Pożar serwerowni OVH - ważna lekcja bezpieczeństwa

Pożar serwerowni OVH – ważna lekcja w kwestii bezpieczeństwa przetwarzania danych

Pożar serwerowni OVH wywołał duże kłopoty wielu firm i osób fizycznych, ale też wiele pytań. Czy i na ile nasze strony, aplikacje, usługi i dane są bezpieczne? Na ile jesteśmy zależni od innych – jak rozwikłać tu sieć zależności, na co zwrócić uwagę w jej analizie. Jak uniezależnić się od kłopotów jednego dostawcy? Czy to w ogóle możliwe? Czy można się ubezpieczyć od takich zdarzeń? Jak takie przypadki mogą wpłynąć na rynek ubezpieczeniowy i jego otoczenie?

Rafał Mańkowski

Ubezpieczenia dla operatorów oferujących możliwość przechowywania danych w chmurze

Zacznijmy od ubezpieczeń. Czy możliwe jest ubezpieczenie się od takiego ryzyka, jakie unaocznił nam pożar serwerowni OVH i dla kogo jest taka możliwość? W takich przypadkach możemy mówić o dwóch rodzajach polis, które pozwalają ograniczyć potencjalne straty.

Ubezpieczenie budynku i sprzętu elektronicznego

Po pierwsze, ubezpieczenie budynku i jego wyposażenia poza elektroniką od pożaru i innych zdarzeń losowych, albo w zakresie all risk, po drugie ubezpieczenie serwerów i pozostałego wyposażenia elektronicznego od all risk. Oczywiście nie wiemy, czy budynek należał do operatora serwerowni OVH, czy był przez niego wynajmowany. Mogło się zdarzyć, że umowy te były zawierane na dwa różne podmioty. Sytuację uznajmy jednak jako wyjściową do tego, by pokazać możliwości ubezpieczenia majątku.

Ubezpieczenie sprzętu elektronicznego

W przypadku ubezpieczenia elektroniki mamy do czynienia z następującymi sekcjami:

Ubezpieczenie sprzętu elektronicznego od all risk,
Ubezpieczenie nośników danych i danych; przy czym umowa ubezpieczenia zakłada zazwyczaj obowiązek tworzenia kopii zapasowych na nośniku znajdującym się w innym miejscu, więc ubezpieczeniem w zasadzie objęty jest koszt wgrania danych z nośnika, który nie został zniszczony oraz zainstalowanie oprogramowania.
Ubezpieczenie BI – dodatkowe koszty związane z przywróceniem ciągłości działania oraz utraconych przychodów w okresie przestoju spowodowanego szkodą w mieniu.

Za ubezpieczenie sprzętu i danych powinien być odpowiedzialny operator, który oferuje usługi przechowywania danych w chmurze.

Ubezpieczenia dla firmy korzystającej z usług chmurowych

A jak to wygląda od strony firm, które korzystają z usług chmurowych?

Duże platformy handlowe, instytucje finansowe itp., które mają własne serwery, a jedynie część procesów i danych przeprowadzają w chmurze, mogą rozszerzyć swoje ubezpieczenie BI o tzw. klauzulę „odbiorcy i dostawcy”. Na dostawców z reguły ustala się limit odpowiedzialności zakładu ubezpieczeń. Jeżeli u takiego dostawcy usług w chmurze wystąpi szkoda w jego sprzęcie elektronicznym, powodująca przerwę w działalności podmiotu, który wykupił rozszerzającą klauzulę, to wtedy ubezpieczenie BI zadziała.

Mali i średni przedsiębiorcy

Przypadek OVH pokazał, że tak naprawdę więcej problemów po pożarze mają mali i średni przedsiębiorcy, a nie duże firmy, które są w stanie takie ryzyko odpowiednio zmitygować. Polisy sprzętu elektronicznego dla małych i średnich podmiotów z reguły obejmują przede wszystkim dane
i oprogramowanie znajdujące się na nośnikach będących w posiadaniu ubezpieczonego przedsiębiorcy.

Właściciele małych i średnich firm przede wszystkim powinni sprawdzić zapisy dotyczące umownych obowiązków operatora w zakresie: tworzenia kopii zapasowych oraz ponoszenia odpowiedzialności za utrzymanie danych i odtworzenie w razie awarii lub zniszczenia sprzętu elektronicznego. Niestety pożar pokazał, że zbyt rzadkie tworzenie kopii może być niebezpieczne dla ciągłości biznesu.

