15 marca 2021

Pożar serwerowni OVH – ważna lekcja w kwestii bezpieczeństwa przetwarzania danych

Autor: Rafał Mańkowski

Pożar serwerowni OVH wywołał duże kłopoty wielu firm i osób fizycznych, ale też wiele pytań. Czy i na ile nasze strony, aplikacje, usługi i dane są bezpieczne? Na ile jesteśmy zależni od innych – jak rozwikłać tu sieć zależności, na co zwrócić uwagę w jej analizie. Jak uniezależnić się od kłopotów jednego dostawcy? Czy to w ogóle możliwe? Czy można się ubezpieczyć od takich zdarzeń? Jak takie przypadki mogą wpłynąć na rynek ubezpieczeniowy i jego otoczenie?

 

Rafał Mańkowski

Ubezpieczenia dla operatorów oferujących możliwość przechowywania danych w chmurze

Zacznijmy od ubezpieczeń. Czy możliwe jest ubezpieczenie się od takiego ryzyka, jakie unaocznił nam pożar serwerowni OVH i dla kogo jest taka możliwość? W takich przypadkach możemy mówić o  dwóch rodzajach polis, które pozwalają ograniczyć potencjalne straty.

Ubezpieczenie budynku i sprzętu elektronicznego

Po pierwsze, ubezpieczenie budynku i jego wyposażenia poza elektroniką od pożaru i innych zdarzeń losowych, albo w zakresie all risk, po drugie ubezpieczenie serwerów i pozostałego wyposażenia elektronicznego od all risk. Oczywiście nie wiemy, czy budynek należał do operatora serwerowni OVH, czy był przez niego wynajmowany. Mogło się zdarzyć, że umowy te były zawierane na dwa różne podmioty. Sytuację uznajmy jednak jako wyjściową do tego, by pokazać możliwości ubezpieczenia majątku.

Ubezpieczenie sprzętu elektronicznego

W przypadku ubezpieczenia elektroniki mamy do czynienia z następującymi sekcjami:

  1. Ubezpieczenie sprzętu elektronicznego od all risk,
  2. Ubezpieczenie nośników danych i danych; przy czym umowa ubezpieczenia zakłada zazwyczaj obowiązek tworzenia kopii zapasowych na nośniku znajdującym się w innym miejscu, więc ubezpieczeniem w zasadzie objęty jest koszt wgrania danych z nośnika, który nie został zniszczony oraz zainstalowanie oprogramowania.
  3. Ubezpieczenie BI – dodatkowe koszty związane z przywróceniem ciągłości działania oraz utraconych przychodów w okresie przestoju spowodowanego szkodą w mieniu.

Za ubezpieczenie sprzętu i danych powinien być odpowiedzialny operator, który oferuje usługi przechowywania danych w chmurze.

Ubezpieczenia dla firmy korzystającej z usług chmurowych

A jak to wygląda od strony firm, które korzystają z usług chmurowych?

Duże platformy handlowe, instytucje finansowe itp., które mają własne serwery, a jedynie część procesów i danych przeprowadzają w chmurze, mogą rozszerzyć swoje ubezpieczenie BI o tzw. klauzulę „odbiorcy i dostawcy”.  Na dostawców z reguły ustala się limit odpowiedzialności zakładu ubezpieczeń. Jeżeli u takiego dostawcy usług w chmurze wystąpi  szkoda w jego sprzęcie elektronicznym, powodująca przerwę w działalności podmiotu, który wykupił rozszerzającą klauzulę, to wtedy ubezpieczenie BI zadziała.

Mali i średni przedsiębiorcy

Przypadek OVH pokazał, że tak naprawdę więcej problemów po pożarze mają mali i średni przedsiębiorcy, a nie duże firmy, które są w stanie takie ryzyko odpowiednio zmitygować. Polisy sprzętu elektronicznego dla małych i średnich podmiotów z reguły obejmują przede wszystkim dane
i oprogramowanie znajdujące się na nośnikach będących w posiadaniu ubezpieczonego przedsiębiorcy.

Właściciele małych i średnich firm przede wszystkim powinni sprawdzić zapisy dotyczące umownych obowiązków operatora w zakresie: tworzenia kopii zapasowych oraz ponoszenia odpowiedzialności za utrzymanie danych i odtworzenie w razie awarii lub zniszczenia  sprzętu elektronicznego. Niestety pożar pokazał, że zbyt rzadkie tworzenie kopii może być niebezpieczne dla ciągłości biznesu.

