มีนาคม 24,2026…เมื่อ ESG ขับเคลื่อนด้วยข้อมูลมากขึ้น ความเสี่ยงไซเบอร์จึงกลายเป็น “ความเสี่ยงเชิงระบบ” ที่กระทบทั้งความน่าเชื่อถือ การรายงาน และมูลค่าธุรกิจ
ในยุคที่ ESG ไม่ได้เป็นเพียง “รายงาน” แต่เป็น “ระบบข้อมูล” ที่ใช้ขับเคลื่อนการตัดสินใจของธุรกิจ ความเสี่ยงรูปแบบใหม่กำลังเกิดขึ้นอย่างเงียบ ๆ Cybersecurity กำลังกลายเป็นหนึ่งในความเสี่ยงสำคัญของ Sustainability Strategy โดยเฉพาะเมื่อองค์กรต้องพึ่งพา Sustainability Data จากทั้งภายในและห่วงโซ่อุปทาน (Scope 3) หากข้อมูลเหล่านี้ถูกโจมตี บิดเบือน หรือรั่วไหล ไม่เพียงกระทบความน่าเชื่อถือของ ESG แต่ยังอาจส่งผลโดยตรงต่อมูลค่าธุรกิจและความเชื่อมั่นของนักลงทุน
การบัญชีความยั่งยืนขอบเขตที่ 3 (Scope 3 sustainability accounting) เป็นงานที่ต้องใช้ความพยายามในการดำเนินงาน การทำแผนที่ผลกระทบต่อสิ่งแวดล้อมในระดับซัพพลายเออร์ต่างๆ จำเป็นต้องสร้างความโปร่งใสในความสัมพันธ์ด้านการผลิต เครือข่ายโลจิสติกส์ การไหลของพลังงานและวัสดุที่ฝังอยู่ ซึ่งหลายบริษัทไม่เคยบันทึกอย่างเป็นระบบมาก่อน บริษัทที่ทำได้ดีได้สร้างสิ่งที่มีคุณค่าอย่างแท้จริง นั่นคือภาพโดยละเอียดว่าสิ่งของที่พวกเขาใช้และจัดจำหน่ายมาจากไหน เคลื่อนย้ายอย่างไร และความสัมพันธ์กับซัพพลายเออร์ใดสำคัญต่อการดำเนินงานมากที่สุด
โปรแกรม Scope 3 ที่มีประสิทธิภาพ จะระบุซัพพลายเออร์ที่มีผลกระทบสูงสุด นอกจากนี้ยังจำเป็นต้องระบุซัพพลายเออร์ที่สำคัญต่อการดำเนินงานมากที่สุด ความพึ่งพาลึกที่สุด บริบททางภูมิศาสตร์และภูมิรัฐศาสตร์ที่ห่วงโซ่อุปทานดำเนินไป ข้อมูลนี้มีอยู่ในชุดข้อมูลเดียวกัน การบัญชีผลกระทบต่อสิ่งแวดล้อมมักเป็นสาเหตุของการสร้างข้อมูลนี้ แต่มีบริษัทเพียงไม่กี่แห่งที่นำไปใช้ประโยชน์อย่างอื่น
ความสัมพันธ์กับซัพพลายเออร์ที่มักถูกพูดถึงในหัวข้อการคำนวณ Scope 3 ในห่วงโซ่อุปทานที่เน้นการผลิต มักมีลักษณะร่วมกันบางประการ ได้แก่ ปริมาณการผลิตสูง การใช้พลังงานสูง การกระจุกตัวในพื้นที่ทางภูมิศาสตร์เฉพาะ หลายกรณีมีทางเลือกจำกัด ความสัมพันธ์เหล่านี้ยังเป็นความสัมพันธ์ที่มีความเสี่ยงที่ไม่เกี่ยวข้องกับสิ่งแวดล้อมมากที่สุดอีกด้วย
ความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์มาก่อน
อุตสาหกรรมซอฟต์แวร์ใช้เวลาสองทศวรรษที่ผ่านมาในการเรียนรู้บทเรียนนี้ การรั่วไหลของ SolarWinds ช่องโหว่ Log4j และความล้มเหลวที่ตามมา ล้วนแสดงให้เห็นว่าพื้นที่การโจมตีในองค์กรที่พึ่งพาซอฟต์แวร์นั้นไม่ได้อยู่ที่โค้ดของตัวเองเสมอไป แต่อยู่ที่ทุกส่วนประกอบ ทุกไลบรารี ทุกกลไกการอัปเดตในระบบ
ความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ การติดตามส่วนประกอบอย่างเข้มงวด การรับรองแหล่งที่มาของการสร้างด้วยการเข้ารหัส การตรวจสอบว่าซอฟต์แวร์ที่คุณใช้งานอยู่นั้นเป็นไปตามที่กล่าวอ้าง มีส่วนประกอบที่ระบุไว้ และมาจากที่ที่กล่าวอ้าง แนวทางปฏิบัติเหล่านี้ถูกสร้างขึ้นเพื่อตอบคำถามที่ว่า คุณรู้หรือไม่ว่ามีอะไรกำลังทำงานอยู่ในระบบของคุณ และมันมาจากไหน?
