per andersen bloghoved

Skyer i opløsning

Flere og flere er på banen med kritik af ”cloud computing”. Det kan ikke lade sig gøre, siger de. Rådet for Større IT-Sikkerhed anbefaler, at man venter med at tage skyen i brug med de klassiske sikkerhedsargumenter (http://rfsits.dk/mxcms.aspx?itemId=26&newsId=32). Så nåede diskussionen også frem til dem. Og en vis herre bliver malet på væggen med ”nyheden” om, at amerikanerne har adgang til vores data i skyen hos amerikanske udbydere. Og virksomheder som Lego vender tommelfingeren nedad og siger, at skyen ikke er god nok (http://comon.dk/nyheder/lego-skyen-er-mest-varm-luft-1.432237.html).

Så er brugen af skyen ved at blive skudt i sænk? Var det blot en af disse hype-bobler, som luften ender med at gå ud af for at klaske sammen som en dårlig kage?

Det er faktisk meget naturligt med en modreaktion. Det sker altid, når noget bliver hypet, for træerne vokser jo som bekendt ikke ind i himlen, og det er der nogle, der finder ud af. Det samme skete fx efter de første bølger af outsourcing, hvor nogle virksomheder begyndte at indsource ingen. Så var der straks nogle kritiske røster, der hævdede, at nu var det slut med outsourcing. Men det var det ikke – som så mange gange før forvekslede man kortsigtede og langsigtede udviklinger i markedet med hinanden.

Desillusioner

Faktisk forudser Gartners ”hype cycle” en sådan realitetsfase efter den store hype-bølge. De kalder den for ”desillusionsfasen” og forventer at cloud gennemgår den i år og 2012. Nu bliver forventningerne justeret til et realistisk niveau. Lidt som når Geoffrey Moore beskriver, hvordan teknologier bevæger sig fra tidlig adoption til mainstream adoption i ”Crossing the Chasm”.

Desillusionen kommer bl.a. fra, at tingene tager længere tid og er mere komplicerede end man først forestillede sig. Med cloud services er det fx udfordringer med integration, sikkerhed og funktionalitet. Men det er vigtigt at erkende, at cloud services er en del af den grundlæggende udvikling, hvor IT bliver mere og mere standardiseret og leveret som services af eksterne leverandører (”eksternalisering”). Udviklingen er sket gennem årtier, men har blot haft andre iklædninger og andre termer – og vil fortsætte også efter vi har fundet på et andet begreb efter ”cloud”.

Det er det, der gør cloud services til et meget væsentligt område, og som gør at fx det offentlige og datatilsynet må revidere deres opfattelser af, hvad man kan og ikke kan gøre med data. Samtidig med, at teknologierne modnes over de kommende år.

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

I stedet for at forholde sig til de ret alvorlige sikkerhedsproblemer ved cloud computing, eller måske endda foreslå løsninger på disse problemer (klient-side kryptering, pseudonymisering, og virtuelle identiteter kunne være en start), har Per Andersen fået en cloud-konsulent-venlig ide: "Datatilsynet må revidere deres opfattelser af, hvad man kan og ikke kan gøre med data" (ordret citeret).

Mere absurd kan det vel ikke blive?

Udover indtjeningen i cloud industrien og konsulentbranchen har jeg meget vanskeligt ved at finde bare een god grund til at følge Per Andersens forslag.

Et af de mange sikkerhedsproblemer ved cloud er illustreret ved Microsoft nylige udtalelse (indrømmelse) om at den amerikanske regering kan bruge Patriot lovgivningen til at skaffe sig adgang til data (uden at de berørte skal orienteres, naturligvis), og at dette gælder uanset om data alene er placeret i Microsofts datacenter i Irland (det sidste var nyt)
http://comon.dk/nyheder/microsoft-usa-adgang-til-cloud-data-er-intet-pro...

Det må som minimum betyde at samtlige amerikanske virksomheder er dømt ude, hvis persondata om EU borgere skal behandles i cloud.

  • 11
  • 1
René Løhde

Rolig nu, det går nok ikke så galt. Husk cloud er jo et hype ord som slet ikke var kommet frem for 10 år siden da Bush Jr. fik lavet Patriot Act.

Hvis det virkelig var et problem var det jo nok blevet opdaget og nogen havde reageret for lang tid siden.

Det er jo ikke sådan at vi lægger stamdata for alle danske borgere fra den dømmende og udøvende magt i hænderne på en amerikansk virksomhed... vel?

