بررسی توافقنامه خدمات ابر آروان؛ خسارت کسب وکارها چگونه جبران می شود؟

چند شب قبل از عید نوروز ۱۴۰۰ بود که ابر آروان مورد حمله هکرها قرار گرفت؛ حمله‌ای کم‌سابقه که هنوز هم جزییات زیادی از آن مبهم است. در پی یک حمله سنگین، کسب‌وکارهایی که از سرویس‌های آروان استفاده می‌کردند در یکی از کلیدی‌ترین بازه‌های زمانی دچار چالش‌های جدی برای خدمات‌دهی به مشتریان خود شدند.

ابر آروان در چند هفته گذشته، یک گزارش اولیه و نکاتی را در شبکه‌های اجتماعی خود منتشر کرده است. از طرفی گفته می‌شود که این شرکت می‌خواهد در هفته جاری گزارش نهایی خود را نیز منتشر کند. اما پرسش کلیدی‌تری که اکنون وجود دارد این است که ابر آروان تا به امروز برای جلب رضایت مشتریان خود چه کرده است و اساساً چه تعهداتی نسبت به مشتریان خود در زمان‌های بحران دارد؟

چه اتفاقی برای ابر آروان افتاد؟

گزارش اولیه ابر آروان نشان می‌داد این حملات در فعالیت سایر محصولات آروان شامل DNS، CDN، ویدیو پلتفرم، فضای ذخیره‌سازی ابری، هم‌چنین رایانش ابری در سایر دیتاسنتر‌های ابر آروان اختلالی ایجاد نکرده و در حدود ۱۶ درصد از مشتریان آروان را متاثر کرده است. ابر آروان در گزارش اولیه خود از مشتریان برای اینکه مجبور شدند تمامی دسترسی‌ها را برای رسیدگی به مشکل پیش آمده قطع کنند عذرخواهی کرده و تاکید کرده که ۲۶ اسفند ماه روزی بوده که حملات گسترده شده و به دیتا مشتریان آسیب وارد شده است.

البته این شرکت اعلام کرده است که هکر هیچ‌گونه دسترسی به دیتای مشتریان ابر آروان پیدا نکرد و با توجه به نوع ذخیره‌سازی اطلاعات در آن لایه، تنها  موفق به آسیب زدن به اطلاعات و پاک کردن بخشی از دیتا شده است.

تا به امروز بخشی از دیتای کاربران غیرقابل بازگشت اعلام شده و مشخص نیست که تیم ابر آروان بتواند این دیتاها را به صورت تمام و کمال بازیابی کند.

اقدامات جبرانی ابر آروان چه بود؟

ابر آروان در SLA (توافقنامه خدمات) خود اعلام کرده به هنگام بروز اختلال به‌جز در موارد محدودیت، با محاسبه‌ی مدت اختلال نسبت به ‌مجموع زمان فعال ‌بودن دسترسی در طول دوره‌ی‌ سی‌روزه، معادل ریالی درصدهای مندرج در جداول هر بخش زیر با توجه به‌ هزینه‌ی ماهانه‌ی بهره‌بردار برای هر محصول، نزد شرکت منظور خواهد شد. درصد مدت دسترسی ماهانه از این فرمول محاسبه می‌شود: درصد مدت دسترسی ماهانه = ( زمان دسترسی – زمان اختلال) / x ۱۰۰ زمان دسترسی.

اما آنطور که «هستی شهریزفر» مدیر روابط عمومی ابر آروان به دیجیتال اعلام می‌کند، آنها بیش از موارد ذکر شده در SLA به مشتریان خود جبران خسارت کرده‌اند. شهریزفر در همین رابطه به دیجیتال می‌گوید:

