ไลฟ์สไตล์

ฝากข้อมูลบน 'คลาวด์' อย่าคิดว่าปลอดภัย

By พงษ์พิสิฐ วุฒิดิษฐโชติ และเกียรติศักดิ์ จันทร์ลอย | คอลัมน์ Tech, Law and Security28 มี.ค. 2021 เวลา 4:00 น.
ฝากข้อมูลบน 'คลาวด์' อย่าคิดว่าปลอดภัย

เปิดบทวิเคราะห์ การฝากข้อมูลไว้บน "คลาวด์" (Cloud) ปลอดภัยจริงหรือไม่? และการใช้ระบบคลาวด์ในการจัดเก็บข้อมูลมีความเสี่ยงมากน้อยแแค่ไหน?

เทคโนโลยีคลาวด์ช่วยให้องค์กรไม่ต้องลงทุนอุปกรณ์ต่างๆ รวมถึงการจัดหาพื้นที่ในการวางอุปกรณ์เหล่านั้น และไม่ต้องเสียเวลารอนาน ทุกอย่างเพียงแค่คลิกเลือกโซลูชั่นที่ต้องการก็สามารถมีระบบพร้อมให้บริการแก่ผู้ใช้งานทั่วโลกแล้ว ทำให้การใช้บริการคลาวด์เพิ่มขึ้นอย่างรวดเร็วทั่วโลก

แต่การใช้คลาวด์ก็มีความท้าทายในการจัดการ การจัดเก็บ ประมวลผล และวิเคราะห์ข้อมูล การสร้างแพลตฟอร์มในการให้บริการที่สำคัญ การตอบสนองที่รวดเร็วในการเข้าถึง และการปฏิบัติตามกฎหมายและระเบียบที่เกี่ยวข้อง รวมถึงการเลือกใช้งานผู้ให้บริการคลาวด์ที่จะดูแลข้อมูลสำคัญขององค์กร

ตัวอย่างเหตุการณ์ที่ไม่คาดคิดว่าจะเกิดขึ้นกับผู้ให้บริการคลาวด์ระดับโลกที่มีมาตรฐานสูง อาทิ

1.Azure Cloud (Microsoft) ล่ม เมื่อวันที่ 16 มี.ค.2564 เป็นเวลา 13 ชั่วโมง โดยเป็นเกิดจากการปฏิบัติหน้าที่ของเจ้าหน้าที่ของไมโครซอฟท์เอง

2.OVH Cloud ไฟไหม้ วันที่ 11 มี.ค.2564 เมื่อเกิดไฟไหม้อาคารหลังที่ 2 ในประเทศฝรั่งเศส ส่งผลให้เว็บไซต์จำนวนกว่า 3 ล้านเว็บไซต์ล่มไม่สามารถเข้าใช้งาน โดยเว็บไซต์ต่างๆ ที่ฝากข้อมูลและบริการที่ผู้ให้บริการคลาวด์ดังกล่าวทั้งเอกชนและของภาครัฐ เช่น เว็บท่า (Portal) ธนาคาร, ร้านค้า, เว็บไซต์ข่าวและเว็บไซต์โดเมน .FR นั้นไม่สามารถใช้งานได้ 

จากเหตุการณ์ไฟไหม้นี้พบว่าเกิดความเสียหายกับข้อมูลของลูกค้าเป็นอย่างมาก เพราะข้อมูลบางส่วนของลูกค้าไม่สามารถกู้คืนกลับมา เนื่องจากไม่มีระบบสำรองข้อมูลและไม่มีสถานที่สำรองข้อมูลอื่นๆ ในการรับส่งข้อมูลสำคัญ

3.Google Cloud ล่ม วันที่ 16 ธ.ค.2563 และส่งผลให้ไม่สามารถใช้งานบริการต่างๆ ของ Google ได้ทั่วโลก เช่น Gmail, YouTube, Google Search Engine และ Google Suite สาเหตุการล่มในครั้งนี้ กูเกิลยังไม่ออกมาให้ข้อมูลใดๆ และหากย้อนหลังไปเมื่อปี 2562 กูเกิลคลาวด์ก็ล่มไปกว่า 5 ชั่วโมงเนื่องจากการตั้งค่าของอุปกรณ์และระบบผิดพลาด

ความเสี่ยงจากเหตุการณ์ต่างๆ ที่เกิดขึ้นกับผู้ให้บริการระดับโลกนั้น มักจะทำให้เกิดคำถามขึ้นมาว่า “การฝากข้อมูลไว้บน Cloud นั้นปลอดภัยจริงหรือไม่” เพราะในการใช้บริการคลาวด์นั้นมีรายละเอียดที่ซับซ้อนพอสมควรในเรื่องของการออกแบบโครงสร้างพื้นฐาน เพื่อรองรับการให้บริการจากภายนอก การตั้งค่าในการควบคุมการใช้งานและอนุญาตให้เข้าถึงข้อมูลของผู้เกี่ยวข้องให้เป็นไปตามกระบวนการและมาตรฐานตามหลักการด้านความมั่นคงปลอดภัย 

นอกจากนี้ผู้ใช้บริการยังต้องระวังคลาวด์ของผู้ให้บริการล่มจากการขาดความระมัดระวังของผู้ให้บริการในการปฏิบัติงาน เช่น เปลี่ยนแปลงอุปกรณ์ เพื่อปรับปรุงประสิทธิภาพทำงาน และจากความประมาทหรือรู้เท่าไม่ถึงการณ์ของผู้ใช้บริการเองด้วย

