Pas på med cloud-leverandørerne: Du kan miste data og blive lænket fast

Ja, det var også min tanke - at det ikke er en stor leverandør, men i stedet noget perifært side-gade cloud. Hvis Salesforce, Google, Amazon eller Microsoft "...har mistet vitale data " ville vi ha' opdaget det eller hørt om det.

I øvrigt er den 'nye' vejledning der linkes til I artiklen fra 2014 og tjeklisten I dokumentet, er I bedste fald meget misvisende.

Forhold til substansen og vælg din leverandør med omhu ---

vordan gik det egentlig med den sky?

Flere og flere såvel danske som internationale virksomheder har de seneste ti år i stigende omfang set fordelene ved den kraftigt voksende vifte af cloud-baserede tjenester. Derfor må det være på sin plads at få konsolideret nogle af de erfaringer, som er gjort i mere eller mindre formelle evalueringer – hvad enten disse er sket i specifik rapportering eller i mere uformelle rammer i såvel it-afdelingen som på ledelsesgangene rundt omkring i Danmark.

Det er tid til at stille og derefter forsøge at besvare nogle af de åbenlyse spørgsmål:

Forstod vi konsekvensen af vores beslutning? Hvad har vi lært? Var den sky dybest set noget for os? Opnåede vi det, vi gerne ville? Cloud-computing er i sin bredeste forstand et forstyrrende element i den velkendte it-verden, fordi den på mange afgørende måder har ændret vores handlerum, kompetencekrav, leverandørstyring mv.

Det skelsættende ved at gå i skyen er først nu ved at gå op for rigtigt mange interessenter på både bruger-, leverandør- og it-niveau. Dette gælder for den basale serviceleverance såvel som for de mere udfordrende og komplekse vinkler på cloud-serviceleverancen.

Nogle af de væsentlige omdrejningspunkter, som bør vendes er:

Nyt kontrolparadigme Den interne kontrol vil potentielt blive minimeret, men gør det nødvendigvis noget, hvis dem, der overtager kontrollen er bedre til det end os?

Kompetenceudfordringen Vi må se i øjnene, at mange af vores nuværende it-kompetencer skal opgraderes eller suppleres med folk med specifik erfaring, uddannelse og viden om leverandørstyring, serviceleverance-verificering mv.

IT-management på den nye måde Service-delivery-management bliver sandsynligvis ”det nye sort” i stedet for tekniske eksperter med ”fingrene nede i suppen”. Det er leverandørens ansvar. Hvor meget skal vi selv håndtere, og hvad har vi ladet vores ”trusted cloud partner” tage sig af?

Ændring i exit-strategi Lad os være realistiske: Ikke alle forhold varer evigt. Fik I tjekket mulighederne for at fortryde, inden I satte pennen på papiret?

It-indkøb – fra papkasser til it-procurement Det stiller helt nye krav til it-indkøb og -sourcing, når vi nu køber ”as-a-service” i stedet for at købe jern til serverrummet.

Sikkerheden genovervejes Der skal opbygges og udvikles en forståelse for, at man er nødt til at spille en aktiv og afgørende rolle i beskyttelsen af sine data, og hvordan disse tilgås i rammerne af en dokumenteret relation med cloud-udbyderen. Kunne det tænkes, at sikkerheden faktisk er bedre sikret hos cloud-leverandøren end hos jer selv?

Du glemte vist at skrive 'REKLAME' før du linkede :) Bortset fra det virker det linkede OK balanceret uden for meget 'dette er helt nyt, glem alt hvad du ellers kan'

https://www.pwc.dk/da/artikler/2016/01/hvordan-gik-det-egentlig-med-den-sky.html

Kan det skyldes lidt panik over manglende jobsikkerhed? Der er en Dilbert til det; https://dilbert.com/strip/2002-06-08 . Maaske Skyen netop er opfundet for at brugerne kan undgaa at forholde sig til de dyre sure gamle IT-maend...

https://www.version2.dk/artikel/slagtilbud-i-norge-halv-pris-paa-flytte-hele-it-afdelingen-ud-til-servicepartner-591962#comment-326629

Du kan nu ikke ansætte mange It ansvarlige til at stå for drift 24/7 for 800,- kr om måneden.

