คลาวด์ภาครัฐ มาตรฐานสากลBackup ป้องกัน Ransomware สำหรับหน่วยงานราชการ
Ransomware คือมัลแวร์เรียกค่าไถ่ที่เข้ารหัสไฟล์ของหน่วยงานแล้วบีบให้จ่ายเงินแลกกับข้อมูล แนวป้องกันสุดท้ายที่ได้ผลจริงคือ backup แบบ Immutable และ Air-gapped ที่ผู้โจมตีลบหรือเข้ารหัสตามไม่ได้ พร้อมแผนกู้คืนที่ทดสอบแล้วว่าใช้ได้จริง
- ISO/IEC 27001
- ISO 22301
- ISO 20000-1
- CSA-STAR
Data Center ในไทย มาตรฐาน TIA-942 Tier 3+ ข้อมูลอยู่ในประเทศไทย
Ransomware คืออะไร ทำไมหน่วยงานรัฐต้องเข้าใจให้ลึก
Ransomware คือมัลแวร์เรียกค่าไถ่ที่เข้ารหัสไฟล์ในเครื่องและเซิร์ฟเวอร์จนเปิดใช้งานไม่ได้ จากนั้นผู้โจมตีจะเรียกเงินแลกกับกุญแจถอดรหัส หากไม่จ่าย ข้อมูลก็ใช้งานต่อไม่ได้
Ransomware ยุคใหม่ยังใช้กลยุทธ์กรรโชกซ้อน คือคัดลอกข้อมูลออกไปก่อนเข้ารหัส แล้วขู่เปิดเผยต่อสาธารณะหากไม่ยอมจ่าย หน่วยงานที่ถือข้อมูลส่วนบุคคลของประชาชนจึงเสี่ยงทั้งบริการหยุดชะงักและข้อมูลรั่วไหลพร้อมกัน
เรื่องนี้จึงเป็นความเสี่ยงระดับองค์กร ไม่ใช่แค่งานฝ่ายไอที และเพราะไม่มีระบบป้องกันใดกันได้สมบูรณ์แบบ สำเนาข้อมูลที่ผู้โจมตีทำลายไม่ได้จึงเป็นหลักประกันสุดท้ายที่ต้องมี
Ransomware ทำงานอย่างไร: เส้นทางโจมตี 4 ขั้นตอน
การโจมตีส่วนใหญ่ไม่ได้เกิดทันทีที่มัลแวร์เข้าระบบ แต่ดำเนินเป็นขั้นตอนอย่างเงียบ ๆ บางกรณีกินเวลาหลายสัปดาห์ก่อนหน้าจอเรียกค่าไถ่จะปรากฏ
- ขั้นที่ 1 เจาะเข้าระบบ: ผ่านอีเมล phishing รหัสผ่านที่รั่วไหล หรือช่องโหว่ของซอฟต์แวร์และ VPN ที่ไม่ได้อัปเดต
- ขั้นที่ 2 ฝังตัวและขยายสิทธิ์: ซ่อนตัว ยกระดับสิทธิ์จนได้บัญชีผู้ดูแลระบบ แล้วกระจายไปยังเครื่องอื่นในเครือข่าย
- ขั้นที่ 3 ทำลายเส้นทางกู้คืน: ค้นหาแล้วลบหรือเข้ารหัสไฟล์สำรองทุกชุดที่เชื่อมต่อถึงได้ ทั้งบนเซิร์ฟเวอร์ NAS และ external drive ที่เสียบค้างไว้
- ขั้นที่ 4 เข้ารหัสและเรียกค่าไถ่: เมื่อเหยื่อกู้คืนเองไม่ได้แล้ว จึงเข้ารหัสไฟล์ทั้งระบบพร้อมข้อความเรียกค่าไถ่
ขั้นที่ 3 คือเหตุผลที่ backup ซึ่งเชื่อมต่อถึงได้จากระบบหลักไม่เพียงพอ และเป็นที่มาของ Immutable และ Air-gapped Backup

ทำไมหน่วยงานราชการและโรงพยาบาลจึงตกเป็นเป้า
เหตุผลแรกคือมูลค่าของข้อมูล หน่วยงานรัฐถือข้อมูลประชาชนจำนวนมาก ทั้งข้อมูลทะเบียน ข้อมูลสุขภาพ และเอกสารราชการ ซึ่งใช้ขู่กรรโชกได้ผลกว่าข้อมูลทั่วไป
