9 июля 2024 года мир столкнулся с масштабным сбоем в работе облачных сервисов Microsoft Azure. Это облако запомнят. Сбой затронул множество компаний по всему миру. Этот инцидент наглядно продемонстрировал, насколько уязвимыми могут быть даже крупнейшие технологические гиганты и их клиенты перед лицом непредвиденных технических проблем.
Я часто сталкиваюсь с ситуациями, когда компании гонятся за увеличением прибыли, но не уделяют должного внимания внутренним процессам и рискам. В своем канале я делюсь реальными историями о том, с какими рисками сталкиваются компании и как ими управлять, чтобы избежать финансовых потерь и увеличить прибыль.
В этой статье поделюсь своим взглядом на произошедшую ситуацию и на то, что можно, да и нужно, было бы сделать. На сколько упали акции CrowdStrike после инцидента? Чем поплатится Microsoft за инцидент? Что можно было бы сделать, чтобы избежать подобных катастрофических последствий?
Самый масштабный сбой за историю
Что произошло? Глобальный сбой нарушил работу авиакомпаний, банков, медицинских учреждений и других организаций в разных странах. Причиной стал дефект в программном обеспечении Falcon Sensor от компании CrowdStrike, используемом для защиты от киберугроз.
Восстановление после сбоя может стоить миру «тысячи часов и миллионы, потенциально миллиарды, долларов». Это включает в себя прямые затраты на восстановление систем, а также косвенные убытки из-за простоя бизнеса. Масштабные перебои, вызванные одним обновлением программного обеспечения, подчеркивают хрупкость мировой интернет-инфраструктуры. Этот инцидент должен стать поводом для организаций пересмотреть зависимости от IT-инфраструктуры и разработать планы действий на случай подобных масштабных сбоев в будущем.
Итоги для CrowdStrike: падение акций, выплаты клиентам и прощай репутация
Падение стоимости акций. Акции CrowdStrike упали на 11,1% после инцидента, закрывшись на отметке $304,96 (источник Investors.com). Это значительное падение рыночной стоимости компании.
Расходы по устранению сбоя и компенсации клиентам. Аналитики Jefferies прогнозируют, что CrowdStrike понесет дополнительные расходы. Это может включать кредиты, скидки или предоставление бесплатных продуктов, что повлияет на маржу компании (источник investopedia.com).
Репутационный риск. Ожидается, что репутационный ущерб может привести к потере потенциальных сделок и клиентов в будущем.
Чем поплатится Microsoft
Хотя Microsoft также была затронута сбоем, аналитики Jefferies считают, что финансовое влияние на компанию будет «минимальным». Тем не менее, Microsoft может понести расходы, связанные с поддержкой клиентов и восстановлением систем.
Долгосрочные последствия:
Аналитики Citi предполагают, что масштаб сбоя может привлечь внимание регуляторов к проблеме консолидации в технологической отрасли, что может иметь долгосрочные последствия для крупных технологических компаний.
Инцидент может привести к пересмотру стратегий управления рисками и IT-инфраструктурой во многих компаниях, что потенциально увеличит расходы на кибербезопасность и диверсификацию IT-систем.
Хотя точные цифры потерь пока не доступны, очевидно, что финансовые последствия этого сбоя будут значительными и долгосрочными, особенно для CrowdStrike и затронутых бизнесов.
Что можно было бы сделать для снижения вероятности реализации риска и масштаба бедствия?
Диверсификация IT-инфраструктуры. Чрезмерная зависимость от одного поставщика услуг может привести к катастрофическим последствиям при сбоях. Именно диверсификацией наша страна и занялась после бесчисленных пакетов санкций. Поэтому в день Х и самолёты летали, и РЖД людей возили.
Регулярное тестирование систем. Проведение стресс-тестов и симуляции сбоев для выявления уязвимостей и последующих выводов о том что и где надо бы улучшить. Выявлять причины и устранять. Причинно-следственную связь никто не отменял, как бы мы ни цифровались, как бы ни пытались облегчить себе жизнь. Всегда есть ПРИЧИНА. И нынешний сбой тоже произошел по какой-то причине.
План непрерывности бизнеса. Каждая компания должна иметь четкий план действий на случай масштабных проблем.
Наверняка можно было бы сделать и еще что-то, но полный разбор, во-первых, требует погруженности в нюансы бизнес-процессов конкретной пострадавшей компании, во-вторых, не это было целью данной статьи.
