คลาวด์ภาครัฐ มาตรฐานสากลBackup ป้องกัน Ransomware สำหรับหน่วยงานราชการ

Ransomware คือมัลแวร์เรียกค่าไถ่ที่เข้ารหัสไฟล์ของหน่วยงานแล้วบีบให้จ่ายเงินแลกกับข้อมูล แนวป้องกันสุดท้ายที่ได้ผลจริงคือ backup แบบ Immutable และ Air-gapped ที่ผู้โจมตีลบหรือเข้ารหัสตามไม่ได้ พร้อมแผนกู้คืนที่ทดสอบแล้วว่าใช้ได้จริง

  • ISO/IEC 27001
  • ISO 22301
  • ISO 20000-1
  • CSA-STAR

Data Center ในไทย มาตรฐาน TIA-942 Tier 3+ ข้อมูลอยู่ในประเทศไทย

Ransomware คืออะไร ทำไมหน่วยงานรัฐต้องเข้าใจให้ลึก

Ransomware คือมัลแวร์เรียกค่าไถ่ที่เข้ารหัสไฟล์ในเครื่องและเซิร์ฟเวอร์จนเปิดใช้งานไม่ได้ จากนั้นผู้โจมตีจะเรียกเงินแลกกับกุญแจถอดรหัส หากไม่จ่าย ข้อมูลก็ใช้งานต่อไม่ได้

Ransomware ยุคใหม่ยังใช้กลยุทธ์กรรโชกซ้อน คือคัดลอกข้อมูลออกไปก่อนเข้ารหัส แล้วขู่เปิดเผยต่อสาธารณะหากไม่ยอมจ่าย หน่วยงานที่ถือข้อมูลส่วนบุคคลของประชาชนจึงเสี่ยงทั้งบริการหยุดชะงักและข้อมูลรั่วไหลพร้อมกัน

เรื่องนี้จึงเป็นความเสี่ยงระดับองค์กร ไม่ใช่แค่งานฝ่ายไอที และเพราะไม่มีระบบป้องกันใดกันได้สมบูรณ์แบบ สำเนาข้อมูลที่ผู้โจมตีทำลายไม่ได้จึงเป็นหลักประกันสุดท้ายที่ต้องมี

Ransomware ทำงานอย่างไร: เส้นทางโจมตี 4 ขั้นตอน

การโจมตีส่วนใหญ่ไม่ได้เกิดทันทีที่มัลแวร์เข้าระบบ แต่ดำเนินเป็นขั้นตอนอย่างเงียบ ๆ บางกรณีกินเวลาหลายสัปดาห์ก่อนหน้าจอเรียกค่าไถ่จะปรากฏ

  • ขั้นที่ 1 เจาะเข้าระบบ: ผ่านอีเมล phishing รหัสผ่านที่รั่วไหล หรือช่องโหว่ของซอฟต์แวร์และ VPN ที่ไม่ได้อัปเดต
  • ขั้นที่ 2 ฝังตัวและขยายสิทธิ์: ซ่อนตัว ยกระดับสิทธิ์จนได้บัญชีผู้ดูแลระบบ แล้วกระจายไปยังเครื่องอื่นในเครือข่าย
  • ขั้นที่ 3 ทำลายเส้นทางกู้คืน: ค้นหาแล้วลบหรือเข้ารหัสไฟล์สำรองทุกชุดที่เชื่อมต่อถึงได้ ทั้งบนเซิร์ฟเวอร์ NAS และ external drive ที่เสียบค้างไว้
  • ขั้นที่ 4 เข้ารหัสและเรียกค่าไถ่: เมื่อเหยื่อกู้คืนเองไม่ได้แล้ว จึงเข้ารหัสไฟล์ทั้งระบบพร้อมข้อความเรียกค่าไถ่

ขั้นที่ 3 คือเหตุผลที่ backup ซึ่งเชื่อมต่อถึงได้จากระบบหลักไม่เพียงพอ และเป็นที่มาของ Immutable และ Air-gapped Backup

เงาบุคคลหน้าจอโค้ดหลายจอในห้องมืด สื่อถึงการโจมตี ransomware ที่ต้องเตรียมระบบกู้คืนข้อมูลไว้ล่วงหน้า