เหตุผลที่สองคือบริการที่หยุดไม่ได้ โรงพยาบาลต้องเข้าถึงเวชระเบียนเพื่อรักษาผู้ป่วย หน่วยงานท้องถิ่นต้องออกเอกสารให้ประชาชนทุกวัน แรงกดดันให้ระบบกลับมาเร็วทำให้ผู้โจมตีเชื่อว่าเหยื่อกลุ่มนี้มีแนวโน้มยอมเจรจา
เหตุผลที่สามคือระบบเก่าและทรัพยากรจำกัด หลายหน่วยงานใช้ระบบรุ่นเก่าที่ปิดช่องโหว่ได้ยากและมีบุคลากรด้านความปลอดภัยไม่พอ ผู้ให้บริการที่ดูแลระบบสำรองข้อมูลให้ต่อเนื่องจึงช่วยปิดจุดอ่อนนี้โดยไม่เพิ่มภาระทีมภายใน
หลัก 3-2-1 Backup คืออะไร
หลัก 3-2-1 backup คือกติกาพื้นฐานของการสำรองข้อมูลที่ยอมรับกันทั่วโลก ตัวเลขทั้งสามคือเงื่อนไขขั้นต่ำที่ควรทำให้ครบ
- 3 คือเก็บข้อมูลอย่างน้อย 3 ชุด ได้แก่ข้อมูลจริง 1 ชุด และสำเนาสำรองอีก 2 ชุด เพื่อไม่ให้ความเสียหายจุดเดียวทำลายทุกอย่าง
- 2 คือเก็บสำเนาบนสื่ออย่างน้อย 2 ประเภท เช่น ดิสก์บนเซิร์ฟเวอร์ชุดหนึ่ง และคลาวด์หรือเทปอีกชุดหนึ่ง เพราะสื่อแต่ละแบบเสียหายไม่พร้อมกัน
- 1 คือมีสำเนาอย่างน้อย 1 ชุดอยู่นอกสถานที่ เพื่อรอดจากเหตุที่กระทบทั้งอาคาร เช่น ไฟไหม้หรือน้ำท่วม
สำหรับหน่วยงานราชการ สำเนานอกสถานที่ควรอยู่ใน Data Center ภายในประเทศ ให้สอดคล้องหลักเกณฑ์การจัดชั้นข้อมูลของ DGA

ยกระดับเป็น 3-2-1-1-0 มาตรฐานยุค Ransomware
หลัก 3-2-1 เกิดก่อนยุคที่ ransomware ไล่ทำลายไฟล์สำรองโดยตรง ผู้เชี่ยวชาญจึงแนะนำเวอร์ชันเข้มขึ้นคือ 3-2-1-1-0 ซึ่งเพิ่มเงื่อนไขอีกสองข้อ
- 1 ตัวที่สี่ คือมีสำเนาอย่างน้อย 1 ชุดเป็น Immutable หรือ Air-gapped ต่อให้ผู้โจมตียึดบัญชีผู้ดูแลระบบได้ ก็ลบหรือเข้ารหัสสำเนาชุดนี้ไม่ได้
- 0 คือศูนย์ข้อผิดพลาดจากการตรวจสอบ ไฟล์สำรองทุกชุดต้องผ่านการตรวจความถูกต้องและทดสอบกู้คืนได้จริง ไม่ใช่แค่ขึ้นสถานะสำรองสำเร็จ
THAI DATA ใช้แนว 3-2-1-1-0 เป็นค่าเริ่มต้นในการออกแบบระบบสำรองข้อมูลภาครัฐ
Immutable Backup คืออะไร
Immutable backup คือสำเนาข้อมูลที่ถูกล็อกแบบเขียนครั้งเดียวแล้วห้ามแก้ไข (Write Once, Read Many หรือ WORM) ตลอดช่วงเวลาที่กำหนดไว้ล่วงหน้า ระหว่างนั้นไม่มีใครแก้ไข เข้ารหัสทับ หรือลบสำเนาได้ แม้แต่ผู้ดูแลระบบเอง
จุดแข็งคือรับมือกรณีผู้โจมตียึดบัญชีผู้ดูแลระบบได้สำเร็จ ในระบบ backup ธรรมดา สิทธิ์ระดับนี้สั่งลบไฟล์สำรองได้ทั้งหมด แต่สำเนา immutable จะปฏิเสธคำสั่งลบที่ระดับสตอเรจ เส้นทางกู้คืนจึงยังอยู่ครบ และเพราะสำเนายังออนไลน์อยู่ จึงเริ่มกู้คืนได้ทันทีโดยไม่ต้องรอขนย้ายสื่อ
Air Gap Backup คืออะไร ต่างจาก Immutable อย่างไร
