เมื่อซอฟต์แวร์ CrowdStrike เกิดข้อบกพร่องที่ทำให้คอมพิวเตอร์ 8.5 ล้านเครื่องทั่วโลกใช้การไม่ได้ในวันที่ 19 กรกฎาคม ผู้ที่รู้สึกถึงผลกระทบเป็นคนแรก ๆ คือผู้โดยสารสายการบิน
แอนโทนี บอสแมน นักวิชาการจากมหาวิทยาลัยแอนดรูวส์ในมิชิแกน กำลังพยายามขึ้นเครื่องบินจากมิชิแกนไปฟลอริดาเมื่อเขาพบว่าไม่สามารถดาวน์โหลดบัตรผ่านขึ้นเครื่องลงในสมาร์ทโฟนได้ เขาจึงไปเช็คอินที่สนามบินด้วยตนเอง และพบว่าพนักงานสายการบินค้นหาชื่อเขาจากรายการกระดาษและเขียนบัตรผ่านขึ้นเครื่องด้วยมือ
“มันเหมือนกับย้อนเวลากลับไปในอดีต” เขากล่าว พร้อมบอกว่าพนักงานบ่นว่ามือของเธอเหนื่อยจากการเขียนบัตรผ่านขึ้นเครื่องจำนวนมาก แม้ว่าเที่ยวบินของเขาจะออกตามแผนที่วางไว้
ผู้โดยสารอีกหลายคน รวมถึงในอินเดีย ก็รายงานว่าพบเหตุการณ์แบบเดียวกันในวันนั้น
ข้อบกพร่องของ CrowdStrike ยังส่งผลกระทบต่อธนาคาร บริษัทโทรคมนาคม บริการด้านสุขภาพ และผู้ค้าปลีกออนไลน์
ในสัปดาห์นี้ ผู้บริหารระดับสูงของบริษัทได้ปรากฏตัวต่อหน้าคณะกรรมการรัฐสภาของสหรัฐฯ และกล่าวขอโทษอย่างจริงใจสำหรับความโกลาหลที่เกิดขึ้น
ในช่วงสั้น ๆ ในเดือนกรกฎาคม องค์กรบางแห่งต้องลืมกระบวนการที่ใช้คอมพิวเตอร์ไปและทำสิ่งต่าง ๆ ด้วยวิธีแบบเก่า
หากคุณอ่านบทความเกี่ยวกับการโจมตีทางไซเบอร์และความล้มเหลวด้านไอทีในอดีต คุณจะพบตัวอย่างมากมายที่องค์กรต่าง ๆ ต้อง “หันกลับไปใช้ปากกาและกระดาษ” เพื่อรับมือกับสถานการณ์ที่เกิดขึ้น
แพทย์ประจำสหราชอาณาจักร พนักงานบริษัทแลกเปลี่ยนเงินตรา Travelex เจ้าหน้าที่โรงพยาบาล Rouen ในฝรั่งเศส และพนักงานของสภาเขตลินคอล์นเชียร์ก็เคยประสบเหตุการณ์แบบนี้
แม้จะฟังดูเหมือนเป็นสถานการณ์ที่น่าสงสาร แต่นักวิจัยบางคนแนะนำให้บริษัทวางแผนสำหรับการกลับไปใช้กระบวนการที่ใช้กระดาษในกรณีที่ระบบไอทีล้มเหลว
แทนที่จะเป็นเพียงทางออกเฉพาะหน้า ระบบที่ใช้ปากกาและกระดาษอาจเป็นสิ่งที่พนักงานฝึกใช้งานเป็นครั้งคราว เพื่อให้สามารถเปลี่ยนจากการใช้คอมพิวเตอร์ไปใช้งานได้อย่างราบรื่นเมื่อจำเป็น
บริษัทหนึ่งที่เข้าใจถึงคุณค่าของกระดาษคือ Norsk Hydro บริษัทผลิตอลูมิเนียมและพลังงานหมุนเวียนจากนอร์เวย์
ในปี 2019 แฮกเกอร์ได้โจมตี Hydro ด้วยแรนซัมแวร์ที่ทำให้พนักงานไม่สามารถเข้าถึงคอมพิวเตอร์กว่า 20,000 เครื่องได้ แต่ผู้บริหารของ Hydro ตัดสินใจไม่จ่ายค่าไถ่เพื่อกู้คืนการเข้าถึง ส่งผลให้พนักงาน 35,000 คนใน 40 ประเทศต้องหาวิธีการอื่นในการทำงานชั่วคราว
พวกเขาขุดหาสมุดคู่มือเก่า ๆ ที่เก็บอยู่ในห้องใต้ดินซึ่งมีคำแนะนำในการผลิตสินค้าอลูมิเนียมบางประเภทออกมาใช้ ในบางสถานที่โชคดีที่พนักงานพิมพ์คำสั่งซื้อออกมาก่อนที่การโจมตีทางไซเบอร์จะเกิดขึ้น
