Identity and Access Management (IAM) สำหรับ OT: จัดการสิทธิ์เข้าถึงระบบควบคุมอุตสาหกรรมอย่างมืออาชีพ
เมื่อวิศวกรควบคุมเข้า login เข้า SCADA system เพื่อเปลี่ยน setpoint ของ reactor — คำถามคือ ใครบ้างที่ควรมีสิทธิ์ทำเช่นนี้? และเมื่อไรที่สิทธิ์นั้นควรถูกเพิกถอน? คำถามเหล่านี้คือหัวใจของ Identity and Access Management (IAM) ในสภาพแวดล้อม OT
ในโลก IT ทุกคนคุ้นเคยกับ Active Directory, SSO, MFA และ RBAC แต่ในโลก OT ความเป็นจริงคือ — หลายโรงงานยังใช้ shared account (หลายคนใช้ username/password เดียวกัน) บางแห่งตั้ง password เป็น default (เช่น “admin/admin”) และบางแห่งปล่อยให้ engineer เก็บสิทธิ์ admin ไปตลอดชีพ โดยไม่มีการ audit
สถานการณ์เช่นนี้เปิดช่องโหว่ร้ายแรง: หาก account ถูกขโมย ไม่มีทางรู้ว่า “ใคร” ทำ “อะไร” — เพราะทุกคนใช้ account เดียวกัน IAM ที่เหมาะสมจึงไม่ใช่เรื่อง luxury แต่เป็น พื้นฐานความปลอดภัย ของทุกโรงงานอุตสาหกรรม
4 เสาหลักของ IAM ใน OT
1. Identity — รู้จักทุกคนที่เข้าถึงระบบ
ทุกบุคคลที่เข้าถึงระบบ OT ต้องมี unique identity — ไม่มีข้อยกเว้น:
- Internal Staff: Operators, Engineers, Maintenance Technicians, Managers
- External Parties: Vendors, Contractors, System Integrators, Auditors
- Service Accounts: Automated processes, data collection agents, API integrations
ทุก identity ต้องผ่าน Centralized Identity Provider (IdP) — เช่น Directory Service หรือ OT-specific IAM platform ห้ามใช้ local account บนอุปกรณ์แต่ละตัวโดยไม่มี central management
2. Authentication — พิสูจน์ว่าเป็นคนนั้นจริง
การใช้ password อย่างเดียวไม่พอ โดยเฉพาะใน OT ที่มีการเข้าถึงจากระยะไกล:
- Multi-Factor Authentication (MFA): ใช้อย่างน้อย 2 ปัจจัย — สำหรับ remote access ต้องบังคับใช้ MFA ทุกครั้ง ตัวเลือก: hardware token, authenticator app, certificate-based
- Privileged Access Management (PAM): สำหรับ account ที่มีสิทธิ์สูง (admin, root, engineering) ใช้ Just-In-Time (JIT) access — ให้สิทธิ์เฉพาะเมื่อต้องการ และเพิกถอนทันทีเมื่อเสร็จงาน
- Password Policy: Minimum 14 characters, complexity requirements, และ rotation ทุก 90 วัน สำหรับ service account ใช้ password vault เก็บและ rotate อัตโนมัติ
3. Authorization — ให้สิทธิ์แค่ที่จำเป็น (Least Privilege)
Role-Based Access Control (RBAC) คือมาตรฐานสำหรับ OT:
| Role | Read/View | Control | Configure | Admin |
|---|---|---|---|---|
| Operator | HMI view | Start/Stop | – | – |
| Engineer | ทุกหน้าจอ | Yes | Setpoint/Tuning | – |
| Administrator | Yes | Yes | Yes | User/Firmware |
| Vendor/Contractor | เฉพาะที่ assign | JIT only | JIT only | – |
| Auditor | Logs only | – | – | – |
4. Audit and Accountability — บันทึกทุกการกระทำ
ไม่มี audit log = ไม่มี accountability ทุกการกระทำต้องถูกบันทึก:
