Veel organisaties vertrouwen nog steeds op een oud model server dat sinds jaar en dag trouw ergens in een kelder staat te snorren en vaak al drie keer is afgeschreven. Veelal draaien daar nog belangrijke applicaties en een oud besturingssysteem op, want if it ain’t broke… don’t fix it!
Ik vergelijk zulke situaties vaak met je eigen, oude auto. Je weet dat ie niet perfect is en dat hij wel wat reparatie kan gebruiken, maar hij brengt je nog steeds van A naar B. Maar onder de motorkap van die auto, en dus ook van die oude server, zitten allerlei gevaren en risico’s die kunnen resulteren in serieuze problemen. En die komen altijd op een moment waarop het niet uitkomt.
Serieuze kwetsbaarheden
De belangrijkste gevaren van het gebruik van verouderde technologie zijn wat mij betreft veiligheidsrisico’s. Hoe ouder je besturingssysteem of applicatie is, hoe langer de bad guys de tijd hebben om een kwetsbaarheid te vinden. Dit is al helemaal het geval wanneer de producent niet langer actieve support levert voor de bewuste software. Een recent onderzoek van securitybedrijf Cenzic, laat zien dat de applicatielaag nog steeds een aantrekkelijk doelwit is voor cyberaanvallen. 69 procent van alle applicaties die in 2013 zijn getest, bevatten één of meerdere serieuze kwetsbaarheden.
Het gemiddelde aantal kwetsbaarheden per app is gestegen van dertien vorig jaar naar veertien nu. En die gevaren bevinden zich over het gehele, vaak verouderde applicatieplatform. Oudere versies van SQL Server lopen gevaar. Misschien draait er nog ergens een oude ftp-server zonder dat iemand dat in de gaten heeft. Of er is nog wat verouderde netwerkapparatuur of appliances in gebruik. Het komt er eigenlijk op neer dat alles wat op of aan het netwerk hangt, een potentieel gevaar is voor jouw server en dus voor de business. En wanneer je de software en/of firmware op die server niet up-to-date hebt gehouden is het risico op een serieus security-incident dubbel zo groot.
Raid-arrays
Harde schijven zijn over het algemeen de zwakste schakel bij oudere hardware. Simpelweg omdat ze bewegende delen bevatten. Een probleem met een harde schijf resulteert meestal in het verlies van data en als een data recovery-actie niet correct wordt uitgevoerd, ben je nog verder van huis. Het gebruik van solid state drives (ssd) lost dit probleem voor een deel op en zorgt ook voor betere prestaties. Raid-arrays zijn uitgevonden om je te beschermen tegen uitvallende disks.
Hoewel dit al een veel betere situatie is dan helemaal niets doen, is het geen garantie dat alles weer als vanouds wordt wanneer je een kapotte disk vervangt. Zo kunnen er fouten zijn op andere disks die aan het licht komen tijdens het opnieuw opbouwen. Het probleem is alleen dat je er pas achter komt wanneer je je array echt goed checkt op fouten, wat niet veel mensen doen, of wanneer je dus een array opnieuw gaat opbouwen. In dat geval zit je dus met een kapotte array én dataverlies. Niet echt wenselijk.
Rottende bits
Er bestaat zoiets als rottende bits. Dat is het geval wanneer bits in het geheugen of op een disk staan in verval raken. Wikipedia beschrijft het als volgt: ‘Dankzij steeds maar groeiende capaciteit van disks, grotere bestanden en toenemende groei in data die op disks worden opgeslagen, is het steeds waarschijnlijker dat bit-rot of een andere vorm van incorrecte en onvindbare data zal voorkomen.’ Terwijl de nieuwste enterpise grade hardware steeds stabieler en betrouwbaarder wordt, is de kans dat dit voorkomt wanneer je daar steeds grotere hoeveelheden data op opslaat en mee verwerkt steeds groter. Het vervangen van disks helpt, maar wat ook helpt is het verplaatsen van kritische data naar meer geavanceerde storagesystemen, zoals die van EMC of NetApp.
Legacy-systemen kunnen ook slachtoffer worden van ‘software-rot’. Dit is het rottingsproces dat bestaat uit het alsmaar langzamer worden van de softwareprestaties of het feit dat de software langzamer reageert en uiteindelijke fouten maakt en onbruikbaar wordt. Dan is de term legacy echt van toepassing en zal er snel vervanging moeten komen.