Прежде всего хотелось продемонстрировать, что из подобных событий было бы полезно извлекать некоторые уроки.
5 важных выводов по управлению рисками для бизнеса
Риски были всегда, начиная с истории человечества, есть и будут. Они неотъемлемая часть любого бизнеса, независимо от его масштаба.
Реализация рисков может произойти в самый неожиданный момент, когда компания к этому совершенно не готова.
Отсутствие привычки и умения управления рисками может привести к серьезным последствиям. Как показывает пример с Microsoft, даже крупные корпорации могут понести огромные убытки.
Грамотное управление рисками — это не просто защита от потерь, но и возможность существенно повысить прибыльность бизнеса.
Последствия реализации рисков выходят далеко за рамки финансовых потерь. Это может быть урон репутации, потеря клиентов и другие негативные эффекты, которые в конечном итоге также выражаются в денежном эквиваленте.
Ситуация с Microsoft наглядно демонстрирует, что даже технологические гиганты не застрахованы от серьезных рисков. Этот случай служит зеркалом для компаний любого масштаба, подчеркивая важность системного подхода к управлению рисками в современном бизнесе.
Кейс: Делегирование полномочий в растущем бизнесе
Когда владелец сети кофеен пытался контролировать все процессы сам, выручка его сети кофеен упала на 30% за квартал, а штрафы и увольнения ключевых сотрудников стали регулярными. Грамотное делегирование с четкими границами ответственности помогло ему не только восстановить, но и увеличить выручку на 40%.
Представьте владельца сети кофеен Андрея. За три года его бизнес вырос с одной кофейни до десяти точек по всему городу. Андрей пытался контролировать все процессы сам, что привело к проблемам: задержки с заказами ингредиентов, прием на работу сотрудников с просроченными медкнижками, упущенные рекламные возможности и ошибки в финансовой отчетности. В итоге, выручка упала на 30% за квартал, компания получила штрафы.
Андрей понял, что так дальше продолжаться не может. Он выделил ключевые направления — закупки, персонал, маркетинг и финансы — и назначил ответственных менеджеров по каждому из них. Для каждого направления он оформил доверенности с четкими лимитами: закупки ингредиентов до 50 000 рублей в неделю, закупки расходных материалов до 10 000 рублей в неделю, маркетинг до 30 000 рублей в месяц.
Через полгода результаты были впечатляющими: выручка выросла на 40% по сравнению с кризисным кварталом, открылись две новые точки без лишних стрессов, а Андрей смог сфокусироваться на стратегическом развитии сети. Грамотное делегирование с четкими границами ответственности позволило масштабировать бизнес без потери контроля и снижения эффективности.
Кейс: Неправильная настройка информационных систем
Отсутствие контроля доступа в информационную систему привело к переплатам в 250 миллионов рублей и убыткам в миллионы, когда мошенники воспользовались недоработками компании.
Представьте торговую компанию, которая продает свою продукцию через посредников и выплачивает им комиссионное вознаграждение. В ходе проверки выяснилось, что все сотрудники имели равные права в информационной системе, что позволило любому из них вносить изменения в данные.
Это привело к серьезным последствиям. В течение года ряду посредников платили комиссионное вознаграждение в размере 20% вместо предусмотренных 10%, что привело к переплате в 250 миллионов рублей.
В другом случае, после несанкционированного изменения адреса доставки в карточке покупателя, товар стоимостью 1,5-2 миллиона рублей уехал в неизвестном направлении, и компания понесла убытки.
Чтобы решить проблему, компания жестко распределила роли между подразделениями по доступу в информационную систему и ограничила права сотрудников внутри каждого подразделения. В результате в следующем году удалось исключить необоснованные расходы на выплату комиссионного вознаграждения и предотвратить внутреннее мошенничество.
Ключевой вывод: правильное распределение и ограничение прав сотрудников помогает предотвратить риски мошенничества и сохранить финансовые ресурсы компании, а значит и улучшить показатель прибыли.
Приведенные примеры — лишь малая часть примеров реализации рисков.
А раз уж за основу статьи мы взяли глобальное рисковое событие, предлагаю и завершить также глобальным выводом, который красной чертой прослеживался с самого начала повествования — рисками надо управлять, не дожидаясь момента их реализации.
Ну а вы, управляете своими рисками? Какими и как?
Если интересно узнать, как можно улучшить управление рисками и/или с реализацией каких еще рисков можно столкнуться, делюсь опытом в тг-канале iup2u.