Profesyonel bir uygulama olarak Self-hosting Cuadernos Lacre https://solo2.net/tr/defterler/articulos/bulut-ile-bodrum-arasindaki-soru-self-hosting.html Sebepsiz yere korkutan bir kelimeyi etkisiz hale getirerek başlamak iyi olur: Sunucu. Sunucu, soğutulmuş bir odadaki gizemli bir makine değildir. Sadece bilgiyi kaydeden ve talep edene teslim eden başka birinin —veya sizin— bilgisayarınızdır. Onlarca yıl boyunca müşterilerimizin bilgilerini bir klasörde, bir dosya dolabında, ofis masasının üzerinde sakladık ve kimse bu yüzden uykusuz kalmadı. Bilgi kağıt üzerinde olduğu için korkutucu değildi; disk üzerinde olduğu için de korkutucu olması gerekmez. «Bulut» da ruhani bir şey değildir. Bir şirketin bilgisayarıdır, neredeyse her zaman uzaktadır ve neredeyse her zaman başkasınındır. Bunu istemsizce öğrendiğim gün, dosyalarımın Google Drive'da güvenli ellerde olduğuna inanırken, bilgisayarımdaki klasörün belgelerimi değil, başka bir yerde yaşayan belgelere giden kısayolları içerdiğini keşfettim. Eğer o diğer yer kapanmaya, fiyat değiştirmeye veya aboneliği iptal etmeye karar verirse, huzurum da onunla birlikte gidecekti. Eşyalarıma sahip değildim; onlara erişim iznim vardı. Bu Defter'in sorusu işte buradan doğuyor; dile getirmesi yanıtlamasından kolay bir soru: müşterilerinin verileri nerede yaşamalı? Peki ya senin kendi verilerin? Kamusal tartışma bunu, sanki karşı karşıya yalnızca iki yanıt varmış gibi ortaya koyuyor — büyük platformların bulutu ya da işi kendin kurmak —, neredeyse bir saf tutma meselesi gibi. Ama bunlar iki yol değil: üç yol, ve hiçbiri kör bir iman edimi değil. Yavaşça okunduklarında, daha çok nüans barındırıyor ve göründüğünden fazlasını istiyorlar. Gizliliğin avukatların, doktorların veya gazetecilerin meselesi olduğunu, geri kalanların ise saklayacak bir şeyi olmadığını düşünmek kolaydır. Bu bir hatadır ve maliyetli bir hatadır. Hemen her işletme, yasaya tabi müşteri verilerini saklar ve çoğu, farkında olmadan göründüğünden çok daha hassas bilgileri barındırır. Bir koltuk mağazası, satın alanın adını, adresini ve telefonunu not eder; taksitlendirme varsa, ekonomik verilerini de. Bir tadilat ya da dekorasyon firması, müşterilerinin evlerinin içinden fotoğrafları ve konutlarının eksiksiz planlarını saklar. Bir temizlik şirketi, temizlediği ofislerin planlarıyla uğraşır; çoğu zaman bu planlar, hangi çalışanın nereye, hangi saatte ve hangi anahtarla girdiğini gösteren renkler ve numaralarla işaretlidir. Bütün bunların hiçbiri, insan kendi kendine bunun başka kimin için değerli olabileceğini sorana dek pek de önemli görünmez: o temizlik planları, başka bir gözle bakıldığında, hırsızlık için içeri girmek isteyen biri için kusursuz bir haritadır. Bir işletmenin küçük olması veya dava savunmak yerine koltuk satıyor olması, verilerini değersiz kılmaz veya yasanın ona uygulanmasını durdurmaz. Sadece sahibinin bu konuda daha az düşünme eğiliminde olmasına neden olur. Ve sizin sorumluluğunuzda olan bir şey hakkında az düşünmek, tam da sorunların başladığı yerdir. Burada hemen bir itiraz yükseliyor ve bu makul: Ofis bilgisayarımda her şeye sahipsem, o bozulursa ne olur? Soru iyi. Cevap ise büyük sağlayıcılarda hayal ettiğimiz güvenlik ağının göründüğünden daha mütevazı —ve taklit edilmesi daha kolay— olduğudur. Verilerimi çok uluslu bir şirketin veri merkezine bıraktığımda, birkaç yerde kopyası olduğuna güvenirim. Ve muhtemelen vardır: İkinci bir lokasyonda, belki üçüncüsünde. Ancak bu yedeklilik sonsuz değildir ve her şeyden önce benim değildir: Sahibi olmadığım, neredeyse hiç doğrulamadığım bir inanç beslediğim biri tarafından yönetilen bir sabit disk olarak kalır. Aynı ağı ben de örebilirim, hem de belirleyici bir avantajla. Günlük hizmetim ofis bilgisayarında yaşar. Oradan, bir dost şirketin —meslektaşım, başka bir güvenilir ofis— bilgisayarında