เหตุการณ์ข้างต้นที่ได้กล่าวมานั้น อาจจะเพียงเพราะไม่ได้มีการจัดการความเสี่ยงที่ครอบคลุมที่ดีเพียงพอตามหลักการ หากเป็นศูนย์คอมพิวเตอร์สำหรับให้บริการที่ได้รับการรับรองมาตรฐาน ซึ่งแบ่งเป็น Tier 1 ถึง 4 ที่จะรับรองบริการและอนุญาตให้ระบบหยุดทำงานได้ (Uptime/Down Time) เท่าใด โดย Tier 4 (ดีที่สุด) ระบุว่าต้องให้บริการได้ 99.995% และหยุดทำงานได้เพียง 25 นาทีต่อปี

แต่ละ Tier ก็มีระบบเพิ่มเติมในรองรับการทำงานเป็น เช่น ระบบไฟฟ้าหลักแยก ระบบไฟฟ้าสำรอง ระบบหรือพื้นที่ป้องกันน้ำท่วม ป้องกันแผ่นดินไหว รวมถึงระบบด้านความมั่นคงปลอดภัย เพื่อกระจายความเสี่ยง โดยการมีศูนย์คอมพิวเตอร์สำหรับให้บริการหลายๆ ที่หรืออยู่ในหลายประเทศ

161686461148

แต่ทั้งนี้จากเหตุการณ์ดังกล่าวที่เกิดขึ้นพบว่าระดับและราคาของบริการของผู้ให้บริการคลาวด์ก็ส่งผลในการเลือกใช้งานเช่นกัน หากเลือกบริการที่ราคาสูงที่อาจรวมบริการสำรองข้อมูลแบบอัตโนมัติและทำคัดลอกข้อมูลไปเก็บไว้อีกสถานที่เพื่อป้องกันเหตุการณ์ฉุกเฉิน แต่หากเลือกบริการที่ราคาถูกลงมาก็อาจได้เพียงแค่การสำรองข้อมูลบางเครื่องหรือไม่มีระบบอัตโนมัติ ซึ่งขึ้นอยู่กับแผนบริการที่เลือก (Plan) เพราะแต่ละบริการกำหนดระดับการบริการ (SLA) ไม่เท่ากัน

ประเด็นสำคัญที่ผู้ให้บริการราคาถูกส่วนใหญ่ไม่ได้ให้มาในบริการ (ต้องซื้อเพิ่มเติม) คือ ระบบการกู้คืนข้อมูลเมื่อเกิดเหตุการณ์ฉุกเฉิน (Disaster Recovery) และการสำรองข้อมูลของระบบไปยังพื้นที่อื่นๆ นอกเหนือจากพื้นที่ของระบบติดตั้งอยู่ รวมถึงระบบโครงสร้างที่สามารถให้บริการพร้อมกันหากโครงสร้างของระบบหลักหยุดทำงาน เพราะบริการเหล่านี้มีราคาแพงตามความสำคัญของข้อมูลและระบบและพื้นที่ของบริการที่ต้องการติดตั้งโดยขึ้นอยู่กับผู้ใช้งานเลือกใช้ และผู้ใช้งานควรดำเนินการเปิดใช้งานหรือซื้อบริการเพิ่มเติมเพราะจะช่วยให้ระบบและโครงสร้างของบริการมีประสิทธิภาพและพร้อมใช้งานตลอดเวลา 

เนื้อหาที่เกี่ยวข้อง

161686486668

แต่การเลือกใช้บริการประเภทนี้ ควรมีการวิเคราะห์ความสำคัญทางธุรกิจ (Business Impact Analysis) การประเมินความเสี่ยง (Risk Management) ในเรื่องผลกระทบและโอกาสที่จะเกิดเหตุการณ์ฉุกเฉิน หากระบบไม่สามารถให้บริการได้ ผลกระทบต่อรายได้และชื่อเสียงทางธุรกิจ รวมทั้งความรับผิดทางกฎหมาย เป็นต้น

ตัวอย่างเหตุการณ์ที่เกิดขึ้นกับ Facepunch Studios ผู้ให้บริการเกม Rust ซึ่งเป็นลูกค้าของ OVH Cloud ที่ทำข้อมูลผู้ใช้งานและระบบเกมที่ให้บริการในยุโรปทั้งหมดสูญหายและไม่สามารถดำเนินการกู้กลับคืนจากเหตุการณ์ไฟไหม้อาคารศูนย์บริการข้อมูล เนื่องจาก Facepunch Studios ไม่มีการเตรียมแผนการสำรองข้อมูลและระบบการกู้คืนข้อมูลจากเหตุการณ์ฉุกเฉินสำหรับรับมือสถานการณ์ดังกล่าว ทำให้เกิดมูลค่าความเสียหายมหาศาล

ดังนั้น นอกจากการพิจารณาเลือกผู้ให้บริการคลาวด์ที่ราคาของบริการแล้ว ก็ควรพิจารณาเรื่องมาตรการการสำรองข้อมูลหรือการใช้งานเพิ่มเติมเข้าไปด้วยทุกครั้ง และต้องไม่ลืมว่าการเลือกมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม (appropriate security measures) ยังเป็นข้อกำหนดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกด้วย