Autor: Susana B. García para CIBERPRISMA
Cualquier evento de incendio en un Centro de Datos, como el ocurrido recientemente en las instalaciones de la empresa francesa OvhCloud, dispara efectos múltiples en las organizaciones cuyos datos estaban alojados en esas locaciones. La supervivencia de las mismas dependerá en gran medida de las previsiones que se hayan tomado al momento de contratar el servicio, de la valoración de este tipo de riesgo que se haya efectuado, pero sobre todo del plan de contingencia implementado para mantener la continuidad de las operaciones.
Sébastien Acedo, de L’Argus de la assurance, señala que un evento como este nos recuerda una realidad que no muchos quieren ver:
«La explotación de datos masivos y el auge de la computación en la nube siguen dependiendo del hardware físico, elemento que puede convertirse rápidamente en una nube de humo.»
Sébastien acedo
Y también resulta pertinente señalar que la amenaza cibernética a las organizaciones no se reduce a los ataques de los ciberdelincuentes. Este tipo de siniestro, el incendio de un repositorio o centro de datos, no es más que un rostro más de la misma amenaza. Pero tiene la gravedad de constituir lo que se denomina «riesgo sistémico» con una sucesión interminable de réplicas de crisis y cascadas de consecuencias adversas.
En este punto deberíamos formular algunos interrogantes: ¿este tipo de eventos podría generar un escenario de paralización total o parcial de la economía de un país? ¿aprendimos TODAS las lecciones de Estonia o sólo pusimos el foco en la agresión extranjera? ¿nos subimos gentilmente al ciberespacio y creímos que esa «nueva» dimensión se autogeneraba y gestionaba entre unos y ceros solamente? ¿tomamos las previsiones necesarias contra el efecto mariposa digital?. Interrogantes estos que deberán ser ampliados y analizados por todos los involucrados, dado su alto impacto en la Soberanía Digital.
Otro punto interesante a destacar es el rol cada vez más activo que están desempeñando las empresas de seguros en el ámbito cibernético. La sucesión interminable de agresiones y la continua aparición de actores y modalidades ciberdelictivas han fomentado de alguna manera el resurgimiento y revalorización de las empresas de seguros, percibidas por las organizaciones, agobiadas por la magnitud de amenazas a sus operaciones, como un recurso valioso a la hora de la recuperación de este tipo de desastres. Sin embargo, la solidez de su respuesta quizás todavía no esté tan «asegurada».
En 2020 la Federación Francesa de Seguros (FFA), al redactar su Plan CATEX, había incluido la posibilidad de ocurrencia de un evento que pudiera afectar total o parcialmente la economía francesa. Lamentablemente, el documento final no incluyó este escenario. ¿Los argumentos para esta decisión? El sector de seguros reconoce la dificultad que encuentran a la hora de cuantificar este tipo de eventos masivos y el segundo, quizás más importante, la preferencia (comercial) de impulsar una oferta de seguros que no involucre al Estado, ni de forma directa ni indirecta. ¿Qué pensarán al respecto los directivos de AJAX que fueron recientemente removidos? AJAX es la empresa de seguros francesa que cubría los riesgos de daños materiales de OVHCloud.
El riesgo de Incendio en Data Centers
El proceso de transformación digital ha convertido a los Data Centers (Centros de Procesamiento y Almacenamiento de Datos) en uno de los elementos más sensibles para las organizaciones, dado que la continuidad de sus operaciones demanda el aseguramiento de la disponibilidad, integridad y confiabilidad de la información contenida en los mismos. Por ello, la ocurrencia de un evento que atente con esta condición debería ser uno de los riesgos más temidos, ya sea que adopte la forma de un ciberataque, un incendio, una inundación, un corte de energía, etc.
Otro inconveniente a tener en cuenta es que las empresas operadoras de data centers no suelen reportar los eventos de incendio con la intención de minimizar la respuesta de las empresas aseguradoras y evitar que el incidente adquiera en la medida de lo posible, estado público (menos daños conocidos, menos reclamos). Sin embargo, si bien los incendios no constituyen la principal causa de caída de operación en un data center, ocurren y pueden generar importantes interrupciones del servicio.