Men du bruger måske også stadig Gyldendals Leksikon og de røde, i stedet for google :-)

Er Amazon også svindler ?

Du kan få ubegrænset plads for $59.99 om året. Og det ser ud til at de mener det, ikke som Microsoft som render af pladsen. Det kan man ikke holde meget backup og stores for.

Samme her. Hverken Azure (Microsoft) eller AWS (Amazon) eller Google eller IBM er mig bekendt gået konkurs. Mystisk artikel der vist forveksler lokale driftscentre med et par VMware servere i "sky formation" med cloud....

I rigtig mange standard kontrakt til cloud-levereandørene, er det faktisk dig der står for ansvaret hvis noget sker med dine data i skyen, og de ikke er ansvarlig for noget som helst. Det undre mig at firmaer ligger deres data i de skyer, men det gør de og i stor stil.... Tror ikke novo nordisk ligger deres seneste forskning op i nogen sky..... Af oplagte grunde

I rigtig mange standard kontrakt til cloud-levereandørene, er det faktisk dig der står for ansvaret hvis noget sker med dine data i skyen, og de ikke er ansvarlig for noget som helst. Det undre mig at firmaer ligger deres data i de skyer, men det gør de og i stor stil.... Tror ikke novo nordisk ligger deres seneste forskning op i nogen sky..... Af oplagte grunde

Man skal sidder hårdt på sine data.

Pointen er, at hvor data er placeret er en procentdel (og den er ikke så stor som artiklen forsøger at gøre den) af den samlede sikkerhed. Der er mange andre faktorer der spiller ind.

Der var een der nævnte at det kun koster strøm og løn til ham der kigger efter serveren - han har ikke helt forstået problemstillingerne omkring sikker og stabil drift af IT.

Og så har outsourcing eksisteret ligeså længe, som menneskeslægten: konger har outsourcet deres krigsindsatser til lejetropper med den mindre risiko, at de vendte ham ryggen, hvis det blev opportunt.</p>
<p>Og I kan sikkert grave i jeres historiske viden og finde ganske mange andre fine eksempler på outsourcing. Hvis I eller kan finde skovlen.

Dog er eksemplet måske ikke helt dumt, hvis man betragter sky-firmaet som lejesoldat: hvad mon der skal betales for din konkurrent kan købe sig til dine data under hånden? Spør' bare...

Det hjælper ikke stort at der er en fysisk adresse og et hovedkvarter. Man kunne i mange år besøge IT-Factory og direktøren var en kendt, venlig mand fra erhverspressen, der hyldede ham.

Man skal sidder hårdt på sine data.

Den artikel giver jeg ikke megt for. Den fortæller noget de fleste har vidst i årevis, og så peger den på Cloud-løsninger, som om dette var en specifik attribut ved Cloud-løsninger - lad os lige slå fast at det er det ikke. Om data (eller løsninger) ligger hos en Cloud leverandør (AWS, Google, Azure eller lignende), eller en out-sourcing leverandør (i ved hvem de er, det er de her dyre "datacentre" med oldnordisk teknologi), eller de ligger internt, så gælder de samme regler: Backup, Restore (recovery) øvelser, Disaster afprøvninger osv. Der er en grund til at der afholdes brandøvelser - doh!

At lave dokumenter med aftaler der placerer ansvar er fint, men de er inderligt ligegyldige, når det brænder på, for data kommer ikke tilbage - måske får man en økonomisk kompensation, men det er vel ikke lige den, man i første omgang er ude efter.

At drifte/udvikle internt er umoderne og i mange sammenhænge umodent (ikke altid - f.eks. hvis man er en teknologivirksomhed kan det give mening). Men køb nu profesionelle ydelser - leveret af folk som har dette som speciale. Man beder heller ikke medarbejderne om at gøre rent, den service køber man. Hvis man vil spare penge på drift, er der mange veje at gå - så køb nogle der kan rådgive, og har erfaring med de forskellige typer drift - lad være med at invitere en driftsleverandør, for han har kun sine egne produkter på hylderne.