«ابر آروان با ابراز تاسف عمیق و قبول مسئولیت خود در این رابطه مشکل پیش آمده تلاش کرده تا چندین برابر مقداری که قبل‌تر با مشتریان خود در متن قرارداد و SLA تعهد کرده است، به جبران خسارت‌های وارد شده بپردازد. حساب کاربری تمام مشتریان این دیتاسنتر برای محصول رایانش ابری که در این حمله آسیب دیده بود، سه‌برابر مصرف اسفند ۹۹ آنان، شارژ شد تا به این شکل تا پایان بهار ۱۴۰۰ بتوانند به رایگان از زیرساخت رایانش ابری آروان یا هر محصول جایگزینی استفاده کنند. هم‌چنین حساب کاربری تمام مشتریان این دیتاسنتر برای محصول رایانش ابری که در این حمله آسیب دیده بود، سه‌برابر مصرف اسفند ۹۹ آنان، شارژ شد تا به این شکل تا پایان بهار ۱۴۰۰ بتوانند به رایگان از زیرساخت رایانش ابری آروان یا هر محصول جایگزینی استفاده کنند.»

با این حال، مشخصا وعده بازپرداخت رقم از دست رفته برای استفاده از سرویس و وعده رایگان کردن خدمات تا سه ماه آینده برای تیم‌های زیان دیده، اقدامی است که از نظر برخی از مشتریان این سرویس کافی نیست. برخی از مشتریان ابر آروان در شبکه‌های اجتماعی اعلام کرده‌اند که ضرر مالی که دیده‌اند خارج از آسیبی است که به برند آنها وارد شده است.

به عنوان مثال «پوریا عالمی» فعال رسانه‌ای و مدیر استارتاپ «آی‌قصه» اعلام کرده که در حال پیگیری میزان خسارتی است که از سبب این مشکلات فنی به برند آنها وارد شده است و یا رسانه «ارانیکو» اعلام کرده که شکایت خود را به طریق قانونی از ابر آروان ادامه خواهد داد.

برخی از مشتریان نیز اعلام کرده‌اند که رایگان شدن سرویس حتی تا پایان سال ۱۴۰۰ هم برای جبران خسارت کافی نبوده و عده‌ای دیگر از مشتریان نیز می‌گویند که با توجه به این اتفاقات دیگر از خدمات آروان استفاده نمی‌کنند، در نتیجه ارائه خدمات رایگان در بهار ۱۴۰۰ بی‌معناست.

گستره‌ی مشتریان ابر آروان بسیار متنوع است و از کسب‌وکارهای بسیار بزرگ تا کوچک را شامل می‌شود. برخی از این کسب‌وکارها دارای تیم‌های فنی بسیار قوی هستند اما برخی هیچ عضو یا تیم فنی برای این دست اقدامات ندارند. مدیر روابط عمومی ابر آروان در پاسخ به این سوال که واکنش آنها در برابر تیم‌های کوچک‌تر چگونه بوده به دیجیتال می‌گوید: «ابر آروان تلاش کرد در مراحل مختلف در کنار مشتریان آسیب‌دیده، به‌ویژه مشتریان کوچک‌تری باشد که به کمک فنی بیش‌تری نیاز داشتند. همچنین باید بگوییم در این مسیر سیاست ابر آروان در برابر کاربران داخلی و خارجی یکسان بوده است.»

ابر آروان همچنین خبر داده براساس تجربه‌ این اتفاق و عدم پشتیبان‌گیری دیتا از سوی تعداد بالایی از مشتریان، در تلاش است در آینده مجموعه اقدامات پیش‌گیرانه‌ای را به‌منظور سهولت تهیه‌ی نسخه پشتیبان‌، از سوی مشتریان فراهم کند. این اقدامی است که OVH (دیتاسنتر اروپایی) نیز پس از آتش گرفتن دیتاسنترش و از دست رفتن اطلاعات برخی مشتریانش، وعده آن را داده است.

