คู่มือนี้เป็นแนวทางปฏิบัติในการประเมินความเสี่ยง (Risk Assessment) ซึ่งมีความสำคัญในการปรับปรุงความปลอดภัยของระบบควบคุมอุตสาหกรรม (Industrial Control Systems: ICS) ได้อย่างมาก โดยมีจุดประสงค์เพื่อ:
ส่งเสริมความเข้าใจในภาพรวมและขั้นตอนของการประเมินความเสี่ยง
ให้ขั้นตอนและแนวทางที่เป็นรูปธรรมในการดำเนินการประเมินความเสี่ยง
คู่มือนี้แนะนำวิธีการประเมินความเสี่ยงแบบละเอียด (Detailed Risk Assessment) 2 ประเภท ได้แก่
การประเมินความเสี่ยงตามทรัพย์สิน (Asset-based Risk Assessment) ประเมินความเสี่ยงสำหรับแต่ละทรัพย์สิน เช่น เซิร์ฟเวอร์ HMI อุปกรณ์เครือข่าย ฯลฯ ที่ประกอบเป็น ICS โดยใช้ปัจจัยการประเมิน 3 อย่าง ได้แก่ ความสำคัญของทรัพย์สิน ระดับของภัยคุกคาม และระดับของช่องโหว่ เพื่อประเมินภัยคุกคามและสถานะความปลอดภัยของทรัพย์สินได้อย่างครอบคลุม
การประเมินความเสี่ยงตามผลกระทบทางธุรกิจ (Business Impact-based Risk Assessment) ประเมินความเสี่ยงสำหรับธุรกิจ (บริการและฟังก์ชัน) ที่ ICS นำมาใช้ โดยกำหนดผลกระทบทางธุรกิจที่ต้องหลีกเลี่ยง ระดมสมองเกี่ยวกับสถานการณ์โจมตีและต้นไม้การโจมตี (Attack Tree) ที่อาจก่อให้เกิดผลกระทบ แล้ววิเคราะห์ความเสี่ยงโดยใช้ปัจจัยการประเมิน 3 อย่าง คือ ผลกระทบทางธุรกิจ ภัยคุกคาม และช่องโหว่ เพื่อประเมินลำดับการโจมตีที่นำไปสู่ผลกระทบทางธุรกิจ
คู่มือนี้ยังให้ข้อมูลสำหรับการประเมินความเสี่ยง อาทิ
รูปแบบแผ่นงานการประเมินความเสี่ยง (Risk Assessment Sheet)
รายการภัยคุกคาม (เทคนิคการโจมตี) และการควบคุมความปลอดภัย
แบบตรวจสอบแบบละเอียดสำหรับการควบคุมความปลอดภัยเฉพาะด้าน
นอกจากนี้ คู่มือยังนำเสนอวิธีใช้ผลการประเมินความเสี่ยงดังนี้
วิธีพิจารณาการควบคุมความปลอดภัยเพิ่มเติมเพื่อลดความเสี่ยง
การทดสอบความปลอดภัย (Security Test) เพื่อเพิ่มเติมการประเมินความเสี่ยง
จากเนื้อหาข้างต้น คู่มือนี้จึงเป็นแนวทางปฏิบัติที่สำคัญสำหรับการประเมินความเสี่ยงเพื่อปรับปรุงความปลอดภัยของระบบควบคุมอุตสาหกรรม (ICS) ซึ่งรวมถึงระบบ SCADA ให้มีความปลอดภัยทางไซเบอร์ (Cybersecurity) ที่ดียิ่งขึ้น