Het Uptime Institute kwam de laatste week van maart met de nieuwste cijfers over incidenten in datacenters. Dit soort onderzoek heeft al jaren met een groot probleem te maken. Deze keer kwam dat al direct op de eerste slides naar voren: we weten te weinig.
Uptime brengt al jaren rapporten uit over de kwaliteit van datacenters en daarom kijkt men ook naar incidenten. Logisch, want van missers kan men leren. Missers, van welke aard en omvang, helpen niet alleen de betroffen bedrijven. Als de input slim wordt verwerkt is de bron niet meer te herleiden en kan de lezer er toch genoeg van opsteken om herhaling bij hem te voorkomen.
Drie bronnen
Men heeft drie bronnen tot zijn beschikking. Dat zijn de “publieke rapporten”, “Uptime survey” en een database met “Abnormale incidenten”. Uptime maakt er tegenwoordig geen geheim meer van, maar zelfs de combinatie van deze bronnen is onvoldoende om echt inzicht te krijgen van de problemen in en rond datacenters.
Waarom dat is weet elke analist, marktonderzoeker en insider al jaren. Het begint er mee dat wat op social media of in de pers verschijnt niet per se het volledige verhaal is. “Stroomstoring bij datacenter A” klinkt als een heldere beschrijving, maar dat is het juist niet. De oorzaak van de storing kan binnen of buiten het gebouw liggen. Het kan betrekking hebben de alle feeds, of maar enkelen. De toestand van de noodstroomvoorziening is bij deze korte klachtomschrijving eveneens onbekend. Bijna elke melding die naar buiten komt schreeuwt dus om meer tekst en uitleg. Vaak blijft dat achterwege.
Beperkingen
De enquêtes die Uptime rondstuurt hebben ook een probleem en dat is onvermijdelijk bij deze manier van onderzoek. Zelfs in het geval van een gerichte mailing met uitnodiging is er letterlijk nul komma nul garantie dat de respons volledig of correct is. In het geval van Uptime wordt de vragenlijst zo breed in de markt gezet dat niet eens te achterhalen is of de adressanten wel iets met datacenters te maken hebben.
Tenslotte is er nog die derde bron, de database met “abnormale incidenten”. Die bestaat uit meldingen die op basis vertrouwelijkheid zijn gedeeld en waarvan elke “identifier” is verwijderd. Garantie dat deze input geheel correct en volledig is ontbreekt uiteraard.
Door de drie bronnen te combineren krijgt Uptime een beter beeld, maar het zegt daarbij wel dat er de nodige onzekerheid blijft bestaan.
Waarom is dit alles belangrijk? Ten eerste is Uptime een van de weinigen die regelmatig en al over een langere periode rapporteren. Niet alleen over incidenten trouwens, maar ook over bijvoorbeeld de ontwikkelingen rond koeling en Pue. Als zelfs deze organisatie toegeeft niet alles in kaart te kunnen brengen is dat geen goed nieuws voor bijvoorbeeld toezichthouders die zich voorbereiden op de handhaving van NIS2.
AVG ontbreekt
Maar er is nog iets dat speelt. Bij de vragen die Uptime stelt over outages en incidenten lijkt er met een grote boog om een bekend begrip te worden gelaveerd. Nergens is terug te vinden of een datacenter door een outage of incident een probleem heeft gehad met de AVG/GDPR. Dat begrip komt nergens voor. Tijdens het webinar ontbrak ook elke verwijzing. De oplettende lezer ziet wel dat ransomware als bron van incidenten wordt genoemd.
Het is iets te makkelijk om te stellen dat het altijd en uitsluitend de klanten van een datacenter zijn die op de AVG moeten letten. De kans is groot dat Uptime dat ook wel weet maar dat de vragenlijsten te weinig ruimte bieden daar dieper op in te gaan. AVG is hier uitgelicht, maar er zijn nog wel wat meer mogelijke issues die op de warme belangstelling van toezichthouders kunnen rekenen.
Voor alle duidelijkheid, dit is geen kritiek op Uptime. Men ziet in dat meerdere incidenten in en rond datacenters met de huidige methodiek niet beter in kaart te brengen zijn. Die eerlijkheid wordt absoluut gewaardeerd.