作者: 刘远 ,
达信亚洲区通讯、媒体和高科技业务负责人
2023年5月9日
根据预计,2023至2028年,亚太数据中心市场将保持12%的复合年增长率,到2028年达到535.8亿美元。1 新加坡和中国香港作为亚洲前两大市场,将继续占据领先地位,在建容量分别达到173兆瓦和79兆瓦。2 同时,日本、印尼和越南不断加强与海底电缆网络的连接,从而推动数据中心市场不断发展壮大。
在亚洲数据中心增长趋势的背后,是数据中心价值链(如数据中心开发商、运营商和租户)必须面对的相互关联、不断演变的风险格局。
业主是数据中心价值链的开端,他们出租场地和空间,并提供网络容量和电力以及降低服务器温度的冷却设备。他们必须确保场地和空间的结构符合某些规范和监管标准,其中可能包括最低电能使用效率(PUE)评级。然后是数据中心运营商,如云供应商或电信公司,他们作为租户,租赁场地和空间、安装IT设备并负责数据中心设施的日常运营管理。
与此同时,主要科技公司、电信服务商以及国际云服务商正在采取一种打破传统价值链的企业建设-自有-运营模式。这种模式使他们能够强有力的控制和简化建设过程,并确保其数据中心运营的安全和性能。还有少数亚洲开发商通过房地产投资信托基金(REITs)采取各种模式来管理数据中心。
鉴于数据中心价值链的互联性,妥善实施业务连续性和责任风险管理以及购买保险势在必行。
数据中心是一种任务关键型设施,需要具备高可用性。每个数据中心通常按其基础设施能力分为四级(一至四级)。四级数据中心(容错率最低的一级)的开发商、运营商和租户需要强大、一流的风险缓释和转移解决方案,以确保他们在数据中心的整个生命周期(规划、设计、建设、运营和评估)内免受重大损失。
数据中心管理:风险和解决方案矩阵图表
在建设阶段,几乎所有合同都与项目业主和承包商的建工一切险(CAR)和第三方责任险(TPL)有关,而包括私募股权公司在内的无追索权项目出资方,希望由筹集资金的一方来购买建工一切险和延迟完工险,以缓释因项目工程物理损坏导致项目延迟从而带来的财务风险。
特别是,延迟完工保险的投保金额需要仔细评估,以合理确定保险范围,因为已完工数据中心的收入流可能是即时和巨大的,这意味着任何延迟都将带来巨大的代价。与此同时,过度投保延迟完工险非但不必要,还将产生高额的保费成本,未来的运营模式 - 租赁、托管或其它,也都需要考虑在内。
在投标数据中心项目时,承包商必须特别注意其合同责任风险,并需要提供详细信息,包括其进行风险分析所使用的方法,以满足严格的投标要求。承包商必须对数据中心设计和建设阶段所面临的额外挑战展现出良好的认识和规划,并清楚了解亚洲以外(如美国)项目方的建工合同所具有的不同之处。
单击下列各关键风险标题,进一步了解各种风险及相关保险事项。
亚洲某些类型的数据中心具有独特的物理风险:新加坡和中国香港等城市市场大多采用高层设施,多为五至七层,与美国和欧洲占地面积大的低层数据中心相比,这些“垂直”型数据中心需要额外的气流和冷却,同时也会因热浪和火灾而面临着较高的物质损失风险,此类风险可通过风险工程加以缓释。
在很多情况下,对电力的高需求也意味着一些数据中心设施别无选择,只能选址在自然灾害高发的地区。尽管物理气候风险建模和风险工程是缓释台风、热浪和洪水等恶劣天气事件影响的重要解决方案,但全球数字基础设施权威机构(Uptime Institute)于2020年对数据中心运营商进行的一项调查发现,36%的运营商尚未对数据中心所面临的气候变化风险进行正式评估。3 该调查强调,数据中心必须拥有更加强有力的风险管理和业务连续性规划。
在承保针对物理风险的财产和责任保险之前,保险公司会要求进行风险查勘,以检查之前的损失后建议(如有)是否得到了执行,以及保险估值是否得到了更新并保持准确状态。
针对数据中心的各种风险保险,保险公司通常会审查被保险人是否拥有有效的网络安全战略。该战略应反映被保险人拥有强有力的网络风险管理、持续的改进行动以及对人员、流程和技术的全面关注。
数据中心的业主和运营商还必须知晓他们的法定、合同或隐含义务,以保护数据免受未经授权的访问或披露,在HIPAA、GLBA、FISMA和GDPR等监管框架内运营,遵守PCI DSS等行业标准,并在数据备份和恢复方面不断实践最佳做法,以防止数据泄露和客户数据丢失。
要抵御网络风险,首先应进行网络风险自我评估,这可以帮助数据中心的利益相关方准确评估其当前的网络准备水平和整体网络成熟度。然后,相关方可以根据评估报告提供的见解,改善其网络安全状况,并根据达信资深风险顾问的建议,采取正确的措施,投保适当的网络风险以及必要的董责险。
尽管在亚洲,数据中心发生物理安全风险事件的可能性很小,但开发商和运营商应确保其基础设施具备抵御蓄意破坏的能力。在一些国家,例如新加坡,金融管理局(MAS)建议运营商在其技术风险管理指南项下开展风险和漏洞评估(TVRA),以识别数据中心的潜在安全威胁和运营薄弱环节,并确定应建立的保护级别和类型,纳入数据中心稳健运营管理之中。4 此外,负责托管新加坡政府数据的数据中心可能会受到《新加坡基础设施保护法》的约束,并接受新加坡警察部队的设计安全流程审查。
强烈建议那些打算托管其他安全敏感客户的数据中心的业主和运营商采纳这些好的做法,并将其作为增值之举。
举例来说,物理安全风险包括盗窃、使用简易爆炸装置的恐怖袭击以及因未经授权进入而引发的纵火、外部袭击和蓄意破坏。风险和漏洞评估(TVRA)应包括对数据中心建筑设施、内部设施以及周边和周围环境的审查。相关措施不仅限于改造和加强,例如安装防护围栏和屏障,还包括审查和改善网络卫生与控制,以确保网络攻击者无法获得访问权限,也不能远程“打开”数据中心的大门,从而无法对数据中心形成攻击。5