Przypadek firmy OVH pokazuje, że konieczna jest także dyskusja na temat dobrych praktyk w zakresie bezpieczeństwa zasobów danych i oprogramowania w przypadku małych przedsiębiorstw.  Sklepy internetowe, studia projektowe, agencje reklamowe ze względu na koszty outsoursują coraz częściej obsługę informatyczną swoich procesów biznesowych i baz danych. Również ze względu na koszty przechowują znaczną część swoich zasobów w chmurze. Utrata danych dotyczących bieżących transakcji lub majątku intelektualnego firmy w postaci projektów, grafik, tekstów może być dla nich znacznie bardziej dotkliwa niż dla dużych przedsiębiorstw, posiadających odpowiednie zasoby do radzenia sobie z sytuacjami kryzysowymi.

 

Mariusz Kuna
Mariusz Kuna

Mariusz Kuna

Pożar serwerowni OVH – ryzyko przestało być czysto hipotetyczne

Są sektory, które maja prawne obowiązki zarządzania ICT (ang. Information and Computing Technology), w tym tworzenia polityk backupów. Większość podmiotów nie ma takich regulacji.

I tu warto powiedzieć o naszym sektorze. Dla branży ubezpieczeniowej ten pożar może oznaczać kolejne wyzwania regulacyjne, którym będziemy musieli sprostać. Dlaczego?

Pożar serwerowni wydarzył się w czasie, gdy na forum europejskim trwa dyskusja nad projektem rozporządzenia unijnego o odporności cyfrowej tzw. DORA. Rozporządzenie to regulować będzie zasady zarządzania ryzykiem przez sektor finansowy w zakresie właśnie tego typu zdarzeń. Trzeba założyć, iż ten przypadek stanie się argumentem dla regulatorów, by takie ryzyka, jeszcze mocniej kontrolować i regulować. To oczywiście budzi nasze obawy.

Z drugiej strony, tego typu zdarzenie daje argumenty ubezpieczycielom w rozmowach z dostawcami usług ICT w zakresie stosowanych rozwiązań i zabezpieczeń oraz gwarancji z nimi związanymi. Z całą pewnością zaś wydarzenie to zmaterializowało ryzyko, które do tej pory było czysto hipotetyczne.

Popatrzmy też na ten przypadek  z technologicznego punktu widzenia.

Serwerowanie – szereg powiązanych usług

Serwerownie to tak naprawdę szereg usług. Może być to nadzorowana przestrzeń środowiskowa ­­–   miejsce, gdzie wstawiamy własną infrastrukturę do przetwarzania danych. Jeśli wybucha pożar, to przede wszystkim tracimy sprzęt i mamy zaburzone działania procesów. Druga sytuacja to dzierżawa infrastruktury zlokalizowanej w serwerowni. Dzierżawimy urządzenia i współ-dzierżawimy przestrzeń fizyczną. Jako dzierżawcy urządzeń w razie pożaru potencjalnie tracimy ciągłość działania procesów oraz systemy i dane. Stratę materialną ponosi dostawca.

Trzeci, najprostszy scenariusz, to dzierżawa systemów lub usług. I tu nasze potencjalne straty  dotyczą także ciągłości procesów oraz systemów i danych.

W każdym z wyżej wymienionych najprostszych przykładów usług będziemy mieli do czynienia z zaburzeniem działalności i usług oraz potencjalne ryzyko utraty danych i ciągłości działania. Rzeczywiste szkody będą zależeć od zastosowanych przez towarzystwo rozwiązań związanych z planami ciągłości działania i możliwości zastosowania rozwiązań zastępczych.

Zburzenie porządku w Internecie

Wreszcie, w analizie ważne byłoby ustalenie, z jakiego rodzaju usługami mieliśmy do czynienia. Czy w takim centrum danych były umiejscowione środowiska produkcyjne, środowiska zapasowe czy też było to tylko repozytorium danych zapasowych? Z cała pewnością takie zdarzenie podniosło ryzyko ciągłości działania dla wszystkich klientów konkretnego centrum danych. Dla części oznaczało uruchomienie planów ciągłości działania, by dalej funkcjonować, i minimalizację strat związanych z tym incydentem.

Trzeba pamiętać, że w takich serwerowniach działają komponenty do różnego rodzaju usług sieciowych. Zaburzenie ich pracy wprowadza nieład w całym Internecie.

Pożar serwerowni OVH – lekcja na przyszłość

W analizie tego incydentu warto odpowiedzieć też na pytanie, jak do tego doszło. Analiza ryzyka nie może pomijać tej kwestii. Serwerownie mają bardzo rozbudowany i wieloetapowy system zabezpieczeń, które powinny być stale nadzorowane i testowane. Czy było tak w tym przypadku? Jakie wnioski można tu wysunąć na przyszłość? Na co mogą liczyć klienci operatora?

Pożar serwerowni OVH należy potraktować jako ważną lekcję na przyszłość w kwestii bezpieczeństwa przetwarzania danych.