Pożar w OVH, czyli nauczka. Jak sprawdzić czy nasze dane na serwerach są bezpieczne? Kogo i o co zapytać?

Pożar tysięcy serwerów w centrum danych firmy OVH pokazał po raz kolejny, że nie warto oszczędzać na bezpieczeństwie. Kto miał swoje serwery akurat w tym miejscu i nie zadbał o porządny backup – jeszcze długo będzie lizał rany. Jak nie znaleźć się w takiej sytuacji? Jak dbać o swoje dane? Ile warto zapłacić za usługi, które nie grożą pożarem oraz innymi kłopotami?

Kto trochę interesuje się technologiami, zapewne słyszał o tym pożarze. W Strasburgu, w jednym z 17 centrów danych należących do OVH, wybuchł w nocy z wtorku na środę pożar, który strawił prawdopodobnie większość z 30.000 serwerów „upakowanych” w tym miejscu.

Jak to możliwe, że w takim miejscu – gdzie powinny być zaawansowane systemy przeciwpożarowe, antywłamaniowe, zapewniające dostawy energii i chłodzenia – doszło do pożaru? Nawet jeśli nie było to centrum danych z wyższej półki (a – o ile mi wiadomo – nie miało żadnego certyfikatu bezpieczeństwa), to nie powinno się wydarzyć.

Jak nie stracić danych i nerwów w przypadku pożaru, awarii, barku prądu?

Pożar w OVH to dość spektakularne wydarzenie. Straty będą na pewno duże – więcej piszę o tym w tekście na „Subiektywnie o finansach” – ale przy tej okazji warto przypomnieć, jak wielkie ma znaczenie to, na jakich serwerach przechowujemy nasze dane, strony internetowe itp. Oraz to, w jaki sposób i jak często są one backupowane (przez nas samych lub przez dostawcę usług np. hostingowych).

OVH to – obok Digital Ocean – jeden z największych na świecie dostawców masowych usług serwerowych. To nie to samo, co usługi hostingowe (czyli utrzymywania stron internetowych). Mówimy o miejscu na serwerze w centrum danych, na którym klient umieszcza zawartość swojej strony internetowej, a jego administrator konfiguruje wszystko tak, żeby strona się wyświetlała. W takim przypadku to klient decyduje o tym, czy dokupuje gdzieś usługi backupu, albo czy równolegle utrzymuje serwery z danymi w innym miejscu (na wypadek, gdyby te „bazowe” przestały działać).

Problem w tym, że to wszystko kosztuje, a żyjemy w czasach, w których cięcie kosztów to podstawa. Jeśli zastanawiacie się jak to jest, że jedne usługi hostingowe kosztują 100-150 zł miesięcznie, a inne 400-500 zł miesięcznie, to odpowiedź tkwi właśnie w tym, co wydarzyło się w OVH.
Zapytałem Bartosza Gadzimskiego z firmy Zenbox, która obsługuje m.in. stronę „Subiektywnie o finansach” – i, zaręczam, że tanio nie jest – o co pytałby na moim miejscu firmę, której powierza swoje dane, albo stronę internetową, żeby nie skończyć tak, jak „ofiary” pożaru w serwerowni OVH.

Czytaj też: Tryb incognito w przeglądarkach. Czy naprawdę przed czymś nas chroni? Sprawdzamy!

Kontener przy ulicy, czy ogniotrwały bunkier, czyli gdzie stoi „twój” serwer?

Oczywiście podstawą jest to, gdzie stoją serwery. Zenbox jest (chciałem napisać „prawdopodobnie”, ale oni upierają się, że na pewno) jedyną firmą hostingową w Polsce, która wstawiła swoje serwery do data center mającego najwyższy możliwy certyfikat potwierdzający standardy bezpieczeństwa w tego typu obiektach – czyli tzw. „czwórkę”.

Chodzi o firmę Beyond.pl, którą zresztą jakiś czas temu miałem przyjemność odwiedzić. To jedno z zaledwie trzech w Europie centrów danych, które mają ów najwyższy certyfikat. Pozostałe dwa są we Włoszech. Ogólnie centrów przechowujących dane na serwerach jest w Europie pewnie z tysiąc, ale tylko trzy mają status „niezniszczalnych”. Kiedy mnie po nim oprowadzali (oczywiście obowiązkowo po „rozbrojeniu” z telefonu, porządnym „prześwietleniu” i w asyście uzbrojonego osiłka) to poznałem cenę bezpieczeństwa.

Dwa niezależne źródła zasilania oraz dwa kolejne źródła rezerwowe, trzy niezależne od siebie systemy antypożarowe i gaśnicze oraz trzy systemy chłodzące, mury tak grube, że prawdopodobnie to najlepsze w okolicy miejsce, by przetrwać koniec świata. No i światłowodowy ring łączący je z drugim centrum danych. Klient może – jeśli ma takie życzenie – wykupić usługę Disaster Recovery, czyli uruchomienie swoich zasobów (systemów, danych) w rezerwowej lokalizacji ze stratą danych liczoną w minutach.

