Geçtiğimiz ay McDonald’s’ın ödeme kabul etmesini engelleyen küresel kesinti, şirketin nasıl bir ana sınıf görevi görmesi gereken uzun bir açıklama yayınlamasına neden oldu. Olumsuz Bir BT sorununu bildirmek için. Belirsiz ve yanıltıcı olmasına rağmen şirket yine de birçok teknik detayın anlaşılmasına olanak tanıyan bir dil kullandı.
(Burger King İngiltere sizinle dalga geçtiğinde ana üssünüzden çok uzaklara gittiğinizi biliyorsunuz; McDonald’s’ın kesintiye uğradığı haberine yanıt olarak Burger King, LinkedIn’de paylaşım yaparak kendi sloganını kullandı: “Onu Sevmiyorum”)
McDonald’s’ın açıklaması ne olduğu konusunda belirsizdi ancak hangi satıcıyı kastettiğini belirtmeden zincirin satış noktası (POS) satıcısını otobüsün altına atmayı tercih etti. Şık.
Kesintinin başlamasından kısa bir süre sonra – ancak sona ermeden – yapılan açıklamada şunlar belirtildi: “Bu sorunun bir siber güvenlik olayından kaynaklanmadığı dikkat çekicidir; bunun yerine, bir yapılandırma değişikliği sırasında üçüncü taraf bir sağlayıcıdan kaynaklanmıştır.” Birkaç saat sonra, “doğrudan” kelimesini ekleyerek bu cümleyi sessizce değiştirdi; direkt olarak bir siber güvenlik olayından kaynaklanıyor.”
Bu ek her türlü sorunu gündeme getirdi. Teknik olarak bu, bir yerlerde kesinlikle bir “siber güvenlik olayının” olduğu ve muhtemelen McDonald’s’ı ya da POS sağlayıcısını etkilemeyen ve kesintide bir şekilde rol oynayan bir “siber güvenlik olayı” olduğu anlamına geliyordu. En olası senaryo, McDonald’s’ın veya POS sağlayıcısının, McDonald’s ortamında da mevcut olan bir POS deliğinden yararlanan başka bir yerde (büyük olasılıkla birden fazla saldırı) bir saldırıyı öğrenmesidir.
İkisinden biri daha sonra acil bir çözüm uygulamaya karar verdi. Yamanın yetersiz veya hiç test edilmemesi nedeniyle şirketin sistemleri çöktü. Bu, kesintinin dolaylı olarak bir siber güvenlik olayından kaynaklanmış olabileceğini açıklıyor.
Ne olduğuna dair daha fazla kırıntı bulduğumuz açıklamaya geri dönelim. McDonald’s’ın Küresel CIO’su Brian Rice, açılışta şunları söyledi: “Cuma günü CDT gece yarısı civarında, McDonald’s küresel bir teknoloji sistemi kesintisi yaşadı ve bu kesinti hızla tespit edilip düzeltildi. Pek çok pazar yeniden çevrimiçi oldu ve geri kalanı da yeniden çevrimiçi olma sürecinde. Halen sorun yaşayan pazarlarla yakın işbirliği içinde çalışıyoruz.”
Başlangıçta bu cümlelerde bir çelişki varmış gibi görünebilir. Bir cümle, kesintinin “hızlı bir şekilde tespit edilip düzeltildiğini” belirtirken, bir sonraki cümlede birçok pazarın hâlâ çevrimdışı olduğu belirtiliyor. Eğer gerçekten hızlı bir şekilde düzeltildiyse, açıklamanın yapıldığı sırada neden bu kadar çok sistem hala çevrimdışıydı?
Çelişkiyi açıklıyor gibi görünen cevap DNS’dir. Bu, sorunun nasıl “düzeltilebileceğini” açıklayabilirdi, ancak düzeltme henüz herkese ulaşmamıştı. DNS’nin yayılması için zamana ihtiyacı vardır ve etkilenen çok uzak coğrafyalar (Amerika Birleşik Devletleri, Almanya, Avustralya, Kanada, Çin, Tayvan, Güney Kore ve Japonya dahil) göz önüne alındığında, bazı bölgeleri etkileyen bir ila iki günlük gecikme hemen hemen aynıdır. bir DNS sorunundan ne beklenebilir?
Satıcıyı otobüsün altına atmaya gelince, zincirin ikinci güncellemesini düşünün: “Önümüzdeki günlerde sorunu analiz edeceğiz ve ekiplerimiz ve üçüncü taraf sağlayıcılar arasında hesap verebilirlik için baskı yapacağız.” Bu iyi. Ancak önceki gün yapılan açıklamada kesintinin “yapılandırma değişikliği sırasında üçüncü taraf bir sağlayıcıdan kaynaklandığı” belirtildi.
Olay yalnızca birkaç saat önceydi ve şirket bunun satıcının hatası olduğunun açık bir şekilde belirtilmesini istiyordu. Sanırım Ronald, çok fazla itiraz ediyorsun. Satıcıyı kim işe aldı? Bu satıcıyı kimin BT ekibi yönetiyordu? McDonald’s’ın BT ekibi satıcıya sorunu hemen düzeltmesini söyledi mi? Bunu gerçekleştirmek için birkaç prosedürden kaçınmaları durumunda kimsenin soru sormayacağına dair bir ima var mıydı?