Strategische issues
Wanneer bovenstaande zaken actueel zijn, kan zich op elk moment een probleem voordoen. De consequenties kunnen verlies van productiviteit zijn, of erger, verlies van kritische data dat zorgt voor negatieve impact op de bedrijfsvoering. Maar er zijn nog meer gevaren die op de loer liggen en waar je wellicht nooit aan hebt gedacht. Het blijven vertrouwen op oudere technologie en infrastructuur zorgt ervoor dat je organisatie achterblijft op enkele strategische punten.
Je concurrenten zijn je liever kwijt dan rijk. Ze willen jouw klanten en waarschijnlijk maken zij gebruik van technologie om concurrentievoordeel te behalen. Dit kun je niet doen door gebruik te maken van oude technologie. Door de inzet van moderne applicaties op een moderne infrastructuur kunnen je concurrenten beter communiceren, sneller reageren, meer deals sluiten en relaties verstevigen.
Oudere technologie kan simpelweg minder dan een moderne infrastructuur. Dit zorgt voor minder flexibiliteit op allerlei gebieden, zoals het kunnen analyseren van data voor het nemen van beter onderbouwde beslissingen, communicatie en samenwerking of het ontwikkelen van nieuwe applicaties.
Ben je in staat om snel en eenvoudig nieuwe applicaties uit te rollen en nieuwe medewerkers in te werken? En kun je op nieuwe initiatieven binnen enkele uren reageren in plaats van enkele dagen, weken of zelfs maanden? Misschien besteed je al je tijd wel aan het beheren van de infrastructuur en ‘het licht aanhouden’ in plaats van te focussen op nieuwe initiatieven. Oude it staat het tijdig kunnen voorzien in de juiste it-oplossing serieus in de weg.
Samenvattend zijn de (verborgen) risico’s van het gebruik van oude technologie als volgt:
- Een toename in beveiligingsbedreigingen en kwetsbaarheden
- Het falen van harde schijven die kunnen leiden tot catastrofaal dataverlies
- Bit-rot dat kan leiden tot het onbruikbaar worden van data
- Software-rot dat kan leiden tot instabiliteit, meer downtime en het verlies van productiviteit
- Je bent minder concurrerend
- It is minder flexibel
- De organisatie kan minder snel reageren
Problemen voorkomen en verhelpen
Organisaties doen er dus goed aan om werk te maken van het upgraden en onderhouden van hun systemen. Wat draait er? Is de software up-to-date? En is het echt nodig dat die bepaalde software draait op die bepaalde hardware en wat zijn de alternatieven?
Er zijn legio mogelijkheden om deze problemen te voorkomen of te verhelpen. Het vervangen van alle soft- en hardware is er één van, maar denk ook eens aan het uitbesteden van (delen van) je infrastructuur, serverpark en het hosten van applicaties in een (hybride) cloudmodel bij een betrouwbare hostingpartner.
Maar het begint bij het besef dat ‘goed’ niet perse de beste optie is.
Een prima artikel; wel wat opmerkingen.
M.b.t. de hardware. Niet alleen bewegende delen in de klassieke zin, kunnen slijten. Chips en kleine soldeerverbindingen kunnen haarscheurtjes krijgen door het steeds weer uitzetten en krimpen, vooral bij slechte koeling. Daardoor kunnen componenten gaan falen. Testprogramma’s kunnen dit soort kromme bitjesproblemen vaak opsporen.
Chemische processen in elektrolytische condensatoren kunnen deze elco’s compleet ruïneren en ook andere componenten in de buurt. Elco’s kunnen binnen twee jaar rot zijn, of na twintig jaar nog steeds goed. Visuele inspectie kan plotselinge uitval voorkomen. Maar het mag soms niet vanwege de garantie.
Door het herschrijven van HD’s, EPROM’s, kan bit-rot tegengegaan worden. Dat werkt niet bij SSD’s, of DVD’s. Dan moet je (na opschonen) een kopie op een nieuwe schijf maken.
Omdat je niet weet wanneer het probleem optreedt, is niet zinvol om de hardware zonder een directe aanleiding preventief te vervangen; testen dus. Vervangen hoeft overigen niet altijd vernieuwen te betekenen.
M.b.t. de software. Bit-rot is niet altijd weg te werken, zoals in de vorm van slapende code is bij aangeschafte software. Even wat rotte bitjes bij een Windows Server of een MS Suite gaan wipen, is helaas geen optie. Overbodige data en software gaan opschonen kan wel, maar dat gebeurt te weinig.