AWS er en god, og meget stabil løsning, og har en større oppetid og driftsstabilitet end de fleste danske driftsleverandører, og alt (måske lige med undtagelse af Glacier) er gennemsigtigt - men det tager tid at sætte sig ind i hvad den bedste løsning er for et konkret problem, så få noget hjælp, af nogen der har en masse erfaring hermed.

At Azure, Google og AWS, Apple skulle gå konkurs, har jeg ret svært ved at forestille mig vil gå så hurtigt at man ikke kan få sine data ud i tide. Men de kan jo også sættes til at sende diske med data med posten, så man kan lukke den inde i et pengeskab, skulle man synes det er en god ide.

Nå da, Niels Jensen, der fik vi "skyforskrækkede" rigtigt nok en ordentlig kæberasler :-)

Jeg vil slet ikke argumentere med, dig - du har ret. Det er så et spørgsmål om personlige præferencer, der afgør, hvor man sætter grænsen. Et eller andet sted har selv du nok en, mon ikke?

Vi hos Keepit har lanceret en løsning, der tager backup af cloud løsninger som Office365 og Google, herunder nem mulighed for Point in Time restore (https://youtu.be/nQC4BJavG2s).

Mange tror desværre at backup er inkluderet i cloud løsninger, og derfor ikke et nødvendigt tilkøb. Vores undersøgelser viser dog at datasikring alene sker udfra leverandørens synspunkt og ikke slutbrugeren, som først opdager manglen når det er for sent. Og det er jo bekymrende.

Derfor vil vi meget gerne deltage i debatten og høre fra jer med forstand på dette område. Giver en løsning som Office365 tilstrækkelig beskyttelse af data eller er det kun os og de gamle dyder, der ser et behov for 3. part sikring af data, når den flyttes ud i skyen?

Det mest muntre ved denne ståhej om elektroniske midler - i artiklen "data" - så er alle jeres penge i skyen og har været det siden mønten blev opfundet og i elektronisk form siden Dankortet blev lanceret.

Hvordan var det lige finanskrisen raserede i vores bankkonti?

Hvad var det, der fik et brød i Tyskland til at koste 1 million D-mark før 2. Verdenskrig?

Hvem af jer sky-forskrækkede har set de penge, som I betaler i husleje? Eller, som I får 'udbetalt' på jeres lønkonto?

Og så har outsourcing eksisteret ligeså længe, som menneskeslægten: konger har outsourcet deres krigsindsatser til lejetropper med den mindre risiko, at de vendte ham ryggen, hvis det blev opportunt.

Og I kan sikkert grave i jeres historiske viden og finde ganske mange andre fine eksempler på outsourcing. Hvis I eller kan finde skovlen.

I har fat i en pointe: der er en risiko ved at bevæge sig ud blandt andre mennesker og få assistance af dem; både med at bage brød og understøtte jeres elektroniske gøren og laden - som nu f.eks. her på Version2.

Jeg er for så vidt enig i præmissen omkring funding ikke altid er godt, det kommer helt an på hvordan den underliggende forretning køre.

Personligt bruger vi AWS til vores hosting, og har rigtig gode erfaringer. Amazon har rigtig mange gode værktøjer til at holde deres systemer kørende, samt store kunder til at underbygge forretningen. Og når man ser deres regnskaber igennem, køre det godt for dem, så jeg er ikke i tvivl om de også findes i morgen, og næste år :-)

Men det er noget med at sammenholde behov kontra udbud, for vores vedkommende (vi hoster en række web API'er til mobil apps), er amazon en lækker teknologi at benytte, f.eks. Auto-scale på webservere m.v.

Så jo man skal passe på med at skifte til en cloud udbyder, men vælger man de lidt større udbydere, falder risikoen ved de pludselig lukker ned. Vi har ihvertfald so far ikke haft problemer med Amazon, og alle vores systemer køre på tværs af 2-3 datacentre pt.