ทำไมหน่วยงานราชการและโรงพยาบาลจึงตกเป็นเป้า

เหตุผลแรกคือมูลค่าของข้อมูล หน่วยงานรัฐถือข้อมูลประชาชนจำนวนมาก ทั้งข้อมูลทะเบียน ข้อมูลสุขภาพ และเอกสารราชการ ซึ่งใช้ขู่กรรโชกได้ผลกว่าข้อมูลทั่วไป

เหตุผลที่สองคือบริการที่หยุดไม่ได้ โรงพยาบาลต้องเข้าถึงเวชระเบียนเพื่อรักษาผู้ป่วย หน่วยงานท้องถิ่นต้องออกเอกสารให้ประชาชนทุกวัน แรงกดดันให้ระบบกลับมาเร็วทำให้ผู้โจมตีเชื่อว่าเหยื่อกลุ่มนี้มีแนวโน้มยอมเจรจา

เหตุผลที่สามคือระบบเก่าและทรัพยากรจำกัด หลายหน่วยงานใช้ระบบรุ่นเก่าที่ปิดช่องโหว่ได้ยากและมีบุคลากรด้านความปลอดภัยไม่พอ ผู้ให้บริการที่ดูแลระบบสำรองข้อมูลให้ต่อเนื่องจึงช่วยปิดจุดอ่อนนี้โดยไม่เพิ่มภาระทีมภายใน

หลัก 3-2-1 Backup คืออะไร

หลัก 3-2-1 backup คือกติกาพื้นฐานของการสำรองข้อมูลที่ยอมรับกันทั่วโลก ตัวเลขทั้งสามคือเงื่อนไขขั้นต่ำที่ควรทำให้ครบ

  • 3 คือเก็บข้อมูลอย่างน้อย 3 ชุด ได้แก่ข้อมูลจริง 1 ชุด และสำเนาสำรองอีก 2 ชุด เพื่อไม่ให้ความเสียหายจุดเดียวทำลายทุกอย่าง
  • 2 คือเก็บสำเนาบนสื่ออย่างน้อย 2 ประเภท เช่น ดิสก์บนเซิร์ฟเวอร์ชุดหนึ่ง และคลาวด์หรือเทปอีกชุดหนึ่ง เพราะสื่อแต่ละแบบเสียหายไม่พร้อมกัน
  • 1 คือมีสำเนาอย่างน้อย 1 ชุดอยู่นอกสถานที่ เพื่อรอดจากเหตุที่กระทบทั้งอาคาร เช่น ไฟไหม้หรือน้ำท่วม

สำหรับหน่วยงานราชการ สำเนานอกสถานที่ควรอยู่ใน Data Center ภายในประเทศ ให้สอดคล้องหลักเกณฑ์การจัดชั้นข้อมูลของ DGA

ฮาร์ดดิสก์เซิร์ฟเวอร์เปิดฝาให้เห็นจานดิสก์ สื่อจัดเก็บสำหรับสำรองข้อมูลหน่วยงานราชการตามหลัก 3-2-1 backup

ยกระดับเป็น 3-2-1-1-0 มาตรฐานยุค Ransomware

หลัก 3-2-1 เกิดก่อนยุคที่ ransomware ไล่ทำลายไฟล์สำรองโดยตรง ผู้เชี่ยวชาญจึงแนะนำเวอร์ชันเข้มขึ้นคือ 3-2-1-1-0 ซึ่งเพิ่มเงื่อนไขอีกสองข้อ

  • 1 ตัวที่สี่ คือมีสำเนาอย่างน้อย 1 ชุดเป็น Immutable หรือ Air-gapped ต่อให้ผู้โจมตียึดบัญชีผู้ดูแลระบบได้ ก็ลบหรือเข้ารหัสสำเนาชุดนี้ไม่ได้
  • 0 คือศูนย์ข้อผิดพลาดจากการตรวจสอบ ไฟล์สำรองทุกชุดต้องผ่านการตรวจความถูกต้องและทดสอบกู้คืนได้จริง ไม่ใช่แค่ขึ้นสถานะสำรองสำเร็จ

THAI DATA ใช้แนว 3-2-1-1-0 เป็นค่าเริ่มต้นในการออกแบบระบบสำรองข้อมูลภาครัฐ

Immutable Backup คืออะไร

Immutable backup คือสำเนาข้อมูลที่ถูกล็อกแบบเขียนครั้งเดียวแล้วห้ามแก้ไข (Write Once, Read Many หรือ WORM) ตลอดช่วงเวลาที่กำหนดไว้ล่วงหน้า ระหว่างนั้นไม่มีใครแก้ไข เข้ารหัสทับ หรือลบสำเนาได้ แม้แต่ผู้ดูแลระบบเอง

