Bør vi have en national sky?

Afhængigheden af cloud-computing vokser i takt med behovet for en muskelsvulmende infrastruktur til at danne ramme om det gigantiske netværk. Derfor er der også behov for en debat om, hvorvidt det kun er udenlandske spillere, der skal løfte opgaven og høste frugten, eller om ikke der også bør oprettes en computersky i dansk regi.

IT-infrastruktur

Indtil slutningen af det 19. århundrede brugte mange fabrikker vandkraft til at drive deres maskiner. Energien kom fra en enkelt kilde (vandmøllen), som var forbundet til et komplekst system af tandhjul og trisser, der fordelte kraften til de enkelte maskiner.

Da de første elektriske generatorer blev tilgængelige, valgte de fleste fabrikker at bruge dem frem for vandmøllen til at drive det eksisterende system. Mere fremsynede fabrikanter forstod, at den store fordel ved elektricitet er, at det er let at distribuere, hvorfor der opstod store centrale el-kraftværker, der leverede billig elektricitet. Disse startede en kæde-reaktion, som gav os den moderne verden, vi kender i dag.

Den samme udvikling er ved at ske med computerkraft. Hidtil har hver virksomhed og borger haft deres egen "computergeneratorer", men de faldende priser på IT og Internettets allestedsnærværende natur medfører, at computerkraft er på vej til at blive en del af samfundets infrastruktur via verdensomspændende computerkraftværker.

Computerkraft bliver derfor at betragte som en infrastrukturkomponent på linje med jernbaner, elektricitet, telefon og vand.

Computerkraft leveret »fra et stik i væggen«, betegnes som cloud-computing, hvor betegnelsen cloud skyldes, at Internettet i illustrationer ofte afbildes som en sky.

I Danmark, og mange andre lande, som vi sammenligner os med, har man typisk reageret på behovet for infrastruktur ved at opbygge offentlige selskaber f.eks. DSB, KTAS, NESA og SAS. De sikrede, at samfundsgodet blev tilgængeligt for alle. Efterhånden som infrastrukturen er blevet fast forankret i samfundet, har kapitalismen fået friere adgang gennem privatiseringen af flere af disse offentlige selskaber. Stadig har man f.eks. ved mobillicenser bibeholdt en vis offentlig kontrol af infrastrukturen.

Det danske samfunds afhængighed af cloud-computing vil kun vokse, både fordi det nuværende Internets brugsmønster stiger konstant. Men også fordi det næste skridt i Internettets udvikling er en gradvis udvikling fra at være et netværk af indbyrdes forbundne computere til at være et netværk af indbyrdes forbundne ting (f.eks. bøger, biler, elektriske apparater og fødevarer) og dermed skabe et tingenes internet.

Sundhedsovervågningssystemer til det stigende antal ældre; internetforbundne træer som hjælp til at bekæmpe skovrydning; internetforbundne biler, som mindsker trafikkøer osv. Den indbyrdes forbindelse mellem fysiske ting vil kun *forstærke *den dybtgående virkning, som den storstilede kommunikation via nettet allerede har på samfundet.

De kommende leverandører af computerkraft i skyen til borgere, mindre virksomheder og ting, vil via Internettet kunne fordele sine investeringer i gigantiske computercentre ud over geografi, tidszoner og milliarder af brugere - derfor vil stordriftsfordele være en afgørende konkurrenceparameter. Det betyder, at der kun vil være få globale leverandører af computerkraft, hvorfor den kommende rygrad i det danske samfund vil være fuldstændig udenfor det danske samfunds kontrol og alene bero på selskaber placeret i f.eks. USA, Kina og Indien.

Der bør startes en debat om, hvorvidt det er ansvarligt at basere en infrastruktur, der får lige så vidtrækkende samfundsmæssige konsekvenser som el-værkerne fik, alene på udenlandske virksomheder eller om der bør oprettes en national computer-sky, som sikrer en vis leverancesikkerhed og kontrol med den kommende kritiske rygrad i det danske samfunds infrastruktur!

Denne artikel har også været bragt som Dagens Synspunkt i Berlingske Business mandag den 4. oktober

Kommentarer (49)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Arvin

Det smarte ved cloud computing består efter min mening bl.a. i:

  1. At der er uhyre mange brugere, og det derfor er meget
    usandsynligt, at de har peak-aktivitet på samme tid.

  2. At de mange brugere gør, at man i god tid kan indkøbe
    nyt udstyr, fordi man kan tillade sig at lægge vægt på
    den løbende gennemsnitsbelastning, jvf. 1.

  3. At man kan tillade sig at hyre top-notch specialister til
    at drive det og alligevel skabe en kritisk masse af
    faglighed.

Derfor piner det mig altid, når folk taler om "private clouds": Det forekommer simpelthen tåbeligt, fordi de fleste pointer ved cloud computing langt hen ad vejen bortfalder.

En national cloud kan ses som en afgrænset og dermed "private cloud", hvilket følgelig er tåbeligt. Men nogle gange er det tilfældet, at man må gå nogle sub-optimale veje for at komme videre. Og hvis man til (person-)følsomme områder skal bevæge sig videre fra "hver sin generatorstation"-situation, må man nok - i hvertfald i første omgang - tage turen omkring en afgrænset sky.

  • 0
  • 0
Anonym

Jeg kan ikke se at en "national cloud" bibringer noget som helst.

Det bliver ikke mere sikkert (end usikkert), næppe mere effektivt end de markedsfrembragte (der er allerede "danske" leverandører), tilgægnelgiheden har bedre af flere forskellige cloud-leverandører hvor man fokusere på at kunne flytte services etc.

Vi burde i stedet bruge pengene på at udvikle interoperabilitet, holdbare sikkerhedsmodeller, få flyttet styringen til borgerne/behovet og i det hele taget fokusere mere på arkitektur end bare at centralisere magten i samfundet i cloud-systemer.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Er dette ikke blot et forsøg på at prøve at gentage historien om KTAS, NESA osv. TDC er i dag ikke dansk ejet. Vi køber en del af vores strøm i udlandet, og har gjort det i lang tid (selvom vi har DONG - der vel kan blive kinesisk i morgen hvis det er).

Cloud er globalisering. Den kan vi ikke bremse med, og det vil i min optik også være rigtig dumt at prøve.

@Henrik
Jeg forstår at du egentlig savner en diskussion af emnet, men jeg ved ikke hvorfor du synes at en dansk Cloud er en god idé. Hvad er det den skal kunne, som vi ikke allerede kan med eksisterende Clouds? Iøvrigt vil den jo blive privatiseret anyway og solgt til et firma i USA, Kina el. lign.

Troels har jo ret, Clouds giver kun mening hvis de ikke er private, lidt ligesom den kollektive traffik. Det giver ikke mening at snakke om private kollektiv traffik. Så er vi ude i noget andet, nemlig privat bilisme.

  • 0
  • 0
Yoel Pedersen

En stor, national sky drevet af staten for staten, skal naturligvis projekteres, sendes i udbud og sidenhen udføres. Besparelserne på papiret er enorme, da samtlige kommuner, ministerier o.l. kan droppe deres egne serverparker og kun have tynde klienter.

Projekteringen og udbudsmaterialet står Devoteam for, og når en af The Usual Suspects (CSC, KMD, Cowi m.v. - find selv på flere) har vundet udbuddet (der sjovt nok er skruet sammen så kun de allerstørste og allermest anløbne firmaer kan være med), er det også Devoteam, der står for projektledelsen.

