De brand bij het NorthC-datacenter te Almere woedt de gehele dag. Er was hinder bij onder meer de Kamer van Koophandel, openbaar vervoerder Transdev en verschillende huisartsenposten. De Universiteit Utrecht blijft op vrijdag zelfs gesloten door de gevolgen van de uitval in het datacenter. Hoe kon een enkele NorthC-locatie gelden als een single point of failure voor deze organisaties? Moeten we nu eenmaal concluderen dat cyberweerbaarheid haar grenzen kent? En wat zullen de gevolgen zijn van de nu al beruchte brand?
Het goede nieuws eerst: de fysieke evacuatie van de datacenterlocatie verliep volgens plan. Er zijn geen slachtoffers van de brand, enkel gedupeerde organisaties. Ook lijkt de conclusie te zijn dat er geen giftige stoffen zijn vrijgekomen, zij het onder enig voorbehoud. De brand is namelijk weliswaar onder controle, maar nog niet geblust op moment van schrijven.
Het NorthC-verhaal
Een korte reconstructie van wat we tot nu toe weten over de brand zelf. Aan de Rondebeltweg in Almere, naast de A6, brak rond 8:45 donderdagmorgen een brand uit aan de achterkant van het NorthC-datacenter aldaar. De brand lijkt beperkt te zijn gebleven tot de achterzijde, waar in de woorden van NorthC “technische faciliteiten” staan. NorthC start een onderzoek naar de precieze oorzaak, maar we weten al iets over wat zich exact op de brandlocatie bevindt. De inzet vanuit Lelystad Airport en Schiphol was nodig om een dieseltank preventief te koelen. Deze tank wordt normaliter enkel gebruikt als noodvoorziening.
Een deel van de stroomvoorziening staat in brand. De hoofdzakelijke IT-apparatuur bevindt zich in het hoofdgebouw, met een strikte scheiding tussen de servers en ondersteunende hardware. De brandweer beval NorthC om de stroom af te sluiten. Zo blijkt dat zelfs meerdere back-ups voor de stroomvoorziening geen garantie zijn dat een beperkte brand ook even beperkte gevolgen heeft.
We hopen bovenal dat NorthC de oorzaak van de brand kan ontdekken zodra deze geblust is. Voor datacenter-operators wereldwijd is een incident als dit altijd leerzaam. Denk aan het waterlek in 2023 dat een brand veroorzaakte in een Frans Google Cloud-datacenter, overigens door het falen van hardware die niet door de hyperscaler zelf was beheerd in de faciliteit. Onverwachte problemen stapelden zich destijds op, zoals een tekort aan water binnen de faciliteit om het vuur te doven, afgezien van softwareproblemen en daarmee slechte of geen bereikbaarheid voor Google Cloud-klanten.
Certificering-beperkingen
Terug naar Almere. Wie een blik werpt op de certificeringen en standaarden waar NorthC zich op deze locatie aan houdt, zal daar gauw positief van worden. ISO 27001, 9001, 14001 en 22301 gaan gepaard met onder meer biometrisch toegangsbeheer, videosurveillance en 24/7 monitoring vanuit NorthC. De praktijktoets laat zien dat al deze zaken geen uitval voorkomen. Zonder te spreken van het formeel “schenden” van de genoemde certificeringen en standaarden, kunnen we wel concluderen dat de uitval de bedrijfscontinuïteit voor verschillende partijen in het geding bracht.
Een afgebakend compartiment lijkt te zijn getroffen, maar schijn kan bedriegen. Het is mogelijk dat de schade verder reikt dan wat van buiten te zien is. De beschikbaarheid is daarnaast ‘slechts’ gedeeltelijk weggevallen. Desondanks laat de werkelijkheid zien dat kritieke systemen wel degelijk volledig uitvielen, met de brand als schijnbaar directe of indirecte oorzaak. Let wel: bij dergelijke incidenten kunnen bepaalde storingen gerelateerd lijken aan een probleem elders, zonder dat dit per se zo is. Toch zijn de problemen dermate ongewoon en breed verdeeld dat er zeker causale verbanden tussen zitten.
De eerste les van de NorthC-brand is al wel bekend: ga er niet vanuit dat het tekenen van een contract met een ISO-gecertificeerde partij garanties biedt op bedrijfscontinuïteit. Ook een act of God, zoals we de brand onder voorbehoud even karakteriseren zonder het forensisch onderzoek, is geen excuus. Een datacenter kan uitvallen om wat voor reden dan ook, of deze nu in het Midden-Oosten staat, een aardbevingsgebied of in Flevoland.
Talloze ‘kleine rampen’
NorthC zelf draait momenteel overuren. Een vlugge telling op de eigen site levert 27 datacenterlocaties op, waarvan er 14 in Nederland staan. Waar mogelijk zullen deze andere locaties extra workloads draaien; sommige klanten gebruiken meerdere faciliteiten, veelal met het specifieke idee om niet afhankelijk te zijn van één locatie. Precies dit incident zal die beslissing zich laten terugbetalen. Maar wie ook bij een andere operator of in eigen huis IT-infrastructuur draait, is niet zomaar gevrijwaard van de gevolgen van de brand.
