Management

Cloud
luchtballon

Waarschuwing: SaaS is een kritische infrastructuur

En ook die kan omvallen

© CC0: pixabay Hans
17 december 2019

En ook die kan omvallen

De meeste SaaS-gebruikers lijken een blind vertrouwen te hebben in hun SaaS-leveranciers. Maar ook zij kunnen omvallen. Zowel de klant als de leverancier is daar niet op voorbereid, terwijl de gevolgen zeer ernstig kunnen zijn want ICT kan inmiddels geschaard worden onder de kritieke infrastructuur. Meer aandacht voor oplossingen is hard nodig, benadrukken Slinger Jansen, Marco de Jong, Denise van Velzen, Ronald Kers en Paul Bijleveld. Van klanten, leveranciers, de overheid èn NLdigital.

Het lijkt maar zelden voor te komen dat Software-as-a-Service-applicaties (bijvoorbeeld Exact Online, Gmail, Google Maps, Reeleezee, Salesforce, etc.), niet werken. Logisch, de leverancier doet er alles aan om uptime te garanderen. Maar wat als die leverancier niet langer in staat is om aan die verplichting te voldoen? Die nachtmerrie lijkt schromelijk onderschat door klanten en zelden nemen SaaS-leveranciers de juiste stappen om continuïteit te garanderen. De Universiteit Utrecht en ACC-ICT hebben onderzoek gedaan naar de perceptie van klanten en SaaS-leveranciers rondom het onderwerp van SaaS-continuïteit. Wat blijkt: in meer dan 75% van de gevallen is deze kritische infrastructuur onbeschermd. Dit artikel is dan ook een waarschuwing: heeft u er goed over nagedacht?

Rampscenario’s

Er kunnen verschillende oorzaken zijn waardoor een SaaS applicatie niet langer geleverd kan worden. De onderliggende infrastructuur, zoals hosting of het datacenter kunnen failliet gaan, waardoor de SaaS-leverancier geen toegang meer heeft tot de data. De SaaS-leverancier zelf kan ook failliet gaan. En voorbeelden zijn er genoeg: in Nederland was er Meddex, maar in de VS kwamen veel grotere bedrijven in de problemen: Nirvanix, 2e2, en Fusion Connect.

De ramp voltrekt zich in vier korte maar vervelende realisaties aan de klantkant. Eerst ervaart de klant dat er geen toegang meer is tot de data. Daarna ervaart de klant het gemis van de applicatie: de schaduwadministratie fungeert even, maar de handige knopjes en rapportjes blijken essentieel voor de dagelijkse gang van zaken. Ten derde wordt ook de ontwikkeling van de applicatie stopgezet, waardoor er geen verdere evolutie meer is van de applicatie. De laatste verrassing is wel gemeenste, want van wie zijn de data op die ene server in de failliete inboedel? De curator zal de hoogste prijs willen voor het metaal, maar wellicht ook voor de data. En plots liggen uw data op straat. Datalek!

SaaS-klanten: “Dat is toch gewoon geregeld?”

Uit een enquête onder 121 SaaS-klanten blijkt overduidelijk dat ze er simpelweg niet over nadenken. “Dat is toch gewoon geregeld?” blijkt de mening van SaaS-klanten uit onze enquête. Interessant is dat de SaaS -providers aangeven dat ze graag hun diensten zouden garanderen, maar zolang er geen klantvraag is, lijkt er ook geen noodzaak. In de ogen van de SaaS-provider is het uiteindelijk een risico voor de klant. Klanten daarentegen lijken een blinde vlek te hebben: bij aanschafbeslissingen wordt SaaS-continuïteit eigenlijk niet meegenomen.

55% van de SaaS-klanten geeft aan wel eens langere tijd met downtime te maken te hebben gehad. 75% van de respondenten geeft aan dat er geen continuïteitsoplossing is voor de meest kritische software binnen het bedrijf. Tegelijkertijd geeft ongeveer de helft van de respondenten aan dat ze SaaS-continuïteit een urgente zaak vinden.

SaaS-leveranciers: “Zoiets overkomt ons niet.”

De Universiteit Utrecht heeft interviews gehouden met meer dan 20 SaaS-providers en belangenvertegenwoordigers rondom dit onderwerp. SaaS-leveranciers geven aan dat ze primair verwachten dat SaaS-klanten vragen om continuïteitsoplossingen. Verder vinden ze de kosten belangrijk en hopen deze grotendeels door te kunnen berekenen aan klanten.