Según la consultora CAPITOLINE, después de los incidentes inherentes al funcionamiento de las TICs, los incendios son la causa principal (21%) de la caída de operación de un data center y son responsables de que los mismos permanezcan inoperativos por tiempos más prolongados (+24 horas en promedio) que por otras fallas.
Los costos que este tipo de eventos genera para la empresa prestadora del servicio o propietaria del data center son importantes y variados. Van desde el impacto sobre seguridad de sus recursos humanos, pérdidas económicas (tanto directas como indirectas), a la pérdida parcial o total de los datos, además del costo relativo a los sistemas redundantes, sin mencionar la reducción o pérdida de su confiabilidad y prestigio. Por ese motivo, ya sea que el entorno del data center incluya compartimientos de datos remotos para el caso de edge-computing o contenedores modulares, las medidas de protección contra incendios deben ser evaluadas cuidadosamente tanto por los prestatarios del servicio como por sus clientes.
El avance exponencial de las tecnologías de información y las redes de datos impulsó a las organizaciones a externalizar la localización de sus centros de datos o a contratar los centros de datos como servicio (IaaS – Infraestructura como servicio). Este mismo avance tecnológico permite en la actualidad tener mayor densidad de potencia por metro cuadrado que conlleva a un incremento en el riesgo de incendio.
Según la estadística de causas de incendios del Centro de Prevención y Estudio de Daños de Alemania, los componentes electrónicos son causantes recurrentes de incendios de todo tipo. Los incendios en centros de proceso de datos son mayormente fuegos latentes, originados por condensadores o fuentes de alimentación averiadas, así como por otros tipos de cortocircuito.
Pensemos entonces que evaluar un sistema de protección de incendios en un centro de datos no es una tarea fácil. Habrá que tener en cuenta que por ejemplo, en la sala de servidores, las cargas de fuego con materiales plásticos, el tipo de aislantes del cableado, los niveles de concentración de energía, los tendidos de cableado por zonas ocultas como son los falsos suelos/techos, la acumulación de cableado fuera de servicio en estas zonas, nivel de ventilación que pudieran dificultar la detección del humo en caso de incendio, etc. Todo esto además de las salas de control, almacenes, oficinas y resto de zonas comunes del edificio. Sin olvidar las áreas destinadas a los equipos de refrigeración, las fuentes de alimentación ininterrumpidas (UPS), con sus salas de baterías y con grupos electrógenos con sus correspondientes tanques de combustible constituyendo riesgos especiales que suelen estar en salas separadas de la sala IT e incluso fuera del propio edificio.
Y por encima de todos los aspectos relativos a las características inherentes a los centros de datos, está el elemento más valioso: los datos. Por ello las organizaciones deberán prever y planificar de manera muy cuidadosa cómo van a responder a un evento de este tipo. Una vez producido puede ser demasiado tarde y las consecuencias que deriven del mismo, pueden afectar hasta la propia existencia de la organización.
Cómo creemos que una de las formas menos dolorosas de aprender es mediante las lecciones aprendidas por otros, hoy les presentamos el siniestro ocurrido en los Centros de Datos de una empresa francesa que aspira a convertirse en la estrella de la corona de la nube francesa.
INCENDIO EN DATA CENTERS DE OVH (Alsacia, Francia)
En marzo 2021, la empresa francesa OVHCloud sufrió dos siniestros en menos de 10 días, un primer incendio con efectos destructivos para los centros de datos y un segundo episodio relacionado con las baterías de alimentación de otro de sus centros de datos. Ambos episodios pusieron a los centros de datos en estado inoperativo durante días.
Primer episodio 10/MAR/2021
En la noche del 10 de marzo se produjo un incendio en uno de los cuatro data centers que la empresa OVH posee en Estrasburgo, Alsacia, Francia. El incendio afectó a un edificio de cinco plantas con una superficie construida de 500m². Cuando llegaron los servicios de bomberos, la estructura se incendió por completo, con llamas que estallaron a varias decenas de metros de altura. El incendio se extendió a otros dos edificios de la empresa que se salvaron: un edificio sólido y un edificio donde se almacenan contenedores apilados. Según los datos recopilados por Netcraft, casi 3,5 millones de sitios web quedaron sin conexión, afectando alrededor de 464.000 nombres de dominio distintos; de los cuales 59.600 son franceses).
