การพึ่งพา Microsoft มากเกินไปเป็นเรื่องอันตราย

 (blog.miloslavhomer.cz)
1 คะแนน โดย GN⁺ 2025-06-30 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ดังที่เห็นจาก กรณีปิดกั้นกล่องจดหมายของผู้ที่ถูกคว่ำบาตรโดย ICC (ศาลอาญาระหว่างประเทศ) เมื่อไม่นานมานี้ การพึ่งพาผลิตภัณฑ์ของ Microsoft มากเกินไปย่อมแฝงความเสี่ยงด้านการหยุดให้บริการและต้นทุนที่ไม่คาดคิด
  • เมื่อปัจจัยทางการเมืองของสหรัฐฯ (โดยเฉพาะการคว่ำบาตรหรือการออกนโยบายแบบฉับพลัน) เข้ามาเกี่ยวข้อง โอกาสที่บริการจะถูกตัดอาจต่ำ แต่หากเกิดขึ้นครั้งหนึ่ง ความเสียหายจะสูงมาก
  • บริษัทไอทีขนาดใหญ่อย่าง Microsoft ในยุคคลาวด์และ SaaS นั้นมี อำนาจควบคุมข้อมูลและซอฟต์แวร์ของลูกค้าองค์กรได้อย่างแท้จริง
  • ยิ่งโครงสร้างพื้นฐานไอทีขององค์กรและหน่วยงาน (อีเมล การจัดการตัวตน ไฟล์ การยืนยันตัวตน ฯลฯ) กระจุกตัวอยู่กับบริการของ MS มากเท่าไร เมื่อบริการหยุดชะงัก งานและธุรกิจทั้งหมดก็อาจเป็นอัมพาตได้
  • วงเงินลงทุนที่สมเหตุสมผล เพื่อป้องกันความเสี่ยงและสร้างโครงสร้างพื้นฐานทางเลือกนั้น ในทางปฏิบัติกลับเล็กมาก การบริหารความเสี่ยงเป็นเรื่องที่ไม่เป็นไปตามสัญชาตญาณ และโดยพื้นฐานแล้วยังมีข้อจำกัดด้านข้อมูลและการประเมินต้นทุน

เหตุการณ์ล่าสุด: ข้อถกเถียงเรื่อง MS ปิดกั้นกล่องจดหมายของ ICC (ศาลอาญาระหว่างประเทศ)

  • ในปี 2025 หลังจากสหรัฐฯ คว่ำบาตรเจ้าหน้าที่ระดับสูงของ ICC มีรายงานจากหลายสื่อว่า Microsoft ได้ ปิดกั้นการเข้าถึงบัญชีอีเมลองค์กรของบุคคลดังกล่าว
    • Associated Press, NL Times และสื่ออื่น ๆ อธิบายว่า “รัฐบาลทรัมป์คว่ำบาตร → MS ปิดกั้นบางบัญชี เช่น บัญชีของอัยการ ICC”
    • Politico เน้นว่าเป็น “การปิดกั้นรายบุคคล ไม่ใช่ทั้งองค์กร” แต่ไม่ได้ปฏิเสธข้อเท็จจริงว่ามีการปิดกั้นบุคคลบางราย
  • เหตุการณ์นี้จุดชนวนข้อถกเถียงในยุโรป เช่น เนเธอร์แลนด์ ว่า การพึ่งพาบริษัทไอทีสหรัฐฯ อาจกลายเป็นความเสี่ยงด้านความมั่นคงของโครงสร้างพื้นฐานไอทีระดับรัฐและภาครัฐ
  • MS ระบุว่า “ไม่ได้เปิดเผยรายละเอียดที่แน่ชัดว่า บัญชีถูกปิดกั้นผ่านช่องทางใด” ซึ่งสะท้อนถึง ความไม่ชัดเจนของกระบวนการปิดกั้นบริการและขอบเขตความรับผิดชอบ

เรื่องแบบนี้จะเกิดขึ้นอีกได้หรือไม่?

