Exit-strategi, til hva?
Et spørsmål fra en stortingsrepresentant stilt til digitaliseringsministeren for et par uker siden startet en diskusjon IT-miljøet. Karianne Tung skriver i sitt svar til Birgit Oline Kjerstad: "Etter råd fra Datatilsynet bør alle virksomheter ha en strategi for hva de skal gjøre, dersom personopplysninger ikke lenger kan overføres til USA etter den samme avtalen som i dag."
Dette ble tolket som at statsråden ba alle offentlige og private virksomheter ha en exit-strategi. Kanskje var denne overtolkningen drevet av en underliggende bekymring for hva Trump-administrasjonen kan finne på rundt neste sving!
Det konkrete grunnlaget for å stille spørsmålet som utløste debatten er at det er usikkert og uklart om om adekvansbeslutningen fortsatt vil være gyldig. Dersom den trekkes i tvil juridisk vil det muligens ikke være lovlig å lagre personopplysninger i USA.
Lagring i skyen er praktisk og hensiktsmessig
Diskusjonen om lovlighet, risiko og sikkerhet rundt lagring av data i "skyen" er like lang som "skyen" selv. Og den har vært komplisert. Men ofte har det vært forretningsmessige hensyn og muligheter som har styrt utviklingen, og ikke streng juridisk tolkning av personvern.
Vi står nå i en situasjon der noen få store amerikanske selskaper fullstendig dominerer hele det forretningsbaserte cyber-rommet. Samtidig som datanettverkene og de globale hyperskalerbare IT-plattformene (nesten) gjør verden til ett sammenvevd cyber-domene.
Derfor treffer Trumps uforutsigelige politiske krumspring oss så hardt midt i fleisen.
Tidlige advarsler
Forutseende hoder anbefalte tidlig at skymigreringer også burde innholde en exit-strategi. Framsynte og kompetente cloud-analytikere la tidlig til grunn at bindingene til intrastruktur og applikasjoner ville bli sterkere hos hyperskalererne, og at det derfor ville bli betydelig mer komplisert å avslutte et leverandørforhold etter en skymigrering.
Jobben med å definere forutsetninger og aktiviteter for å kunne bytte leverandør ved f.eks avtale- eller SLA-brudd ble nok i de fleste tilfeller prioritert så langt ned at den sjelden ble utført.
Alt var bedre (les: enklere) før
Når IT-infrastrukturen var “on-prem” og applikasjonene var installert på fysiske serverer (eller virtuelle servere, men fortsatt fysisk on-prem), var livet mye enklere for de som ønsket full oversikt og full kontroll på struktur på data, nettverk og applikasjoner.
Men selv da var det en komplisert og omfattende jobb å bytte infrastruktur og IT-plattform.
Personally Identifiable Information (PII)
Lagring av personopplysninger er en av kildene til trøbbelet - og er det som har startet diskusjonen nå. Personopplysninger finnes i svært mange applikasjoner. Det er ikke bare i forbindelse med kommunikasjon, epost, HR eller påloggingstjenester det utveksles personopplysninger.
Samhandlings- og produktivitetsverktøy som Microsoft 365 (nå M365 Copilot) trekkes gjerne fram som eksempler på applikasjoner og verktøy det vil bli trøblete å finne erstatninger for.
I sannhet blir dette blir trøblete nok, men det som virkelig blir bøygen å erstatte er produksjonsverktøyene. De som er blodpumpa og pengegeneratoren i bedriften og sørger for at kjernevirksomheten går rundt. Her snakker vi typisk om ERP-systemer hos store industribedrifter, kjernesystemer hos bank/finans og nettbutikker som formidler varer og tjenester produsert i tredjeland.
Som om ikke de juridiske bekymringene rundt personopplysninger var nok, så kan de økonomiske bekymringene ved å bytte leverandør av kjernesystemer bli halsbrekkende.
Vi hadde jo akkurat migrert til skyen
De store superskalerbare skytjenestene har blitt allment aksepterte, og svært mange private aktører har rukket å flytte sentrale applikasjoner til skyen. Det var en komplisert affære i seg selv.
(Les: På tide å skru av serverne nå?).
Så skal vi jammen forberede oss på exit! Fra/til hva?
-Tilbake til On-Prem?
-Til en amerikanske leverandører som garanterer “galvanisk skille” mellom USA og EU-sonen.
-Til Europeiske leverandører - som granterer null-toleranse for underleverandører utenfor EU
Uansett hvilken strategi man velger er det èn ting som kommer til å bremse og komplisere “exit’en”. Nemlig applikasjonsleverandørene.
Eksempel: En industribedrift i Norge eller EU produserer fysiske varer. Råvarene importeres til landet der produksjonen foregår og ferdige produkter eksporeteres til flere verdensdeler. Hele logistikk- og produksjonskjeden styres av en anerkjent amerikansk ERP-løsning.
Leverandøren av ERP-løsningen vil sannsynligvis forholdsvis raskt komme opp med forslag til omorganiseringer og migreringer som etter deres mening vil innfri det regulatoriske godt nok. Men som Data Controller, og ansvaret det medfører, vil produksjonsbedriften raskt havne i spagaten mellom de praktiske forordningene leverandørene kan komme med, og hva myndighetene anser som innenfor lovverket.
Denne problemstillingen kan man grave i og utrede nærmest til det uendelige. Men det virker hevet over enhver tvil at her snakker man ikke om prosesser som tar uker eller måneder. Man snakker om år! Og kostnadene vil bli betydelige - for ikke å si uoverkommelige.
Hvordan unngå Lock-In!
Ønsket om å være uavhengig av leverandører har alltid vært et sentralt tema i IT-bransjen. Samtidig som man vil ha alt det beste og mest innovative vil man samtidig unngå å være "i lomma på" leverandøren. Effekten av binding til en eller flere leverandører kalles "Lock-In".
Hvordan vurdere graden av akseptabel Lock-In, hvordan innføre styringsprinsipper for å unngå Lock-In, eller hvordan legge planer og strategier for hvordan håndtere framtidige endringer er på ingen måte nye tanker i IT-bransjen.
Usikkerheten skapt av USAs nye president, og den geopolitiske uroen i verden, har intensivert orddskiftet i media, og helt sikkert intensivert diskusjonene i lunsjen og på bakrommet.
Det finnes kilder til metodikk og litteratur om hvordan unngå Lock-In, og konsulenthjelp er aldri langt unna. Men det kan være smart å forsøke å avgrense scopet ved å ta et par skritt tilbake for å få oversikt over problematikken.
Med utgangspunkt i denne definisjonen av begrepet Lock-In: "When you cannot move from a public cloud provider - because of what it would cost", har Magnus Glantz oppsummert utfordringene du vil møte om du ønsker å bytte fra en public cloud provider til en annen - eller migrere fra sky til et datasenenter
I mylderet av hensyn å ta når man beveger seg i cyber-rommet er artikkelen hans en god start.
Public cloud exit - for dummies
God lesning - and take care!