Når projektet efter fem års forsinkelse står færdigt, har det kostet skatteborgerne mange millioner ekstra kroner, både direkte og indirekte. Den ansvarlige minister udråber projektet som en succes, hvorefter vi er klar til næste store offentlige IT-projekt.

Hvordan får man overbevist politikerne/embedsværket om, at ovenstående projekt overhovedet skal påbegyndes? Tja, det hele starter med en offentlig debat...

Misforstå mig ikke, jeg er bestemt tilhænger af effektiviseringer inden for det offentlige, men jeg er af den klare overbevisning, at store offentlige IT-projekter altid ender galt - primært fordi projekterne er for store og derfor skal i udbud, hvilket automatisk medfører at den dårligste leverandør ofte får opgaven. Tilsæt en række private virksomheder, der gennem massivt lobbyarbejde udnytter det offentliges svage forhandlingskraft på det groveste, og vi har en ny Amanda, Tinglysning m.v.

  • 0
  • 0
Troels Arvin

Yoel,

Jeg deler absolut den bekymring, du udtrykker.

Men der er måder, hvorpå risikoen kunne sænkes:
For det første kunne man starte i det små (hvorved det dog virkelig ville være svært at skabe en up-front business case, idet det da ikke blot ville være en "private cloud" men også en "dværg-private cloud").

For det andet kunne man tage noget, hvor man ikke skulle starte fra scratch:
Man kunne fx. lade Amazon bygge den private sky, uddanne folk i DK og til sidst overlade nøglerne (i form af passwords til priviligerede konti) til det danske driftscenter. Herved ville man dog risikere, at EC2-DK stille og rolig ville ryge ud af trit med EC2 og efter nogle år stå tilbage som en forældet og småmystisk udgave af EC2.
Man kunne også implementere OpenStack på samme vis. Her ville der på nuværende tidspunkt nok være mindre "turn-key" over det, men tilgengæld ville man være herre i eget hus, fordi systemerne i OpenStack er open source og synes at have et levedygtigt community (med store drenge såsom Nasa og Rackspace som ret vægtige garanter).

  • 0
  • 0
Troels Arvin

Jeg kom lige til at tænke på:
Når man fremhæver cloud-fordele, foretages ofte den åbenlyse analogi til el-forsyningen.

Men hvis man kigger lidt bredere, bør man nok holde sig for øje, at mange fremhæver Danmarks decentrale kraftvarme-produktion som en stor gevinst - vistnok fordi den decentrale varmeproduktion sænker det transport-relaterede varme-tab.

Med andre ord: Man skal passe på at lade sig forblænde af den yderst tiltrækkende el-forsynings-metafor. Dele af IT-drift foregår utvivlsomt fint på decentral vis.

Nøglen er nok at kunne sondre på god vis.

  • 0
  • 0
Peter Nørregaard Blogger

Hvorfor dog bruge skatteyder-penge på at danske teknikere kan uddanne sig i cloud-teknologi og eksperimentere sig igennem de samme fejltagelser, de udenlandske selskaber har været igennem?

En dansk drevet cloud er, for nu at blive i analogierne som Henriks indlæg gør så flittig brug af, det samme som at investere i at udvikle en dansk bilproduktion, dansk minedrift eller at fortsætte statsstøtte til skibsværfter. Til hvilken nytte, og til glæde for hvem andre end de statsstøttede ansatte (og så selvfølgelig konsulenterne, som Yoel skriver)?

Cloud er stordrift, som andre her i debatten også har sagt. Det danske marked er ikke stort i den sammenhæng.

Desuden: Hvor skal innovationen komme fra? Fra risikovillige investeringer, foretaget af et statsligt styret non-profit foretagne i håb om at kapre et større marked? Næppe.

I fredags var der it-politisk åbningsdebat i folketinget, stablet på benene af DanskIT/DIT som et led i Danmark 3.0-initiativet. Politikerne var her enige (!) i at den gode fremgangsmåde er at skabe og støtte udbredelsen af standarder. Oversat til denne sag: Standarder, der til en hver tid vil tillade offentlige og private kunder at flytte fra en cloud-leverandør til en anden, mere innovativ og omkostningseffektiv, leverandør. Dét er fremtiden for en cloud-strategi - ikke at lave en lokal dansk cloud uden indbygget konkurrence.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Det er lidt ligesom arkitekter der skal sammensætte en SOA, køber Portaler, ESB'er osv. nu er det Cloud de ikke helt har forstået da de læste det. Forslaget tyder i min bog på at emnet ikke helt er forstået.
Ligesom da chefarkitekten (en af de såkaldte Enterprise Architects) for et stort dansk foretagende sagde at de jo skulle have en Portlet pr. use case.
Det er fint at have arkitekter som forstår og beskæftiger sig med forretningen, men når de begynder at designe IT løsningen ud fra hvad det seneste buzz de har hørt er, om det så er Cloud, SOA, SOA 2.0, BPM eller lignende, så er det at det koster mange penge uden at give værdi.

@Peter
Tak for din rigtigt gode kommentar

  • 0
  • 0
Michael N. Steen

Analogien med energi- og vandforsyning er besnærende, men holder ikke helt ved nærmere betragtning. Vi er ganske vist afhængige af computerkraft og vore data, lige som vi er afhængige af vand og elektricitet, men her stop-
per analogien.
Vore data ligger derude i skyen, et eller andet sted, men hvem har haft adgang til dem undervejs, og under hvilke jurisdiktioner ligger de? Hvilke regler gælder der der for private og potentielt følsomme data?
Det er udmærket at være effektiv, men ikke alt skal nødvendigvis gøres Nemt(Tm) og billigt (?) blot fordi man kan. I hvert fald ikke uden omtanke.

Inden vi begynder at lægge alle mulige data ud i skyen af vital betydning for os privat, for virksomhederne og for samfundet, håber jeg stærkt, at vi kan finde frem til en sikkerhedsmodel, som alle synes er fornuftig, og
ikke kun fortalere og politikere.

Når først data ligger derude kan de ikke trækkes tilbage. Det må vi i hvert fald regne med. Og vi ved, at ude under skyens mørke kanter ligger horder med gule øjne, der kun venter på at slå klørerne i vore data og
misbruge dem på det groveste.

  • 0
  • 0
Anonym

Michael

Helt enig.

Jeg tror dog at vi skal starte med at se i øjnene at "fjenden" ikke nødvendigvis er nogle eksterne "med gule øjne", men de magtstrukturer vi selv skaber og accepterer.

Vi skal tage konsekvensen af præcis den analyse som du laver der. Der er og kommer ingen sikkerhedsmodel som kan sikre data i cloud EFTER kontrollen er overgået til cloud.

Det afgørende spørgsmål er således hvordan vi UNDGÅR at risikoen overhovet kommer ud i skyen, dvs. at man sikrer at kontrollen forbliver distribueret/klient-side eller i det mindste at risikoen isoleres til den specifikke transaktion uden at misbrug kan skalere, dvs. udnytets til angreb et andet sted.

Den kritiske, afgørende og ikke-forhandlingsbare regel er INGEN PERSONHENFØRBARE DATA I CLOUD. Sørg for at data altid er låst til den specifikke transaktion og enhver form for identificerbarhed er isoleret UDENFOR cloud.

