Amazon Web Services, Okta i Stripe zawieszone lub zakończył świadczenie usługi Parler po zorganizowanej inwazji tłumu na budynek Kapitolu Stanów Zjednoczonych w styczniu. Skutkowało to nie tylko skutecznym zamknięciem działalności Parlera, ale było również publiczną demonstracją chęci dostawców usług technologicznych do „deplatformowania” niepożądanych klientów.
Ponieważ organizacje często są zależne od kluczowych dostawców chmury publicznej w zakresie aplikacji o znaczeniu krytycznym dla biznesu, liderzy wykonawczy ponownie oceniają ryzyko chmury publicznej w świetle takich działań.
Powody rozwiązania umowy w chmurze
Deplatforming nie zdarza się często, ale zdarza się. Dostawcy usług technologicznych (TSP) odrzucili, wypowiedzieli lub ogłosili, że wcześniej nie będą już wspierać umów z niektórymi przedsiębiorstwami.
Na przykład, Mastercard, Visa i PayPal zakończyły usługi dla Pornhub, podobna do YouTube witryna z filmami dla dorosłych, w grudniu 2020 r., a Salesforce zmieniła język warunków korzystania z usługi w 2019 r., aby odmówić usług sprzedawcom broni.
Większość dostawców usług internetowych wymaga w umowach, że klienci przestrzegają „zasad dopuszczalnego użytkowania” (AUP). Dokładne niuanse AUP różnią się w zależności od firmy, ale prawie wszyscy usługodawcy zabraniają co najmniej nielegalnych działań, a także treści, które narażają dostawcę na nadmierne ryzyko.
Parler i PornHub reprezentują różne formy „nadmiernego ryzyka” dla dostawców, co zwykle stanowi wysoką poprzeczkę do osiągnięcia określonych przepisów, które chronią dostawców usług przed odpowiedzialnością. Jednak niektóre bardziej konwencjonalne organizacje mogą wpaść w konflikt z AUP. Na przykład dostawca zabezpieczeń może naruszyć AUP swojego dostawcy usług w chmurze, jeśli przeprowadzi testy penetracyjne lub inne ataki typu „Red Team” na klientów.
Innym przykładem jest sytuacja, w której firma prowadzi działalność, która jest nielegalna w jednym lub kilku krajach, ale nie we własnym. Pomimo tego, że działalność jest legalna w kraju pochodzenia, przedsiębiorstwa mogą być narażone na ryzyko ze strony międzynarodowych usługodawców, niezależnie od tego, czy obsługują oni również klientów znajdujących się w krajach, w których takie działania są niezgodne z prawem.
Firmy mogą również zawiesić usługę w chmurze, jeśli tak się stanie brak skutecznego bezpieczeństwa cybernetycznego i są wielokrotnie naruszane w sposób, który może być niebezpieczny dla innych (na przykład, gdy naruszone instancje są wykorzystywane jako część botnetu). Ryzyko to istnieje w każdej branży, nawet tej najbardziej niekontrowersyjnej, dlatego musi być brane pod uwagę przez każdego dyrektora, który wie, że brakuje im praktyk w zakresie cyberbezpieczeństwa.
Niektórzy klienci mogą również obawiać się, że deplatforming może nastąpić w wyniku „głosu społeczeństwa” – aktywizm pracowniczy, aktywizm akcjonariuszy, aktywizm korporacyjny i inne formy presji wewnętrznej lub zewnętrznej wywołanej konkretną przyczyną – interesujące zjawisko, o którym będziemy mówić więcej podczas tegorocznych Gartner Summits.
Różni usługodawcy będą mieli różne postawy wobec takich presji, ale zakładając, że opinia publiczna i media mają wpływ na podejmowanie decyzji w TSP, jest zalecanym sposobem rozumienia, gdy chce się złagodzić ryzyko.
Co należy zrobić, aby zmniejszyć narażenie na ryzyko?
Niewielu legalnych klientów biznesowych jest narażonych na poważne niebezpieczeństwo naruszenia AUP w sposób, który spowodowałby zawieszenie lub wypowiedzenie.
Jednak, aby zmniejszyć ryzyko, firma Gartner zaleca firmom negocjowanie umowy korporacyjnej, a nie działanie po kliknięciu. Chociaż umowy typu „click-through” mogą być akceptowane w przypadku projektów pilotażowych i krótkoterminowych rozwiązań w przypadku pandemii lub jako „pomost” do umowy przedsiębiorstwa, organizacje powinny dążyć do uzyskania umów korporacyjnych wszędzie tam, gdzie jest to możliwe.
Klienci powinni przynajmniej negocjować zmiany, które mogą być wymagane w celu zmniejszenia ryzyka. W ramach standardów zaopatrzenia w chmurę upewnij się, że kwestie związane z AUP są rozwiązywane za pomocą odpowiedniego języka umowy, który zawiera wyjaśnienia lub wyjątki AUP. Wszystkie takie umowy powinny zostać sprawdzone przez radcę prawnego z doświadczeniem w badaniu umów z dostawcami usług w chmurze.
Ważne jest również wdrożenie odpowiedniego nadzoru nad zawartością hostowaną w chmurze. Wdrażaj odpowiednie moderowanie treści i zarządzanie wszystkimi treściami przesłanymi przez użytkowników, które są hostowane w środowiskach chmurowych, za które jesteś odpowiedzialny lub odpowiedzialny. Obejmuje to wszelkie środowiska, które możesz udostępniać swoim klientom, partnerom lub dostawcom. Chociaż automatyczne filtry mogą być przydatne, mogą być nieodpowiednie, zwłaszcza jeśli udostępniasz treści przesłane przez klientów. Firma Gartner uważa, że moderowanie treści generowanych przez użytkowników jest wyłaniającym się priorytetem C-suite.
Trzecią rekomendacją firmy Gartner jest stworzenie strategii wyjścia z chmury. Strategia wyjścia z chmury jest istotnym krokiem w identyfikacji i zarządzaniu ryzykiem związanym z dostawcami chmury. Podczas opracowywania planów awaryjnych dotyczących wyjścia z chmury korzystaj z realistycznych scenariuszy i ram czasowych, pamiętając o okresach powiadamiania o nieodnowieniu określonych w umowach. W przypadku oprogramowania jako usługi (SaaS) może to trwać nawet 30 dni. W przypadku większości obaw umownych dotyczących infrastruktury chmury jako usługi (IaaS) i platformy jako usługi (PaaS) będziesz mieć rok lub dwa lata na wykonanie wyjścia.
Dostawcy IaaS – tacy jak Amazon Web Services, Microsoft Azure i Google Cloud Platform – zwykle współpracują z klientami, którzy mają umowę przedsiębiorstwa dotyczącą działań naprawczych w dobrej wierze, ponieważ zazwyczaj uważają, że naruszenia są niezamierzone. Kiedy dostawca usług w chmurze jest zmuszony do podjęcia działań egzekwujących – na przykład z uwagi na to, że klient zagraża bezpiecznemu działaniu platformy – prawdopodobnie zrobi to w sposób ukierunkowany, zawieszając lub poddając kwarantannie określone elementy klienta, zamiast zawieszać klienta jako cały.
Chociaż ryzyko dla legalnych firm jest niskie, nie można go zignorować, a odrobina należytej staranności może pomóc uchronić Twoją firmę przed deplatformą.
Lydia Leong jest wiceprezesem ds. Badań w firmie Gartner.