Глобальный сбой Microsoft. Управление рисками или уроки для бизнеса

19 июля 2024 года мир столкнулся с масштабным сбоем в работе облачных сервисов Microsoft Azure. Это облако запомнят. Сбой затронул множество компаний по всему миру. Этот инцидент наглядно продемонстрировал, насколько уязвимыми могут быть даже крупнейшие технологические гиганты и их клиенты перед лицом непредвиденных технических проблем. Хотите деталей — заходите в статью.

Меня зовут Алексей Лебедев, профессиональный внутренний аудитор с 20-летним опытом. Я часто сталкиваюсь с ситуациями, когда компании гонятся за увеличением прибыли, но не уделяют должного внимания внутренним процессам и рискам. В своем канале я делюсь реальными историями о том, с какими рисками сталкиваются компании и как ими управлять, чтобы избежать финансовых потерь и увеличить прибыль.

В этой статье поделюсь своим взглядом на произошедшую ситуацию и на то, что можно, да и нужно, было бы сделать. На сколько упали акции CrowdStrike после инцидента? Чем поплатится Microsoft за инцидент? Что можно было бы сделать, чтобы избежать подобных катастрофических последствий?

Что произошло? Глобальный сбой нарушил работу авиакомпаний, банков, медицинских учреждений и других организаций в разных странах. Причиной стал дефект в программном обеспечении Falcon Sensor от компании CrowdStrike, используемом для защиты от киберугроз.

Восстановление после сбоя может стоить миру «тысячи часов и миллионы, потенциально миллиарды, долларов». Это включает в себя прямые затраты на восстановление систем, а также косвенные убытки из-за простоя бизнеса. Масштабные перебои, вызванные одним обновлением программного обеспечения, подчеркивают хрупкость мировой интернет-инфраструктуры. Этот инцидент должен стать поводом для организаций пересмотреть зависимости от IT-инфраструктуры и разработать планы действий на случай подобных масштабных сбоев в будущем.

Падение стоимости акций. Акции CrowdStrike упали на 11,1% после инцидента, закрывшись на отметке $304,96 (источник Investors.com). Это значительное падение рыночной стоимости компании.

Расходы по устранению сбоя и компенсации клиентам. Аналитики Jefferies прогнозируют, что CrowdStrike понесет дополнительные расходы. Это может включать кредиты, скидки или предоставление бесплатных продуктов, что повлияет на маржу компании (источник investopedia.com).

Репутационный риск. Ожидается, что репутационный ущерб может привести к потере потенциальных сделок и клиентов в будущем.

Хотя Microsoft также была затронута сбоем, аналитики Jefferies считают, что финансовое влияние на компанию будет «минимальным». Тем не менее, Microsoft может понести расходы, связанные с поддержкой клиентов и восстановлением систем.

Долгосрочные последствия:

Аналитики Citi предполагают, что масштаб сбоя может привлечь внимание регуляторов к проблеме консолидации в технологической отрасли, что может иметь долгосрочные последствия для крупных технологических компаний.

Инцидент может привести к пересмотру стратегий управления рисками и IT-инфраструктурой во многих компаниях, что потенциально увеличит расходы на кибербезопасность и диверсификацию IT-систем.

Хотя точные цифры потерь пока не доступны, очевидно, что финансовые последствия этого сбоя будут значительными и долгосрочными, особенно для CrowdStrike и затронутых бизнесов.

Диверсификация IT-инфраструктуры. Чрезмерная зависимость от одного поставщика услуг может привести к катастрофическим последствиям при сбоях. Именно диверсификацией наша страна и занялась после бесчисленных пакетов санкций. Поэтому в день Х и самолёты летали, и РЖД людей возили.

Регулярное тестирование систем. Проведение стресс-тестов и симуляции сбоев для выявления уязвимостей и последующих выводов о том что и где надо бы улучшить. Выявлять причины и устранять. Причинно-следственную связь никто не отменял, как бы мы ни цифровались, как бы ни пытались облегчить себе жизнь. Всегда есть ПРИЧИНА. И нынешний сбой тоже произошел по какой-то причине.

План непрерывности бизнеса. Каждая компания должна иметь четкий план действий на случай масштабных проблем.

Наверняка можно было бы сделать и еще что-то, но полный разбор, во-первых, требует погруженности в нюансы бизнес-процессов конкретной пострадавшей компании, во-вторых, не это было целью данной статьи.

Прежде всего хотелось продемонстрировать, что из подобных событий было бы полезно извлекать некоторые уроки.

Ситуация с Microsoft наглядно демонстрирует, что даже технологические гиганты не застрахованы от серьезных рисков. Этот случай служит зеркалом для компаний любого масштаба, подчеркивая важность системного подхода к управлению рисками в современном бизнесе.

Представьте владельца сети кофеен Андрея. За три года его бизнес вырос с одной кофейни до десяти точек по всему городу. Андрей пытался контролировать все процессы сам, что привело к проблемам: задержки с заказами ингредиентов, прием на работу сотрудников с просроченными медкнижками, упущенные рекламные возможности и ошибки в финансовой отчетности. В итоге, выручка упала на 30% за квартал, компания получила штрафы.

Андрей понял, что так дальше продолжаться не может. Он выделил ключевые направления — закупки, персонал, маркетинг и финансы — и назначил ответственных менеджеров по каждому из них. Для каждого направления он оформил доверенности с четкими лимитами: закупки ингредиентов до 50 000 рублей в неделю, закупки расходных материалов до 10 000 рублей в неделю, маркетинг до 30 000 рублей в месяц.

Через полгода результаты были впечатляющими: выручка выросла на 40% по сравнению с кризисным кварталом, открылись две новые точки без лишних стрессов, а Андрей смог сфокусироваться на стратегическом развитии сети. Грамотное делегирование с четкими границами ответственности позволило масштабировать бизнес без потери контроля и снижения эффективности.

Представьте торговую компанию, которая продает свою продукцию через посредников и выплачивает им комиссионное вознаграждение. В ходе проверки выяснилось, что все сотрудники имели равные права в информационной системе, что позволило любому из них вносить изменения в данные.

Это привело к серьезным последствиям. В течение года ряду посредников платили комиссионное вознаграждение в размере 20% вместо предусмотренных 10%, что привело к переплате в 250 миллионов рублей.

В другом случае, после несанкционированного изменения адреса доставки в карточке покупателя, товар стоимостью 1,5-2 миллиона рублей уехал в неизвестном направлении, и компания понесла убытки.

Чтобы решить проблему, компания жестко распределила роли между подразделениями по доступу в информационную систему и ограничила права сотрудников внутри каждого подразделения. В результате в следующем году удалось исключить необоснованные расходы на выплату комиссионного вознаграждения и предотвратить внутреннее мошенничество.

Ключевой вывод: правильное распределение и ограничение прав сотрудников помогает предотвратить риски мошенничества и сохранить финансовые ресурсы компании, а значит и улучшить показатель прибыли.

Приведенные примеры — лишь малая часть примеров реализации рисков.

А раз уж за основу статьи мы взяли глобальное рисковое событие, предлагаю и завершить также глобальным выводом, который красной чертой прослеживался с самого начала повествования — рисками надо управлять, не дожидаясь момента их реализации.

Ну а вы, управляете своими рисками? Какими и как?

Если интересно узнать, как можно улучшить управление рисками

и/или с реализацией каких еще рисков можно столкнуться, делюсь опытом в тг-канале iup2u.

За помощь в написании статьи отдельное спасибо требовательной, но терпеливой #тыжавтор.