تحتاج صفقة الحكومة الكويتية مع شركة غوغل إلى الكثير من التدقيق والتمحيص لمعرفة ما وراء العناوين. فقد أعلنت الحكومة توقيع مذكرة تفاهم مع شركة Google لتأسيس تحالف استراتيجي يتضمن إنشاء مراكز معلومات محلية لخدمات السحابة (يوفر للمؤسسات والشركات القدرة على استخدام خدمات Google سحابة في الكويت)، ودعم الحكومة في هجرة أنظمتها إلى السحابة، إلا أنه رغم أن هذا الإعلان يدعو إلى التفاؤل، فإنها مهمة لا يُستهان فيها، تتطلب سنوات عديدة للتنفيذ، وتحتاج إلى أفضل القدرات والخبرات في الحكومة الكويتية للتأكد من أنها تختار أفضل خدمات Google لتلبية احتياجاتها بأقل تكلفة مع أعلى معدل إنتاجية.
لذا، لا بدّ من إبداء عدد من الملاحظات على هذه الصفقة، تعميماً للفائدة ومنعا للخسائر واحتمالات الفشل المستقبلي. ومن هذه الملاحظات التالي:
ضبابية المعلومات المتوافرة من المسؤولين حول الاتفاقية
ذكرت العديد من الصحف المحلية أن الصفقة قد تكلف الكويت أكثر من مليار دولار. ولم تصدر حتى الآن معلومات بشأن كيفية تقييم الحكومة لمورّدي السحابة (cloud vendors)، وما إذا تم إجراء التدقيق الواجب (due diligence) عند الاختيار، والأساس الذي تم اختيار Google من بين الموردين الآخرين بناءً عليه، وما إذا كانت تكلفة الصفقة مبررة ومصالح الحكومة محمية بشكل كافٍ، Service Level Agreements، Protection against fines، etc، لأن المعتاد في عقود السحابة أن يكون المستفيد هو المورد للخدمة وليس مستخدموها. لذا يعد أمرا في غاية الأهمية أن يتم التدقيق الواجب قبل التوقيع لأي اتفاقيات سحابية.
وهنا نستعرض بعض المخاطر الرئيسية التي يجب مراعاتها فيما يتعلق بهجرة المعلومات الرقمية والأنظمة للسحاب فيما يلي:
أولا: استراتيجية السحابة ومخاطر السمعة (Cloud Strategy and Reputation risks).
ومن المخاطر المرتبطة بهذا الجانب تأتي احتمالات التأخير في الهجرة الرقمية للسحابة بسبب الاعتماد على الآخرين، وعدم القدرة على التنبؤ بما سيحدث أثناء، وبعد عملية الانتقال الى خدمات السحابة، إضافة الى مدى مواءمة الأنظمة والأجهزة القديمة مع الحديثة، وهي أمور قد تؤدي الى مخاطر عدم تحقيق المشروع منافعه المرجوة.
ثانيا: المخاطر العملية ومنها:
• عدم قدرة المؤسسات المحلية المستفيدة من الخدمة على المواءمة بين نهجها الحالي لإدارة المخاطر والنهج المتبع في البيئة السحابية الجديدة.
• مخاطر حوكمة الشركات (Compliance، regulatory requirements، and data privacy)، وعدم الشفافية الكافية بشأن طريقة الاحتفاظ بالبيانات التي تؤدي إلى عدم الامتثال للالتزامات القانونية والتنظيمية.
• مخاطر التوافر والمرونة (Availability and Resiliency risks) كعدم وجود خطة مستمرة للأعمال التي تعالج الحالة عند فشل مزوّد الخدمة السحابية، أو قيام المزوّد بالتغييرات في استراتيجية الخدمة الخاصة بهم.
• مخاطر البنية التحتية كالنظر في مدى تعقيد هيكل تكنولوجيا المعلومات الحالي (complexity of existing IT landscape). وما إذا تم تحديد بنية مستقبلية واضحة (clear target architecture)، إضافة الى معالجة العديد من الجوانب العملية، مثل تفاصيل تقسيم الشبكة والمصادقة والتشفير وإجراءات الدخول والمراقبة ومدى استخدام أجهزة افتراضية وعدد من الإجراءات الفنية الدقيقة: directory services، network micro-segmentation، authentication، encryption، logging and monitoring and use of virtual machines، containers and/or serverless computing.
• مخاطر عدم القدرة على تغيير مزوّد الخدمة (Vendor lock-in) الاعتماد الكلي على مزوّد السحابة الحالية (مثل Google) ونقص قابلية النقل والتشغيل الى مزوّد آخر.
• مخاطر الأمن السحابي واحتمالات وتسرب البيانات، على سبيل المثال بسبب أخطاء في البرمجة أثناء الهجرة الرقمية للسحابة، واحتمالات خرق السرية بسبب قضايا تتعلق بإدارة هوية المستخدمين. (Identity & Access Management Issues).
