La interrupción global que el mes pasado impidió a McDonald’s aceptar pagos llevó a la compañía a publicar una extensa declaración que debería servir como una clase magistral sobre cómo no informar un problema de TI. Era vago, engañoso y, sin embargo, la empresa utilizó un lenguaje que aún permitía descubrir muchos de los detalles técnicos. (Sabes que te has mudado lejos de tu base cuando Burger King Reino Unido se burla de ti; en respuesta a la noticia del apagón de McDonald’s, Burger King utilizó su propio lema al publicar en LinkedIn: «No me encanta»). La declaración de McDonald’s fue vago sobre lo que sucedió, pero optó por arrojar al proveedor del punto de venta (POS) de la cadena, sin identificar a qué proveedor se refería. Con clase. La declaración, emitida poco después de que comenzara la interrupción, pero antes de que terminara, decía: “En particular, este problema no fue causado por un evento de ciberseguridad; más bien, fue causado por un proveedor externo durante un cambio de configuración”. Unas horas más tarde, cambió discretamente esa frase añadiendo la palabra «directamente», como en «no fue causado directamente por un evento de ciberseguridad». Ese inserto planteó todo tipo de cuestiones. Técnicamente, significaba que hubo absolutamente un “evento de ciberseguridad” en alguna parte (presumiblemente sin afectar a McDonald’s ni a su proveedor de POS) que de alguna manera jugó un papel en la interrupción. El escenario más probable es que McDonald’s o el proveedor de POS se enteraran de un ataque en otro lugar (muy posiblemente múltiples ataques) que aprovechara un agujero de POS que también existía en el entorno de McDonald’s. Entonces, uno de los dos decidió implementar una solución de emergencia. Y debido a pruebas insuficientes o inexistentes del parche, los sistemas de la empresa fallaron. Eso explicaría cómo la interrupción podría haber sido causada indirectamente por un evento de ciberseguridad. Volvamos a la declaración, donde encontramos más migas de pan sobre lo que probablemente sucedió. En él, el CIO global de McDonald’s, Brian Rice, dijo: “Aproximadamente a la medianoche CDT del viernes, McDonald’s experimentó una interrupción del sistema tecnológico global, que fue rápidamente identificada y corregida. Muchos mercados han vuelto a estar en línea y el resto está en proceso de volver a estar en línea. Estamos trabajando estrechamente con aquellos mercados que todavía tienen problemas”. Inicialmente, estas frases parecen contradictorias. Una frase decía que la interrupción fue “rápidamente identificada y corregida” y la siguiente dice que muchos mercados todavía están desconectados. Si en realidad se había corregido rápidamente, ¿por qué tantos sistemas seguían fuera de línea en el momento de la declaración? La respuesta que parece explicar la contradicción es DNS. Eso explicaría cómo se podría haber “corregido” el problema, pero la corrección aún no había llegado a todos. El DNS necesita tiempo para propagarse y, dadas las extensas geografías afectadas (incluidos Estados Unidos, Alemania, Australia, Canadá, China, Taiwán, Corea del Sur y Japón), el retraso de uno a dos días que afectó a algunas áreas es casi lo que se esperaría con un problema de DNS. En cuanto a arrojar a un proveedor debajo del autobús, considere la segunda actualización de la cadena, que decía: «En los próximos días, analizaremos el problema y presionaremos para que nuestros equipos y terceros rindan cuentas». vendedores.» Está bien. Pero el día anterior, el comunicado decía que la interrupción «fue causada por un proveedor externo durante un cambio de configuración». El incidente tenía solo unas horas y la compañía quería dejar claro que era culpa del proveedor. Creo, Ronald, que protestas demasiado. ¿Quién contrató al vendedor? ¿De quién era el equipo de TI que gestionaba ese proveedor? ¿El equipo de TI de McDonald’s le dijo al proveedor que lo solucionara de inmediato? ¿Había una implicación de que si tomaban algunas medidas procesales para que esto sucediera, nadie haría preguntas? Esta línea podría estar justificada si el tercero se volviera renegado e hiciera