Los sitios web que no se habían suscrito a una opción de copia de seguridad quedaron expuestos a pérdidas permanentes de datos.
En efecto, OVH ofrece a todos sus clientes soluciones preventivas para este tipo de incidentes. Se trata de una suscripción un poco más cara, pero le permite alojar su sitio o datos en dos servidores remotos al mismo tiempo. De esa manera, si un repositorio es destruido, los datos pueden recuperarse. Pero, lamentablemente, al ser una opción paga, no todos los clientes se suscribieron a ella.
Facepunch, el desarrollador británico de videojuegos (como el juego de supervivencia Rust), la aplicación francesa de Meteorología Meteociel, y la empresa de ciberseguridad francesa Acceis, entre otros, han informado en Twitter una pérdida de datos irreversible .
En las primeras horas del día las alertas y temores invadieron también al gobierno francés. El Consejo de Ministros informó al Ejecutivo que los centros de datos de Estrasburgo albergaban datos públicos, como la plataforma de acceso público a datos (data.gouv.fr).
El más afectado: el Ministerio de Solidaridad y Salud. En esos data centers OVH centralizaba los datos relacionados con la vacunación Covid-19, incluidas los pedidos de vacunas y el registro de dosis aplicadas. Los equipos de TI del Ministerio de Salud se dedicaron a recuperar las últimas copias de seguridad, sabiendo que, como presagiaba uno de los asesores, «Es como cuando se rompe tu teléfono: siempre pierdes datos incluso con copias de seguridad». Otros departamentos gubernamentales sufrieron fallas en sus sistemas y la Dirección Digital Interministerial tuvo a su cargo la tarea de inventariar los sitios afectados, sabiendo que, en el peor de los casos el estado tiene respaldo en otros centros de datos.
Los resultados del incendio:
- El centro de datos SBG 2 completamente destruido y el SBG 1 con daños estimados en un 50%. Los otros dos centros de datos en el sitio, SBG3 y SBG4, no sufrieron daños aunque, como precaución, se procedió al corte de energía en todo el sitio, lo que provocó que se apagaran.
- Aún resta determinar el alcance exacto de la interrupción causada por este incendio, pero entre los afectados se mencionaron el sistema bancario inline, servicios de correo, sitios de noticias, comercios (entre ellos, los que venden material de protección contra el Covid 19) y sitios de gobiernos extranjeros. Entre estos últimos se encuentran la Oficina del Ombudsman Financiero de Polonia, la Dirección General de la Energía del Ministerio del Petróleo de Costa de Marfil, la Agencia de Exportaciones del gobierno galés, la Agencia de Certificación de Vehículos del gobierno británico.
- La mayor parte de los websites afectados empleaban el dominio genérico .com, lo que representó 880.000 sitios web diseminados en 180.000 dominios .com. Y, como era de suponer, la mayor afectación recayó sobre los dominios franceses (.fr). Se cayeron 184.000 sitios web diseminados en 59.600 dominios (1,9% de todos los dominios .fr). En comparación, en Reino Unido se registraron sólo 24.100 sitios web afectados correspondientes a 8.700 dominios .uk que se encontraban albergados en los data centers de OVH.