“ความคิดสร้างสรรค์ของพวกเขาน่าทึ่งมาก” ฮัลวอร์ มอลลัน โฆษกของ Hydro กล่าว ในขณะที่อุปกรณ์ในโรงงานไม่ได้รับผลกระทบจากแรนซัมแวร์ พนักงานในบางโรงงานต้องไปซื้อคอมพิวเตอร์และเครื่องพิมพ์จากร้านค้าในท้องถิ่นเพื่อพิมพ์ข้อมูลให้กับคนงานในโรงงาน และอุปกรณ์สำนักงานเก่าบางชิ้นก็กลับมาใช้งานอีกครั้ง “เราต้องปัดฝุ่นโทรสารเก่า ๆ บางเครื่อง” มอลลันกล่าว
แม้ว่าการผลิตจะลดลงถึง 50% ในบางโรงงาน แต่ทางออกชั่วคราวเหล่านี้ช่วยให้ธุรกิจยังคงดำเนินต่อไปได้ “คุณต้องทำในสิ่งที่คุณต้องทำ” มอลลันกล่าว
เขาแนะนำว่าบริษัทควรเก็บสำเนาข้อมูลสำคัญ เช่น หมายเลขโทรศัพท์ภายในหรือรายการตรวจสอบ เพื่อให้สามารถทำงานต่อไปได้บ้างในกรณีที่เกิดการโจมตีทางไซเบอร์ครั้งใหญ่
คริส บัตเลอร์ ผู้อำนวยการฝ่ายความยืดหยุ่นของบริษัทกู้คืนข้อมูลและความต่อเนื่องทางธุรกิจ Databarracks กล่าวว่า “ผู้คนเริ่มตระหนักถึงความสำคัญของวิธีการแบบดั้งเดิมเหล่านี้เนื่องจากความรุนแรงของการโจมตีทางไซเบอร์และการหยุดชะงักของระบบไอทีที่เกิดขึ้นเมื่อไม่นานมานี้”
เขากล่าวถึงบริษัทอุตสาหกรรมแห่งหนึ่งที่ Databarracks ทำงานด้วย ซึ่งได้จัดทำ “ชุดกู้คืนจากภัยพิบัติ” และส่งไปยังทุกสาขาในชุดนี้รวมถึงแบบฟอร์มกระดาษและเครื่องโทรสารในกรณีที่ระบบสั่งซื้อแบบดิจิทัลไม่สามารถใช้งานได้
บัตเลอร์แนะนำว่าบริษัทควรจัดให้มีวันฝึกอบรมที่พนักงานฝึกใช้ฟลิปชาร์ตและไวท์บอร์ดแทนคอมพิวเตอร์ เพื่อดูว่าสามารถทำงานได้อย่างมีประสิทธิภาพหรือไม่
บางองค์กรแนะนำให้ใช้กระดาษด้วยเหตุผลด้านความปลอดภัย ตัวอย่างเช่น ระบบศาลของสหรัฐฯ กำหนดให้เอกสารบางประเภทต้องส่งในรูปแบบกระดาษหรืออุปกรณ์ที่ปลอดภัย เช่น ไดรฟ์ USB ที่เข้ารหัส
แน่นอนว่ากระบวนการที่ใช้กระดาษมีข้อจำกัด บัตเลอร์กล่าวว่าหากธนาคารสูญเสียการเข้าถึงระบบการซื้อขายในระหว่างที่เกิดเหตุการณ์ไอที จะไม่สามารถเปลี่ยนไปใช้กระดาษได้อย่างง่ายดาย
ปัญหาหลักของระบบที่ใช้ปากกาและกระดาษคือมันไม่สามารถขยายขนาดได้ดี แกเร็ธ มอตต์ จากสถาบัน Royal United Services Institute กล่าว มันช้ากว่าคอมพิวเตอร์ในหลายงาน และยากหรืออาจเป็นไปไม่ได้ที่จะประสานงานพนักงานหลายพันคนที่ใช้วิธีการดังกล่าวในหลายสถานที่
อย่างไรก็ตาม การฝึกฝนวิธีการเหล่านี้สามารถช่วยได้จริง ๆ มอตต์กล่าว เขาและเพื่อนร่วมงานได้ทำการวิจัยว่าการจำลองสถานการณ์ความล้มเหลวของไอทีมีผลต่อการตอบสนองของพนักงานต่อการโจมตีทางไซเบอร์ในชีวิตจริงอย่างไร “เราพบว่าบริษัทที่ได้ทำสิ่งนั้น บางครั้งเพียงไม่กี่สัปดาห์ก่อนที่จะเกิดเหตุการณ์จริง ได้รับประโยชน์อย่างมาก” เขากล่าว
ไม่ใช่แค่ปากกาและกระดาษเท่านั้นที่อาจมีประโยชน์ มอตต์กล่าวว่ามีบริษัทหนึ่งที่ซื้อคอมพิวเตอร์ Chromebook จำนวนมากเพื่อให้พนักงานใช้ทำงานโดยไม่ต้องเข้าถึงเครือข่ายของบริษัท
บางบริษัทอาจมีกลุ่ม WhatsApp หรือ Signal ที่สามารถใช้สำหรับการสื่อสารภายในได้ในกรณีที่ไม่สามารถเข้าถึงเซิร์ฟเวอร์อีเมลของบริษัท