Bryder vi den regel er det som at forurene grundvandet med giftige stoffer og ikke-nedbrydelige tungmetaller.

Opretholder vi den regel og sikrer at borgeren altid har ret til at tilgå egne data, så kan ingen cloud-side misbruge data og ingen kan forhindre services i at flyde hen for de løses bedst og billigst, dvs. så vi på samme tid sikrer både data og samfundsøkonomien.

At operere med device- eller personidentifikation i cloud er som at sprede sygdomme i grundvandet - hvert lille kim kan danne grundlag for sammenbrud.

  • 0
  • 0
Henrik Hvid Jensen

Tak for mange relevante synspunkter, jeg mener, at det er en vigtig debat, vi er startet på.

Den debat jeg foresøger at rejse er, at med cloud computing vil det være første gang, at vi i Danmark vælger ikke at have offentlig kontrol over en særdeles vigtig samfundsmæssige infrastruktur og overlader det fuldstændig til de frie markedskræfter at bestemme udbuddet af denne infrastruktur til det danske samfund.

Dette er en beslutning, som ikke kan gøres om, vi kommer til at leve med den for eftertiden, og det kræver derfor en debat i samfundet for at sikre at alle aspekter af denne beslutning er belyst og at beslutningen tages bevidst.

Stoler vi så meget på markedskræfternes lyksagligheder at vi vil overlade det danske samfund 100 % til disse eller bør vi investere lidt i en form for beredskabsplan?

Jeg så et citat i Politiken i sidste uge hvor en person udtalte sig om hvordan hver epoke har sin tid. Enevælden gik til midten af 1800-tallet, den blev afløst af demokratiet, som har varet indtil nu. Han var bekymret for om Kinas gigantiske størrelse og økonomiske fremgang ville medføre at demokrati-epoken ville ende og afløses af en epoke baseret på kinesiske værdier

  • 0
  • 0
Nikolaj Brinch Jørgensen

Jeg tror det er vigtigt for debatten at definere "nationalt". I dag kører langt de fleste offentlige systemer i KMD og CSC regi. KMD er ejet 85% af et svensk firma, hvor CSC er 100% amerikansk. Så vores data ligger allerede hos udenlandske firmaer i mine øjne.
For slet ikke at tale om størstedelen af telefonien og terrordataopsamlingen til PET som foregår hos TDC, som igen heller ikke er dansk.

Så det jeg mangler at forstå, er hvorledes du, Henrik, definerer nationalt i denne sammenhæng?

  • 0
  • 0
Henrik Hvid Jensen

@Peter

Jeg har svært ved at se hvorfor en cloud under en eller anden form for samfundsmæssig kontrol ikke skulle kunne overholde standarder.

Jeg foresøger ikke at argumentere for at denne cloud skal være den eneste tilladelige i Danmark, men rejser debatten over om der bør investeres i en form for beredskabsplan så samfundet er sikret en vis leverance-sikkerhed af computerkraft i fremtiden.

Lad os antage at der af en eller anden grund internationalt mangler computerkraft f.eks. pga. en naturkatastrofe. Hvem skal så bestemme, hvem der skal have adgang til den computerkraft der er tilgængelig

  • 0
  • 0
Anonym

Staten er nødt til at forholde sig til sikkerhed fordi markedskræfternes standardisering ikke fungerer.

I praksis har teknisk standardisering udviklet til en udenomsparlamentarisk lovgivningsprocess hvor en lille gruppe producenter dikterer markedet (=loven) uden at forbrugeren har noget at skulle sige.

Kartel-effekten i teknisk standardisering er så stærk at traditionelle økonomiske teorier bryder sammen og dermed sætter merkedet ud af spil.

Det har i praksis ført til at sky-spillerne har fejlet totalt omkring sikkerhed fordi de antager at man skal stole på dem = deres egeninteresse i at blive gatekeeper er så stærk at de har ignoreret sikkerhedsspørgsmålet og dermed antager de indbygget massive centralisering ved at kontrollen altid overgår fra markedets parter til de centrale serviceproviders uden nogen former for balancerende tekniske mekanismer.

Bedst eksemplificeret med Google som har blotlæggelse af alle overfor Googles opsamling og monopolisering af stadigt flere personddata som business case.

Staten er nødt til at forholde sig til dette spørgsmål fordi vi taler om selve rammerne for markedsdannelse - vi kan IKKE definere digtiale markeder som strukturer hvor al magt koncentreres i infrastrukturen uden det har meget alvorlige og nærmest ideologiske konsekvenser.

Dette er uanset om den tekniske standardisering blot er udtryk for sikkerhedsmæssig inkompetence eller drevet af kommercielle/andre særinteresser i at centralisere kontrollen hos gatekeepere.

Jeg har defineret successkriteriet eller vkalitetsmålet for denne process sådan at staten (hvis den vil opretholde den frie markedsdannelse) skal tilsikre 3 forhold

a) Behovsdreven Innovation - magten over processer. dvs. VALG af løsning, skal ligge hos SLUTBEHOVET = FORBRUGEREN = BORGEREN.

b) Semantisk Interoperabilitet. Ingen standardiseringmekanisme må DIKTERE og eliminere frihedsgrader unødvendigt. Startende med kommunikationslaget som ikke må diktere sikkerhed. Identitetslaget som ikke må diktere magtbalancerne (SKAL sikre at borgeren KAN have kontrol, men ikke diktere at de ikke må afgive denne). Standardisering af Applikationslaget skal åbnes op så alternative løsninger kan blive interoperable.
Groft sagt gælder det om at perimeterisere interfaces, så frihedsgrader opretholdes uden der etablere stekniske eller logiske flaskehalse, single-points-of-failure eller one-size-fits-all.

c) Security By Design - i bunden af cloud er vi nødt til at have en helt anden tilgang end den forældede cpr-tanke. Default må¨tage udgangspunkt i at Cloud i sin natur er usikker og ikke kan sikres - det er online i en sådan grad at vi må antage at sikkerheden brydes og dermed at ikke-autoriseret misbrug af nøgler og data vil finde sted. Øvelsen er dermed at sikre at sådanne brud isoleres så de ikke fører til sammenbrud.

Datamæssigt betyder det et skarpt kriterium.
Et sikkert cloud system MÅ IKKE KUNNE se forskel på 2 uafhængige transaktioner med den samme borger/device og 2 transaktioner med 2 forskellige borgere/devices. Dvs. vi taler både om digitale nøgler og de data som indgår.

Det er en nødvendig - men ikke i sig selv tilstrækkelig - forudsætning for at en cloud-service kan betragtes som sikker mod både kriminelle, kommercielle, bureaukratiske og fremmedes magters angreb og forsøg på datamisbrug på tværs af sammenhænge.

Så - for at svare på dit spørgsmål - staten kan godt lave en forsknings/udviklings cloud med henblik på at modne og udvikle reference mekanismer for sikkerhed og interoperabilitet som cloud-leverandører skal leve op til. Dvs. en services skal kunne bevise at den kan overføres til statens cloud, at borgeren sel kan trække alle sin data ud og sikkerheden skal kunne leve op til kravene (herunder at cloud-servicen ikke MÅ KUNNE identificere borgeren).

Men staten vil ikke bidrage noget som helt ved at drive en cloud-service selv bortset fra disse specifikke formål.

