Chi è OVH Cloud?
Dal loro sito web si legge “… Siamo un fornitore di servizi cloud che offre server dedicati, a
oltre 1,4 milioni di clienti in tutto il mondo.
Siamo stati innovatori nella progettazione e nella gestione dei datacenter da quasi due decenni …”,
“… manterremo i tuoi server e
garantiremo alta disponibilità, prestazioni e connettività in modo che tu possa concentrarti solo sul tuo core business …”.
OVH nasce ufficialmente nel 1999 da un sogno del suo fondatore, Octave Klaba (l’attuale presidente)
che, prendendo in prestito dai suoi familiari e amici 25.000 franchi, avvia da solo la sua prima attività.
Oggi OVH
vanta 27 datacenter, una presenza in 17 paesi, con oltre 1.000 collaboratori, in continuo aumento e scelti fra i migliori sul campo.
OVH, dopo aver fondato filiali in Europa e in Africa, approda nel 2011 nel continente americano
costruendo il datacenter BHS a Sud di Montreal, che, con una capacità di 360.000 server, è fra i datacenter più grandi al mondo.
Come è potuto accadere un incidente di questa portata?
Fonte: Ridondanza e resilienza – Slideshare.com
Di incidenti a datacenter, che hanno compromesso il regolare funzionamento e la disponibilità dei servizi erogati,
ne sono accaduti diversi in passato e possono essere rappresentati in breve nella figura riportata di seguito.
Come noto, la principale causa degli incendi nei datacenter è dovuta ad un malfunzionamento elettrico,
motivo per cui, data anche l’ingente quantità di energia utilizzata, è assolutamente importante che tutti gli aspetti progettuali,
così come quelli di manutenzione, oltre quelli di prevenzione e sicurezza,
debbano essere rigorosamente rispettati da tutto il personale tecnico (e non) che a vario titolo “frequenta” queste installazioni.
Dagli ultimi aggiornamenti del fondatore, Octave Klaba, si viene a sapere che la causa scatenante dell’incendio è stata identificata.
Ci sono buone probabilità che a scatenare l’incendio sia stato il malfunzionamento di un gruppo di continuità elettrico (UPS),
il quale pare fosse stato sottoposto a manutenzione straordinaria con sostituzione di alcune componenti, proprio nella giornata del 9 marzo.
Nello specifico sono stati gli UPS 7 e UPS 8 a prendere fuoco e da qui l’incendio si è sviluppato alle sale adiacenti e di conseguenza al resto dell’insediamento.
Come è possibile che il presidio fisso ed i sistemi automatici, se presenti,
non sono stati in grado di rilevare ciò che stava accadendo ponendovi rimedio?
Inoltre, perché i sistemi di spegnimento automatici, se presenti, non sono stati in grado di far fronte all’incendio nelle sue prime fasi di sviluppo?
Tipicamente installazioni così importanti come OVH, garantiscono un presidio tecnico e un corpo di vigilanza h24,
così da poter intervenire immediatamente senza ritardi per segnalare e gestire le cause di un possibile incidente.
Inoltre le sale informatiche, oltre ad essere adeguatamente compartimentate agli effetti dell’incendio,
sono anche protette da sistemi di rivelazione e allarme e spegnimento automatici (a gas inerte o altri tipi di estinguente)
che si attivano con immediatezza già nelle prime fasi dell’innesco.
Nello specifico il gas inerte (es. argon o altro) agisce per saturazione dell’ambiente sottraendo l’ossigeno dall’aria così da impedire lo sviluppo delle fiamme per soffocamento.
A questo si aggiunge il fatto che il datacenter denominato SBG2, fosse già abbastanza datato – costruito nel 2011 –
e nonostante si stesse pensando di rimpiazzare tutte le macchine con server più moderni e sicuri,
il processo di sostituzione non era ancora terminato (sono state installate 2000 macchine e ne mancavano ancora altre 1000).
Anche questo aspetto è abbastanza insolito per una webfarm importante come OVH.
