Self-hosting kui professionaalne praktika
Server pole midagi muud kui arvuti. Küsimus ei ole selles, kas see peaks olema, vaid kus teie klientide andmed elavad, kes neid hooldab ja kes võtab vastutuse, kui midagi ebaõnnestub.
Küsimus pilve ja keldri vahel
Hea on alustada ilma põhjuseta hirmutava sõna dekonstrueerimisest: server. Server ei ole salapärane masin jahutatud ruumis. See on lihtsalt teise isiku arvuti — või teie oma —, mis salvestab teavet ja edastab selle neile, kes seda küsivad. Aastakümneid hoidsime oma klientide andmeid kaustas, dokumendikapis, kontorilaual ja keegi ei kaotanud selle tõttu und. Teave ei olnud hirmutav, sest see oli paberil; see ei pea olema hirmutav ka seetõttu, et see on kettal.
Ka „pilv“ ei ole eetere. See on ettevõtte arvuti, mis asub peaaegu alati kaugel ja kuulub peaaegu alati kellelegi teisele. Õppisin seda tahtmatult päeval, mil olles veendunud, et mu failid on Google Drive'is turvaliselt hoiul, avastasin, et kaust mu arvutis ei sisaldanud mitte mu dokumente, vaid otseteesid dokumentidele, mis elasid kuskil mujal. Kui see teine koht otsustaks sulgeda, hinda muuta või teenuse tühistada, kaoks mu hingerahu koos sellega. Ma ei omandanud oma asju; mul oli luba neile juurde pääseda.
Sealt sünnib selle Vihiku küsimus, mida on lihtsam sõnastada kui vastata: kus peaksid elama sinu klientide andmed? Ja sinu enda omad? Avalik arutelu esitab seda nii, nagu oleks ainult kaks vastandlikku vastust — suurte platvormide pilv või endale ise tegemine —, peaaegu nagu leeriküsimus. Kuid need pole kaks teed: neid on kolm, ja ükski pole usuakt. Aeglaselt lugedes on neil rohkem varjundeid ja need nõuavad rohkem, kui paistab.
See puudutab teid, olenemata sellest, mida te müüte
Kerge on arvata, et konfidentsiaalsus on advokaatide, arstide või ajakirjanike asi ning ülejäänutel pole midagi varjata. See on viga ja kallis viga. Peaaegu iga ettevõte hoiab seadusega reguleeritud kliendiandmeid ja paljud hoiavad teadmata teavet, mis on palju tundlikum kui pealtnäha paistab.
Diivanipood märgib üles ostja nime, aadressi ja telefoni; kui on rahastamine, siis ka tema majandusandmed. Renoveerimis- või sisustusfirma säilitab oma klientide kodude sisefotosid ja nende eluasemete täielikke plaane. Koristusfirma käsitseb koristatavate kontorite plaane, sageli värvide ja numbritega märgituna, mis näitavad, milline töötaja kuhu siseneb, mis kell ja millise võtmega. Miski sellest ei tundu suure asjana, kuni inimene endalt küsib, kellele veel sel oleks väärtust: need koristusplaanid on, teiste silmadega vaadatuna, täiuslik kaart sellele, kes tahab sisse murda varastama.
See, et ettevõte on väike või müüb diivaneid selle asemel, et kohtuasjades kaitsta, ei muuda selle andmeid väärtusetuks ega põhjusta seaduse kohaldamise lõppemist sellele. See põhjustab vaid seda, et selle omanik kipub sellele vähem mõtlema. Ja vähene mõtlemine millegi üle, mis on teie vastutus, on täpselt see koht, kust probleemid algavad.
Kus teie andmed elavad?
