Self-hosting ammatillisena käytäntönä
Palvelin ei ole muuta kuin tietokone. Kysymys ei ole siitä, pitäisikö sellainen olla, vaan siitä, missä asiakkaittesi tiedot asuvat, kuka niitä ylläpitää ja kuka kantaa vastuun, kun jokin menee pieleen.
Kysymys pilven ja kellarin välillä
On hyvä aloittaa murtamalla sana, joka pelottaa syyttä: palvelin. Palvelin ei ole salaperäinen kone jäähdytetyssä huoneessa. Se on yksinkertaisesti toisen henkilön tietokone — tai omasi — joka tallentaa tietoa ja antaa sitä sille, joka sitä pyytää. Vuosikymmenten ajan säilytimme asiakkaidemme tietoja kansiossa, arkistokaapissa, toimistopöydällä, eikä kukaan menettänyt sen vuoksi yöuniaan. Tieto ei ollut pelottavaa siksi, että se oli paperilla; sen ei tarvitse olla pelottavaa myöskään siksi, että se on levyllä.
«Pilvi» ei myöskään ole aineeton. Se on yrityksen tietokone, lähes aina kaukana ja lähes aina jonkun muun. Opin tämän tahtomattani sinä päivänä, kun luottaen siihen, että tiedostoni olivat turvassa Google Drivessa, huomasin, ettei tietokoneeni kansio sisältänyt dokumenttejani, vaan pikakuvakkeita muualla sijaitseviin dokumentteihin. Jos tuo toinen paikka päättäisi sulkea, muuttaa hintaa tai peruuttaa palvelun, mielenrauhani menisi sen mukana. En omistanut asioitani; minulla oli lupa käyttää niitä.
Tästä syntyy tämän Vihkon kysymys, helpompi esittää kuin vastata: missä asiakkaidesi tietojen pitäisi asua? Entä omiesi? Julkinen keskustelu asettaa sen ikään kuin olisi vain kaksi vastakkaista vastausta — suurten alustojen pilvi tai itse tekeminen —, melkein leirikysymyksenä. Mutta nämä eivät ole kaksi tietä: niitä on kolme, eikä yksikään ole uskon teko. Hitaasti luettuna niissä on enemmän vivahteita ja ne vaativat enemmän kuin näyttää.
Tämä koskee sinua, myitpä mitä tahansa
On helppo ajatella, että luottamuksellisuus on asianajajien, lääkäreiden tai toimittajien asia, ja muilla ei ole mitään salattavaa. Se on virhe, ja kallis sellainen. Lähes jokainen yritys säilyttää lain alaisia asiakastietoja, ja monet säilyttävät tietämättään tietoja, jotka ovat paljon arkaluonteisempia kuin miltä näyttää.
Sohvakauppa merkitsee muistiin ostajan nimen, osoitteen ja puhelinnumeron; jos on rahoitusta, myös hänen taloudelliset tietonsa. Remontti- tai sisustusyritys säilyttää valokuvia asiakkaidensa kotien sisätiloista ja heidän asuntojensa täydellisistä pohjapiirroksista. Siivousyritys käsittelee siivoamiensa toimistojen pohjapiirroksia, usein merkittyinä väreillä ja numeroilla, jotka kertovat, mikä työntekijä menee minnekin, mihin aikaan ja millä avaimella. Mikään tästä ei vaikuta suurelta asialta, ennen kuin kysyy itseltään, kenelle muulle sillä olisi arvoa: nuo siivouspohjapiirrokset ovat, toisin silmin katsottuna, täydellinen kartta sille, joka haluaa murtautua sisään varastamaan.
Se, että yritys on pieni tai että se myy sohvia oikeusjuttujen puolustamisen sijaan, ei tee sen tiedoista arvottomia eikä poista lain soveltamista siihen. Se saa vain sen omistajan yleensä ajattelemaan asiaa vähemmän. Ja oman vastuun alaisen asian vähäinen ajatteleminen on juuri se paikka, mistä ongelmat alkavat.
Missä tietosi asuvat?