Air gap backup คือการเก็บสำเนาข้อมูลแยกขาดจากเครือข่ายหลัก จะแยกทางกายภาพ เช่น เทปที่ถอดออกจากระบบ หรือแยกเชิงตรรกะ เช่น สตอเรจที่เปิดรับการเชื่อมต่อเฉพาะช่วงสำรองข้อมูลก็ได้
ความต่างอยู่ที่วิธีป้องกัน immutable ยอมให้สำเนาออนไลน์แต่ล็อกไม่ให้แก้ไข ส่วน air gap ตัดเส้นทางเข้าถึงไปเลย มัลแวร์ในเครือข่ายจึงไปไม่ถึงสำเนาชุดนี้ตั้งแต่ต้น แลกกับเวลากู้คืนที่นานกว่าเชิงเปรียบเทียบ
ในทางปฏิบัติทั้งสองแบบไม่ใช่คู่แข่งกัน หน่วยงานที่ออกแบบดีจะใช้ทั้งคู่ คือสำเนา immutable ไว้กู้คืนเร็ว และสำเนา air-gapped เป็นหลักประกันชั้นสุดท้ายของข้อมูลสำคัญที่สุด
เปรียบเทียบ Backup ธรรมดา vs Immutable vs Air-gapped
ตารางนี้สรุปความต่างของทั้งสามแบบในมุมที่หน่วยงานถามบ่อย เพื่อช่วยตัดสินใจว่าข้อมูลแต่ละกลุ่มควรได้รับการปกป้องระดับไหน
| หัวข้อเปรียบเทียบ | Backup ธรรมดา | Immutable Backup | Air-gapped Backup |
|---|---|---|---|
| Ransomware ลบหรือเข้ารหัส backup ได้ไหม | ได้ หากเชื่อมต่อถึงและยึดสิทธิ์ผู้ดูแลระบบได้ | ไม่ได้ตลอดระยะเวลาที่ล็อกไว้ แม้มีสิทธิ์ผู้ดูแลระบบ | ไม่ได้ เพราะสำเนาแยกขาดจากเครือข่ายหลัก |
| ความเร็วในการกู้คืน (เชิงเปรียบเทียบ) | เร็ว แต่เสี่ยงว่าไฟล์สำรองถูกทำลายไปก่อนแล้ว | เร็วใกล้เคียง backup ธรรมดา เพราะสำเนายังออนไลน์ | ช้ากว่า เพราะต้องนำสื่อหรือการเชื่อมต่อกลับมาก่อน |
| เหมาะกับข้อมูลแบบไหน | ไฟล์งานทั่วไปที่กู้คืนรายไฟล์บ่อยและยอมรับความเสี่ยงได้ | ระบบงานหลักที่ต้องกู้คืนเร็วและต้องรอดจาก ransomware | ข้อมูลสำคัญสูงสุดหรือเก็บระยะยาว ยอมแลกความเร็วกับความปลอดภัย |
แนวทางที่แนะนำคือใช้ร่วมกันเป็นชั้น ๆ ตามหลัก 3-2-1-1-0 ไม่ใช่เลือกเพียงอย่างใดอย่างหนึ่ง
PDPA กับหน้าที่ป้องกันข้อมูลส่วนบุคคลรั่วไหล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กำหนดให้องค์กรมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง หรือเปิดเผยข้อมูลโดยมิชอบ การถูก ransomware ขโมยข้อมูลจึงไม่ใช่แค่ปัญหาไอที แต่เป็นเหตุข้อมูลรั่วไหลที่หน่วยงานมีหน้าที่ต้องจัดการตามกฎหมาย
หน่วยงานที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญยังต้องคำนึงถึง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และแนวทางของ สกมช. ที่เน้นความพร้อมรับมือและฟื้นฟูระบบ ระบบสำรองข้อมูลที่ดีจึงเป็นทั้งมาตรการตาม PDPA และความพร้อมด้านความต่อเนื่องของบริการ