  • ขั้นตอนการปิดกั้นบริการนั้นเรียบง่ายมาก: ประธานาธิบดีสหรัฐฯ (หรือรัฐบาล) ออกคำสั่งคว่ำบาตร → บริษัทไอทีสหรัฐฯ อย่าง MS ระงับการให้บริการ
    • ไม่ว่าความชอบธรรมทางกฎหมายจะเป็นอย่างไร หากมีการปิดกั้นเกิดขึ้น ความเสียหายต่อการดำเนินงานก็จะเกิดขึ้นจริงในทันที
  • การตัดสินใจทางการเมืองของทรัมป์และนักการเมืองลักษณะเดียวกันคาดเดาได้ยาก และทุกบริษัทก็อาจตกเป็นเป้าได้จากเพียงคำพูดหรือประเด็นเดียว
    • อำนาจของประธานาธิบดีสหรัฐฯ กว้างขวาง และ ความไม่แน่นอนยิ่งขยายความเสี่ยงด้านนโยบาย
  • แม้จะไม่ได้เกิดขึ้นบ่อยนัก แต่สำหรับองค์กรและหน่วยงานที่ พึ่งพาผลิตภัณฑ์ของ MS อย่างหนักหน่วง นี่คือความเสี่ยงแบบ “black swan” ที่ดำรงอยู่เสมอ
    • ต่อให้คำนวณว่าในบรรดาลูกค้า MS หลายล้านราย จะเกิดเพียงปีละ 1–2 กรณี หากโดนเข้าครั้งเดียว ความเสียหายก็อาจมหาศาล

ความสามารถของ Microsoft ในการปิดกั้นบริการ

  • หลังการมาถึงของคลาวด์และ SaaS Microsoft มี อำนาจควบคุมซอฟต์แวร์และข้อมูลของลูกค้าได้อย่างมีนัยสำคัญ
    • ในอดีต (ช่วงทศวรรษ 1990–2000) องค์กรมักมีเซิร์ฟเวอร์เมลของตนเอง มีการยืนยันตัวตนแบบออฟไลน์ ทำให้การปิดกั้นจากภายนอกทำได้ยาก
    • ปัจจุบัน ทุกบริการ (Exchange, Azure, MS 365, Office ฯลฯ) ดำเนินงานแบบรวมศูนย์
  • ตัวอย่าง: ในกรณีของ Python in Excel โค้ด Python ทั้งหมดจะถูกรันบนคอนเทนเนอร์ของ Azure ไม่ใช่บนเครื่องโลคัล
    • ด้วยการควบคุมแบบรวมศูนย์ จึงสามารถปิดบัญชี ปิดการเข้าถึงข้อมูล หรือหยุดบริการทั้งหมดได้
  • ความสามารถในการปิดกั้นบริการไม่จำเป็นต้องเป็นเรื่องลบเสมอไป และอาจมีด้านบวกในกรณีอย่างคำขอทางกฎหมายหรือความปลอดภัยสาธารณะ
  • มีองค์กรมากกว่า 2 ล้านแห่งทั่วโลกที่ใช้ผลิตภัณฑ์ MS 365 และหาก MS ต้องการ ก็สามารถควบคุมบริการได้ทันที

โครงสร้างการพึ่งพา Microsoft ขององค์กรและขนาดความเสียหายที่เกิดขึ้นจริง

  • โครงสร้างพื้นฐานไอทีขององค์กรสมัยใหม่พึ่งพาผลิตภัณฑ์ของ MS แทบทุกด้านใน ฟังก์ชันสำคัญอย่างอีเมล การทำงานร่วมกัน เอกสาร การยืนยันตัวตน และการสำรองข้อมูล
    • เช่น MS Exchange, Teams, Sharepoint, Office, Active Directory, OneDrive, Windows
  • โดยเฉพาะอีเมล เอกสาร และการจัดการตัวตนนั้น จำเป็นอย่างยิ่งต่อการคงสภาพการทำงานแบบเรียลไทม์
  • กรณีความขัดข้องที่เกิดขึ้นจริง
    • ความขัดข้องของ Crowdstrike ในปี 2024 ทำให้บริษัทในกลุ่ม Fortune 500 มีความเสียหายเฉลี่ย 44 ล้านดอลลาร์สหรัฐต่อบริษัท (ประมาณ 6 หมื่นล้านวอน)
    • แม้แต่ธุรกิจขนาดเล็กก็อาจสูญเสียตั้งแต่หลักพันถึงหลักหมื่นดอลลาร์ต่อนาที ส่วนองค์กรขนาดใหญ่เสียหายได้ถึง 16,700 ดอลลาร์ต่อนาทีต่อเซิร์ฟเวอร์ (อ้างอิง Gartner เป็นต้น)
  • แม้บริการจะหยุดเพียงช่วงสั้น ๆ ก็ยังทำให้เกิด ความเสียหายต่อเนื่องมหาศาล เช่น งานหยุดชะงัก ต้นทุนในการย้ายระบบและกู้คืน รวมถึงความเสียหายด้านชื่อเสียง
    • ต่อให้สมมติว่าสามารถสร้าง IT stack ใหม่ได้ภายใน 2 สัปดาห์ ในโลกความเป็นจริงก็แทบเป็นไปไม่ได้