OVH نیز در زمان مشابه (هفته آخر اسفند ماه ۹۹) اعلام کرد که ظرف ۴۸ ساعت همه دیتاها را بازخواهد گرداند اما این اتفاق با تاخیر مواجه شد و در نهایت نیز برخی اطلاعات غیرقابل بازگشت اعلام شد. این شرکت ابری اروپایی همچنین شروع به صدور اعتبار خدمات به مشتریانی که در اثر آتش سوزی آسیب دیده‌اند کرده و صورتحساب این مشتریان را نیز به حالت تعلیق در آورده است. این شرکت کمی بعدتر اعلام کرد که خدمات رایگان زیادی از جمله بکاپ گیری رایگان برای مشتریان را راه‌اندازی خواهد کرد تا از رخ دادن وقایع مشابه جلوگیری نماید؛ موضوعی که در آن سوی آب‌ها نیز بسیاری از مشتریانی که دیتای خود را همین الان از دست دادند راضی نکرد.

جبران خسارت در ایران و دنیا چگونه است؟

با بررسی بخش شروط فنی استفاده از خدمات زیرساخت رایانش ابری آروان می‌بینیم که این شرکت به پشتیبان‌گیری اطلاعات حیاتی از سوی مشتری تاکید کرده است. در این بخش، همچنین تاکید شده که «جبران خدمت SLA مانند تمامی پروایدرهای جهانی در بیش‌تر مواقع جبران لطمات تجاری کسب‌وکار شما نخواهد بود». همانطور که SLA سرویس‌هایی چون چون Azure و AWS نیز بر این موضوع تاکید دارند.

از آن سو مدیر روابط عمومی ابر آروان به دیجیتال می‌گوید که قرارداد که سطح کیفیت خدمت (SLA)» و در نتیجه‌ی آن «درخواست و استفاده از خدمات اعتباری جبران خدمت» مربوط به جبران خسارت مستقیم هزینه‌های زیرساخت است و در نتیجه هیچ‌گونه پوششی در رابطه با اطلاعات، یا حجم خسارات وارد شده به کسب‌وکارها ندارد: «مفهوم SLA و مفهوم بیمه کسب‌وکار دو موضوع کاملا متفاوت از یکدیگر هستند.»

اگر نگاهی به متن «شرایط استفاده از خدمات» ابر آروان که تمام مشتریان رایانش ابری آروان پیش از شروع استفاده به آن متعهد می‌شوند بیندازیم می‌بینیم که ابر آروان چنین عبارتی را برای مشتریان خود نوشته است:

«شما با استفاده از خدمات ابر آروان موظف به تهیه‌ی نسخه‌ی پشتیبان (Backup) از آن دسته از اطلاعاتی می‌شوید که روی زیرساخت ابر آروان دارید. ابر آروان مسئولیتی در قبال تهیه‌ی نسخه‌ی پشتیبان از اطلاعات کاربران و بازگرداندن اطلاعات از دست رفته، که به‌دلیل خطای کاربران یا هر دلیل دیگری رخ داده ‌است، ندارد.»

در واقع آنها به شکل پیش فرض در نظر گرفته‌اند که کاربران از داده‌های حساس خود مرتب نسخه‌ی پشتیبان تهیه می‌کنند و مسئولیت آن را برعهده دارند؛ هرچند همانگونه که پیش‌تر گفته شد، باید در نظر گرفت که بسیاری از تیم‌های کوچک حتی عضوی در این بخش‌های فنی ندارند.

مجموعه «دیجیتال اوشن» نیز در SLA خود متنی تقریبا مشابه را برای مشتریان خود نوشته است: «شما موافقت می‌کنید که ما هیچ گونه مسئولیتی در قبال داده‌هایی که ممکن است از بین بروند و یا نابود شوند و یا به هر شکل دیگری غیرقابل دسترسی شوند، نخواهیم داشت، خواه این موضوع به دلیل عدم پشتیبان گیری از داده‌ها توسط خودتان باشد یا هر دلیل دیگری.»

در SLA شرکت «ولتر» نیز اینچنین آمده است: «شما موافقت می کنید که استفاده شما از خدمات Vultr به عهده خود شما است و Vultr هیچ گونه مسئولیتی در قبال از دست دادن داده‌ها در قبال خدمات خود ندارد. این شما هستید که مسئول تهیه پشتیبان از محتوای خود هستید. اگر ما در حین فعالیت روتین خود، از محتوای شما پشتیبان تهیه کنیم که شما هم بعداً از ما بخواهید تا آن را به حسابتان بازگردانیم، نمی توانیم تضمین کنیم که قادر به انجام این کار خواهیم بود. ما توصیه می‌کنیم که روش پشتیبان گیری معمول خود را در پیش داشته باشید و به صورت دوره‌ای بازیابی اطلاعات خود را آزمایش کنید تا مطمئن شوید که نسخه پشتیبان شما قابل دسترس است.»