De impact bij klanten is even gevarieerd als verbazingwekkend. Het meest in het oog springende voorbeeld is de Universiteit Utrecht (UU). Het zal vrijdag haar deuren gesloten houden; ook op zaterdag en zondag blijven de universiteitsbibliotheken gesloten. Het netwerk, de applicaties en de website ervaren problemen, aldus het NRC. Frappanter, of eigenlijk stuitender, is de uitval van de toegangspassen, waardoor kantoren en studieruimtes ontoegankelijk werden. Op bepaalde locaties waren zelfs de mindervalidentoiletten gesloten. De UU impliceert wel enige redundantie in hun berichtgeving aan medewerkers. Het ontmoedigt UU-personeel om “onnodig” opnieuw een inlogpoging te wagen, want “op deze manier helpen we de druk op de systemen zoveel mogelijk te beperken terwijl gewerkt wordt aan herstel.”
De UU was verre van de enige gedupeerde. Hoewel openbaar vervoerder in de provincie Utrecht Transdev de problemen inmiddels verholpen heeft, kampte het met een beperkte communicatie tussen de buschauffeurs en de meldkamer. Bij noodgevallen konden chauffeurs nog wel bellen naar het alarmnummer. Daarnaast werkte de noodknop in de bussen niet (!), wat verraadt dat in ieder geval één kritiek systeem simpelweg kan uitvallen door een probleem bij een leverancier.
Soms is niet helemaal duidelijk of de NorthC-brand een gemelde storing veroorzaakte. Zo stelde de Kamer van Koophandel (KvK) dat ‘een storing in het datacenter’ de dienstverlening onderbrak, maar later verwijderde het die zin. Andere getroffen partijen waren onder meer het Centraal Bureau voor de Statistiek (CBS), medisch factureringsbedrijf Infomedics en leden van SURF.
Een tegenvoorbeeld is er zeker. Het Flevoziekenhuis te Almere meldde trots dat de NorthC-brand de patiëntenzorg niet belemmerde: “Het Flevoziekenhuis werkt bewust met meerdere datacenters. Dit maakt dat er geen gevolgen zijn voor de patiëntenzorg.” Zo kan het dus ook.
De zoveelste wake-up call
Storingen zijn geen oefeningen. Vanaf een bepaalde schaal leggen ze vrijwel altijd tekortkomingen bloot die zelfs met uitvoerige red teaming en back-uptests verscholen bleven. Ook zijn zelfs de meest beruchte incidenten niet helemaal wat ze lijken. Denk aan het feit dat securityspeler CrowdStrike 13 jaar lang grotendeels probleemloos haar oplossing op een fragiele manier updatete, maar op 19 juli 2024 daar pas de gevolgen van ondervond. Of denk aan zeer publieke aanvalsgroepen die een groot bedrijf op exact dezelfde, al eerder wereldwijd bekende wijze te grazen nemen (ShinyHunters had al honderden slachtoffers geclaimd sinds september 2025 via een Salesforce-lek tot ze Odido dit jaar beroofden van miljoenen persoonsgegevens).
Het punt is dat de theorie en de kennis geen garanties bieden voor de praktijk, die altijd wispelturig is. Had NorthC er rekening mee gehouden dat de brandweer een volledige afsluiting van de stroomvoorziening zou eisen voor een brand in een enkel compartiment? Wisten klanten van NorthC dat hun eigen systemen plat te leggen waren via deze enkele schakel? Waren hun back-upsystemen niet adequaat, of duurde het te lang om ze te implementeren?
Hoe dan ook is de NorthC-brand de zoveelste wake-up call voor organisaties dat afhankelijkheid funest is. Onder de getroffen klanten zullen partijen zitten die wisten dat een uitval als deze kon plaatsvinden, en dat risico accepteerden. Die concessie kan nu eenmaal praktisch noodzakelijk zijn. Maar we durven de gok te wagen dat vele gedupeerden de precieze gevolgen niet zagen aankomen, of dat enkel bepaalde technische medewerkers dit hadden geanticipeerd (en er wellicht voor hadden gewaarschuwd?).
We kennen de specifieke voorbeelden niet van binnenuit, maar weten dat CIO’s, CISO’s, securitypersoneel, IT-support en andere medewerkers meermaals soortgelijke incidenten van mijlenver zien aankomen. Wie nu getroffen is of niet, kennis over de technische werking van de eigen systemen is vereist tot op het hoogste bedrijfsniveau. Alleen al een overzicht van de afhankelijkheden en de risicobepaling daaromtrent kan voldoende zijn voor een CEO of IT-beslisser. Wie niet over die kennis beschikt, moet zich laten informeren, of dat nu via interne of externe mensen is.