אירוח עצמי כפרקטיקה מקצועית
שרת הוא לא יותר מאשר מחשב. השאלה היא לא האם כדאי שיהיה אחד, אלא איפה חיים נתוני הלקוחות שלך, מי מתחזק אותם ומי לוקח אחריות כשמשהו נכשל.
השאלה בין הענן למרתף
כדאי להתחיל בפירוק מילה שמפחידה ללא סיבה: שרת (server). שרת אינו מכונה מסתורית בחדר מקורר. זה פשוט מחשב של אדם אחר —או שלך— ששומר מידע ומוסר אותו למי שמבקש. במשך עשרות שנים שמרנו את המידע של הלקוחות שלנו בתיקייה, בארון תיוק, על שולחן המשרד ואף אחד לא איבד שינה בגלל זה. המידע לא היה מפחיד כי הוא היה על נייר; הוא לא חייב להיות מפחיד גם בגלל שהוא על דיסק.
ה-«ענן» אינו אתרי גם הוא. זהו מחשב של חברה, כמעט תמיד רחוק וכמעט תמיד של מישהו אחר. למדתי זאת בעל כורחי ביום שבו, בטוח שהקבצים שלי מוגנים ב-Google Drive, גיליתי שהתיקייה במחשב שלי לא הכילה את המסמכים שלי, אלא קיצורי דרך למסמכים שחיו במקום אחר. אם המקום האחר ההוא היה מחליט להיסגר, לשנות מחיר או לבטל את השירות, שלוות הנפש שלי הייתה הולכת איתו. לא היו לי את הדברים שלי; הייתה לי רשות לגשת אליהם.
מכאן נולדת השאלה של מחברת זו, קלה לניסוח יותר מאשר למענה: היכן צריכים לחיות נתוני הלקוחות שלך? ושלך עצמך? השיח הציבורי מציג אותה כאילו יש רק שתי תשובות מנוגדות — הענן של הפלטפורמות הגדולות או להקים זאת בעצמך —, כמעט עניין של מחנה. אך אין אלה שני נתיבים: הם שלושה, ואף אחד מהם אינו מעשה אמונה עיוור. אם קוראים אותם לאט, יש בהם יותר ניואנסים והם דורשים יותר ממה שנדמה.
זה נוגע אליך, לא משנה מה אתה מוכר
קל לחשוב שחיסיון הוא עניין של עורכי דין, רופאים או עיתונאים, ולשאר אין מה להסתיר. זו טעות, וטעות יקרה. כמעט כל עסק שומר נתוני לקוחות הכפופים לחוק, ורבים שומרים, מבלי לדעת זאת, מידע הרבה יותר רגיש ממה שנראה.
חנות ספות רושמת את השם, הכתובת והטלפון של הקונה; אם יש מימון, גם את נתוניו הכלכליים. חברת שיפוצים או עיצוב פנים שומרת תצלומים מתוך בתי לקוחותיה ואת התוכניות המלאות של דירותיהם. חברת ניקיון מטפלת בתוכניות המשרדים שהיא מנקה, לעיתים קרובות מסומנות בצבעים ובמספרים המציינים איזה עובד נכנס לאן, באיזו שעה ובאיזה מפתח. דבר מכל זה אינו נראה עניין גדול עד שאדם שואל את עצמו למי עוד עשוי להיות לו ערך: תוכניות הניקיון הללו הן, בעיניים אחרות, המפה המושלמת למי שרוצה להיכנס לגנוב.
זה שעסק הוא קטן, או שהוא מוכר ספות במקום להגן בתביעות משפטיות, לא הופך את הנתונים שלו לחסרי ערך ולא גורם לחוק להפסיק לחול עליו. זה רק גורם לבעלים שלו לנטות לחשוב על זה פחות. ולחשוב מעט על משהו שהוא באחריותך זה בדיוק המקום שבו מתחילות הבעיות.
איפה המידע שלך חי?
