Wat doet een klant als je website er even uitligt? Dan gaat hij naar de concurrent. En met hem vele anderen. Het overkwam een telecomaanbieder enkele jaren geleden. Downtime, een weekend lang. Exacte aantallen over het klantverlies kon het bedrijf niet geven omdat het niet verlengen of opzeggen van een abonnement niet altijd direct volgde op de downtime. Maar een harde les was het wel.
Sinds het incident heeft het telecombedrijf flink geïnvesteerd in een backupplan en maatregelen getroffen om een dergelijke situatie in de toekomst te voorkomen.
De impact van downtime kan dus gigantisch zijn. Dataverlies, betaling van losgeld, afname van klanten kunnen voor een jarenlange winstafname zorgen. Gek genoeg zijn er nog steeds veel bedrijven die hun bac-up niet goed hebben geregeld. Deze vijf misvattingen kom ik helaas nog steeds tegen:
‘Ransomware overkomt ons niet.’
Een pijnlijke misvatting. Aansprakelijkheid, ongevallen, arbeidsongeschiktheid – bedrijven laten zich tegen van alles verzekeren. Maar als het om downtime en ransomware gaat, zien bedrijven zichzelf als onaantastbaar. Volledig onterecht overigens, want de kans dat je door ransomware getroffen wordt, is vele malen groter dan een brand in je pand. Uit het Nationaal Cybersecurity Bewustzijnsonderzoek bleek dat een op de vijf medewerkers binnen de categorie Vitale Infrastructuur slachtoffer is geworden van ransomware. Need I say more?
‘Calamiteitenplan? Niet nodig; we hebben een specialist in huis.’
Met een dergelijke denkwijze leg je als organisatie een behoorlijke druk op je specialist én maak je je van hem afhankelijk. Maar wat als de betreffende medewerker op vakantie is of met een gebroken been thuis zit? Of nog erger: uit dienst gaat? Dan verdwijnt alle kennis met hem mee. Wat vaak gebeurt, is dat bij de aanvang van een nieuw project alles keurig wordt gedocumenteerd, maar dat kleine wijzigingen na verloop van tijd niet worden vastgelegd. Bij een calamiteit ben je dan allereerst druk bezig om alles in kaart te brengen, voordat je überhaupt aan restoren kunt beginnen.
‘Het budget is op.’
Een veelgehoord argument waarom bedrijven niet meer in hun back-up investeren. Voor storage is er overigens vaak wel budget beschikbaar. Ook als bij aanschaf de uiteindelijke prijs hoger uitvalt dan begroot. Vergeleken met storage is back-up dan ook het ondergeschoven kindje. Totdat het misgaat. Ik zie vaak dat er dan ineens wel budget beschikbaar is. Maar dan is het kwaad al geschied en de impact van de downtime voelbaar.
‘Als er in de cloud iets misgaat met onze data, hebben we altijd nog een backup.’
Sommige organisaties hebben hun storage en backup via cloudaanbieders geregeld. Op zich niets mis mee, hoewel het voor een deel wel schijnveiligheid biedt. Want als je data in Nederland corrupt is, is je gebackupte data dat ook. De cloud ‘denkt’ namelijk in replicatie, niet in backup. De data wordt niet in verschillende versies bewaard en beveiligd.
‘We hebben onze backup en logfiles geregeld en bewaren alles vier weke.’
Dan denk je alles geregeld te hebben: je backupt alle files en logt alle activiteiten. Maar ook dan kan het nog gruwelijk misgaan. Als je geransomwared wordt, bekijken security-specialisten als eerste de logfiles. Ransomware wordt vaak pas maanden na de aanval ontdekt en is dan ook vaak niet meer in de logfiles terug te vinden. En als je backup maar een maand teruggaat, ben je de gegevens vanaf het moment van de aanval dus ook kwijt. Niet alleen vervelend voor de organisatie en de klanten; je bent als bedrijf verplicht bepaalde data jarenlang te bewaren.
Wereld te winnen
Sommige verzekeringen zijn tegenwoordig verplicht. Denk aan de brandverzekering die je bij een hypotheek moet afsluiten. Nu ben ik er niet direct voorstander van dat er een verplichte downtimeverzekering in het leven wordt geroepen, maar een prominentere rol voor voorlichting zou mijns inziens wel op zijn plaats zijn. Een standaard adviesdocument voor startende bedrijven zou een mooi begin zijn. Maatregelen nemen tegen downtime is een kwestie van risico-inschatting, maar dan moet je wel weten wat de impact zou zijn van downtime en wat in een dergelijk geval onder jouw verantwoordelijkheid valt. En daar valt volgens mij nog een wereld te winnen.
Zeer zinnig artikel. Dank!
“De cloud ‘denkt’ namelijk in replicatie, niet in backup”
De singulariteit is begonnen. Ik zat vorige week nog in discussie met de cloud. Of een virtuele tapedrive backup niet eigenlijk ook een disk backup is en de voor en tegens van synchroon vs asynchrone replicaties. De cloud kwam met allerlei oneigenlijke argumenten en haalde constant dingen uit het verleden aan die er niets mee te maken hadden. Ik vind dat niet consequent. Hele tijd over verleden zeuren, maar alleen in replicatie denken en niet in backup. Uiteindelijk wees de cloud me er fijntjes op dat bij mij het budget altijd op is … totdat het misgaat. Heeft iets te maken met van Venus of Mars komen denk ik. In ieder geval ben ik op me werk blijkbaar ook al niet meer de baas.
@Dino,
Wacht tot je kennis maakt met je opvolger, de software-defined (+ AI) Dino. De kopie die ze stiekem van je hebben getrokken en hebben getraind met je toetsaanslagen van de laatste 2 jaar.