Na rząd Wielkiej Brytanii naciska się, aby odpowiedział, dlaczego tak duża, wielogodzinna przerwa Awaria usług Amazon Web Services (AWS) w USA zakłóciła działanie organizacji mających siedzibę w Wielkiej Brytaniiw tym HM Revenue & Customs (HMRC) i Lloyds Banking Group.
Awaria, która według AWS rozpoczęła się 20 października tuż przed godziną 8:00 czasu brytyjskiego, miała swój początek w regionie centrum danych AWS US-East-1 w Wirginii Północnej i spowodowała zakłócenia na dużą skalę w wielu firmach na całym świecie, w tym w Wielkiej Brytanii.
Region US-East-1 jest znany z tego, że jest pierwszym i flagowym regionem chmurowym firmy Amazon, a także największym i często jest miejscem, w którym gigant chmury publicznej jako pierwszy udostępnia klientom nowe usługi.
Z tego powodu nierzadko zdarza się, że problemy z usługami w regionie USA-Wschód-1 nękają zagranicznych użytkowników technologii chmurowych firmy.
Jednak w obliczu narastających w Wielkiej Brytanii (i innych krajach) obaw związanych z nadmiernym poleganiem sektora publicznego i prywatnego na platformach dużych technologii z siedzibą w USA, awaria doprowadziła do ponownych wezwań do większej przejrzystości w zakresie odporności krajowych rozwiązań hostingowych.
„Narracja o tym, że większy jest lepszy, a największy jest najlepszy, okazała się kłamstwem, jakim zawsze było” – powiedział Computer Weekly Owen Sayers, niezależny architekt bezpieczeństwa i specjalista ds. ochrony danych z długą historią pracy w sektorze publicznym. „Zwolennicy chmury hiperskalowej zawsze będą twierdzić, że mają najlepszych inżynierów, najwięcej personelu i największą pulę zasobów, ale większe nie zawsze znaczy lepsze – a już na pewno nie wtedy, gdy kraje polegają na tych globalnych usługach towarowych w celu zapewnienia własnego bezpieczeństwa narodowego, bezpieczeństwa i operacji.
„Usługi o znaczeniu krajowym należy uznać za najlepiej świadczone pod kontrolą krajową, a co najmniej rząd powinien już dziś zapukać do drzwi AWS i zapytać, czy rzeczywiście może ona świadczyć usługę gwarantującą dyspozycyjność w Wielkiej Brytanii” – powiedział. „Ponieważ dowody z przestoju w tym tygodniu sugerują, że nie mogą”.
Rząd analizuje wykorzystanie chmury
AWS obiecał opublikować szczegółowe „podsumowanie po zdarzeniu”, szczegółowo opisujące przyczyny przestoju i kroki, jakie musiał podjąć, aby przywrócić usługi online.
W międzyczasie, zgodnie z zaleceniami Sayersa, HM Treasury jest już proszony o wyjaśnienie, dlaczego nie skorzystał z uprawnień przyznanych mu na początku tego roku, aby zapewnić dostawcom takim jak AWS sprostanie zadaniu polegającemu na dostarczaniu odpornych usług w chmurze organizacjom z sektora usług finansowych.
Przewodnicząca Komisji Specjalnej ds. Skarbu, Meg Hillier, opublikowała list, który napisała do sekretarz ds. finansów Lucy Rigby, który prawdopodobnie został napisany podczas awarii AWS.
W piśmie wzywa się Rigby’ego do wyjaśnienia, dlaczego pomimo posiadania takich uprawnień od stycznia 2025 r. Ministerstwo Skarbu najwyraźniej dotychczas zaniedbało dodanie AWS do swojej listy dostawców krytycznych stron trzecich (CTP).
Oznaczenie to, wprowadzone w drodze zmian do ustawy o usługach i rynkach finansowych z 2020 r. w listopadzie 2024 r., ma zapewnić brytyjskim organom nadzoru finansowego środki umożliwiające włączenie zewnętrznych dostawców do sektora w swój zakres nadzoru – przy założeniu, że może to pomóc w lepszym zarządzaniu wszelkimi potencjalnymi zagrożeniami dla stabilności i odporności brytyjskiego systemu finansowego, które mogą powstać w wyniku zakłóceń w świadczeniu usług przez zewnętrznego dostawcę, jak miało to miejsce 20 października z AWSem.
