# Self-hosting как профессиональная практика

> Cuadernos Lacre
> https://solo2.net/ru/zhurnal/articulos/vopros-mezhdu-oblakom-i-podvalom-self-hosting.html

Стоит начать с демистификации слова, которое пугает без причины: сервер. Сервер — это не таинственная машина в охлаждаемой комнате. Это просто компьютер другого человека — или ваш собственный, — который хранит информацию и выдает ее тому, кто ее запрашивает. Десятилетиями мы хранили информацию наших клиентов в папках, в картотеках, на рабочем столе, и никто не терял из-за этого сон. Информация не была пугающей, потому что она была на бумаге; она не должна быть пугающей и потому, что она на диске.

«Облако» тоже не является чем-то эфирным. Это компьютер компании, почти всегда находящийся далеко и почти всегда принадлежащий кому-то другому. Я узнал это невольно в тот день, когда, будучи уверенным, что мои файлы в безопасности в Google Drive, обнаружил, что папка на моем компьютере содержала не мои документы, а ярлыки к документам, которые жили в другом месте. Если бы то другое место решило закрыться, изменить цену или отменить подписку, мое спокойствие исчезло бы вместе с ним. Я не владел своими вещами; у меня было разрешение на доступ к ним.

Отсюда рождается вопрос этого Cuaderno, который проще сформулировать, чем ответить на него: где должны жить данные ваших клиентов? А ваши собственные? Публичное обсуждение ставит его так, будто есть всего два противостоящих ответа — облако крупных платформ или сделать всё самому, — почти как вопрос выбора стороны. Но путей не два: их три, и ни один из них не является актом веры. Если вчитаться в них не спеша, в них больше нюансов, и они требуют большего, чем кажется.

Легко думать, что конфиденциальность — это дело адвокатов, врачей или журналистов, а остальным нечего скрывать. Это ошибка, и дорогая. Почти любой бизнес хранит данные своих клиентов, подпадающие под действие закона, и многие хранят, сами того не зная, информацию гораздо более конфиденциальную, чем кажется.

Магазин диванов записывает имя, адрес и телефон покупателя; если есть рассрочка — то и его финансовые данные. Фирма по ремонту или дизайну интерьеров хранит фотографии внутренних помещений домов своих клиентов и полные планы их жилищ. Клининговая компания работает с планами офисов, которые она убирает, часто размеченными цветами и цифрами, указывающими, какой сотрудник куда входит, в какое время и с каким ключом. Ничто из этого не кажется чем-то серьёзным, пока не зададишься вопросом, для кого ещё это могло бы иметь ценность: эти планы уборки, если взглянуть на них другими глазами, — идеальная карта для того, кто захочет проникнуть внутрь, чтобы украсть.

То, что бизнес мал или продает диваны вместо защиты интересов в суде, не делает его данные менее ценными и не заставляет закон перестать к нему применяться. Это лишь приводит к тому, что его владелец склонен меньше об этом думать. А меньше думать о том, что является вашей ответственностью, — это как раз то место, где начинаются проблемы.

Здесь возникает немедленное возражение, и оно вполне обоснованно: если у меня все на офисном компьютере, что будет, если он сломается? Вопрос хороший. Ответ заключается в том, что сеть безопасности, которую мы воображаем у крупных провайдеров, более скромная — и более подражаемая, — чем кажется.

Когда я оставляю свои данные в дата-центре транснациональной компании, я верю, что у нее есть копии в нескольких местах. И, вероятно, они есть: во втором месте, может быть, в третьем. Но эта избыточность не бесконечна и, прежде всего, она не моя: это по-прежнему жесткий диск, владельцем которого я не являюсь, управляемый кем-то, кому я доверяю на веру, которую почти никогда не проверяю.

