Jeg har i et par dage fulgt med i en debat blandt nogle britiske kollegaer, som er baseret på denne historie fra TimesOnline, omhandlende at Al Qaeda tilsyneladende skulle have planlagt et terrorangreb mod et af storbritaniens største datacentre, det knap 13.500 m2 store Telehouse Docklands.

Som det typisk forholder sig med den slags artikler er det tydeligt at journalisten ikke ved nok om det emne han beskæftiger sig med, det gør dog ikke emnet mindre interessant. For er datacentre et oplagt terrormål, og er de sikret godt nok? Kan co-location faciliteter i det hele taget sikres godt nok?

Hvorfor?
Som det rigtigt nok fremgår af artiklen, opbevares der utroligt meget data, drives enormt mange vigtige tjenester samt flyttes voldsomt meget trafik i gennem et datacenter af Telehouse’s størrelse, og et angreb ville derfor kunne få fatale konsekvenser for utroligt mange virksomheder, og påvirke hele landet. Nu er Telehouse Docklands en af de helt store fisk, men aktioner mod langt mindre datacentre og internet exchange points vil ligeledes kunne få alvorlige konsekvenser.

Hvordan?
Datacentrene bliver mere og mere sikre, og adgangen bliver mere og mere kontrolleret i form af mere moderne teknologi samt striksere politikker, men kan co-location faciliteter nogensinde sikres nok til at man ikke er sårbar overfor terror? Selvfølgelig kan de det, men prismæssigt vil det være fuldstændig uforsvarligt.

Først og fremmest ville det være nemt at opnå sig legal adgang til nogle faciliteter, da der jo ikke er nogen specielt imponerende kontrol af datacentrenes kunder i dag. Så lave som priserne er blevet på co-location ville det på ingen måde være noget problem at leje sig et rackskab, cage eller lignende og få udleveret adgangskort til 24/7 adgang. Herefter ville der være et utal af muligheder for at foretage en terroraktion inde fra.

Hvad kan der gøres?
Jeg sidder ikke selv med noget genialt bud på hvad der kan gøres, men umiddelbart mener jeg det er en meget relevant problematik for datacentre at tage op. Generelt vil jeg mene at man til sit datacenter bør stille krav om striks kontrol af hvilke kunder og personer der får adgang til datacentret samt at de fysiske sikkerhedsfaciliteter er i orden og overvåges af vagtpersonale.

Skal vi have en decideret lovpligtig terrorsikring af datacentre, ligesom vi har det ved havne, lufthavne og andre oplagte terrormål? Skal vi have indhegnet og kontrolleret store arealer rundt om datacentrene? Skal vi have vagtpersonale til at gennemgå alt udstyr før det må medbringes ind i et datacenter? Skal vi have krav om sikkerhedspersonale onsite døgnet rundt alle årets 365 dage? Skal der være statslig revision af sikkerhedsniveauet i datacentre af en hvis størrelse?

Ud fra hvad jeg kan forstå på britiske kollegaer, rådgiver politiet og Scotland Yard i dag nogle af de ledende britiske ISP’er omkring terrortruslen, bl.a. gennem LINX (London Internet Exchange) møder. Jeg har ikke hørt om lignende bekymring eller indsats her hjemme, men emnet er da bestemt tankevækkende.

Der er mange bud og mange muligheder, men fælles for næsten alle er at de vil påvirke prisen på driften af co-location faciliteter i en negativ retning, på et marked der allerede er meget presset. Det var vist alt for i dag - lidt delte tanker omkring en ret reel trussel, som man måske ikke tænker så meget over til daglig.