ภัยที่เกิดขึ้นกับองค์กรของธุรกิจได้มาถึงจุดที่สูงที่สุดในประวัติศาสตร์ ไม่ว่าจะเป็น ransomware ที่เพิ่มขึ้นอย่างก้าวกระโดด ภัยทางไซเบอร์อื่นๆ ที่ปัจจุบันพัฒนาการเป็นองค์กรอาชญากรรมขนาดใหญ่ หรือ ภัยธรรมชาติที่ทวีความรุนแรงขึ้นทุกวัน และ เลวร้ายไปกว่านั้น ภัยต่างๆ เหล่านี้ปัจจุบัน ได้พุ่งเป้าไปหาเซิร์ฟเวอร์ที่อยู่ยัง remote location เพราะจากการย้ายไปบน cloud และ colocation บางครั้งก็ยิ่งทำให้มีความเสี่ยงเพราะการเปิดกว้างเรื่องการเข้าถึง server ที่มากขึ้น
ด้วยเหตุผลดังกล่าว ทำให้การป้องกันข้อมูลนั้นกลายเป็นเรื่องที่ทวีความสำคัญมากขึ้น และ การแน่ใจว่าการสำรองของท่านนั้นพร้อมใช้งาน และจะต้องใช้งานตลอดเวลาหาก ระบบหลักเกิดความผิดพลาดด้วยเหตุผลใดๆ และ หากว่าท่านไม่สามารถทำให้ข้อมูลพร้อมใช้งานเมื่อใดก็ตาม ในแง่ของความเสียหายต่อธุรกิจนั้นจะมีมากมายเหลือเกิน โดยมีการประมาณการกันว่าความเสียหายนั้นจะอยู่ที่ประมาณ 2.5 ล้านบาทต่อชม.เลยทีเดียว
ในช่วงสองทศวรรตที่ผ่านมา เราได้ใช้มาตรฐานการสำรองข้อมูลที่เรียกว่า 3-2-1 โดยเราจะต้องมีข้อมูลสำรอง 3 ชุด อยู่บนการเก็บข้อมูล 2 รูปแบบ และ จะต้องมีข้อมูล offsite แต่อย่างไรก็ตามมาตรฐานดังกล่าวนั้นได้มีก่อนการเข้ามาของ Cloud และ software-as-a-service (SaaS) และ มันมีมาก่อนยุคที่ ransomware จะรุ่งเรืองอย่างในปัจจุบัน
ในบทความนี้เราจะพาท่านไปวิเคราะห์แต่ละจุดว่าการสำรองข้อมูลแบบ 3-2-1 นั้นยังเหมาะสมกับโลกยุคปัจจุบันอยู่อีกหรือไม่
บทที่ 1 การสำรองข้อมูลแบบ 3-2-1 ที่มาจากยุคก่อน แต่ถูกใช้งานจนถึงยุคนี้
ภัยสำหรับธุรกิจนั้นมีเยอะขึ้นอย่างทวีคูณ และ สูงที่สุดเท่าที่เคยมีมา นอกเหนือจากภัยทั่วๆ ไปแล้ว เช่น ความเสียหายที่เกิดขึ้นกับฮาร์ดแวร์ และ ความผิดพลาดของข้อมูล ภัยอื่นๆ เช่น ระบบไฟฟ้า ไฟไหม้ น้ำท่วม ภัยมีแต่จะรุนแรงขึ้นเรื่อยๆ ภาวะโลกร้อนก็เป็นปัจจัยที่สำคัญในการทำให้ทุกอย่างเลวร้ายลง เช่น ไฟไหม้ น้ำท่วม และ สภาพอากาศแบบสุดโต่ง
ส่วนภัยที่เกิดขึ้นจากความตั้งใจ ก็มีแนวโน้มสูงขึ้นเรื่อยๆ เช่นกัน องค์กรอาชญากรรมด้านคอมพิวเตอร์มีขนาดใหญ่ขึ้น มีความซับซ้อนขึ้น จนกลายเป็นองค์กรข้ามชาติ ในปี 2020 มีการเติบโตของ ransomware เพิ่มจากปีก่อนหน้าถึง 62% และหากมองถึงในอเมริกาเหนือทวีปเดียว การเติบโตของ ransomware สูงขึ้นถึง 158% การจู่โจมในปัจจุบันไม่ได้พุ่งเป้าไปที่บริษัทขนาดใหญ่อย่างในอดีต แต่ทุกประเภทและขนาดของบริษัทปัจจุบันได้กลายเป็นเป้าขององค์กรอาชญากรรมพวกนี้ไปแล้ว ถึงขนาดว่ามีการสั่งปิดระบบท่อส่งน้ำมัน และ ทำให้เกิดการแห่งกันเข้าคิวกันซื้อขนาดใหญ่ ทำให้เกิดความวุ่นวายทางสังคม