شهریزفر به دیجیتال می‌گوید آنها این امکان را فراهم کردند که اگر مشکلی در ریکاوری اطلاعات یا پایدارسازی سیستم‌ها وجود داشته باشد، تیم‌ کوچ ابری آروان تا زمان رفع کامل مشکلات رایگان در کنار مشتریان باشد: «ما در ابر آروان علاوه بر اولویت‌دهی هرچه بیش‌تر به ارتقای امنیت و پایداری، در آینده از وظایف و اولویت‌های خود می‌داند که با گسترش سرویس‌ها و امکانات برای تهیه‌ی نسخه‌های پشتیبان و نگهداری اطلاعات در سطح چند Available Zone در مسیر هرچه پایدارتر شدن کسب‌وکارها اقدام کند.»

آیا مشتریان حق پیگیری قانونی دارند؟

شهریزفر در پاسخ به این پرسش دیجیتال که آیا ابر آروان به مشتریان خود حق می‌دهد که برای از دست رفتن اطلاعات‌‌شان، از مراجع قانونی پیگیری کنند یا خیر به دیجیتال می‌گوید: «طبق متن SLA و قراردادهایی که با مشتریان ابر آروان منعقد کرده‌ایم و همانند تمام سرویس‌دهندگان جهانی، از نظر قانونی مسئولیتی در برابر اطلاعات نداریم. سیستم جبران خدمت برای تمام مشتریان آسیب‌دیده یکسان است.»

او در این مورد ادامه می‌دهد: «متاسفانه با وجود تاکیدهای چندباره ابر آروان در متن «شرایط استفاده از خدمات»، توصیه‌های مکرر در کنفرانس‌ها و مقالات و هم‌چنین توصیه‌های تیم‌های فروش و اداپشن به مشتریان، برخی از مشتریان از اطلاعات خود نسخه‌ی پشتیبان تهیه نکرده‌اند و یا از معماری‌های ابرزی و توزیع‌شده به‌شکل پایدار در Multiple Availability Zone استفاده نکرده‌اند.»

شهریزفر می‌گوید آنها نهایت تلاش خود را کردند تا صدمات وارد شده به کسب و کارها را جبران کنند: «اگرچه ما در این حادثه سعی کردیم بسیار بیش از مقداری که متعهد شده بودیم، خسارت‌ها را جبران کنیم. اما متوجه آسیب وارد شده به کسب‌وکارها هستیم. می‌دانیم این حادثه‌ی تلخ در بازه‌ی پرترافیکی اتفاق افتاد و از این بابت عمیقا متاسفیم.»

آنطور که مدیر روابط عمومی ابر آروان می‌گوید، ظرفیت تیم‌های پشتیبانی و فنی برای کمک به بازیابی سرورهای ابری را از ۲۰ نفر تیم پشتیبانی، به ۱۰۵ نفر افزایش داده شده و در این مدت، همکاران آنها بیش از ۸۳۰۰ تماس تلفنی و بیش از ۳۶۰۰ تیکت را پاسخ دادند.

در هر حال آنچه امروز رخ داده یک تجربه تلخ اما گران‌بها برای همه طرفین این اتفاق است. از یک سو کسب‌وکارها حالا متوجه اهمیت نسخه‌های پشتیبان شده‌اند و از سوی دیگر باید دید ابر آروان در گزارش نهایی خود که همین هفته منتشر می‌شود، چه خواهد گفت. اما آنچه مشخص است اینکه داستان این تجربه‌ی نو و گران برای شرکت‌های ایرانی، به سادگی به پایان نمی‌رسد و بعید نیست اگر ابعاد حقوقی جدیدی به همراه داشته باشد.