Wat kost het als de cloud stuk gaat?

Op ISP Today is in het verleden wel eens aandacht besteed aan het onderwerp cyberverzekeringen. Dat was toen redelijk abstracte materie. Vaker is geschreven over bloopers en missers waardoor downtime ontstond. Dat is veel concretere business. Lloyds heeft met een onderzoek die twee weten te combineren.

Lloyd (die hele grote verzekeringsspecialist) heeft samen met AIR Worldwide, een bedrijf dat risico profielen maakt, onderzoek gedaan naar cloud. Dat levert een omvangrijk rapport op met de simpele titel “Cloud Down” (PDF). De subtitel luidt “impacts on the US economy” dus dan is ook alvast duidelijk dat de EU en/of Nederland buiten beschouwing is gelaten.

Dat wil niet zeggen dat ons werelddeel niet wordt genoemd. De uitgebreide analyses van cloud incidenten betreffen de hele wereld. De beruchte blikseminslag in het Belgische Google datacentrum van een paar jaar geleden komt dus wel ter sprake. Dat is een incident dat leidde tot forse onvoorziene downtime en is ondergebracht in de categorie “environmental”, andere categorieën zijn ongelukken, opzettelijk en structureel. Bij het eerste moet je volgens Lloyds denken aan het rebooten van alle machines in 1 zone tegelijk, opzettelijk is alles dat riek naar cybercrime en wegval van de stroomvoorziening zou tot de laatste categorie behoren.

Vervolgens is naar de business van de 15 grootste cloud aanbieders in de VS gekeken. Die zijn goed voor (slechts?) 70% van de IT cloud business in het land. Die top 15 is opgedeeld is weer die groepen gebaseerd op omvang. Het wegvallen van de dienstverlening – om welke reden dan ook – is op basis van voorgaande ervaringen opgedeeld in minder dan een dag, tot 6 dagen en tot 11 dagen. Met die voorwaarden en aannames is een model gemaakt. Er is meer dan een conclusie. Voor de verzekeringsmarkt zijn twee belangrijkste dat de schade behoorlijk kan zijn en dat op dit moment te weinig is verzekerd en gedekt door underwriters.

Het onderzoek is niet voor de Nederlandse cloud aanbieders geschreven en toch behoren zij tot de lezersgroep die hier ook het nodige van kan leren. De eerste les is dat Lloyds & Co serieus onderzoek doen naar de sector. Je kunt ook teruglezen waarom dat is. De impact van de (expliciet genoemde!) DYN DDoS en NonPetya cryptoware aanvallen dwingt verzekeraars schijnbaar dit type riscio tot op het bot te analyseren. Dat zal voor menig lezer tot een nieuwtje zijn. De tweede les is minder opzienbarend: “And, as is the case with perils like hurricanes and earthquakes, the historical record alone for cyber events is not sufficient to estimate the full spectrum of impacts from future attacks”.

Lloyds geeft toe dat het totale schadeplaatje van een cyber incident lastig in te schatten is. Anders gezegd: wat het kost als de cloud stuk gaat weten dus niemand, we weten alleen dat het sowieso voor elke aanbieder en elk type klant een forse schadepost is.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.