Veel organisaties vertrouwen nog steeds op een oud model server dat sinds jaar en dag trouw ergens in een kelder staat te snorren en vaak al drie keer is afgeschreven. Veelal draaien daar nog belangrijke applicaties en een oud besturingssysteem op, want if it ain’t broke… don’t fix it!
Ik vergelijk zulke situaties vaak met je eigen, oude auto. Je weet dat ie niet perfect is en dat hij wel wat reparatie kan gebruiken, maar hij brengt je nog steeds van A naar B. Maar onder de motorkap van die auto, en dus ook van die oude server, zitten allerlei gevaren en risico’s die kunnen resulteren in serieuze problemen. En die komen altijd op een moment waarop het niet uitkomt.
Serieuze kwetsbaarheden
De belangrijkste gevaren van het gebruik van verouderde technologie zijn wat mij betreft veiligheidsrisico’s. Hoe ouder je besturingssysteem of applicatie is, hoe langer de bad guys de tijd hebben om een kwetsbaarheid te vinden. Dit is al helemaal het geval wanneer de producent niet langer actieve support levert voor de bewuste software. Een recent onderzoek van securitybedrijf Cenzic, laat zien dat de applicatielaag nog steeds een aantrekkelijk doelwit is voor cyberaanvallen. 69 procent van alle applicaties die in 2013 zijn getest, bevatten één of meerdere serieuze kwetsbaarheden.
Het gemiddelde aantal kwetsbaarheden per app is gestegen van dertien vorig jaar naar veertien nu. En die gevaren bevinden zich over het gehele, vaak verouderde applicatieplatform. Oudere versies van SQL Server lopen gevaar. Misschien draait er nog ergens een oude ftp-server zonder dat iemand dat in de gaten heeft. Of er is nog wat verouderde netwerkapparatuur of appliances in gebruik. Het komt er eigenlijk op neer dat alles wat op of aan het netwerk hangt, een potentieel gevaar is voor jouw server en dus voor de business. En wanneer je de software en/of firmware op die server niet up-to-date hebt gehouden is het risico op een serieus security-incident dubbel zo groot.
Raid-arrays
Harde schijven zijn over het algemeen de zwakste schakel bij oudere hardware. Simpelweg omdat ze bewegende delen bevatten. Een probleem met een harde schijf resulteert meestal in het verlies van data en als een data recovery-actie niet correct wordt uitgevoerd, ben je nog verder van huis. Het gebruik van solid state drives (ssd) lost dit probleem voor een deel op en zorgt ook voor betere prestaties. Raid-arrays zijn uitgevonden om je te beschermen tegen uitvallende disks.
Hoewel dit al een veel betere situatie is dan helemaal niets doen, is het geen garantie dat alles weer als vanouds wordt wanneer je een kapotte disk vervangt. Zo kunnen er fouten zijn op andere disks die aan het licht komen tijdens het opnieuw opbouwen. Het probleem is alleen dat je er pas achter komt wanneer je je array echt goed checkt op fouten, wat niet veel mensen doen, of wanneer je dus een array opnieuw gaat opbouwen. In dat geval zit je dus met een kapotte array én dataverlies. Niet echt wenselijk.
Rottende bits
Er bestaat zoiets als rottende bits. Dat is het geval wanneer bits in het geheugen of op een disk staan in verval raken. Wikipedia beschrijft het als volgt: ‘Dankzij steeds maar groeiende capaciteit van disks, grotere bestanden en toenemende groei in data die op disks worden opgeslagen, is het steeds waarschijnlijker dat bit-rot of een andere vorm van incorrecte en onvindbare data zal voorkomen.’ Terwijl de nieuwste enterpise grade hardware steeds stabieler en betrouwbaarder wordt, is de kans dat dit voorkomt wanneer je daar steeds grotere hoeveelheden data op opslaat en mee verwerkt steeds groter. Het vervangen van disks helpt, maar wat ook helpt is het verplaatsen van kritische data naar meer geavanceerde storagesystemen, zoals die van EMC of NetApp.
Legacy-systemen kunnen ook slachtoffer worden van ‘software-rot’. Dit is het rottingsproces dat bestaat uit het alsmaar langzamer worden van de softwareprestaties of het feit dat de software langzamer reageert en uiteindelijke fouten maakt en onbruikbaar wordt. Dan is de term legacy echt van toepassing en zal er snel vervanging moeten komen.