Sellele küsimusele on sisuliselt kolm vastust. Ja tasub meeles pidada, et „andmed“ ei ole ainult kliendi toimik või arvete ja eelarvete plokk: nendeks on ka sinu vestlused temaga — WhatsAppi kaudu, professionaalse vestlusteenuse kaudu, Solo2 kaudu —. Kolm järgnevat vastust ei ole puhtuse astmed ega redel headest halbadeni: need on kolm viisi sama asja jagamiseks, kontrolli ja vastutuse.
Usaldada kõik ühele teenusepakkujale. See on kõige tavalisem ja enamiku jaoks ainus, mida nad tunnevad. Panen kõik Google Workspace'i või Microsoft 365-sse ja usaldan selle täielikult teenusepakkujale. Maksan oma tasu ja lõpetan sellele mõtlemise. Selle kõige äärmuslikum vorm on teenused, kus sa isegi ei oma oma andmeid: teatud pilvepõhised arveldusprogrammid näiteks hoiavad sulle arveid ja eelarveid — ja töötavad väga hästi —, kuid teave elab nende süsteemis, mitte sinu omas. Kuni maksad, pääsed ligi; päeval, mil lahkud, avastad, et oma ajaloo kaasavõtmine on raske või võimatu. Sinu andmete poolenisti pantvangis hoidmine on mõnele teenusepakkujale just see, mis takistab sind konkurendi juurde minemast. Mugavuse eest loovutan kontrolli ja — seda valjusti ütlemata — tunde, et vastutus pole enam minu. Siia mahub varjund, mida peaaegu kunagi ei tehta: delegeerimine ei ole sünonüüm ameerikalikule. Võin sama mugavalt usaldada kõik mõnele Euroopa teenusepakkujale — näiteks Infomaniakile — ja lahendada ühe hoobiga hea osa rahvusvaheliste edastamiste kahtlustest, mida nägime „Schrems II“-s, ilma midagi ise majutamata. See pole Ameerika Ühendriigid ülejäänud universumi vastu: juba puhta delegeerimise sees on otsuseid, mis loevad.
Oma serveri rentimine ja haldamine. Mul on sama asi, mida Microsoft või Google mulle annaksid, aga ma panen selle ise püsti. Rendin serveri Euroopa teenusepakkujalt — Hetzner, OVH, Scaleway —, installin vaba tarkvara (näiteks failide jaoks Nextcloudi) ja haldan tulemust ise. Saan tegeliku kontrolli: tean, mis töötab, kus ja miks. Kuid masin asub endiselt kolmanda osapoole andmekeskuses ja eelkõige muutub see, kes kannab tagajärgi. Delegeerides on teil keegi, keda süüdistada, kui midagi ebaõnnestub. Ise haldades on väga tõenäoline, et süü on teie.
Selle hoidmine oma arvutis. See on valik, millest peaaegu keegi ei räägi, ja see on selle vihiku süda. Oma asjade hostimiseks pole vaja tohutut serverit, mis on ööpäevaringselt sisse lülitatud makroandmekeskuses. Teie kontoriarvuti on juba server: see teenib teid. Jätate selle kontoris sisse ja ühendute sellega sülearvutist kliendi juures või mobiiltelefonist, kui olete kodus. Me nimetame seda «kontoriarvutiks», mitte «serveriks», kuid see teeb täpselt sama asja nagu kaks eelmist valikut. Kontroll on maksimaalne ja ka lähedus: teie andmed on seal, kus olete teie. Teine pool, öelduna ilustamata, on see, et ka vastutus on maksimaalne. Kui elekter ära läheb, pole Nürnbergis valves tehnikut: teie peate kaitsme sisse lülitama. Ja selleks, et see arvuti oleks väljastpoolt ligipääsetav, on vaja midagi, mis loob silla teie sülearvuti ja selle vahele. See pole maagia ja seda on hea teada enne selle tee valimist.