มาตรฐานการสำรองข้อมูลแบบ 3-2-1 ที่ถูกใช้อย่างกว้างขวางในปัจจุบัน ได้ถูกพูดถึงและมีการใช้งานครั้งแรกเมื่อประมาณ 20 กว่าปีที่แล้ว มันเป็นเหมือนไกด์ไลน์ คำแนะนำ แต่ว่ามันจะเหมาะสมสำหรับปี 2022 และในอนาคตหรือไม่ มันก็เป็นคำถามที่ดี แต่ว่าก่อนที่เราจะสามารถตอบคำถามเหล่านั้นได้ เรามาลองศึกษาความเป็นมาของการใช้งาน 3-2-1 และประวัติของมันก่อนว่าแต่ละตัวเลขนั้นมีความหมายอย่างไรที่แท้จริง
กฏการสำรองข้อมูล 3-2-1 นั้นถูกใช้งานครั้งแรกเมื่อปี 2005 โดยผู้ที่แนะนำนั้นคือ Peter Krogh โดยมีการกล่าวไว้ในหนังสือ The DAM Book : Digital Asset Management for Photography โดยเขานั้นมีความกังวลเกี่ยวกับการเก็บรักษาข้อมูล ซึ่งหมายถึง digital images ในเวลานั้น และ 3-2-1 ที่เขาพูดถึงนั้นมันก็ออกจะดูดีมากในเวลานั้น ทำให้ต่อมามีการใช้งานอย่างกว้างขวาง โดยผู้ที่เกี่ยวข้องกับการสำรองข้อมูล เพื่อที่จะรักษาข้อมูลที่มีค่าของบริษัท แต่โลกปัจจุบันนั้นต่างกับปี 2005 อย่างสิ้นเชิง
ตัวอย่างเช่น ในปี 2005 นั้นข้อมูลส่วนใหญ่ของบริษัทนั้นก็จะอยู่ในบริษัท หรือเรียกว่า on-premise แทบจะทั้งหมดก็ว่าได้ ในขณะนั้น Amazon AWS ก็เริ่มมีการใช้งานเพียงแค่ 3 ปี ซึ่งการใช้งานในช่วงแรกๆ ส่วนใหญ่ก็จะเป็นการทดสอบ เช่น dev/test ไม่ได้ใช้งานเพื่อ production ด้วยซ้ำไป ขณะที่ในปัจจุบันนั้นธุรกิจ ประมาณ 92% นั้นมี production บางส่วนอยู่บน Cloud เรียบร้อยแล้ว และมีถึง 38% ที่ทุกอย่างอยู่บน cloud หมดเลย ในขณะนั้น Software-as-a-Service นั้นอยู่ยังอยู่ในช่วงเริ่มต้น ยกตัวอย่างเช่น Salesforce ในขณะนั้นมีลูกค้าเพียงแค่ 25,000 ราย ในขณะที่ปัจจุบันมีมากกว่า 150,000 ราย โดยใน 150,000 รายนั้น เป็นบริษัทขนาด Fortune 500 ถึง 83% เลยทีเดียว และ ปัจจุบันธุรกิจ ถึง ¼ มีการใช้บงาน SaaS เป็นส่วนใหญ่ด้วย
ในยุคนั้นการสำรองข้อมูลนั้นอยู่ใน tape ซะเป็นส่วนใหญ่ โดยอาจจะทำ อาทิตย์ล่ะครั้งแต่การสำรองข้อมูลแบบรายวันจะเป็นการสำรองลง disk ความปลอดภัยของข้อมูลก็เป็นเรื่องที่ต่างกับปัจจุบันมาก โดย ransomware นั้นเริ่มมีในปี 1989 ก็จริง แต่ในปี 2005 ก็ยังไม่ได้เป็นปัญหาใหญ่สำหรับธุรกิจมากนัก และแน่นอนว่า ไม่ได้มีความซับซ้อนอย่างเช่นปัจจุบันนี้
หากองค์กรของท่านต้องการใช้งานกฏการสำรองข้อมูลแบบ 3-2-1 จะต้องทำอย่างไร ?