şifreli bir kopya tutarım ve istersem bahsettiğimiz o Avrupalı sağlayıcıda başka bir şifreli kopya bulundururum. Aradaki fark her şeydir: Dışarıda bıraktığım şey hizmetim veya açık verilerim değil, sadece benim açabileceğim şifreli bir kopyadır. Dış sağlayıcı, anahtarı kendisinde olmayan kapalı bir sandık saklar. Ona bilgilerimi emanet etmem: Ona bensiz hiçbir anlamı olmayan bazı baytları emanet ederim. Kişisel bir hikaye anlatmama izin verin, çünkü bu durumu her türlü argümandan daha iyi açıklıyor. On yıldan fazla bir süre boyunca, teknik olarak olağanüstü bir yedekleme hizmeti olan CrashPlan'ın sadık bir müşterisiydim. Şirketimin ve ailemin tüm bilgisayarlarını —iş ve ev, her şeyi— istediğim sıklıkta geri yükleyebileceğim versiyonlarla, aylar önceki belirli bir dosyaya kadar zamanda geri yolculuk yaparak bulutlarına yedekliyordum. İlk yedeklemeden sonra sadece değişiklikleri şifreli ve sıkıştırılmış olarak iletiyordu, böylece neredeyse hiç çaba harcamadan devasa bir yedeği güncel tutuyordum. Beni basit bir belgeden tüm bir diske kadar defalarca kurtardı. Fiyat yıllar içinde yükseldi ve umursamadım: Mutlu bir şekilde ödüyordum. Bilmediğim şey, CrashPlan'ın bir hesap hatası yaptığıydı: Sözleşmeyle hem alan hem de zaman açısından sınırsız depolama sözü vermişlerdi. Alanın zamanla çarpımı ise —yılların geçmişi, birkaç dakikada bir alınan versiyonlar— sürdürülemez hale gelene kadar büyür. Bir gün hepimize hizmetin sona erdiğini bildirdiler. Bunu zarafetle ve neredeyse bir yıllık cömert bir süre tanıyarak yaptılar ve bize verilerimizi indirmemiz için araçlar verdiler. Ancak bir insan, tüm disklerinin on yıldan fazla birikmiş versiyonlu kopyalarıyla nereye gider? İşte o zaman ne her şeyi indirecek yolunuzun ne de koyacak yerinizin olduğunu ve yapabilseniz bile yeni deponun bir servete mal olacağını keşfedersiniz. Vazgeçilmez dört şeyi kurtardım. Gerisi, anahtarı kapattıklarında gitti. İçim rahattı, bilgilerim güvendeydi... ta ki olmayana dek. Ve bir ihanet yüzünden değil: CrashPlan kusursuz davrandı — yıllar sonra utanç verici bir biçimde davranan Evernote'un aksine —; basitçe, buluttaki koruyucu meleğim, tüm hakkı kendinde olarak, öyle olmayı bırakmaya karar verdi. Sonuç, benim açımdan, aynıydı: güvende sandığım şey, yok oldu. Bu hikayenin gerçekten öğrettiği şey, teknolojiden ziyade insan doğasıyla ilgilidir. Birisi bir şeyin kendi sorumluluğu olduğunu hissettiğinde, önleyici bir şekilde hareket eder: kopyalar çıkarır, arkasını kollar, sağduyuyla şüphe duyar. Sorumluluğun büyük ve güvenilir bir üçüncü tarafça üstlenildiğine —yanlış bir şekilde— inandığında ise rahatlar ve olayları akışına bırakır. O devredilmiş huzur ihtiyat değildir: Makyajsız haliyle, bir sorumsuzluk biçimidir. O sessiz sorumsuzluk, oğullarını en pahalı okula yazdıran, ardından ona bir yüksek lisans programı ödeyen ve bununla görevlerini yerine getirdiklerine inanan ebeveynlere çok benzer. Görevlerini yerine getirmediler. Ebeveyn olmak, onun bugün ne öğrendiği, neyi anlamadığı, değerleri, kendine olan güveni hakkında endişelenmektir. Eğer yirmi beş yaşında o evlat çalışmayı veya davranmayı bilmiyorsa, suç parayı tahsil eden okulun değil: her şeyi delege eden ve bunun yeterli olduğuna inanarak ödeme yapanındır. Bir üçüncü tarafa ödeme yapmak sorumluluktan muaf tutmaz. Hiçbir zaman tutmadı. Verilerle de aynısı olur, ve yakın tarih bunu doğrular. Elli ya da yüz yıl önce bir meslek sahibi, müşterilerinin işlerini klasörlerde, bürosunda ya da evinde saklar ve kendini onlardan sorumlu hissederdi. Nadiren bir şey kaybolurdu. Dijital dünyaya geçtik ve şaşırtıcı bir kolaylıkla her şeyi «buluta» yüklüyoruz — ki o, çok uluslu bir şirketin bilgisayarından başka bir şey değildir — ve kaygılanmayı bırakıyoruz. Ve sık sık kazalar olur, ve her şeyini kaybeden şirketler vardır, ve o zaman denir ki: suç Google'ındı, suç Microsoft'undu. Hayır. Bilgi senindir ya da müşterilerinindir, ama sorumlu olan sensin. Kendi eşyalarını barındırmak teknik bir heves değildir: Onlarca yıl öncesinin o sükunetini, her şeyin nerede olduğunu ve nedenini bilmenin huzurunu geri kazanmaktır. Bu sırada veri koruma, sert bir sarkaç hareketi yaşadı —herkesin düşünmeden bir müşterinin verilerini sergilediği kuralsızlık ortamından, bir kuryeye müşterinin telefonunu veren en küçük serbest çalışana bile orantısız bir sertlikle düşen bir gerekliliğe kadar. Hedefi tartışmıyorum; uyumsuzluğu gözlemliyorum. Ancak uyumsuzluk bizi suçsuz kılmaz: Yönetimin büyük ölçekte takip ve yaptırım araçlarına sahip olacağı gün, büyüklük artık kimseyi korumayacaktır ve o günü evi düzensiz bir şekilde beklememek akıllıca olacaktır. Veriyi kendi kontrolünüz altında tutmak, kurallara uymaya ve bunu kanıtlamaya yardımcı olur. Ve her şeyden önemlisi, her şeyi yerine iade eder: Bilgi sizin olduğunda, sorumluluk tamamen sizindir —suçlanacak bir üçüncü taraf yoktur, başarısızlığı sizi açıkta bırakacak bir üçüncü taraf da yoktur—. Bunu gölgesiz resmetmek dürüstlük olmazdı. Aracının yerini almak, onun yükünü de sırtlanmak demektir: yedekleri güncel tutmak, güncellemeleri uygulamak ve yasal bir sorumluluk — RGPD'ninki — ki gerçekte hiçbir zaman tümüyle senin olmaktan çıkmamıştı (dipnottaki kaynaklar maddeleri ayrıntılandırıyor). İş vardır, ve bir gün gelir bir şey vakitsiz aksar. Bunu saklamıyoruz. Ama o sözcüğün, sorumluluğun, etrafını saran korku yanlış ayarlanmıştır. Dosyalarını kapanan bir bulut hizmetinde kaybetmek ya da fotoğraflarını Google Photos'ta kaybetmek, kendi bilgisayarında bulunan o önemli belgeler klasörünü kaybetmekten çok daha kolaydır: hani nerede olduğunu bildiğin ve yok olur olmaz yokluğunu fark edeceğin klasör. Kendinin hissettiğin şeyi kollarsın; bir başkasının elinde güvende sandığın şeyi savsaklarsın. Eski fotoğraf albümlerini düşün, bir çekmecede saklanan, kâğıda basılı olanları. Birinin aile albümünü «kaybettiğini» söylediğini hiç duydun mu? Albümün içinde olduğu yanan ev anlatılır; ama öyle durup dururken kaybetmek, hayır. Buna karşılık, bütün fotoğrafları Google Photos'ta ya da Apple Photos'ta olup hiçbir şeyi kalmayan insanlar: bu hikâye her birkaç ayda bir geri döner, çünkü güvende olduğuna inanıyorlardı. Google Photos fotoğraflarını kollar, elbette kollar; ama onları, bir annenin babanın çocuklarının ve torunlarının bulunduğu albümü kolladığı gibi kollamaz. Bu farkı hiçbir veri merkezi onarmaz: sorumluluk, senin olduğunda, yalnızca bir yük değildir; aynı zamanda en iyi güvencedir. Kaynaklar ve ek okumalar - Yönetmelik (AB) 2016/679 — Madde 28 (veri işleyen), Madde 32 (işleme güvenliği), Madde 33 (veri ihlalinin bildirilmesi), Madde 37 (Veri Koruma Görevlisinin atanması). - İspanyol Veri Koruma Ajansı — Kişisel verilerin işlenmesinde risk analizi için pratik kılavuz (güncel revizyon). Kendi teknik işlevlerini üstlenen veri sorumluları için çerçeve. - Avrupa Veri Koruma Kurulu — Meşru menfaatlere dayalı kişisel verilerin işlenmesine ilişkin 1/2024 Sayılı Yönergeler. Kendi altyapı kararlarındaki ölçülülük testi için de geçerlidir. - Avrupa Komisyonu — Avrupa yargı yetkisi dahilinde kurulmuş bilgi hizmeti sağlayıcılarının kamuya açık dizini. Avrupa merkezli yönetilen barındırma seçeneklerini belirlemek için idari başlangıç noktası. - Nextcloud GmbH (Almanya) — Nextcloud Kurumsal mimarisi ve uyumluluk belgeleri. Avrupalı sağlayıcı tarafından yönetilen ve kendi sunucunda barındırılan modalitelerle özgür yazılımın belgelenmiş bir vakası; 2016'dan beri Avrupa yargı yetkisi altında sürdürülen projenin teknik referansı olarak yararlıdır. --- Cuadernos Lacre · Menzuri Gestión S.L. yayını · R.Eugenio tarafından yazıldı · Solo2 ekibi tarafından düzenlendi. https://solo2.net/tr/defterler/