数据中心高耗能、高排放,特别是在温暖环境中需要更为密集的冷却,这可能给运营商履行绿色承诺和义务带来较大的挑战。事实上,根据Sunbird的一份报告显示,一个常规的数据中心中约有三分之一的服务器使用年限超过四年。这些老化的服务器消耗了数据中心65%的总能量,而只贡献了总性能的4%。6
目前,在新加坡,新建数据中心需要具备“一流的资源效率和脱碳”能力,其中包括电能使用效率(PUE)达到1.3或更高要求。开发商和运营商在与新供应商合作或为现有设施部署新型节能和冷却技术时,应考虑通过第三方责任和/或合同责任保险来降低风险。
由于越来越多的出资方和证券交易所要求被保险人履行气候相关财务信息披露工作组(TCFD)或自然相关财务信息披露工作组(TNFD)的报告要求,数据中心的利益相关方必须评估碳抵消的作用,将其作为环境、社会、治理(ESG)风险管理战略的一部分,并将ESG风险纳入企业风险管理战略中。
与其他房地产资产相比,数据中心面临着更大的第三方风险。数据中心运营商必须特别关注其第三方责任风险敞口,包括建工第三方责任、服务水平承诺和对客户的义务。对于意外中断可能使运营商面临客户损失索赔的情况,网络风险保险以及过失与疏忽(E&O)保险可以提供必要的保障。
获得第三方责任风险保险可能并非易事,风险顾问可以助您一臂之力,帮您规避保险保障缺口。特别是关于责任险保单中由被保险人照顾、托管或控制但属于他人的财产损失(CCC)除外条款,我们发现,合同条款、客户保险要求和各国法律都可能会影响保险人的责任水平。在此类情况下,可以使用商业综合责任保险和网络风险保险。
数据中心已成为许多行业业务运营中不可或缺的一部分。无论是自有还是租赁,数据中心都面临着复杂的营业中断和连带营业中断风险。
数据中心服务中断可能会给供应商或服务提供商带来直接收入损失/或有损失,除此之外还有损失事件后恢复运营可能需要的额外费用,包括额外的人工、加班和设备租赁费用,因此降低数据中心损失风险至关重要。
特别是,在新加坡、中国香港和东京等成熟数据中心市场以外的地区,预计随着5G渗透率的提高,对数据中心的需求也将增加。这些处于“边缘位置”的数据中心可能因人为错误而面临着更大的意外中断风险或问题。利益相关方可以利用风险咨询专业知识来准确量化这些风险,包括评估冗余容量利用能力,并寻求获取保险经纪专业知识,从而在向这些新兴市场扩张时获得合适的保险保障。
为了在通胀和币值波动的背景下获得充足的营业中断保险保障,那些正在进行新市场业务扩张或拥有跨国业务经营的数据中心开发商和业主还必须定期审查其资产估值和营业中断保险投保金额,以最大限度减少理赔时因保险不足而造成未投保损失的可能性。这需要与我们咨询部的估值服务和法务会计专家合作,他们拥有丰富的数据和经验,可以准确确定资产价值、营业中断保险投保金额和最大赔偿期,供您向保险公司申报使用。
资料来源
1 - Asia Pacific Data Centre Market Report 2023: Demand for High-Density Data Centers by Businesses is Augmenting Sector Growth. Research and Markets. (2023). https://www.globenewswire.com/news-release/2023/03/03/2620074/28124/en/Asia-Pacific-Data-Centre-Market-Report-2023-Demand-for-High-Density-Data-Centers-by-Businesses-is-Augmenting-Sector-Growth.html
2 - APAC Data Centre Update: H2 2022. Cushman & Wakefield (2022). https://www.cushmanwakefield.com/en/singapore/insights/apac-data-centre-update
3 - Extreme weather affects nearly half of data centers. Uptime Institute (2021). https://journal.uptimeinstitute.com/extreme-weather-affects-nearly-half-of-data-centers/
4 - Technology Risk Management Guidelines. Monetary Authority of Singapore (2021). https://www.mas.gov.sg/-/media/MAS/Regulations-and-Financial-Stability/Regulatory-and-Supervisory-Framework/Risk-Management/TRM-Guidelines-18-January-2021.pdf
5 - Hackers Scored Data Centre Logins for Some of the World’s Biggest Companies. Bloomberg (2023). https://www.bloomberg.com/news/features/2023-02-21/hackers-scored-corporate-giants-logins-for-asian-data-centers#xj4y7vzkg
6 - Top 40 Data Centre KPIs. Sunbird. (2020). https://www.sunbirddcim.com/ebooks/top-40-data-center-kpis