Cloud computing – en skyfri himmel?

CloudComputingCloud com­pu­ting kan ofte være en utmer­ket løs­ning. Men det fin­nes også uværs­sky­er, og man må kle seg etter været.

Bing Hodne­land arran­ge­rer fro­kost­se­mi­nar om “cloud com­pu­ting” tirs­dag 30. april 2013. Gå hit for mer infor­ma­sjon og påmel­ding.

Hva er «cloud com­pu­ting»?

«Cloud com­pu­ting» — det er et av man­ge gans­ke inn­holds­løse buzzwords som IT-bran­sjen er så flink til å fin­ne på. Det fin­nes ingen sky. Skal man bru­ke meteoro­lo­gis­ke meta­fo­rer vil­le tåke pas­se bed­re. Det kan omfat­te data­lag­ring, data­be­hand­ling og pro­gram­vare som er til­gjen­ge­lig for bru­ker via net­tet.

Noen gan­ger kan vi høre at vi med skyt­je­nes­ter kan for­hol­de oss til data­be­hand­ling omtrent som vi for­hol­der oss til strøm­le­ve­ran­ser: Vi kob­ler oss til en kon­takt i veg­gen, og behø­ver ikke ten­ke så mye på hvor kraft­ver­ket eller data­sen­te­ret er. Men det er den ikke helt uve­sent­li­ge for­skjell at vi sen­der våre data til data­sen­te­ret hvor data­ene behand­les. Vi sen­der ikke noe til kraft­sel­ska­pe­ne.

Våre data behand­les et eller annet sted, og det­te ste­det befin­ner seg et eller annet sted på land­jor­den. Vi vet bare ikke hvor. Våre data og pro­ses­se­rin­gen kan flyt­tes fra et sted til annet for å utnyt­te kapa­si­te­ten på best mulig måte, uten at vi mer­ker noe til det eller blir ori­en­tert om sli­ke flyt­tin­ger.

Ofte upro­ble­ma­tisk

I man­ge situa­sjo­ner er bruk av skyt­je­nes­ter helt upro­ble­ma­tisk. Jeg har ingen beten­ke­lig­he­ter med å bru­ke tje­nes­ter som Drop­box, Goog­le Dri­ve og Gmail til doku­men­ter som ver­ken er sen­si­ti­ve, for­ret­nings­kri­tis­ke, og hvor det ikke stil­les sær­skil­te krav til opp­be­va­ring av data. Jeg vet ikke hvor data som er las­tet opp på dis­se tje­nes­te­ne fak­tisk befin­ner seg, og har hel­ler ikke noe spe­si­elt behov for å vite det.

Men vi må være klar over hva gra­tis­tje­nes­ter kos­ter. Et sel­skap som Goog­le til­byr ikke sine tje­nes­ter av god­het. Vi beta­ler med opp­lys­nin­ger om oss selv, som blant annet bru­kes for å spis­se mar­keds­fø­rin­gen som er ret­tet mot oss.

Bok­fø­rings­data

Der­som det stil­les bestem­te krav til opp­be­va­ring eller behand­ling av data, blir bil­det et annet. Etter bok­fø­rings­lo­ven § 13 skal regn­skaps­ma­te­ria­le opp­be­va­re i Nor­ge i ti år etter regn­skaps­årets slutt. I for­skrif­te­ne er det gjort noen unn­tak fra det­te, og det kan gjø­res unn­tak i enkelt­til­fel­ler. Den bok­fø­rings­plik­ti­ge er selv ansvar­lig for at regn­skaps­ma­te­ria­le blir opp­be­vart i sam­svar med lovens krav, selv om opp­be­va­rin­gen er satt bort til and­re. Hvis man ikke vet hvor en tje­neste­yter opp­be­va­rer de aktu­el­le data, da kan tje­nes­ten ikke bru­kes for opp­be­va­ring av regn­skaps­data. Det vil i prak­sis ute­luk­ke man­ge skyt­je­nes­ter.

Per­son­opp­lys­nin­ger

Etter per­son­opp­lys­nings­lo­ven § 29 kan per­son­opp­lys­nin­ger bare over­fø­res til sta­ter som sik­rer for­svar­lig behand­ling av opp­lys­nin­ge­ne. Alle land som har gjen­nom­ført EUs per­son­vern­di­rek­tiv anses for å sik­re for­svar­lig behand­ling. I prak­sis betyr det at sli­ke opp­lys­nin­ger kan over­fø­res til alle land innen­for EU/E­ØS-områ­det. Opp­lys­nin­ger kan også over­fø­res til land som er god­kjent av Euro­pa­kom­mi­sjo­nen og til enkelt­be­drif­ter i USA som har slut­tet seg til «Safe Har­bor». Over­fø­ring kan også være basert på sam­tyk­ke fra de regist­rer­te eller på avta­ler som sik­rer til­strek­ke­lig per­son­vern. Bin­den­de kon­sern­reg­ler kan også god­tas.

