Ali fue multado nuevamente con una cuantiosa multa. ¿Qué hizo mal esta vez?
Ayer, el Ministerio de Industria y Tecnología de la Información decidió que Alibaba Cloud suspendiera su calificación como socio de la plataforma de intercambio de información del Ministerio de Industria y Tecnología de la Información de Alibaba Cloud durante seis meses porque no informó con prontitud lo descubierto. información sobre vulnerabilidades de seguridad al Ministerio de Industria y Tecnologías de la Información de conformidad con la ley.
Luego, el precio de las acciones estadounidenses de Alibaba se desplomó 4,21 y se espera que siga cayendo.
Justo hoy, Alibaba Cloud emitió una declaración en la que afirma que fortalecerá la gestión de vulnerabilidades, mejorará la conciencia sobre el cumplimiento y cooperará activamente con todas las partes para estandarizar los riesgos de seguridad de la red.
Después del incidente, muchas personas escribieron algunos artículos y algunos amigos de la ciudad también los reenviaron. No daré nombres, pero la mayoría son iguales. Me gusta utilizar el pensamiento de tráfico para proponer algo que ponga en peligro la seguridad nacional, la confrontación entre China y Estados Unidos, la amenaza de la seguridad de la red de China, etc.
En primer lugar, Alibaba Cloud cometió un error, pero no exageres ni te apresures a matar.
La computación en la nube es muy importante para el desarrollo humano. En comparación con la descentralización tradicional, la computación en la nube reduce en gran medida los costos y tiene una gran escalabilidad. Al estar el equipo en la nube, se mejora enormemente la confiabilidad y estabilidad de todo el sistema de información, se evitan pérdidas por fallas del servidor, se pueden mantener actualizaciones y mejoras y se incrementa considerablemente la movilidad laboral.
Por tanto, los cambios provocados por la computación en la nube son revolucionarios, y por tanto se han convertido en una de las áreas clave de competencia entre las grandes potencias. Por supuesto China y Estados Unidos.
En el campo de la computación en la nube, tres de los cinco principales proveedores de computación en la nube del mundo son de Estados Unidos y dos de China. Sin embargo, el dominio de Estados Unidos en el primer y segundo lugar es casi abrumador. , especialmente Amazon, que ocupa el primer lugar en 2020. La participación de mercado global supera el 40%, seguido por Microsoft con una participación de mercado de 19,7, seguido de Alibaba Cloud con una participación global de 9,5 y Huawei Cloud con una participación global de 4,2.
Desde la perspectiva de la escala general, en 2020, la cuota de mercado global de los tres principales fabricantes estadounidenses llegará al 66,6, los dos principales fabricantes chinos representarán el 13,7 y todas las demás empresas representarán el 66,6. para un total de 19,7.
El equilibrio de poder es obvio, lo que también muestra que China y Estados Unidos se han convertido en los únicos competidores en la era de la economía digital, y son similares en otros campos.
Desde una perspectiva nacional, Alibaba Cloud y Huawei Cloud son empresas chinas. Incluso si tienen algunas deficiencias, ciertamente habrá apoyo siempre y cuando no estén desesperados y obsesionados imprudentemente con ganar dinero rápido como lo están algunas empresas. Después de todo, ésta es su propia competitividad de alta tecnología.
Por supuesto, si cometes un error, igual tendrás que ser golpeado y enseñado, pero esto es un pequeño castigo y una gran advertencia.
La premisa de los pequeños castigos y las grandes advertencias es que no causen demasiado daño, lo que vuelve al asunto mismo.
Segundo: desde una perspectiva técnica, los programadores de Alibaba Cloud no hicieron nada malo.
Debe enfatizarse que la Fundación Apache no es de ninguna manera una fuerza extranjera "malvada" fabricada por algunos medios. De hecho, es una organización sin fines de lucro que gestiona proyectos de software de código abierto. El proyecto log4j en cuestión esta vez es el próximo proyecto de código abierto de la Fundación Apache.
En el mundo de los programadores, la apertura es siempre la base del mundo de Internet. Muchos de los problemas que enfrenta toda la humanidad en el mundo virtual requieren que todos los programadores los resuelvan, por lo que existen varios proyectos de código abierto.