ENTRE 12000 Y 16000 CLIENTES AFECTADOS, ENTRE ELLOS:
– SITIO DE GOBIERNO DATA.GOUV.FR – MINISTERIO DE SOLIDARIDAD Y SALUD – OFICINA DE TURISMO DE COLMAR – AEROPUERTO DE ESTRASBURGO – HOGAR DE NIÑOS FREIHOF EN WAGEN – UNIVERSIDADES – ENT (ESPACIO DIGITAL UNIVERSITARIO) – PARTIDOS POLÍTICOS – LOCALIDADES DE COLMAR, VICHY, BOURG-SAINT-ANDÉOL, CHERBOURG, BRUAY-LA-BUISSIÉRE, PUY-DE-DÔME – ENDOFRANCE (ASOCIACIÓN CONTRA LA ENDOMETRIOSIS)- LA PLATAFORMA DIGITAL EDUCATIVA ONE&NEO DE SARREGUEMINES.-
– MUSEO LALIQUE – CENTRO POMPIDOU DE PARIS – LIBRERÍA RECYCLELIVRE.-
– FÁBRICA DE CERVEZA METEOR – CASA CENTRAL PEUGEOT-CITROËN.-
– CLUB DE RUGBY CLERMONT-FERRAND – ESTADIO CAEN DE CALVADOS – CLUB CRÉTEIL.-
– SITIOS DE METEOROLOGÍA: MÉTÉO AUDE 11 – MÉTÉO GARD-HÉRAULT.-
– LA MALLE POSTALE (SERVICIOS A SENDERISTAS) – CENTRAL DE RESERVAS DE SCOOTERS CITYSCOOT – SERVICIO DE AUTOS COMPARTIDOS OUESTGO – SITIO WEB TOOEASY – TIENDA ONLINE BIGMAGIE MAGIC.-
– SITIOS DE NOTICIAS COMO FRONT POPULAIRE – GRUPO DE NOTICIAS SO PRESS – MEDIO DE NOTICIAS EENEWS EUROPE – RADIOS ONLINE – MEDIATECA DE LANNION – VIDEOJUEGOS EN LÍNEA – PROVEEDOR DE SITIOS DE AJEDREZ GRATUITOS LICHESS.ORG.-
EMPRESA CYBER THREAT INTELLIGENCE COMPANY – EMPRESA DE CIBERSEGURIDAD ACCEIS – UTILIDAD CRIPTOGRÁFICA VERA CRYPT – EXCHANGE DE CRIPTOMONEDAS DERIB.-
– Oficina del Ombudsman Financiero de Polonia, la Dirección General de la Energía del Ministerio del Petróleo de Costa de Marfil, la Agencia de Exportaciones del gobierno galés, la Agencia de Certificación de Vehículos del gobierno británico.-
– OTROS SITIOS BRITÁNICOS, ALEMANES, ESPAÑOLES (MIT Technology Review, IM DIGITAL BUSINESS, CLUB FUTBOL VILLAREAL), POLACOS, ITALIANOS Y TURCOS.-
Según Octave Klaba, fundador y presidente de OVH, la empresa recurrió a la «redundancia» para levantar los sitios y los datos afectados por el incendio en sus otros 15 centros de datos instalados en Europa. Estas operaciones se realizarían sin costo adicional para los clientes. La recuperación parcial de los servidores de Estrasburgo comenzaría entre el 15 y 19 de marzo. Plazo que quizás no pueda cumplir.
El Estado de los Servidores Recuperados (en Verde) en los Data Centers de OVH al 18 de marzo era la siguiente, según datos del Servicio de Monitoreo en Tiempo Real de la propia empresa. Los servidores en color gris son los que aún no recuperaron su nivel de operación:
Segundo episodio: 19/MAR/2021
Una semana después del primer episodio, los bomberos debieron volver al sitio de emplazamiento de centros de datos que OCHCloud posee en Estrasburgo. Esta vez el incidente habría comenzado en una sala que contenía 300 baterías de 25 Kg cada una, aparentemente en estado inerte. El copioso humo que desprendía el sector del Centro de Datos SBG1 tuvo que ser sofocado con lancetas de espuma. Los motivos aún sin precisar. Los ejecutivos de OVH no salen de su asombro: esas baterías no estaban conectadas a ningún centro de datos.
¿Quién es OVH?
OVH no es cualquier empresa. Se trata nada más ni nada menos que del líder francés en alojamiento web y almacenamiento de datos en la nube, con decenas de miles de clientes, como mínimo, en Francia. Según algunos expertos, OVH alberga dos tercios de la Internet francesa.