Ja kontoriarvutit pole isegi vaja taaskasutada: on olemas seade, mis on loodud just selleks, NAS (neid valmistavad Synology, QNAP ja teised). Nagu peaaegu kõik, mida oleme nendes Cuadernos näinud, pole sees mingit maagiat: see on spetsialiseeritud arvuti, sama tüüpi masin, mille te rendiksite andmekeskuses, ainult et ehitatud andmete salvestamiseks ja nende serveerimiseks võrgu kaudu, ilma monitori ja klaviatuurita vahel. Ühendage sellega ekraan ja klaviatuur ning teil on tavaline arvuti; installige oma arvutisse sobiv tarkvara ning teil on NAS. Vahe on selles, et NAS tuleb juba kasutusvalmis. Sa ostad selle, lülitad sisse kodus või kontoris, ja see on sinu oma. Sa ei maksa igakuist tasu; maksad korra ja see kuulub sulle, nagu iga teine sinu ettevõtte tööriist. Lülitad selle sisse, lülitad välja, viid soovi korral mujale. Ja kuna see on sinu oma, ei takista miski sind omamast kahte —üks kodus, üks kontoris— või kolme, lisades ühe turvalisse kohta, omavahel sünkroniseeritud: sinu enda varundus, sõltumata sellest, kas seda haldab kolmas osapool. Isemajutus pole lõppkokkuvõttes üks asi: see on masinate, omandi, asukohtade ja tarkvara kombinatsioon.
Siin on vältimatu nimetada seda, mida me teeme, ja teeme seda ilma maskita: Solo2-s ehitab selle silla rakendus ise. Sinu kontori arvuti jääb ligipääsetavaks ainult sinu usaldusväärsetele seadmetele, ja alati krüpteeringu all, ning sinu ülejäänud seadmed taasühenduvad sellega ise. Kui klient räägib sinuga, on see sinu arvuti — mitte kolmanda osapoole oma —, mis kliendiga räägib. Me ei lahenda voolukatkestust; me lahendame silla. Ja me pole ainsad: peaaegu igale vajadusele on täna olemas programmid — vabad või omandiõiguslikud —, mis võimaldavad just seda, hoida andmeid oma seadmes ja pääseda nendele ligi väljastpoolt. Meie oma on näide; oluline on idee, mitte kaubamärk.
Dubleerimine (redundancy) ei ole supervõime
Siin tekib kohene vastuväide ja see on mõistlik: kui mul on kõik kontoriarvutis, siis mis saab, kui see katki läheb? Küsimus on hea. Vastus on, et turvavõrk, mida me suurte teenusepakkujate puhul ette kujutame, on tagasihoidlikum — ja lihtsamini jäljendatav —, kui see paistab.
Kui jätan oma andmed hargmaise ettevõtte andmekeskusesse, usaldan, et neil on koopiad mitmes kohas. Ja tõenäoliselt ongi: teises asukohas, võib-olla kolmandas. Kuid see dubleerimine pole lõpmatu ja eelkõige pole see minu oma: see jääb kõvakettaks, mille omanik ma pole, mida haldab keegi, kellele usaldan pimesi ja mida ma peaaegu kunagi ei kontrolli.
Sama võrgu saan kududa ka ise ja seda otsustava eelise abil. Mu igapäevane teenus asub kontoriarvutis. Sealt hoidan krüpteeritud koopiat sõberettevõtte arvutis — ametikaaslase, teise usaldusväärse büroo juures — ja teist krüpteeritud koopiat, kui soovin, selles samas Euroopa teenusepakkuja juures, kellest rääkisime. Vahe on kõiges: see, mida ma välja jätan, pole mu teenus ega mu andmed selgel kujul, vaid krüpteeritud koopia, mida saan avada ainult mina. Väline teenusepakkuja hoiab suletud laegast, mille võtit tal pole. Ma ei usalda talle oma teavet: ma usaldan talle mõned baidid, mis ilma minuta ei tähenda midagi.