לשאלה זו יש, בעיקרו של דבר, שלוש תשובות. וכדאי לזכור ש«הנתונים» אינם רק תיק של לקוח או חבילת החשבוניות וההצעות: הם גם השיחות שלך איתו — דרך WhatsApp, דרך שירות צ'אט מקצועי, דרך Solo2 —. שלוש התשובות שלהלן אינן דרגות של טוהר ואינן סולם מטובים לרעים: הן שלוש דרכים לחלק את אותו הדבר, את השליטה ואת האחריות.
להאציל הכול לספק. זה הנפוץ ביותר, ולרוב האנשים זה הדבר היחיד שהם מכירים. אני מכניס הכול ל-Google Workspace או ל-Microsoft 365 ומפקיד את כולו בידי הספק. משלם את דמי המנוי שלי וחדל לחשוב על כך. הצורה הקיצונית ביותר של זה היא שירותים שבהם אתה אפילו לא מחזיק בנתונים שלך: תוכנות חשבוניות בענן מסוימות, למשל, שומרות לך את החשבוניות ואת ההצעות — ופועלות מצוין —, אך המידע חי במערכת שלהן, לא בשלך. כל עוד אתה משלם, אתה ניגש; ביום שאתה עוזב, אתה מגלה שלקחת את ההיסטוריה שלך עצמך הוא קשה או בלתי אפשרי. החזקת הנתונים שלך כבני ערובה למחצה היא, אצל לא מעט ספקים, בדיוק מה שמונע ממך לעבור למתחרים. בתמורה לנוחות אני מוסר את השליטה ו — בלי לומר זאת בקול — את התחושה שהאחריות כבר אינה שלי. כאן ראוי ניואנס שכמעט אף פעם לא נעשה: האצלה אינה מילה נרדפת לאמריקאי. אני יכול להאציל הכול באותה נוחות לספק אירופי — Infomaniak, למשל — ולפתור במחי יד חלק ניכר מהספקות על העברות בינלאומיות שראינו ב«Schrems II», מבלי לארח שום דבר בעצמי. זה לא ארצות הברית נגד שאר היקום: בתוך ההאצלה הטהורה עצמה כבר יש החלטות שחשובות.
השכרת וניהול שרת משלך. יש לי את אותו הדבר ש-Microsoft או Google היו נותנים לי, אבל אני מקים אותו בעצמי. אני שוכר שרת אצל ספק אירופי —Hetzner, OVH, Scaleway— מתקין תוכנה חופשית (למשל Nextcloud לקבצים) ומנהל בעצמי את התוצאה. אני מקבל שליטה אמיתית: אני יודע מה רץ, איפה ולמה. אבל המכונה עדיין נמצאת במרכז נתונים של צד שלישי ומעל לכול, משתנה מי נושא בתוצאות. על ידי האצלה, אם משהו נכשל, יש לך את מי להאשים. בניהול עצמי, סביר מאוד שהאשמה תהיה שלך.
להחזיק את זה במחשב שלך. זו האופציה שכמעט אף אחד לא מספר עליה, והיא לב ליבו של המחברת הזו. אתה לא צריך שרת ענק דלוק עשרים וארבע שעות ביממה בתוך מרכז נתונים מאקרו כדי לארח את הדברים שלך. מחשב המשרד שלך הוא כבר שרת: הוא משרת אותך. אתה משאיר אותו דלוק במשרד ואתה מתחבר אליו מהלפטופ בבית של לקוח, או מהנייד כשאתה בבית. אנחנו קוראים לו «מחשב המשרד», לא «שרת», אבל הוא עושה בדיוק את אותו הדבר ששתי האופציות הקודמות עושות. השליטה היא מקסימלית וגם הקרבה: הנתונים שלך נמצאים איפה שאתה נמצא. הצד השני, שנאמר ללא קישוטים, הוא שהאחריות היא גם מקסימלית. אם החשמל נפסק אין טכנאי תורן בנירנברג: עליך להרים את המפסק. וכדי שהמחשב הזה יהיה נגיש מבחוץ, נדרש משהו שיגשר בין הלפטופ שלך לבינו. זה לא קסם, וכדאי לדעת את זה לפני שבוחרים במסלול הזה.
