะละเมิดระบบได้ แต่ต้องยกระดับความมั่นคงปลอดภัยและแนวทางป้องกันให้สูงขึ้น  เพื่อลดความเสี่ยงซึ่งจะยังคงรักษาการพัฒนาและการดูแลรักษาค่าใช้จ่ายที่ยังควบคุมได้อันเป็นสิ่งที่จะช่วยให้อุตสาหกรรมทั้งมวลอยู่รอดได้

นอกเหนือจาก ISO/SAE 21434 แล้ว อุตสาหกรรมยานยนต์จะยังคงพัฒนามาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ร่วมเพื่อให้มั่นใจในแนวทางการแก้ไขจัดการกับปัญหาด้านความมั่นคงปลอดภัยได้ตั้งแต่ต้นจนจบ รวมทั้งมาตรฐานที่ใช้ในการตรวจประเมินวิศวกรรมความมั่นคงปลอดภัยทางไซเบอร์  ซึ่งงานนี้เป็นเพียงแค่จุดเริ่มต้น  แต่อุตสาหกรรมยานยนต์ที่อุทิศตัวให้กับระบบเพื่อความมั่นคงปลอดภัยในทุกขั้นตอนของกระบวนการ ยังคงต้องก้าวเดินไปอย่างต่อเนื่องและมั่นคงเพื่อขับเคลื่อนอุตสาหกรรมยานยนต์ให้รวดเร็วขึ้นและมีความปลอดภัยมากขึ้นต่อไป

ที่มา: https://www.iso.org/news/ref2584.html

Related posts

• มาตรฐานไอเอสโอสำคัญต่อผู้บริโภคอย่างไร
• ไอเอสโอพัฒนามาตรฐานใหม่ “ฉลากอาหารมังสวัรัติ”
• “มาตรฐาน” สร้างความมั่นใจในคุณภาพ ความปลอดภัย
• โครงสร้างมาตรฐานไอเอสโอในภาคผนวก L
• ความท้าทายของการรับรองมาตรฐานไอเอสโอในตลาดโลก

Tags: Auto-ISAC, Automotive Industry, Biometric systems, Cybersecurity, ISO, ISO/IEC 27000 series, ISO/PAS 5112, ISO/SAE 21434, IT, SAE International, Security, Standardization, UN