Kiedy gaśnica spotyka serwerownię, czyli o ciągłości działania i technologicznych zderzeniach ze światem offline.
Politechnika Śląska nieczęsto trafia na łamy portali technologicznych z powodów innych niż innowacje, badania czy sukcesy studentów. Tym razem jednak stała się bohaterką wiadomości z gatunku “jak tego nie robić”, gdy w wyniku ćwiczeń przeciwpożarowych… przestały działać serwery uczelni. Jak się okazuje, nawet najbardziej zaawansowane systemy IT są bezbronne wobec źle zaplanowanych procedur offline.
Kiedy bezpieczeństwo fizyczne uderza w bezpieczeństwo cyfrowe
Wszystko zaczęło się od – skądinąd potrzebnych – ćwiczeń przeciwpożarowych. Tego typu działania mają na celu weryfikację gotowości budynków i pracowników na wypadek realnego zagrożenia. Problem w tym, że w trakcie symulacji nie uwzględniono faktu, że serwerownia również wymaga specjalnego traktowania.
Według doniesień, podczas ćwiczeń odcięto zasilanie… bez wcześniejszego przełączenia infrastruktury na zasilanie awaryjne. Efekt? Cała grupa usług i serwerów uczelni padła. Zawieszeniu uległy systemy logowania, poczta e-mail, a nawet dostęp do platform e-learningowych.
Według nieoficjalnych informacji, winowajcą katastrofy mogły być… gaśnice proszkowe. W czasie ćwiczeń przeciwpożarowych uruchomiono system, który rozpylił drobny pył gaśniczy wewnątrz pomieszczeń – niestety również w serwerowni. A jak wiadomo, proszek i elektronika to duet gorszy niż kawa i klawiatura. Substancje zawarte w gaśnicach mogą osiadać na płytach głównych, radiatorach i wentylatorach, tworząc warstwę izolacyjną, przyciągając wilgoć i w dłuższej perspektywie powodując zwarcia. W skrajnych przypadkach prowadzi to do trwałego uszkodzenia sprzętu, co rodzi poważne pytania o procedury bezpieczeństwa w obszarach krytycznej infrastruktury IT.
Sytuacja, w której uczelniane serwery zostają „ugaszone” zanim w ogóle zapłoną, brzmi trochę jak z taniej komedii informatycznej. Bo jak to wytłumaczyć studentowi, że nie może zalogować się do systemu, bo serwer dostał ataku… proszkowego? To trochę tak, jakby próbować ugasić pożar e-booka wodą — intencje dobre, efekt opłakany. Pozostaje mieć nadzieję, że przy kolejnych ćwiczeniach ktoś zapyta: „a serwery to też mamy ewakuować, czy może chociaż zamknąć drzwi?”. W końcu lepiej dmuchać na zimne, niż dmuchać proszkiem na racka z dyskami SSD za kilkadziesiąt tysięcy.
Ciągłość działania IT: fundament każdej instytucji
W świecie technologii termin business continuity (ciągłość działania) to nie tylko modne hasło z prezentacji działu IT. To realny zestaw procedur, zabezpieczeń i polityk, które mają na celu zapewnienie nieprzerwanego działania kluczowych systemów – nawet w razie awarii, ataku czy… ćwiczeń BHP.
Brak planu awaryjnego to jak stawianie serwerowni na tratwie i liczenie, że nigdy nie będzie sztormu. Każda profesjonalna infrastruktura IT – niezależnie czy mówimy o firmie, urzędzie, czy uczelni – powinna zakładać m.in.:
• automatyczne przełączenie na UPS-y i generatory w przypadku zaniku zasilania,
• replikację usług na oddzielne fizycznie lokalizacje (data center redundancy),
• testy procedur przywracania danych i usług (disaster recovery),
• wyłączenie serwerowni z ogólnych procedur ewakuacyjnych lub ich szczególne traktowanie.
W praktyce wiele instytucji traktuje te kwestie po macoszemu, do czasu aż wydarzy się coś, co przywróci ich do cyfrowej rzeczywistości – często w bardzo bolesny sposób.