มอตต์และบัตเลอร์เน้นย้ำถึงความสำคัญของการสำรองข้อมูลนอกสถานที่หรือแยกออกจากระบบอื่น ๆ เพื่อให้มั่นใจว่าข้อมูลที่สำคัญจะไม่สูญหายไปทั้งหมดในกรณีที่ถูกโจมตีด้วยแรนซัมแวร์
แคธี มีรอน ซีอีโอของ eSilo บริษัทสำรองข้อมูลในฟลอริดา กล่าวว่าบริษัทของเธอให้บริการสำรองข้อมูลบนคลาวด์ที่แยกจากเครือข่ายของลูกค้า และยังมีเซิร์ฟเวอร์ที่สร้างขึ้นเองบนสถานที่ด้วย “เราสามารถกู้คืนข้อมูลจากแรนซัมแวร์ได้ 100% จนถึงขณะนี้” เธอกล่าว
ถึงแม้ว่าระบบคอมพิวเตอร์สมัยใหม่จะมีความซับซ้อน แต่ทางออกชั่วคราวที่เรียบง่ายและสามารถปรับเปลี่ยนได้กลับเป็นสิ่งที่ช่วยรักษาบริษัทไว้ได้เมื่อเกิดวิกฤต มีรอนเล่าถึงลูกค้ารายหนึ่งซึ่ง ณ เวลาที่เธอพูดอยู่ กำลังใช้ระบบ Verizon mi-fi หรือเราเตอร์อินเทอร์เน็ตไร้สายเพื่อเข้าถึงข้อมูลสำรอง เนื่องจากเครือข่ายคอมพิวเตอร์หลักของบริษัทถูกปิดใช้งานอย่างสิ้นเชิงหลังเกิดเหตุโจมตีทางไซเบอร์
คุณมอลลันเสริมว่า “คุณควรคาดหวังไว้ว่าจะตกเป็นเหยื่อของการโจมตีทางไซเบอร์ในสักช่วงหนึ่งของเวลา คำถามคือคุณจะทำอย่างไรในระหว่างนั้น? คุณจะทำให้ธุรกิจยังดำเนินต่อไปได้อย่างไร?”
How pen and paper comes to the rescue in an IT crisis
When the CrowdStrike software bug bricked 8.5 million computers around the world on 19 July, some of the first people to notice the effects were air travellers.
Anthony Bosman, an academic at Andrews University in Michigan was trying to board his flight from Michigan to Florida when he realised he couldn’t download a mobile boarding pass to his smartphone.
So he went to check in at the airport, in person, and watched in amazement as an airline employee looked up his name on a paper list and then wrote out his boarding pass – by hand.
“It felt like a blast from the past,” he recalls. “The ticket agent, I remember how she commented that her hand was tired from having to write so many of them.” His flight took off as planned.
Multiple other passengers, including many in India, reported having the same experience that day.
The CrowdStrike bug also hit banks, telecoms firms, health services and online retailers.
This week a senior executive at the firm appeared before a US congressional committee and said he was “deeply sorry” for the chaos caused.
For a brief moment in July, some organisations had to forget about their computer-based processes and do things the old-fashioned way.
If you look through articles about past cyber-attacks and IT failures on the BBC News website, you’ll find countless examples of organisations that have had to “go back to pen and paper” in the face of disruption.