Los programadores que trabajan en varios proyectos de código abierto provienen de todo el mundo. La Fundación Apache es únicamente la gestora de proyectos de código abierto y no participa en el desarrollo de código específico. Dado que el proyecto es de código abierto, el código fuente está abierto al mundo y los programadores provienen de todo el mundo, básicamente no existe una situación en la que el gobierno de los EE. UU. utilice diversos medios para coaccionar a la Fundación Apache, y mucho menos requiera la fundación o la apertura. proyectos de origen para ocultar vulnerabilidades, lo que permite una situación en la que los estadounidenses hacen lo que quieren.
La razón es sencilla.
El principio básico del código fuente es que el código fuente está abierto a todo el mundo y cualquiera puede operar o desarrollar leyendo el código fuente. En otras palabras, siempre que un programador calificado lea atentamente el código fuente, podrá descubrir por completo esta llamada vulnerabilidad log4j a nivel de bomba nuclear.
Log4j, como componente de registro de código abierto, es originalmente gratuito. Según el acuerdo de código abierto, cuando se descubren vulnerabilidades, se debe informar a la Fundación Apache, que es la administradora del proyecto de código abierto.
Antes de esto, también se requería que la información no se filtrara a terceros para evitar que se explotara la vulnerabilidad.
Esta es la razón por la que nuestro país exige que se informe dentro de los 2 días posteriores al descubrimiento, pero no exige que se informe primero. También hay consideraciones al respecto.
La comunidad de código abierto también ha actualizado las vulnerabilidades reportadas. Según la convención, muchos países, grandes empresas y muchos programadores seguirán el ritmo del desarrollo de la tecnología. Se ha convertido en un hábito diario iniciar sesión en estas comunidades de código abierto para ver y aprender. En circunstancias normales, el problema se puede descubrir y solucionar dentro de uno o dos días después de que se informa la vulnerabilidad.
Los programadores repartidos en varias empresas no empezaron a reparar las lagunas jurídicas sólo después de recibir una solicitud del Ministerio de Industria y Tecnología de la Información. Su trabajo requiere una respuesta rápida.
Por supuesto, hay una omisión aquí, es decir, algunas organizaciones pueden tener que esperar una orden formal del Ministerio de Industria y Tecnología de la Información antes de manejarlo, o algunos programadores de algunas organizaciones carecen de motivación. trabajar de manera proactiva y es posible que algunos líderes no comprendan o incluso ignoren los riesgos.
Sin embargo, no hay nada de malo en dar prioridad a informar al director del proyecto de código abierto desde la perspectiva del propio programador. Otros países y empresas harán lo mismo.
Esta vez hay tres puntos muy diferentes:
Primero, el descubridor es Alibaba Cloud, que es una plataforma grande y se encuentra en un entorno de mayor supervisión
<; p>Segundo: la vulnerabilidad log4j descubierta es realmente escandalosa;Tercero: 15 días después del informe, Alibaba Cloud todavía no tomó la iniciativa de informarlo y nadie en el país lo descubrió ni lo informó. Así que del cuarto país sólo me enteré después de que tuvimos una pelea. Como resultado, los chinos lo descubrieron en ese momento.
Una combinación de varias razones llevó a que Alibaba Cloud fuera castigada por el Ministerio de Industria y Tecnología de la Información.
Tercero: la culpa de Alibaba Cloud radica en la gestión y la comunicación internas.
En las grandes empresas de Internet, debido a la gran organización, a menudo ocurren problemas de comunicación interna y la fricción interna es extremadamente grave. Algunas grandes plataformas y organizaciones internas son tan complejas que el personal interno no puede entenderlas en absoluto, y mucho menos cooperar con ellas.
Cada departamento también tiene muchas diferencias o ventajas y desventajas.
En cuanto a los departamentos de asuntos gubernamentales o asuntos públicos que son responsables de conectarse con el gobierno, básicamente no tienen conocimientos técnicos y la mayoría de la gente no sabe mucho sobre políticas, aunque muchos son funcionarios públicos y algunos. Trabaja en ministerios y comisiones centrales. El nivel de cognición es en realidad solo eso.