Strategische issues
Wanneer bovenstaande zaken actueel zijn, kan zich op elk moment een probleem voordoen. De consequenties kunnen verlies van productiviteit zijn, of erger, verlies van kritische data dat zorgt voor negatieve impact op de bedrijfsvoering. Maar er zijn nog meer gevaren die op de loer liggen en waar je wellicht nooit aan hebt gedacht. Het blijven vertrouwen op oudere technologie en infrastructuur zorgt ervoor dat je organisatie achterblijft op enkele strategische punten.
Je concurrenten zijn je liever kwijt dan rijk. Ze willen jouw klanten en waarschijnlijk maken zij gebruik van technologie om concurrentievoordeel te behalen. Dit kun je niet doen door gebruik te maken van oude technologie. Door de inzet van moderne applicaties op een moderne infrastructuur kunnen je concurrenten beter communiceren, sneller reageren, meer deals sluiten en relaties verstevigen.
Oudere technologie kan simpelweg minder dan een moderne infrastructuur. Dit zorgt voor minder flexibiliteit op allerlei gebieden, zoals het kunnen analyseren van data voor het nemen van beter onderbouwde beslissingen, communicatie en samenwerking of het ontwikkelen van nieuwe applicaties.
Ben je in staat om snel en eenvoudig nieuwe applicaties uit te rollen en nieuwe medewerkers in te werken? En kun je op nieuwe initiatieven binnen enkele uren reageren in plaats van enkele dagen, weken of zelfs maanden? Misschien besteed je al je tijd wel aan het beheren van de infrastructuur en ‘het licht aanhouden’ in plaats van te focussen op nieuwe initiatieven. Oude it staat het tijdig kunnen voorzien in de juiste it-oplossing serieus in de weg.
Samenvattend zijn de (verborgen) risico’s van het gebruik van oude technologie als volgt:
- Een toename in beveiligingsbedreigingen en kwetsbaarheden
- Het falen van harde schijven die kunnen leiden tot catastrofaal dataverlies
- Bit-rot dat kan leiden tot het onbruikbaar worden van data
- Software-rot dat kan leiden tot instabiliteit, meer downtime en het verlies van productiviteit
- Je bent minder concurrerend
- It is minder flexibel
- De organisatie kan minder snel reageren
Problemen voorkomen en verhelpen
Organisaties doen er dus goed aan om werk te maken van het upgraden en onderhouden van hun systemen. Wat draait er? Is de software up-to-date? En is het echt nodig dat die bepaalde software draait op die bepaalde hardware en wat zijn de alternatieven?
Er zijn legio mogelijkheden om deze problemen te voorkomen of te verhelpen. Het vervangen van alle soft- en hardware is er één van, maar denk ook eens aan het uitbesteden van (delen van) je infrastructuur, serverpark en het hosten van applicaties in een (hybride) cloudmodel bij een betrouwbare hostingpartner.
Maar het begint bij het besef dat ‘goed’ niet perse de beste optie is.
Naast de genoemde punten is er ook nog een kostenaspect. En dan bedoel ik niet eens de herstelkosten die gemaakt moeten worden bij een verstoring. Gewoon de kosten van beheer en aanpassingen die noodzakelijkerwijs zijn. Zijn er nog wel mensen beschikbaar die de juiste kennis nog hebben en bereid zijn om hieraan te werken.
Daarnaast zijn nieuwe servers goedkoper in stroomgebruik.
@Henri
De techniek de schuld geven is makkelijk: kun je vervangen, en “de techniek” zegt niets terug.
Dat gaat bij de organisatie net iets lastiger zeg maar 😉
Geheel eens met Henri. Veel FUD aangepraat met weinig goede onderbouwing. SSDs lossen harde schijf problemen niet altijd op. SSDs hebben ook een beperkte houdbaarheid, ze zijn ontegenzeggelijk sneller, dat is waar. Het gevaar van bitrot is bij SSDs echter niet kleiner.
Er wordt geen onderscheid gemaakt tussen de hardware server en de software server. Als men een server op de juiste momenten voorziet van patches is er geen probleem met beveiligingslekken (zeker bij Linux distributies worden security patches nog jarenlang ondersteund, dit in tegenstelling tot sommige betaalde operating systeem varianten).
Er wordt snel aangenomen dat nieuwe systemen makkelijk(er) aan te leren zijn door de werknemers terwijl oude systemen heel moeilijk aan te leren zouden zijn. Waar is de onderbouwing?