Tähän kysymykseen on pohjimmiltaan kolme vastausta. Ja kannattaa muistaa, että „tiedot“ eivät ole vain asiakkaan kansio tai laskujen ja tarjousten lohko: niitä ovat myös keskustelusi hänen kanssaan — WhatsAppin kautta, ammattimaisen chat-palvelun kautta, Solo2:n kautta —. Kolme seuraavaa vastausta eivät ole puhtauden asteita eivätkä tikapuut hyvistä huonoihin: ne ovat kolme tapaa jakaa sama asia, hallinta ja vastuu.
Uskoa kaikki yhdelle palveluntarjoajalle. Se on yleisintä ja useimmille ainoa, jonka he tuntevat. Laitan kaiken Google Workspaceen tai Microsoft 365:een ja uskon sen kokonaan palveluntarjoajalle. Maksan maksuni ja lakkaan ajattelemasta sitä. Tämän äärimmäisin muoto ovat palvelut, joissa et edes omista tietojasi: tietyt pilvipohjaiset laskutusohjelmat esimerkiksi säilyttävät sinulle laskut ja tarjoukset — ja toimivat erittäin hyvin —, mutta tieto elää heidän järjestelmässään, ei sinun. Niin kauan kuin maksat, pääset käsiksi; sinä päivänä kun lähdet, huomaat, että oman historiasi mukaan ottaminen on vaikeaa tai mahdotonta. Tietojesi pitäminen puoliksi panttivankina on monelle palveluntarjoajalle juuri se, mikä estää sinua siirtymästä kilpailijalle. Mukavuutta vastaan luovutan hallinnan ja — sitä ääneen sanomatta — tunteen, ettei vastuu enää ole minun. Tähän sopii vivahde, jota lähes koskaan ei tehdä: delegointi ei ole synonyymi amerikkalaiselle. Voin yhtä mukavasti uskoa kaiken eurooppalaiselle palveluntarjoajalle — esimerkiksi Infomaniakille — ja ratkaista yhdellä vedolla suuren osan kansainvälisiä tiedonsiirtoja koskevista epäilyistä, jotka näimme „Schrems II“:ssa, ilman että isännöin mitään itse. Tämä ei ole Yhdysvallat muuta maailmankaikkeutta vastaan: jo pelkän delegoinnin sisällä on päätöksiä, joilla on merkitystä.
Oman palvelimen vuokraaminen ja hallinta. Minulla on sama, minkä Microsoft tai Google minulle antaisi, mutta pystytän sen itse. Vuokraan palvelimen eurooppalaiselta palveluntarjoajalta — Hetzner, OVH, Scaleway —, asennan vapaan ohjelmiston (esimerkiksi Nextcloud tiedostoille) ja hallinnoin tulosta itse. Saan todellisen hallinnan: tiedän mikä on käynnissä, missä ja miksi. Mutta kone on silti kolmannen osapuolen konesalissa ja ennen kaikkea se, kuka kantaa seuraukset, muuttuu. Delegoimalla sinulla on joku, jota syyttää, jos jokin epäonnistuu. Hallitsemalla itse on erittäin todennäköistä, että syy on sinun.
Sen pitäminen omalla tietokoneellasi. Tämä on vaihtoehto, josta lähes kukaan ei kerro, ja se on tämän vihkosen sydän. Et tarvitse valtavaa konesalissa vuorokauden ympäri päällä olevaa palvelinta asioittesi isännöimiseen. Toimistotietokoneesi on jo palvelin: se palvelee sinua. Jätät sen päälle toimistoon ja otat siihen yhteyden kannettavalta asiakkaan luona tai mobiililaitteella ollessasi kotona. Kutsumme sitä «toimistotietokoneeksi», emme «palvelimeksi», mutta se tekee täsmälleen saman kuin kaksi edellistä vaihtoehtoa. Hallinta on maksimaalista ja niin on läheisyyskin: tietosi ovat siellä missä sinäkin. Toinen puoli, kaunistelematta sanottuna, on, että vastuu on myös maksimaalinen. Jos sähköt katkeavat, Nürnbergissä ei ole päivystävää teknikkoa: sinun on itse kytkettävä sulake takaisin päälle. Ja jotta tuo tietokone olisi käytettävissä ulkopuolelta, tarvitaan jotain, joka rakentaa sillan kannettavasi ja sen välille. Se ei ole magiaa, ja se on hyvä tietää ennen tämän tien valitsemista.