Udover det har Amazon API'er til alt, så man kan rigtig nemt automatisere meget af den daglige drift :-) - Og så har de virkelig kapaciteten til at underbygge alt fra små startups til de helt store.

Og mht. Kontakt, så for vores vedkommende har vi en AccountManager tilknyttet, hvor vi både har telefon nummer/email, ofte er svar på email 1-3 timer, og skal en tekniker ind over til at svare på nogle spørgsmål, er der ofte under en dags svartid på denne

Tab af data eller leverandører, der går konkurs, er eksempler på de problemer som kan ramme virksomheder, som outsourcer data-opgaver til cloud-leverandører. Hvis virksomhederne ikke tager deres forholdsregler, kan oplevelsen blive alt andet end billigere og bedre end den interne løsning, advarer eksperter.

Som alle andre, der arbejder professionelt med outsourcing ved, gælder dette i høj grad også for on-shore non-cloud outsourcing. Den samme kommentar kan man knytte til andre af artiklens obervationer.

Men selvfølgelig, hvis man bare smider sine data ud til en outsourcing leverandør uden at sikre ordentlige aftaler og backups kan det gå galt. Cloud eller ej - Hvis man går over gaden uden at se sig for kan det også gå galt. - Der er i min erfaring stort set ingen IT afdelinger, der optræder så uforsigtig som i citatet fra artiklen, men det er da fint at sætte lys på risikoen.

De IT afdelinger jeg arbejder med er i reglen godt oplyst om risici ved Cloudsourcing og anden outsourcing og normalt sikrer man sig fornuftig IT-teknisk og juridisk bistand såsnart man går forbi POC stadiet - uanset om man ser på traditional outsourcing, Cloud baseret outsourcing eller en kombination.

Der hvor det bliver rigtig svært for IT-afdelingen er sjældent i et styret outsourcing forløb, men snarere når man i forretningen, uden om IT, har købt Cloudløsninger som man gradvist er blevet kritisk afhængig af inklusive de data denne opbevarer og håndterer. Så kan man, som IT-chef risikerer at ende med et ansvar for IT understøttelse af forretningen, som kan været blevet ret udfordrende at røgte såvel løsnings- og aftalemæssig.

Meget bedre at købe en 'pakke' så man kan pege på et stykke papir, der klart beskriver man ikke har ansvaret

"Version2 er blandt andet bekendt med en sag, hvor en virksomheden har mistet vitale data som følge af, at en større leverandør ikke havde opfyldt kravene for tilstrækkelige backups."

Jeg vil være super interesseret i hvilken stor leverandør det er?

Det er ikke tilstrækkeligt med uddannelse og erfaring, for personen kan sige op eller blive syg. Desuden er fysiske rammer væsentlige - det er lidt trist, hvis tyveknægten tager serveren med sig, hvis en hedebølge får serveren til at brænde sammen eller hvis internetudbyderen ikke mener, at oppetid er andet end en salgsparameter.</p>
<p>

/sarcasm

There is no spoon....

K

Ja, der ligger ham den ansatte jeg snakkede om der forhåbentligt har en god faglig uddannelse og / eller erhvervserfaring med området.

Med mindre man ønsker, at ens følsomme data er låst tilstrækkeligt godt inde og ikke bliver utilgængelige i samme øjeblik, serveren bryder sammen (backup er fint, men tager tid). Der ligger en del mere i hosting end strøm og drift af udstyret.

Christian: Jeg kan godt leve med, at man kan være fristet til at håne - det kan jeg da også selv :-) Det må bare ikke erstatte, at samfundet må sætte grænser for retten til at lade den kloge (læs skrupeløse) narre den mindre kloge (læs naive).

Men der er vi vist slet ikke uenige, når det kommer til stykket.

Selv går jeg langt uden om alt, hvad der har ordret "cloud" i sig. Det er alt for luftigt for mig, ikke kun mht. pris, men mht. funktion også. Jeg ville ikke har en chance for at vurdere, om prisen er realistisk - jeg har det bare skidt med selv at slippe kontrollen med mine data - ganske som du.