ואין צורך אפילו לעשות שימוש חוזר במחשב המשרד: קיים מכשיר שתוכנן בדיוק לשם כך, ה-NAS (מייצרות אותו Synology, QNAP ואחרות). כמו כמעט כל מה שראינו ב-Cuadernos הללו, אין בתוכו קסם: זהו מחשב ייעודי, אותו סוג מכונה שהיית שוכר במרכז נתונים, אלא שהוא מתוכנן לאחסן נתונים ולהגישם דרך הרשת, בלי מסך ובלי מקלדת. חבר אליו מסך ומקלדת ויהיה לך מחשב רגיל; התקן את התוכנה המתאימה במחשב שלך ויהיה לך NAS. ההבדל הוא שה-NAS מגיע כבר מוכן. אתה קונה אותו, מחבר אותו לחשמל בבית או במשרד, והוא שלך. אינך משלם דמי מנוי כל חודש; אתה משלם פעם אחת והוא נעשה רכושך, כמו כל כלי בעסק שלך. אתה מדליק אותו, מכבה אותו, ולוקח אותו למקום אחר אם תרצה. ומכיוון שהוא שלך, דבר אינו מונע ממך להחזיק שניים —אחד בבית ואחד במשרד— או שלושה, בהוספת אחד במקום בטוח, מסונכרנים זה עם זה: יתירוּת משלך, בלי להיות תלוי בכך שצד שלישי יתחזק אותה. אירוח עצמי, בסופו של דבר, אינו דבר אחד: הוא שילוב של ציוד, של בעלות, של מיקומים ושל תוכנה.
כאן בלתי נמנע לנקוב במה שאנו עושים, ואנו עושים זאת ללא תחפושת: ב-Solo2 את הגשר הזה מותחת היישומון עצמו. מחשב המשרד שלך נשאר נגיש רק למכשירים המהימנים שלך, ותמיד תחת הצפנה, ושאר מכשיריך מתחברים אליו מחדש בעצמם. כשלקוח מדבר איתך, זה המחשב שלך — לא של צד שלישי — שמדבר עם הלקוח. אנחנו לא פותרים את הפסקת החשמל; אנחנו פותרים את הגשר. ואיננו היחידים: כמעט לכל צורך קיימות היום תוכנות — חופשיות או קנייניות — המאפשרות בדיוק את זה, להחזיק את הנתונים במחשב שלך ולהגיע אליהם מבחוץ. שלנו הוא דוגמה; החשוב הוא הרעיון, לא המותג.
יתירות (Redundancy) אינה כוח על
כאן עולה ההתנגדות המיידית, והיא סבירה: אם יש לי הכול במחשב המשרדי, מה קורה אם הוא נשבר? השאלה טובה. התשובה היא שרשת הביטחון שאנחנו מדמיינים אצל הספקים הגדולים היא צנועה יותר —וקלה יותר לחיקוי— ממה שזה נראה.
כשאני משאיר את הנתונים שלי במרכז נתונים של חברה רב-לאומית, אני סומך על כך שיש לה עותקים בכמה מקומות. וסביר להניח שיש לה: במיקום שני, אולי בשלישי. אבל היתירות הזו אינה אינסופית ומעל לכול היא לא שלי: זה נשאר דיסק קשיח שאני לא הבעלים שלו, המנוהל על ידי מישהו שאני נותן בו אמון שאני כמעט אף פעם לא מאמת.
את אותה רשת אני יכול לטוות בעצמי, ועם יתרון מכריע. השירות היומיומי שלי חי במחשב המשרד. משם אני שומר עותק מוצפן במחשב של חברה ידידותית —קולגה למקצוע, משרד מהימן אחר— ועותק מוצפן אחר, אם ארצה, אצל אותו ספק אירופי שדיברנו עליו. ההבדל הוא הכול: מה שאני משאיר בחוץ אינו השירות שלי וגם לא הנתונים הגלויים שלי, אלא עותק מוצפן שרק אני יכול לפתוח. הספק החיצוני שומר תיבה סגורה שאין לו את המפתח אליה. אני לא מפקיד בידיו את המידע שלי: אני מפקיד בידיו כמה בייטים שבלעדיי אינם מסמלים דבר.