  • 0
  • 0
Anonym

Lad os antage at der af en eller anden grund internationalt mangler computerkraft f.eks. pga. en naturkatastrofe. Hvem skal så bestemme, hvem der skal have adgang til den computerkraft der er tilgængelig

Det er ikke anderledes end reservekapacitet for strøm, hvor Californien har dokumenteret at staten har en opgave med at sikre eksistensen af en vis reservekapacitet.

Eller katastrofebedredskab, hvor staten er nødt til at træde til som lender of last resort, dvs. som den mekanisme der definerer og finansiere det abslutte minimum.

Men det betyder ikke at staten skal levere og selv drive disse. Det er rigeligt at KØBE og SÆTTE betingelserne for sådan reservekapacitet. Hvorvidt det betales over skatten (som vi gør med militæret) eller som forsikring er et politisk valg.

  • 0
  • 0
Henrik Hvid Jensen

@Nikolaj,

For det første går indlægget på cloud-tilbud til borgere og mindre virksomheder. De større virksomheder er jeg ikke så bekymret for.

For den andet mener jeg med nationalt, om der skal være en vis national kontrol over infrastrukturen, det behøver altså ikke at være ejet 100 % det offentlige.

Så vidt jeg lige kan komme i tanke om er alle andre infrastrukturkomponenter vi har haft indtil nu noget der har en fysisk installation i landet (Mobilmaster, veje, lufthavne, telefonkabler ...)

  • 0
  • 0
Anonym

@ Henrik

Man kan diskutere om det er et relevant spørgsmål eftersom cloud netop har til formål at bruge kapaciteten bedre med henblik på at inddrage mest mulig kapacitet i poolen.

Du kan alligevel ikke køre kritiske funktioner i cloud grundet mangel på sikkerhed.

Du skal alligevel have redundans på alle kritiske punkter.

Den basale kommunikationsinfrastruktur vil skulle være peer-to-peer.

Dit spørgsmål bør vel mere dreje sig om muligheden for at prioritere/reservere kapacitet i nødsituationer end om reservekapacitet? Lidt a la diskussion om politiet må kunne lukke og reservere mobilnettet.

Hvis noget så burde vi definere en "national" infrastruktur som muligheden for at køre kritiske services udelukkende på borgernes egne hjemmeservere som de alligevel skal have for at kunne sikre hjemmet.

Det vil have den konsekvens at ingen kan "lukke infrastrukturen" som var internettets oprindelige vision.

Den største trussel med cloud er at vi alle spærres inde i den store moder server som hverken er demokratisk eller markedsdrevet. Præcis derfor skal cloud logisk parallelisers, dvs. cloud-systemer MÅ IKKE KUNNE sammenstille uafhængige processer med den samme borger.

  • 0
  • 0
Jacob Nordfalk

Jeg synes det er et meget svært spørgsmål, måske også fordi præcist hvad 'skyen' er og hvad det kan bruges til nødvendigvis stadigvæk er uklare.

Folk er jo generelt i stand til, i konkrete tilfælde, at tage fornuftige beslutninger om hvorvidt det er bedst at holde data i Danmark eller det ingen rolle spiller.

Staten sku måske have en 'statslig minisky' til offentlige foretagender, men så lad os droppe det uklare begreb 'sky' og i stedet nævne de anvendelser, ellers bliver spørgsmålet for uklart.

Snakker vi om at dele/redigere dokumenter, epost, regneark etc ?
Eller hvad er det der kan leveres som "et stik i væggen"?

  • 0
  • 0
Peter Nørregaard Blogger

@Henrik, jeg taler om, at regeringens formål må være at sikre, at markedet fungerer - altså at der er standarder, der sikre, at det offentlige kan flytte sine cloud-applikationer rundt mellem leverandører på en måde, som det giver bedst mening for de enkelte enheder i forhold til økonomi og funktionalitet og serviceniveau.

Kun når markedet ikke fungerer til fordel for landet, bør regeringen påtage sig at drifte ting og sager (som dengang med Det Kongelige Postvæsen, De Danske Statsbaner og Det Danske Luftfartselskab, forløberen for SAS). Dét er lakmusprøven for hvornår staten skal etablere og drive en virksomhed. Der kan godt etableres clouds uden uden statens indblanding. Så for guds skyld - ingen statslig drift af en cloud.

  • 0
  • 0
Daniel Udsen

Inden du begynder med den slags overvejelser skal du nok lige stare med at definere hvad skyen er.

På den ene side har vi denne her fiktive mesh konfiguration baseret på en fiktiv analogi til et ligeå fiktivt energinet, og på den anden side en klassisk mainframe eller timeshare system, som vi kendte dem fra 70erne og 80erner.(og fra dagens "sky produkter")

Taler vi om sky som i centralt virtualiseret dataenhed(mainframe/timeshare) så kan det sagtens give mening med et fælles statsligt datacenter så man kan slippe for 200 mere eller mindre ens kontrakter hos IBM/CSC/KMD formeteligt med besparelser og kvalitets forbedringer. Du kan ikke sende følsomme data i frit worldwide udbud, så salesforce/google er ikke en muglighed under og EC2/azure er ikke prismæssigt en fordel for de helt store firmaer.

Taler vi i sky som fiktivt mesh netværk af datacentre der måske eksister om 20år så er det af sagens natur en umuglighed.

  • 0
  • 0
Henrik Hvid Jensen

Jeg mener at diskussionen om hvor man bedst placere data er en anden diskussion end den jeg prøver at rejse. Computerløsninger består vel af to ting dels selve computerkraften og dels de data der skla behandles. Disse to ting kan ligge samme sted men kan også godt være adskilte. Du kan jo godt købe ren computerkraft fra Amazon uden at du samtidig skal placere nogle data hos dem

  • 0
  • 0
Henrik Hvid Jensen

@Peter,

Jeg er som udgangspunkt enig med dig om at mulighederne bedst udvikles under fri konkurrence uden unødig statslig indblanding.

Årsagen til at jeg forsøger at rejse denne debat er at det er første gang at der er ved at etableres en kritisk infrastruktur der vil ligge som fundament i mange andre infrastrukturer, der ikke har en fysisk forankring i landet (veje, togskinner, mobilmaster, lyslederkabler)men alene er placeret i udlandet.

Spørgsmålet er om man som del af en beredskabsplan ikke bør etablere en virksomhed der sikrer at samfundet i tilfælde af at markedet ikke fungerer til fordel for staten hurtigt kan genetablere den computerkraft der måtte mangle. Hvis vi skal starte helt fra nul er det en umulig opgave.

Denne virksomhed kan sagtens fungere på markedslignende vilkår

  • 0
  • 0
Troels Arvin

Diskussionen går i forskellige retninger, hvilket er forventeligt. Godt, at nogen gjorde opmærksom på at det er vigtigt at være enige om, hvad man mener med "sky".

Jeg synes, at sky som i "infrastructure as a service" (IAAS) er (mest?) interessant at diskutere, fordi den er så omtålelig: Dér kan data ikke holdes hemmelig for sky-udbyderen (i modsætning til storage as a service, hvor man jo bare kan kryptere data inden man lægger dem ud i skyen): Hvis sky-udbyderen er ond, kan intet hindre den i at lure med, idet data normalt skal processeres ukrypteret. Og selvom at IAAS nok er den sværeste at komme i gang med, er det antagelig her, at der er mest gevinst at hente på sigt, idet den

  1. Giver god mulighed for "infrastructure as code", hvilket er vanskeligt at realisere uden et rigt, robust og gennemprøvet API.