See oli turvaline, kuni see enam ei olnud
Lubage mul rääkida isiklik lugu, sest see illustreerib asja paremini kui mis tahes argument. Rohkem kui kümme aastat olin CrashPlani, tehniliselt erakordse varundusteenuse andunud klient. Varundasin nende pilve kõik oma ja oma pere arvutid — nii ettevõtte kui ka kodu omad, kõik —, versioonidega, mida sain taastada soovitud sagedusega, rännates ajas tagasi kuni mitme kuu taguse konkreetse failini. Pärast esimest koopiat edastas see ainult muudatused krüpteeritult ja pakitult, nii et hoidsin tohutut varukoopiat ajakohasena peaaegu ilma pingutuseta. See päästis mind mitmeid kordi, alates tühisest dokumendist kuni terve kettani. Hind tõusis aastatega ja ma ei hoolinud: maksin rõõmuga.
Mida ma ei teadnud, oli see, et CrashPlan oli teinud arvutusvea: nad olid lepinguga lubanud piiramatut salvestusruumi nii mahus kui ka ajas. Ja maht korrutatuna ajaga — aastate pikkune ajalugu, versioonid iga paari minuti järel — kasvab seni, kuni see muutub jätkusuutmatuks. Ühel päeval teatasid nad meile kõigile, et teenus lõpetatakse. Nad tegid seda elegantselt ja helde tähtajaga, peaaegu aasta, ning andsid meile vahendid oma andmete allalaadimiseks. Kuid kuhu läheb inimene oma kõigi ketaste rohkem kui kümne aasta versioonitud koopiatega? Seal avastad, et sul pole viisi, kuidas kõike alla laadida ega kohta, kuhu seda panna, ning isegi kui saaksid, maksaks uus ladu terve varanduse.
Päästsin neli hädavajalikku asja. Ülejäänu kadus, kui lüliti välja lülitati. Olin rahulik, mu teave oli turvaline... kuni see enam ei olnud. Ja mitte reetmise tõttu: CrashPlan käitus laitmatult — erinevalt Evernote'ist, mis aastaid hiljem käitus häbiväärselt —; lihtsalt mu kaitseingel pilves otsustas, täie õigusega, lakata selleks olemast. Tulemus oli minu jaoks identne: see, mida pidasin turvaliseks, kadus.
Mida see lugu tegelikult õpetab, on seotud rohkem inimloomuse kui tehnoloogiaga. Kui keegi tunneb, et miski on tema vastutus, tegutseb ta ennetavalt: teeb koopiaid, kindlustab oma seljatagust, on terve mõistusega umbusklik. Kui ta usub — ekslikult —, et vastutust kannab suur ja maksujõuline kolmas osapool, lõdvestub ta ja laseb asjadel minna. See delegeeritud rahu ei ole ettevaatus: see on ilma meigita vastutustundetuse vorm.
Maksmine ei tähenda nõuete täitmist
See vaikne vastutustundetus sarnaneb väga vanematega, kes panevad oma poja kõige kallimasse kooli, maksavad talle pärast seda magistriõppe ja usuvad sellega oma kohustuse täitnud olevat. Nad ei ole seda täitnud. Lapsevanemaks olemine tähendab muretsemist selle pärast, mida ta täna õppis, selle pärast, millest ta aru ei saa, tema väärtuste, tema eneseusalduse pärast. Kui see poeg ei oska kahekümne viiendal eluaastal töötada ega käituda, pole süüdi mitte raha kasseerinud kool, vaid see, kes delegeeris ja maksis, uskudes, et sellest piisab. Kolmandale osapoolele maksmine ei vabasta vastutusest. See pole kunagi vabastanud.
