Google Drive ทำข้อมูลหายได้จริงหรือ

ถอดบทเรียนดราม่าดัง Google Drive ทำข้อมูลหายได้จริงหรือ?

เรื่องหนึ่งจากรายการโหนกระแสอออกมาเกี่ยวกับบริษัทขนาดเล็ก (SME) หรือสตาร์ทอัพที่ใช้เครื่องมือไอทีเพื่อลดต้นทุน ในการจัดการไฟล์เอกาสารก็มักจะใช้งาน Google Drive เป็นประจำด้วยการเก็บข้อมูลไว้ 1 บัญชีเท่านั้น! และแชร์บัญชีกันทั้งบริษัทพร่วมกัน แต่สร้างความหายนะที่ร้ายแรงคือไฟล์สำคัญหา เกิดจากเรื่องอะไรวันนี้ Sanook Hitech จะมาเฉลยเรื่องนี้กันครับ 

Google Drive ฟรี 1 บัญชี "ลดต้นทุน" หรือ "สร้างหายนะ"?
เข้าใจเลยครับว่ายุคนี้ทุกอย่างเป็นเงินเ้ป็นทางหลายบริษัทก็มมักจะสมัครบบริการอย่าง Google Workspace บริษัทจึงสร้างอีเมล ขึ้นมา 1 บัญชี แล้วให้พนักงานทุกคนที่เกี่ยวข้อง ไม่ว่าจะเป็นฝ่ายบัญชี, การตลาด, หรือผู้บริหาร รู้จัก Username และ Password ชุดเดียวกันนี้ เพื่อเข้าไปทำงานบน Google Drive, Docs, Sheets ที่แชร์ไว้วิธีนี้ดูเหมือนจะง่ายและประหยัด แต่เมื่อเกิดปัญหาขึ้น มันคือฝันร้ายของจริง

ปัญหาที่เกิดขึ้นในกรณีศึกษา

จับมือใครดมไม่ได้: เมื่อไฟล์ถูกลบ Log ของ Google จะบันทึกไว้แค่ว่าบัญชี เป็นคนลบ แต่ไม่สามารถระบุได้เลยว่า "ใคร" คือคนที่ล็อกอินเข้ามาในเวลานั้น เพราะทุกคนใช้รหัสผ่านเดียวกันหมด

พิสูจน์ไม่ได้ สรุปไม่ลง: เมื่อไม่มีหลักฐานดิจิทัลที่มัดตัวได้ การกล่าวหาจึงเป็นเพียงคำพูดลอยๆ ฝ่ายหนึ่งอาจบอกว่าอดีตพนักงานเป็นคนลบเพื่อแก้แค้น อีกฝ่ายอาจบอกว่าผู้บริหารปัจจุบันสร้างสถานการณ์เพื่อใส่ร้าย ทุกอย่างกลายเป็นเรื่องของ "ความเชื่อ" มากกว่า "ความจริง"

ในทาง Cybersecurity เรียกปัญหานี้ว่า Non-repudiation หรือ "การไม่สามารถปฏิเสธความรับผิดชอบได้" ซึ่งเป็นคุณสมบัติพื้นฐานที่ระบบที่ดีต้องมี แต่การแชร์รหัสผ่านได้ทำลายหลักการนี้จนหมดสิ้น

ความเสี่ยงที่มากกว่าแค่ไฟล์หาย
การแชร์บัญชีร่วมกันไม่ได้เสี่ยงแค่ไฟล์ถูกลบโดยเจตนาร้ายเท่านั้น แต่ยังเปิดประตูสู่ความเสี่ยงอื่นๆ อีกมหาศาลเช่น

1.ข้อมูลรั่วไหลสู่คู่แข่ง: พนักงานที่ไม่พอใจสามารถล็อกอินเข้ามาดาวน์โหลดข้อมูลสำคัญทั้งหมด เช่น แผนธุรกิจ, รายชื่อลูกค้า, สูตรลับทางการค้า แล้วนำไปให้คู่แข่งได้อย่างง่ายดาย และคุณจะไม่มีทางรู้เลยว่าใครทำ

2.ความผิดพลาดโดยไม่ตั้งใจ: แค่พนักงานคนหนึ่งเผลอลากไฟล์ผิดโฟลเดอร์ หรือลบไฟล์สำคัญโดยไม่รู้ตัว ความเสียหายก็อาจลุกลามไปทั้งระบบ เพราะทุกคนมีสิทธิ์เท่ากันหมด