Cuando estas personas llegan a una empresa, a menudo permanecen en el sistema durante mucho tiempo, conocen a algunas personas y extorsionan a la empresa y al gobierno y al departamento técnico, si existe. son recursos de plataforma, van al gobierno, etc. Otros crecieron en empresas e incluso carecen de conciencia institucional.
Por supuesto, en circunstancias normales, las personas que suelen ocuparse de los asuntos gubernamentales todavía tienen cierto grado de sensibilidad. Si reciben notificación del departamento técnico probablemente lo reporten a tiempo, pero si no se forma un mecanismo de ajuste completo y dinámico.
Por ejemplo, básicamente faltan un seguimiento e interpretación oportunos de los cambios de políticas, la sincronización de los cambios de políticas con los departamentos relevantes dentro de la empresa y los ajustes correspondientes al proceso y contenido de sincronización de la información.
Hay demasiadas agencias, el seguimiento de las políticas no es oportuno, la comunicación interna entre departamentos es difícil e incluso hay algunos problemas personales.
El propósito de decir esto es analizar lo más profundamente posible cómo ocurrió un error tan escandaloso. No es la exageración de muchos medios de comunicación, el "traidor" de Ali, etc. En realidad, esto se debe a la superposición de enfermedades de grandes tejidos bajo diversas coincidencias. Por supuesto, también está el problema de la falta de concienciación.
Esto no es para excusar a Alibaba Cloud, sino para recordar a más empresas que piensen en cómo solucionarlo.
Algunas empresas proponen una solución que no es una solución. Por ejemplo, una plataforma grande requiere que todos los empleados, independientemente de sus responsabilidades, sean responsables de los problemas de supervisión de seguridad y los compensen. Aunque la carga de trabajo ha aumentado significativamente, es al menos una medida de emergencia, por lo que la empresa obviamente tiene menos problemas y el precio de sus acciones se ha vuelto mucho más estable.
Para Ali, por supuesto que es un golpe. Una plataforma tan grande, que disfruta de los enormes dividendos de desarrollo y las políticas preferenciales de China, debería asumir responsabilidades proporcionales a sus capacidades. Independientemente del motivo, el incumplimiento de sus responsabilidades es un problema y dará lugar a un castigo.
Incluso los técnicos deben informar estos problemas al supervisor técnico. ¿El líder técnico los denunció?
Nuestro país también exige que las grandes empresas establezcan organizaciones de seguridad de la información, que sean directamente responsables de la alta dirección de la empresa.
Estos problemas deben informarse a la alta dirección responsable de la seguridad de la información. ¿Cuales son los problemas?
Por supuesto, Ali también pagó un precio. El negocio principal de todo el Grupo Alibaba es en realidad la troika: el comercio electrónico, las finanzas y la industria tecnológica encabezada por Alibaba Cloud.
No hablemos primero de finanzas. El comercio electrónico se ha visto gravemente afectado este año y los principales anclas se enfrentarán a una serie de problemas fiscales. Originalmente, el precio de las acciones de Alibaba cayó dos tercios este año y el tercio restante está respaldado por pilares como Alibaba Cloud.
La suspensión durante seis meses por parte del Ministerio de Industria y Tecnología de la Información afectará inevitablemente la cooperación entre muchas instituciones nacionales y Alibaba Cloud, y un retroceso en el desempeño es inevitable.
Así que las acciones estadounidenses de Alibaba se desplomaron anoche y las pérdidas no fueron cuantiosas.
Finalmente, todavía quiero decir:
Ali cometió un error, pero no lo mató. Después de todo, se trata de la propia competitividad de alta tecnología de China, y estará bien si la multan. No es necesario conectarse a Internet, y mucho menos hacer cosas que lastimen a sus seres queridos y le generen enemigos. Si uno de los dos pilares de la computación en nube de China se ve gravemente afectado, sólo Estados Unidos se beneficiará.
Pequeños castigos y grandes advertencias dependen de lo que suceda después.
Como empresa con sede en China, Alibaba no sabe realmente qué hacer y creo que lo rectificará activamente. Sin embargo, se debe recordar a muchas empresas que no subestimen los problemas de comunicación dentro de la organización. La seguridad es la línea roja, de lo contrario, Alibaba Cloud será una advertencia.