En de 7 punten die worden aangedragen als nadeel van oude technologie zijn net zo geldig bij nieuwe technologie. Ook uitval van SSDs kan catastrofale gevolgen hebben. Nieuwe applicaties kunnen last hebben van (zero day) security problemen. Het zelfde geldt voor bitrot, software rot, etc..
Waar de auteur de plank een beetje misslaat is de uitspraak dat je minder concurrerend zou zijn met een oud systeem of dat je IT minder flexibel zou zijn. Hiervan wil ik de onderbouwing wel eens willen zien. Volgens mij ben je concurrerend met een product, niet met een server; en flexibiliteit hangt niet alleen af van de server (maar ook van het personeel en management).
Kortom: geen goed stuk, ook al is het een opinie.
Henri/Pavake,
Helemaal mee eens. Vaak is juist de menselijke factor (lees organisatie, kennis ) de beperkende factor.
Ik ben het eens met PaVaKe en ik ontken de benoemde gevaren en punten in dit artikel niet.
Maar ja, de investering die je nodig hebt om je dienst op je eigen DC veilig te stellen heb je ook nodig als je van een cloud-leverancier gebruik wilt maken. Ik heb het over cloud escrow. Bovendien je hebt misschien in een cloudmodel een aantal risico`s niet die je in je traditionele model hebt maar je hebt wel in een cloudmodel een aantal nieuwe risico`s die je omgekeerd niet in je traditionele omgeving hebt.
Neem niet weg dat ik een voorstander ben van het jaarlijkse review van je ict-conditie zodat je met kleine aanpassingen, tijdig met minder risico`s, minder investering en beheerst met de tijd meegaat. Een ict-omgeving die up-to-date is, legt de bal neer bij de business en geeft de business de mogelijkheden om door het wijzigen van werkprocessen (daar waar nodig) meer efficiëntie en wendbaarheid te behalen.
Dit is overigens mogelijk wanneer ict niet alleen als “kostenpost” beschouwd wordt.
@ Johan Duinkerken
Je slaat de spijker op zijn kop. Het is een artikel dat zijn dienst verkoopt. Vergelijk met de auto is natuurlijk lastig, want gevirtualiseerde auto’s in een cloud bestaan niet of iets vergelijkbaars.
Beiden hebben onderhoud nodig en dat iemand (of dat nu een bedrijf of een prive persoon is) dat nalaat, zal altijd leiden tot dit soort zaken.
Als we dan gaan kijken naar de oplossing, vind ik Anna haar opmerking, veel nuttiger. Zorg dat het niet voorkomt.
Het doet me denken aan de manier waarop Amerikanen hun wegennet aanleggen. Zij kijken bij de financiering van snelwegen (en overigens ook brugger) alleen naar aanlegkosten. Iemand die is ingevoerd in aanleg van infrastructurele trajecten weet dat je de prijs x2 moet doen, om ook de komende 50 jaar de weg te kunnen blijven onderhouden.
Dus les 1, zorg dat je een business case maakt met het complete onderhoud erin, qua tastbare producten/diensten (patchmanagement, monitoring, hw servicing, sw/hw onderhoudscontracten) en kies een serieuze afschrijvingsperiode, waarbij je ook een vervangingsinvestering opneemt.
@Angelo
Dat er risico’s zijn is een ‘fact of life’ maar risicomanagement als proces gaat om het mitigeren hiervan op basis van – zoals PaVaKe zegt – de business case waarbij er vanuit twee cases gewerkt kan worden: operationeel en financieel. Je hele verhaal is niet eens meer een ‘Wij van WC-eend’ verhaal maar gewoon een klok en klepel gevalletje als ik even snel de SLA doorneem en van daaruit concludeer ik dat er alleen maar inspanningsgaranties en zeker geen resultaatgaranties gegeven worden.
Verhaal rond disks is werkelijk compleet onzin, RAID-arrays worden niet ter vervanging van een back-up gebruikt maar om middels redundantie de beschikbaarheid en prestatie te verhogen. Om EMC of NetApp te noemen als oplossing lijkt me een zwak argument, het gaat niet om een product maar de processen van hostingprovider zoals we dus al eens leerden met hostingprovider Exacthost. En bitrot wordt vooral in verband gebracht met het vervallen van de opslagmedia of in het geval van Jan het in onbruik raken van software wat gewoon om lifcecycle management gaat.