- Who — บัญชีใด (unique identity)
- What — ทำอะไร (เปลี่ยน setpoint, download program, acknowledge alarm)
- When — เมื่อไร (timestamp แบบ NTP-synchronized)
- Where — ที่ไหน (จาก HMI ไหน, IP address อะไร)
- Result — สำเร็จหรือล้มเหลว
Log ต้องเก็บใน centralized SIEM ที่ tamper-proof และสามารถ generate report สำหรับ compliance audit ได้ (IEC 62443, NERC CIP, NIS2)
ข้อกำหนด IAM ตาม IEC 62443
มาตรฐาน IEC 62443 กำหนดข้อกำหนด IAM อย่างชัดเจน:
- SR 1.1 (Human User Identification): ทุก human user ต้องมี unique identification
- SR 1.2 (SW Process and Device Identification): ทุก software process และ device ต้อง identifiable
- SR 1.3 (Account Management): มีนโยบายสร้าง, เปลี่ยน, และลบ account อย่างเป็นระบบ
- SR 2.1 (Authorization Enforcement): บังคับใช้ authorization ทุกการเข้าถึงทรัพยากร
- SR 2.4 (Mobile Code): ควบคุม execution ของ mobile code บนระบบ control
การนำ IAM ไปใช้ในโรงงาน: Roadmap 3 ระยะ
ระยะที่ 1: Foundation (เดือนที่ 1-3)
- สร้าง Asset and Identity Inventory — รู้ว่ามีอุปกรณ์อะไร, account อะไร, ใครใช้บ้าง
- เปลี่ยน shared account เป็น unique account สำหรับทุกคน
- เปลี่ยน default password ทุกอุปกรณ์
- เริ่มเก็บ basic audit log
ระยะที่ 2: Enhancement (เดือนที่ 4-8)
- deploy RBAC ตาม role matrix
- เปิดใช้ MFA สำหรับ remote access และ admin function
- ติดตั้ง PAM solution สำหรับ privileged account
- บังคับใช้ Vendor Access Policy — jump server + session recording
ระยะที่ 3: Advanced (เดือนที่ 9-12)
- เชื่อม IT-OT Identity Federation — SSO ข้าม domain แต่แยก privilege
- ใช้ Behavioral Analytics ตรวจจับ anomalous access pattern
- ทำ Automated Access Review — ทุก 90 วัน ตรวจสอบว่าสิทธิ์ยังเหมาะสมหรือไม่
- ผสานกับ Zero Trust Architecture — verify every request, every time
Pro Tip: อย่าพยายามทำทุกอย่างพร้อมกัน เริ่มจาก “เปลี่ยน shared account เป็น unique account” ก่อน — นี่คือ quick win ที่ลดความเสี่ยงได้มากที่สุดในเวลาสั้นที่สุด แล้วค่อยขยับไป MFA, RBAC, PAM ตามลำดับ
Key Takeaways — สิ่งที่ต้องจำ
- Unique Identity สำหรับทุกคน — ห้ามใช้ shared account โดยเด็ดขาด ทุกคนต้องรับผิดชอบการกระทำของตัวเอง
- Least Privilege + RBAC — ให้สิทธิ์แค่ที่จำเป็น Operator ไม่ต้องมีสิทธิ์ admin, Contractor ต้องมี JIT access
- MFA สำหรับ Remote Access — ไม่มีข้อยกเว้น ทุกการเข้าถึงจากภายนอกต้องผ่าน 2+ factor
- Audit Everything — บันทึกทุกการเข้าถึง ทุกการเปลี่ยนแปลง เก็บใน tamper-proof centralized log
- PAM สำหรับ Privileged Account — JIT access, session recording, automatic credential rotation
- เริ่มจาก Quick Win — เปลี่ยน shared เป็น unique account, เปลี่ยน default password ก่อน แล้วค่อยขยับต่อ