จุดแข็งคือรับมือกรณีผู้โจมตียึดบัญชีผู้ดูแลระบบได้สำเร็จ ในระบบ backup ธรรมดา สิทธิ์ระดับนี้สั่งลบไฟล์สำรองได้ทั้งหมด แต่สำเนา immutable จะปฏิเสธคำสั่งลบที่ระดับสตอเรจ เส้นทางกู้คืนจึงยังอยู่ครบ และเพราะสำเนายังออนไลน์อยู่ จึงเริ่มกู้คืนได้ทันทีโดยไม่ต้องรอขนย้ายสื่อ

Air Gap Backup คืออะไร ต่างจาก Immutable อย่างไร

Air gap backup คือการเก็บสำเนาข้อมูลแยกขาดจากเครือข่ายหลัก จะแยกทางกายภาพ เช่น เทปที่ถอดออกจากระบบ หรือแยกเชิงตรรกะ เช่น สตอเรจที่เปิดรับการเชื่อมต่อเฉพาะช่วงสำรองข้อมูลก็ได้

ความต่างอยู่ที่วิธีป้องกัน immutable ยอมให้สำเนาออนไลน์แต่ล็อกไม่ให้แก้ไข ส่วน air gap ตัดเส้นทางเข้าถึงไปเลย มัลแวร์ในเครือข่ายจึงไปไม่ถึงสำเนาชุดนี้ตั้งแต่ต้น แลกกับเวลากู้คืนที่นานกว่าเชิงเปรียบเทียบ

ในทางปฏิบัติทั้งสองแบบไม่ใช่คู่แข่งกัน หน่วยงานที่ออกแบบดีจะใช้ทั้งคู่ คือสำเนา immutable ไว้กู้คืนเร็ว และสำเนา air-gapped เป็นหลักประกันชั้นสุดท้ายของข้อมูลสำคัญที่สุด

เปรียบเทียบ Backup ธรรมดา vs Immutable vs Air-gapped

ตารางนี้สรุปความต่างของทั้งสามแบบในมุมที่หน่วยงานถามบ่อย เพื่อช่วยตัดสินใจว่าข้อมูลแต่ละกลุ่มควรได้รับการปกป้องระดับไหน

หัวข้อเปรียบเทียบBackup ธรรมดาImmutable BackupAir-gapped Backup
Ransomware ลบหรือเข้ารหัส backup ได้ไหมได้ หากเชื่อมต่อถึงและยึดสิทธิ์ผู้ดูแลระบบได้ไม่ได้ตลอดระยะเวลาที่ล็อกไว้ แม้มีสิทธิ์ผู้ดูแลระบบไม่ได้ เพราะสำเนาแยกขาดจากเครือข่ายหลัก
ความเร็วในการกู้คืน (เชิงเปรียบเทียบ)เร็ว แต่เสี่ยงว่าไฟล์สำรองถูกทำลายไปก่อนแล้วเร็วใกล้เคียง backup ธรรมดา เพราะสำเนายังออนไลน์ช้ากว่า เพราะต้องนำสื่อหรือการเชื่อมต่อกลับมาก่อน
เหมาะกับข้อมูลแบบไหนไฟล์งานทั่วไปที่กู้คืนรายไฟล์บ่อยและยอมรับความเสี่ยงได้ระบบงานหลักที่ต้องกู้คืนเร็วและต้องรอดจาก ransomwareข้อมูลสำคัญสูงสุดหรือเก็บระยะยาว ยอมแลกความเร็วกับความปลอดภัย

แนวทางที่แนะนำคือใช้ร่วมกันเป็นชั้น ๆ ตามหลัก 3-2-1-1-0 ไม่ใช่เลือกเพียงอย่างใดอย่างหนึ่ง

PDPA กับหน้าที่ป้องกันข้อมูลส่วนบุคคลรั่วไหล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กำหนดให้องค์กรมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง หรือเปิดเผยข้อมูลโดยมิชอบ การถูก ransomware ขโมยข้อมูลจึงไม่ใช่แค่ปัญหาไอที แต่เป็นเหตุข้อมูลรั่วไหลที่หน่วยงานมีหน้าที่ต้องจัดการตามกฎหมาย

