Self-hosting kaip profesinė praktika Cuadernos Lacre https://solo2.net/lt/uzrasu-knygeles/articulos/klausimas-tarp-debesies-ir-rusio-self-hosting.html Verta pradėti nuo žodžio, kuris be priežasties gąsdina, demistifikavimo: serveris. Serveris nėra paslaptinga mašina aušinamame kambaryje. Tai tiesiog kito asmens kompiuteris —arba jūsų—, kuris saugo informaciją ir pateikia ją tam, kas jos prašo. Dešimtmečius savo klientų duomenis saugojome aplankuose, kartotekose, ant biuro stalo, ir niekas dėl to neprarado miego. Informacija nebuvo bauginanti, nes ji buvo popieriuje; ji neturi būti bauginanti ir dėl to, kad ji yra diske. „Debesis“ taip pat nėra bekūnis. Tai įmonės kompiuteris, beveik visada toli ir beveik visada kažkieno kito. Tai netyčia sužinojau tą dieną, kai, būdamas įsitikinęs, kad mano failai saugūs „Google Drive“, pastebėjau, kad aplanke mano kompiuteryje yra ne mano dokumentai, o nuorodos į dokumentus, kurie gyvena kažkur kitur. Jei ta kita vieta nuspręstų užsidaryti, pakeisti kainą ar nutraukti paslaugą, mano ramybė dingtų kartu su ja. Aš neturėjau savo daiktų; turėjau leidimą prie jų prieiti. Iš čia kyla šio Sąsiuvinio klausimas, lengviau suformuluojamas nei atsakomas: kur turėtų gyventi tavo klientų duomenys? O tavo paties? Vieša diskusija jį pateikia taip, lyg būtų tik du priešingi atsakymai — didžiųjų platformų debesis arba pasidaryti pačiam —, beveik kaip stovyklos klausimą. Bet tai ne du keliai: jų yra trys, ir nė vienas nėra tikėjimo aktas. Skaitant lėtai, jie turi daugiau atspalvių ir reikalauja daugiau, nei atrodo. Lengva manyti, kad konfidencialumas yra advokatų, gydytojų ar žurnalistų reikalas, o visi kiti neturi ko slėpti. Tai klaida, ir brangi klaida. Beveik kiekviena įmonė saugo savo klientų duomenis, kuriems taikomi įstatymai, ir daugelis, patys to nežinodami, saugo informaciją, kuri yra kur kas jautresnė, nei atrodo. Sofų parduotuvė užsirašo pirkėjo vardą, adresą ir telefoną; jei yra finansavimas, ir jo ekonominius duomenis. Renovacijos ar dekoravimo įmonė saugo savo klientų namų vidaus nuotraukas ir pilnus jų būstų planus. Valymo įmonė tvarko biurų, kuriuos valo, planus, dažnai pažymėtus spalvomis ir skaičiais, nurodančiais, kuris darbuotojas kur įeina, kelintą valandą ir kokiu raktu. Niekas iš to neatrodo didelis dalykas, kol žmogus nepasiklausia, kam dar tai turėtų vertę: tie valymo planai, žiūrint kitomis akimis, yra tobulas žemėlapis tam, kas nori įsibrauti vogti. Tai, kad verslas yra mažas arba parduoda sofas, o ne gina bylas, nereiškia, kad jo duomenys neturi vertės arba kad įstatymas jam nebetaikomas. Tai tik lemia, kad savininkas linkęs apie tai mažiau galvoti. O mažai galvoti apie tai, kas yra jūsų atsakomybė, yra būtent ta vieta, kur prasideda problemos. Čia kyla neatidėliotinas prieštaravimas, ir jis pagrįstas: jei viską turiu savo biuro kompiuteryje, kas atsitiks, jei jis suges? Klausimas geras. Atsakymas yra toks, kad saugos tinklas, kurį įsivaizduojame didžiųjų tiekėjų atveju, yra kuklesnis —ir lengviau atkartojamas—, nei atrodo. Kai palieku savo duomenis tarptautinės korporacijos duomenų centre, pasitikiu, kad ji turi kopijas keliose vietose. Ir tikriausiai turi: antroje vietoje, galbūt trečioje. Bet tas dubliavimas nėra begalinis ir, svarbiausia, jis nėra mano: tai lieka kietasis diskas, kurio savininkas nesu aš, valdomas kažko, kuo pasitikiu beveik niekada to netikrindamas. Tą patį tinklą galiu nusipinti ir aš pats, turėdamas lemiamą pranašumą. Mano kasdienė paslauga gyvena biuro kompiuteryje. Iš ten saugau užšifruotą kopiją draugiškos įmonės kompiuteryje —profesijos kolegos, kito patikimo biuro— ir kitą užšifruotą kopiją, jei noriu, pas tą patį Europos tiekėją, apie kurį kalbėjome. Skirtumas yra