British GPs, staff at foreign exchange firm Travelex, medics at Rouen hospital in France and employees of Lincolnshire County Council have all experienced this.
It sounds an almost pitiful predicament. And yet, while it certainly isn’t desirable, some cyber-experts are now advising companies to plan for switching to paper-based processes in the event of IT failure.
Rather than an ad hoc workaround, pen and paper systems could be something staff practise using from time to time so that they can switch away from their computers seamlessly if required.
One company that knows the value of paper is Norsk Hydro, a Norwegian aluminium and renewable energy firm.
In 2019, hackers targeted Hydro with ransomware that locked staff out of more than 20,000 computers. Bosses at Hydro decided they would not pay a ransom fee to restore access, meaning that 35,000 staff working across 40 countries had to find other ways of doing their jobs, temporarily.
They dug old binders out of basements with instructions on how to produce particular aluminium products, for instance, recalls Halvor Molland, a spokesman for Hydro. At some locations, by sheer chance, staff had printed out order requests just before the cyber-attack hit.
“Their creativity… was tremendous,” says Mr Molland. While computers with customer information and company data were locked out, factory equipment was mercifully unaffected by the ransomware. At some facilities, staff bought computers and printers from local retailers so they could print off information for factory workers. And vintage office kit came in handy. “We actually had to dust off some old telefaxes,” remembers Mr Molland.
Although production fell by up to 50% at certain plants, these workarounds kept the business going. “You need to do what you need to do,” as Mr Molland puts it. Reflecting, he suggests that companies might want to keep printed copies of key information such as internal telephone numbers or checklists so that some work can continue even in the event of a massive cyber-attack.
“People have realised the importance of having these manual methods because of the severity of some of the recent cyber-attacks and IT outages,” says Chris Butler, resilience director at disaster recovery and business continuity firm Databarracks.
He mentions one customer his company works with – an industrial distribution firm – that has put together “disaster recovery packs” and sent them to all of its branches. The packs include paper forms and a fax machine – a contingency in case their digital ordering system becomes unavailable. “If that goes down, their only alternative, they realised, was to have these forms.”
Mr Butler suggests that companies have a training day where employees practise using flipcharts and whiteboards instead of computers, to see if they can still do their jobs effectively that way.
Some organisations recommend using paper for security reasons. Parts of the US court system require certain documents to be filed on either paper, for example, or a secure device such as an encrypted USB drive.
Obviously there are limits to paper-based processes. Mr Butler notes that if bankers, for example, lose access to their trading terminals during an IT incident, they can’t easily switch to paper-based alternatives.
The biggest problem with pen and paper systems is that they don’t scale well, says Gareth Mott, from the Royal United Services Institute. It’s slower than using a computer for many tasks ,and it’s hard or perhaps impossible to coordinate thousands of employees using such methods across multiple office locations.
But practising workarounds really can help, adds Dr Mott. He and colleagues have researched how “war-gaming” and IT failure roleplay exercises can impact employees’ responses to real-life cyber-attacks. “We found that the companies that had done that, sometimes a few weeks before they had a live incident, really benefitted,” he says.
It’s not just pen and paper that could come in handy. Dr Mott is aware of one firm that bought “crates worth of Chromebooks” for staff in the wake of a cyber-incident, so that they could work without needing access to the company network.
Some companies might have dormant WhatsApp or Signal messaging groups that they can ask employees to use for internal communications, if access to the company email servers goes down, for instance.
Both Dr Mott and Mr Butler stress the importance of off-site or otherwise segregated data backups so that, in the event of a ransomware attack, all that vital information is not necessarily lost.
Cathy Miron is chief executive of eSilo, a data backup firm based in Florida. There are hundreds of such companies around the world, including Databarracks, that provide secure data backup services.
Ms Miron’s company offers off-site, cloud-based data storage on a separate network to that of their customers; and on-site, custom-built servers as well. “We have had a 100% ransomware recovery rate thus far,” she says.
For all the sophistication of contemporary computer systems, it’s the simple, improvised workarounds that can save companies when a crisis hits. Mrs Miron mentions one customer who, at the time of writing, was using a Verizon mi-fi, or mobile broadband wireless router, system to access backup data because their main computer network had been completely shut down following a cyber-incident.
“You should expect it, at some point in time, to be a victim of a cyber-attack,” emphasises Mr Molland. “What do you do in the meantime? How do you keep the wheels turning?”
By Chris Baraniuk, BBC News
