Als productmanager van IT-Infrastructuuroplossingen bij Rittal ziet Hiddink hoe belangrijk bewustwording is voor de fysieke veiligheid van omgevingen. “Binnen de datacenterwereld is fysieke security een verkoopargument,” zegt hij. “Er zijn duidelijke normen, zoals de EN 50600, die heel duidelijke en gedetailleerde instructies geeft voor de faciliteit. Maar voor het mkb is het anders. Ja, er zijn maatregelen die worden beschreven, bijvoorbeeld in NEN7510 voor de zorg. Daarin wordt de eis beschreven dat de databeveiliging moet worden gewaarborgd, zonder veel details. Dat is in brede zin niet voldoende, want het is subjectief. Hetzelfde geldt voor de AVG: het is iets dat organisaties zelf moeten invullen.”
De focus bij mkb ligt volgens Hiddink meer op de bedrijfsvoering en continuïteit, maar de veiligheid van de IT-infrastructuur mag niet worden onderschat. “Als je de stekker uit een server trekt, dan heb je ook niet veel aan de firewalls,” noemt hij als voorbeeld. “Je moet vaststellen wat deel uitmaakt van het fysieke gedeelte, en wat van de ICT. Dat is een zeer belangrijke discussie.”
Campagne Fysieke Security
Daarom is Rittal afgelopen jaar een nieuwe campagne gestart: Fysieke Security. Als leverancier van noodstroomsystemen, blussystemen, koelsystemen, maar ook bijvoorbeeld afsluitbare behuizingen heeft het bedrijf door de jaren enorm veel kennis opgedaan over dit onderwerp. “Aan het begin van projecten begint het voor ons eigenlijk al. In dat gesprek met de klant nemen we ook de mate mee waarin de klant de infrastructuur fysiek wil beveiligen. Bij een afsluitbare ruimte kan een standaard cilinder voldoende zijn, maar zijn de behuizingen vrij toegankelijk, dan kunnen elektrische handgrepen met deursignalering een betere oplossing zijn. Afhankelijk van het veiligheidsniveau kunnen ook camerasystemen een aanvulling zijn op het beheer van toegang tot de IT-behuizingen.”
Daarbij staat de klantwens centraal. “De bevraging is erg uitgebreid en gaat over locatie en wie toegang moet kunnen hebben. Zo komen we tot een advies dat direct aansluit op de behoefte van de klant.”
Een ander belangrijk aspect is volgens Rittal bijvoorbeeld redundantie in noodstroom- en koeloplossingen. Dit is naast fysieke beveiliging ook een vorm van security die ervoor zorgt dat de continuïteit van de IT-processen gewaarborgd wordt. “Alles wat we eromheen doen zorgt ervoor dat organisaties ook echt kunnen voldoen aan de beschreven eisen. En we ondersteunen en informeren hen daar ook in.”
Het hart van je onderneming heeft de juiste aandacht nodig om de continuïteit van je bedrijf te waarborgen
Kosten en vertrouwen
Het zijn allemaal maatregelen om te voorkomen dat er systemen uitvallen. Juist omdat het vaak zo voor de hand ligt, valt het mogelijke risico volgens Hiddink ook niet op. “Er valt nooit wat uit, tot er wél iets uitvalt,” zegt hij. Hij verwijst naar onderzoek van Enlogic waaruit blijkt dat de downtimekosten uiteenlopen van 50.000 tot zelfs 1 miljoen euro per uur. “En een groot deel van uitval komt door menselijk handelen.”
Hiddink wijst er ook op dat de consequenties niet altijd helder zijn op verzekeringsvlak. “De inboedelverzekering gaat over de hardware zelf. Dus als daar iets kapotgaat, dan krijg je puur daarvoor een schadesom uitgekeerd,” schetst Hiddink. Maar de data vallen onder een andere verzekering. En dan is de vraag: wat voor eisen stellen zij voordat ze tot vergoeding over gaan? Hadden bepaalde dingen anders ingericht moeten zijn? “Daar moet aandacht voor komen.”
De downtime-kosten lopen uiteen van 50.000 tot zelfs 1 miljoen euro per uur
Een klein hoekje
Een andere en misschien wel de belangrijkste uitdaging waar Hiddink de vinger op legt is dat er ook ingrepen worden gedaan in bestaande ICT-ruimtes. Netwerkbehuizingen hadden het enkele doel van het voeren van de netwerkbekabeling en het patchen. “De markt verandert echter, waarbij hardware gecombineerd wordt met kabelmanagement in een behuizing. De waarde van de bedrijfsactiviteiten wordt daardoor steeds meer gecentraliseerd naar één rack toe. Met cloud- en edge-omgevingen wordt het alleen maar belangrijker, want dat ene rack in het pand is dan het enige communicatiepunt naar buiten toe. Als dat platgaat, heb je geen toegang meer tot je clouddata. Je hebt misschien minder hardware in huis staan, maar die hardware is dus wel veel belangrijker dan voorheen.”
Vaker dan om cybercriminaliteit gaat het dan om op het oog kleine ongelukken. “Laatst heb ik op LinkedIn een post geplaatst waarbij ik bij een schadeherstelbedrijf aan tafel ging zitten en pardoes tegen een ruit van IT-wandbehuizing onder tafel schopte. Gelukkig gebeurde er niets, maar wat als hierdoor wel apparatuur zou uitvallen? Voor het mkb snap ik wel dat de focus ligt op bedrijfsvoering. Het is logisch dat men vertrouwt op de kennis van een IT-partner. Helaas zien we in de praktijk voorbeelden dat hier meer aandacht aan besteed mag worden.”
Beschermen van data en IT-apparatuur begint bij logisch nadenken. “Het hart van je onderneming heeft de juiste aandacht nodig om de continuïteit van je bedrijf te waarborgen,” zegt Hiddink. “In de praktijk zien we dat wat extra aandacht voor fysieke beveiliging geen onnodige luxe is. Op dat gebied wil Rittal een bijdrage leveren.” Dat doen ze onder meer door in de tweede deel van dit jaar een tafelgesprek te organiseren over hoe professionals fysieke security kunnen aanpakken.