ในระดับปฏิบัติ การสำรองข้อมูลส่วนบุคคลควรเข้ารหัสทั้งขณะจัดเก็บและขณะส่ง ควบคุมสิทธิ์การเข้าถึง เก็บบันทึกการใช้งาน และกำหนดระยะเวลาเก็บรักษาตามนโยบายของหน่วยงาน ซึ่งเป็นแนวที่ THAI DATA ใช้ทุกโครงการ
แผนกู้คืนที่ดี: ทดสอบ Restore สม่ำเสมอ ไม่ใช่แค่สำรองทิ้งไว้
ไฟล์สำรองที่ไม่เคยถูกทดสอบคือความหวัง ไม่ใช่แผน หลายองค์กรมาพบตอนเกิดเหตุจริงว่าไฟล์สำรองเสียหาย สำรองไม่ครบ หรือกู้คืนช้ากว่าที่งานบริการรับได้ แผนกู้คืนข้อมูล ransomware ที่ดีจึงต้องพิสูจน์ตัวเองล่วงหน้า
จุดเริ่มต้นคือกำหนดค่าเป้าหมายร่วมกันสองตัว ได้แก่ RPO (Recovery Point Objective) ยอมให้ข้อมูลล่าสุดหายได้มากแค่ไหน และ RTO (Recovery Time Objective) ระบบต้องกลับมาใช้ได้ภายในเวลาเท่าไร ค่าทั้งสองกำหนดความถี่การสำรองและวิธีกู้คืนที่ต้องเลือก
จากนั้นทดสอบ restore ตามรอบที่ตกลงกัน ทั้งกู้คืนรายไฟล์และซ้อมกู้คืนทั้งระบบ พร้อมรายงานผลให้ผู้บริหารและผู้ตรวจสอบ คำว่ากู้คืนได้จะเป็นข้อเท็จจริงที่ตรวจสอบได้ ไม่ใช่คำสัญญา
บริการ Managed Backup ของ THAI DATA ทำอะไรให้บ้าง
THAI DATA CLOUD ก่อตั้งปี 2016 ให้บริการ Managed Backup สำหรับหน่วยงานภาครัฐโดยทีมวิศวกรคนไทย บน Data Center มาตรฐาน TIA-942 Tier 3+ สองไซต์ในประเทศไทย คือกรุงเทพฯ และต่างจังหวัด พร้อมการรับรอง ISO/IEC 27001, ISO 22301, ISO 20000-1 และ CSA-STAR
บริการนี้เสริมระบบที่หน่วยงานใช้อยู่ ทั้งระบบในห้องเซิร์ฟเวอร์ของตนเองและคลาวด์กลางภาครัฐ (GDCC) โดยเพิ่มชั้นสำเนาที่แก้ไขไม่ได้ไว้นอกระบบหลัก เราเป็นตัวเสริม ไม่ใช่ผู้มาแทน
- ออกแบบสถาปัตยกรรมสำรองข้อมูลตามหลัก 3-2-1-1-0 ให้เหมาะกับระบบงานและงบประมาณ
- ตั้งค่า Immutable Backup และสำเนา Air-gapped ข้ามไซต์ ให้มีเส้นทางกู้คืนที่ ransomware แตะไม่ถึง
- เข้ารหัสข้อมูลขณะส่งและจัดเก็บ ควบคุมสิทธิ์การเข้าถึง และเก็บ log ตามแนว PDPA
- เฝ้าระวังงานสำรองข้อมูลทุกวัน แจ้งเตือนและแก้ไขเมื่องานล้มเหลว
- ทดสอบ restore ตามรอบที่ตกลงกัน พร้อมรายงานผลสำหรับผู้บริหารและผู้ตรวจสอบ
- ทีมคนไทยพร้อมช่วยเหลือเมื่อเกิดเหตุ ประสานงานเป็นภาษาไทยกับทุกฝ่าย
ปรึกษาการออกแบบระบบสำรองข้อมูลหรือขอใบเสนอราคาได้ฟรี โทร 061-989-8891, LINE @thaidatacloud หรืออีเมล [email protected]
คำถามที่พบบ่อย
Ransomware คืออะไร