Andmetega on samamoodi, ja lähiajalugu kinnitab seda. Viiskümmend või sada aastat tagasi hoidis professionaal oma klientide asju kaustades, oma kabinetis või kodus, ja tundis end nende eest vastutavana. Harva läks midagi kaduma. Oleme läinud üle digitaalsesse maailma ja hämmastava kergusega laadime kõik üles „pilve“ — mis pole midagi muud kui mõne hargmaise ettevõtte arvuti — ja lõpetame muretsemise. Ja sageli juhtub õnnetusi, on ettevõtteid, kes kaotavad kõik, ja siis öeldakse: süüdi oli Google, süüdi oli Microsoft. Ei. Teave on sinu või sinu klientide oma, kuid vastutaja oled sina.
Oma asjade hostimine ei ole tehniline tuju: see on aastakümnete taguse rahu taastamine, teadmine, kus iga asi asub ja miks. Andmekaitse on vahepeal kogenud järsku pendli liikumist — reeglite täielikust puudumisest, mil igaüks eksponeeris kliendi andmeid mõtlemata, kuni nõudmiseni, mis langeb ebaproportsionaalse karmusega kõige väiksemale, vabakutselisele, kes annab kliendi telefoni kullerile. Ma ei vaidle eesmärgi üle; ma jälgin ebakõla. Kuid ebakõla ei vabasta meid: päeval, mil administratsioonil on vahendid laiaulatuslikuks jälgimiseks ja sanktsioneerimiseks, lakkab suurus kedagi kaitsmast ja on tark seda päeva mitte oodata korrastamata majaga. Andmete hoidmine oma kontrolli all aitab nõudeid täita ja aitab seda tõestada. Ja eelkõige asetab see asjad oma kohale tagasi: kui teave on teie, on vastutus täielikult teie — pole kolmandat osapoolt, keda süüdistada, ega kolmandat osapoolt, kelle ebaõnnestumine teid ohtu seab.
Vastutus ka kaitseb
Oleks ebaaus maalida seda ilma varjudeta. Vahendaja koha hõivamine tähendab tema koorma kandmist: hoida varukoopiad ajakohased, rakendada uuendusi ja juriidiline vastutus — RGPD oma —, mis tegelikult ei lakanud kunagi täielikult sinu omast olemast (allviited täpsustavad konkreetsed artiklid). On tööd, ja on päev, mil miski läheb katki sobimatul ajal. Me ei varja seda.
Kuid hirm, mis ümbritseb seda sõna, vastutus, on halvasti kalibreeritud. Palju lihtsam on kaotada oma failid pilveteenuses, mis suletakse, või oma fotod Google Fotodes, kui kaotada see oluliste dokumentide kaust, mis sul on oma arvutis: see, mille kohta tead, kus see on, ja mille puudumist märkaksid kohe, kui see kaoks. Mida tunned omana, hoiad; mida usud teise käes turvalisena, hooletusse jätad.
Mõtle vanade fotoalbumite peale, nende ilmutatud paberist tehtute peale, mida hoiti sahtlis. Oled sa kunagi kuulnud kedagi ütlemas, et ta „kaotas“ oma perekonnaalbumi? Kuuleb majast, mis põles maha koos albumiga sees; aga lihtsalt niisama kaotada, ei. Ja vastupidi, inimesed, kellel olid kõik fotod Google Fotodes või Apple Fotodes ja kes jäid ilma kõigest: see lugu naaseb iga paari kuu tagant, sest nad uskusid, et see on turvaline. Google Fotod hoolitsevad sinu fotode eest, muidugi; kuid nad ei hoolitse nende eest nii, nagu vanemad hoolitsevad albumi eest, kus on nende lapsed ja lapselapsed. Seda erinevust ei paranda ükski andmekeskus: vastutus, kui see on sinu oma, ei ole ainult koorem; see on ka parim tagatis.
Neli küsimust enne otsustamist
Kui kaalute selle sammu astumist, ükskõik millisel kujul, on hea kõigepealt vastata neljale küsimusele erapooletu aususega:
- Millist osa oma andmetest valutaks sul kaotada või kaasa võtta mitte saada? Ja ettevaatust „rutiinse“ kõrvaleheitmisega: arvete ajalugu tundub maailma kõige proosalisem asi, kuni vahetad programmi ja avastad, et need arved olid teenusepakkuja, mitte sinu omad — et saad neid kõige rohkem PDF-i printida, ilma et saaksid enam nende sees otsida —. See ei ole ainult tundlikkuse küsimus: see on küsimus, kellele tegelikult kuulub see, mida sul on vaja säilitada.
