Het dilemma van de vitale datacenters
Na de haven in Rotterdam en Schiphol, wordt de digitale infrastructuur van datacenters wel eens de derde mainport van Nederland genoemd. Met ruim 140 datacenters in dit land is die gedachte ook niet zo gek, maar hoe bepaal je welke datacenters moeten worden beschouwd als vitale infrastructuur.
Daar is in opdracht van het Agentschap Telecom afgelopen voorjaar onderzoek naar gedaan door bureau Stratix. De onderzoekers concluderen dat het best lastig is om concrete maatstaven te vinden om te kunnen bepalen of een datacenter vitale infrastructuur huisvest.
Verschillende datacenters
Nederland telt ongeveer 140 commerciële datacenters die in het bezit zijn van 51 rechtspersonen. Daar zijn de datacenters van de hyperscalers, zoals Microsoft, Google Cloud en AWS, niet bij opgeteld. De cijfers betekenen dat een deel van die rechtspersonen meerdere datacenters bezit, zo blijkt uit het rapport. Om die reden lijkt het verstandiger om vooral een datacentergebouw vitaal te verklaren in plaats van de rechtspersoon.
De verscheidenheid aan diensten tussen de diverse typen datacenters is groot, variërend van alleen housing tot aan een compleet dienstenpakket, met opslag, dataverwerking, softwarepakketten en beheerdiensten (verticals). Bovendien is deze markt zeer dynamisch; er is sprake van groei, clustering, verschuiving in de dienstenmix en eigendomswisselingen, stellen de onderzoekers.
Harde criteria
Er bestaat geen consensus over de criteria om te kunnen bepalen welke datacenters vitale infrastructuur huisvesten. De omvang van een datacenter blijkt geen indicatie te zijn voor het aantal of het soort klanten.
Harde criteria als vloeroppervlak, stroom- aansluitwaarde of aantal personen dat direct afhankelijk is van de dienstverlening zijn daarvoor eveneens ongeschikt.“Voor alle geïnterviewde partijen is duidelijk dat harde criteria als vloeroppervlak of stroomverbruik geen rol kunnen spelen bij het bepalen of een datacenter vitaal verklaard moet worden.” Dat komt onder meer door de steeds hogere densiteit van de hardware die leidt tot een hogere compute power terwijl het vloeroppervlak gelijk blijft of zelfs afneemt.
Een ander criterium
Om vast te stellen of een datacenter in aanmerking komt voor vitaal beoordeling, zijn vier criteria van belang:
• Er wordt (een groot deel van) een vitaal proces gehuisvest
• Er is geen reële uitwijkmogelijkheid
• Het datacenter is te complex om snel te herstellen
• Het datacenter is te groot om te falen
Het aantal huishoudens of burgers dat geraakt wordt als het datacenter uitvalt, wordt als criterium door een deel van de respondenten afgewezen. Dit onderstreept het gevoel om vooral te kijken naar de processen in de datacenters om te kunnen bepalen of het gaat om vitale infrastructuur.
Certificeringen
Verder is onderzocht of certificeringen iets kunnen zeggen over het eventueel vitaal belang van datacenters. Datacenters laten zich certificeren naar ISO9001, 27001 of NEN7510. De ISO27001 geeft aan hoe de informatiebeveiliging procesmatig is ingericht om beveiligingsmaatregelen te effectueren. De NEN7510 doet dat ook, maar dan specifiek voor informatiebeveiliging in de zorgsector. ISO9001 is de internationale generieke norm voor kwaliteitsmanagement. Deze komt iets minder bij datacenters voor dan de ISO27001.
Hoewel certificeringen in de datacentermarkt belangrijk zijn, zijn er ook kanttekeningen bij te plaatsen. Datacenters tonen graag dat ze werken vooral volgens bepaalde certificeringen omdat de klanten het als voorwaarde stellen en uit concurrentieoverwegingen. De enquête onder datacenters toont aan dat de meeste datacenters de drie genoemde certificeringen herkennen, maar niet per se zien als een parameter voor vitaal verklaren. Dat komt vooral omdat certificaten slechts een beperkte zekerheid bieden dat processen als beschreven ook werkelijk worden uitgevoerd. Diverse ondervraagde datacentermedewerkers merken op dat certificaten vaak meer een marketing gimmick zijn. Er wordt daarom betwijfeld of dit maatgevend is voor het bepalen of een datacenter vitaal of niet-vitaal is.
Te weinig kennis
Toch lijkt er wel een aspect te zijn dat iets kan zeggen over het belang van de diensten die in een datacenter draaien.“Er zal gekeken moeten worden naar de processen van de klanten in de datacenters”, stellen de onderzoekers.
Daar moet wel bij worden aangetekend dat voor veel datacenters niet duidelijk is welke processen er lopen en of die te voorzien zijn van het label vitaal. Lang niet alle exploitanten van datacenters weten voldoende van hun klanten om een inschatting te kunnen maken over de processen en de noodzaak van de continuïteit. Ruwweg de helft van de datacenters uit de enquête stelt daar pro-actief geen vragen over aan hun klanten.
Hoe nu verder?
Ook volgens de Stichting Digitale Infrastructuur Nederland (DINL) moeten processen in principe doorslaggevend zijn voor het beantwoorden van vragen over vitaal-bepaling.“Maar dan zou het beter om de hele sector vitaal te verklaren”, aldus een reactie van DINL. De Dutch Data Center Association (DDA) ziet eigenlijk geen reden om bepaalde datacenters vitaal te verklaren omdat het niet duidelijk is welk probleem daarmee moet worden opgelost. Ook DINL ziet de meerwaarde van vitaal verklaren van bepaalde datacenters niet en stelt voor om te kijken naar de classificaties die in lijn zijn met de Europese Cyber Security Act.
Het initiatief voor het vitaal verklaren van Nederlandse datacenters ligt nu in handen van het ministerie van Economische Zaken en Klimaat (EZK). Staatssecretaris Mona Keijzer zal op basis van de rapporten en gesprekken met de sector beoordelen of bepaalde aanbieders als vitaal of essentieel moeten worden bestempeld. De verwachting is dat daar in het najaar meer bekend over wordt.
Edwin Feldmann