Als oplossingen worden vier factoren genoemd: een eigen data backup, een hostingverzekering, een regeling met de providers van content en ondersteuning van de applicatie door een derde partij. 

Belangenvertegenwoordigers geven aan dat er meer nodig is. Zij verwachten ook een duidelijke regeling waarin zaken worden vastgelegd als de lengte van de transitieperiode, de kostendrager van deze periode, en op termijn de mogelijke doorstart van de dienst. Er is dan ook een meerzijdige aanpak nodig om klanten vrij te stellen van de genoemde risico’s.

Een aantal SaaS-leveranciers is al proactief aan de slag gegaan en heeft al continuïteitsoplossingen geregeld. Een interessant voorbeeld uit onze case studies, is een zeer waardevol SaaS-platform dat volledig gerund wordt door een eenpitter. Deze eenpitter heeft een uitgebreid protocol opgesteld met een notaris, voor wat er gebeurt als hij niet langer bereikbaar is.

Het opvallendst aan ons onderzoek is de kenniskloof tussen klant en leverancier. De leveranciers zijn zich bewust van het probleem, maar communiceren dit niet aan klanten. Klanten zijn zich aan de andere kant niet bewust hiervan en gaan er vanuit dat er wel iets geregeld is. Er ligt hier een schone taak voor de belangenvertegenwoordigers als NLdigital om dit duidelijker te communiceren naar klanten, mede omdat het op termijn tot meer bedrijvigheid voor de sector kan leiden. 

Oplossingen

Een derde van de klant-respondenten geeft aan nog nooit van SaaS-continuïteitsoplossingen gehoord te hebben. Daarnaast weet de helft van de respondenten niet wat SaaS-escrow is, en is 77% van de respondenten niet bekend met het concept van een SaaS-garantiefonds. Er zijn meerdere oplossingen mogelijk, maar we willen graag drie aanvliegroutes benadrukken. 

SaaS-garantiefonds

Een SaaS-garantiefonds zou een door een belangenvertegenwoordiger opgezet fonds kunnen zijn, waar elke SaaS-leverancier aan bijdraagt. In het geval dat één van de leveranciers wegvalt, zou het SaaS-garantiefonds garant kunnen staan voor het laten draaien van de dienst voor een transitieperiode, bijvoorbeeld 12 weken. Deze oplossing is rigoureus, maar in andere branches is het al decennia verplicht om aan dergelijke fondsen bij te dragen, zoals bijvoorbeeld voor reisaanbieders. De fondsen daar garanderen dat mensen op vakantie de reis kunnen voortzetten bij faillissement van de aanbieder: dat klinkt toch analoog? Ook hier ligt een schone taak voor een branchevereniging.

SaaS-escrow

Een tweede oplossing is SaaS-escrow, waarbij een derde partij ervoor zorgt dat de SaaS blijft draaien voor een periode na het omvallen van de leverancier. Er zijn in Nederland aanbieders als ACC-ICT en Escrow4All die dergelijke diensten al aanbieden. Het nadeel is dat het voor klanten niet transparant is welk van deze diensten een SaaS-leverancier afneemt en in hoeverre ze beschermd zijn.

Certificering

Een derde oplossingsrichting is het introduceren van certificering, die aangeeft of een leverancier een continuïteitsregeling heeft afgesloten of niet. Een voordeel hiervan is dat de markt zijn werk kan doen, doordat klanten dit als een pre gaan zien. Een nadeel is dat deze certificering slechts een beperkt perspectief heeft, daar niet alle onderliggende techniek te garanderen valt, zoals bijvoorbeeld de hosters en de data centers. 

Tot slot is het zinvol als de wetgever zich mengt in deze discussie. Daar we IT steeds meer als kritische infrastructuur beginnen te zien, is het nodig dat de wetgever continuïteit probeert te versterken. Wij pleiten dan ook voor vergaande regelgeving.

Kenniskloof

Er is een grote kenniskloof tussen SaaS-leveranciers en klanten op het gebied van SaaS-continuïteit. Zolang deze bestaat zal SaaS-continuïteit onvoldoende op de agenda’s van belangenverenigingen, SaaS-leveranciers, en SaaS-klanten komen. In dit artikel benadrukken we deze kenniskloof en proberen we deze partijen bewust te maken van het probleem. Verder hopen we dat het midden- en kleinbedrijf zich door dit artikel bewust wordt van de rol die continuïteit in de dagelijkse gang van zaken speelt. 

Heeft u uw SaaS-leverancier al gebeld?

 

Lees meer over
Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.