Przypadek firmy OVH pokazuje, że konieczna jest także dyskusja na temat dobrych praktyk w zakresie bezpieczeństwa zasobów danych i oprogramowania w przypadku małych przedsiębiorstw. Sklepy internetowe, studia projektowe, agencje reklamowe ze względu na koszty outsoursują coraz częściej obsługę informatyczną swoich procesów biznesowych i baz danych. Również ze względu na koszty przechowują znaczną część swoich zasobów w chmurze. Utrata danych dotyczących bieżących transakcji lub majątku intelektualnego firmy w postaci projektów, grafik, tekstów może być dla nich znacznie bardziej dotkliwa niż dla dużych przedsiębiorstw, posiadających odpowiednie zasoby do radzenia sobie z sytuacjami kryzysowymi.

Mariusz Kuna

Pożar serwerowni OVH – ryzyko przestało być czysto hipotetyczne

Są sektory, które maja prawne obowiązki zarządzania ICT (ang. Information and Computing Technology), w tym tworzenia polityk backupów. Większość podmiotów nie ma takich regulacji.

I tu warto powiedzieć o naszym sektorze. Dla branży ubezpieczeniowej ten pożar może oznaczać kolejne wyzwania regulacyjne, którym będziemy musieli sprostać. Dlaczego?

Pożar serwerowni wydarzył się w czasie, gdy na forum europejskim trwa dyskusja nad projektem rozporządzenia unijnego o odporności cyfrowej tzw. DORA. Rozporządzenie to regulować będzie zasady zarządzania ryzykiem przez sektor finansowy w zakresie właśnie tego typu zdarzeń. Trzeba założyć, iż ten przypadek stanie się argumentem dla regulatorów, by takie ryzyka, jeszcze mocniej kontrolować i regulować. To oczywiście budzi nasze obawy.

Z drugiej strony, tego typu zdarzenie daje argumenty ubezpieczycielom w rozmowach z dostawcami usług ICT w zakresie stosowanych rozwiązań i zabezpieczeń oraz gwarancji z nimi związanymi. Z całą pewnością zaś wydarzenie to zmaterializowało ryzyko, które do tej pory było czysto hipotetyczne.

Popatrzmy też na ten przypadek z technologicznego punktu widzenia.

Serwerowanie – szereg powiązanych usług

Serwerownie to tak naprawdę szereg usług. Może być to nadzorowana przestrzeń środowiskowa – miejsce, gdzie wstawiamy własną infrastrukturę do przetwarzania danych. Jeśli wybucha pożar, to przede wszystkim tracimy sprzęt i mamy zaburzone działania procesów. Druga sytuacja to dzierżawa infrastruktury zlokalizowanej w serwerowni. Dzierżawimy urządzenia i współ-dzierżawimy przestrzeń fizyczną. Jako dzierżawcy urządzeń w razie pożaru potencjalnie tracimy ciągłość działania procesów oraz systemy i dane. Stratę materialną ponosi dostawca.

Trzeci, najprostszy scenariusz, to dzierżawa systemów lub usług. I tu nasze potencjalne straty dotyczą także ciągłości procesów oraz systemów i danych.

W każdym z wyżej wymienionych najprostszych przykładów usług będziemy mieli do czynienia z zaburzeniem działalności i usług oraz potencjalne ryzyko utraty danych i ciągłości działania. Rzeczywiste szkody będą zależeć od zastosowanych przez towarzystwo rozwiązań związanych z planami ciągłości działania i możliwości zastosowania rozwiązań zastępczych.

Zburzenie porządku w Internecie

Wreszcie, w analizie ważne byłoby ustalenie, z jakiego rodzaju usługami mieliśmy do czynienia. Czy w takim centrum danych były umiejscowione środowiska produkcyjne, środowiska zapasowe czy też było to tylko repozytorium danych zapasowych? Z cała pewnością takie zdarzenie podniosło ryzyko ciągłości działania dla wszystkich klientów konkretnego centrum danych. Dla części oznaczało uruchomienie planów ciągłości działania, by dalej funkcjonować, i minimalizację strat związanych z tym incydentem.

Trzeba pamiętać, że w takich serwerowniach działają komponenty do różnego rodzaju usług sieciowych. Zaburzenie ich pracy wprowadza nieład w całym Internecie.

Pożar serwerowni OVH – lekcja na przyszłość

W analizie tego incydentu warto odpowiedzieć też na pytanie, jak do tego doszło. Analiza ryzyka nie może pomijać tej kwestii. Serwerownie mają bardzo rozbudowany i wieloetapowy system zabezpieczeń, które powinny być stale nadzorowane i testowane. Czy było tak w tym przypadku? Jakie wnioski można tu wysunąć na przyszłość? Na co mogą liczyć klienci operatora?

Pożar serwerowni OVH należy potraktować jako ważną lekcję na przyszłość w kwestii bezpieczeństwa przetwarzania danych.

Cookie	Duration	Description
ARRAffinity		This cookie is set by websites that run on Windows Azure cloud platform. The cookie is used to affinitize a client to an instance of an Azure Web App.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Duration	Description
_gat_gtag_UA_90817145_1	1 minute	No description
ARRAffinitySameSite	session	No description