Eikä toimiston tietokonetta tarvitse edes ottaa uudelleen käyttöön: on olemassa juuri tähän tarkoitettu laite, NAS (niitä valmistavat Synology, QNAP ja muut). Kuten lähes kaikessa, mitä olemme näissä Cuadernos nähneet, sisällä ei ole mitään taikuutta: se on erikoistunut tietokone, samanlainen kone, jonka vuokraisit datakeskuksesta, mutta rakennettu tietojen tallentamiseen ja niiden tarjoamiseen verkon kautta, ilman näyttöä tai näppäimistöä välissä. Kytke siihen näyttö ja näppäimistö, niin sinulla on tavallinen tietokone; asenna sopiva ohjelmisto tietokoneellesi, niin sinulla on NAS. Ero on siinä, että NAS tulee jo käyttövalmiina. Ostat sen, kytket sen kotiin tai toimistoon, ja se on sinun. Et maksa kuukausimaksua; maksat kerran, ja se kuuluu sinulle, kuten mikä tahansa muu yrityksesi työkalu. Käynnistät sen, sammutat sen, viet sen muualle, jos haluat. Ja koska se on sinun, mikään ei estä sinua pitämästä kahta —yhtä kotona, yhtä toimistossa— tai kolmea, lisäämällä yhden turvalliseen paikkaan, keskenään synkronoituina: oma redundanssisi, ilman riippuvuutta siitä, että kolmas osapuoli ylläpitää sitä. Itse isännöinti ei loppujen lopuksi ole yksi asia: se on yhdistelmä koneita, omistusta, sijainteja ja ohjelmistoa.
Tässä on väistämätöntä nimetä se, mitä teemme, ja teemme sen ilman naamiota: Solo2:ssa tuon sillan rakentaa sovellus itse. Toimistosi tietokone pysyy käytettävissä vain luotetuille laitteillesi, ja aina salauksen alla, ja muut laitteesi yhdistävät siihen uudelleen itse. Kun asiakas puhuu kanssasi, juuri sinun tietokoneesi — ei kolmannen osapuolen — puhuu asiakkaan kanssa. Emme ratkaise sähkökatkoa; ratkaisemme sillan. Emmekä ole ainoat: lähes jokaiseen tarpeeseen on tänään ohjelmia — vapaita tai omisteisia —, jotka mahdollistavat juuri tämän: pitää tiedot omalla laitteellasi ja päästä niihin ulkopuolelta. Meidän on esimerkki; tärkeää on idea, ei tuotemerkki.
Redundanssi ei ole supervoima
Tässä herää välitön vastalause, ja se on kohtuullinen: jos minulla on kaikki toimistotietokoneellani, mitä tapahtuu, jos se menee rikki? Kysymys on hyvä. Vastaus on, että turvaverkko, jonka kuvittelemme suurilla palveluntarjoajilla, on vaatimattomampi — ja helpommin jäljiteltävissä — kuin miltä se näyttää.
Kun jätän tietoni monikansallisen yrityksen konesaliin, luotan siihen, että heillä on kopioita useissa paikoissa. Ja luultavasti heillä onkin: toisessa paikassa, ehkä kolmannessa. Mutta tuo redundanssi ei ole loputon ja ennen kaikkea se ei ole minun: se pysyy kiintolevynä, jota en omista ja jota hallitsee joku, johon kohdistan luottamuksen, jota en lähes koskaan varmista.
Tuon saman verkon voin kutoa itse, ja ratkaisevalla edulla. Päivittäinen palveluni asuu toimistotietokoneella. Sieltä säilytän salattua kopiota ystäväyrityksen tietokoneella — ammattitoverin, toisen luotetun toimiston — ja toista salattua kopiota halutessani samalla eurooppalaisella palveluntarjoajalla, josta puhuimme. Ero on kaikessa: se, mitä jätän ulkopuolelle, ei ole palveluni eikä tietoni selkokielellä, vaan salattu kopio, jonka vain minä voin avata. Ulkopuolinen palveluntarjoaja säilyttää suljettua lipastoa, johon hänellä ei ole avainta. En usko hänelle tietoani: uskon hänelle muutaman tavun, jotka ilman minua eivät merkitse mitään.