Eller forstil jer det her ...nej, det er helt til grin... men alligevel: Hvad nu hvis flere af de danske bank'er har alt eller blot dele af deres it-drift hos en amerikansk virksomhed og derfor kunne være påbudt at udlevere økonomiske data om deres kunder.

Nej, vel!? :-) ...hehe ...øhhh....øjeblik, hang on...

:-/

  • 9
  • 0
Per Andersen

Det er normalt, at lovgivning må udvikle sig efterhånden som samfundet ændrer sig og nye teknologier ser dagens lys. Ellers ville der stadig skulle gå en person med et rødt flag foran hver bil på landevejen i England, hvor man i 1865 vedtog loven om ”mekaniske fremdrevne maskiner på offentlige veje” – den fastsatte også en max. Hastighed på 3 km/t, og det måtte man i 1896 justere op til 23 km/t som følge af den tekniske udvikling.

Persondataloven er fra 2000 og implementerer et EU direktiv fra 1995 om beskyttelse af data. Den afløste de tidligere registerlove, der var fra 1970erne og netop indført i kølvandet på den stigende brug af IT. Som de fleste andre love er også persondataloven ikke sort eller hvid, og den giver muligheder for fortolkninger. Specielt da det overordnede princip er at ”oplysninger skal behandles i overensstemmelse med god databehandlingsskik.”

Bare over de senere år har grænserne for persondataloven været til debat og rykket ved. Sidste år besluttede datatilsynet sig for en betydelig opblødning af offentlige myndigheders brug af sms over for borgerne. Tilsvarende kom er i december sidste år afgørelser fra datatilsynet, der godkendte oprettelsen af gældsregistre indeholdende positive kreditoplysninger.

Så det er muligt – og samfundsmæssigt relevant – at rykke ved grænserne for retspraksis over tid. Det er også eu-kommissionen klar over og har taget initiativ til en revision af det gældende databeskyttelsesdirektiv, der nu bør ”moderniseres for at afspejle den nye teknologiske udvikling.”

Som Viviane Reding, næstformand for kommissionen, udtaler: ”Vi skal opveje hensynet til privatlivets fred med nødvendigheden af en fri udveksling af oplysninger, der bidrager til at skabe økonomiske muligheder.” http://europa.eu/rapid/pressReleasesAction.do?reference=IP/11/102

Jeg argumenterer på ingen måde imod det generelle databeskyttelsesdirektiv og beskyttelsen af personlige data. Men rammerne må udvikle sig, og fortolkningen må tage højde for den stigende praksis omkring brug af eksterne IT services. Ellers ender vi som englænderne, der i 1800-tallet mistede mange års udvikling af bilindustrien på grund af forældede love som ovenfor nævnt.

  • 6
  • 1
Leonard Kramer

Jeg er ikke som saadan imod at proppe data i skyen, men jeg kan ikke se hvorfor den absolut skal puttes i skyen hos et udenlandskt firma.

Det maa vaere visse data det simpelt hen er for vigtig til at det skal ud over landegraenserne.

Udermere vil jeg mene at visse dataer overhovdet ikke skulle i private haender (men der kommer jeg nok lidt paa kant med den liberale regering).

Men hvis skyen er saa vigtig, saa maa det da ogsaa vaere mulig at faa den fornoedne kapacitet inden for landet, enten igennem staten eller igennem private, det virker fuldstaendigt vanvittigt at fundament data fra det danske samfun skal ligge under fremmede magters lovgivning.

  • 4
  • 2
Kenn Nielsen

Eller forstil jer det her ...nej, det er helt til grin... men alligevel: Hvad nu hvis flere af de danske bank'er har alt eller blot dele af deres it-drift hos en amerikansk virksomhed og derfor kunne være påbudt at udlevere økonomiske data om deres kunder.

Fantastisk argumentation!

Hr. Betjent, - du kan da ikke arrestere mig for at sparke ofret, ham dérovre slog med en kølle, og i den sammenhæng er jeg jo en engel !

Først er vi jo nødt til at vide om det er lige så "farligt" at uncle-sam og afledte virksomheder kender flere ting vedr. bankkunders økonomiske forhold, som det er hvis disse også(!) kender til sygehistorik, gentests, laboratorieprøver etc.

Jeg kan ikke lide nogen af delene, men mener absolut ikke det vil gavne nogen at skulle slås mod deres forsikringsselskab for en eller anden erstatning, bare fordi det kan betale sig for forsikringsselskabet at råbe 'ond tro' udfra en gammel patientjournal, der kan omfortolkes af forsikringsbranchens egne læger.

