ถอดบทเรียน “CrowdStrike” คาดเสียหายหมื่นล้าน-คอมพ์กระทบมากกว่า 10 ล้านเครื่อง!

ถือเป็นเหตุการณ์ระบบไอทีล่มครั้งใหญ่ของโลก ส่งผลกระทบเป็นวงกว้างในภาคธุรกิจต่างๆ โดยมีต้นเหตุมาจาก คราวด์สไตรก์ (CrowdStrike) ผู้ให้บริการระบบรักษาความปลอดภัยทางไซเบอร์ ที่ได้เกิดข้อบกพร่องในการอัปเดตเนื้อหา (content update) ของ ซอฟต์แวร์ ฟอลคอน เซ็นเซอร์ (Falcon Sensor) ส่งผลให้ผู้ใช้งานระบบปฏิบัติการ Windows หน้าจอขึ้นเป็นสีฟ้า หรือที่เรียกว่า “บลู สกรีน ออฟ เดธ” (Blue Screen of Death หรือ BSoD)

เหตุการณ์ที่เกิดขึ้น บ่งบอกอะไรสำหรับ “ยุคดิจิทัล” ที่ทั้งคน ทั้งภาคธุรกิจ ต้องพึ่งพาการใช้งานระบบไอที ทาง “เดลินิวส์” จะพาไปถอดบทเรียนนี้กับ ทางผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ คือ “ดร.ปริญญา หอมเอนก” ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัลเซ็นเตอร์ จำกัด และกรรมการผู้ทรงคุณวุฒิในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่ให้สัมภาษณ์กับทาง “เดลินิวส์” ในเรื่องนี้

เหตุรุนแรงที่สุดตั้งแต่ Y2K

“ดร.ปริญญา หอมเอนก” บอกว่า เหตุการณ์ที่เกิดขึ้นถือว่ารุนแรงที่สุดตั้งแต่ วายทูเค (Y2K) เมื่อปี ค.ศ. 2000 แต่จริงๆ แล้วเรื่องอัปเดตแอนตี้ไวรัส และแพตช์ (Patch) แล้วขึ้นจอฟ้า ไม่ใช่เรื่องใหม่ มีมานานแล้ว แต่ช่วงหลังๆ ระบบวินโดวส์ 10 และ 11 ที่ใช้กันอยู่ทำได้ดี จนทุกคนอาจลืมไปว่ามีเหตุการณ์แบบนี้เกิดขึ้นได้

เพราะว่าโลกเราไม่ได้มีคอมพิวเตอร์แค่เป็นตัวๆ แต่มีอินสแตนซ์ของวินโดวส์ในคลาวด์ ด้วย ซึ่ง อินสแตนซ์ ที่อยู่ในคลาวด์ ก็ก๊อบปี้มาเป็นร้อยพันตัว ตัวไหนที่เป็นวินโดวส์ และรัน คราวด์สไตรก์ พอลงอัปเดต คราวด์สไตรก์ ก็เกิดการตีกัน จึงรีสตาร์ตเกิดขึ้นจอสีฟ้า จนทำให้คอมพ์เครื่องนั้นทำอะไรไม่ได้

ธุรกิจแบบเรียลไทม์กระทบหนัก

“ดร.ปริญญา หอมเอนก” บอกต่อว่า เหตุการณ์นี้ ธุรกิจที่เดือดร้อนจริงๆ คือ ธุรกิจที่เป็นเรียลไทม์ และเป็นลูกค้าของ คราวด์สไตรก์ ซึ่งเป็นบริษัทใหญ่ๆ เช่น ธนาคาร สายการบิน โรงพยาบบาล ที่ต้องให้บริการลูกค้า แต่ลูกค้าไม่ได้รับการบริการจากเหตุคอมพ์ล่ม แต่ความเสียหายอาจเกิดกับบริษัทต่างๆ อาจมากกว่านี้ แต่เพียงไม่ได้เรียลไทม์ เพราะฉะนั้นเหตุการณ์ครั้งนี้ ต้องมาคิดกันว่าเวลาที่ระบบไอทีล่ม ต้องมีเรื่อง Business Connectivity ที่ทำให้ระบบของธุรกิจสามารถไปต่อได้ จะมองแต่เรื่องไซเบอร์ซิเคียวริตี้อย่างเดียว ไม่ได้แล้ว เพราะซิเคียวริตี้ เป็นเรื่องของแฮกเกอร์ และการทำประกันไซเบอร์ไว้ ก็จะจ่ายก็ต่อเมื่อมีคนมาแฮก แต่เหตุการณ์นี้เกิดจากอัปเดตระบบเองแล้วเกิดการผิดพลาดเอง กรณีนี้ใครจะจ่ายความเสียหายที่เกิดขึ้น?