Hvis man har gjort hjem­me­lek­se­ne sine før tje­nes­te­ne tas i bruk, risi­ke­rer man ikke i etter­tid på legg om stan­sing, over­tre­del­ses­ge­byr eller and­re ube­ha­ge­lig­he­ter

Reg­le­ne har uli­ke begrun­nel­ser

De to nevn­te regel­set­te­ne har helt ulik begrun­nel­se. Men de har det til fel­les at de kan begren­se mulig­he­ten til å benyt­te skyt­je­nes­ter.

Bok­fø­rings­reg­le­ne skal sik­re at bok­fø­rings­data skal være til­gjen­ge­lig for nors­ke myn­dig­he­ter. Det er der­for ikke noen restrik­sjo­ner for så vidt gjel­der å over­fø­re eller behand­le data, så len­ge data­ene blir opp­be­vart i Nor­ge eller i et god­kjent land.

Per­son­opp­lys­nings­lo­ven skal sik­re at per­son­opp­lys­nin­ger blir behand­let for­svar­lig, og man til­la­ter der­for ikke over­fø­ring til land hvor man ikke kan være sik­ker på at så skjer. At de sam­me per­son­opp­lys­nin­ge­ne også opp­be­va­res i Nor­ge, avhjel­per ikke det­te. Det­te inne­bæ­rer at data hel­ler ikke kan spei­les hvis kra­ve­ne til behand­ling av per­son­opp­lys­nin­ger ikke er til­freds­stilt der speil­ser­ve­ren befin­ner seg.

Krav til hvor opp­lys­nin­ger behand­les

Når kra­ve­ne gjel­der behand­lin­gen og ikke bare selve opp­be­va­rin­gen, vil det også kun­ne gjel­de bruk av nett­ba­ser­te appli­ka­sjo­ner. Goog­le Apps og Micro­soft Office 365 er to sli­ke sett av appli­ka­sjo­ner som man ikke uten vide­re kan bru­ke ved behand­ling av per­son­opp­lys­nin­ger, noe hen­holds­vis Nar­vik og Moss kom­mu­ne fikk erfa­re. Det betyr ikke at sli­ke tje­nes­ter ikke kan bru­kes. Data­til­sy­net god­kjen­te bru­ken i de to til­fel­le­ne. Men som Data­til­sy­nets direk­tør, Bjørn Erik Thon, sa etter det­te ved­ta­ket:

«Det­te er ingen blanco­full­makt til å benyt­te nett­skyt­je­nes­ter, men hvis en del for­ut­set­nin­ger er på plass, og en virk­som­het gjen­nom­går en grun­dig og god risiko­ana­ly­se, vil det kun­ne være en aksep­ta­bel løs­ning.»

Avtale­re­gu­le­ring

Når det ikke er lov­be­stem­te krav til behand­ling eller opp­be­va­ring, vil man­ge spørs­mål kun­ne hånd­te­res gjen­nom avta­ler. Man bør bare ha lest og vur­dert dem før man klik­ker på «I agree» om det er vik­ti­ge tje­nes­ter.

Kon­kurs­ri­si­ko

Men ikke alt kan regu­le­res gjen­nom avta­le. Går til­by­de­ren kon­kurs, vil kon­kurs­reg­le­ne over­sty­re de fles­te avta­ler. Foto Knud­sens kun­der fikk mer­ke noe av det­te da Foto Knud­sen gikk kon­kurs, og det i en viss peri­ode var usik­kert hva som vil­le skje med alle bil­de­ne som var opp­be­vart hos dem. Hel­dig­vis ord­net det seg for deres kun­der. Det kan være ille å mis­te sine ferie­bil­der. Mis­ter man, eller mis­ter man i en leng­re peri­ode til­gang til for­ret­nings­kri­tis­ke data og appli­ka­sjo­ner, da kan det bli kata­stro­fe.

Kon­kurs­ri­si­ko­en må man leve med uan­sett hva slags tje­neste­yter det gjel­der. Gjel­der det for­ret­nings­kri­tis­ke data må vi nøye vur­de­re våre sam­ar­beids­part­ne­re, enten de er i sky­en eller i kjel­le­ren. Men når tåken let­ter og vi ser at vår data­be­hand­ler er et helt annet sted enn vi trod­de, da kan ulik­he­ter i de enkel­te lands reg­ler gi noen ube­ha­ge­li­ge over­ras­kel­ser.

Regu­le­ring av myn­dig­he­ters inn­syn og inn­grep i en virk­som­het vil også kun­ne variere fra land til land.

Ingen sky­fri him­mel

Det vil­le vært en selv­mot­si­gel­se om cloud com­pu­ting skul­le vært en sky­fri him­mel. Det kan kom­me snø, regn, tor­den og lyn­ned­slag. Det behø­ver ikke være noe pro­blem. Vi må bare ha for­be­redt oss, kledd oss rett og være oss bevisst når vi må hol­de oss innen­dørs.

Artik­ke­len er opp­rin­ne­lig skre­vet for Hegnar.no og er også pub­li­sert hos Bing Hodne­land.

Print Friendly, PDF & Email