จำนวนเงินที่สมเหตุสมผลสำหรับการลงทุนเพื่อลดความเสี่ยง (Prevention)

  • ตามสูตร ROSI (ผลตอบแทนจากการลงทุนด้านความปลอดภัย) ความน่าจะเป็นของการเกิดเหตุเดี่ยวต่ำมาก จนงบประมาณป้องกันที่องค์กรสามารถแบกรับได้มีน้อยอย่างยิ่ง
    • ต้นทุนของเหตุการณ์เดี่ยว (เช่น 34 ล้านดอลลาร์สหรัฐ) × ความน่าจะเป็นต่อปี (1/2,000,000) = มูลค่าความสูญเสียคาดหวังเฉลี่ยต่อปี 17 ดอลลาร์สหรัฐ
    • ต่อให้สร้างโซลูชันหลีกเลี่ยงความเสี่ยงได้อย่างสมบูรณ์ ต้นทุนที่ลงทุนได้อย่างสมเหตุสมผลก็ยังต่ำ
    • องค์กรขนาดใหญ่อย่าง Walmart จ่ายค่าบริการ MS ปีละหลายร้อยล้านดอลลาร์ แต่ต้นทุนการสร้างคลาวด์และระบบไอทีเอง รวมถึงการฝึกผู้ใช้ใหม่ ยังสูงกว่ามาก
    • แม้คำนึงถึงผลจากการลดค่าบริการและค่าไลเซนส์แล้ว ศักยภาพในการลงทุนเพื่อทดแทน MS ทั้งหมดอย่างเป็นจริงก็ยังจำกัด

ข้อจำกัดพื้นฐานและความซับซ้อนของการบริหารความเสี่ยง

  • ในการบริหารความเสี่ยงจริง แม้เหตุการณ์เดี่ยวจะมีพลังทำลายล้างสูง แต่ถ้าความน่าจะเป็นต่ำมาก การลงทุนเพื่อหาทางเลือกอาจถูกมองว่าไม่สมเหตุสมผล
  • ทุกตัวแปรอย่าง ROI ด้านความปลอดภัย ความน่าจะเป็นของเหตุการณ์ และมูลค่าความเสียหาย ล้วนมี ความไม่แน่นอน สูง และยังขาดข้อมูลที่น่าเชื่อถือจริง ๆ
    • ภายใต้สมมติฐานมากมายและความไม่แน่นอนสูง การตัดสินใจจึงอาจเอนเอียงไปสู่ความระมัดระวังสุดโต่งหรือใช้อารมณ์ได้ง่าย
  • เพราะแม้แต่ “การตัดสินใจบนฐานข้อมูล” เองก็ทำได้ยาก หลายกรณีจึงนำไปสู่ การตัดสินใจด้านการบริหารและการลงทุนที่สวนทางกับสัญชาตญาณและมีข้อถกเถียงสูง
    • สำหรับธุรกิจขนาดกลางและเล็ก อุบัติเหตุเพียงครั้งเดียวอาจนำไปสู่ “การปิดบริษัท” ได้ แต่ผลการคำนวณเชิงเหตุผลกลับอาจสรุปว่าควรยอมรับความเสี่ยง
  • สำหรับรัฐและหน่วยงานสาธารณะ กลับให้ความสำคัญกับ ปัจจัยที่ไม่ใช่การเงิน เช่น อธิปไตย สิทธิในการควบคุม และความเป็นอิสระของข้อมูล มากกว่าต้นทุน จึงผลักดันแนวทางลดการพึ่งพา MS (เช่น เดนมาร์ก)