Somos el proveedor de servicios en la nube a hiper-escala Nº1 de Europa
Octave Klaba
OVH se ha convertido en un gigante europeo del hosting y servicios en la nube desde su creación en 1999 por su actual presidente, Octave Klaba. Según datos de 2019, registraba un crecimiento promedio constante del 30%, calculando que facturaba 600 millones de euros por los cerca de 18 millones de sitios alojados (1,6 millones de clientes). El grupo tiene 2450 empleados y opera 32 centros de datos (15 en Europa) concentrados en 12 sitios de almacenamiento en todo el mundo que representan 400.000 servidores. Sin duda un crecimiento notable si tenemos en cuenta que surgió como un emprendimiento personal con un capital de 4000 euros financiado por miembros de su familia.
Nacida como OVH cuando su principal actividad era hospedar (hosting) sitios web, en 2010 pasó a denominarse OVHCloud, antes de lanzarse a servicios «en la nube» (cloud service -almacenamiento de datos subcontratado). Con algunos otros actores, esta empresa es clave en el sueño europeo de la nube propia, contra las megatecnológicas estadounidenses que dominan este sector estratégico de la economía digital, como Amazon Web Services, Azure de Microsoft Corp y Google Cloud de Alphabet Inc. Para ello contaba con el apoyo de varios políticos influyentes. Incluso algunos de ellos se animaron a mencionar entre bambalinas que el incendio resultaba muy sugerente, sobre todo porque tuvo lugar a dos días del anuncio oficial de OVH de abrir la oferta pública con miras a alcanzar la escala y financiación requerida para cumplir la meta del gobierno francés.
Conspiraciones aparte, desde que OVHCloud instaló su primer centro de datos en Estrasburgo en 2012, la empresa alberga hoy dos tercios de la Internet francesa. Con sus 12.000 servidores instalados en esa localidad francesa, brinda servicios de Alojamiento de Nube Privada (Hosted Private cloud) a los grandes clientes de OCHCloud.
La velocidad del éxito alcanzado, se debe en principios a dos motivos. En primer lugar, la oportunidad del mercado: se lanza al mercado de servicios en la nube en un momento en el que los sitios franceses no contaban con un host dedicado. Esta solución IaaS (Infraestructura como Servicio) basada en la tecnología de virtualización de VMware se encuentra gestionada en su totalidad por los equipos de OVH. Cabe destacar que la IaaS es uno de los cuatro servicios que comúnmente se ofrecen en la nube, junto al software como servicio (SaaS), la plataforma como servicio (PaaS) y la tecnología sin servidor (especial para desarrolladores). Este tipo de soluciones permite pagar sólo lo que se usa. Resulta una opción más que interesante para las organizaciones ya que les evita incurrir en gastos y afrontar la complejidad que suponen tanto la adquisición como la administración de su propia infraestructura de datos (servidores + centro de datos).
En segundo lugar, la decisión de integrar verticalmente todas sus operaciones. Bajo la dirección de Klaba, la empresa fabrica sus propios servidores y centros de datos, su propia red de fibra óptica de 20 Tb/seg y realiza un fuerte esfuerzo de innovación para mejorar el indicador de eficiencia energética (inferior al 1.2), permitiéndole alcanzar un muy buen nivel competitivo en términos de costos frente a sus competidores.
OVHCloud opera un total de 32 centros de datos a nivel global, 17 de ellos en territorio francés.
Éxito comercial aparte, la saga de OVHCloud y su papel en la gestión de la nube francesa ha recibido un duro golpe con estos dos incidentes. ¿Tomarán ventaja de esta situación sus competidores?
Causas, planes de recuperación de desastres y aseguradoras.
Como ya mencionamos, la probabilidad de ocurrencia de un evento de esta naturaleza en un data center no es alta, pero tampoco improbable. El caso de OVHCloud aparentemente será categorizado como un «incendio accidental», cuyas causas a una semana del primer incidente continúan sin precisarse, más allá de algunas versiones sobre la reparación de un inversor eléctrico en el sitio del SBG2 unas horas antes.