  2. Giver mulighed for at håndtere de ellers så dyre spidsbelastningssituationer, hvor en organisation i et sjældent, kort interval skal have meget stor databehandlings-kraft: Uden skyen skal man af hensyn til peaks vedligeholde en masse IT-ressourcer, som kun sjældent anvendes fuldt ud.

"Infrastructure as code" er efter min mening et vigtigt pejlemærke, som DevOps-"bevægelsen" har bragt frem i lyset. At kunne systematisere skabelse af IT-infrastruktur synes at kunne bringe systemadministration væk fra den ret tilfældige tilgang, som ses mange steder - frem mod at bruge samme tilgang som softwareudviklere: Versionering, sporbarhed, løbende integration, løbende tests.

Jeg synes, at punkt 1 og 2 er så vigtige, at jeg - som tidligere nævnt - synes, at man skal overveje en national "sky", hvis det er dét, som skal til for at vinde accept for cloud-principper inden for centrale nationale tjenester. - Også selvom at afgrænsede skyer som udgangspunkt er tåbelige, fordi de da slet ikke er skyer.

  • 0
  • 0
Anonym

Dér kan data ikke holdes hemmelig for sky-udbyderen (i modsætning til storage as a service, hvor man jo bare kan kryptere data inden man lægger dem ud i skyen):

Fuldt stop - enig

Cloud-sikkerhed defineres UDENFOR cloud, dvs. hvis dekrypringsnøglen ligger i cloud, så - No security.

Hvis sky-udbyderen er ond, kan intet hindre den i at lure med, idet data normalt skal processeres ukrypteret.

..

Jeg synes, at punkt 1 og 2 er så vigtige, at jeg - som tidligere nævnt - synes, at man skal overveje en national "sky", hvis det er dét, som skal til for at vinde accept for cloud-principper inden for centrale nationale tjenester.

Fuldt stop - totalt uenig.

Præmis - sky-udbyderen og enhver som med magt eller ved fejl kan trænge ind kan tilgå data og nøgler. Risikoen skaleres eksponentielt.

Præmis - vi kan ikke sikre cloud - der eksisterer ikke og vil ikke eksistere sikre cloud processer. De vil altid være latent usikre.

Delkonklusion - det giver IKKE bedre "accept" for cloud-principper at lave en national "sky", tværtimod giver det dårligere økonomi OG dårligere sikkerhed via yderligere magtkoncentration.

Konklusion - undlad at lægge risikoen i cloud. Først og fremmest - ingen kryptografiske nøgler og ingen personhenførbare data i cloud som ikke kan tåle at ligge åbent tilgængeligt for alle.

Kort sagt - ingen "Hedensted"

  • 0
  • 0
Troels Arvin

@Stephan:
Du synes at mene, at sikkerheden per definition sænkes ved at afvikle ting i IAAS-sky. Jeg tror ikke, det er rigtigt.

Jeg mener, at god, grundig og systematisk systemadministration er den allervigtigste parameter for sikkerhed på et system. Og hvis man med IAAS kan bringe disse kvaliteten og sporbarheden af systemadministrationen på et betydelig højere niveau, vil det overordnet set være et væsentligt fremskridt. Det med, at man mere eller mindre indidirekte lægger éns data i hænderne på firmaer er ikke noget nyt; man gør det allerede gennem al den software og hardware, som du kører, hvor du sjældent kan føle dig 100% sikker på, at det ikke sender producenten data bag om rykken på dig; og der anvendelse af eksterne konsulenter og out-source'et udvikling/drift slipper man heller ikke af med. Nøglen er derfor i de enkelte tilfælde at vurdere, om det er risikoen værd i forhold til alternativerne. Og hvis alternativet fx. er den ret ad-hoc prægede system-administration, man generelt ser, vil jeg mht. IAAS absolut give det en chance.

Jeg synes, at i øvrigt at du blander tingene sammen: Hvorvidt IAAS er en god ting og hvorvidt man bør gemme personhenførbare oplysninger centralt.

Når det gælder central opbevaring af personhenførbare data, er jeg ikke enig med dit mål:

Dels fordi det efter min mening er så urealistisk, at det ikke er værd at bruge tid på for nuværende; blot ét lille eksempel er at finansieringen af sygehusvæsenet baserer sig på, at man kan sammenholde behandlingsoplysninger for borgere over tid og på tværs af institutioner. Dette kan man begræde indtil "revolutionen kommer"[TM]; i mellemtiden er det ærgerligt, hvis al anden diskussion skal afspores.

Og dels fordi jeg faktisk personligt ikke synes, at det er en god idé: Jeg vil gerne acceptere central opbevaring af mine personhenførbare oplysninger på trods af den åbentlyse risiko for misbrug; grunden er, at jeg finder det vigtigt at kunne analysere data grundigt med henblik på forskning og kvalitetskontrol. Desuden vil jeg gerne have, at jeg kan blive indlagt på et hvilket som helst sygehus og at sundhedspersonalet dér kan hente detaljerede oplysninger om mig uden at jeg behøver at rende rundt med oplysningerne på mig.

  • 0
  • 0
Anonym

Troels

Problemet er at du antager for meget og dermed fejldesigner teknologien grundet forældede antagelser

3 kritiske kommentarer.

a) Jeg taler ikke imod IAAS, men mod at ligge kontrollen i cloud eller cloud-administrationen.

b) Magtkoncentrationen i forbindelse med IASS er det klart største problem. Langt større end den enorme skalering af den tekniske risiko.

Den såkaldt centrale administration er hverken teknisk, administrativ eller økonomisk tilstrækkelig til at varetage det problem

c) Enhver af de effekter, du gerne vil have, kan opnås BEDRE ved IKKE at centralisere, men at digitalisere distribueret, dvs. i princippet ved at INDDRAGE borgeren som den aktivt styrende part med kontrol over nøglerne UDENFOR cloud/central/server. (delegering mellem mennesker er et andet spørgsmål som altid skal ses applikationsspecifikt)

Alternativet til centralisering (ikke det samme som stordrift fordi serveren ikke behøver være "trusted" i betydningen have adgang til specielt dekrypteringsnøglerne og eksternt koblende "identifiers") er IKKE at du har "data på dig" - det er en forældet betragtning. Du skal have nøglerne, men vi skal og kan styre dataprocesserne langt mere nuanceret.

Du farer vild i nogle DDR-økonomiske antagelser som ikke holder. Kausaliteten er IKKE sådan at blot man laver en helvedes masse statistik så omformes det automatisk til løsninger - så ville Danmark ikke være i den dybe krise vi er midt i. Eller at man centralt skal blotlægge alle for at kunne finde mønstre. Jeg vil tværtimod påstå at kilden til krisen netop er den antagelse som du kommer med her, fordi den fjerne styringen fra behovet og flytter den til særinteresser.

Omkring sundhedssektoren skal vi have et langt mere nuanceret perspektiv - se f.eks. her (specielt side)
http://www.ambafrance-dk.org/IMG/pdf/ICT_Privacy_20090924.pdf

  • 0
  • 0
Troels Arvin

Stephen: Jeg ville ønske, at du havde ret i at dit mål er muligt. Men jeg kan simpelthen ikke se, at du med fuld anonymisering og/eller radikal decentralisering af data kan skabe mulighed for brugbar datahåndtering til de formål, jeg tidligere har opridset. Du skal være velkommen til at synes, at dette er enfoldigt.