viskas: tai, ką palieku išorėje, nėra mano paslauga ar mano atviri duomenys, o užšifruota kopija, kurią galiu atidaryti tik aš. Išorinis tiekėjas saugo užrakintą skrynią, kurios rakto neturi. Aš nepatikiu jam savo informacijos: patikiu jam keletą baitų, kurie be manęs nieko nereiškia. Leiskite papasakoti asmeninę istoriją, nes ji tai iliustruoja geriau nei bet koks argumentas. Daugiau nei dešimt metų buvau atsidavęs „CrashPlan“ — techniškai išskirtinės atsarginių kopijų kūrimo tarnybos — klientas. Jų debesyje kūriau visų savo ir šeimos kompiuterių — biuro ir namų, visko — atsargines kopijas su versijomis, kurias galėjau atkurti norimu dažnumu, keliaudamas laiku atgal iki konkretaus failo iš prieš kelis mėnesius buvusios būsenos. Po pirmosios kopijos tarnyba perduodavo tik skirtumus, užšifruotus ir suglaudintus, todėl beveik be pastangų palaikiau milžinišką atsarginę kopiją. Tai mane išgelbėjo daugybę kartų — nuo kvailo dokumento iki viso disko. Kaina bėgant metams kilo ir man buvo tas pats: mokėjau su malonumu. Ko aš nežinojau, tai kad „CrashPlan“ padarė skaičiavimo klaidą: sutartimi jie pažadėjo neribotą vietą saugykloje — tiek erdvės, tiek laiko prasme. O erdvė, padauginta iš laiko — metų istorija, versijos kas kelias minutes — auga, kol tampa nebepakeliama. Vieną dieną mums visiems pranešė, kad paslauga nutraukiama. Jie tai padarė elegantiškai ir su dosniu terminu, beveik metais, bei suteikė priemones atsisiųsti tai, kas mūsų. Bet kur eiti su daugiau nei dešimties metų visų savo diskų versijuotomis kopijomis? Ten supranti, kad neturi nei kaip visko atsisiųsti, nei kur dėti, ir kad, net jei galėtum, nauja saugykla kainuotų turtus. Išsaugojau keturis būtinus dalykus. Visa kita dingo, kai išjungė jungiklį. Buvau ramus, mano informacija buvo saugi... kol nustojo tokia būti. Ir ne dėl išdavystės: CrashPlan elgėsi nepriekaištingai — priešingai nei Evernote, kuris po metų pasielgė gėdingai —; tiesiog mano angelas sargas debesyje nusprendė, visiškai teisėtai, juo nustoti būti. Rezultatas man buvo toks pat: tai, ką maniau esant saugu, dingo. Tai, ko ši istorija iš tikrųjų moko, labiau susiję su žmogaus prigimtimi nei su technologijomis. Kai žmogus jaučia, kad kažkas yra jo atsakomybė, jis veikia prevenciškai: daro kopijas, saugo savo užnugarį, pagrįstai nepasitiki. Kai jis tiki — klaidingai —, kad atsakomybę prisiima didelė ir moki trečioji šalis, jis atsipalaiduoja ir leidžia viskam tekėti sava vaga. Ta deleguota ramybė nėra apdairumas: tai, be grimo, yra neatsakingumo forma. Tas ramus neatsakingumas labai panašus į tėvų, kurie užrašo savo sūnų į brangiausią mokyklą, po to sumoka už magistrantūros studijas ir tuo tiki įvykdę savo pareigą. Jie neįvykdė pareigos. Būti tėvais reiškia rūpintis tuo, ką jis šiandien išmoko, ko nesupranta, jo vertybėmis, jo pasitikėjimu savimi. Jei sulaukęs dvidešimt penkerių metų tas sūnus nemoka dirbti ar elgtis, kaltė ne mokyklos, kuri paėmė pinigus: kaltė to, kuris delegavo ir mokėjo tikėdamas, kad to užtenka. Mokėjimas trečiajai šaliai neatleidžia nuo atsakomybės. Niekada neatleido. Su duomenimis yra taip pat, ir naujausia istorija tai patvirtina. Prieš penkiasdešimt ar šimtą metų profesionalas laikė savo klientų reikalus aplankuose, savo kabinete ar namuose, ir jautėsi už juos atsakingas. Retai kas nors dingdavo. Perėjome į skaitmeninį pasaulį ir su stulbinančiu lengvumu viską įkeliame į „debesį“ — kuris yra ne kas kita, kaip kažkokios tarptautinės korporacijos kompiuteris — ir nustojame jaudintis. Ir dažnai įvyksta nelaimingi atsitikimai, yra įmonių, kurios praranda viską, ir tada sakoma: kaltas buvo Google, kaltas buvo Microsoft. Ne. Informacija yra tavo arba tavo klientų, bet atsakingas esi tu. Savo duomenų