คอลัมนิสต์

ฝากข้อมูลไว้บนคลาวด์ อย่าคิดว่าปลอดภัย

By Tech, Law and Security25 มี.ค. 2021 เวลา 23:30 น.
ฝากข้อมูลไว้บนคลาวด์ อย่าคิดว่าปลอดภัย

เทคโนโลยีคลาวด์ช่วยให้องค์กรไม่ต้องลงทุนอุปกรณ์ต่าง ๆ รวมถึงการจัดหาพื้นที่ในการวางอุปกรณ์เหล่านั้น และไม่ต้องเสียเวลารอนาน

HIGHLIGHTS 

  • ปัญหาในการจัดการข้อมูลสำคัญขององค์กร
  • นโยบายและกระบวนการจัดการและการเลือกใช้งานผู้ให้บริการคลาวด์
  • บริการพื้นฐานที่ผู้ให้บริการคลาวด์ต้องมี ผู้ใช้บริการต้องรู้

    การใช้คลาวด์ก็มีความท้าทายในการจัดการ การจัดเก็บ ประมวลผล และวิเคราะห์ข้อมูล การสร้างแพลตฟอร์มในการให้บริการที่สำคัญ การตอบสนองที่รวดเร็วในการเข้าถึง และการปฏิบัติตาม กฎหมายและระเบียบที่เกี่ยวข้อง รวมถึงการเลือกใช้งานผู้ให้บริการคลาวด์ที่จะดูแลข้อมูลสำคัญขององค์กร

    ตัวอย่างเหตุการณ์ที่ไม่คาดคิดว่าจะเกิดขึ้นกับผู้ให้บริการคลาวด์ระดับโลกที่มีมาตรฐานสูง อาทิ

    1. Azure Cloud (Microsoft) ล่ม เมื่อวันที่ 16 มีนาคม 2564 เป็นเวลา 13 ชั่วโมง โดยเป็นเกิดจากการปฏิบัติหน้าที่ของเจ้าหน้าที่ของ Microsoft เอง
    2. OVH Cloud ไฟไหม้ วันที่ 11 มีนาคม 2564 เมื่อเกิดไฟไหม้อาคารหลังที่ 2 ในประเทศฝรั่งเศส ส่งผลให้เว็บไซต์จำนวนกว่า 3 ล้านเว็บไซต์ล่มไม่สามารถเข้าใช้งาน โดยเว็บไซต์ต่าง ๆ ที่ฝากข้อมูลและบริการที่ผู้ให้บริการคลาวด์ดังกล่าวทั้งเอกชนและของภาครัฐ เช่น เว็บท่า (Portal) ธนาคาร, ร้านค้า, เว็บไซต์ข่าวและเว็บไซต์โดเมน .FR นั้นไม่สามารถใช้งานได้ จากเหตุการณ์ไฟไหม้นี้พบว่าเกิดความเสียหายกับข้อมูลของลูกค้าเป็นอย่างมากเพราะข้อมูลบางส่วนของลูกค้าไม่สามารถกู้คืนกลับมาได้ เนื่องจากไม่มีระบบสำรองข้อมูลและไม่มีสถานที่สำรองข้อมูลอื่น ๆ ในการรับส่งข้อมูลสำคัญ
    3. Google Cloud ล่ม วันที่ 16 ธันวาคม 2563 และส่งผลให้ไม่สามารถใช้งานบริการต่าง ๆ ของ Google ได้ทั่วโลก เช่น Gmail, YouTube, Google Search Engine และ Google Suite สาเหตุการล่มในครั้งนี้ Google ยังไม่ออกมาให้ข้อมูลใด ๆ และหากย้อนหลังไปเมื่อปี 2562 Google Cloud ก็มีการล่มไปกว่า 5 ชั่วโมงเนื่องจากการตั้งค่าของอุปกรณ์และระบบผิดพลาด

    ความเสี่ยงจากเหตุการณ์ต่าง ๆ ที่เกิดขึ้นกับผู้ให้บริการระดับโลกนั้นมักจะทำให้เกิดคำถามขึ้นมาว่า “การฝากข้อมูลไว้บน Cloud นั้นปลอดภัยจริงหรือไม่ เพราะในการใช้บริการคลาวด์นั้นมีรายละเอียดที่ซับซ้อนพอสมควรในเรื่องของการออกแบบโครงสร้างพื้นฐานเพื่อรองรับการให้บริการจากภายนอก การตั้งค่าในการควบคุมการใช้งานและอนุญาตให้เข้าถึงข้อมูลของผู้เกี่ยวข้องให้เป็นไปตามกระบวนการและมาตรฐานตามหลักการด้านความมั่นคงปลอดภัย นอกจากนี้ ผู้ใช้บริการยังต้องระวังคลาวด์ของผู้ให้บริการล่มจากการขาดความระมัดระวังของผู้ให้บริการในการปฏิบัติงาน เช่น เปลี่ยนแปลงอุปกรณ์ เพื่อปรับปรุงประสิทธิภาพทำงาน และจากความประมาทหรือรู้เท่าไม่ถึงการณ์ของผู้ใช้บริการเองด้วย