อย่างแรกเลยท่านจะต้องมีข้อมูล 3 ชุด โดยข้อมูลชุดแรกนั้นเป็นข้อมูลใน production แน่นอนว่าการมีข้อมูลสำรอง 2 ชุดนั้น จะช่วยจำกัดความเสียหายอย่างมากเมื่อระบบมีปัญหา
ต่อไปท่านจะต้องใช้ สื่อในการเก็บข้อมูล 2 แบบ และ สุดท้ายคือ ท่านจะต้องมีข้อมูล 1 ชุดที่อยู่ off-site หรือคนละที่กับ production site
อย่างไรก็ตามในยุคที่ ransomware นั้นเป็นเรื่องใกล้ตัวมาก คำว่า off-site นั้นนอกจากหมายถึงระยะทางที่จะต้องห่างกันแล้ว การสำรองข้อมูลนั้นจะต้องแยกกันด้วยในเชิงตรรกะ มันไม่ได้จำเป็นว่า มันจะต้องจำเป็นว่า แบ็คอัพอันนั้นจะต้องเก็บแบบ off-line แต่หมายถึงทำให้การเข้าถึงที่ไม่ได้รับอนุญาตนั้นทำไม่ได้หรือมีความซับซ้อน ทั้งนี้เพื่อป้องกัน ransomware เข้าไปเข้ารหัสตัวข้อมูลที่สำรองไว้นั่นเอง
มีผู้ผลิตซอฟต์แวร์บางรายได้แนะนำกฏใหม่ที่เรียกว่า 3-2-1-0 หรือ 0 จะหมายถึง zero errors ซึ่งหมายถึงว่าข้อมูลที่สำรองนั้นจะต้องถูกดึงมาทดสอบได้อย่างสม่ำเสมอเพื่อให้แน่ใจว่า เมื่อถึงเวลาที่เราต้องการใช้งานข้อมูลนั้น ข้อมูลจะยังอยู่กับเรา ซึ่งเรื่องนี้เป็นเรื่องที่สำคัญมาก เพราะว่าบริษัท Veeam นั้นค้นพบว่า ข้อมูลที่สำรองไปนั้น 37% มีความผิดพลาดหรือความเสียหายซ่อนอยู่ด้วยหลายๆ เหตุผลด้วยกัน
3-2-1 หรือ 3-2-1-0 นั้นเป็นมาตรฐานการสำรองข้อมูลที่ดี แต่ในยุคปัจจุบัน ที่แบ็คอัพนั้นถูกเก็บใน cloud และปกตินั้น cloud ก็จะทำการเขียน data ซ้ำหลายๆ ครั้ง เช่นในระบบที่มีการสำรองกันเองเยอะๆ กฏดังกล่าวยังเป็นเรื่องที่จำเป็นอยู่หรือไม่ ?