Naast regulier beheer en onderhoud, is het regelmatig schouwen van hard en software en architectuur belangrijk. Dan kan beoordeeld worden of deze vervangen moet worden vanwege technische, functionele of economische redenen. Elke component of laag kan eerder of later dan gepland afgeschreven moeten worden. Haperende oude meuk kan heel kostbaar zijn. Als er geen nieuwe eisen zijn, dan geldt if it ain’t broke… don’t fix it.
Gebeurt dit schouwen niet, dan is er sprake van organisatierot. Wellicht moet dan je eens wat menselijke componenten gaan vervangen.
Wat een belegen artikel. Praat nog over servers in kelders, de bezemkast was een populaire naam bij de ICT-ers, disks, alsof deze in de server zitten, etc. Nog een paar jaar en dan zijn we van deze verhaaltjes af.
Servers met applicaties draaien virtueel, data staat op een SAN of in de cloud en applicaties zijn niet verouderd omdat het een SAAS is.
Anno 2014 ben ik wel klaar met deze onzin.
Even kijken, “Don’t change a winning team”. Als ik het verhaal lees lijkt het meer op een verkooppraatje, moeten verbeteren omdat vernieuwing moet. Ontzettende onzin natuurlijk. Waarom zou je persé iets moeten moderniseren als het goed werkt. Nieuwe hardware kan natuurlijk altijd, desnoods in een VM ofzo. Het veiligheidverhaal is natuurlijk sterk overtrokken want je kunt zat mogelijkheden eromheen treffen dat de veiligheid versterkt. En wat virussen betreft, zijn vaak geschreven voor nieuwere systemen.
Daarnaast is oude software vaak geschreven op performance en niet op ‘modelling’ bullshit wat nu tegenwoordig de trend is. De vraag blijft altijd of vernieuwing daadwerkelijk een verbetering is en of het daardoor efficiënter en sneller wordt. Zo’n systeem is vaak uitontwikkeld en wanneer je weer opnieuw zou beginnen kunnen er nieuwe problemen ontstaan. Dat brengt de continuïteit en stabiliteit van een organisatie in gevaar.
Automatisering wordt nu veel te veel omringt door ‘Fashion’, het lijkt niet meer om automatiseren te gaan. Eeen nieuwe broek omdat je er anders niet meer bijhoort. Kolder.
Heb het ook gezien bij het UWV, nieuw programma waarbij er veel met de muis moet worden gewerkt. Gevolg: RSI klachten personeel. Inderdaad daarvoor een ‘oud’ DOS programma maar was gespitst op invoer. Dat bedoel ik dus, vernieuwing hoeft niet altijd een verbetering te zijn.
Tja ook ik zie vooral weer eens een WC-eend verhaal.
Er wordt nogal eens vergeten dat heel wat bedrijven niet gebaat zijn bij een standaard oplossing.
En er zijn heel wat toepassingen die je echt graag op je eigen (al dan niet gedateerde) server wil laten draaien.
Probleem is vooral dat:
– We maar blijven denken dat ICT enkel bestaat uit kantoor automatisering en al dan niet fancy websites
– We maar blijven denken dat enkel een kan en klaar oplossing een goede oplossing is
– We maar blijven denken dat er geen gekwalificeerde mensen te vinden zijn en we het dus moeten doen met het gemiddelde niveau dat de afgelopen vijftien jaar van HBO opleidingen vandaan zijn gekomen
hmmm dat zijn wel de belangrijkste punten van kritiek die ik heb.
De overige zijn in essentie een herhaling ervan.
@ Reza,
Goede toevoeging.
Net zoals bij auto’s moet je ook je ICT omgevingen periodiek checken.
En wordt repareren te duur dan is vervangen altijd nog een optie.
Ik heb hier in het verleden al iets over geschreven:
https://www.computable.nl/artikel/opinie/storage/4549928/1277017/apk-voor-de–ictomgeving.html
Beste Angelo,
Goed stuk en zeker een reminder van…. Want het is ook een telkens weer terug kerend hiaat in de E2E IT keten. Ik kan me alleen niet helemaal vinden in je kleine opsommingslijstje, maar dat terzijde. Een goed voorbeeld was twee jaar geleden toen alle wissels in en rond Utrecht plots ‘er uit vielen’. Wat bleek, de aansturende PC was een legacy PC waar niemand eigenlijk echt naar om heeft gekeken gedurende verschillende migraties en transities.
Ik vond dit werkelijk een acte van onvermogen voor de IT dienstenleverancier. Je hebt immers, tenminste zo zie ik het, ook tot taak zaken te signaleren en zaken aan te kaarten.
Absoluut een goed artikel. Dank.