เสียหายหมื่นล้าน-คอมพ์ 10 ล้านเครื่อง

ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัลเซ็นเตอร์ จำกัด ได้ตั้งข้อสังเกตว่า สิ่งที่น่าคิดคือ บริษัทไอทีระดับโลกอย่าง  คราวด์สไตรก์ และไมโครซอฟท์ ที่เป็นบริษัทจดทะเบียนในตลาดหลักทรัพย์ของสหรัฐอเมริกา แต่ปล่อยให้เกิดเหตุการณ์แบบนี้ได้อย่างไร ก่อนปล่อยซอฟต์แวร์อัปเดตออกสู่ตลาด ไม่ได้ทดสอบก่อนหรือ ซึ่งก็ไม่มีคำตอบ และแต่ละบริษัทก็มีแล็บของตนเอง มีวินโดวส์ใช้เทสต์ที่ครบทุกเวอร์ชั่น ทำไมจึงเกิดเหตุแบบนี้ขึ้นได้

อย่างไรก็ตามที่ผ่านมา เติร์ด ปาร์ตี้ (third party) ต้องทดสอบผลิตภัณฑ์ตัวเอง โดยการนำวินโดวส์มาลง แต่ต่อไปเชื่อว่า ซอฟต์แวร์ที่ผ่านการทดสอบมาแล้ว แต่ทางไมโครซอฟท์ จะขอทดสอบด้วยตัวเองอีกครั้ง เป็นการดับเบิล เช็ก ว่าซอฟต์แวร์นั้นจะไม่มีผลต่อผลิตภัณฑ์ของตนเอง เพราะเหตุการณ์นี้ทำให้ไมโครซอฟท์ได้รับผลเสียไปด้วย โดยที่ไม่ได้เกิดจากระบบ หรือผลิตภัณฑ์ของตัวเองเลย

“โดยส่วนตัวมองว่าความเสียหายที่เกิดขึ้นกับธุรกิจต่างๆ จากการประมาณการน่าจะเกินหมื่นล้านบาท และมีคอมพิวเตอร์ที่ได้รับผลกระทบมากกว่า 10  ล้านเครื่อง ถามว่าแล้วใครจะจ่ายรับผิดชอบความเสียหายที่เกิดขึ้น ทาง คราวด์สไตรก์ และไมโครซอฟท์ก็คงไม่ได้มีการชดเชยให้กับลูกค้า ด้วยเหตุผลบอกว่าเป็นเหตุสุดวิสัย เป็นเหตุการณ์ที่ไม่มีใครอยากให้เกิดขึ้น”

แนะอย่าตั้งออโต้อัปเดตทุกเครื่อง

“ดร.ปริญญา หอมเอนก” ยังบอกต่อว่า การที่ทำให้ระบบคอมพ์เป็นออโตเมชั่น 100% ในการอัปเดตทั้งหมดอาจส่งผลให้ระบบเสียหายใช้งานไม่ได้ทั้งหมด ซึ่งการใช้ระบบออโต้อัปเดต ควรจะตั้งให้อัปเดตเป็นบางส่วนหรือบางเครื่องก่อน เมื่อไม่เกิดกับปัญหาค่อยอัปเดตในส่วนเครื่องคอมพิวเตอร์ที่เหลือ เช่น เคาน์เตอร์สนามบินมีเครื่องคอมพิวเตอร์ 10 เคาน์เตอร์ที่ใช้เช็กอิน ก็ควรให้อัปเดตไป 5 เคาน์เตอร์ก่อน เมื่อระบบไม่มีปัญหาก็ค่อยอัปเดตทั้งหมดทุกเครื่อง โดยยึดหลัก Cyber Resilience ไม่ว่าจะเกิดเหตุการณ์อะไรขึ้นก็ตาม ระบบต้องกู้คืนให้กลับมาดำเนินการได้ตามปกติ

“อย่างเช่นเราไปดูหนัง ระบบขายตั๋วเสีย โรงหนังยังสามารถขายตั๋วให้เราโดยใช้พนักงานด้วยมือได้ หรือเราไปขึ้นทางด่วน ระบบอีซี่ พาส เราวิ่งไม่ผ่าน ก็สามารถใช้เงินสดจ่ายที่ช่องเงินสดแทนได้ จึงเป็นเรื่องที่ต้องเตรียมกระบวนการไว้ว่า หากต้องอัปเดตระบบ ควรอัพบางส่วนก่อนมั้ย เพื่อป้องกันระบบจะเสียหายทั้งหมดพร้อมกัน โดยที่ไม่มีเครื่องหรือระบบสำรองใช้งาน จนทำอะไรไม่ได้เลย”

การแก้ไขต้องไล่ทำทีละเครื่อง

สุดท้าย ทาง “ดร.ปริญญา หอมเอนก” บอกอีกว่า การแก้ไขปัญหาคอมพ์ที่ได้รับผลกระทบ คงเป็นเรื่องที่เจ้าของเครื่องหรือธุรกิจต้องทำกันเอง ต้องไล่แก้ทีละเครื่องด้วยการไปลบไฟล์ทิ้ง ตามคำแนะนำของ คราวด์สไตรก์ ซึ่งก็ถือเป็นต้นทุนที่เกิดขึ้น แล้วใครจะจ่ายให้? เป็นเรื่องที่ฝ่ายไอทีขององค์กรธุรกิจต้องทำกันเอง ทางคราวด์สไตรก์ คงไม่ส่งคนมาทำให้ ก็ถือเป็นต้นทุนที่องค์กรธุรกิจต้องแบกรับและจ่ายกันเอง.

จิราวัฒน์ จารุพันธ์