Jak stwierdzono w piśmie Hilliera, wydaje się, że Ministerstwo Skarbu nie objęło jeszcze żadnego dostawcy systemem CTP, w tym AWS, o którym wiadomo, że jest dostawcą dla dużej liczby brytyjskich instytucji świadczących usługi finansowe.
„W świetle dzisiejszej poważnej awarii Amazon Web Services… dlaczego HM Treasury nie wyznaczył Amazon Web Services ani żadnej innej dużej firmy technologicznej jako CTP dla celów systemu krytycznych stron trzecich” – zapytał Hillier w piśmie. „[And] jak szybko możemy się spodziewać, że firmy zostaną objęte tym systemem?”
Hillier poprosił także HM Treasury o wyjaśnienie, czy jest zaniepokojony faktem, że „pozornie kluczowe części naszej infrastruktury IT są hostowane za granicą”, biorąc pod uwagę, że awaria miała miejsce w regionie centrum danych AWS w USA, ale miała wpływ na działalność Lloyds Bank, a także HMRC.
W tej ostatniej kwestii Hiller zapytał: „Jaką pracę HM Treasury wykonuje wspólnie z HMRC, aby sprawdzić, co poszło nie tak i jak można temu zapobiec w przyszłości?”
Computer Weekly skontaktował się z HM Treasury w celu uzyskania szczegółowych informacji na temat swojej odpowiedzi na list Hilliera oraz wyjaśnienia, czy planuje wkrótce dodać AWS do listy CTP. Zapytała także, czy Ministerstwo Skarbu ma obawy, że w następstwie awarii część brytyjskiej infrastruktury bankowej będzie hostowana za granicą.
Rzecznik departamentu rządowego nie odpowiedział bezpośrednio na pytania zadane przez Computer Weekly, przekazał natomiast następujące oświadczenie:
„Znamy zagrożenie, jakie stwarzają cyberprzestępcy, dlatego współpracujemy z organami regulacyjnymi w celu ustanowienia systemu krytycznych stron trzecich, abyśmy mogli zapewnić firmom świadczącym te usługi te same wysokie standardy, co inne instytucje świadczące usługi finansowe” – czytamy w oświadczeniu Ministerstwa Skarbu.
Zależność Wielkiej Brytanii od zagranicznych chmur
Pytanie Hilliera skierowane do Departamentu Skarbu dotyczące tego, czy ma jakiekolwiek obawy dotyczące hostowania kluczowych części brytyjskiej infrastruktury IT za granicą, zostało powtórzone przez innych obserwatorów i zainteresowane strony brytyjskiego rynku usług w chmurze po przestoju.
„Powinniśmy zadać oczywiste pytanie: dlaczego tak wiele kluczowych instytucji w Wielkiej Brytanii, od HMRC po duże banki, jest zależnych od centrum danych na wschodnim wybrzeżu USA?” powiedział Mark Boost, dyrektor generalny londyńskiego dostawcy usług w chmurze Civo.
“Suwerenność oznacza kontrolę, gdy mają miejsce takie zdarzenia – ale obecnie zbyt wiele z nas jest zlecanych zagranicznym dostawcom usług w chmurze. Awaria AWS to kolejne przypomnienie, że umieszczając wszystkie jajka w jednym koszyku, ryzykujesz infrastrukturą krytyczną.
„Kiedy pojedynczy punkt awarii może zniszczyć HMRC, staje się jasne, że nasze poleganie na garstce amerykańskich gigantów technologicznych naraziło na niebezpieczeństwo podstawowe usługi publiczne” – powiedział.
AWS obsługuje region centrów danych w Wielkiej Brytanii od 2016 r., a kluczową zaletą tych obiektów jest to, że umożliwią organizacjom z siedzibą w Wielkiej Brytanii dostęp do lokalnie hostowanych wersji usług chmury publicznej.