Mistrzowie redundancji kontra mistrzowie… nadziei
Duże firmy technologiczne, banki czy centra danych inwestują w infrastrukturę odpornościową, gdzie każdy serwer ma swojego bliźniaka, a każdy UPS – własny backup. Dla kontrastu, zbyt wiele organizacji publicznych pokłada wiarę w to, że “jakoś to będzie”.
Przypadek Politechniki to lekcja, że nawet najnowocześniejszy serwer Dell czy HP nie pomoże, jeśli jego zasilanie zostanie odcięte jak żelazko po obiedzie. IT wymaga nie tylko nowoczesnych technologii, ale i myślenia systemowego – uwzględniającego ludzkie błędy, nieprzewidywalność i rzeczy, które nie mają prawa się wydarzyć, ale i tak się zdarzają.
Z humorem mówi się, że “największym zagrożeniem dla bezpieczeństwa IT są ludzie z dostępem do kluczy”. W tym przypadku być może wystarczyłoby kilka zdań w scenariuszu ćwiczeń lub jedno spotkanie między działem IT a działem BHP.
Nie chodzi o to, by winnych szukać – ale by zrozumieć, że ciągłość działania to nie tylko buzzword z korporacyjnych slajdów, ale realna potrzeba w każdej instytucji, która korzysta z systemów IT. Czyli w zasadzie… w każdej.
FAQ: Gaśnica w serwerowni - ciągłość działania IT a zagrożenia fizyczne
Na Politechnice Śląskiej doszło do incydentu, w którym gaśnica została użyta w serwerowni, co spowodowało poważne zakłócenia w działaniu infrastruktury informatycznej uczelni. Proszek gaśniczy, który jest standardowym środkiem gaśniczym w wielu gaśnicach, dostał się do wnętrza serwerów i urządzeń sieciowych, powodując ich uszkodzenie. Proszek gaśniczy jest niezwykle szkodliwy dla sprzętu elektronicznego, ponieważ jest korozyjny, przewodzi prąd po zmieszaniu z wilgocią i wnika w najdrobniejsze szczeliny urządzeń. Incydent ten jest doskonałym przykładem tego, jak ważne jest odpowiednie planowanie ochrony przeciwpożarowej w pomieszczeniach z infrastrukturą IT. Standardowe gaśnice proszkowe czy wodne nie powinny znajdować się w serwerowniach, ponieważ mogą wyrządzić więcej szkód niż sam pożar. Zdarzenie to uświadomiło wielu administratorom IT w Polsce, jak istotne jest posiadanie odpowiednich systemów gaśniczych oraz planów ciągłości działania.
W serwerowniach należy stosować wyłącznie gaśnice i systemy gaśnicze bezpieczne dla sprzętu elektronicznego. Najlepszym rozwiązaniem są gaśnice gazowe na bazie CO2 (dwutlenku węgla) lub czystych środków gaśniczych, takich jak FM-200 (HFC-227ea) czy Novec 1230. Gaśnice CO2 nie pozostawiają żadnych osadów i są bezpieczne dla elektroniki, jednak mogą być niebezpieczne dla ludzi w zamkniętych pomieszczeniach ze względu na wypieranie tlenu. Systemy gaśnicze FM-200 i Novec 1230 są uznawane za najnowocześniejsze rozwiązania dla serwerowni, ponieważ gaszą pożar bez uszkadzania sprzętu, nie pozostawiają osadów i są bezpieczne dla ludzi w normalnych stężeniach. Absolutnie niedopuszczalne jest stosowanie gaśnic proszkowych, które powodują korozję i mechaniczne uszkodzenia komponentów elektronicznych, oraz gaśnic wodnych, które mogą spowodować zwarcia. Profesjonalne serwerownie powinny posiadać automatyczny system gaszenia gazem z czujkami dymu i temperatury.