Jeg håber, diskussionen kan komme tilbage på sporet, hvis der er mere at sige.

  • 0
  • 0
Anonym

Hvem har talt om anonymisering? Det er blot dit fastlåste paradigme som taler, ligesom du taler om behov som du antager at kende løsningen på uden at analysere dem.

Vi får ALDRIG en effektiv sundhedssektor med den centralistiske tilgang ligesom det er at prioritere sekundære administrative hensyn over de primære - vel og mærket sekundære hensyn som kan løses på mange måder.

Jeg taler om strukturering og sikre at værdikæderne følger behovet i stedet for at tilpasse borgerne til særinteresser og stadigt mere stive og ufleksible systemer.

Diskussionen ER på sporet.
At ligge kontrollen i cloud vil måske nok give en smule bedre systemperformance/udnyttelse af it-ressourcerne, men det vil trække alle samfundsprocesser skræve i en stadigt mere ineffektiviserende retning.

It-ressourcerne er IKKE den knappe faktor, tværtimod er de næremst gratis i forhold til personale og forskellen på om vi få udviklet stadigt mere nuancerede løsninger med stadig mere bæredygtig udnyttelse af knappe ressourcer til stadigt mere individuelle behov i stadigt mere komplekse processer = effektivisering.

It-ressourcerne er nærmest totalt ignorerbare i forhold til den tiltagende ineffektivitet som hærger den offentlige sektor.

Så beklager - jeg har ikke brugt ord som "enfoldig" - men dit paradigme blokerer for løsning af problemerne.

Tag dit eget speciale og tag det et lille skridt videre. Enhver borger kan køre en distribueret SQL-kørsel på egne data og returnere resultatet. Det er blot et spørgsmål om at se den samme analyse distribueret som et antal kørsler med et sikkerhedslag imellem.

Danmark kan ikke lever af forældede tankegange som ikke tør tage ansvar for problemerne. Der har trukket os ned i innovationstempo igennem mange år - den offentlgie sektor bloeker for innovation, producerer ineffektivt og frembringer ikke nye eksportløsninger. Det skal der laves om på fordi vi relativt har verdens største offentlige sektor.

Cloud tilsat gamle tankegange er dyre gamle tankegange. Vi står overfor nogle radikale forandringer som vi er nødt til men også kan få enorm succes ved at følge til dørs,

National cloud - nej ikke ved at flytte eksisterende procedurer i cloud - det giver en lille teknisk gevinst, men en voldsom samfundsøkonomisk ineffektivsiering.

Rom blev ikke bygger på en dag - den offentlge sektor bliver ikke innovativ på 1 år - men vi kan vælge at arbejde i en konstruktiv retning eller forværre situationen yderligere.

Så ja - jeg mener klart at

Du synes at mene, at sikkerheden per definition sænkes ved at afvikle ting i IAAS-sky. Jeg tror ikke, det er rigtigt.

Faktisk så meget så jeg ikke kun taler om it-risici, men om risici for samfundsøkonomien som sådan.

  • 0
  • 0
Troels Arvin

Stephan: Jeg synes, det kunne være gavnligt at blive lidt mere konkret, med ét isoleret eksempel:

Hospitalerne får en del af deres penge fra patienternes kommuner, efter særlige regler; dette skal bl.a. anspore kommunerne til at tage forebyggelse alvorligt. Man kan være enig eller uenig i dette, men kan vi sige, at dette udgangspunkt ikke er til diskussion her? Hvis så:

Patienterne kan i et behandlingsforløb flytte rundt mellem forskellige hospitalsafdelinger, hospitaler og regioner. Der sker daglig rigtig mange registrerede "kontakter", så vi taler store datamængder. Kommuner såvel som regioner er interesserede i, at beløbene kan revideres; det vil sige, at man i tvivlstilfælde skal kunne identificere patienter og jævnføre med journaler.

Hvordan skulle man i din optik håndtere dette? Hvis din ideal-forestilling ligger meget langt fra det praktisk mulige, hvad kunne man forestille sig af næsten-gode alternativer?

  • 0
  • 0
Troels Arvin

Stephen: Den eneste umiddelbare konsekvens vil i så fald være, at jeg (og antagelig en del andre) da vil kunne forstå, hvad du har i tankerne.

Jeg er ikke i nogen position til at kunne tage konsekvenser i forhold til det konkrete eksempel. Fx. er jeg hverken valgt politiker eller leder, og jeg kan som udgangspunkt aldrig udtale mig på vegne af nogen i sundhedssektoren eller statsforvaltningen.

  • 0
  • 0
Troels Arvin

:-)

Jeg ønsker én gang for alle at hitte ud af, om jeg skal bruge mere opmærksomhed på forsøge at forstå, hvad Stephan Engberg påstår kan lade sig gøre.

Hvad der kunne overbevise mig var en forståelig case, hvor fru Hansen indlægges og får udført nogle undersøgelser og indgreb mod hvad der viser sig at være cancer.
Fru Hansens hukommelse er ikke hvad den har været, og samtidig er hun mildest talt bange for situationen og kan ikke med rimelighed forventes at kunne redegøre for sin sygdomshistorik, hvorfor man på én eller anden måde skal have system(er), der hjælper sundhedspersonalet med at få et klart billede af hendes sygdomshistorik.
Hospitalet får penge fra kommunen; kommunen er skeptisk og vil se dokumentation for, at de virkelig skal betale så meget.
Desværre dør fru Hansen efter et års tid; nogen skal helst kunne sammenholde fru Hansens ét år gamle diagnose med dødsfaldet (uden nødvendigvis at kende mere til fru Hansen), således at der kan holdes øje med, om X-års-overlevelsen for pågældende sygdomsbillede udvikler sig positivt eller negativt på behandlende hospital såvel som på nationalt plan.

Jeg mener tidligere at have forstået, at du vil knytte en art elektronisk borgerkort op på din model. Hvis dette er tilfældet: Er modellen robust overfor at fru Hansen i distraktion har forlagt borgerkortet ét eller andet sted og i øvrigt har svært ved at bruge den slags elektronik?

  • 0
  • 0
Daniel Udsen

@Troels Arvin.

"Infrastructure as code" er efter min mening et vigtigt pejlemærke, som DevOps-"bevægelsen" har bragt frem i lyset. At kunne systematisere skabelse af IT-infrastruktur synes at kunne bringe systemadministration væk fra den ret tilfældige tilgang, som ses mange steder - frem mod at bruge samme tilgang som softwareudviklere: Versionering, sporbarhed, løbende integration, løbende tests.

Altså kort sagt en tilbagevending til mainframe kulturen fra 70erne?
Et stort problem ved sky diskussionen er at alle hele tiden insistere på at alle ideer der findes i skyen er helt nye, hvilket ofte er ukorrekt. Og mange af de fordele der opnår man så snart man begynder at købe og administere hardware pr lastvognsladning. du behøver ikke nødvendigvis en worldwide eller national sky for at implentere 95% af fordelene ved IAAS.

Peak distribution mellem forskellige systemer/organisationer er sjældent så tilfældig at man ikke rutinemæssigt vil ramme peak samtidigt så der er realt ikke nogen vej uden om at have ekstre kapaciteten idle(betyder selv ikke at man ikke kan have lav prioritets batch kørsler som i mainframe dagene i off peak)

Sikkerhedsmæssigt er diskusionen som med alt andet omkring skyen også baseret på noget fiktion omkring det nuværende system.