เราจะหาคำตอบในบทถัดไป นอกจากนั้นเรายังจะพบกับข้อดี ข้อเสียของแต่ละสื่อในการสำรองข้อมูล การใช้งาน off-site และการนำกฏ 3-2-1 ไปใช้งานเพื่อสู่กับ ransomware ได้มีประสิทธิภาพที่สุด
เพราะว่ากฏ 3-2-1 นั้นมีความเกี่ยวข้องกับ cloud มันก็เลยกลายเป็นเรื่องที่คนทำงาน IT ทุกท่านจะต้องนำปประยุกต์เพื่อเชื่อมโยงความเกี่ยวข้องในปัจจุบันและอนาคตอันใกล้อย่างหลีกเลี่ยงไม่ได้
บทที่ 2 ความเสี่ยงของ 3-2-1 ramsomware, ภัยธรรมชาติ , การลบแบบทั้งใจและไม่ตั้งใจ และ อื่นๆ
อะไรจะเกิดขึ้นถ้าท่านเข้าถึงข้อมูลสำคัญต่อธุรกิจของท่านไม่ได้ ? จากการสำรวจของ Veeam จากองค์กรต่างๆ ทั่วโลกที่ตอบคำถาม จำนวนมากกว่า 3,000 องค์กร พบว่า ทุก ชม.ที่ระบบคอพพิวเตอร์ไม่สามารถเข้าได้ข้อมูลสำคัญทางธุรกิจได้นั้นจะทำให้มีความเสียหายถึง ชม.ละ 2.5 ล้านบาท และ ค่าเฉลี่ยของการ downtime นั้นจะมีประมาณ 79 นาที
เรามาลองคิดถึงภัยอะไรบ้างที่ทำให้เกิดผลกระทบดังกล่าวต่อธุรกิจ เช่น การเกิดไฟป่า การเกิด pandemic การเกิดพายุขนาดใหญ่ ภัยทางไซเบอร์ อาชญากรรมไซเบอร์ โดย Harward Business Review นั้นได้กว่าว่า ransomware เติบโตถึง 150% ในปี 2020 และจำนวนเงินที่ถูกจ่ายเป็นค่าไถ่นั้นก็เพิ่มขึ้น 300%
ความซับซ้อนของอาชญากรรมไซเบอร์ก็มีความซับซ้อนขึ้น เช่น Colonial Pipeline ท่อส่งน้ำมันทางภาคตะวันออกของอเมริกานั้น ถูกสั่งปิดด้วยการจู่โจมทางไซเบอร์ ทำให้การส่งน้ำมันทำได้เพียง 45% และเกิดการขาดแคลนน้ำมัน และ ทำให้คนแห่ไปเติม โดยกลุ่ม hacker ที่ชื่อว่า DarkSide ซึ่งเป็นตัวทำให้เกิดความเสีย นอกจากจะทำเองใช้เองแล้ว ปัจจุบัน ยังทำ ransomware-as-a-service ขายผู้อื่นด้วย
หากคุณคิดว่ามีเฉพาะองค์กรขนาดใหญ่เท่านั้นที่จะเป็นเป้าหมายของ ransomware ขอให้ท่านคิดใหม่ เพราะว่าปัจจุบันนี้ ทุกขนาดขององค์กรได้กลายเป็นเป้าไปเรียบร้อยแล้ว เพราะว่ายิ่งองค์กรขนาดเล็กและกลาง งบประมาณที่จะใช้ในการป้องกันหรือต่อสู้กับภัยทางไซเบอร์ก็จะยิ่งน้อยลงตามไปด้วย
ดังนั้นอาจจะกล่าวได้ว่าขั้นตอนแรกของการลดความเสียหายต่อภัยไซเบอร์ก็คือการต้องยอมรับก่อนว่า downtime นั้นอาจจะเกิดขึ้นได้ และที่สำคัญมันมันจะเกิดขึ้นเมื่อใดนั้นขึ้นอยู่กับเวลาจะช้าหรือเร็ว แต่มันจะเกิดขึ้น คุณจะต้องทำการเตรียมการรับมือกับผลกระทบดังกล่าวเพื่อให้น้อยที่สุดเท่าที่จะเป็นไปได้