บทสรุปและนัยสำคัญ

  • การพึ่งพาบริการของ MS มากเกินไป เป็นความเสี่ยงที่เกิดขึ้นจริงได้แม้จะพบได้น้อยมาก แต่หากเกิดขึ้นก็อาจคุกคามถึงการอยู่รอดขององค์กร
  • ในทางปฏิบัติ ทรัพยากรและงบประมาณที่สามารถทุ่มให้กับการป้องกันหรือสร้างโครงสร้างพื้นฐานทางเลือกนั้นมีจำกัดมาก
  • อย่างไรก็ตาม ก็เป็นความจริงเช่นกันว่าองค์กรที่ให้ความสำคัญกับ คุณค่าเหนือกำไร (เช่น รัฐบาลเดนมาร์ก) กำลังพิจารณาทางเลือกที่เป็นอิสระอย่างจริงจัง
  • บริษัทและหน่วยงานแต่ละแห่งจำเป็นต้องประเมินความเสี่ยงอย่างเป็นจริงและวางกลยุทธ์ระยะสั้นถึงระยะยาวให้เหมาะกับสถานการณ์ของตน
  • แนวทางรับมือเชิงปฏิบัติในเชิงนโยบายไอทีและกลยุทธ์การบริหาร ได้แก่
    • จัดทำคู่มือสภาพแวดล้อมไอทีทางเลือกสำหรับกรณีฉุกเฉิน
    • สำรองข้อมูลสำคัญและกระจายความเสี่ยงของบริการคลาวด์/อีเมล
    • ทำระบบซ้ำซ้อนสำหรับบริการจำเป็น และซ้อมสถานการณ์จำลองการเลิกพึ่งพา MS เป็นต้น
  • จำเป็นต้องวางกลยุทธ์บริหารความเสี่ยงที่สอดคล้องกับความเป็นจริง โดยพิจารณาร่วมกันหลายปัจจัย เช่น อธิปไตย ต้นทุน และความต่อเนื่องทางธุรกิจ ตามขนาดองค์กร ประเภทธุรกิจ และข้อกำหนดด้านกฎระเบียบ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-06-30
ความเห็นจาก Hacker News
  • คิดว่าเวลาจะใช้ Microsoft ต้อง แยกแยะส่วนที่ดีและส่วนที่แย่ให้รอบคอบ
    การแบน Microsoft ทั้งหมดจะทำให้ตัวเลือกของโซลูชันถูกจำกัดอย่างมาก
    บริษัทนี้มีขนาดใหญ่มากและมีวัฒนธรรมภายในที่หลากหลายมาก
    ผลิตภัณฑ์อย่าง .NET, MSSQL และ Visual Studio แทบไม่มีตัวทดแทนที่เทียบได้ โดยเฉพาะ ประสบการณ์การดีบัก ของ Visual Studio นั้นแทบเป็นเครื่องมือจำเป็นเมื่อแก้ปัญหาที่ซับซ้อนในโลกจริง
    นี่ก็เป็นเหตุผลที่เกมเอนจินระดับท็อปพึ่งพา Visual Studio อย่างมาก
    อย่างไรก็ตาม Azure และ Windows คือพื้นที่ที่ ปัญหาเริ่มต้นขึ้น สำหรับ Microsoft
    • เหตุผลที่เกมเอนจิน AAA ใช้ Visual Studio ก็เพราะ ลูกค้าเกมส่วนใหญ่อยู่บนแพลตฟอร์ม Windows
      ถ้า 95% ของเกมเมอร์ใช้ MacOS สแตกเทคโนโลยีของนักพัฒนาเกมก็คงต่างไปอย่างสิ้นเชิง
    • สงสัยว่าจะแยก ข้อดีและข้อเสีย ออกจากกันได้อย่างไร
      Microsoft มีแนวโน้มสร้างผลิตภัณฑ์ที่ไม่ดีอย่างสม่ำเสมอ และบางครั้งยังทำให้ของที่เคยพอใช้ได้ เสื่อมลงจนแย่
      ดังนั้นแม้ผลิตภัณฑ์ที่ตอนนี้ดูโอเค ก็ไม่ได้คาดหวังว่าจะดีไปได้นาน
    • ถ้า Visual Studio จำเป็นแค่กับเกมเอนจิน AAA อย่างเดียว ก็ถือเป็นคำชมที่ เบามากจนแทบไม่ใช่คำชม สำหรับ MS
