إذا كنت ترغب في طلب بيج ماك في 15 مارس، فربما لم يحالفك الحظ. شهدت شركة ماكدونالدز انقطاعًا تكنولوجيًا عالميًا، والذي نسبته إلى “مزود طرف ثالث أثناء تغيير التكوين”، وفقًا لما ذكره أحد التقارير. تحديث من بريان رايس، نائب الرئيس التنفيذي ومدير تكنولوجيا المعلومات العالمي.
لم تشارك ماكدونالدز الطبيعة الدقيقة لهذا التغيير في التكوين، لكن التأثير الواسع النطاق الذي أحدثه يعكس كيف يمكن أن تتسلسل تغييرات الطرف الثالث على البنى التحتية التقنية المعقدة بشكل متزايد.
ما هي الدروس التي يمكن لقادة المؤسسات استخلاصها من انقطاع خدمة ماكدونالدز عندما يأخذون في الاعتبار التعقيد المتزايد لمجموعاتهم التكنولوجية؟
ارتباك التكوين
تعد تغييرات التكوين جزءًا طبيعيًا من العمل اليومي لتحسين وظائف البنية التحتية التقنية وأدائها. مع وجود الكثير من الأجزاء المتحركة والأطراف المختلفة المعنية، يمكن لقضية تبدو بسيطة أن يكون لها تأثير واسع النطاق.
“شيء بسيط مثل خطأ مطبعي في عنوان خادم قاعدة البيانات – حتى لو تم تصحيحه على الفور – يمكن أن يؤدي إلى سلسلة من حالات الفشل التي تنتشر عبر الشبكة،” جاوشين لي، دكتوراه، المؤسس والرئيس والمدير التنفيذي لشركة Zero-Trust شركة الحلول أنظمة زينتيرا“، يشرح في مقابلة عبر البريد الإلكتروني.
ليس من الواضح دائمًا من يقوم بإجراء التغييرات ومتى. يمكن أن يكون تعقب الخطأ وإصلاحه بمثابة شق طريقك عبر متاهة. “بالنسبة لشركة ماكدونالدز، من المحتمل جدًا أن الكثير من المعلومات حول الحادث الفعلي لم تكن متاحة في الوقت المناسب من العديد من الأطراف الثالثة التي تشكل جزءًا من عرض الخدمة بالكامل،” جيم روث، كبير مسؤولي الثقة في ماكدونالدز، سافينت، شركة الهوية السحابية والحوكمة، تقول InformationWeek.
مهما كان التغيير في التكوين، فقد أدى إلى مشكلات واسعة النطاق في مواقع ماكدونالدز. بعض المطاعم لا يمكن تلقي الطلبات أو معالجة المدفوعات; حاول البعض التغلب على المشكلة عن طريق كتابة الطلبات وأخذ الأموال النقدية، وفقًا لتقارير BleepingComputer.
في 16 مارس، شاركت ماكدونالدز في تحديثها أن مطاعمها حول العالم عادت إلى العمل. ولكن حتى ساعات التوقف عن العمل يكون لها تأثير واضح على الإيرادات. يقول لي: “لكن هذه مجرد خسائر مباشرة – فالضرر الذي يلحق بالعلامة التجارية وعوامل أخرى يمكن أن يجعل مثل هذا الانقطاع أكثر إيلامًا”.
رؤية مكدس التكنولوجيا
إن قيام طرف ثالث عن غير قصد بالتسبب في هذا الانقطاع على نطاق واسع هو مثال صارخ على مخاطر الطرف الثالث. أصبحت سلاسل التوريد التقنية أكثر تعقيدًا، وليس أقل. يقول روث: “سيكون هناك المزيد من المؤسسات التي ستواجه أنواعًا مماثلة من انقطاع التيار الكهربائي، لسوء الحظ”.
وتعهدت ماكدونالدز في تحديثها: “في الأيام المقبلة، سنقوم بتحليل المشكلة والضغط من أجل المساءلة عبر فرقنا والبائعين الخارجيين”. كيف يمكن لقادة المؤسسات فهم المخاطر المحتملة المحيطة بالتكوينات والتخفيف منها؟
زيادة الرؤية أمر بالغ الأهمية. “قد يرى مزود خدمة الطرف الثالث الذي يوفر وظائف التطبيق جزءًا من السجلات وقد يرى مزود الخدمة السحابية جزءًا آخر من السجلات، ولكن لا أحد لديه رؤية كاملة لما يفعله المستهلك الرقمي الفعلي في استخدام التطبيق وكيف يوضح روث أن التطبيقات مهيأة بالضرورة للعمل عبر الأنظمة الأساسية.
