In de discussies hier op Computable over privacy zijn sommige argumenten hilarisch, roepen dat it geen core activiteit is, alle data in Amerikaanse cloud moet omdat het goedkoper is en dat de overheid maar voor regels moet zorgen om het data graaien te stoppen bijvoorbeeld. Dat klinkt alsof we door moeten gaan met de Europese gps-satellieten in een ‘noncompliant orbit’ te brengen door verschillen in metrieke en imperiale stelsel.
Zoals SNIA concludeert is er namelijk normalisatie in storage management nodig omdat er verschillen zitten tussen de kwantitatieve waarde van pijs/volume en die van kwalitatieve prijs/prestatie. Let wel, dit is dus alleen het technische verhaal want als het om privacy gaat is er ook nog de classificatie naar sensitiviteit door de business. Tenslotte geven alle providers expliciet in hun voorwaarden aan dat privacy niet hun verantwoordelijkheid is. Kortom, het gaat om de ketenverantwoordelijkheid van de data die niet stopt bij de server.
Buurman, wat doet u nu?
Sommigen zetten onwetend pikante foto’s van zichzelf in de cloud, sommigen doen dit met bedrijfsgegevens die vaak persoonsgegevens van anderen bevatten. Ongestructureerde en dus meestal ook ongeclassificeerde data op dezelfde manier in de cloud zetten als we dat twintig jaar lang over de schutting naar it gegooid hebben lijkt me geen goed idee. Eerder heb ik daar al over geschreven in ‘Dot.com economie is nu Bedot.com economie’ en waar sommigen geen it-touw aan vast konden knopen. Grappig omdat dus voormalig privacy strategist van Microsoft Caspar Bowden me recentelijk nog vertelde dat we ons continent beter ‘You-Rope’ kunnen noemen door de afhankelijkheid die we hebben met bepaalde closed source-leveranciers. .
‘If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security’ – Caspar Bowden
Wie doorgaat met zijn twintig jaar oude kunstjes door alles nu in de, met name de Amerikaanse, cloud te stoppen is niet erg innovatief bezig. Zeker niet als het geen open data betreft en achteraf klagen over problemen met de data portabiliteit en regelgeving geeft wel aan waar ‘technology debt’ werkelijk ligt, bij het nog stelselmatig ontkennen van het bestaan van data.
Kompas, geen gps
Neem bijvoorbeeld EU Data Protection Directive, wat niet over servers en services gaat maar het residu van digitale processen dat ergens neerslaat. Veel data landt misschien wel in een primary datacenter binnen Europese grenzen maar reist vaak weer verder naar datacentra in Amerika. Maar wie al twintig jaar stelselmatig het bestaan van data ontkent zal ook weinig weet hebben van de back-up, we verwachten dat deze gemaakt wordt zonder eigenlijk te willen weten hoe. En roepen dat opslaan in de cloud goedkoper is terwijl je geen weet hebt van karakteristieken van alle data, de onderliggende architectuur inclusief locatie en kosten is kortzichtig. Zeggen dat beheerders last hebben van onthechtingsproblemen is gewoon zielig, zeker als je verwacht dat de overheid jouw fouten op gaat lossen.
De mogelijk gebrouilleerde ex-werknemer van Microsoft gaf als commentaar op het nieuws dat Microsoft stopt met het Trustworthy Computing (TwC)-initiatief en dat de verhouding technici versus marketing één op drie was. Niet echt vertrouwenwekkend maar nog altijd beter dan bij onze overheid waar verhouding één op tien is. En om even terug te komen op opmerking over de Europese gps-satellieten die in verkeerde baan terecht kwamen, het Galileo project is ooit eens gestart om onze afhankelijkheid te verkleinen bij plaats- en richtingsbepaling. Benieuwd of de tegenslag alleen tot vertraging leidt of tot het einde. Want opmerkelijk vaak kiest onze overheid de weg van de minste weerstand, goedkope oplossingen omdat boekhouders de scepter zwaaien. Nu Microsoft in de change advisory board zit van overheden is het dus inderdaad bedenkelijk hoeveel soevereiniteit we nog hebben aangaande de it in het algemeen en alle ongestructureerde data in het bijzonder.