      คนส่วนใหญ่ไม่ได้เขียนเกมเอนจิน AAA
    • ถึง Microsoft จะมีปัญหาหลายอย่าง แต่ก็ยังมองว่า เอกสาร API แบบเปิดสำหรับ Windows นั้นยอดเยี่ยมที่สุด
      โดยเฉลี่ยแล้วดีกว่า manpage ของ Linux หรือ BSD และดีกว่า เอกสารที่ค่อนข้างเป็นปฏิปักษ์ บางส่วนของ Apple มาก
      แต่การส่งบั๊กรีพอร์ตนั้นต้องรู้จักเครือข่ายภายในหรือรู้ว่าควรไปถามที่ไหน
    • ยกเว้นดีบักเกอร์ แล้ว Visual Studio คือ IDE ที่ แย่ที่สุด ที่ฉันเคยใช้
      ตอนแก้ไขโค้ด JavaScript ระบบเยื้องบรรทัดอัตโนมัตินั้น เละเทะ ราวกับเครื่องสุ่มตัวเลข
      ระหว่างรันโปรเจกต์ก็เพิ่มไฟล์ใหม่ไม่ได้ และสร้างจาก context menu ก็ไม่ได้เช่นกัน
      ถ้าไฟล์ภายนอกถูกแก้ไข มันก็แค่แนะนำให้รีสตาร์ต
      นอกจากนี้ยังมีปัญหาเล็ก ๆ น้อย ๆ อีกนับไม่ถ้วน โดยเฉพาะการจัดรูปแบบการเยื้องอัตโนมัติที่ทรมานมาก
  • รู้สึกว่าเป็นเรื่อง น่าประหลาดใจ ที่ทั้งบุคคลและบริษัทจำนวนมากใช้บริการคลาวด์ของ Microsoft
    นี่คือ single point of failure (จุดล้มเหลวเพียงจุดเดียว) ที่ควบคุมไม่ได้
    เรื่องเดียวกันนี้ใช้ได้กับ Google หรือ Youtube ด้วย และดูเสี่ยงพอ ๆ กับการขับเครื่องบินโดยสารที่มีเครื่องยนต์เพียงตัวเดียว
    เลยสงสัยว่าคนยอมรับความเสี่ยงแบบนี้ได้อย่างไร
    • บริษัทส่วนใหญ่ทำ สัญญาอย่างเป็นทางการ กับ Microsoft
      มันปลอดภัยกว่าสตาร์ทอัป 2 คนที่เริ่มจากโรงรถมาก
      ในสัญญามีเงื่อนไขเข้มงวดที่รับประกันเรื่องระดับบริการ ความรับผิดชอบ และความคาดหวังต่าง ๆ
      คล้ายกับร้านอาหารที่จัดหาผักจากฟาร์มขนาดใหญ่ ไม่ใช่จากแปลงปลูกเล่นของเพื่อน
    • ถามว่า การใช้ AWS ก็ถือเป็น single point of failure แบบเดียวกันหรือไม่
      ในโลกจริง การสร้างหลายจุดรองรับความล้มเหลวต้องอาศัยขนาดองค์กรระดับหนึ่ง และในทางปฏิบัติก็มักสมเหตุสมผลกว่าที่จะ โฟกัสกับธุรกิจเอง แทนที่จะกังวลกับปัญหานี้
      จริง ๆ เคยมีฝ่ายบริหารที่กังวลเรื่องนี้ แต่ต้นทุนในการทำระบบซ้ำซ้อนมักให้ผลตอบแทนสู้การลงทุนด้านอื่นในธุรกิจไม่ได้
    • บริการคลาวด์ของ Microsoft ราคาถูกและใช้งานได้ดี
      และเชื่อมรวมกับทุกสิ่งที่ต้องการได้ง่าย
    • ถามว่านี่ไม่ใช่ ธรรมชาติของสังคมอารยธรรม หรอกหรือ
      คนส่วนใหญ่พึ่งพาเงินเดือน และยังมีความสามารถจำกัดทั้งในการผลิตอาหารเองหรือรับมือเหตุฉุกเฉิน
      การพึ่งพาแบบนี้ยิ่งทวีความเข้มข้นขึ้นเรื่อย ๆ
    • เมื่อมองจากต้นทุนและค่าเสียโอกาสของคุณค่าแล้ว การ สร้างทางเลือกทดแทนขึ้นเองนั้นไม่สมจริง