En efecto, las cámaras térmicas de los bomberos que llegaron al lugar 15 minutos después de la primera alerta detectaron dos inversores en llamas dentro del SBG2, uno de los cuales había sido objeto de intervenciones el mismo día por la mañana antes de ser puesto nuevamente en servicio. Este siniestro demuestra la importancia de considerar preferentemente un servicio de respaldo en un centro de datos ubicado en otra geografía, o incluso en otro proveedor para compensar fallas que podrían afectar a todos los centros de datos del proveedor.
El responsable de la empresa repasó, en un video de 8 minutos que subió a Twitter, las circunstancias del caso que podrían resumirse:
- El incendio se inició en el centro de datos SBG2, que quedó completamente destruido. Las alertas de incendio funcionaron bien. Pero el fuego se extendió demasiado rápido para permitir la intervención de agentes en el lugar.
- Las cámaras térmicas de los bomberos que llegaron al lugar 15 minutos después de la primera alerta detectaron dos inversores de electricidad en llamas dentro del SBG2, uno de los cuales había sido objeto de intervenciones el mismo día por la mañana antes de ser puesto nuevamente en servicio.
- SBG2 se basa en tecnología que data de 2011. Es una torre autoventilada que funciona por la diferencia de presión entre la parte superior e inferior del edificio. El SBG3, de una generación más moderna (2016) se basa en tecnología que ha evitado su conflagración.
- OVH tiene la intención de utilizar los videos de las 300 cámaras de vigilancia en su sitio de Estrasburgo para rastrear la historia del incendio, para comprender con precisión lo que sucedió y aprender todas las lecciones.
- Las infraestructuras aún operativas (parte de SBG1, SBG3 y SBG4) y sus servicios asociados «comenzarán a ponerse nuevamente en servicio la próxima semana.»
- OVH comunicará en 48 horas la situación de cada cliente en materia de backup, sabiendo que en algunos casos los backups se pueden almacenar en el mismo centro de datos. (Lo que supone entonces la pérdida de datos)
- OVH ya está proporcionando a los clientes afectados recursos alternativos (servidores dedicados, Public Cloud, Private Cloud) en sus centros de datos ubicados en otras localidades francesas, Roubaix y Gravelline. Ya se han entregado 2000 servidores en este marco, 1000 más están a punto de serlo.
- La tasa de producción en la planta de OVHCloud en Croix aumentará a 2.500-3.000 servidores por día para satisfacer la demanda.
Al día siguiente del siniestro, la empresa comenzó a ofrecer a los clientes afectados recursos de reemplazo en sus centros de datos en Roubaix y Gravelines: ofertas de servidores dedicados, nube privada y nube pública.
«En nuestros centros de datos de Roubaix y Gravelines, tenemos un stock de nuevos servidores listos para ser entregados a todos los clientes afectados. Obviamente, sin cargo. Enviaremos 10,000 servidores en las próximas tres o cuatro semanas».
Declaraciones del Responsable de OVH
OVH implementará su propio plan de recuperación ante desastres que incluirá la puesta en servicio de la fuente de alimentación del centro de datos SBG3 (20 KV), pero también los de SBG1 y SBG4 (240 KV), así como el equipamiento de una de las salas de la red SBG1: routers, switches, multiplexores DWDM. Al mismo tiempo, prevé construir una sala de red temporal para el SBG5. Finalmente, la conexión de fibra óptica a los centros de datos de OVHCloud en París y Frankfurt no habría sido afectada por el incendio.
Resta por confirmar si el sistema de extinción de incendios instalado en los centros de datos de OVH en Estrasburgo funcionó correctamente. Según directivos de la empresa, cuentan con un dispositivo de detección de incendios y se realizan simulacros de incendio cada 6 meses. Pero aún debe determinarse siese sistema detectó las primeras llamas en el SBG2. Más allá de estas preguntas, queda una certeza: los centros de datos de OVHCloud en Estrasburgo no están equipados con redes de extinción. No están equipados con chorros de agua como es el caso de los centros de datos de OVHCloud en Beauharnois en Canadá, ni con dispersores de alta presión que permitan absorber las llamas protegiendo las máquinas del agua, ni gas inerte, a diferencia de la mayoría de los centros de datos del mercado. Estos gases están destinados a vaciar las salas de servidores de su oxígeno para sofocar el fuego y, al mismo tiempo, evitar dañar el equipo.