Derk Kremer heeft gelijk dat het om de regie gaat maar begint net als NumoQuest wel in herhaling te vallen met zijn studeerkamer wijsheden in boekvorm want als het om service lifecycles gaat dan is de onderliggende technologie irrelevant. Hierbij heb ik het dus niet over het service portfolio van de cloud prutsers maar die van de afnemer welke helaas vaak niet meer weet wat er allemaal onder de motorkap gebeurt.
Betreffende het vervangen van legacy applicatieplatformen is de praktijk weerbarstiger doordat veel hostingproviders met server virtualisatie deze alleen maar ‘verclouden’ waardoor wel de fysieke footprint verlaagd wordt maar de problemen dus niet opgelost. Wederom verwijs ik graag naar je eigen voorwaarden waaruit blijkt dat elke vorm van maatwerk buiten de service valt en dus gewoon door de afnemer gedaan moet worden.
Terug naar het begin, casus van financieel risico kan inderdaad gemitigeerd worden met hosting maar dat geldt dus meestal niet voor het operationele risico doordat dingen wel op afstand geplaatst worden maar lang niet altijd adequaat opgelost. Grappige is dat bedrijven hier meestal pas achterkomen als de service ‘down’ is want incident management blijft uiteindelijk altijd reactief, net als dat rekening pas achteraf komt.
De cloud biedt mogelijkheden, geen wonderen…
“Ik vergelijk zulke situaties vaak met je eigen, oude auto.”
Als je de vergelijking met een auto begint, en die kan illustratief zijn, moet je hem wel afmaken en nuanceren. Bij auto’s is de curve van afnemende kapitaalskosten (rente en afschrijving) tegenover toenemende onderhoudskosten al lang geleden beschreven en is een optimale gebruiksduur vaak berekend. Als die berekening voor servers en de programmatuur die daarop draait niet wordt gemaakt, blijft het in het duister tasten over wanneer je moet gaan vervangen.
Overweging: Huisdeuren (ik noem maar wat, vul alles in wat je wilt) vallen na honderd jaar gebruik ook uit elkaar. Ben ik daarom als huisdeurverkoper geloofwaardig als ik iedereen adviseer zijn deuren na vijf jaar preventief te vervangen?
Als ik als ex-Mapics consultant zie wat er op meerdere plaatsen gebeurde bij het vervangen van Mapics naar zogezegd modernere systemen, zoals Dynamics toestanden, waarbij plots MRP niet behoorlijk functioneren, forecast alleen als productflyer bestaat, zelf input doen van forecast data aanvaard ik niet, een grove leugen, veel hardcoded toestanden moet invoegen, dan stel ik mij vragen als blijkt dat zogezegd nieuwe concepten minder functionaliteit in huis hebben dan dertig jaar oudere concepten, Excel en internet buiten beschouwing gelaten. Waar blijft uw concurrentieel voordeel? Maar dat blijkt niet de bedoeling te zijn vlg. Sommige experts.
Om maar bij het begin meteen me de deur in huis te vallen….
Falend E2E keten policy
Veel organisatie focussen volkomen op zaken zoals #Plum #Scrum #Lean #Mean en #Humtidum of #BunteIllustrierte maar kennen weinig tot niets meer van de meest basale merites zoals een IT keten policy.
Bijzaken worden tot hoofdzaken verheven maar het meest basale meer en meer veronachtzaamd, terwijl die gewoon basic en onveranderd blijven in aandacht en belang. Als je namelijk geen goede policy en procedure hebt om hetgeen EOL is, en geen oog hebt voor een goed geordend CMDB voor je spullenboel, verdien je bijna niet beter.
Je blijft dan als IT professional wel telkens hetzelfde roepen waarbij ‘heilige geesten’ telkens maar graag commercieel hypen waarom hun model of ‘Nieuwe Realiteit’ zoveel beter is dan….
Wederom een artikel als deze?
Misschien een aardig signaal gewoon even weer eenvoudig na te gaan denken en te kijken naar simpel, simpeler, simpelst? Wat mij betreft is gecompliceerd niet interessant en nee, ik ga niet domweg mee in die zg ‘nieuwe realiteiten’ omdat er voor mij nog steeds de universele waarden vooraan staan.
De toevoegende waarde van IT dat je wil implementeren. Niet hijgerig hypen.