cambios sin consultar a McDonald’s. Pero eso parece muy improbable. Y si fuera cierto, ¿no lo habría dicho McDonald’s directamente? Además, resulta algo extraño criticar a alguien manteniendo en secreto la identidad de la empresa. No obtienes puntos por culpar a alguien y luego no decir a quién se culpa. Luego está el factor franquiciado en juego aquí. McDonald’s no es propietario de muchos de sus restaurantes, pero impone requisitos estrictos, que incluyen el uso del sistema POS elegido por McDonald’s. (♩ ♪ ♫ ♬Te mereces un descanso hoy, así que rompimos nuestro POS, ¡no puedes pagar! ♩ ♪ ♫ ♬)Nota: Computerworld contactó a McDonalds para solicitar comentarios horas después de que se emitiera la declaración inicial. Nadie respondió. Mike Wilkes, director de operaciones cibernéticas de la Agencia de Seguridad, fue una de las varias personas de seguridad que vieron al DNS como el culpable más probable. «Parece que fue una falla de DNS que se convirtió en una interrupción global, un error de configuración», dijo. «Probablemente se trataba de un parche insuficientemente probado o de un parche con dedos gordos». Wilkes señaló que la interrupción no afectó la aplicación móvil de McDonald’s, lo cual, de ser cierto, es otra pista de lo sucedido. Parte del retraso no se debió simplemente a que el DNS necesita tiempo para propagarse, sino que McDonald’s habría necesitado enviar el cambio a través de diferentes solucionadores de DNS. «Esto probablemente fue un cambio DNSSEC (Extensiones de seguridad del sistema de nombres de dominio) destinado a mejorar su seguridad». Wilkes también sospechaba que una configuración TTL (tiempo de vida) desempeñaba un papel. «Probablemente nadie tuvo tiempo de reducir el TTL para tener un tiempo de recuperación de cinco minutos», dijo, lo que explicaría aún más los largos retrasos. Terry Dunlap, cofundador y socio gerente de Gray Hat Academy, también creía que la interrupción de McDonald’s parecía ser un intento de bloquear rápidamente un ataque potencialmente inminente. “Me decían: ‘Dame un chaleco salvavidas. No quiero que me ahogue la ola que se avecina’”. Más estratégicamente, Dunlap no era partidario de las declaraciones que emitió McDonald’s. “Es mucho mejor ser proactivo y lo más detallado posible desde el principio», dijo. » No creo que las declaraciones transmitieran el nivel de calidez y calidez necesarios. Recomendaría entrar en más detalles. ¿Cómo respondiste? ¿Por qué sucedió? ¿Qué impactos han ocurrido que no me estás contando? (Las declaraciones de McDonald’s) generan más preguntas que respuestas”. Esto plantea una vez más el riesgo empresarial proveniente de terceros, especialmente aquellos que, como podría ser el caso de McDonald’s, actúan por su cuenta y causan problemas al equipo de TI de la empresa. . “En este momento, todas las empresas están siendo criticadas por su gestión de riesgos de terceros”, dijo Brian Levine, director general de Ernst & Young (EY). “Hoy en día, los tribunales, los reguladores y las empresas ponen cada vez más bajo el microscopio la gestión de riesgos de terceros”. McDonald’s no presentó inicialmente un informe a la SEC sobre el incidente. Dado que Wall Street no reaccionó de manera seria ante el apagón de McDonald’s, es poco probable que McDonald’s considere el apagón material. En cuanto al proveedor externo de POS, no está claro si presentó un informe ya que su identidad aún no se ha confirmado. Una de las lecciones importantes para toda la TI empresarial es la de pensar detenidamente en las declaraciones de interrupciones. Cualquier cosa más allá de: “Algo pasó. Estamos investigando y informaremos más una vez que se conozcan y verifiquen los hechos” va a dejar pistas. Las implicaciones vagas no son tus amigas. Si estás listo para decir algo, dilo. Si no es así, no digas nada. Dividir por la mitad, como lo hizo McDonald’s, probablemente no sirva a sus intereses a largo plazo (al igual que comer comida de McDonald’s). Pero al menos un cuarto de galleta sabe bien y sacia. La declaración de interrupción de McDonald’s no fue ninguna de las dos cosas. Copyright © 2024 IDG Communications, Inc.

Source link