يمكن أيضًا أن تكون إدارة الوصول إلى الهوية مجزأة. قد يكون لدى المؤسسات ومقدمي الخدمات السحابية والجهات الخارجية الأخرى أساليب مختلفة.
الأمر متروك لقادة المؤسسات للعمل مع أطرافهم الثالثة للحصول على رؤية حول من يقوم بإجراء التغييرات التي يمكن أن تؤثر على قدرتهم على العمل. يقول روث: “إنها فرصة عظيمة لشركة ماكدونالدز لإجراء بعض التغييرات الأساسية في برنامج حوكمة الطرف الثالث الخاص بها والذي يعالج المخاطر الناجمة عن إدارة التكوين”.
مخاطر الأمن السيبراني
وشددت ماكدونالدز على أن هذا الانقطاع “لم يكن ناجما بشكل مباشر عن حدث يتعلق بالأمن السيبراني”. ولكن من المهم أن يفهم قادة المؤسسات أن مشكلات التكوين يمكن أن تؤدي إلى حوادث تتعلق بالأمن السيبراني.
ويشير رايس إلى أن “التطبيقات التي تم تكوينها بشكل سيئ يمكن أن تجعل التطبيق عرضة لأي عدد من التهديدات الشائعة”.
وتدعو رايس إلى مراجعة البائعين الخارجيين باستخدام ثالوث وكالة المخابرات المركزية: السرية والنزاهة والتوافر. ما نوع الضوابط التي يطبقها البائعون للتخفيف من مخاطر فشل أي جانب من هذا المثلث؟
ويوضح قائلاً: “تحتاج الشركات إلى تحديد ما هو موجود ضمن تلك الضوابط، ومن ثم يتعين عليهم تدقيق حسابات الأطراف الثالثة وفقًا لرضاهم عن تلك الضوابط”. “إذا فشل أي شيء في تطبيق تلك الضوابط، فإنهم يحتاجون حقًا إلى مراجعة ما إذا كانت الفوائد التي تعود على الشركة تفوق المخاطر ثم وضع ضوابط وتعويضات عن تلك المخاطر.”
ولكن حتى أفضل الخطط الموضوعة يمكن أن تفشل وسوف تفشل. ماذا يحدث في حالة حدوث انقطاع، مرتبط بحادث يتعلق بالأمن السيبراني أو غير ذلك؟
يقول روث: “نادرًا ما يتم ممارسة التواصل الضروري بين الأطراف الثالثة والرابعة والخامسة كسيناريو”. “هناك فرصة واضحة للقيام بذلك وحصد الدروس المستفادة من تلك الممارسة في إدارة تكوين أفضل، وهذا من شأنه تحسين المرونة على الرغم من التعقيد المتزايد لسلاسل التوريد المتعددة اليوم.”
يسلط لي الضوء على أهمية إجراء تمارين الطاولة لإعداد فرق المؤسسة وتحسين المرونة، ويقدم Netflix كمثال. “طوّرت Netflix أداة رائعة (قرد الفوضى) الذي يقتل مثيلات الإنتاج بشكل عشوائي. “لقد حققت Netflix نجاحًا كبيرًا في استخدامها لإنشاء انقطاعات صناعية صغيرة، مما أجبر فريقها على بناء أنظمة وإجراءات مرنة.”
ومع احتمال حدوث المزيد من حالات الانقطاع مثل تلك التي شهدتها ماكدونالدز لمؤسسات أخرى، فإن هذه المرونة تعتبر أحد الاعتبارات الحيوية لفرق القيادة. “إذا كنت في أي مكان في الإدارة العليا وطرحت السؤال التالي: “هل النظام جاهز؟” عليك أن تدرك أن هذا هو السؤال الخطأ الذي يجب طرحه. يقول روث: “السؤال الصحيح هو: هل النظام مرن؟”.