Men der er så, vidt jeg har forstået, en del cloudløsninger, som retter sig til private. Og der tror jeg, at de færreste kan gennemskue, hvad de siger ja til. Og desværre er det jo de færreste private amatører, der læser Version2 og bliver klogere, før det går galt.

Den eneste reelle udgift er strøm og IT gutten til at drifte udstyret

Det er bare ikke alle, der har forudsætningerne til at vurdere, hvornår noget lyder for godt til at være sandt.</p>
<p>

Og hvis de så insisterer, så vil jeg have håneretten når det går galt!

Nogen gange kan man altså spare det forkerte sted.

Jeg er tilbøjelig til at give Christian ret - jeg opfatter det også som et klart faresignal, når der ikke er fulde kontaktoplysninger på siden. Jeg spørger altid mig selv "Hvorfor"?

I mit eksempel ovenfor med bondefangeri var det netop tilfældet, at jeg ledte forgæves efter en kontaktadresse eller en email. Der var kun telefonnummer. Men hvis man gerne vil sikre sig dokumentation for, at man faktisk har gjort indsigelse, sådan som det altid er klogt at gøre, så hjælper et telefonnummer ikke meget.

Ok, Christian, så er vi ikke så uenige, som jeg lige frygtede :-)

Det er et godt motto, at hvis noget lyder for godt til at være sandt, så er det nok for godt til at være sandt. Det er bare ikke alle, der har forudsætningerne til at vurdere, hvornår noget lyder for godt til at være sandt.

Men jeg synes nu stadig, at mottoet "Den kloge narrer den mindre kloge" er alt for respekteret i samfundet nu om dage. At narre andre mennesker er aldrig i orden - heller ikke i forretningssammenhæng, og heller ikke selv om folk selv har dummet sig.

Tag f.eks. firmaer som Europark - deres forretningsmodel er baseret på at folk dummer sig. Jeg ville ikke kunne se mig selv i spejlet hver morgen, hvis det var det der var basis for min indtjening.

Men man kan så også selv gøre noget for at plattenslagerne ikke kan slippe af sted med det, herunder at være skeptisk hvis man får tilbudt noget som er for billigt.

Og i det spil vil jeg hellere selv have styr på mine egne data.

Min procedure er at lave lidt research omkring firmaet, det virker for det meste fint. I Digital Ocean tilfælde har jeg brugt dem et års tid, og de har fået adskillige millioner i funding, så de lukker formentlig ikke bare i morgen. Man man kan aldrig vide :)

Og man aner ikke om Digital Ocean eksisterer i morgen - at de har fået mange penge i funding er i min optik ikke nødvendigvis nogen garanti, men mere at ledelsen/ejeren er godt til at sælge varm luft, og besnakke investorer.

Vi har lidt for mange gange set superfundede firmaer kollapse, eftersom det hele var en ren illusion.

Og hvad Google gør i den sammenhæng gør ikke nødvendigvis sagen bedre - og så er det faktisk sådan, at der eksempelvis her i landet er krav om at et firmas CVR oplysninger skal fremgå på hjemmesiden.

Jeg vil i hvert fald klart foretrække at jeg selv kan se om lysdioden er tændt.

Christian Nobel:

Ja, hvis det er sådan, det skal forstås, så er det selvfølgelig noget andet end mit ældre familiemedlem. Men jeg synes nu stadig, at mottoet "Den kloge narrer den mindre kloge" er alt for respekteret i samfundet nu om dage. At narre andre mennesker er aldrig i orden - heller ikke i forretningssammenhæng, og heller ikke selv om folk selv har dummet sig.

Så jeg kan ikke følge dig der. Man er ikke klog, fordi man narrer andre mennesker - man er skrupelløs, og det er noget helt andet.

Det er mere i det tilfælde, at hvis noget lyder "for godt til at være sandt", eller prisen faktisk er urealistisk lav, så bør alarmklokkerne ringe.