Plan ciągłości działania IT (ang. IT Business Continuity Plan) to dokument opisujący procedury i zasoby niezbędne do utrzymania lub szybkiego przywrócenia krytycznych usług informatycznych w przypadku awarii, katastrofy lub innego zdarzenia zakłócającego normalne funkcjonowanie. Plan ten jest kluczowy, ponieważ współczesne organizacje są całkowicie zależne od systemów informatycznych i nawet krótka przerwa w ich działaniu może generować ogromne straty finansowe i wizerunkowe. Dobry plan ciągłości działania powinien obejmować identyfikację krytycznych systemów i usług, procedury tworzenia i przechowywania kopii zapasowych, plan przełączenia na infrastrukturę zapasową, procedury komunikacji kryzysowej oraz harmonogram regularnych testów i aktualizacji planu. Zdarzenia takie jak incydent na Politechnice Śląskiej pokazują, że zagrożenia mogą pochodzić z nieoczekiwanych źródeł, dlatego plan powinien uwzględniać różnorodne scenariusze, od awarii sprzętowych po katastrofy fizyczne.
Zabezpieczenie serwerowni przed pożarem wymaga wielowarstwowego podejścia obejmującego prewencję, detekcję i gaszenie. W zakresie prewencji kluczowe jest utrzymanie odpowiedniej temperatury (18-27 stopni Celsjusza) i wilgotności (40-60%), regularne przeglądy instalacji elektrycznej oraz eliminacja materiałów łatwopalnych z pomieszczenia serwerowni. System detekcji powinien obejmować czujki dymu o wysokiej czułości, najlepiej typu zasysającego VESDA, czujki temperatury oraz system wczesnego ostrzegania zintegrowany z monitoringiem. Automatyczny system gaśniczy powinien wykorzystywać gazy czyste, takie jak FM-200 lub Novec 1230, które nie uszkadzają elektroniki. Dodatkowo serwerownia powinna posiadać system kontroli dostępu ograniczający wejście tylko do upoważnionego personelu, monitoring wizyjny oraz odpowiednią konstrukcję budowlaną z materiałów ognioodpornych. Regularne szkolenia personelu z zakresu postępowania na wypadek pożaru oraz testy systemów gaśniczych są równie ważne jak sama infrastruktura ochronna.
Użycie gaśnicy proszkowej na sprzęcie elektronicznym ma katastrofalne konsekwencje dla urządzeń. Proszek gaśniczy, najczęściej na bazie fosforanu amonu lub wodorowęglanu sodu, wnika we wszystkie otwory wentylacyjne, szczeliny i złącza urządzeń elektronicznych. Po osadzeniu się na komponentach proszek absorbuje wilgoć z powietrza, tworząc substancję korozyjną, która systematycznie niszczy obwody drukowane, złącza i elementy elektroniczne. Nawet jeśli urządzenia działają bezpośrednio po użyciu gaśnicy, korozja postępuje w czasie i może prowadzić do awarii w ciągu dni lub tygodni. Czyszczenie sprzętu z proszku gaśniczego jest niezwykle trudne i kosztowne, a w wielu przypadkach niemożliwe do przeprowadzenia w sposób gwarantujący pełną sprawność urządzeń. Drobiny proszku mogą również powodować zwarcia elektryczne i przegrzewanie się komponentów przez blokowanie wentylacji. Koszty wymiany uszkodzonego sprzętu serwerowego wielokrotnie przewyższają koszt zainstalowania odpowiedniego systemu gaśniczego.
Profesjonalny system gaśniczy w serwerowni składa się z kilku zintegrowanych elementów. Sercem systemu jest centrala sygnalizacji pożarowej, która zbiera informacje z czujek i steruje procesem gaszenia. Czujki dymu zasysające typu VESDA wykrywają dym na bardzo wczesnym etapie, jeszcze zanim stanie się widoczny gołym okiem. Po wykryciu zagrożenia system uruchamia alarm ostrzegawczy, dając personelowi czas na ewakuację. Następnie po upływie ustalonego czasu opóźnienia automatycznie uwalnia gaz gaśniczy z butli ciśnieniowych rozmieszczonych w pomieszczeniu lub obok niego. Gaz FM-200 lub Novec 1230 wypełnia pomieszczenie w ciągu kilku sekund, obniżając stężenie tlenu poniżej poziomu podtrzymującego spalanie. System powinien być wyposażony w sygnalizatory optyczne i akustyczne, klapy odcinające wentylację oraz blokady drzwi. Regularne przeglądy i testy systemu, zgodnie z normami PN-EN i lokalnymi przepisami przeciwpożarowymi, są obowiązkowe minimum raz w roku.
