تواجه الحكومة أسئلة حول سبب تعطيل انقطاع AWS في الولايات المتحدة لمكتب الضرائب والشركات المصرفية في المملكة المتحدة

الاستخدام الحكومي للسحابة تحت المجهر

تعهدت AWS بنشر “ملخص ما بعد الحدث” المفصل الذي يوضح بالتفصيل أسباب الانقطاع والخطوات التي يتعين عليها اتخاذها لإعادة الخدمات إلى الإنترنت مرة أخرى.

في غضون ذلك، وتماشيًا مع توصيات سايرز، يُطلب بالفعل من وزارة الخزانة تفسير سبب عدم استخدام الصلاحيات الممنوحة لها في وقت سابق من هذا العام لضمان أن الموردين مثل AWS قادرون على تقديم خدمات سحابية مرنة للمؤسسات في قطاع الخدمات المالية.

نشرت رئيسة لجنة الخزانة المختارة، ميج هيلير، رسالة كتبتها إلى وزيرة الاقتصاد، لوسي ريجبي، والتي يبدو أنها كتبت أثناء انقطاع خدمات AWS.

تدعو الرسالة ريجبي إلى توضيح سبب إهمال وزارة الخزانة، على الرغم من امتلاكها القدرة على القيام بذلك منذ يناير 2025، حتى الآن إضافة AWS إلى قائمة موردي الأطراف الثالثة المهمة (CTP).

يهدف هذا التصنيف، الذي تم تقديمه من خلال التغييرات التي تم إجراؤها على قانون الخدمات والأسواق المالية لعام 2020 في نوفمبر 2024، إلى تزويد الهيئات التنظيمية المالية في المملكة المتحدة بالوسائل اللازمة لإدراج موردي الطرف الثالث للقطاع ضمن نطاقهم الإشرافي – والفكرة هي أن القيام بذلك قد يساعد بشكل أفضل في إدارة أي مخاطر محتملة على استقرار ومرونة النظام المالي في المملكة المتحدة والتي قد تنشأ نتيجة لمعاناة مورد خارجي من انقطاع الخدمة، كما حدث في 20 أكتوبر مع أوس.

وكما هو مذكور في رسالة هيلير، يبدو أن وزارة الخزانة لم تستدعي بعد أي موردين إلى نطاق نظام CTP، بما في ذلك AWS، المعروفة بأنها مورد لعدد كبير من مؤسسات الخدمات المالية في المملكة المتحدة.

“في ضوء الانقطاع الكبير الذي حدث اليوم في Amazon Web Services… لماذا لم تقم وزارة الخزانة البريطانية بتعيين Amazon Web Services أو أي شركة تكنولوجيا كبرى أخرى كبرنامج للتحويلات النقدية لأغراض نظام الأطراف الثالثة الحرجة”، سأل هيلير في الرسالة. “[And] متى يمكننا أن نتوقع إدخال الشركات في هذا النظام؟

طلبت هيلير أيضًا من وزارة الخزانة توضيحًا بشأن ما إذا كانت تشعر بالقلق إزاء حقيقة أن “الأجزاء الرئيسية على ما يبدو من البنية التحتية لتكنولوجيا المعلومات لدينا مستضافة في الخارج” نظرًا لأن الانقطاع نشأ من منطقة مركز بيانات AWS ومقرها الولايات المتحدة ولكنه أثر على أنشطة بنك لويدز وأيضًا إدارة الإيرادات والجمارك البريطانية.

وفيما يتعلق بالنقطة الأخيرة، تساءل هيلر: “ما هو العمل الذي تقوم به وزارة الخزانة البريطانية مع إدارة الإيرادات والجمارك البريطانية للنظر في الأخطاء التي حدثت، وكيف يمكن منع ذلك في المستقبل؟”

اتصلت Computer Weekly بـ HM الخزانة للحصول على تفاصيل حول ردها على خطاب Hillier، وللحصول على توضيح حول ما إذا كانت لديها خطط لإضافة AWS إلى قائمة CTP قريبًا. وتساءلت أيضًا عما إذا كانت وزارة الخزانة لديها مخاوف بشأن أجزاء من البنية التحتية المصرفية في المملكة المتحدة يتم استضافتها في الخارج، في أعقاب انقطاع الخدمة.