      เมื่อคำนึงถึงปัญหาจุกจิกมากมายที่จะเกิดจากการย้ายไปใช้บริการที่คนนิยมน้อยกว่า การยอมพึ่งบริการเดิมทั้งที่รู้ว่าเป็นจุดล้มเหลวเดียวก็ยังเป็นทางเลือกที่สมเหตุสมผล
  • ไม่นานมานี้มีเหตุการณ์ที่ Microsoft บล็อกเมลบ็อกซ์ ของบุคคลที่ถูกคว่ำบาตร
    ถ้าเป็นองค์กรที่พึ่งพาผลิตภัณฑ์ของ MS อย่างมาก ก็ควรถามอย่างจริงจังว่า 'เรื่องแบบนี้จะเกิดกับเราด้วยได้ไหม?' และ 'ต้องลงทุนเท่าไรถึงจะป้องกันสถานการณ์แบบนี้ได้?'
    บทความนี้พยายามมองข้อเท็จจริงและประเมินอย่างเป็นจริงเป็นจังจากมุมมองผลตอบแทนต่อการลงทุนด้านความปลอดภัย (ROI)
  • ความเสี่ยงแบบนี้ ใช้กับทุกบริษัทที่มีสำนักงานใหญ่ในสหรัฐฯ
    ไม่ใช่แค่ Microsoft แต่ Google, Amazon และ Apple ก็คงไม่สามารถปฏิเสธคำขอจากรัฐบาลสหรัฐฯ ได้เหมือนกัน
    • เหตุผลที่พูดถึง Microsoft โดยเฉพาะ ก็เพราะมี กรณีบล็อกเมลบ็อกซ์ นั้นเกิดขึ้น
  • ความเสี่ยงที่บทความนี้พูดถึงไม่ใช่ความเสี่ยงของ Microsoft เพียงรายเดียว
    มันคือปัญหาของการ เอาต์ซอร์สบริการที่ไม่มีสิ่งทดแทน
    ถ้าทำให้เทคโนโลยียืดหยุ่นพอ ความเสี่ยงนั้นก็จะหายไป
    • จาก มุมมองของ EU จำเป็นต้องมีการตอบสนองอย่างสมเหตุสมผลต่อผู้ให้บริการผูกขาดจากต่างชาติที่อาจถูกควบคุมโดยรัฐบาลต่างประเทศ
      คิดว่า MS ควรยื่นคำขาดด้วยการตั้งนิติบุคคลอิสระที่อยู่ภายใต้การควบคุมของ EU โดยตรง หรือไม่ก็ควรมีการบังคับโครงสร้างนี้ทางกฎหมาย
      ท้ายที่สุด ต่อให้ต้องตัดขาดจาก Microsoft สหรัฐฯ ทาง Microsoft ใน EU ก็ควรต้องดำเนินงานได้ด้วยตัวเอง และหากไม่มีโครงสร้างแบบนี้ Microsoft ที่ถูกควบคุมจากสหรัฐฯ ก็เป็นความเสี่ยงด้านความมั่นคงร้ายแรงของยุโรป
    • การบอกว่าความยืดหยุ่นทางเทคโนโลยีเพียงอย่างเดียวทำให้ความเสี่ยงหายไป เป็นการมองข้าม ความเสี่ยงทางการเมือง
      ทันทีที่สภาพแวดล้อมทางการเมืองเปลี่ยนไป หากไม่ได้เตรียมรับมือไว้ เทคโนโลยีอย่างเดียวก็รับมือไม่ได้
  • สำหรับบริษัทส่วนใหญ่ ต้นทุนและความยากในการออกจาก Microsoft สูงกว่าประโยชน์ที่จะได้รับ
    • อาจจะจริง
      ผลิตภัณฑ์ Microsoft บางตัวฝังลึกมาก แต่ในความเป็นจริง บริษัทส่วนใหญ่ไม่ได้ใช้ผลิตภัณฑ์หลากหลายชุดอย่างกว้างขวางนัก
      สิ่งที่ทำให้คนส่วนใหญ่หลุดออกไปไม่ได้คือ บริการยืนยันตัวตน (เช่น Azure AD)
      เรื่องการยืนยันตัวตนอาจกลับกลายเป็นส่วนที่จัดการง่ายกว่าเสียอีก
    • บริษัทอเมริกันแทบทั้งหมดต้องปฏิบัติตาม คำสั่งศาล ดังนั้นถ้าจะหลีกเลี่ยงมาตรการคว่ำบาตรนี้ ก็ต้องย้ายไปใช้ บริษัทนอกสหรัฐฯ เท่านั้น