Эту же сеть я могу сплести сам, причем с решающим преимуществом. Мой ежедневный сервис живет на офисном компьютере. Оттуда я храню зашифрованную копию на компьютере дружественной компании — коллеги по профессии, другого доверенного офиса — и еще одну зашифрованную копию, если захочу, у того самого европейского провайдера, о котором мы говорили. Разница во всем: то, что я оставляю снаружи, — это не мой сервис и не мои открытые данные, а зашифрованная копия, которую могу открыть только я. Внешний провайдер хранит закрытый сундук, от которого у него нет ключа. Я не вверяю ему свою информацию: я вверяю ему несколько байтов, которые без меня ничего не значат.

Позвольте мне рассказать личную историю, потому что она иллюстрирует это лучше любого аргумента. Более десяти лет я был преданным клиентом CrashPlan — технически выдающегося сервиса резервного копирования. Я делал резервные копии в их облаке для всех своих компьютеров и компьютеров моей семьи — рабочих и домашних, всех без исключения — с версиями, которые я мог восстановить с любой желаемой частотой, возвращаясь во времени к конкретному файлу многомесячной давности. После первой копии сервис передавал только изменения, зашифрованные и сжатые, так что я без особых усилий поддерживал огромный бэкап в актуальном состоянии. Это спасало меня много раз, от пустякового документа до целого диска. Цена росла с годами, и мне было все равно: я платил с удовольствием.

Чего я не знал, так это того, что CrashPlan допустил ошибку в расчетах: по контракту они обещали неограниченное хранилище как в пространстве, так и во времени. А пространство, умноженное на время — многолетняя история, версии каждые несколько минут — растет до тех пор, пока не становится неустойчивым. Однажды они сообщили нам всем, что сервис прекращает работу. Они сделали это элегантно, предоставив щедрый срок почти в один год и дав нам средства для скачивания наших данных. Но куда идти человеку с более чем десятилетней историей версионных копий всех его дисков? Именно тогда обнаруживается, что у вас нет ни способа скачать все сразу, ни места, куда это положить, и что, даже если бы вы могли, новое хранилище стоило бы целое состояние.

Я спас четыре необходимые вещи. Остальное ушло, когда выключили рубильник. Я был спокоен, моя информация была в безопасности... пока не перестала ею быть. И не из-за предательства: CrashPlan повёл себя безупречно — в отличие от Evernote, который годы спустя повёл себя позорно, — просто мой ангел-хранитель в облаке решил, имея на то полное право, перестать им быть. Результат для меня был одинаков: то, что я считал надёжным, исчезло.

То, чему на самом деле учит эта история, больше связано с человеческой природой, чем с технологиями. Когда человек чувствует, что что-то является его ответственностью, он действует превентивно: делает копии, страхуется, проявляет здравое недоверие. Когда он верит — ошибочно — что ответственность несет третья сторона, крупная и платежеспособная, он расслабляется и пускает все на самотек. Это делегированное спокойствие не является осмотрительностью: это, без прикрас, форма безответственности.

Эта тихая безответственность очень похожа на родителей, которые записывают сына в самую дорогую школу, оплачивают ему потом магистратуру и верят, что тем самым они исполнили свой долг. Они не исполнили долг. Быть родителем — значит беспокоиться о том, что он узнал сегодня, о том, чего он не понимает, о его ценностях, о его уверенности в себе. Если в двадцать пять лет этот сын не умеет ни работать, ни вести себя, вина лежит не на школе, которая взяла деньги: она лежит на том, кто делегировал обязанности и заплатил, веря, что этого достаточно. Оплата услуг третьей стороны не освобождает от ответственности. Никогда не освобождала.

С данными происходит то же самое, и недавняя история это подтверждает. Пятьдесят или сто лет назад специалист хранил данные своих клиентов в папках, у себя в кабинете или дома, и чувствовал себя ответственным за них. Редко что-то терялось. Мы перешли в цифровой мир и с поразительной лёгкостью загружаем всё в «облако» — которое есть не что иное, как компьютер транснациональной корпорации, — и перестаём беспокоиться. И часто случаются происшествия, и есть фирмы, которые теряют всё, и тогда говорят: виноват Google, виноват Microsoft. Нет. Информация ваша, или ваших клиентов, но ответственный — вы.