وبعد استعراض أهم المخاطر المحتملة من توقيع هذه الاتفاقية وبهذه السرعة، مع عدم التأكد من اتخاذ جميع التدابير والإجراءات التي يُفترض أن تسبق مثل هذه الاتفاقيات المهمة، لا بدّ لنا من استعراض أهم عوامل ومسببات فشل الهجرة الرقمية للسحاب (Cloud migration failures)، فقد عانت الكثير من الشركات من سلبيات عدم الأخذ بالحسبان ما يلي:
• الجهل في نموذج المسؤولية المشتركة (Shared responsibility model)/ التفويض الزائد
هناك تصوّر خاطئ أن المزوّد يوفر الحلول المتكاملة للخدمة السحابية، وأن الحكومة أو الشركات لا تحتاج إلى القيام بأي إدارة، مع أن واقع الحال يوجب على حكومة الكويت و/أو الشركات توفير القدرة لإدارة وحراسة أنظمتها. ويُعد فهم نموذج المسؤولية المشتركة (Shared responsibility model) أمرًا ضروريا عند تحديد أفضل طريقة لحماية البيانات والأنظمة على Google Cloud.
ويمكن أن يؤدي التفويض الزائد إلى انتهاكات أمنية ومخاطر عدم التعامل معها وإدارتها بشكل مناسب.
• المنتجات والخدمات السحابية المختارة لم تكن مناسبة للغرض
تقييم التطبيق الذي يساند الخدمات الإلكترونية أمر بالغ الأهمية. يعد تقييم كل تطبيق يدعم الهيئات الحكومية المختلفة ذا أهمية قصوى لتحديد أيهما يمكن أن ينتقل كما هو في السحابة وتشغيله بنجاح، وأيهما يجب تحديثه وأي تطبيق يجب إيقاف تشغيله واستبداله. المنظمات التي تقوم بتنقل الأنظمة كما هي (i.e. Lift and Shift) تتعرّض لخطر فشل النظام. يجب مراعاة التغييرات أو التطورات البرمجية لكل نظام للاستفادة من خدمات مزود السحابة المتوافرة. تحتاج حكومة الكويت و/ أو الشركات إلى التأكد من فهمهم لعروض خدمات Google المتاحة (مثل Compute Engine، وApp Engine، وKubernetes Engine، وCloud Functions، وما إلى ذلك)، واختيار ما يناسب احتياجاتهم على أفضل وجه.
ويمكن أن يؤدي اختيار العرض الخاطئ إلى قلة التحكم في أنظمتهم، وزيادة تكاليف التشغيل، وبطء أداء النظام أو إخفاقه، وعدم القدرة على الاستفادة، مما يمكن أن تقدمه Google، لا سيما فيما يتعلّق بزيادة سرعة التشغيل، والمرونة والكفاءة والابتكار.
• تكلفة التشغيل على السحابة تتجاوز تكلفة شراء البنية التحتية وإدارتها بشكل مستقل
تحظى الحوسبة السحابية بشعبية لقدرتها على تخفيض تكاليف تكنولوجيا المعلومات.
ومع ذلك، فإن تكلفة تشغيل الأنظمة على Google Cloud يمكن أن تكون أكثر تكلفة من النظام الحالي إذا لم يتم تنفيذها بشكل صحيح. إذا تم رفع وتحويل (Lift and Shift) الأنظمة ببساطة إلى السحابة دون تحديثها لاستخدام بيئة Google بكفاءة، فقد تضطر الحكومة إلى دفع أكثر من تكلفة إدارة الأنظمة وتشغيلها بنفسها ضمن بنيتها التحتية الحالية. لكل تطبيق تخطط الحكومة لنقلها، يجب أن يكون لديهم فهم تقني للنظام والبنية المقترحة التي يخططون لتطبيقها، والتي تحقق أفضل استخدام للسحابة (وأي وفورات في التكاليف مرتبطة بها).
•عدم القدرة على تغيير مزوّد السحابة
عندما تهجر المؤسسات الأنظمة إلى السحابة، يكون الدافع الأساسي غالبًا هو التحرر من متطلبات صيانة وتشغيل البنية التحتية بنفسها. ومع ذلك، إذا لم تكن حكومة الكويت حريصة، فقد ينتهي بهم الأمر في قفل سحابي مع Google، وهذا ما يسمى بالتقييد بمزوّد السحابة (Vendor lock-in) - وهو سيناريو يصبح فيه مرتبطا بمزوّد خدمة سحابية من دون وسيلة سهلة أو فعالة من حيث التكلفة للتحرر. إذا لسبب ما، تنخفض جودة خدمات Google بمرور الوقت، أو أنها لا تفي أبدًا بوعودها (SLAs)، فقد يكون التقييد في مزوّد واحد أمرًا خطيرًا. عند إعادة هندسة الأنظمة وتنقلها إلى السحابة، يجب أن تضمن حكومة الكويت أن البنية التحتية الخلفية التي تدعم الأنظمة قابلة للتشغيل البيني مع مختلف مزوّدي السحابة (Interoperability).
أما بعد التحول الى الخدمات السحابية أمر لا بدّ منه للمنافسة في العصر الرقمي. كما أن الحاجة إلى تطوير المنتجات/ الخدمات الإلكترونية بشكل متقن، والعمل بكفاءة أكبر، تدفع الشركات والحكومات إلى السعي وراء حلول تكنولوجية تحويلية في سحابة Google. ومع ذلك، إذا لم يتم تنفيذ التدقيق الواجب الصحيح، واختيار الخدمات المناسبة، ووضع هيكل الحوكمة الكامل، وإشراك المواهب والمهارات المناسبة، سلبيات الهجرة الرقمية الى السحابة تطغى على منافعها.
* مدير في ممارسة تقنية المعلومات ب «إرنست آند يونغ» العالمية
** الآراء الواردة في هذه المقالة هي وجهات نظر المؤلف، ولا تعكس بالضرورة وجهات نظر منظمة إرنست آند يونغ العالمية أو الشركات الأعضاء فيها