Og hvis man f.eks. lægger hele sit firmas data på en skysovsservice til 15 kr om måneden, så er man imo direkte dum.

Jeg er så gammeldags, at jeg simpelthen ikke stoler på et firma der ikke tør stå ved dets eksistens, herunder at have en fysisk kontaktadresse og et telefonnummer.

Hvis jeg skulle satse internationalt, kunne jeg sikkert finde på samme prioritering.

Min procedure er at lave lidt research omkring firmaet, det virker for det meste fint. I Digital Ocean tilfælde har jeg brugt dem et års tid, og de har fået adskillige millioner i funding, så de lukker formentlig ikke bare i morgen. Man man kan aldrig vide :)

Man kan kun trække på skuldrene af de der piber over at have mistet deres vitale data hos en såkaldt 'sky-leverandør'. De kloge narrer jo de mindre kloge.

Mener du virkeligt det, Peter Jensen (og I andre med "thumps up" til Peters kommentar)?

Et ældre familiemedlem er netop blevet narret til at opgive sit kortnummer som led i bestilling af et abonnement på en slægtsforskningsside - lokket af 14 dages fortrydelsestid (hans første netkøb nogensinde). Da formularen var afsendt, forsvandt muligheden for at afbestille. Han modtog intet på sin mail, og glemte sagen, da han så gik ud fra, at bestillingen ikke var gået igennem.

Indtil hans bankudtog afslørede, at der var trukket 1000 kr. (mange penge for en pensionist uden formue)! Lidt googling fra min side afslørede en del historier om dette foretagende, som vist ikke altid er let at vriste sig ud af igen - de bliver ved med at trække på kortet. Heldigvis fik familiemedlemmet god hjælp i sin bank, som fluks har udstedt nyt betalingskort og indgivet anmodning om tilbagebetaling.

Familiemedlemmet er skam en klog mand, der bare har brugt sit liv på at lære andre ting, end at begå sig på internettet - han er klog på både sit håndværk og livet.

Så jeg kan ikke følge dig der. Man er ikke klog, fordi man narrer andre mennesker - man er skrupelløs, og det er noget helt andet.

Den slags bør samfundet gribe ind overfor.

Og man skal faktisk ikke være tosset stor, før det kan svare sig at have en server eller to stående med lidt backup.
Den eneste reelle udgift er strøm og IT gutten til at drifte udstyret, hvis det skal være billigt kan det hele køres på Linux / BSD.
Hardware gider jeg ikke engang nævne, priserne er så lave i dag at det er nærmest irrelevant når det spredes ud over 3-5år.

Tag nu sådan noget som DigitalOcean.

Konceptet ser for den sags skyld spændende nok ud, men man skal virkelig lede længe på deres hjemmeside for at finde noget der bare ligner en fysisk adresse.

Jeg er så gammeldags, at jeg simpelthen ikke stoler på et firma der ikke tør stå ved dets eksistens, herunder at have en fysisk kontaktadresse og et telefonnummer.

Internettet er taknemmeligt, og derfor ved man jo ikke om en hjemmeside som praler med alle de mange medarbejdere og de fantastiske produkter, i virkeligheden er andet end varm luft.

Her er hvad jeg skrev for snart tre år siden: https://www.version2.dk/blog/giver-skyen-regnvejr-51311

Og man skal faktisk ikke være tosset stor, før det kan svare sig at have en server eller to stående med lidt backup. Den eneste reelle udgift er strøm og IT gutten til at drifte udstyret, hvis det skal være billigt kan det hele køres på Linux / BSD. Hardware gider jeg ikke engang nævne, priserne er så lave i dag at det er nærmest irrelevant når det spredes ud over 3-5år.

Kun andre menneskers computere.

Bruger man andre menneskers computere, så har man ingen reel kontrol over sine data. Det burde være logik for enhver.

Man kan kun trække på skuldrene af de der piber over at have mistet deres vitale data hos en såkaldt 'sky-leverandør'. De kloge narrer jo de mindre kloge.