    • สรุปแล้ว ตัวแปรที่ใหญ่ที่สุดคือ จะมีมาตรการคว่ำบาตรเพิ่มเติมหรือไม่
      ถ้า Microsoft ต้องบังคับใช้มาตรการคว่ำบาตรมากขึ้นในอนาคต ความเสี่ยงก็จะเพิ่มจนยอมรับไม่ได้
  • ในยุคโลกาภิวัตน์ บริษัทแค่ปฏิบัติตามสนธิสัญญาหรือบรรทัดฐานระหว่างประเทศก็พอ แต่เมื่อ กระแสโลกาภิวัตน์ถอยหลัง ตอนนี้กลับกลายเป็นว่าต้องใช้กฎหมายของแต่ละประเทศกับทั้งกิจการในประเทศและต่างประเทศทั้งหมด
    จากนี้ไปต้องคำนึงถึงความเสี่ยงแบบนี้เสมอ
    • บริษัทไม่เคยได้รับการยกเว้นจาก กฎหมายของประเทศตนเอง อยู่แล้ว
    • ในความเป็นจริง ชุดกฎหมายที่ต้องปฏิบัติตามคือ สหภาพแบบประหลาด ของกฎหมายในประเทศที่บริษัททำธุรกิจ และประเทศที่ผู้ใช้งานอาศัยอยู่
      ถ้ากฎหมายซ้อนทับกันดีทุกอย่างก็ชัดเจน แต่ถ้าไม่ก็จะไม่แน่นอนและยากมาก
      อย่างที่เห็นในกฎหมายด้านความเป็นส่วนตัวและคุกกี้ มันซับซ้อนมาก
  • เทรนด์ที่ความสนใจในนาฬิกากลไก ปากกาหมึกซึม และสตีมพังก์กลับมาอีกครั้งเมื่อเร็ว ๆ นี้ ทำให้รู้สึกว่านี่คือปฏิกิริยาต่อ ปัญหาทางสังคมที่เทคโนโลยีเกินกว่ามนุษย์จะเข้าใจ
    คนทั่วไปมักอธิบายเรื่องสแตกเครือข่าย โปรโตคอล หรือหลักการทางกายภาพได้ยาก
    แม้จะมีนักเทคสายวิสัยทัศน์บางคนที่รันอีเมลเซิร์ฟเวอร์เอง แต่สำหรับบุคคลทั่วไปแล้ว สภาพแวดล้อมของอีเมลนั้น โหดมาก หากจะดูแลคนเดียว
    ไม่ใช่แค่เพราะสแปม แต่ยังแทบเป็นไปไม่ได้ที่จะได้รับความเชื่อถือจากบริการรายใหญ่
    อยู่ได้โดยไม่มี Excel หรือ Google Sheets แต่คิดว่าการทำงาน โดยไม่มีสเปรดชีตเลย นั้นยากมาก
  • การทำ business continuity management อย่างมีประสิทธิภาพคือการใช้องค์ประกอบอย่างประกันภัยมาชดเชยความเสี่ยงหลายรูปแบบ
    แม้ต้องยอมรับในเชิงสถิติว่าอาจมีโอกาสที่ธุรกิจจะพังทลายในพริบตา แต่ถ้ามีการลดความเสี่ยงผ่านประกัน ก็ยังไม่ถือว่าเกมโอเวอร์
    • ถามอย่างจริงจังว่า มีประกันประเภทใดบ้างที่คุ้มครองจริงในกรณีที่ ผู้ให้บริการหลักหายไปด้วยเหตุผลทางการเมือง
  • จากมุมของบริษัท การทิ้ง Microsoft ไม่ใช่ทางเลือกที่สมเหตุสมผล
    ไม่มีตัวเลือกที่เป็นจริงสำหรับการแทนที่ Active Directory, Teams, Outlook/Exchange
    • ตรรกะแบบค่าคาดหวังทางสถิติ (เสียหายเชิงความน่าจะเป็นน้อยเลยโอเค) ใช้ไม่ค่อยได้
      ประกันภัยมีค่าคาดหวังติดลบเสมอ แต่บริษัทก็ยังซื้อเพราะความเสี่ยง
      และก็ยากจะมองว่าความเสี่ยงจากการถูกตัดการควบคุมนั้นต่ำระดับหนึ่งในสองล้าน
      ยกตัวอย่างเช่น ถ้า Trump เพิ่มทั้งประเทศใดประเทศหนึ่งเข้าไปในรายการคว่ำบาตร บริษัททั้งหมดในประเทศนั้นก็อาจถูกตัดออกได้