Se oli turvassa, kunnes se ei enää ollut
Sallikaa minun kertoa henkilökohtainen tarina, sillä se havainnollistaa tämän paremmin kuin mikään argumentti. Yli kymmenen vuoden ajan olin CrashPlanin, teknisesti poikkeuksellisen varmuuskopiointipalvelun, uskollinen asiakas. Varmuuskopioin heidän pilveensä kaikki tietokoneeni ja perheeni tietokoneet — yrityksen ja kodin, kaiken — versioilla, joita voin palauttaa haluamallani tiheydellä matkustaen ajassa taaksepäin kuukausien takaiseen tiettyyn tiedostoon. Ensimmäisen kopion jälkeen se välitti vain muutokset salattuna ja pakattuna, joten pidin valtavan varmuuskopion ajan tasalla lähes ilman vaivaa. Se pelasti minut monta kertaa, typerästä dokumentista koko levyyn. Hinta nousi vuosien myötä, eikä se haitannut minua: maksoin iloisena.
Mitä en tiennyt, oli se, että CrashPlan oli tehnyt laskuvirheen: he olivat luvannet sopimuksella rajattoman tallennustilan sekä tilan että ajan suhteen. Ja tila kerrottuna ajalla — vuosien historia, versiot muutaman minuutin välein — kasvaa, kunnes siitä tulee kestämätöntä. Eräänä päivänä he ilmoittivat meille kaikille, että palvelu päättyy. He tekivät sen tyylikkäästi ja anteliaalla lähes vuoden määräajalla ja antoivat meille välineet tietojemme lataamiseen. Mutta mihin ihminen menee yli kymmenen vuoden versioitujen kopioiden kanssa kaikista levyistään? Siellä huomaat, ettei sinulla ole tapaa ladata kaikkea eikä paikkaa, mihin laittaa se, ja vaikka voisitkin, uusi varasto maksaisi omaisuuden.
Pelastin neljä välttämätöntä asiaa. Loput katosivat, kun kytkin sammutettiin. Olin rauhallinen, tietoni olivat turvassa... kunnes eivät enää olleet. Eikä petoksen takia: CrashPlan toimi moitteettomasti — toisin kuin Evernote, joka vuosia myöhemmin toimi häpeällisesti —; yksinkertaisesti suojelusenkelini pilvessä päätti, täydellä oikeudella, lakata olemasta sellainen. Tulos oli minulle identtinen: se, minkä luulin turvalliseksi, katosi.
Mitä tämä tarina todella opettaa, liittyy enemmän ihmisluontoon kuin teknologiaan. Kun joku tuntee, että jokin on hänen vastuullaan, hän toimii ennaltaehkäisevästi: tekee kopioita, varmistaa selustansa, on epäluuloinen hyvällä arvostelukyvyllä. Kun hän uskoo — virheellisesti —, että vastuun kantaa suuri ja vakavarainen kolmas osapuoli, hän rentoutuu ja antaa asioiden mennä omalla painollaan. Tuo delegoitu rauha ei ole varovaisuutta: se on ilman meikkiä vastuuttomuuden muoto.
Maksaminen ei ole sama asia kuin noudattaminen
Tuo hiljainen vastuuttomuus muistuttaa paljon vanhempia, jotka ilmoittavat poikansa kalleimpaan kouluun, maksavat hänelle sen jälkeen maisterintutkinnon ja uskovat sillä täyttäneensä velvollisuutensa. He eivät ole täyttäneet sitä. Vanhempana oleminen on huolehtimista siitä, mitä hän on tänään oppinut, siitä, mitä hän ei ymmärrä, hänen arvoistaan, hänen itseluottamuksestaan. Jos tuo poika ei 25-vuotiaana osaa työskennellä tai käyttäytyä, syy ei ole koulun, joka peri rahat: se on sen, joka delegoi ja maksoi uskoen, että se riitti. Kolmannelle osapuolelle maksaminen ei vapauta vastuusta. Se ei ole koskaan vapauttanut.
Tietojen kanssa käy samoin, ja lähihistoria vahvistaa sen. Viisikymmentä tai sata vuotta sitten ammattilainen säilytti asiakkaidensa asioita kansioissa, työhuoneessaan tai kotonaan, ja tunsi olevansa niistä vastuussa. Harvoin mitään katosi. Olemme siirtyneet digitaaliseen maailmaan ja hämmästyttävällä helppoudella lataamme kaiken „pilveen“ — joka ei ole muuta kuin jonkin monikansallisen yrityksen tietokone — ja lakkaamme huolehtimasta. Ja usein tapahtuu onnettomuuksia, on yrityksiä, jotka menettävät kaiken, ja silloin sanotaan: vika oli Googlen, vika oli Microsoftin. Ei. Tieto on sinun tai asiakkaidesi, mutta vastuussa olet sinä.