لم يقم متحدث باسم الإدارة الحكومية بالإجابة بشكل مباشر على الأسئلة التي طرحتها مجلة Computer Weekly، لكنه قدم البيان التالي ردًا على ذلك:

وجاء في بيان الخزانة: “نحن نعلم التهديد الذي يشكله المهاجمون السيبرانيون، ولهذا السبب نعمل مع المنظمين لإنشاء نظام مهم للطرف الثالث، حتى نتمكن من إلزام الشركات التي تقدم هذه الخدمات بنفس المعايير العالية مثل مؤسسات الخدمات المالية الأخرى”.

اعتماد المملكة المتحدة على السحب الخارجية

إن سؤال هيلير إلى وزارة الخزانة حول ما إذا كان لديها أي مخاوف بشأن الأجزاء الرئيسية من البنية التحتية لتكنولوجيا المعلومات في المملكة المتحدة التي يتم استضافتها في الخارج، يردده مراقبو السوق السحابية وأصحاب المصلحة الآخرون في المملكة المتحدة في أعقاب الانقطاع.

“يجب أن نطرح السؤال الواضح: لماذا تعتمد العديد من المؤسسات المهمة في المملكة المتحدة، من إدارة الإيرادات والجمارك البريطانية إلى البنوك الكبرى، على مركز بيانات على الساحل الشرقي للولايات المتحدة؟” قال مارك بوست، الرئيس التنفيذي لشركة Civo للخدمات السحابية ومقرها لندن.

“السيادة تعني السيطرة عند وقوع مثل هذه الحوادث – ولكن الكثير من حوادثنا يتم الاستعانة بمصادر خارجية حاليًا لمقدمي الخدمات السحابية الأجانب. ويعد انقطاع خدمات AWS بمثابة تذكير آخر بأنه عندما تضع كل بيضك في سلة واحدة، فإنك تراهن على البنية التحتية الحيوية.

وقال: “عندما تتمكن نقطة فشل واحدة من إسقاط إدارة الإيرادات والجمارك البريطانية، يصبح من الواضح أن اعتمادنا على حفنة من عمالقة التكنولوجيا الأمريكيين ترك الخدمات العامة الأساسية مكشوفة بشكل خطير”.

قامت AWS بتشغيل منطقة مركز بيانات في المملكة المتحدة منذ عام 2016، مع نقطة بيع رئيسية لهذه المرافق وهي أنها ستسمح للمؤسسات الموجودة في المملكة المتحدة بالوصول إلى الإصدارات المستضافة محليًا من خدماتها السحابية العامة.

يضيف هذا وزنًا إضافيًا إلى تساؤلات Boost وHillier حول سبب تأثير انقطاع التيار الكهربائي في الولايات المتحدة على المؤسسات الموجودة في المملكة المتحدة، في حين أنه من المفترض أن تعتمد هذه المؤسسات على منطقة المملكة المتحدة للوصول إلى خدمات AWS.

عندما طرحت Computer Weekly هذا السؤال على AWS، مستشهدة بالتعطيل الذي حدث لـ HMRC أثناء انقطاع الخدمة كمثال، نصح متحدث باسم الشركة النشر بتوجيه هذا التعليق مباشرة إلى وكالة الضرائب الحكومية.

نموذج المسؤولية المشتركة

من المحتمل أن تتحدث هذه الاستجابة (أو عدم وجودها) عن فكرة “نموذج المسؤولية المشتركة” الذي تشترك فيه AWS، حيث تأخذ المنظمة في الاعتبار الأمان،”https://aws.amazon.com/compliance/shared-responsibility-model/”>الامتثال ومرونة البيئات السحابية لعملائها يشكل عبئًا مشتركًا.