De data komunen/staten har om dig er med meget få undtagelser allerede idag fysisk placeret hos et stort internationalt firma, gemt i et software system udviklet og ejet af et stort internationalt firma, og al offentlig kontrol med data'ne er styret via kontrakt komplekser.
Koncept mæssigt er det bare klassisk outsourcing også når hedensted vælger google apps. Problemet her er lidt det offentliges historisk udviste dømmekraft når det kommer til IT sikkerhed, samt håndhævelse af standarder over for private aktører. Hidtil har centraliserings modellerne på andre områder sjælden været bragende successer så der er nok noget om Engbergs kritik

  • 0
  • 0
Troels Arvin

Daniel:
Fra den synsvinkel er der meget lidt, som kan beskrives som helt nyt. Virtualisering og forbrugsafregning har absolut været kendt længe før, men jeg vil vove den påstand, at det i en periode har levet en lidt skyggefuld tilværelse. Og klassiske mainframe-anvendelse er efter min opfattelse i bedste fald stagnerende, bl.a. fordi markedet nu er så godt som 100% monopoliseret af IBM (hvor der "i gamle dage" trods alt var lidt konkurrence).

Vi er klart uenige i forskellen mellem "generelle" og "private" clouds, ser det ud til. Dele af dit indlæg er uklart for mig: Er du generelt imod cloud-tankegang, eller reagerer du primært imod hype'en? Mener du, at Infrastructure As Code er den dum ambition?

Jeg vil give dig ret i, at aftalemodeller i virkeligheden er afgørende at interessere sig for. Et problem er her, at lange EULAer og den slags er så ubeskrivelig tunge og kedelige, at de færreste nærlæser dem (og forstår dem - og når de ikke forstår det, er det sjældent en uvildig part som opklarende spørgsmål går til). Jeg kunne godt tænke mig, at man i forb. med outsourcing som hovedregel fik indskrevet uvildig revision, hvor datatilsynet/rigsrevisionen/...(?) gik leverandørerne i bedene. Smiley'er til outsourcing-driftscentre/cloud-udbydere?

  • 0
  • 0
Nikolaj Brinch Jørgensen

@Henrik,

Undskyld det sene svar, havde lige en ordentlig workload at slippe af med.

Det første som jeg tror du ikke helt har forstået er, at en Cloud (som dem vi kender i dag som Amazon, Google, Rackspace m.fl.) Virker fordi de opererer globalt. Dvs. de bliver brugt (peak) på forskellige tidspunkter af døgnet, da folk business hours ligger forskelligt, ligesom tunge natlige jobs køres i skyen tidsmssigt forskelligt, grundet tidsforksellen.

Det andet er, at vi ikke skal tilbage til at Staten skal til at drive IT, den model har vi prøvet, og det gik så dårligt, at man var nødt til at sælge hele dynen for 1 kr., da ingen ville overtage "møgbunken".

For det tredje vil et sådant projekt, efter den nuværende ikke-visionære måde at lave IT systemer for Staten på (kravspec. fast pris, vandfald, låste krav osv., non-visionære folk til at hjælpe med udfærdigelse af krav) give et af de projekter vi allerede kender der vil være alt for længe undervejs, blive for dyrt, g være legacy på det tidspunkt det vil blive leveret. Lige netop Cloud udviklingen er kendetegnende ved små iterationer som hele tiden udvider funktionaliteten uden at kvaliteten kompromiteres.

For det fjerde synes jeg ikke du reflekterer over det samfund vi lever i i dag sammenholdt med tidligere. Vi lever i dag i et globalt samfund, og er en del af EU.
De andre Statslige projekter du nævner lavet, fordi der intet alternativ var på det tidspunkt (vi kunne ikke bruge AT&T eller British Telecom som teleleverandør), ligesom Europa/Verden var et meget ustabilt sted med krig hinanden imellem.
Amazon har iøvrigt et datacenter i Irland, som er medlem af EU, så det handler vel om at få lavet aftaler med leverandørene om at overholde EU lov og standarder (som vi jo kan påvirker med hensyn til Cloud), og så benytte dem som der er. På den måde kan du få hvad du ønsker, en Cloud som Staten indirekte via EU medlemskabet har kontrol over.

Til sidst synes jeg at du ikke helt forstår at Cloud er et internet fænomen. Internettet virker ved ikke at have begrænsninger i udbredelse og anvendelse. Samtidigt med at det giver en abstraktion ovenpå tings fysiske placering. Dette med at vi skal lave et hjørne af internettet det er nationalt på det fysiske plan som skal mappes gennem abstraktionen, er i mine øjne helt forkert. Ligeså forkert som det antipirat gruppen prøver på. Det er at prøve på at sætte sig til at kontrollere internettet, hvilket ikke er meningen. Men igen kontrol = magt.

@Stephan & Troels
Er i gået lidt i selvsving og har fjernet jeg rigtig meget fra essensen af Henriks oprindelige spørsgmål? ;-)

  • 0
  • 0
Troels Arvin

Nikolaj,

Ja, man må sige, at det ville være godt, hvis V2s diskussionsfora havde trådning.

Mht. EU:
Så vidt jeg har forstået, er der intet, som hindrer en statslig institution fra at placere personfølsomme data i EU; man skal blot informere Datatilsynet.
Hvis man vil lægge data uden for EU, skal Datatilsynet ikke blot informeres, men også give egentlig godkendelse, før det evt. lader sig gøre.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Mht. EU:
Så vidt jeg har forstået, er der intet, som hindrer en statslig institution fra at placere personfølsomme data i EU; man skal blot informere Datatilsynet.
Hvis man vil lægge data uden for EU, skal Datatilsynet ikke blot informeres, men også give egentlig godkendelse, før det evt. lader sig gøre.

Det er også sådan jeg har forstået det.
Og der er masser af kæmpe datacentre i EU, som ville kunne lave en Cloud og udstille den, ligesom Amazon og Rackspace, og prøve at tjene penge ad den vej. Dog vil dens peak fra de forskellige forbrugere ligge på samme tidspunkt, da EU kun har 2 tidszoner. Altså ingen fordel i timesharing. Dog vil man nok kunne opnå noget alligevel, men det er op til de private datacentre om de vil eller ej (tør eller ej), det er ikke noget som skal dikteres fra EU eller nogen stat.

  • 0
  • 0
Anonym

@ Nicolai

Er i gået lidt i selvsving og har fjernet jeg rigtig meget fra essensen af Henriks oprindelige spørsgmål? ;-)

Reelt er diskussionen mellem Troels og jeg on target. Spørgsmålet er om man kan bruge cloud uden at smide sikkerheden overbord.

Jeg siger ja og at vi ikke kan bruge cloud uden sikkerhed - Troels beder mig så om at vise hvordan jeg vil sikre hele sundhedssektoren for at påvise det ;-) Working on it.

Omkring EU / persondatadirektivet

Spørgsmålet er ikke relevant formuleret. Geografisk placering er ikke relevant fordi sikkerheden ikke er på plads, dvs. man er nødt til helt at undgå at falde indenfor persondatalovgivningen i hvert fald for så vidt angår de data som er i cloud.

Men det danske datatilsyn er så inkompetent at man sikkert vil kunne få "godkendelse" på hvad som helst. Det ændrer ikke på at både reelt og legalt er uholdbart.