Omien asioittesi isännöiminen ei ole tekninen oikku: se on tuon vuosikymmenten takaisen tyynen varmuuden palauttamista, sen, että tietää missä kukin asia on ja miksi. Tietosuoja on puolestaan kokenut äkillisen heiluriliikkeen — täydellisestä sääntöjen puuttumisesta, jolloin kuka tahansa esitteli asiakkaan tietoja ajattelematta, vaatimukseen, joka lankeaa kohtuuttomalla ankaruudella pienimmällekin, freelancerille, joka antaa asiakkaan puhelinnumeron lähetille. En kyseenalaista tavoitetta; havainnoin epäsuhtaa. Mutta epäsuhta ei vapauta meitä vastuusta: sinä päivänä, kun hallinnolla on keinot seurata ja rangaista laajassa mittakaavassa, koko lakkaa suojaamasta ketään, ja on viisasta olla odottamatta tuota päivää talo epäjärjestyksessä. Tietojen hallinta omissa käsissä auttaa noudattamaan sääntöjä ja auttaa osoittamaan sen. Ja ennen kaikkea se palauttaa asiat paikalleen: kun tieto on sinun, vastuu on täysin sinun — ei ole kolmatta osapuolta, jota syyttää, eikä kolmatta osapuolta, jonka epäonnistuminen asettaisi sinut vaaraan.
Vastuu myös suojelee
Olisi epärehellistä maalata tämä ilman varjoja. Välittäjän paikan ottaminen tarkoittaa sen taakan kantamista: pitää varmuuskopiot ajan tasalla, soveltaa päivityksiä ja oikeudellinen vastuu — RGPD:n mukainen —, joka todellisuudessa ei koskaan lakannut olemasta täysin sinun (alaviitteiden viittaukset erittelevät konkreettiset artiklat). On työtä, ja on päivä, jolloin jokin pettää sopimattomaan aikaan. Emme piilota sitä.
Mutta pelko, joka ympäröi tuota sanaa, vastuu, on huonosti kalibroitu. On paljon helpompaa menettää tiedostosi pilvipalvelussa, joka suljetaan, tai valokuvasi Google Kuvissa, kuin menettää se tärkeiden asiakirjojen kansio, joka sinulla on omassa tietokoneessasi: se, josta tiedät missä se on ja jonka puuttumisen huomaisit heti kun se katoaisi. Mitä tunnet omaksesi, sitä hoidat; mitä luulet turvassa olevaksi toisen käsissä, sen laiminlyöt.
Ajattele entisaikojen valokuva-albumeja, niitä kehitetylle paperille tehtyjä, laatikkoon talletettuja. Oletko koskaan kuullut kenenkään sanovan, että hän „menetti“ perhealbuminsa? Kuullaan talosta, joka paloi albumin kanssa sisällä; mutta menettää se noin vain, ei. Ja sen sijaan ihmiset, joilla oli kaikki valokuvansa Google Kuvissa tai Apple Kuvissa ja jotka jäivät ilman mitään: tämä tarina palaa muutaman kuukauden välein, koska he luulivat sen olevan turvassa. Google Kuvat huolehtii valokuvistasi, totta kai; mutta se ei huolehdi niistä niin kuin vanhemmat huolehtivat albumista, jossa ovat heidän lapsensa ja lapsenlapsensa. Tätä eroa ei korjaa mikään datakeskus: vastuu, kun se on sinun, ei ole vain taakka; se on myös paras takuu.
Neljä kysymystä ennen päätöksentekoa
Jos harkitset askeleen ottamista missä tahansa sen muodossa, on hyvä vastata ensin neljään kysymykseen intohimottoman rehellisesti:
- Mitä osaa tiedoistasi sinua sattuisi menettää tai olla saamatta mukaasi? Ja varo „rutiininomaisen“ hylkäämistä: laskuhistoria vaikuttaa maailman proosallisimmalta asialta, kunnes vaihdat ohjelmaa ja huomaat, että nuo laskut olivat palveluntarjoajan, eivät sinun — että voit korkeintaan tulostaa ne PDF-muotoon, etkä enää pysty hakemaan niiden sisältä —. Kyse ei ole vain arkaluonteisuudesta: kyse on siitä, kenelle todella kuuluu se, mitä sinun täytyy säilyttää.