หน่วยงานที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญยังต้องคำนึงถึง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และแนวทางของ สกมช. ที่เน้นความพร้อมรับมือและฟื้นฟูระบบ ระบบสำรองข้อมูลที่ดีจึงเป็นทั้งมาตรการตาม PDPA และความพร้อมด้านความต่อเนื่องของบริการ

ในระดับปฏิบัติ การสำรองข้อมูลส่วนบุคคลควรเข้ารหัสทั้งขณะจัดเก็บและขณะส่ง ควบคุมสิทธิ์การเข้าถึง เก็บบันทึกการใช้งาน และกำหนดระยะเวลาเก็บรักษาตามนโยบายของหน่วยงาน ซึ่งเป็นแนวที่ THAI DATA ใช้ทุกโครงการ

แผนกู้คืนที่ดี: ทดสอบ Restore สม่ำเสมอ ไม่ใช่แค่สำรองทิ้งไว้

ไฟล์สำรองที่ไม่เคยถูกทดสอบคือความหวัง ไม่ใช่แผน หลายองค์กรมาพบตอนเกิดเหตุจริงว่าไฟล์สำรองเสียหาย สำรองไม่ครบ หรือกู้คืนช้ากว่าที่งานบริการรับได้ แผนกู้คืนข้อมูล ransomware ที่ดีจึงต้องพิสูจน์ตัวเองล่วงหน้า

จุดเริ่มต้นคือกำหนดค่าเป้าหมายร่วมกันสองตัว ได้แก่ RPO (Recovery Point Objective) ยอมให้ข้อมูลล่าสุดหายได้มากแค่ไหน และ RTO (Recovery Time Objective) ระบบต้องกลับมาใช้ได้ภายในเวลาเท่าไร ค่าทั้งสองกำหนดความถี่การสำรองและวิธีกู้คืนที่ต้องเลือก

จากนั้นทดสอบ restore ตามรอบที่ตกลงกัน ทั้งกู้คืนรายไฟล์และซ้อมกู้คืนทั้งระบบ พร้อมรายงานผลให้ผู้บริหารและผู้ตรวจสอบ คำว่ากู้คืนได้จะเป็นข้อเท็จจริงที่ตรวจสอบได้ ไม่ใช่คำสัญญา

บริการ Managed Backup ของ THAI DATA ทำอะไรให้บ้าง

THAI DATA CLOUD ก่อตั้งปี 2016 ให้บริการ Managed Backup สำหรับหน่วยงานภาครัฐโดยทีมวิศวกรคนไทย บน Data Center มาตรฐาน TIA-942 Tier 3+ สองไซต์ในประเทศไทย คือกรุงเทพฯ และต่างจังหวัด พร้อมการรับรอง ISO/IEC 27001, ISO 22301, ISO 20000-1 และ CSA-STAR

บริการนี้เสริมระบบที่หน่วยงานใช้อยู่ ทั้งระบบในห้องเซิร์ฟเวอร์ของตนเองและคลาวด์กลางภาครัฐ (GDCC) โดยเพิ่มชั้นสำเนาที่แก้ไขไม่ได้ไว้นอกระบบหลัก เราเป็นตัวเสริม ไม่ใช่ผู้มาแทน

  • ออกแบบสถาปัตยกรรมสำรองข้อมูลตามหลัก 3-2-1-1-0 ให้เหมาะกับระบบงานและงบประมาณ
  • ตั้งค่า Immutable Backup และสำเนา Air-gapped ข้ามไซต์ ให้มีเส้นทางกู้คืนที่ ransomware แตะไม่ถึง
  • เข้ารหัสข้อมูลขณะส่งและจัดเก็บ ควบคุมสิทธิ์การเข้าถึง และเก็บ log ตามแนว PDPA
  • เฝ้าระวังงานสำรองข้อมูลทุกวัน แจ้งเตือนและแก้ไขเมื่องานล้มเหลว
  • ทดสอบ restore ตามรอบที่ตกลงกัน พร้อมรายงานผลสำหรับผู้บริหารและผู้ตรวจสอบ
  • ทีมคนไทยพร้อมช่วยเหลือเมื่อเกิดเหตุ ประสานงานเป็นภาษาไทยกับทุกฝ่าย

ปรึกษาการออกแบบระบบสำรองข้อมูลหรือขอใบเสนอราคาได้ฟรี โทร 061-989-8891, LINE @thaidatacloud หรืออีเมล [email protected]