(หมายเหตุ Log4j คือช่องโหว่ระดับร้ายแรงสูงสุด ที่ใช้บันทึกข้อมูล (Logging) ของ Java ซึ่งช่วยให้แฮกเกอร์สั่งรันโค้ดอันตรายจากระยะไกล เพื่อเข้าควบคุมเซิร์ฟเวอร์หรือขโมยข้อมูลได้ง่ายดาย ส่งผลกระทบวงกว้างต่อองค์กรทั่วโลก)
ปัญหาในรูปแบบไซเบอร์ฟิสิกส์ก็คือปัญหาเดียวกัน แต่มีผลกระทบรุนแรงกว่า การพึ่งพาซอฟต์แวร์ที่เป็นอันตรายในห่วงโซ่อุปทานอาจทำให้ข้อมูลรั่วไหลหรือเข้าถึงระบบโดยไม่ได้รับอนุญาต ส่วนประกอบที่ถูกบุกรุกในระบบเทคโนโลยีการทำงานอาจทำให้สายการผลิตหยุดทำงาน ปิดใช้งานระบบควบคุมสภาพแวดล้อม หรือเปลี่ยนแปลงกระบวนการทางกายภาพในลักษณะที่เป็นอันตราย ขอบข่ายของผลกระทบเป็นเรื่องกายภาพ ไม่ใช่แค่ข้อมูล
การทดสอบเครื่องกำเนิดไฟฟ้า Aurora ที่ดำเนินการโดยห้องปฏิบัติการแห่งชาติไอดาโฮเพื่อกระทรวงความมั่นคงแห่งชาติในเดือนมีนาคม 2550 ได้สร้างหลักฐานพื้นฐานของภัยคุกคามประเภทนี้เมื่อเกือบสองทศวรรษที่แล้ว นักวิจัยใช้แล็ปท็อปเพื่อเปิดและปิดเบรกเกอร์วงจรของเครื่องกำเนิดไฟฟ้าดีเซลอย่างรวดเร็ว โดยไม่สอดคล้องกับส่วนที่เหลือของระบบไฟฟ้า
นี่ไม่ใช่โปรแกรมมัลแวร์ใหม่ หรือการโจมตีซอฟต์แวร์ที่ซับซ้อน แต่เป็นการจัดการระบบรีเลย์ป้องกันที่มีอยู่ผ่านโปรโตคอลอุตสาหกรรมที่เข้าถึงได้ เครื่องกำเนิดไฟฟ้าขนาด 27 ตันนั้นพังเสียหาย ความสำคัญไม่ได้อยู่ที่เทคนิคเฉพาะนั้น
นั่นเป็นการสาธิตให้เห็นว่าคำสั่งซอฟต์แวร์สามารถก่อให้เกิดการทำลายทางกายภาพที่ไม่สามารถย้อนกลับได้ เวกเตอร์การโจมตีคือตัวอุปกรณ์เอง และโปรโตคอลดั้งเดิมที่ใช้ในโครงสร้างพื้นฐานของกริดส่วนใหญ่ถูกออกแบบมาโดยปราศจากการตรวจสอบสิทธิ์หรือการเข้ารหัสทางดิจิทัลที่จริงจัง หมายความว่าใครก็ตามที่สามารถสื่อสารกับอุปกรณ์ได้จะถูกสันนิษฐานว่าได้รับอนุญาตให้ควบคุมอุปกรณ์นั้น
ในแง่นี้ Aurora ไม่ใช่แค่ปัญหาของกริดเท่านั้น มันเป็นหลักฐานที่พิสูจน์ว่าความเสี่ยงทางไซเบอร์กายภาพนั้นแตกต่างอย่างสิ้นเชิงจากความเสี่ยงด้านความปลอดภัยของข้อมูล และผลที่ตามมาเมื่อมันแพร่กระจายไปยังระบบทางกายภาพนั้นอาจรุนแรงมาก
ความเสี่ยงอยู่ตรงไหนในห่วงโซ่อุปทาน
กรอบการบริหารความเสี่ยงขององค์กรส่วนใหญ่ถือว่าการเปิดเผยความเสี่ยงทางไซเบอร์กายภาพเป็นปัญหาด้านโครงสร้างพื้นฐานหรือสาธารณูปโภค สิ่งที่ส่งผลกระทบต่อกริดไฟฟ้าและโรงบำบัดน้ำเสีย ดังนั้นจึงได้รับการจัดการโดยผู้เชี่ยวชาญภาคส่วนเหล่านั้น