Otra de las certezas que seguramente traerá consecuencias es la publicada por HostdimeBlog: «dentro del SBG1, la oferta de nube privada de OVH se alojó en una sala y su copia de seguridad en otra sala del mismo centro de datos. Ambos fueron destruidos por el fuego. Por otro lado, el 20% de las copias de seguridad de VPS / PCI basadas en la infraestructura alsaciana de OVH también se esfumó. Los clientes cuyas copias de seguridad forman parte de su 20% solo pueden esperar que sus servidores privados virtuales se hayan salvado.»
Como primera medida, OVH solicitó a sus clientes que procedan a la implementación de sus propios planes de recuperación ante desastres (Disaster Recovery), una estrategia que puede permitirle a cualquier organización, ante un evento de esta magnitud, recuperar los niveles de operatividad de sus elementos críticos. Y una de las más utilizadas es mantener una copia de respaldo separada de la infraestructura principal con la finalidad de recurrir a ella, ante una interrupción del servicio. Siempre y cuando esto se haya previsto tiempo antes. Probablemente las organizaciones afectadas con mayor espalda podrán hacerlo, pero las pymes y usuarios quedarán expuestas a la pérdida total de sus datos.
Si sus datos estaban alojados en Estrasburgo, le recomendamos que active su Plan de Recuperación ante Desastres.
Octave Klaba
Otro punto a tener en cuenta serán los reclamos a las empresas aseguradoras que podrán efectuar tanto OVHCloud como sus clientes. En el caso de OVH, dos aseguradoras estarán expuestas en el contexto de futuras indemnizaciones y reparaciones del siniestro. Según la información recopilada por L’Argus de l’assurance, la empresa Axa cubre a OVH por los daños materiales. De acuerdo con los términos del contrato que se han definido y dependiendo de la determinación de posibles responsabilidades, es probable que la aseguradora francesa indemnice a OVH por los daños materiales sufridos durante el incendio, incluida la reconstrucción del edificio de Estrasburgo.
Pero Axa no intervendrá con respecto a las solicitudes de reparación realizadas por los clientes del host por la pérdida de datos o pérdidas operativas. Este riesgo de recurso afectará, en este caso, a la aseguradora de responsabilidad civil de OVH, cuyo nombre aún no trascendió pero algunos medios franceses señalan a la aseguradora estadounidense Chubb.
¿Qué pueden hacer los clientes de OVH
ante un siniestro de esta naturaleza?
Los CIO (Chief Information Officer) de los clientes más grandes de OVH, seguramente tendrán planes de continuidad del negocio (Business Continuty Plan), habrán tomado sus precauciones recurriendo a copias de seguridad en instalaciones propias o copias de seguridad depositadas en otros hosts. Las empresas más pequeñas corren el riesgo de perder datos valiosos de forma permanente.
Desde el estado francés el asesoramiento a los clientes perjudicados recién llega el 22 de marzo, con el formato de un Comunicado de la CNIL (Comission Nationale Informatique et Libertés), la Agencia francesa de Protección de Datos, dirigido especialmente a los clientes de OVHCloud. En el mismo recuerda las obligaciones que las organizaciones y empresas tienen en materia de notificación de infracción en caso de falta de disponibilidad o destrucción de datos personales, según lo establecido por la GDPR a partir de 2018. El GDPR, o Reglamento General de Protección de Datos es efectivamente la normativa que regula la protección de datos de los ciudadanos de la Unión Europea.
La destrucción de datos personales (temporal o permanente), incluida la accidental, constituye una violación de datos en el sentido del RGPD y debe notificarse a la CNIL. Pero esta notificación tiene diferentes contenidos según sea la empresa siniestrada o la organización afectada. La primera es que “los responsables del Centro de Datos que albergaron datos personales dentro de las infraestructuras afectadas deben documentar la infracción (los hechos, sus efectos y las medidas adoptadas para subsanarla) en un registro que se lleve internamente”. El otro punto se refiere a los subcontratistas (los afectados) que «deben informar a sus clientes de la incidencia para que puedan cumplir con sus propias obligaciones, incluida la de documentación en el registro de infracciones que lleva internamente cada uno de ellos».