คำถามที่พบบ่อย

Ransomware คืออะไร

มัลแวร์เรียกค่าไถ่ที่เข้ารหัสไฟล์จนใช้งานไม่ได้ แล้วเรียกเงินแลกกับกุญแจถอดรหัส ปัจจุบันมักขโมยข้อมูลไปขู่เปิดเผยเพิ่มอีกชั้น จึงต้องมีทั้งระบบป้องกันและ backup ที่ผู้โจมตีทำลายไม่ได้

Immutable Backup คืออะไร

สำเนาข้อมูลที่ถูกล็อกไม่ให้แก้ไขหรือลบตลอดระยะเวลาที่กำหนด แม้ผู้ดูแลระบบหรือผู้โจมตีที่ยึดสิทธิ์สูงสุดได้ก็เปลี่ยนแปลงไม่ได้ จึงกู้คืนข้อมูลได้เสมอหลังถูกโจมตี

Air gap backup คืออะไร

การเก็บสำเนาข้อมูลแยกขาดจากเครือข่ายหลัก ทั้งแบบถอดสื่อออกจากระบบ หรือเปิดการเชื่อมต่อเฉพาะช่วงสำรองข้อมูลเท่านั้น มัลแวร์ที่ระบาดในเครือข่ายจึงเข้าไม่ถึงสำเนาชุดนี้

Immutable กับ Air-gapped ควรเลือกแบบไหน

แนะนำให้ใช้ร่วมกัน สำเนา immutable ไว้กู้คืนเร็วสำหรับระบบงานหลัก และสำเนา air-gapped เป็นหลักประกันชั้นสุดท้ายของข้อมูลสำคัญที่สุด

หลัก 3-2-1 backup คืออะไร

เก็บข้อมูลอย่างน้อย 3 ชุด บนสื่อ 2 ประเภทที่ต่างกัน และมี 1 ชุดอยู่นอกสถานที่ เวอร์ชันเข้มขึ้นคือ 3-2-1-1-0 ที่เพิ่มสำเนาแก้ไขไม่ได้อีก 1 ชุด และการทดสอบกู้คืนที่ต้องไม่มีข้อผิดพลาด

ถ้าโดน Ransomware แล้ว ควรจ่ายค่าไถ่ไหม

ไม่แนะนำ เพราะไม่มีหลักประกันว่าจะได้กุญแจถอดรหัสครบ หรือข้อมูลที่ถูกขโมยจะไม่ถูกเปิดเผยอยู่ดี วิธีที่มั่นคงกว่าคือกู้คืนจากสำเนา immutable หรือ air-gapped ที่เตรียมไว้ล่วงหน้า

กู้คืนข้อมูลหลังโดน Ransomware ใช้เวลานานไหม

ขึ้นอยู่กับปริมาณข้อมูลและรูปแบบสำเนาที่มี สำเนา immutable ที่ยังออนไลน์เริ่มกู้คืนได้เร็วกว่าเชิงเปรียบเทียบ สิ่งสำคัญคือกำหนด RTO ล่วงหน้าและซ้อมจนทำได้ตามเวลานั้นจริง

ควรทดสอบ Restore บ่อยแค่ไหน

ควรทดสอบตามรอบที่กำหนดไว้ในแผนอย่างสม่ำเสมอ และทดสอบเพิ่มเมื่อระบบงานสำคัญเปลี่ยนแปลง THAI DATA ทดสอบและส่งรายงานผลให้หน่วยงานเก็บเป็นหลักฐานการตรวจสอบ

ข้อมูลสำรองเก็บอยู่ในประเทศไทยหรือไม่

อยู่ในประเทศไทยทั้งหมด จัดเก็บใน Data Center มาตรฐาน TIA-942 Tier 3+ ของ THAI DATA สองไซต์ คือกรุงเทพฯ และต่างจังหวัด

เริ่มใช้บริการ Managed Backup ต้องทำอย่างไร

ติดต่อทีมงานเพื่อประเมินระบบและปริมาณข้อมูล จากนั้นเราออกแบบแผนพร้อมใบเสนอราคาให้ โทร 061-989-8891, LINE @thaidatacloud หรืออีเมล [email protected]

ขอใบเสนอราคา / ปรึกษาผู้เชี่ยวชาญคลาวด์ภาครัฐฟรี

กรอกข้อมูลสั้น ๆ ทีมงานติดต่อกลับภายใน 1 วันทำการ

  • 061-989-8891
  • LINE @thaidatacloud
  • ข้อมูลของคุณถูกเก็บเป็นความลับ และใช้เพื่อการติดต่อกลับเท่านั้น