    161667157196 เหตุการณ์ข้างต้นที่ได้กล่าวมานั้นอาจจะเพียงเพราะไม่ได้มีการจัดการความเสี่ยงที่ครอบคลุมที่ดีเพียงพอตามหลักการ หากเป็นศูนย์คอมพิวเตอร์สำหรับให้บริการที่ได้รับการรับรองมาตรฐานซึ่งแบ่งเป็น Tier 1 ถึง 4 ซึ่งจะรับรองบริการและอนุญาตให้ระบบหยุดทำงานได้ (Uptime/Down Time) เท่าใด โดย Tier 4 (ดีที่สุด) ระบุว่าต้องให้บริการได้ 99.995% และหยุดทำงานได้เพียง 25 นาทีต่อปี โดยแต่ละ Tier ก็มีระบบเพิ่มเติมในรองรับการทำงานเป็น เช่น ระบบไฟฟ้าหลักแยก ระบบไฟฟ้าสำรอง ระบบหรือพื้นที่ป้องกันน้ำท่วม ป้องกันแผ่นดินไหว รวมถึงระบบด้านความมั่นคงปลอดภัย เพื่อกระจายความเสี่ยง โดยการมีศูนย์คอมพิวเตอร์สำหรับให้บริการหลาย ๆ ที่หรืออยู่ในหลายประเทศ

    แต่ทั้งนี้จากเหตุการณ์ดังกล่าวที่เกิดขึ้นพบว่าระดับและราคาของบริการของผู้ให้บริการคลาวด์ก็ส่งผลในการเลือกใช้งานเช่นกัน หากเลือกบริการที่ราคาสูงที่อาจรวมบริการสำรองข้อมูลแบบอัตโนมัติและทำคัดลอกข้อมูลไปเก็บไว้อีกสถานที่เพื่อป้องกันเหตุการณ์ฉุกเฉิน แต่หากเลือกบริการที่ราคาถูกลงมาก็อาจได้เพียงแค่การสำรองข้อมูลบางเครื่องหรือไม่มีระบบอัตโนมัติ ซึ่งขึ้นอยู่กับแผนบริการที่เลือก (Plan) เพราะแต่ละบริการกำหนดระดับการบริการ (SLA) ไม่เท่ากัน

    161667161579 ประเด็นสำคัญที่ผู้ให้บริการราคาถูกส่วนใหญ่ไม่ได้ให้มาในบริการ (ต้องซื้อเพิ่มเติม) คือ ระบบการกู้คืนข้อมูลเมื่อเกิดเหตุการณ์ฉุกเฉิน (Disaster Recovery) และการสำรองข้อมูลของระบบไปยังพื้นที่อื่น ๆ นอกเหนือจากพื้นที่ของระบบติดตั้งอยู่ รวมถึงระบบโครงสร้างที่สามารถให้บริการพร้อมกันหากโครงสร้างของระบบหลักหยุดทำงาน เพราะบริการเหล่านี้มีราคาแพงตามความสำคัญของข้อมูลและระบบและพื้นที่ของบริการที่ต้องการติดตั้งโดยขึ้นอยู่กับผู้ใช้งานเลือกใช้ และผู้ใช้งานควรดำเนินการเปิดใช้งานหรือซื้อบริการเพิ่มเติมเพราะจะช่วยให้ระบบและโครงสร้างของบริการมีประสิทธิภาพและพร้อมใช้งานตลอดเวลา แต่การเลือกใช้บริการประเภทนี้ ควรมีการวิเคราะห์ความสำคัญทางธุรกิจ (Business Impact Analysis) การประเมินความเสี่ยง (Risk Management) ในเรื่องผลกระทบและโอกาสที่จะเกิดเหตุการณ์ฉุกเฉิน หากระบบไม่สามารถให้บริการได้ ผลกระทบต่อรายได้และชื่อเสียงทางธุรกิจ รวมทั้งความรับผิดทางกฎหมาย เป็นต้น

    ตัวอย่างเหตุการณ์ที่เกิดขึ้นกับ Facepunch Studios ผู้ให้บริการเกมส์ “Rust” ซึ่งเป็นลูกค้าของ OVH Cloud ที่ทำข้อมูลผู้ใช้งานและระบบเกมส์ที่ให้บริการในยุโรปทั้งหมดสูญหายและไม่สามารถดำเนินการกู้กลับคืนมาได้จากเหตุการณ์ไฟไหม้อาคารศูนย์บริการข้อมูล เนื่องจาก Facepunch Studios ไม่มีการเตรียมแผนการสำรองข้อมูลและระบบการกู้คืนข้อมูลจากเหตุการณ์ฉุกเฉินสำหรับรับมือสถานการณ์ดังกล่าว ทำให้เกิดมูลค่าความเสียหายมหาศาล

    ดังนั้น นอกจากการพิจารณาเลือกผู้ให้บริการคลาวด์ที่ราคาของบริการแล้วก็ควรพิจารณาเรื่องมาตรการการสำรองข้อมูลหรือการใช้งานเพิ่มเติมเข้าไปด้วยทุกครั้ง และต้องไม่ลืมว่าการเลือกมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม (appropriate security measures) ยังเป็นข้อกำหนดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกด้วย.

*บทความโดย รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และเกียรติศักดิ์ จันทร์ลอย

Cloud Tech Centre (CTC) Research Group

คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ

161667196716

เนื้อหาที่เกี่ยวข้อง