Streszczenie: Nowe technologie często budzą obawy i opór przed ich wdrożeniem. Brak pełnego zrozumienia ich działania oraz niepewność co do korzyści i ryzyk związanych z ich implementacją mogą prowadzić do niechęci wobec innowacji. Przykładem takiej technologii jest chmura obliczeniowa, która oferuje dostęp do zasobów infrastrukturalnych udostępnianych przez zewnętrznych dostawców. Według definicji NIST, usługa chmurowa powinna spełniać pięć kluczowych warunków: dostępność na żądanie, możliwość dostępu przez internet, dynamiczną alokację zasobów, elastyczność na żądanie oraz pełną mierzalność parametrów. Z chmury mogą korzystać firmy różnej wielkości, co pozwala im na oszczędności związane z inwestycjami w infrastrukturę oraz dostęp do rozwiązań klasy enterprise. Mimo tych korzyści, wiele przedsiębiorstw wciąż nie decyduje się na migrację do chmury, głównie z powodu obaw o bezpieczeństwo danych. Media często nagłaśniają przypadki wycieków informacji, co dodatkowo wzmacnia te obawy. Jednak warto zastanowić się, czy strach przed chmurą jest racjonalny, czy też wynika z działań marketingowych firm, które mogą stracić na upowszechnieniu tej technologii.
Nowe rozwiązania mogą powodować obawę i opór przed szybką adaptacją. Czy to XIX‑wieczni luddyści, czy dzisiejsze rekiny biznesu – wszyscy czujemy delikatną rezerwę wobec nieznanych wcześniej pomysłów. Niewystarczające rozeznanie w kwestii nowych technologii, aspektów wdrożenia, a także niepewny bilans zysków i strat generują obawę przed wyciągnięciem ręki po „nowe”. Czy słusznie? Dziś spróbuję przeanalizować ten problem na przykładzie chmury obliczeniowej.
Dla porządku przypomnę, że chmura jest modelem przetwarzania danych opartym na zasobach infrastrukturalnych udostępnianych przez firmę trzecią. Zgodnie z definicją NIST, żeby dana usługa mogła być nazwana chmurą, musi spełniać pięć warunków.
Dostępność na żądanie i możliwość samodzielnego uruchomienia (i zarządzania). Oznacza to, że klient bez pośrednictwa i w wybranym przez siebie momencie może uruchomić tak dużą infrastrukturę, na jaką ma akurat zapotrzebowanie.
Możliwość dostępu przez internet.
Dynamiczna alokacja zasobów infrastrukturalnych. Znaczy to tyle, że zasoby klienta nie są trwale związane z konkretnym sprzętem i mogą być w sposób ciągły „rozmieszczane” pomiędzy różnymi maszynami, klastrami, a nawet regionami geograficznymi.
Elastyczność na żądanie. To zdolność do natychmiastowego powiększenia lub zmniejszenia parametrów jakościowych lub ilościowych infrastruktury albo samodzielnie przez klienta z wykorzystaniem panelu administracyjnego bądź mechanizmów chmury (np. Autoskalera).
Pełna mierzalność parametrów. Czyli że dostawca chmury jest w stanie przedstawić klientowi pełen wykaz zużytych zasobów infrastrukturalnych, np. przestrzeni dyskowej, mocy obliczeniowej, transferu etc.
Zgodnie z powyższym usługi chmury świadczy np. AWS czy Oktawave, chmurami nie są zaś: hosting współdzielony, VPS‑y, serwery wydzielone, serwery pod biurkiem, a często nawet własne serwerownie. To ważne rozróżnienie, ponieważ niewłaściwe rozumienie chmury realnie utrudnia jej adopcję.
Komu pomaga chmura?
Z chmury mogą korzystać przedsiębiorstwa o dowolnej skali – od potężnych korporacji po niewielkie firmy. Wszystkie oszczędzają na inwestycjach w uruchomienie i utrzymanie własnych systemów infrastrukturalnych, a w zamian otrzymują rozwiązanie klasy enterprise, którego nie tylko sam zakup, ale również późniejsze utrzymanie kosztuje niemało.
Jak jednak pokazują statystyki, ponad połowa firm w USA i w Polsce nie korzysta z usług w chmurze, mimo że oznaczałoby to dla nich oszczędności. Dlaczego tak jest? Odpowiedź zazwyczaj jest jedna: obawa przed usługami tego rodzaju.
Suma wszystkich strachów
Bezpieczeństwo to uniwersalny klucz do wielu drzwi. Tematy z nim związane są zawsze łakomym kąskiem dla mediów, które ochoczo relacjonują spektakularne wycieki danych: od upublicznienia nieskromnych zdjęć celebrytów lub filmów przed ich premierą po kradzieże firmowych danych. Tymczasem dla 90% CIO bezpieczeństwo w sieci jest kluczowym argumentem przy decyzji o migracji do chmury.
Warto zatem zadać sobie pytanie, w jakim stopniu strach przed wykorzystaniem chmury jest racjonalnie uzasadniony, a w jakim jest wynikiem marketingu szeptanego firm, które na transferze do chmury mogą stracić. Przyjrzyjmy się więc przyczynom strachu przed usługami w chmurze, o jakich mówią przedsiębiorcy i specjaliści związani z sektorem IT.
Ktoś inny zajmuje się naszymi danymi?