كما هو مفصل في صفحة الويب المرجعية لنموذج المسؤولية المشتركة للشركة، تم تصميم هذا الإعداد “لتخفيف” عملاء AWS من العبء التشغيلي لتشغيل البنية التحتية السحابية الخاصة بهم، لكنهم يظلون مسؤولين عن أي بيانات يختارون استضافتها فيها.

“يجب على العملاء أن يفكروا بعناية في الخدمات التي يختارونها [to host in AWS] حيث تختلف مسؤولياتهم اعتمادًا على الخدمات المستخدمة، وتكامل تلك الخدمات في بيئة تكنولوجيا المعلومات الخاصة بهم، والقوانين واللوائح المعمول بها.

“إن طبيعة هذه المسؤولية المشتركة توفر أيضًا المرونة والتحكم في العملاء التي تسمح بالنشر.”

وفي حديثه إلى Computer Weekly، قال برنت إليس، المحلل الرئيسي في شركة Forrester لمراقبة سوق تكنولوجيا المعلومات، إن حقيقة الانقطاع الذي نشأ في منطقة AWS US-East-1 وتأثر المنظمات في المملكة المتحدة تشير إلى أن “جزءًا ما على الأقل” من إعدادات HMRC و Lloyds كان يعتمد على تلك المنطقة.

قال إليس: “كان من الممكن أن يكون ذلك اختيارًا هندسيًا من قبل تلك الشركات، ولكن ليس بالضرورة خطأً من جانب AWS”. “من الممكن أيضًا أن يتم تقديم هذه التبعية بواسطة SaaS المتداخلة [software as a service] مكون للمنظمات المعنية.

“بشكل عام، أعتقد أن هذا يوضح مدى تعقيد وترابط البنية التحتية السحابية الحديثة، وهذه مشكلة من منظور المرونة، خاصة إذا لم يكن لديك رؤية للتبعيات المتداخلة التي تكمن وراء مجموعة تكنولوجيا الأعمال الخاصة بك.”

التدخل التنظيمي

ونظرًا للتأثير الذي يمكن أن تحدثه مثل هذه التبعيات، يرى إليس أن انقطاع خدمة AWS قد يؤدي إلى دعوات للتدخل التنظيمي لمنع تكراره، على غرار ما تدعو إليه هيلر وزملاؤها في لجنة الخزانة المختارة. وقال: “أعتقد أن هذا يغذي الدفعة الأكبر نحو السحابة السيادية”. “من المحتمل أيضًا أن يحفز التنظيم لزيادة الرؤية في التبعيات والمجالات الخاطئة للقطاعات الحيوية مثل التمويل”.

وأضاف سايرز أن ما يحتاج مستخدمو الخدمات السحابية واسعة النطاق، مثل AWS، إلى معرفته هو ما هي الخدمات والقدرات ضمن المحافظ الموسعة للموردين المختارين التي يتم استضافتها في المملكة المتحدة، ومدى مرونتها.

لتسليط الضوء على سبب أهمية ذلك، استشهد بنتائج سلسلة من التحقيقات في ترتيبات الاستضافة السحابية لشركة Microsoft في قطاع الشرطة الاسكتلندي والتي عمل مع Computer Weekly لنشرها للعامة.

وأدى هذا العمل إلى كشف أولي من مايكروسوفت بأنه”https://www.computerweekly.com/news/366589152/Microsoft-admits-no-guarantee-of-sovereignty-for-UK-policing-data”>لا يمكنها ضمان سيادة بيانات الشرطة في المملكة المتحدة المخزنة والمعالجة في منصة M365 الخاصة بها.

وأعقب ذلك لاحقًا اكتشافات أخرى مفادها أنه يمكن معالجة بيانات الشرطة المستضافة في سحابة Microsoft في أكثر من 100 دولة.”https://www.computerweekly.com/news/366632040/Microsoft-hides-key-data-flow-information-in-plain-sight”> دون أن يعرف المستخدمون ذلك صراحةً.

“نحن نعلم بالفعل أن Microsoft ليس لديها القدرة الموجودة في المملكة المتحدة لجميع خدماتها، ولكننا بحاجة إلى معرفة ما هي بالضبط [overseas hyperscalers] قال سايرز: “يمكن أن تحقق هذه المشاريع نجاحاً في البلاد ومدى مرونتها في الواقع. نحن بحاجة إلى أن نفهم بشكل صحيح نقاط فشلهم وكيف يمكن تصميمها حولها”.