  • 0
  • 0
Daniel Udsen

@Troels Arvin,
Infrastructure as code er en god ide(også hvis det viser sig bare at værre J2EE).

Mit problem er at vi når der tales sky sjældent diskuteres real teknologi baseret på realle implementerbare koncepter. og real life eksempler men Vi diskutere et teoretisk science fiction koncept baseret på en meget løs(og ofte mangelfuld) model af nogle eksisterende teknologier.

Når google, der absolut intet har af gøre med PAAS eller IAAS og iævrigt slet ikke markedsføresig som PAAS blandes sammen med amazon EC2 der markedsføres som PAAS, som om det var samme teknologi, Og folk i ramme alhvor diskutere storage as service for andet end backup lager begynder det hele for mig at blive en tand surealistisk.

Jeg kan godt gå mere i detalger med teknikken men overordnet er min pointe at 90% af skyen påståede fordele kan opnåes uden skyen og dermed med 10% af de problemer der kan værre i skyen.

Angående statens outsourcing problemer, så er det måske værd at huske at de fleste skandaler har involveret store uafhængigt certificerede virksomheder overfor nogle af landets mest jurist-tunge organisationer, inden man begynder at tro på at smileys og andet brurokratisk stempel værk bliver løsningen. Det er også lidt interesant at man på low-end segmentet af markedet hiver eksterne konsulenter ind og har hostede servere som en rutinesag, uden mange skandaler.

Personligt tror jeg ikke på at en stor meget IT tung organisation har gavn af at outsource specialtilpasset drift/udvikling til. Så man kan ligeså godt få det inhouse så nødvendig ekstrekapacitet kan bruges af f.eks. universiteterne.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Det er også lidt interesant at man på low-end segmentet af markedet hiver eksterne konsulenter ind og har hostede servere som en rutinesag, uden mange skandaler.

Det her er nemlig enormt interessant. Udviklingen af offentlige IT systemer behøver nemlig ikke være det rene skandaleværk hver gang. Det er som om, at det koncentrerer sig om nogle bestemte offentlige kunder.

  • 0
  • 0
Henrik Hvid Jensen

@Nikolaj

Tak for din detaljering et par uddybende kommentarer

1) Det nævener jeg i "De kommende leverandører af computerkraft i skyen til borgere, mindre virksomheder og ting, vil via Internettet kunne fordele sine investeringer i gigantiske computercentre ud over geografi, tidszoner og milliarder af brugere - derfor vil stordriftsfordele være en afgørende konkurrenceparameter."
Jeg er enig med dig i at det vil være en begrænsende faktor i en natinal sky, at denne ikke har den mulighed

2) Det behøver ikke være drevet af Staten, debatten bør nok nærmere diskutere hvilken kontrol samfundet bør have, defor eksemplet med mobiloperatører

3) Hvis en national sky strikkes rigtig sammen, bør an kunne opnå de samme fordele. men en forkert løsning vil selvfølgelig give mangler

4) Enig, vi lever i et globalt samfund. Men det giver vel også nogle samfundsmæssigrisici som er en debat værd. Jeg mener ikke at politikkerne forstår de samfundsmæssige konsekvensen og der er derfor ikke en interesse i at diskutere hvad betyder denne nye form for globale infrastuktur for nationalstaten

5) Igen enig og igen mener jeg at det er en debat værd at diskutere konsekvensen af dette på det samfund vi kender i dag.

  • 0
  • 0
Daniel Udsen

Det her er nemlig enormt interessant. Udviklingen af offentlige IT systemer behøver nemlig ikke være det rene skandaleværk hver gang. Det er som om, at det koncentrerer sig om nogle bestemte offentlige kunder.

De private kan sagtens værre med, årtiets it brøler er vel stadigvæk LSE's "Nye" IT system, det er bare lidt mindre synligt når det sker i det private fordi man ikke har det offentligheds krav for private firmaer som staten er underlagt. Men du har outages svartidsproblmer og forsinkelser også hos de kommercielle burokratier.

Det kunne værre interesant at se nogle realle beregningsmodeller for offentlig sky vs privatsky for de organisationer hvor den interne serverpark er større end de mindre sky udbyderes.

Meget af debatten omhandler stadig de få store kendte firmaer, mens mange af rutine udrulninger sker fra hosting centre af relativ begrenset størelse.

Der er et stort grænsefelt hvor man ikke opfylder "kriterierne" for Skyen men har en god nok omkostningstruktur til at man primæssigt kan konkurere med de helt store.

  • 0
  • 0
Anonym

@ Troels

Dit eksempel har for mange komplekse aspekter til at en løsning kan beskrives i et webforum. Jeg har som aftalt telefonisk sendt dig en løsningsbeskrivelse per email.

Basalt set bruges cloud på 2 måde samtidig.

På den ene side som storage af krypterede data hvor cloud selvfølgelig ikke kender nøglerne eller identiteten på de personer som bruger cloud-servicen.

På den anden side som cloud-baserede it-services som har tilgang til visse af disse data uden at kunne kende identiteten på personen - dvs. der anlægges et kritisk virtuaslieringslag kontrolelret klent-side MELLEM den virkelige verden og cloud-strukturen så alle device- og perosnhenførbarhed elimineres overfor cloud-strukturen.

@ Alle

Det er en dybt forfejlet diskussion.

Man bruger alle kræfter på en meget lille rationaliseringseffekt trukket af leverandørinteresse i at sælge, men overser at konsekvenserne i tilfælde af fejlvalg, dvs. en dårlig digitalisering, for at opnå denne effekt ødelægger meget mere end man opnår.

Den kritiske faktor er IKKE om man får lidt billigere it-services, men om kontrollen over processerne ligger klient-side eller serverside. Det gælder BÅDE sikkerhedsmæssigt OG økonomisk.

Uanset om nogen gør sig kloge på om Google Apps ("Private Cloud" internt) er Cloud eller om Private kontra public gør nogen forskel, så har vi til dato ikke set nogen cloud-struktur med en samfundsgavnlig struktur.

Tag VTUs Nemhandel - super-smart at man ligger alle handelsdata hos Amazon. Der ligger de trygt og sikkert. Not. Problemet ligger BÅDE i Nem-Handel selv (som ikke er designet til en digital verden og dermed cloud-parat) og i cloud-strukturen som ikke har mekanismer til at session-virtualisere alle klienter.

At arbejde sig i mod den store verdensmainframe - med dumme terminaler og transparante borgere/virksomheder overfor en lille gruppe stærkt magtkoncenterede og riskomaksimerende struktur - er ikke et fremskridt, men et gigantisk tilbageskridt som negerer alle de fordele som internettet har givet og de langt større fordele som potentielt ligger forude.

Det er som at tune en motor, men ignorere at bilen kører baglæns.

Faktum er at hvis cloud- og navnlig cloud-apps er designet så de er cloud-parate, så er det fuldstændigt ligegyldigt om vi taler public eller private clouds. Det er uden reelt indhold.

Samtidig vil staten ikke kunne tilføre noget ved selv at drive cloud andet end ineffektivitet og bureaukrati. Med erfaringerne fra SKI vil jeg endda tillade mig at tvivle om der kan opnås stordrift fordele på indkøbet eftersom det er opstartsomkostningerne som er de store, mens de marginale effekter er relativt stabile, dvs. stordrift i meget stor skala giver ikke mere end stordrift i lille skala.

  • 0
  • 0
Log ind eller Opret konto for at kommentere