Tipicamente datacenter di queste dimensioni si dotano di una policy che prevede la sostituzione delle macchine dopo 3 o 5 anni,
allo scadere naturale del loro contratto di manutenzione.
Macchine vetuste potrebbero anche essere meno performanti dal punto di vista della sicurezza.
Le conseguenze dell’evento sono state molto impattanti per i clienti di tutto il mondo.
Molti siti web non erano più disponibili già dalle prime ore del 10 marzo.
Tra questi si enumerano: il sito del governo data.gouv.fr, l’aeroporto di Strasburgo, alcune Università,
le cittadine di Colmar, Vichy (Allier), Bourg-Saint-Andéol (Ardèche), Cherbourg (Manche), Bruay-la-Buissière (Pas-de-Calais),
il centro George Pompidou di Parigi (Beaubourg), la rete di trasporto pubblico di Nancy,
l’Unione Popolare Repubblicana (UPR) – il partito politico di François Asselineau,
il media The Front Populaire media – lanciato da Michel Onfray e Stéphane Simon, e tantissimi altri.
Anche molti siti web tedeschi, spagnoli, polacchi e turchi sono stati interessati dal crash di OVH.
Molti anche i portali italiani coinvolti nel ’blackout informatico’, tra cui i Comuni di Pavia, Trapani, Cattolica, San Giuliano Terme, ecc.
oltre a numerose realtà private di varie dimensioni, come la casa editrice Red Star Press, il magazine Fashion Time,
la squadra di basket Dolomiti Energia Trento, ecc. e lo stesso Web Magazine
Ofcs.Report.
Possibile che OVH non avesse previsto l’opzione di Disaster Recovery e backup dei dati per tutti i siti web e clienti coinvolti?
Ed è questa la lezione che si apprende dalla vicenda OVH.
La web farm non aveva evidentemente un
recovery plan per tutti i clienti,
che prevedesse una copia dei dati su altri server delocalizzati dal luogo dell’incidente,
e se anche questo fosse stato previsto, probabilmente doveva essere un servizio a pagamento extra-contratto.
Per prevenire situazioni simili occorre sempre mettere sul piatto della bilancia l’adeguatezza dei livelli di servizio stabiliti in sede contrattuale.
In ogni caso è sempre consigliabile prevedere un backup lato cliente del proprio database,
con una periodicità che può variare a seconda dei casi, così da ritornare online nel più breve tempo possibile.
La maggior parte dei clienti di OVH che hanno subito questo importante “scossone”
stanno comunque valutando le azioni legali da intentarsi contro il colosso informatico francese.
Le ragioni si fondano, oltre al diritto di richiedere
l’immediato ripristino dell’operatività,
anche sulla
perdita di business che molte aziende hanno subito,
che per alcuni ha certamente procurato perdite nell’ordine di
decine di migliaia di euro.
Inoltre, ad essere lesa è anche
l’immagine societaria, senza nemmeno trascurare la
perdita di ricavi provenienti dalle campagne pubblicitarie (
vedi banner).
Una considerazione particolare va fatta anche dal punto di vista della
privacy,
in relazione alla possibile perdita di dati, che porterebbe OVH e il titolare del dato ad una
violazione del GDPR
(General Data Protection Regulation), e la conseguente comminazione delle
sanzioni previste.
Considerando poi che un’azione legale potrebbe non essere così scontata,
probabilmente la formula con cui approcciare OVH va vista nell’ambito dell’azione comune –
“Class Action” –
così da poter intanto accertare tutte le possibili implicazioni legate sia al contratto che all’effettivo ammontare del danno subito
e poter formulare eventualmente una richiesta di
risarcimento dei danni ben definita.
OVH chiaramente non esce indenne da questo evento disastroso e forse andrebbe anche rivisitato con serietà e risolutezza, nelle dovute sedi,
il caso italiano dell’assenza di un cloud nazionale che sta diventando sempre più prioritario ed una vera necessità.