Wadą takiego rozwiązania (chmury – przyp. red.) jest to, że oddajemy komuś innemu odpowiedzialność za nasze dane. Ktoś inny ma do nich dostęp i jest odpowiedzialny za ich bezpieczeństwo – mówi Steve Santorelli, były pracownik Scotland Yardu, a obecnie analityk bezpieczeństwa w sieci. Jego opinia wcale nie dziwi – jako analityk wykonuje komercyjne badania bezpieczeństwa, a konsekwentne nakręcanie spirali obaw sprzyja popytowi na usługi związane z ich analizą. Podobne lęki podsycają producenci sprzętu i oprogramowania, których przychody ze sprzedaży kurczą się z roku na rok.
Często zwraca się uwagę na to, że do końca „nie mamy wiedzy, gdzie są przetwarzane dane”, ale to też nie jest prawdą. Każda konkretna chmura, z jakiej chcielibyśmy skorzystać, to fizyczne miejsce, gdzie znajduje się sprzęt informatyczny i gdzie zredukowano ryzyko niepowołanego dostępu do danych, m.in. poprzez złożone systemy monitoringu i ścisłą politykę dostępu do centrów danych. Dodatkowo placówki te wyposażone są w rozbudowane systemy przeciwpożarowe, UPS‑y, agregaty prądotwórcze i inne rozwiązania mające na celu bezpieczne i nieprzerwane dostarczanie usług.
Profesjonalni dostawcy zapewniają także złożone rozwiązania dotyczące bezpieczeństwa od strony informatycznej. Wszystkie operacje, jakie prowadzi się w chmurze, szyfrowane są z wykorzystaniem algorytmów SSL, a wielopoziomowa autentykacja podczas logowania zabezpiecza przed niepowołanym dostępem czy phishingiem.
Problemy prawne?
Kolejną pozycję w katalogu strachów stanowią wątpliwości dotyczące regulacji prawnych w odniesieniu do rozwiązań wykorzystujących chmurę. Tymczasem prawo w Polsce precyzyjnie definiuje sposób zabezpieczenia danych przechowywanych w systemach outsourcowanych. To oznacza, że jeśli korzystamy z usług polskich dostawców z centrum danych w kraju, nie musimy obawiać się problemów prawnych, gdyż zapewniają oni pełną zgodność z polską i europejską jurysdykcją (w tym regulacjami GIODO).
Warto dodać, że polskie prawo, jeśli chodzi o bezpieczeństwo przetwarzania danych osobowych, jest bardziej restrykcyjne niż przepisy w UE czy za oceanem, a na przykład Oktawave podpisuje z klientami umowy o powierzaniu danych osobowych.
Co więcej, już w roku 2013 Komisja Nadzoru Finansowego opublikowała Rekomendację D, w której stwierdza jednoznacznie, że cloud computing może być stosowany przy przetwarzaniu danych o wysokim stopniu poufności lub istotności nawet przez podmioty z sektora finansowego (np. banki) przy spełnieniu określonych warunków.
Brak standaryzacji i wsparcia?
Źródła związane m.in. z producentami oprogramowania i sprzętu, a także dostawcami wydzielonych serwerów często zwracają uwagę na te dwie kwestie w kontekście chmury. Propagują stanowisko, że brak standaryzacji zabezpieczeń usług w chmurze przekłada się na niższy poziom zabezpieczeń niż w przypadku np. serwerów wydzielonych. Znowu nie jest to prawdą, za to oznacza potrzebę porównania poziomu zabezpieczeń u danego dostawcy chmury na tle konkurencji, tak jak w wypadku analizy ofert dostawców samochodów. Dlatego też warto korzystać z usług sprawdzonych i polecanych firm.
Wykorzystanie usług sprawdzonych dostawców ma także istotną zaletę w postaci dostępu do najlepszej klasy wsparcia. Biura obsługi takich podmiotów czynne są 24 godziny na dobę, 7 dni w tygodniu i oferują pomoc przy rozwiązywaniu skomplikowanych problemów.
Korzyści z chmurofobii
Czy zatem strach przed chmurą jest uzasadniony? Prawda jest taka, że wielu grupom naprawdę zależy, abyśmy nie przestawali się bać chmury. Ich działania, napędzające „chmurofobię”, podyktowane są czysto ekonomicznymi przesłankami. Obawy przedsiębiorców będą przecież skutecznie napędzać zapotrzebowanie na analizy zagrożeń i certyfikaty bezpieczeństwa oraz usługi prawników zajmujących się bezpieczeństwem w sieci.
Osobnymi grupami zyskującymi na zniechęcaniu do usług w chmurze są często producenci sprzętu, którzy pragną zachowania rynkowego status quo, a także dostawcy wydzielonych serwerów, w których interesie nie leży migracja potencjalnych klientów.
Wiedza jest lekarstwem
Popularyzacji modelu chmury sprzyjają trzy czynniki: edukacja, edukacja i jeszcze raz edukacja. Aby propagować model chmury, należy konsekwentnie szerzyć wiedzę na jej temat. A także wskazywać korzyści związane z większą elastycznością, zwinnością, bezpieczeństwem i oszczędnościami, które przedsiębiorstwom oferuje chmura, a które dzięki niej są dostępne dla wszystkich podmiotów, bez względu na ich rozmiar.
Ważne jest też rzetelne informowanie w zakresie bezpieczeństwa sieciowego, co powinni robić bezpośrednio dostawcy i – najlepiej – podmioty niezwiązane komercyjnie z monitorowaniem bezpieczeństwa w sieci.
Podsumowując: to, co najważniejsze zarówno dla mniejszych przedsiębiorców, jak i tych dużych graczy, to weryfikacja korzyści oraz rewizja obaw i przesądów. Wybierając znanego i polecanego dostawcę usług chmurowych, naprawdę nie ma się czego bać, a z pewnością można wiele zyskać.