hostinimas nėra techninis kaprizas: tai susigrąžinimas tos prieš dešimtmečius turėtos ramybės, žinojimo, kur kiekvienas dalykas yra ir kodėl. Duomenų apsauga tuo tarpu patyrė staigų švytuoklės judesį —nuo visiško taisyklių nebuvimo, kai bet kas be galvojimo viešino kliento duomenis, iki reikalavimo, kuris neproporcingai sunkiai gula ant mažiausiojo, laisvai samdomo darbuotojo, kuris perduoda kliento telefoną kurjeriui. Neginčiju tikslo; stebiu neatitikimą. Bet neatitikimas mūsų neatleidžia: tą dieną, kai administracija turės priemones sekti ir sankcionuoti dideliu mastu, dydis nustos ką nors saugoti, todėl patartina nelaukti tos dienos nesusitvarkius namų. Duomenų turėjimas savo kontrolėje padeda laikytis taisyklių ir padeda tai įrodyti. O svarbiausia, tai sugrąžina dalykus į savo vietas: kai informacija yra jūsų, atsakomybė yra visiškai jūsų —nėra trečiosios šalies, kurią galėtumėte kaltinti, nei trečiosios šalies, kurios nesėkmė jus paveiktų—. Būtų nesąžininga piešti tai be šešėlių. Užimti tarpininko vietą reiškia nešti jo naštą: palaikyti atsargines kopijas atnaujintas, taikyti atnaujinimus ir teisinę atsakomybę — RGPD numatytą —, kuri iš tikrųjų niekada nenustojo būti visiškai tavo (nuorodos apačioje detalizuoja konkrečius straipsnius). Yra darbo, ir yra diena, kai kažkas sugenda netinkamu metu. To neslepiame. Bet baimė, supanti tą žodį, atsakomybė, yra blogai sukalibruota. Daug lengviau prarasti savo failus debesų paslaugoje, kuri užsidaro, ar savo nuotraukas „Google“ nuotraukose, nei prarasti tą svarbių dokumentų aplanką, kurį turi savo paties kompiuteryje: tą, apie kurį žinai, kur jis yra, ir kurio dingimą pastebėtum vos jam išnykus. Tai, ką jauti esant savo, prižiūri; tai, ką manai esant saugu kito rankose, apleidi. Pagalvok apie senuosius nuotraukų albumus, tuos iš išryškinto popieriaus, laikomus stalčiuje. Ar kada nors girdėjai ką nors sakant, kad „prarado“ savo šeimos albumą? Girdėti apie namą, kuris sudegė su albumu viduje; bet prarasti jį šiaip sau – ne. O priešingai, žmonės, kurie turėjo visas savo nuotraukas „Google“ nuotraukose arba „Apple“ nuotraukose ir liko be nieko: ši istorija kartojasi kas keletą mėnesių, nes jie tikėjo, kad jos saugios. „Google“ nuotraukos prižiūri tavo nuotraukas, žinoma; bet neprižiūri jų taip, kaip tėvai prižiūri albumą, kuriame yra jų vaikai ir anūkai. Šio skirtumo nepataiso joks duomenų centras: atsakomybė, kai ji tavo, yra ne tik našta; ji taip pat ir geriausia garantija. Šaltiniai ir papildomas skaitymas - Reglamentas (ES) 2016/679 — 28 straipsnis (duomenų tvarkytojas), 32 straipsnis (tvarkymo saugumas), 33 straipsnis (pranešimas apie pažeidimą), 37 straipsnis (duomenų apsaugos pareigūno skyrimas). - Ispanijos duomenų apsaugos agentūra — Praktinis vadovas rizikos analizei tvarkant asmens duomenis (aktuali versija). Pagrindas valdytojams, kurie prisiima savo technines funkcijas. - Europos duomenų apsaugos valdyba — Guidelines 1/2024 on processing of personal data based on legitimate interests. Taikoma ir proporcingumo tyrimui priimant sprendimus dėl nuosavos infrastruktūros. - Europos Komisija — viešas informacinių paslaugų tiekėjų, įsikūrusių Europos jurisdikcijoje, katalogas. Administracinis atspirties taškas nustatant Europos valdomos prieglobos parinktis. - Nextcloud GmbH (Vokietija) — Nextcloud Enterprise architecture and compliance documentation. Dokumentuotas laisvosios programinės įrangos atvejis su savarankiško prieglobos valdymo ir Europos tiekėjo valdomais būdais; naudinga kaip techninė nuoroda projektui, palaikomam Europos jurisdikcijoje nuo 2016 m. --- Cuadernos Lacre · Menzuri Gestión S.L. leidinys · parašė R.Eugenio · redagavo Solo2 komanda. https://solo2.net/lt/uzrasu-knygeles/