Jeżeli życzysz sobie informacji z tej strony

Nasza kochana i groźna chmura wszechobecna

Tekst inspirowany konferencją Trusted Cloud by Microsoft. Oraz moją wiarą, że model chmurowy będzie dominował.

O chmurze rozmawiam często, co przypomina mi rozważania o outsourcingu, tylko mocno przyspieszone. Gdy zaczynaliśmy lata temu zajmować się outsourcingiem, na samym początku była faza wyparcia – cóż to jest, bez sensu, brak kontroli, obcy będzie mój serwer dotykał itp. Potem pojawiła się nadzieja, że ktoś znalazł cudowny sposób na pozbycie się IT. Całego IT. Doszło do tego, że outsourcowano wszystko, łącznie z CIO i zarządem odpowiedzialnym za informatykę. Mało szczęśliwe decyzje, z których trzeba było się chyłkiem wycofać. Trzecia faza to utożsamianie outsourcingu z oszczędnością – może IT się nie pozbędziemy, ale za to będzie tanio, że ho ho. Wyszło jak wyszło – czasem się nawet udaje, ale z reguły korzyści operacyjne przewyższają finansowe. Jest OK, nawet jak jest drożej. Wszystkie te rozważania zajęły dużo czasu, w biznesie chmurowym wydaje się, że odchorowaliśmy je błyskawicznie. Przekonanie o oszczędnościach jeszcze gdzieś pokutuje i cichutko się odzywa, ale podczas konferencji branżowych znikło już całkowicie. Mamy więc fazę DOJRZAŁEJ DYSKUSJI JAK DO TEGO, CHOLERA, PODEJŚĆ. I tu jest naprawdę ciekawie.

Trzy perspektywy.

MODEL. Czy akceptujemy chmurę jako taką. Kwestia polityczna, decyzje na najwyższym poziomie. Widać, że chmura wywołuje wiele emocji – od miłości po słowa krańcowego potępienia. Najbardziej ostrożny jest chyba sektor publiczny – są co prawda pionierzy Amerykanie (ponad 6,6 mld USD w zeszłym roku – choć złośliwi twierdzą, że nic dziwnego, jeżeli wszyscy czołowi dostawcy są z USA), ale już Brytyjczycy pod hasłem „Cloud First” implementują w gruncie rzeczy konserwatywną politykę akredytacji i kontroli (bardzo mądrą). Trzeba im przyznać, że model G-cloud jest koncepcyjnie chyba najbardziej dojrzały. Francuzi kryją się z Andromedą (proszę zgadnąć jakiej narodowości dostawców preferują :), duża część Europy mówi nie, duża część świata nic nie mówi i działa na żywioł. Część krajów próbuje znaleźć złoty środek jak np. Kanada z „Right Cloud”.

Na drugim końcu skali są konsumenci, którzy chmurę akceptują powszechnie i to niekoniecznie tylko w wydaniu facebook’a czy instagrama, ale usług czysto chmurowych jak dropbox (ca. 500 mln użytkowników).

Biznes jest gdzieś pośrodku. Są branże bardziej zachowawcze (medycyna, finanse), są firmy i korporacje wyraźnie mówiące „Cloud First”, a nawet „Cloud All”, są start-upy, które nie rozumieją pytania. Niektórzy budują chmury prywatne czy „community”, niektórzy rozważają chmurę przez dylemat capex – opex, dla niektórych jest to jedyna droga ucieczki przed opłatami serwisowymi od licencji. Motywacji wiele, ale fala jest rozpędzona. Takiemu zjawisku sprzyja oczywiście łatwość wejścia w układ chmurowy – klik i przekraczamy magiczną bramę. Tyle, że za bramą często czeka smok. I to z gatunku smoków skurwysynów.

Ciekawa obserwacja: jeszcze kilka lat temu snuto poważne obawy, że regulacje prawne (np. dane osobowe) mogą zabić chmurę. Dziś już nikt takich obaw nie podnosi, chmura może pod wpływem prawa się zmieniać, ale na pewno nie zniknie. Kolejne zwycięstwo technologii nad prawem.

UMOWY. Tutaj cloud rozchodzi się z outsourcingiem całkowicie. Tam spędzaliśmy setki godzin na negocjacjach SLA, praw autorskich, exit planów – tutaj przy negocjacjach się nie napracujemy. Oczywiście możliwość negocjacji zależy od sytuacji, kto kupuje, kto sprzedaje, jak bardzo dostawcy zależy na umowie (a raczej zależy – wiele firm priorytetowo traktuje sprzedaż chmury, jak chociażby MS czy Oracle, nie wspominając AWS). Ale co do zasady nie tędy droga. Pracy dla prawników jest jeszcze więcej, ale zupełnie gdzie indziej – trzeba przygotować organizację na zderzenie z chmurą. Na to, że umowa ma charakter religijny i możemy wierzyć w 99,99% SLA, jednak jeśli coś pójdzie źle, to co najwyżej service credit dostaniemy. Na to, że jak dostawca zmieni usługę czy wręcz ją zlikwiduje, zostaniemy sami z problemem. Na to, że exit plan w 99% zależy od naszej organizacji, a nie umowy. Że należy jako standard przyjąć model dwóch exit planów – twardego na wypadek nagłej awarii (upadłość, totalne naruszenie bezpieczeństwa) i miękkiego – normalne rozwiązanie. Inne procedury, inny czas, inne wyzwania przed IT i zakupami.