La CNIL exime de notificaciones a quienes hayan activado un Plan de Recuperación Comercial (PRA) o un Plan de Continuidad Comercial (BCP) de Datos (PRD)y a quienes hayan restaurado los datos a partir de copias de seguridad, sin consecuencias significativas para las personas. En el incendio del centro de datos de OVH en Estrasburgo, varios sitios no se suscribieron a las opciones de backup o PRA. ¿Cuál será su parte de responsabilidad y la de OVHcloud? ¿Hizo todo lo posible para garantizar la seguridad de su sitio? Es probable que en un futuro próximo la búsqueda de estas respuestas sea llevada ante los tribunales.
En cambio, si los datos se han perdido de forma permanente o si no han estado disponibles el tiempo suficiente para que esto haya creado un riesgo para las personas, deberá notificarse a la CNIL. «Además, si es probable que la infracción genere riesgos elevados para las personas, el responsable del tratamiento también las debe informar directamente. El nivel de riesgo se evalúa, en particular, teniendo en cuenta el tipo de datos en cuestión y las posibles consecuencias de la infracción (por ejemplo, es probable que la pérdida permanente de los datos de salud de un paciente presente un alto riesgo).»
Y, en caso que no resultare claro, la CNIL aclara en el mismo comunicado que ese ente administrativo tiene como responsabilidad «recibir notificaciones de violaciones de datos y brindar asesoramiento de comunicación a las personas interesadas, pero no brinda asistencia ni servicios de remediación para incidentes de ciberseguridad.»
En resumidas cuentas, si la afectación fue total y permanente y la organización no tomó los recaudos necesarios deberá probar suerte con las empresas aseguradoras y/o finalmente requerir un resarcimiento por vía jurídica. Pero….los datos…se habrán perdido definitivamente.
Fuentes:
- https://www.europe1.fr/faits-divers/strasbourg-important-incendie-chez-ovhcloud-de-nombreux-sites-internet-inaccessibles-4030443
- https://www.midilibre.fr/2021/03/11/incendie-chez-ovh-pourquoi-le-sinistre-aurait-pu-mettre-a-mal-la-campagne-https://www.lalsace.fr/faits-divers-justice/2021/03/10/strasbourg-important-incendie-dans-une-entreprise-situee-au-port-du-rhin
- https://france3-regions.francetvinfo.fr/bourgogne-franche-comte/franche-comte/incendie-chez-ovh-des-dizaines-de-sites-web-toujours-inaccessibles-en-franche-comte-1993459.html
- https://www.leparisien.fr/high-tech/incendie-chez-ovh-la-piste-accidentelle-privilegiee-des-donnees-definitiviement-perdues-11-03-2021-GNTQKNEG6NFT5AFUI5D62V7NEQ.php
- https://www.lemondeinformatique.fr/actualites/lire-un-incendie-devaste-le-datacenter-ovh-a-strasbourg-82237.html
- https://www.lesechos.fr/tech-medias/hightech/incendie-dovh-quelles-consequences-pour-les-clients-1297492
- https://twitter.com/xgarreau/status/1369559995491172354
- https://news.netcraft.com/archives/2021/03/10/ovh-fire.html
- https://www.cnil.fr/fr/incendie-ovh-faut-il-notifier-la-cnil
- https://www.leparisien.fr/high-tech/les-serveurs-dovh-a-nouveau-mis-a-larret-apres-un-degagement-de-fumee-une-semaine-apres-un-incendie-19-03-2021-LY4EQFU2CNGNHAHQWWCR5TEZOI.php
- https://www.tecnifuego.org/es/comunicacion/articulos-tecnicos/proteccion-activa-contra-incendios-en-data-centers/15/81
- https://www.argusdelassurance.com/les-assureurs/compagnies/axa-france-jacques-de-peretti-remplace.180164
Ciberprisma - alianza por la ciberseguridad 