זה היה בטוח עד שזה הפסיק להיות
הרשו לי לספר סיפור אישי, כי הוא ממחיש את העניין טוב יותר מכל טיעון. במשך יותר מעשר שנים הייתי לקוח נאמן של CrashPlan, שירות גיבוי יוצא מן הכלל מבחינה טכנית. גיביתי בענן שלהם את כל המחשבים שלי ושל משפחתי —של העסק ושל הבית, הכול— עם גרסאות שיכולתי לשחזר בתדירות שרציתי, תוך חזרה בזמן לקובץ ספציפי מלפני חודשים. לאחר העותק הראשון הוא העביר רק את השינויים בצורה מוצפנת ודחוסה, כך ששמרתי על גיבוי ענק מעודכן כמעט ללא מאמץ. זה הציל אותי פעמים רבות, ממסמך שטותי ועד לדיסק שלם. המחיר עלה עם השנים ולא היה אכפת לי: שילמתי בשמחה.
מה שלא ידעתי הוא ש-CrashPlan טעו בחישוב: הם הבטיחו בחוזה אחסון ללא הגבלה, הן במקום והן בזמן. והמקום כפול הזמן —שנים של היסטוריה, גרסאות כל כמה דקות— גדל עד שהוא הופך לבלתי נסבל. יום אחד הם הודיעו לכולנו שהשירות מסתיים. הם עשו זאת באלגנטיות ועם פרק זמן נדיב, כמעט שנה, ונתנו לנו אמצעים להוריד את המידע שלנו. אבל לאן הולך אדם עם יותר מעשר שנים של עותקים עם גרסאות של כל הדיסקים שלו? שם אתה מגלה שאין לך לא דרך להוריד הכול וגם לא מקום לשים אותו, ושגם אם היית יכול, המחסן החדש היה עולה הון תועפות.
הצלתי ארבעה דברים חיוניים. השאר הלך כשכיבו את המתג. הייתי שלֵו, המידע שלי היה בטוח... עד שחדל להיות. ולא בגלל בגידה: CrashPlan נהגה בצורה ללא רבב — בניגוד ל-Evernote, ששנים אחר כך נהגה בצורה מבישה —; פשוט, מלאך השומר שלי בענן החליט, בכל זכותו, לחדול מלהיות כזה. התוצאה, מבחינתי, הייתה זהה: מה שחשבתי לבטוח, נעלם.
מה שהסיפור הזה באמת מלמד קשור יותר לטבע האנושי מאשר לטכנולוגיה. כשמישהו מרגיש שמשהו הוא באחריותו, הוא פועל בצורה מונעת: הוא מכין עותקים, מאבטח את הגב שלו, חושד בשיקול דעת טוב. כשהוא מאמין —בטעות— שהאחריות מוטלת על צד שלישי גדול ובעל יכולת, הוא נרגע ונותן לדברים לקרות. השלווה המואצלת הזו אינה זהירות: היא, ללא איפור, צורה של חוסר אחריות.
לשלם זה לא אותו דבר כמו לציית לכללים
חוסר האחריות השקט הזה דומה מאוד להורים שרושמים את בנם לבית הספר היקר ביותר, משלמים לו לאחר מכן על תואר שני, ובכך הם מאמינים שמילאו את חובתם. הם לא מילאו. להיות הורה זה לדאוג למה שהוא למד היום, למה שהוא לא מבין, לערכים שלו, לביטחון העצמי שלו. אם בגיל עשרים וחמש הבן הזה לא יודע לעבוד או להתנהג, האשמה אינה בבית הספר שגבה את הכסף: היא במי שהאציל סמכויות ושילם מתוך אמונה שזה מספיק. תשלום לצד שלישי אינו פוטר מאחריות. הוא מעולם לא פטר.