ไม่ว่าธุรกิจที่ท่านทำอยู่นั้นเป็นปะเภทใด จะเป็นงานให้บริการ งานด้านกฏหมาย หรือ งานอื่นใดก็แล้วแต่ ลูกค้านั้นต้องการคุณเป็นที่พึ่ง ถ้าคุณไม่สามารถเข้าถึงข้อมูลหรือทรัพยากรใดๆ ที่จะช่วยเหนือลูกค้าได้ในขณะที่ลูกค้าต้องการ ท่านไม่แต่เพียงสูญเสียโอกาสทางธุรกิจไป แต่ชื่อเสียงของท่านนั้นจะได้รับผลกระทบไปด้วยโดยปริยาย นอกจากนั้นโอกาสที่ท่านจะได้รับใหม่ๆ ในอนาคตก็จะสูญเสียไปด้วย
ย้อนกลับไปถึงหลักการแบบ 3-2-1 ที่ท่านจะต้องมีการสำรองข้อมูลอย่างน้อย 3 ชุด บน สื่อ 2 แบบ และ มีการสำรองไว้ที่ off-site เมื่อท่านพบกับภัยที่ไม่คาดคิด ท่านก็เพียงแต่ดึงข้อมูลที่ท่านสำรอง ทำการย้อนเวลากลับไป ดึงข้อมูลขึ้นมาบน production เพื่อให้ระบบกลับมาเป็นปกติอีกครั้งหนึ่ง
ถึงแม้ว่ากฏ 3-2-1 นี้จะดีมากในการใช้เพื่อสำรองข้อมูล แต่ว่ามันไม่ได้พูดถึงความเร็วในการดึงข้อมูลขึ้นมา หรือ speed of recovery ซึ่งแน่นอนว่าท่านจะต้องจำไว้เสมอว่ายิ่งท่านใช้เวลานานในการดึง backup ขึ้นมา ความสูญเสียก็จะยิ่งเกิดขึ้นมากตามตัวนั่นเอง
คราวนี้เราก็มาดูถึงกฏของการลดความเสียหาย จากภัยทางไซเบอร์ และ ช่องโหว่ต่างๆ ที่อาจจะเกิดขึ้นได้
Ransomware
Ransomware นั้นเป็นซอฟต์แวร์ที่แฮกเกอร์นั้นใช้เพื่อป้องกันไม่ให้บริษัทหรืองค์กรใช้เข้าถึงข้อมูลของบริษัทหรือองค์กรที่เป็นเหยื่อได้ โดยหน้าที่ของซอฟต์แวร์หรือโปรแกรมชนิดนี้ จะทำการเข้ารหัสไฟล์ และ ทำการเปลี่ยนนามสกุของไฟล์ โดยการเพิ่มเป็นนามสกุลไฟล์ใดๆ ต่อท้าย (ขึ้นอยู่กับว่าตัว ransomware นั้นมาจากแฮกเกอร์กลุ่มไหน) เมื่อองค์กรไม่สามารถเข้าถึงข้อมูลได้แล้ว ผู้ที่อยู่เบื้องหลัง ransomware ก็จะทำการทิ้งโน๊ตไว้ในระบบ ซึ่งจะบอกว่า หากท่านต้องการเข้าถึงข้อมูลของท่าน จะต้องทำการจ่ายเงินค่าไถ่ เพื่อแลกกับ คีย์ในการถอดรหัสไฟล์ดังกล่าว และถ้าหากว่าคุณจัดการทั้งงานแบ็คอัพเองแล้ว และ มีการออกแบบระบบสำรองข้อมูลที่ไม่ถูกต้อง หลายต่อหลายครั้งเรรื่องน่าเศร้ามากๆ ก็จะเกิดขึ้น เช่น ransomware จะทำการเข้ารหัสแบ็คอัพไฟล์ไปด้วย
จากสถิติขององค์กรอิสระบางแห่งพบว่าในปี 2020 เพียงแค่ปีเดียวมีรายงานการเกิดransomware ถึง สามแสนครั้ง และ พบว่าพวกมันทำงานสำเร็จหรือทำให้องค์กรเสียหายได้มากถึง 90% เลยทีเดียว
หากระบบการสำรองข้อมูลขององค์กรท่าน และ DR ไม่ได้ออกแบบมาอย่างถูกต้อง ความเสียหายที่เกิดขึ้นนั้นเรียกว่าสาหัสมาก และ ในที่สุดเมื่อองค์กรไม่สามารถแก้ปัญหาได้ ก็มันจะเลือกที่จะจ่ายค่าไถ่ให้กับแฮกเกอร์ แต่เรื่องน่าเศร้าต่อมาก็อาจจะเกิดขึ้น นั้นหมายถึงท่านเสียเงินไปแล้ว แต่ไม่ได้คีย์ในการถอดรหัสกลับมา หรือ บางครั้งถึงแม้ว่าจะได้คีย์กลับมา แต่การถอดรหัส ใช้เวลานานมาเป็นอาทิตย์ และในระหว่างนั้นท่านก็ไม่สามารถทำงานได้ตามปกติ