Хостинг собственных данных — это не технический каприз: это возвращение того спокойствия десятилетней давности, знания того, где что находится и почему. Защита данных тем временем испытала резкое колебание маятника — от отсутствия каких-либо норм, когда любой бездумно выставлял данные клиента напоказ, до требования, которое с непропорциональной суровостью ложится на самых маленьких, на самозанятого, который дает телефон клиента курьеру. Я не оспариваю цель; я наблюдаю несоответствие. Но несоответствие не освобождает нас от ответственности: в тот день, когда у администрации появятся средства для масштабного отслеживания и наказания, размер перестанет кого-либо защищать, и разумно не ждать этого дня с неубранным домом. Наличие данных под собственным контролем помогает соблюдать правила и помогает доказать это. И прежде всего, это возвращает вещи на свои места: когда информация принадлежит вам, ответственность полностью лежит на вас — нет третьей стороны, которую можно винить, и нет третьей стороны, чей сбой подставил бы вас под удар.

Было бы нечестно рисовать это без теней. Занять место посредника означает взять на себя его заботы: поддерживать копии в актуальном состоянии, устанавливать обновления и нести юридическую ответственность — ответственность по RGPD, — которая, на самом деле, никогда не переставала быть полностью вашей (ссылки в сносках детализируют статьи). Есть работа, и есть день, когда что-то ломается не вовремя. Мы этого не скрываем.

Но страх, окружающий это слово, ответственность, откалиброван неверно. Гораздо легче потерять свои файлы в облачном сервисе, который закрывается, или свои фотографии в Google Фото, чем потерять ту папку с важными документами, которая лежит на вашем собственном компьютере: ту, о которой вы знаете, где она, и чьё исчезновение вы бы заметили, как только она пропадёт. То, что вы чувствуете своим, вы бережёте; то, что считаете в сохранности в чужих руках, вы запускаете.

Подумайте о фотоальбомах прежних времён, тех, с проявленными бумажными снимками, хранившихся в ящике. Вы хоть раз слышали, чтобы кто-то сказал, что «потерял» свой семейный альбом? Слышно про дом, который сгорел вместе с альбомом внутри; но просто так потерять — нет. А вот люди, у которых все фотографии были в Google Фото или в Apple Фото и которые остались ни с чем: эта история возвращается каждые несколько месяцев, потому что они верили, что всё в сохранности. Google Фото бережёт ваши фотографии, разумеется; но бережёт их не так, как родители берегут альбом, где запечатлены их дети и внуки. Эту разницу не исправит никакой дата-центр: ответственность, когда она ваша, — не только бремя; это ещё и лучшая гарантия.

## Источники и дополнительная литература

- Регламент (ЕС) 2016/679 — статья 28 (обработчик), статья 32 (безопасность обработки), статья 33 (уведомление о взломе), статья 37 (назначение ответственного за защиту данных).
- Испанское агентство по защите данных — *Практическое руководство по анализу рисков при обработке персональных данных* (действующая редакция). Рамки для контролеров, принимающих на себя собственные технические функции.
- Европейский совет по защите данных — *Guidelines 1/2024 on processing of personal data based on legitimate interests*. Применимо также для проверки пропорциональности в решениях по собственной инфраструктуре.
- Европейская комиссия — публичный справочник поставщиков информационных услуг, созданных в европейской юрисдикции. Административная отправная точка для выявления европейских вариантов управляемого хостинга.
- Nextcloud GmbH (Германия) — *Архитектура Nextcloud Enterprise и документация по соответствию*. Задокументированный случай свободного ПО с вариантами селф-хостинга и управления европейским провайдером; полезно в качестве технического справочника проекта, поддерживаемого в европейской юрисдикции с 2016 года.

---

*Cuadernos Lacre · Издание Menzuri Gestión S.L. · текст R.Eugenio · под редакцией команды Solo2.*
*https://solo2.net/ru/zhurnal/*