עם הנתונים קורה אותו הדבר, וההיסטוריה האחרונה מאששת זאת. לפני חמישים או מאה שנה איש מקצוע שמר את ענייני לקוחותיו בתיקיות, במשרדו או בביתו, וחש אחראי להן. לעיתים נדירות אבד דבר. עברנו לעולם הדיגיטלי, ובקלות מדהימה אנו מעלים הכול ל«ענן» — שאינו אלא המחשב של תאגיד רב-לאומי — וחדלים לדאוג. ולעיתים קרובות יש תקלות, ויש חברות שמאבדות הכול, ואז נאמר: האשם היה Google, האשם היה Microsoft. לא. המידע הוא שלך, או של לקוחותיך, אבל האחראי הוא אתה.
אירוח הדברים שלך אינו גחמה טכנית: זה להחזיר את אותה שלווה של לפני עשרות שנים, זו של לדעת איפה כל דבר נמצא ולמה. הגנת המידע, בינתיים, חוותה תנועת מטוטלת חריפה —מחוסר כל כלל, כשכל אחד הציג נתוני לקוח ללא מחשבה, ועד לדרישה שנופלת בנוקשות לא פרופורציונלית על הקטן ביותר, העצמאי שנותן את הטלפון של לקוח לשליח. אני לא מתווכח על המטרה; אני מבחין בחוסר ההתאמה. אבל חוסר ההתאמה אינו פוטר אותנו: ביום שבו למנהל יהיו האמצעים לעקוב ולהעניש בקנה מידה רחב, הגודל יפסיק להגן על אף אחד, וכדאי לא לחכות ליום ההוא עם בית לא מסודר. החזקת המידע תחת שליטתך עוזרת לציית לכללים ועוזרת להוכיח זאת. ומעל לכול, היא מחזירה את הדברים למקומם: כשהמידע הוא שלך, האחריות היא כולה שלך —אין צד שלישי להאשים אותו, ואין צד שלישי שהכישלון שלו חושף אותך—.
האחריות גם מגינה
יהיה זה לא הוגן לצייר זאת ללא צללים. לתפוס את מקום המתווך פירושו לשאת במה שלו: לשמור על גיבויים מעודכנים, להחיל עדכונים ואחריות משפטית — זו של ה-RGPD — שלמעשה מעולם לא חדלה להיות לגמרי שלך (ההפניות בשוליים מפרטות את הסעיפים). יש עבודה, ויש יום שבו משהו מתקלקל בשעה לא נוחה. איננו מסתירים זאת.
אבל הפחד שאופף את המילה הזו, אחריות, מכויל לא נכון. הרבה יותר קל לאבד את הקבצים שלך בשירות ענן שנסגר, או את התצלומים שלך ב-Google Photos, מאשר לאבד את אותה תיקיית מסמכים חשובים שיש לך במחשב שלך עצמך: זו שאתה יודע היכן היא ושהיית מבחין בהיעדרה ברגע שתיעלם. את מה שאתה חש כשלך, אתה מטפח; את מה שאתה מאמין שבטוח בידי אחר, אתה מזניח.
חשוב על אלבומי התצלומים של פעם, אלה של הנייר המפותח השמורים במגירה. האם שמעת אי פעם מישהו אומר ש«איבד» את אלבום המשפחה שלו? שומעים על הבית שנשרף עם האלבום בתוכו; אבל לאבד אותו סתם כך, לא. ולעומת זאת, אנשים שכל התצלומים שלהם היו ב-Google Photos או ב-Apple Photos ונותרו בלי כלום: הסיפור הזה חוזר כל כמה חודשים, כי הם האמינו שזה בטוח. Google Photos מטפח את התצלומים שלך, בוודאי שכן; אך אינו מטפח בהם כפי שהורים מטפחים באלבום שבו ילדיהם ונכדיהם. הבדל זה אין מרכז נתונים שמתקן: האחריות, כשהיא שלך, אינה רק נטל; היא גם הערובה הטובה ביותר.