3.ประตูสู่มัลแวร์และแรนซัมแวร์: หากคอมพิวเตอร์ของพนักงานคนใดคนหนึ่งติดไวรัสหรือมัลแวร์ มันสามารถแพร่กระจายผ่าน Google Drive Sync ไปยังคอมพิวเตอร์ของทุกคนในบริษัทได้ทันที

4.จัดการสิทธิ์ไม่ได้: เมื่อมีพนักงานลาออก การเปลี่ยนรหัสผ่านอาจดูเหมือนเป็นทางแก้ แต่คุณจะมั่นใจได้อย่างไรว่าเขาไม่ได้ดาวน์โหลดข้อมูลไปแล้ว? และการแจ้งเปลี่ยนรหัสใหม่กับทุกคนที่เหลือก็เป็นเรื่องยุ่งยากและเสียเวลา

ทางออกที่ถูกต้อง "ลงทุน" เพื่อความปลอดภัยของข้อมูล
วิธีแก้ปัญหานี้ตรงไปตรงมาและเป็นมาตรฐานที่บริษัททั่วโลกใช้กัน นั่นคือการลงทุนในบริการสำหรับองค์กร เช่น Google Workspace (หรือ Microsoft 365)

หลักการทำงานที่ถูกต้อง

1.1 คน ต่อ 1 บัญชี: พนักงานแต่ละคนจะได้รับอีเมลของบริษัทเป็นของตัวเอง เช่นอีเมลแยกเพื่อการตรวจสอบได้

2.ใช้การ "ให้สิทธิ์" ไม่ใช่ "แชร์รหัสผ่าน": แทนที่จะบอกรหัสผ่าน คุณต้องสร้าง Shared Drive หรือโฟลเดอร์กลางขึ้นมา แล้วกำหนดสิทธิ์ให้บัญชีของพนักงานแต่ละคนตามหน้าที่ เช่น
ผู้จัดการ: มีสิทธิ์แก้ไข จัดการ และลบไฟล์ได้ (Manager)พนักงานทั่วไป: มีสิทธิ์ดูและแก้ไขไฟล์ แต่ลบไม่ได้ (Editor/Contributor)
ฝ่ายบัญชี: มีสิทธิ์ดูได้อย่างเดียว (Viewer)

3.ตรวจสอบได้ทุกย่างก้าว ระบบของ Google Workspace จะบันทึกทุกกิจกรรมว่า ใคร (บัญชีไหน) ทำอะไร (ดู, แก้ไข, ลบ, ดาวน์โหลด) กับไฟล์ไหน และทำเมื่อไหร่ นี่คือหลักฐานชั้นดีที่ไม่สามารถปฏิเสธได้

4.จัดการง่ายเมื่อพนักงานลาออก เพียงแค่คุณระงับหรือลบบัญชีของพนักงานคนนั้น สิทธิ์การเข้าถึงข้อมูลทั้งหมดจะถูกตัดทันที โดยไม่กระทบกับคนอื่นในทีม

สรุปค่าใช้จ่ายเล็กน้อย แลกกับความสบายใจระยะยาว

จริงอยู่ที่บริการอย่าง Google Workspace มีค่าใช้จ่ายรายเดือนต่อผู้ใช้งาน แต่เมื่อเทียบกับมูลค่าของข้อมูลบริษัท, ความเสี่ยงทางกฎหมาย, และความเสียหายที่อาจเกิดขึ้นหากข้อมูลรั่วไหลหรือหายไป ถือเป็นการลงทุนที่คุ้มค่าอย่างยิ่ง เพราะเริ่มต้นแค่หลักร้อยต่อเดือน แต่กับข้อมูลที่ประเมินค่าไม่่ได้ถือว่าคุ้ม อย่าปล่อยให้การ "ประหยัด" เพียงเล็กน้อยในวันนี้ กลายเป็น "บทเรียนราคาแพง" ที่ทำลายธุรกิจของคุณในวันหน้า เพราะในโลกดิจิทัล "ข้อมูล" คือสินทรัพย์ที่สำคัญที่สุดของคุณ การปกป้องมันจึงไม่ใช่ "ค่าใช้จ่าย" แต่คือ "การลงทุน" ที่ทุกบริษัทต้องทำ

สนับสนุนเนื้อหา: ISAN Fanpage