وتابع: لقد سعى بعض أصحاب المقياس الفائق إلى التهرب من الإجابة على الأسئلة حول هذه النقطة، زاعمين أن المعلومات حساسة تجاريًا. قال سايرز: “هذا ليس دفاعًا يمكننا التسامح معه بعد الآن”. “هذه الخدمات أصبحت هشة بشكل متزايد، ومعقدة بشكل متزايد، ومخفية بشكل متزايد عن أعيننا. وإذا أردنا الاعتماد عليها، فنحن بحاجة إلى معرفة أنها موثوقة، وإذا لم تكن كذلك، فنحن بحاجة إلى التركيز – على الأقل بالنسبة للخدمات الحيوية. “

القضايا التي أنشأها العملاء

زميل إليس، داريو مايستو، هو أحد كبار المحللين في شركة Forrester، والذي أخبر مجلة Computer Weekly أن AWS تدرك أن التبعيات المعمارية التي أنشأها العميل عبر المناطق هي جزء من “مشكلة سيادة أكبر” تواجه قاعدة عملائها الأوروبيين.

“[AWS] على وشك إطلاق نسخة طبق الأصل مثالية من خدماتها [in Europe] تحت AWS الاتحاد الأوروبي [European Union] العرض السحابي السيادي، مع عزل الأول [sovereign] المنطقة في ألمانيا”، على حد تعبيره.

“في الواقع، الطريقة الوحيدة التي يمكن للعميل من خلالها التأكد من أن بياناته وأعباء العمل الخاصة به لا تعاني من أي تبعية للبنية التحتية في الخارج هي العزل المادي والمنطقي للمناطق السحابية التي يستخدمها العميل [so that it] يجب ألا يكون من الممكن على الإطلاق أن يكون العميل قادرًا على اتخاذ أي خيار يخلق الاعتماد على البنية التحتية الأجنبية.

وتابع مايستو أن تحقيق هذه النتيجة يعني أنه يجب استضافة جميع الخدمات التي يحتاجها العميل داخلها لقد عزل المنطقة باعتبارها المنطقة الوحيدة التي يمكن للعميل الوصول إليها. وأضاف: “إن حدود البيانات أو الالتزام بالسوق لا يمكن أن يضمن ما يمكن أن يمنحه فقط البناء المعماري الدقيق للبيئة السحابية للعميل”.

إن AWS ليست المزود السحابي الوحيد الذي يعاني من انقطاع الخدمة، وأي شركة سحابية تعهد مؤسسة ببياناتها إليها يمكن أن تعاني من مصير مماثل في مرحلة ما من وجودها.

لكن،”https://www.computerweekly.com/news/366632179/Cloud-provider-publishes-tech-sovereignty-plan-for-UK”> وقال Civo’s Boost إن الحادث يسلط الضوء على سبب قيام الشركات بذلك يجب أن تتطلع إلى تنويع مجموعتها من مقدمي الخدمات السحابية، ولكن أيضًا لماذا تحتاج الحكومات والجهات التنظيمية إلى إلقاء نظرة فاحصة على مقدار البنية التحتية العالمية التي تعمل على عدد صغير نسبيًا من المنصات السحابية واسعة النطاق.

وقال: “كلما أصبحت بنيتنا التحتية أكثر تركيزا، أصبحت أكثر هشاشة وأكثر خضوعا للإدارة الخارجية”. “إذا كانت أوروبا جادة بشأن السيادة الرقمية، فإنها تحتاج إلى تسريع تحولها نحو البنية التحتية المتنوعة والمدارة محليا. وتقع على عاتق الحكومات والهيئات التنظيمية مسؤولية تهيئة الظروف للمنافسة الحقيقية. وهذا يعني إعادة النظر في المشتريات، وتمويل البدائل السيادية، وجعل المرونة شرطا أساسيا”.