Normalisatie
Omdat storage meer is dan een disk en er ook nog een netwerk, hoeveelheid logica en het benodigde beheer bij zit, moeten we eens kijken naar de Theory of Constraints zoals Eliyahu Goldratt deze uitlegde in zijn boek Het Doel: ‘The level of utilization of a non-bottleneck process is not determined by its own potential, but by some other constraint in the system.’
En grootste constraint bij het gebruik van cloud diensten lijkt me regelgeving te worden, niet zo zeer het gebrek eraan maar het niet naleven ervan. Nieuw is cloud storage trouwens niet want het bestaat al twintig jaar maar toen was er geen behoefte aan omdat we eerst data classificeerden en het toen pas naar de disks schreven. Nu doen we het andersom met alle big data in cloud-oplossingen. Maar hier geldt: goedkope resources plus gevoelige data is dure les.
Hoewel de data architectuur het fundament is van elke organisatie nu alle processen door it ondersteund worden is kennis erover niet of nauwelijks aanwezig. Bij negen van de tien projecten kijkt men achteraf naar de opslag, pas als er problemen zijn dus. Opmerkelijk want als het om de opslag gaat is het niet alleen kiezen tussen volume of prestatie, maar ook tussen compliant en non-compliant. Want lang niet alle ongestructureerde data die we nu massaal in de cloud zetten is ook open data.
Cloud van Pandora
Een beetje handige storage administrateur doet wat gangbare praktijk is in de cloud, betaal de investeringen die nodig zijn om alles op te slaan gewoon met Polaroid. Maak een foto van de data architectuur om alle contraints te identificeren, vergeet de NSA en denk aan CIA:
1. Confidentiality
2. Integrity
3. Availability
Elke normering aangaande de informatiebeveiliging begint en eindigt tenslotte bij de opslag, negen van de tien (public) cloud-oplossingen zijn non-compliant omdat er meestal maar één van de drie genoemde punten mee ingevuld wordt. De andere twee zijn het maatwerk dat altijd weer achteraf komt en voor de verrassingen in de boekhouding zorgt. Maar ja, wie zijn data over de schutting gooit vindt zijn business waarschijnlijk niet belangrijk. Als het misgaat vragen we gewoon de overheid om bij te springen. Zeg maar het ‘databankieren’ van de verschoven verantwoordelijkheden: wel de lusten maar niet de lasten.
Ewout, een juweeltje van een artikel. Je beschrijving is helaas nog deprimerender dan de situatie in mijn visie al was. Inderdaad, de “grootste constraint bij het gebruik van cloud diensten lijkt me regelgeving te worden, niet zo zeer het gebrek eraan maar het niet naleven ervan.” Waarbij “de weg van de minste weerstand, goedkope oplossingen omdat boekhouders de scepter zwaaien”. Dat geldt ook voor steeds meer voor bedrijven. De verantwoordelijkheid zo goedkoop mogelijk afkopen (maar niet echt), dat is allang niet meer het alleenrecht van politiek beïnvloedbare ambtenaren.
Microsoft heeft de Trustworthy Computing Group helemaal opgeheven, maar wil wel de mate van Trustworthy Computing bij de overheden en bedrijven blijven beïnvloeden. Het wordt dus voorlopig niet beter van beide kanten.
@J van Voren
Zo deprimerend is het ook weer niet, veel on-premises oplossingen zijn namelijk gewoon compliant alleen maakt dat geen gebruik van ‘agile’ oplossingen die nog sneller vervangen worden dan sommigen hun onderbroek wisselen. Kijkend naar de digitale remsporen van opportunistische cloud evangelisten stel ik hier alleen maar dat informatie vanuit een technisch perspectief dus gewoon om data gaat. En juist hier knelt de schoen omdat er te eenzijdig tegen de data architectuur aangekeken wordt, toch vooral horizontaal en niet vertikaal.
Betreffende onderwerp data heb ik het trouwens niet alleen over het blokje informatie zelf maar ook de verschillende attributen in de vorm van metadata welke steeds vaker los van elkaar opgeslagen worden. Vergelijk het met verlies van beveiliging als je een directory van NTFS naar FAT32 kopieerd.