โรงงานผลิตใช้สายการผลิตที่ควบคุมด้วย SCADA โลจิสติกส์ห่วงโซ่ความเย็นขึ้นอยู่กับการควบคุมอุณหภูมิและการเข้าถึงแบบอัตโนมัติ ศูนย์ข้อมูลพึ่งพาระบบการจัดการอาคารที่ควบคุมพลังงานและการทำความเย็น การแปรรูปอาหาร การผลิตยา การกระจายสินค้าแบบอัตโนมัติ ทั้งหมดนี้เป็นเทคโนโลยีการดำเนินงาน(OT-operational technology) และทั้งหมดนี้มีลักษณะเป็นไซเบอร์กายภาพ การโจมตีระบบใดๆ เหล่านี้สำเร็จจะส่งผลกระทบทางกายภาพ ไม่ใช่แค่การรั่วไหลของข้อมูลเท่านั้น
ปัญหาจะยิ่งทวีความรุนแรงขึ้นในระดับที่สูงขึ้นไปในห่วงโซ่อุปทาน ผู้ผลิตตามสัญญา พันธมิตรโลจิสติกส์ และผู้ให้บริการห้องเย็น ดำเนินงานระบบ OT ที่ส่งผลกระทบโดยตรงต่อความต่อเนื่องของห่วงโซ่อุปทานสถานะทางไซเบอร์กายภาพของพวกเขาคือความเสี่ยงในการดำเนินงาน แบบสอบถามความปลอดภัยของซัพพลายเออร์ในปัจจุบันเกือบทั้งหมดครอบคลุมด้าน IT แต่ส่วนใหญ่มักไม่ครอบคลุมด้าน OT
คำถามที่ทีมจัดซื้ออาจไม่ได้ถาม
ความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ได้พัฒนาเครื่องมือสำหรับการติดตามสิ่งที่อยู่ในระบบซอฟต์แวร์และตรวจสอบแหล่งที่มา ในทำนองเดียวกัน ความปลอดภัยของฮาร์ดแวร์ก็ต้องถามคำถามเดียวกันนี้เช่นกัน ผลิตที่ไหน ผู้ผลิตเป็นใคร เฟิร์มแวร์ทำอะไร อัปเดตเมื่อใด อย่างไร มันสื่อสารอะไร เมื่อใด กับใคร ผู้ผลิตหรือรัฐบาลของผู้ผลิตมีสิทธิ์เข้าถึงอะไรบ้าง
คำถามเหล่านี้ไม่ใช่เรื่องสมมติ คำแนะนำของรัฐบาลสหรัฐฯ และสหราชอาณาจักรได้ระบุถึงความสามารถในการสื่อสารที่ไม่ได้รับการบันทึกไว้ในอุปกรณ์เชื่อมต่อบางประเภท Volt Typhoon ซึ่งได้รับการยืนยันอย่างเป็นทางการโดยหน่วยงานข่าวกรองของสหรัฐฯ แสดงให้เห็นถึงการเข้าถึงอย่างต่อเนื่องของรัฐชาติในสภาพแวดล้อมเทคโนโลยีการปฏิบัติงาน ซึ่งโดยทั่วไปแล้วถูกวางไว้เพื่อการก่อกวน ไม่ใช่การจารกรรม ฮาร์ดแวร์ที่ใช้ในการดำเนินงานของซัพพลายเออร์ของคุณและของคุณเองนั้น มีคำถามเกี่ยวกับแหล่งที่มาและความปลอดภัยที่การประเมินการจัดซื้อจัดจ้างในปัจจุบันไม่ได้ถาม