ארבע שאלות לפני שמחליטים
אם אתה שוקל לעשות את הצעד, בכל צורה שהיא, כדאי לענות קודם על ארבע שאלות בכנות נטולת פניות:
- איזה חלק מהנתונים שלך יכאב לך לאבד, או לא להצליח לקחת איתך? והיזהר מלפסול את ה«שגרתי»: היסטוריית החשבוניות נראית הדבר הפרוזאי ביותר בעולם עד שאתה מחליף תוכנה ומגלה שאותן חשבוניות היו של הספק, לא שלך — שלכל היותר אתה יכול להדפיס אותן כ-PDF, בלי שתוכל עוד לחפש בתוכן —. זה לא רק עניין של רגישות: זה עניין של למי באמת שייך מה שאתה צריך לשמר.
- איזו אפשרות פרופורציונלית ליכולת הטכנית האמיתית שלך? מחשב משלך מטופח היטב בהישג ידו של כל אחד; לנהל שרת שלם, פחות. היה כן לגבי מה שאתה יודע ומה שלא. וזכור שבין להקים שרת שלם לבין להאציל הכול יש שטח ביניים סביר מאוד: תוכנות — חופשיות או קנייניות — ששומרות את הנתונים שלך במחשב שלך עצמך ומאפשרות לך להגיע אליהם מבחוץ. עבור הרבה אנשים זה האיזון הטוב ביותר.
- איזו תוכנית יש לך ליום הגרוע ביותר? פריצת אבטחה, דיסק שמת, ספק שנסגר, הטכנאי בחופשת מחלה. אם התוכנית מתחילה ב-«זה לא אמור לקרות», זו לא תוכנית.
- האם תדע להוכיח שאתה עומד בכללים אם מחר יבדקו אותך? לעשות את זה טוב ולהיות מסוגל להוכיח שאתה עושה את זה טוב זה לא אותו דבר. החוק דורש את השני.
אין תשובה אוניברסלית. יש תשובה פרופורציונלית, שאומצה בכנות לגבי מה שמרוויחים ומה שיורשים כאחריות. ומעל לטכניקה, ודאות פשוטה אחת: הנתונים שלך חיים במחשב של מישהו. השאלה היחידה שבאמת חשובה היא של מי אתה רוצה שהמחשב הזה יהיה.
אירוח עצמי אינו סגולה וגם לא פגם: הוא כלי עם טביעת רגל קונקרטית של יכולות ואחריות. השאלה מעולם לא הייתה האם לארח את הנתונים שלך, אלא אילו נתונים, איך ועם איזו רשת תמיכה. החזרת השליטה בנתונים אינה חזרה למרתף וגם לא חוסר אמון בכל דבר: היא חזרה לתחושת האחריות על מה ששייך לנו, בדיוק כפי שהיה כשהנתונים האלה חיו בתיקייה על שולחן העבודה. אחריות זו, אם היא מובנת נכון, היא השירות האמיתי שבעל מקצוע מעניק ללקוחותיו.
מקורות וקריאה נוספת
- תקנה (EU) 2016/679 — סעיף 28 (מעבד), סעיף 32 (אבטחת העיבוד), סעיף 33 (הודעה על פריצה), סעיף 37 (מינוי ממונה הגנת מידע).
- סוכנות הגנת המידע הספרדית — מדריך מעשי לניתוח סיכונים בעיבוד נתונים אישיים (עדכון נוכחי). מסגרת לבקרים שלוקחים על עצמם פונקציות טכניות משלהם.
- המועצה האירופית להגנת מידע — Guidelines 1/2024 on processing of personal data based on legitimate interests. תקף גם לבדיקת מידתיות בהחלטות על תשתית עצמית.
- הנציבות האירופית — המדריך הציבורי של ספקי שירותי מידע המבוססים בתחום השיפוט האירופי. נקודת מוצא אדמיניסטרטיבית לזיהוי אפשרויות אירוח מנוהל אירופיות.
- Nextcloud GmbH (גרמניה) — ארכיטקטורת Nextcloud Enterprise ותיעוד ציות. מקרה מתועד של תוכנה חופשית עם מודלים של אירוח עצמי ומנוהל על ידי ספק אירופי; שימושי כהפניה טכנית של פרויקט המתוחזק בתחום השיפוט האירופי מאז 2016.