Eğer üçüncü taraf vazgeçip McDonald’s’a sormadan değişiklikleri kendisi yaparsa, bu çizgi garanti edilebilir. Ancak bu pek olası görünmüyor. Ve eğer bu doğru olsaydı McDonald’s bunu doğrudan söylemez miydi? Ayrıca şirketin kimliğini gizli tutarken birini otobüsün altına atmanın da belli bir tuhaflığı var. Birini suçlayıp sonra kimin suçlandığını söylemediğiniz için puan alamazsınız.
Bir de burada franchise sahibi faktörü var. McDonald’s’ın pek çok restoranının sahibi olmasa da, McDonald’s’ın seçtiği POS sistemini kullanma zorunluluğu da dahil olmak üzere katı gereklilikler uyguluyor. (♩ ♪ ♫ ♬Bugün bir molayı hak ettin, bu yüzden POS’umuzu bozduk, ödeyemezsin!♩ ♪ ♫ ♬)
Not: Bilgisayar Dünyası İlk açıklamanın yayınlanmasından saatler sonra yorum almak için McDonalds’a ulaştı. Kimse cevap vermedi.
Mike Wilkes, siber operasyonlar direktörü Güvenlik AjansıDNS’yi en olası suçlu olarak gören birkaç güvenlik görevlisinden biriydi.
“Bu, küresel bir kesintiye, bir yapılandırma hatasına dönüşen bir DNS hatası gibi görünüyor” dedi. “Muhtemelen yeterince test edilmemiş bir yama ya da kalın parmaklı bir yamaydı.” Wilkes, kesintinin McDonald’s’ın mobil uygulamasını etkilemediğini belirtti; bu da -eğer doğruysa- ne olduğuna dair başka bir ipucu olabilir.
Gecikmenin bir kısmı yalnızca DNS’nin yayılması için zamana ihtiyaç duyması değil, aynı zamanda McDonald’s’ın değişikliği farklı DNS çözümleyicileri aracılığıyla göndermesi gerekmesiydi. “Bu muhtemelen güvenliklerini artırmayı amaçlayan bir DNSSEC (Etki Alanı Adı Sistemi Güvenlik Uzantıları) değişikliğiydi.”
Wilkes ayrıca TTL (yaşama süresi) ayarının da rol oynadığından şüpheleniyordu. “Muhtemelen hiç kimsenin TTL’yi beş dakikalık bir toparlanma süresine sahip olacak şekilde düşürmeye zamanı yoktu” dedi ve bu da uzun gecikmeleri daha da açıklayabilir.
Terry Dunlap, kurucu ortağı ve yönetici ortağı Gri Şapka Akademisi, ayrıca McDonald’s’taki kesintinin, potansiyel olarak yakın bir saldırıyı hızlı bir şekilde engelleme girişimi olarak göründüğüne inanıyordu. “’Bana can yeleği verin’ diyorlardı. Gelen dalgada boğulmak istemiyorum.”
Daha stratejik olarak Dunlap, McDonald’s’ın yaptığı açıklamaların hayranı değildi.
“Proaktif olmak ve önceden mümkün olduğunca ayrıntılı olmak çok daha iyidir” dedi. “Açıklamaların ihtiyaç duyulan sıcaklık ve yumuşatma düzeyini yansıttığını düşünmüyorum. Daha fazla ayrıntıya girmenizi tavsiye ederim. Buna nasıl yanıt verdiniz? Neden oldu? Bana söylemediğiniz ne gibi etkiler oluştu? (McDonald’s’ın açıklamaları) cevaplardan çok soru yaratıyor.”
Bu da üçüncü taraflardan, özellikle de üçüncü taraflardan gelen kurumsal riski uygun şekilde bir kez daha artırıyor. belki McDonald’s’ta olduğu gibi, kendi başlarına hareket ederek kurumsal BT ekibine sorun yaşatıyorlar.
Ernst & Young (EY) genel müdürü Brian Levine, “Şu anda her şirket üçüncü taraf risk yönetimi açısından inceleniyor” dedi. “Üçüncü taraf risk yönetimi bugün mahkemeler, düzenleyiciler ve şirketler tarafından giderek daha fazla mercek altına alınıyor.”
McDonald’s başlangıçta olayla ilgili bir SEC raporu sunmadı. Wall Street’in McDonald’s’taki kesintiye ciddi bir tepki vermediği göz önüne alındığında, McDonald’s’ın kesintiyi dikkate alması pek olası değil. Üçüncü taraf POS sağlayıcısının ise kimliği henüz doğrulanmadığı için rapor verip vermediği belli değil.
Tüm kurumsal BT’ler için buradaki önemli derslerden biri, kesinti bildirimlerini dikkatle düşünmektir. Dahası, “Bir şey oldu. Araştırıyoruz ve gerçekler öğrenilip doğrulandığında daha fazlasını rapor edeceğiz” sözleri ipuçları bırakacak.
Belirsiz imalar dostunuz değildir. Bir şey söylemeye hazırsanız söyleyin. Değilseniz hiçbir şey söylemeyin. McDonald’s’ın yaptığı gibi ortayı bölmek muhtemelen uzun vadeli çıkarlarınıza hizmet etmeyecektir (McDonald’s yemeği yemekten farklı değil). Ama en azından çeyreklik bir porsiyonun tadı güzel ve doyurucu.
McDonald’s’ın kesinti açıklaması da ikisi de değildi.
Telif Hakkı © 2024 IDG Communications, Inc.