Суперечки SLA з операторами: чому докази перемагають, а знімки екрану програють

Кожен TowerCo, кожен оператор colo, кожен CPO з SLA, що передбачає кредити, пережив цю розмову. Орендар подає суперечку. Орендар має знімки екрану зі свого власного моніторингу, що показують аварію на його боці. Оператор має панелі приладів, що показують об'єкт як доступний. Обидві сторони дивляться на реальні дані. Обидві сторони переконані, що дані іншої сторони неправильні. Суперечку закривають узгодженим розподілом, який, мабуть, не відображає того, що насправді сталося.

Узгоджені розподіли — це структурний збій. Вони означають, що докази жодної зі сторін не були достатньо сильними, щоб вирішити питання, а це означає, що наступна суперечка виглядатиме так само. Вихід — не краще ведення переговорів — це докази, що є криптографічно рівня суперечки. А розрив між знімком екрану та доказом рівня суперечки ширший, ніж більшість операторів розуміє.

Дві сторони з двома різними стеками моніторингу, що спостерігають за тією самою фізичною інфраструктурою, створять дві різні хронології. Це не баг. Це очікувана поведінка будь-якої системи, де моніторинг асинхронний, мережеві шляхи різні, методологія підрахунку різна, і бази часу можуть бути не точно синхронізовані.

Знімок екрану з RMS постачальника — це твердження про стан. Потік подій з хеш-ланцюжком — це запис стану. Суперечки SLA вирішуються на основі записів, а не тверджень.

RMS постачальника TowerCo може рахувати об'єкт як «доступний», доки контролер об'єкта доступний і агрегатор BTS повідомляє про нормальне живлення. NOC орендаря-оператора може рахувати той самий об'єкт як «відключений», якщо їхня мережа ядра не отримувала трафіку від секторів стільника протягом 90 секунд. Обидва визначення є обґрунтованими. Вони вимірюють різні речі. Жодна команда не є нечесною.

Знімок екрану з консолі RMS постачальника є фундаментально твердженням про те, як система виглядала в певний момент часу. У самому знімку екрану немає нічого, що б казало: цей рендеринг був згенерований з певного набору базових подій телеметрії; ці події відбулися у ці конкретні часи; події не були змінені з моменту їх запису; рендеринг застосував ту саму методологію, яку визначає SLA.

Коли суперечка ескалує і третя сторона — юридична команда, арбітр, аудитор — намагається оцінити знімок екрану як доказ, знімок екрану відповідає приблизно на нуль відповідних питань. Якими були базові дані? Чи були вони повними? Чи міг хтось їх редагувати між подією та рендерингом? Чи застосував дашборд ту саму методологію, яку визначає SLA? Більшість систем RMS постачальників не можуть відповісти на ці питання, тому що вони не були розроблені для цього.

Потік подій рівня суперечки має чотири властивості, яких немає у знімка екрану. Повнота: кожен перехід стану в системі записується — втрата живлення, спрацювання ATS, живлення BTS в нормі, відновлення RF сектора — при переході, а не як зведений підсумок. Захист від підробок: кожна подія пов'язана хеш-ланцюжком з попередньою та криптографічно підписана в момент запису. Збереження лише вставок: базове сховище забороняє операції UPDATE та DELETE. Та рендеринг, що усвідомлює методологію: показник часу роботи на орендаря обчислюється відповідно до визначеної методології SLA, а не переважного підрахунку постачальника.

При наявності доказів рівня суперечки розмова з орендарем повністю змінює форму. Орендар заявляє про 47 хвилин простою. Оператор відкриває запечатаний потік подій для цього вікна, застосовує методологію SLA і отримує число 4 хвилини з доданими базовими переходами. NOC орендаря може перевірити розрахунок щодо своєї власної телеметрії, може побачити, де два стеки розійшлися — зазвичай у часі повторної конвергенції мережі ядра, на боці розмежування орендаря — і може відкликати оспорювану частину.

Оператори, що використовують запечатані потоки доказів, регулярно повідомляють, що обсяг суперечок, ініційованих орендарями, знижується протягом першого року, бо NOC орендаря дізнається, що докази оператора витримають. Суперечки, що залишаються, — це реальні граничні випадки, варті вирішення по суті.

Інший наслідок запечатаних доказів — регуляторний. SOC 2, ISO 27001, NIS 2 та різні секторальні стандарти все більше вимагають записів подій аудиторського рівня з горизонтами зберігання, вимірюваними в роках. Знімок екрану не може задовольнити ці вимоги. RMS постачальника з місячними зведеннями не може задовольнити ці вимоги. Запечатаний потік подій з хеш-ланцюжком може. Вбудовування журналу аудиту в платформу з самого початку набагато дешевше, ніж додавання його пізніше — а виграші суперечок є побічним ефектом роботи, а не окремим проектом.