Jeśli serwery stoją w bezpiecznym, certyfikowanym miejscu, to warto jeszcze zapytać o dwie rzeczy. Pierwsza to ta, czy firma hostingowa dubluje zasoby, a więc czy w razie awarii podstawowego serwera jest w stanie natychmiast uruchomić drugi (nawet jeśli centrum danych jest w bezpiecznym bunkrze, to wszystko się psuje, serwery też).

Czytaj też: Jak uszczęśliwić klienta-Samcika, czyli cyfryzacja firmy nie tylko na czas Covid-19

Backup na wszelki wypadek. Samodzielnie albo w pakiecie

Druga to kwestia backupu. Każda porządna usługa hostingowa powinna wiązać się z tworzeniem często kopii zapasowych danych klientów. Jeśli tak jest, to nawet w przypadku awarii obu serwerów, które odpowiadają za wyświetlanie strony internetowej, można dość szybko – np. w ciągu kilkudziesięciu minut, albo kilku godzin – „postawić” stronę na trzecim serwerze korzystając z backupu. Jeśli jest robiony kilka razy na dobę – straty są niewielkie.

To wszystko kosztuje. Na co dzień nie zdajemy sobie sprawy z tego, że w cenie usługi hostingowej zawarte jest właśnie bezpieczeństwo danych. A więc to, że serwery, na których są nasze dane, mieszczą się w miejscu, które nie spłonie z byle powodu (bo jest wielopoziomowy system zabezpieczeń) i które ma potwierdzający to certyfikat. Że te serwery są dublowane oraz że często jest robiony backup danych.

I to jest cała tajemnica różnicy w cenie między hostingiem tanim, a bezpiecznym. Niestety, zwykle nie zwracamy na to uwagi, a odtworzenie danych, które zostały zniszczone – o ile w ogóle jest możliwe – to koszt często wielokrotnie wyższy, niż to, co zaoszczędziliśmy na taniej usłudze.

Czytaj też: Jak bezpiecznie surfować po internecie? Przewodnik po usługach zapewniających prywatność w sieci

Czytaj też: Zarządzanie hasłami dla opornych, czyli jak nie dać się okraść w sieci?

Na to wszystko nakładają się inne parametry usługi – jak wygląda obsługa klienta, czy serwery oraz łączące je ze światem „kable” są szybsze, czy wolniejsze, czy można w razie potrzeby użyć więcej miejsca na serwerach lub więcej ich mocy obliczeniowych (np. gdy na naszej stronie internetowej mamy wzrost ruchu). Ale to już parametry – choć też wpływające na cenę – dotyczące mniej bezpieczeństwa, a bardziej komfortu korzystania z usługi. Wiadomo, że chcemy płacić mało za hosting, ale z drugiej strony chcielibyśmy, żeby nasz e-sklep nie zawieszał się, gdy na raz zechce go odwiedzić o 10% więcej użytkowników, niż zwykle.

Pożar w OVH: oświadczenie firmy

„O godzinie 00:47 w środę, 10 marca br., w jednym z naszych 4 centrów danych w Strasburgu, SBG2, wybuchł pożar. Straż pożarna podjęła błyskawiczną interwencję, by zapobiec rozprzestrzenianiu się zagrożenia. O godzinie 2:54 odizolowano teren. Do godziny 4:09 pożar zniszczył SBG2 i nadal stanowił zagrożenie dla pobliskich centrów danych, dopóki nie opanowano ognia. Od godziny 5:30, na polecenie prefektury, teren ten jest niedostępny dla naszych zespołów z oczywistych względów bezpieczeństwa. Pożar został już opanowany.

Odczuwamy ulgę, że nikt nie został ranny ani wśród naszych zespołów, ani wśród strażaków i służb prefektury, którym dziękujemy za wzorową mobilizację.

Dzięki naszym 15 centrom danych w Europie, zespoły techniczne i sprzedażowe OVHcloud angażują się we wspieranie naszych klientów, wdrażanie adekwatnych rozwiązań oraz łagodzenie skutków niedostępności lokalizacji w Strasburgu. Naszą misją jest niezmiennie zapewnienie klientom najwyższej jakości usług wspierających ich działalność.

Szczerze przepraszamy za trudności i wyzwania spowodowane przez pożar. Obecnie trwa ocena skutków wydarzenia, tak abyśmy mogli w możliwie najbardziej przejrzysty sposób informować o postępach czynności sprawdzających i wdrażaniu rozwiązań. Wszystkie nasze kanały komunikacyjne, począwszy od naszej platformy śledzenia incydentów (travaux.ovh.com), pozostają dostępne, aby mogli Państwo być na bieżąco informowani o rozwoju sytuacji.

Joanna Parasiewicz”