To dodaje dodatkowej wagi pytaniom Boosta i Hilliera dotyczącym tego, dlaczego awaria w USA wpłynęła na organizacje z siedzibą w Wielkiej Brytanii, skoro prawdopodobnie organizacje te powinny polegać na regionie Wielkiej Brytanii w zakresie dostępu do usług AWS.
Kiedy Computer Weekly zadał to pytanie firmie AWS, podając jako przykład zakłócenia w pracy HMRC podczas przestoju, rzecznik firmy poradził publikacji, aby skierowała tę uwagę bezpośrednio do rządowego urzędu podatkowego.
Model wspólnej odpowiedzialności
Ta odpowiedź (lub jej brak) potencjalnie nawiązuje do koncepcji „modelu współdzielonej odpowiedzialności”, pod którą podpisuje się AWS, w którym organizacja bierze pod uwagę bezpieczeństwo, zgodność i odporność środowisk chmurowych swoich klientów za wspólny ciężar.
Jak opisano na stronie internetowej firmy poświęconej modelowi wspólnej odpowiedzialności, konfiguracja ta ma na celu „odciążenie” klientów AWS od obciążeń operacyjnych związanych z prowadzeniem własnej infrastruktury chmurowej, przy jednoczesnym zachowaniu przez nich odpowiedzialności za dane, które zdecydują się w niej przechowywać.
„Klienci powinni dokładnie rozważyć, jakie usługi wybierają [to host in AWS] ponieważ ich obowiązki różnią się w zależności od wykorzystywanych usług, integracji tych usług ze środowiskiem IT oraz obowiązujących przepisów i regulacji” – stwierdził AWS.
„Charakter tej wspólnej odpowiedzialności zapewnia również elastyczność i kontrolę klienta, która pozwala na wdrożenie”.
W rozmowie z Computer Weekly Brent Ellis, główny analityk w firmie zajmującej się obserwacją rynku IT Forrester, powiedział, że fakt, że awaria miała swój początek w regionie AWS US-East-1 i dotknęła organizacje w Wielkiej Brytanii, sugeruje, że „przynajmniej część” struktur HMRC i Lloyds była zależna od tego regionu.
„Byłby to wybór architektury dokonany przez te firmy, ale niekoniecznie wina AWS” – powiedział Ellis. „Ta zależność mogła zostać wprowadzona również poprzez zagnieżdżoną usługę SaaS [software as a service] elementem dla zaangażowanych organizacji.
„Ogólnie rzecz biorąc, myślę, że pokazuje to, jak złożona i połączona jest nowoczesna infrastruktura oparta na chmurze, i stanowi to problem z punktu widzenia odporności, zwłaszcza jeśli nie masz wglądu w zagnieżdżone zależności leżące u podstaw stosu technologii biznesowych”.
Interwencja regulacyjna
Ze względu na wpływ, jaki mogą mieć takie zależności, Ellis jest zdania, że awaria AWS może skłonić do wezwania do interwencji organów regulacyjnych, aby zapobiec powtórzeniu się takiej sytuacji, w podobnym duchu do tego, do czego wzywa Hiller i jej koledzy z Komisji ds. Skarbu. „Naprawdę sądzę, że stanowi to pożywkę dla większego nacisku na suwerenną chmurę” – powiedział. „Prawdopodobnie pobudzi to również regulacje mające na celu zwiększenie widoczności zależności i obszarów błędów w kluczowych sektorach, takich jak finanse”.
Użytkownicy hiperskalowych usług w chmurze, takich jak AWS, muszą wiedzieć, jakie usługi i możliwości w ramach rozszerzonego portfolio ich wybranych dostawców są hostowane w Wielkiej Brytanii oraz jaka jest ich odporność, dodał Sayers.
Aby podkreślić, dlaczego jest to ważne, przytoczył wyniki szeregu dochodzeń w sprawie ustaleń Microsoftu dotyczących hostingu w chmurze w szkockiej policji, których upublicznienie współpracował z Computer Weekly.
