云计算带来了提高效率、改进数据安全和增加利润的机会。但云服务并非万无一失,业务中断是不可避免的。IT领导者需要了解云中断带来的损失。
云中断可能由多种原因导致:软件错误、电源故障、配置错误、资源耗尽以及数据中心冷却问题。云计算提供商可以从每个中断事件中学习,积累可以帮助他们防止未来中断的知识。
云计算用户必须管理云服务在云中断期间受到的影响。中断的时间越长,造成的损失就越大。美国再保险经纪商Guy Carpenter公司和网络风险分析平台Cyber Cube公司在2019年的一份报告中指出,云中断是可能影响业务的损失最高的单点故障之一。
这些损失可以准确量化吗?企业有什么追索权来追回它们?云计算提供商是否容易在云中断后受到诉讼?
云中断的成本
对云中断成本的估计各不相同——从受影响的行业到业务规模,各种变量都会发挥作用:
- 云性能优化商计算出平均企业的停机成本为每分钟5600美元。
- 研究机构估计成本最高可达每分钟9000美元。
- Lloyd公司在2018年发布的一份报告表明,中小企业在云计算业务中断期间的损失最为惨重。
尽管有这些令人痛心的统计数据,但Veritas公司在2017年的一份报告中估计,只有不到25%的企业估计了他们在云中断期间可能遭受的损失。
根据Forrester公司的研究,考虑到计划外停机时间的成本比计划停机时间的成本高35%,没有评估其漏洞的企业面临的风险要大得多。
在特定中断期间确定特定企业的损失是复杂的。严重依赖云服务的企业可能会比同时使用云平台和内部部署运营的企业遭受更多损失。影响一小部分基于云的业务的中断将比破坏企业在云平台中运营业务的中断损失更小。中断时间越长,损失就越大。如果中断与数据泄露有关,云计算用户还可能面临监管机构的处罚,而且由于未能进行尽职调查而导致的其他监管后果可能即将出现。
然后是更难评估的软成本。在社交媒体时代,企业业务遭遇中断的消息将迅速传开。当很明显他们无法提供无缝服务时,即使是在很短的时间内,企业也很容易失去现有客户和潜在客户的信任和合作。
如何构建云提供商协议
云服务提供商本身不太可能承担因中断而产生的任何成本。
行业标准服务水平协议非常严格,大多数云服务提供商几乎不承担任何责任。
虽然一些云计算提供商已经开始提供自己的保险政策,谷歌云现在提供自己的网络保险插件,但这并不是常态。
美国保险追偿律师事务所的合伙人Cindy Jordano说:“企业需要询问云计算提供商提供什么样的保险,或者达成某种赔偿协议。”
即使一些云计算提供商确实提供保险,这些保单的条款也只能弥补客户损失的一小部分。
网络保险服务商Resilience公司的首席理赔官Michael Phillips建议:“协商公司承担多少风险,以及云服务提供商承担多少风险。但如今许多主要的云服务提供商都不愿意承担自己失败的风险。”
公有云是一个多租户环境,使责任问题进一步复杂化。
Culhane Meadows律师事务所的合伙人Lisa Rovinsky说,“许多云计算提供商目前不提供有意义的服务水平协议(SLA),他们认为应用程序必须满足多个客户的需求。我认为随着客户变得更加复杂和混合云解决方案的发展,这种权力结构将会发生变化。”
这让客户有责任确保他们的云协议从一开始就尽可能完善。样板合同只能提供粗略的保护,因此定制合同成为主流。定制合同的成本会更昂贵,但在发生代价高昂的云中断时将会节省一些费用。
IT咨询实践咨询机构Infosys Consulting公司的首席信息官顾问合伙人Elizabeth Ebert警告说,“云计算可用的服务水平往往非常高:达到99.9%以上。而可用性每增加百分之一,成本就会急剧增加。”
保险范围
在保险损失方面,全球三大云计算供应商的业务中断三到六天的成本可能超过147亿美元。研究机构在2020年10月的一项研究表明:
- 由单一云计算提供商的云中断导致的数据丢失可能导致高达238亿美元的损失。
- 云计算提供商的大规模数据丢失可能导致高达222亿美元的保险损失。
- 长期的云中断将造成143亿美元的损失。
- 对主要云计算提供商的勒索软件攻击将造成115亿美元的损失。
因此,明确的网络政策越来越成为必要。但即使是这些政策也不一定包括云中断覆盖,或者在有限的基础上这样做。
但是,有一些方法可以降低成本。云计算系统的数据完整性和冗余性的证据对保险公司很有吸引力。保持严格的数据库可以降低发生未知泄漏的可能性。在不同的云计算服务器上进行多个备份显著地降低了数据不可恢复的可能性。
考虑中断的原因
此外,还需要考虑潜在云中断的多个来源。典型的网络政策通常涵盖勒索软件和其他网络攻击。但并非所有云中断都与网络安全有关。
保险商Parametrix公司联合创始人兼首席技术官Neta Rozy澄清说,“停机时间和网络安全是两件不同的事情,网络安全更适用于网络攻击。停机时间是不可避免的。因为我们都生活在数字世界中,但内部部署数据中心并不完美。因此,网络政策不太可能涵盖因中断或软件错误导致的云停机。 ”
Parametrix公司构建了一个专有系统,用于监控公有云中存在的跨数据中心的云平台和云计算应用程序可用性。该系统收集的数据使企业能够评估云计算风险并为其政策提供保障。该公司的知识产权还允许它消除保险领域中典型的索赔流程。
Rozy解释说,“我们需要确定停机时间,客户实际上不必经历索赔流程,因为我们确切知道在给定时间哪些云计算中断或云服务中断,以及客户的承保范围。”
云计算面临的风险是广泛的。客户可能会因勒索软件或其他形式的网络攻击而丢失数据,并且他们可能会遇到与网络安全无关的中断相关后果。这可能意味着企业需要购买不止一种类型的保险服务来为云中断的后果提供足够的保护。
从小众云保险到更全面的网络保险,一系列产品可能会在不久的将来出现。
对于首席信息官和其他决策者来说,为云中断覆盖范围选择保险是确定风险承受能力并找到一个或多个政策的问题,并足以解决商定的业务风险。
不过值得注意的是,一些系统性故障可能本质上是无法承保的,因此企业应该制定相应的计划。
