De afgelopen dagen heeft de brand in het OVH datacenter bij Straatsburg van een jaar geleden weer voor de nodige ophef gezorgd. Directe oorzaak is het eerste rapport van de Franse brandweer. Dat OVH niet blij is met die rapportage spreekt voor zich.
Vuur en rook
Over de brand bij OVH is heel veel geschreven. Vuur en rookontwikkeling in datacenters, dat is geen goede combinatie. Voor de reguliere pers zijn het ook voorvallen die heel weinig voorkomen. Insiders kunnen daar alleen maar over zwijgen. Bijna iedereen die hier weet van heeft is gebonden aan contactuele bepalingen die communicatie naar buiten verhinderen.
Voor een datacenter is het namelijk zeer schadelijk als dit soort incidenten naar buiten komt. Zelf als het een minuscuul voorval is (en dat is het in de regel) is het gewoon lastig uit te leggen. Klanten trekken dan te makkelijk de verkeerde conclusies.
Conclusies trekken
Dat klanten van OVH conclusies trekken uit de brand is onvermijdelijk en hard nodig. Zeker na het verschijnen van het rapport van de brandweer. Hierin staat glashelder dat delen van het gebouw onvoldoende brandveilig waren. Faciliteiten om rook en vuur te onderdrukken waren er niet. Dat de inrichting van de gebouwen en het terrein zorgden voor schoorsteeneffecten (meervoud!) is ook onnavolgbaar.
Alles dat nu bekend is, is voer voor juristen. De rechtszaken en claims maken met dit rapport op tafel nog meer kans te worden toegekend. In de schaduw van dat scenario speelt er nog iets anders. Iets dat de pers nog weinig heeft gehaald maar wat minstens zo onnavolgbaar was.
OVH heeft in ieder geval sinds 2013 gecommuniceerd voor delen van de dienstverlening naar ISO27001 gecertificeerd te zijn. In 2019 werd de scope daarvan verbreed naar nog weer een andere dienst. ISO27001 zegt niets over brandveiligheid, laat dat duidelijk zijn. Het zegt echter wel iets over procedures en maatregelen voor DR en BC vanuit de optiek van gegevensbescherming .
Iedereen die maar iets weet van audits wordt hier op zijn wenken bediend. De brand bij OVH voedt alle bestaande ophef over de echte waarde van een ISO certificering. Zonder de scope te kennen (waar is wel en niet naar gekeken) zegt een ISO27001 gewoon niets.