ช่องว่างนี้เป็นช่องว่างเชิงโครงสร้าง ทีมรักษาความปลอดภัยด้านไอทีถามคำถามเกี่ยวกับซอฟต์แวร์และเครือข่าย ทีมสิ่งอำนวยความสะดวกซื้ออุปกรณ์ปฏิบัติงาน โปรแกรมความยั่งยืนวัดผลกระทบต่อสิ่งแวดล้อมและมองเห็นทั้งระบบ คำถามเกี่ยวกับเฟิร์มแวร์ อุปกรณ์นี้กำลังทำอะไรอยู่ เชื่อมต่อกับอะไร รัฐบาลใดมีสิทธิ์เข้าถึงผู้ผลิตและอาจเข้าถึงอุปกรณ์ที่ใช้งานอยู่จริงในระบบที่สำคัญของคุณหรือไม่ คำถามนี้อยู่ระหว่างฟังก์ชันทั้งสามและไม่มีฟังก์ชันใดให้คำตอบได้
คุณค่าของข้อมูล Scope 3
ข้อมูลที่โปรแกรมการมองเห็นซัพพลายเออร์สร้างขึ้นมีค่า ในหลายองค์กร ข้อมูลนี้แสดงถึงแผนที่ความสัมพันธ์ในห่วงโซ่อุปทานสมบูรณ์ที่สุดที่มีอยู่ แต่บ่อยครั้งที่ถูกมองว่าเป็นเพียงชุดข้อมูลด้านสิ่งแวดล้อม ขณะที่มูลค่ามีมากกว่านั้น โดยเฉพาะอย่างยิ่งด้านที่ไม่เกี่ยวกับคาร์บอนของระบบที่เน้นพลังงาน อาจมีความเสี่ยงในห่วงโซ่อุปทานมากที่สุด
ซัพพลายเออร์ที่ใช้พลังงานสูงมักจะฝังตัวอยู่ในกระบวนการผลิตที่สำคัญ ดำเนินงานในพื้นที่ทางภูมิศาสตร์ที่ผันผวนหรือไม่โปร่งใส หรือเผชิญกับความเสี่ยงด้านกฎระเบียบอย่างมาก เนื่องจากรัฐบาลเข้ามามีบทบาทมากขึ้นในการกำหนดนโยบายความมั่นคงทางอุตสาหกรรม โอกาสในทางปฏิบัติคือการใช้แผนที่เป็นข้อมูลป้อนเข้าสำหรับการประเมินความเสี่ยงที่กว้างขึ้น เพื่อใช้ความสัมพันธ์ที่โปรแกรมความยั่งยืนได้บันทึกไว้แล้ว เพื่อเปิดเผยช่องว่างที่โปรแกรมความเสี่ยงดั้งเดิมอาจมองไม่เห็น
ความสัมพันธ์กับซัพพลายเออร์ที่ระบุไว้แล้วว่าเป็นวัสดุใน Scope 3 อาจเป็นจุดเริ่มต้นที่เหมาะสมในการตั้งคำถามเกี่ยวกับความปลอดภัยทางไซเบอร์และทางกายภาพ ไม่ใช่เพราะว่าโครงการด้านความยั่งยืนควรเป็นผู้รับผิดชอบการประเมินนั้น แต่เพราะพวกเขาอาจได้ทำการจัดทำแผนที่ซึ่งทำให้สามารถดำเนินการดังกล่าวได้แล้ว กรอบการทำงานด้านความปลอดภัยของ OT มีอยู่แล้ว คำถามเกี่ยวกับที่มาของฮาร์ดแวร์สามารถฝังอยู่ในข้อกำหนดการจัดซื้อจัดจ้างได้ ชุมชนด้านความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ได้พัฒนาคำตอบที่เข้มงวดสำหรับปัญหาเวอร์ชันซอฟต์แวร์นี้ในช่วงทศวรรษที่ผ่านมา เช่น การติดตามการพึ่งพา การตรวจสอบที่มา การรับรองว่าอะไรกำลังทำงานอยู่จริงและมาจากที่ใด ในหลายบริษัท เวอร์ชันทางไซเบอร์และทางกายภาพกำลังรอความสนใจในลักษณะเดียวกันอยู่
ที่มา sustainable brands