- Mikä vaihtoehto on suhteessa todelliseen tekniseen kyvykkyyteesi? Hyvin huollettu oma tietokone on kenen tahansa ulottuvilla; kokonaisen palvelimen ylläpitäminen ei niinkään. Ole rehellinen itsellesi siitä, mitä osaat ja mitä et. Ja muista, että kokonaisen palvelimen rakentamisen ja kaiken delegoinnin välillä on hyvin järkevä välimaasto: ohjelmat — vapaat tai omisteiset —, jotka säilyttävät tietosi omalla laitteellasi ja antavat sinun päästä niihin ulkopuolelta. Monelle ihmiselle se on paras tasapaino.
- Mikä on suunnitelmasi pahimman päivän varalle? Tietomurto, hajoava levy, sulkeutuva palveluntarjoaja, teknikko sairaslomalla. Jos suunnitelma alkaa sanoilla «näin ei pitäisi tapahtua», se ei ole suunnitelma.
- Osaisitko todistaa noudattavasi sääntöjä, jos sinut tarkastettaisiin huomenna? Asian tekeminen hyvin ja sen osoittaminen, että tekee sen hyvin, eivät ole sama asia. Laki vaatii jälkimmäistä.
Ei ole olemassa yleispätevää vastausta. On olemassa oikeasuhtainen vastaus, joka on otettu käyttöön rehellisesti sen suhteen, mitä saavutetaan ja mikä on peritty vastuu. Ja tekniikan yläpuolella on yksi yksinkertainen varmuus: tietosi asuvat jonkun tietokoneella. Ainoa kysymys, jolla on todella merkitystä, on kenen tietokone haluat sen olevan.
Oma hosting ei ole hyve eikä pahe: se on työkalu, jolla on konkreettinen vaikutus kykyihin ja vastuisiin. Kysymys ei koskaan ollut siitä, pitäisikö sinun isännöidä omia tietojasi, vaan mitä tietoja, miten ja millaisen tukiverkoston avulla. Tietojen hallinnan takaisinotto ei tarkoita paluuta kellariin eikä kaiken epäilemistä: se on paluuta tuntemaan vastuuta siitä, mikä on meidän, aivan kuten silloin, kun tiedot asuivat työpöydällä olevassa kansiossa. Tuo vastuu, oikein ymmärrettynä, on todellinen palvelu, jonka ammattilainen tarjoaa asiakkailleen.
Lähteet ja lisälukemista
- Asetus (EU) 2016/679 — 28 artikla (henkilötietojen käsittelijä), 32 artikla (käsittelyn turvallisuus), 33 artikla (tietoturvaloukkauksesta ilmoittaminen), 37 artikla (tietosuojavastaavan nimittäminen).
- Espanjan tietosuojavirasto (AEPD) — Käytännön opas riskianalyysiin henkilötietojen käsittelyssä (nykyinen versio). Kehys rekisterinpitäjille, jotka ottavat hoitaakseen omat tekniset toimintonsa.
- Euroopan tietosuojaneuvosto — Guidelines 1/2024 on processing of personal data based on legitimate interests. Sovellettavissa myös suhteellisuusarviointiin omia infrastruktuureja koskevissa päätöksissä.
- Euroopan komissio — julkinen hakemisto eurooppalaiselle lainkäyttöalueelle sijoittautuneista tietopalvelujen tarjoajista. Hallinnollinen lähtökohta eurooppalaisten hallinnoitujen hosting-vaihtoehtojen tunnistamiseksi.
- Nextcloud GmbH (Saksa) — Nextcloud Enterprise -arkkitehtuuri ja vaatimustenmukaisuusdokumentaatio. Dokumentoitu tapaus vapaasta ohjelmistosta, jolla on sekä itseisännöityjä että eurooppalaisen palveluntarjoajan hallinnoimia malleja; hyödyllinen teknisenä viitteenä projektista, jota on ylläpidetty eurooppalaisella lainkäyttöalueella vuodesta 2016.