Het dilemma van de vitale datacenters

google-datacenters280210

Na de haven in Rotterdam en Schiphol, wordt de digitale infrastructuur van datacenters wel eens de derde mainport van Nederland genoemd. Met ruim 140 datacenters in dit land is die gedachte ook niet zo gek, maar hoe bepaal je welke datacenters moeten worden beschouwd als vitale infrastructuur.

Daar is in opdracht van het Agentschap Telecom afgelopen voorjaar onderzoek naar gedaan door bureau Stratix. De onderzoekers concluderen dat het best lastig is om concrete maatstaven te vinden om te kunnen bepalen of een datacenter vitale infrastructuur huisvest.

Verschillende datacenters

Nederland telt ongeveer 140 commerciële datacenters die in het bezit zijn van 51 rechtspersonen. Daar zijn de datacenters van de hyperscalers, zoals Microsoft, Google Cloud en AWS, niet bij opgeteld. De cijfers betekenen dat een deel van die rechtspersonen meerdere datacenters bezit, zo blijkt uit het rapport. Om die reden lijkt het verstandiger om vooral een datacentergebouw vitaal te verklaren in plaats van de rechtspersoon.

De verscheidenheid aan diensten tussen de diverse typen datacenters is groot, variërend van alleen housing tot aan een compleet dienstenpakket, met opslag, dataverwerking, softwarepakketten en beheerdiensten (verticals). Bovendien is deze markt zeer dynamisch; er is sprake van groei, clustering, verschuiving in de dienstenmix en eigendomswisselingen, stellen de onderzoekers.

Harde criteria

Er bestaat geen consensus over de criteria om te kunnen bepalen welke datacenters vitale infrastructuur huisvesten. De omvang van een datacenter blijkt geen indicatie te zijn voor het aantal of het soort klanten.

Harde criteria als vloeroppervlak, stroom- aansluitwaarde of aantal personen dat direct afhankelijk is van de dienstverlening zijn daarvoor eveneens ongeschikt.“Voor alle geïnterviewde partijen is duidelijk dat harde criteria als vloeroppervlak of stroomverbruik geen rol kunnen spelen bij het bepalen of een datacenter vitaal verklaard moet worden.” Dat komt onder meer door de steeds hogere densiteit van de hardware die leidt tot een hogere compute power terwijl het vloeroppervlak gelijk blijft of zelfs afneemt.

Een ander criterium

Om vast te stellen of een datacenter in aanmerking komt voor vitaal beoordeling, zijn vier criteria van belang:

• Er wordt (een groot deel van) een vitaal proces gehuisvest

• Er is geen reële uitwijkmogelijkheid

• Het datacenter is te complex om snel te herstellen

• Het datacenter is te groot om te falen

Het aantal huishoudens of burgers dat geraakt wordt als het datacenter uitvalt, wordt als criterium door een deel van de respondenten afgewezen. Dit onderstreept het gevoel om vooral te kijken naar de processen in de datacenters om te kunnen bepalen of het gaat om vitale infrastructuur.

Certificeringen

Verder is onderzocht of certificeringen iets kunnen zeggen over het eventueel vitaal belang van datacenters. Datacenters laten zich certificeren naar ISO9001, 27001 of NEN7510. De ISO27001 geeft aan hoe de informatiebeveiliging procesmatig is ingericht om beveiligingsmaatregelen te effectueren. De NEN7510 doet dat ook, maar dan specifiek voor informatiebeveiliging in de zorgsector. ISO9001 is de internationale generieke norm voor kwaliteitsmanagement. Deze komt iets minder bij datacenters voor dan de ISO27001.

Hoewel certificeringen in de datacentermarkt belangrijk zijn, zijn er ook kanttekeningen bij te plaatsen. Datacenters tonen graag dat ze werken vooral volgens bepaalde certificeringen omdat de klanten het als voorwaarde stellen en uit concurrentieoverwegingen. De enquête onder datacenters toont aan dat de meeste datacenters de drie genoemde certificeringen herkennen, maar niet per se zien als een parameter voor vitaal verklaren. Dat komt vooral omdat certificaten slechts een beperkte zekerheid bieden dat processen als beschreven ook werkelijk worden uitgevoerd. Diverse ondervraagde datacentermedewerkers merken op dat certificaten vaak meer een marketing gimmick zijn. Er wordt daarom betwijfeld of dit maatgevend is voor het bepalen of een datacenter vitaal of niet-vitaal is.

Te weinig kennis

Toch lijkt er wel een aspect te zijn dat iets kan zeggen over het belang van de diensten die in een datacenter draaien.“Er zal gekeken moeten worden naar de processen van de klanten in de datacenters”, stellen de onderzoekers.

Daar moet wel bij worden aangetekend dat voor veel datacenters niet duidelijk is welke processen er lopen en of die te voorzien zijn van het label vitaal. Lang niet alle exploitanten van datacenters weten voldoende van hun klanten om een inschatting te kunnen maken over de processen en de noodzaak van de continuïteit. Ruwweg de helft van de datacenters uit de enquête stelt daar pro-actief geen vragen over aan hun klanten.

Hoe nu verder?

Ook volgens de Stichting Digitale Infrastructuur Nederland (DINL) moeten processen in principe doorslaggevend zijn voor het beantwoorden van vragen over vitaal-bepaling.“Maar dan zou het beter om de hele sector vitaal te verklaren”, aldus een reactie van DINL. De Dutch Data Center Association (DDA) ziet eigenlijk geen reden om bepaalde datacenters vitaal te verklaren omdat het niet duidelijk is welk probleem daarmee moet worden opgelost. Ook DINL ziet de meerwaarde van vitaal verklaren van bepaalde datacenters niet en stelt voor om te kijken naar de classificaties die in lijn zijn met de Europese Cyber Security Act.

Het initiatief voor het vitaal verklaren van Nederlandse datacenters ligt nu in handen van het ministerie van Economische Zaken en Klimaat (EZK). Staatssecretaris Mona Keijzer zal op basis van de rapporten en gesprekken met de sector beoordelen of bepaalde aanbieders als vitaal of essentieel moeten worden bestempeld. De verwachting is dat daar in het najaar meer bekend over wordt.

Edwin Feldmann

Lees ook
Eurofiber levert vitale digitale infrastructuur voor Luchtverkeersleiding Nederland

Eurofiber levert vitale digitale infrastructuur voor Luchtverkeersleiding Nederland

Eurofiber heeft in opdracht van Luchtverkeersleiding Nederland (LVNL) nieuwe digitale infrastructuur aangelegd tussen de Nederlandse vliegvelden waar LVNL de luchtverkeersleiding verzorgt. Het gaat om een totale oplossing waarvan de aanleg, uitbreiding en het onderhoud van het benodigde glasvezelnetwerk onderdeel zijn.

RDI inspecties bij aanbieders van internetdiensten en netwerken

RDI inspecties bij aanbieders van internetdiensten en netwerken

De Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op aanbieders van vaste internetdiensten en netwerken aan consumenten en gaat deze vanaf eind 2024 inspecteren. Het gaat hierbij om diensten en netwerken via xDSL, kabel of glasvezel.

Cloud Security, groot denken maar klein beginnen (2)!

Cloud Security, groot denken maar klein beginnen (2)!

In de twee voorgaande blogs heb ik je het advies gegeven om te starten met het in gebruik nemen van de beveiligingsfuncties binnen je Microsoft Cloud omgeving. We hebben vastgesteld dat stap voor stap beginnen altijd een stap is in de richting van veiliger en meer compliant werken