Prace te zaowocowały wstępnym ujawnieniem przez firmę Microsoft, że tak nie mogła zagwarantować suwerenności danych policji Wielkiej Brytanii przechowywanych i przetwarzanych na jej platformie M365.
Później pojawiły się dalsze odkrycia, że dane policyjne przechowywane w chmurze Microsoft mogą być przetwarzane w ponad 100 krajach, bez wyraźnej wiedzy użytkowników.
„Wiemy już, że Microsoft nie oferuje wszystkich swoich usług w Wielkiej Brytanii, ale musimy dokładnie wiedzieć, jakie [overseas hyperscalers] mogą przynieść korzyści w kraju i jaka jest w rzeczywistości jego odporność” – powiedział Sayers. „Musimy właściwie zrozumieć ich punkty awarii i sposoby, w jaki można je obejść”.
Niektórzy hiperskalownicy starali się uchylać od odpowiedzi na pytania w tej kwestii, twierdząc, że informacje te mają charakter wrażliwy pod względem handlowym – kontynuował. „To nie jest obrona, którą możemy już tolerować” – powiedział Sayers. “Te usługi są coraz bardziej zawodne, coraz bardziej złożone i coraz bardziej ukryte przed naszym wzrokiem. Jeśli mamy na nich polegać, musimy wiedzieć, że są niezawodne, a jeśli nie, musimy się zmienić – przynajmniej w przypadku usług krytycznych.”
Problemy tworzone przez klientów
Kolega Ellisa, Dario Maisto, jest starszym analitykiem w firmie Forrester i powiedział Computer Weekly, że AWS zdaje sobie sprawę, że tworzone przez klientów, międzyregionalne zależności architektoniczne stanowią część „większego problemu suwerenności”, przed którym stoi europejska baza klientów.
„[AWS] wkrótce wypuści idealną replikę swoich usług [in Europe] w ramach AWS UE [European Union] suwerenna oferta w chmurze, z pierwszą izolowaną [sovereign] regionie Niemiec” – powiedział.
„W rzeczywistości jedynym sposobem, w jaki klient może mieć pewność, że jego dane i obciążenia nie są uzależnione od infrastruktury zagranicznej, jest fizyczna i logiczna izolacja regionów chmury, z których korzysta klient [so that it] nie może być w ogóle możliwe, aby klient mógł dokonać dowolnego wyboru, który uzależnia go od zagranicznej infrastruktury.”
Osiągnięcie tego wyniku, dodał Maisto, oznacza, że wszystkie usługi, których potrzebuje klient, muszą być udostępniane w odizolowanym regionie jako jedyne, do których klient ma dostęp. „Granica danych ani zaangażowanie na rynku nie mogą zagwarantować tego, co może zapewnić jedynie precyzyjna konstrukcja architektoniczna środowiska chmurowego klienta” – dodał.
AWS nie jest jedynym dostawcą usług w chmurze, który doświadczył przestoju, a każdą firmę zajmującą się chmurą, której przedsiębiorstwo powierza swoje dane, może w którymś momencie swojego istnienia spotkać podobny los.
Jednakże, Civo’s Boost stwierdziło, że incydent uwydatnia powody, dla których przedsiębiorstwa powinni dążyć do dywersyfikacji swojej puli dostawców usług w chmurze, ale także dlaczego rządy i organy regulacyjne muszą bliżej przyjrzeć się, jaka część światowej infrastruktury działa na stosunkowo niewielkiej liczbie hiperskalowych platform chmurowych.
„Im bardziej skoncentrowana staje się nasza infrastruktura, tym jest ona bardziej krucha i zarządzana zewnętrznie” – stwierdził. “Jeśli Europa poważnie podchodzi do suwerenności cyfrowej, musi przyspieszyć przejście w kierunku zarządzanej na szczeblu krajowym i zróżnicowanej infrastruktury. Rządy i organy regulacyjne mają obowiązek stworzyć warunki dla prawdziwej konkurencji. Oznacza to ponowne przemyślenie zamówień publicznych, finansowanie suwerennych alternatyw i uczynienie odporności wymogiem podstawowym.”