Nu skal vi huske på at alle pengeoverførsler går gennem ganske få knudepunkter, hvor uncle-sam kontrollerer. (hint: wikileaks)

Og, nej! - Jeg tror ikke moralen er højere noget andet sted i verden.

K

  • 1
  • 0
Casper Bang

Jeg ser blot cloud computing som næste generation af 90'ernes "The network is the computer" og 2000's "SOA". Cloud computing er blot et udtryk for en abstraktion, en ny snitflade der betyder at vi er mindre afhængig af konkret implementationsteknologi og leverandør (både inde for hardware og software).

At cloud computing ikke passer til alt ting kan vel heller ikke komme bag på nogen, især sikkerhedspolitikiske aspekter kan spænde ben. Der er information man bør have liggende lokalt for at forhindre uautoriseret fysisk adgang. Men langt det meste information kan godt ligge "ude" som data, såfremt det blot får lov at være data istedet for decideret information (f.eks. via. 256-bit AES asymetrisk kryptering).

Jeg stoler f.eks. overhovedet ikke på Dropbox, men da jeg bruger TrueCrypt før Dropbox får fat i mine data, er jeg i princippet ligeglad med Dropboxs politikker og usikkerheder.

  • 6
  • 0
René Løhde

@Kenn Nielsen,

Helt enig i at "Two wrongs" ikke giver en "right".

Men min pointe er følgende ...for nu at tilføje forhistorien til din metafor:

Betjenten overværer offeret blive slået med kølle hver dag i 10 år (i ti år!) uden tilsyneladende at forhindre det.
Efter 10 år kommer en ny mand til gerningsstedet og sparker offeret. Betjenten anholder "sparkeren" -> que ...din historie.

Hr. Betjent, - du kan da ikke arrestere mig for at sparke ofret, ham dérovre slog med en kølle, og i den sammenhæng er jeg jo en engel !

Det jeg forsøger at sige i mit første indlæg er at man som iagttager må stå tilbage med spørgsmålet:

Hvorfor greb betjenten ikke ind overfor kølleslagerne i løbet af de 10 år?

  • 1
  • 0
Jesper Lund

At cloud computing ikke passer til alt ting kan vel heller ikke komme bag på nogen, især sikkerhedspolitikiske aspekter kan spænde ben. Der er information man bør have liggende lokalt for at forhindre uautoriseret fysisk adgang. Men langt det meste information kan godt ligge "ude" som data, såfremt det blot får lov at være data istedet for decideret information (f.eks. via. 256-bit AES asymetrisk kryptering).

Det beskrevne eksempel vil være en fornuftig anvendelse af cloud: data klient-side krypteres inden de sendes til cloud udbyderen, og cloud udbyderen har ingen mulighed for at misbruge data. Jeg har selv 15 GB personlige backup data liggende i cloud på denne måde (faktisk hos en virksomhed som er omfattet af Patriot Act).

Men cloud som Google mail, Google apps, Google XYZ, som f.eks. Odense Kommune ønsker at bruge i deres skoleforvaltning, ligger meget langt fra det eksempel
http://www.version2.dk/artikel/datatilsynet-forbyder-google-apps-i-kommu...

Ingen klient-side kryptering, ingen sikkerhed.

  • 1
  • 0
Kenn Nielsen

Det jeg forsøger at sige i mit første indlæg er at man som iagttager må stå tilbage med spørgsmålet:

Hvorfor greb betjenten ikke ind overfor kølleslagerne i løbet af de 10 år?

Ok, det var så meget fortolkningsvenligt, - for mig at læse, havde det virkeligt karakter af bagatelliserende fortaleri, med en 'træls' undertone.

Hvis det virkelig var et problem var det jo nok blevet opdaget og nogen havde reageret for lang tid siden.

K.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Men cloud som Google mail, Google apps, Google XYZ, som f.eks. Odense Kommune ønsker at bruge i deres skoleforvaltning, ligger meget langt fra det eksempel


Så er vi tilbage til spørgsmålet omkring forskellen på PaaS og SaaS i skyen.

http://www.version2.dk/blog/patenter-i-skyen-29456

Og når I så er færdige med at snakke om personfølsomme data, så overvej resten af de use-cases, der ligger lige for ved anvendelse af skyen. Som Per skriver det:

"Men det er vigtigt at erkende, at cloud services er en del af den grundlæggende udvikling, hvor IT bliver mere og mere standardiseret og leveret som services af eksterne leverandører"

  • 0
  • 0
Log ind eller Opret konto for at kommentere