- Milline valik on proportsionaalne sinu tegeliku tehnilise võimekusega? Hästi hooldatud oma arvuti on igaühe käeulatuses; terve serveri haldamine mitte nii väga. Ole enda vastu aus selles, mida oskad ja mida mitte. Ja pea meeles, et terve serveri ehitamise ja kõige delegeerimise vahel on väga mõistlik vahepealne maa: programmid — vabad või omandiõiguslikud —, mis hoiavad sinu andmeid sinu enda seadmes ja lasevad sul nendele väljastpoolt ligi pääseda. Paljudele inimestele on see parim tasakaal.
- Milline plaan on teil halvimaks päevaks? Turvarikkumine, surev ketas, sulguv teenusepakkuja, tehnik on haiguslehel. Kui plaan algab sõnadega „seda ei tohiks juhtuda“, pole see plaan.
- Kas teaksite, kuidas tõestada, et täidate nõudeid, kui teid homme kontrollitaks? Asjade hästi tegemine ja suutlikkus tõestada, et teete asju hästi, ei ole samad asjad. Seadus nõuab teist.
Universaalset vastust pole olemas. On proportsionaalne vastus, mis on vastu võetud ausalt selle kohta, mida võidetakse ja mis pärandatakse vastutusena. Ja üle tehnika on üks lihtne tõdemus: teie andmed elavad kellegi arvutis. Ainus küsimus, mis tegelikult loeb, on see, kelle arvutit te seda soovite olevat.
Isehostimine ei ole väärtus ega pahe: see on tööriist, millel on konkreetne võimekuse ja vastutuse jälg. Küsimus ei ole kunagi olnud selles, kas peaksite oma andmeid hostima, vaid milliseid andmeid, kuidas ja millise tugivõrgustikuga. Kontrolli tagasivõtmine andmete üle ei ole keldrisse naasmine ega kõige umbusaldamine: see on naasmine vastutustunde juurde selle eest, mis on meie oma, nagu siis, kui need andmed elasid kaustas laual. See vastutus, õigesti mõistetuna, on tegelik teenus, mida professionaal oma klientidele pakub.
Allikad ja täiendav lugemine
- Määrus (EL) 2016/679 — artikkel 28 (volitatud töötleja), artikkel 32 (töötlemise turvalisus), artikkel 33 (rikkumisest teavitamine), artikkel 37 (andmekaitseametniku määramine).
- Hispaania Andmekaitseamet (AEPD) — Praktiline juhend riskianalüüsiks isikuandmete töötlemisel (kehtiv redaktsioon). Raamistik vastutavatele töötlejatele, kes võtavad endale oma tehnilised funktsioonid.
- Euroopa Andmekaitsenõukogu — Guidelines 1/2024 on processing of personal data based on legitimate interests. Kohaldatav ka proportsionaalsuse kontrolliks oma infrastruktuuri puudutavates otsustes.
- Euroopa Komisjon — Euroopa jurisdiktsioonis asuvate infoteenuse pakkujate avalik register. Administratiivne lähtepunkt Euroopa hallatud hostimisvõimaluste tuvastamiseks.
- Nextcloud GmbH (Saksamaa) — Nextcloud Enterprise'i arhitektuuri ja nõuetele vastavuse dokumentatsioon. Dokumenteeritud vaba tarkvara juhtum koos isehostitavate ja Euroopa teenusepakkuja hallatavate mudelitega; kasulik tehnilise viitena Euroopa jurisdiktsioonis alates 2016. aastast hooldatavale projektile.