มัลแวร์เรียกค่าไถ่ที่เข้ารหัสไฟล์จนใช้งานไม่ได้ แล้วเรียกเงินแลกกับกุญแจถอดรหัส ปัจจุบันมักขโมยข้อมูลไปขู่เปิดเผยเพิ่มอีกชั้น จึงต้องมีทั้งระบบป้องกันและ backup ที่ผู้โจมตีทำลายไม่ได้
Immutable Backup คืออะไร
สำเนาข้อมูลที่ถูกล็อกไม่ให้แก้ไขหรือลบตลอดระยะเวลาที่กำหนด แม้ผู้ดูแลระบบหรือผู้โจมตีที่ยึดสิทธิ์สูงสุดได้ก็เปลี่ยนแปลงไม่ได้ จึงกู้คืนข้อมูลได้เสมอหลังถูกโจมตี
Air gap backup คืออะไร
การเก็บสำเนาข้อมูลแยกขาดจากเครือข่ายหลัก ทั้งแบบถอดสื่อออกจากระบบ หรือเปิดการเชื่อมต่อเฉพาะช่วงสำรองข้อมูลเท่านั้น มัลแวร์ที่ระบาดในเครือข่ายจึงเข้าไม่ถึงสำเนาชุดนี้
Immutable กับ Air-gapped ควรเลือกแบบไหน
แนะนำให้ใช้ร่วมกัน สำเนา immutable ไว้กู้คืนเร็วสำหรับระบบงานหลัก และสำเนา air-gapped เป็นหลักประกันชั้นสุดท้ายของข้อมูลสำคัญที่สุด
หลัก 3-2-1 backup คืออะไร
เก็บข้อมูลอย่างน้อย 3 ชุด บนสื่อ 2 ประเภทที่ต่างกัน และมี 1 ชุดอยู่นอกสถานที่ เวอร์ชันเข้มขึ้นคือ 3-2-1-1-0 ที่เพิ่มสำเนาแก้ไขไม่ได้อีก 1 ชุด และการทดสอบกู้คืนที่ต้องไม่มีข้อผิดพลาด
ถ้าโดน Ransomware แล้ว ควรจ่ายค่าไถ่ไหม
ไม่แนะนำ เพราะไม่มีหลักประกันว่าจะได้กุญแจถอดรหัสครบ หรือข้อมูลที่ถูกขโมยจะไม่ถูกเปิดเผยอยู่ดี วิธีที่มั่นคงกว่าคือกู้คืนจากสำเนา immutable หรือ air-gapped ที่เตรียมไว้ล่วงหน้า
กู้คืนข้อมูลหลังโดน Ransomware ใช้เวลานานไหม
ขึ้นอยู่กับปริมาณข้อมูลและรูปแบบสำเนาที่มี สำเนา immutable ที่ยังออนไลน์เริ่มกู้คืนได้เร็วกว่าเชิงเปรียบเทียบ สิ่งสำคัญคือกำหนด RTO ล่วงหน้าและซ้อมจนทำได้ตามเวลานั้นจริง
ควรทดสอบ Restore บ่อยแค่ไหน
ควรทดสอบตามรอบที่กำหนดไว้ในแผนอย่างสม่ำเสมอ และทดสอบเพิ่มเมื่อระบบงานสำคัญเปลี่ยนแปลง THAI DATA ทดสอบและส่งรายงานผลให้หน่วยงานเก็บเป็นหลักฐานการตรวจสอบ
ข้อมูลสำรองเก็บอยู่ในประเทศไทยหรือไม่
อยู่ในประเทศไทยทั้งหมด จัดเก็บใน Data Center มาตรฐาน TIA-942 Tier 3+ ของ THAI DATA สองไซต์ คือกรุงเทพฯ และต่างจังหวัด
เริ่มใช้บริการ Managed Backup ต้องทำอย่างไร
ติดต่อทีมงานเพื่อประเมินระบบและปริมาณข้อมูล จากนั้นเราออกแบบแผนพร้อมใบเสนอราคาให้ โทร 061-989-8891, LINE @thaidatacloud หรืออีเมล [email protected]
ขอใบเสนอราคา / ปรึกษาผู้เชี่ยวชาญคลาวด์ภาครัฐฟรี
กรอกข้อมูลสั้น ๆ ทีมงานติดต่อกลับภายใน 1 วันทำการ
- 061-989-8891
- LINE @thaidatacloud
- ข้อมูลของคุณถูกเก็บเป็นความลับ และใช้เพื่อการติดต่อกลับเท่านั้น