Często, o ironio, niedoceniany jest model płatności, widziałem kontrakty bez żadnych zabezpieczeń – a koszty mogą się zmienić błyskawicznie. W przypadku gdy mamy vendor lock-in nic z tym nie zrobimy. Wiele razy słyszałem opowieści, jak to miło mieć elastyczną chmurę, opex zamiast capex – tak, prawda, jednak jeśli mamy licencję, to możemy jej używać bez żadnych dodatkowych opłat, co najwyżej nie przejdziemy na wyższe wersje i dzielnie będziemy stukać w Windows 3.1. W chmurze opłaty są regularne, a proces wyłączenia dłużnika z usługi banalny.

Mógłbym zanudzać godzinami (uwielbiam to :), ale jeszcze tylko słowo o warstwach chmury czyli tzw. „layeringu”. Czy badamy to, co kupujemy? Gdy kupujemy usługę SaaS, czy wiemy gdzie jest PaaS, a gdzie jest IaaS? A to może być granica między zachowaniem legalnym a naruszeniem prawa. Dostawca ma obowiązek nam to powiedzieć, ale przede wszystkim my mamy obowiązek to sprawdzić.

Jednym słowem – umowy to bardzo poważna sprawa. Łatwo kliknąć, łatwo wpędzić się w kłopoty. W większości przypadków i tak musimy zaakceptować ryzyka – ale wypada je znać i mieć coś, co bywa ładnie nazywane „disaster recovery plan”.

REGULACJE. Twarde (ustawy) i miękkie (nadzór). Potrafią zablokować migrację do chmury (rzadko), potrafią istotnie zmienić model migracji (często).

Od razu pojawiają się nam przed oczami dane osobowe. Jest to bez wątpienia jedna z ważniejszych zmian w najbliższych 24 miesiącach, swoją drogą w wymiarze idącym o wiele dalej niż chmura. Dla providerów zmiana olbrzymia, dla klientów trochę mniej – w praktyce coraz więcej dostawców jest zgodnych z regulacjami (np. przetwarza dane wyłącznie w obszarze UE) lub wprowadza rozwiązania takie jak szyfrowanie danych pod kontrolą klienta. Choć, żeby skomplikować, obowiązek notyfikacji incydentów bezpieczeństwa w 72 godziny na dziś nie jest kompatybilny z większością umów chmurowych.

Interesujące rzeczy dzieją się w regulacjach sektorowych – np. w finansach, ale ciekawie ma też zarządzanie kryzysowe, ciekawie ma medycyna. W Polsce KNF przypatruje się bacznie, ale nie mówi nie, na razie utożsamia chmurę z outsourcingiem. To powoduje, że to czołowi dostawcy mówią nie, bo nie akceptują tych regulacji (z nieograniczoną odpowiedzialnością na czele). Można radzić sobie różnie – w Wlk. Brytanii FCA wydaje się być bardziej otwarte, w Niemczech sektor ubezpieczeniowy korzysta z chmury w modelu „community”, która zapewnia zgodność z wymaganiami regulatorów, coraz częstsze są modele „brokerskie”, gdzie między klientem a providerem pojawia się pośrednik. Tutaj dużo zależy od kreatywności zespołu klienta i kreatywności nadzoru. W mojej ocenie jest znacznie lepiej niż się mówi.

Trochę gorzej ma zamawiający publiczny (i sektorówka), bo obowiązuje ich prawo zamówień publicznych. Nie wiem jak sensownie projektować politykę chmurową mając świadomość, że co do zasady umowy zawiera się na co najwyżej cztery lata. Exit plan co cztery lata (a tak naprawdę pewnie trzeba zacząć go realizować już po dwóch – trzech żeby zdążyć) to absurd. A nikt nie zagwarantuje, że kolejny przetarg wygra dotychczasowy dostawca. Wymaga to bardzo starannego planowania, jest osiągalne (vide wspomniany G-cloud) ale to nieustający proces zakupowy i kontrolny.

PODSUMOWANIE. Chmura jest, a jak jej nie ma, to będzie. Przy zalewie artykułów i dyskusji poświęca się jej w obszarze kontraktowym mniej uwagi niż na to zasługuje. Można godzinami deliberować o modelu, problemy regulacyjne są albo ich nie ma, ale umowy są zawsze. Wielu kłopotów można by uniknąć zmieniając umowy albo opracowując ścieżki postępowania na wypadek, gdyby nasza wiara w dostawcę okazała się zbyt optymistyczna. Nie zmienia to faktu, że możliwości chmury wydają się nieograniczone, a same rozwiązania świetne – i tym optymistycznym akcentem kończę wpisywanie tekstu w chmurowego linkedin-a. Swoją drogą, czy ktoś ma disaster recovery plan na wypadek zamknięcia tej usługi w Rosji?

share

No Comments Yet.

What do you think?

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *