Jak nie wpaść z deszczu pod... chmurę

opublikowano: 10-12-2020, 20:00

Chmura obliczeniowa jak magnes przyciąga firmy i instytucje, choć korzystanie z niej czasem się nie opłaca i nie gwarantuje bezpieczeństwa danych. Krzysztof Dyki, reformator IT ZUS, radzi, jak uniknąć błędnych decyzji i kosztownego uzależnienia od dostawcy

Przeczytaj wywiad z Krzysztofem Dykim i dowiedz się:

  • W czym obecne procesy transformacji cyfrowej przypominają czasy informatyzacji sprzed dwóch dekad
  • Na co zwrócić uwagę przy decyzji o migracji do chmury, jakie są główne ryzyka i jak ich uniknąć
  • Jak sprawdzić opłacalność przeniesienia do chmury i prowadzić procesy negocjacyjne z dostawcami
  • Czy w usługach chmurowych można liczyć na gwarancję ceny w dłuższym okresie i jak są skonstruowane SLA
  • Dlaczego istotny jest dostęp do miejsca przetwarzania danych i jego geograficzna bliskość

Puls Biznesu: Czy korzysta pan z chmury obliczeniowej?

Krzysztof Dyki, były wiceprezes ZUS ds. IT:

Oczywiście, używam chmury m.in. do obliczeń wymagających dużej mocy, jak analiza danych, kryptografia itp. Kupuję wówczas usługę na tydzień lub miesiąc, łącząc swoją chmurę prywatną z chmurą publiczną. Jest to efektywne, wygodne i opłacalne.

Kim jest Krzysztof Dyki
Były wiceprezes ZUS ds. IT (od lipca 2017 r. do października 2019 r.) to specjalista w zakresie optymalizacji procesów zakupowych w sektorze informatycznym oraz biegły sądowy, m.in. w dziedzinie audytów i wyceny oprogramowania oraz systemów IT. Jest doradcą wielu instytucji centralnych i spółek skarbu państwa. Za jego kadencji ZUS zrealizował takie projekty jak e-zwolnienia, e-akta i e-składka, a także zdemonopolizował usługi utrzymania swojego głównego systemu – KSI ZUS. Wcześniej Krzysztof Dyki współtworzył należącą do Ministerstwa Finansów spółkę Aplikacje Krytyczne, tworzącą analityczne systemy informatyczne wspomagające administrację podatkową, i był członkiem jej zarządu.

Jakie pan widzi inne zalety chmury?

Chmura ma sens, ale do konkretnych zastosowań. Jej główną zaletą jest elastyczność. Jeśli potrzebujemy dużej mocy obliczeniowej lub przestrzeni dyskowej, wiodący dostawcy chmury oferują ją praktycznie natychmiast. Nie zapominajmy jednak o zagrożeniach.

Ostatnio dużo mówi się o transformacji cyfrowej, tak jak ćwierć wieku temu mówiło się o informatyzacji. Czy jest jakaś analogia między latami intensywnej informatyzacji polskiej administracji i firm a obecnymi czasami?

Sytuacja jest o tyle porównywalna, że teraz również stoimy przed ważnym procesem decyzyjnym. Wówczas to była informatyzacja, która sprowadzała się do zakupu sprzętu i oprogramowania, aby wejść w świat cyfrowy. Obecnie stoimy u progu nowego wyzwania, czyli transformacji cyfrowej opartej na chmurze.

Decyzje podjęte przed 20-25 laty zaowocowały niejednokrotnie uzależnieniem od dostawców - tzw. vendor lock in. Czy wówczas popełniono błędy, a jeśli tak, to czy wyciągnięto z nich wnioski?

Dziś możemy krytykować ówczesny brak dywersyfikacji dostawców, technologii, obustronnie uczciwych zapisów umów itd., ale to nie takie proste. Wtedy nie mieliśmy doświadczenia w tych zagadnieniach i świadomości ryzyka, dopiero się uczyliśmy. Bazowaliśmy na zachodnich technologiach, kupując je często bez zadawania pytań, które uważaliśmy za zbędne. Byliśmy nieświadomi technologicznie. Obecnie zdarza się, że podobnie beztrosko realizujemy projekty chmurowe.

Powrót do przeszłości
Powrót do przeszłości
Zdaniem Krzysztofa Dykiego przy informatyzacji polskich urzędów i firm, bazowano na zachodnich technologiach, kupowanych często bez zadawania pytań, w nieświadomości technologicznej. Obecnie zdarza się równie beztroskie podejście przy realizacji projektów chmurowych.
Marek Wiśniewski

Czyli dziś decydenci, szefowie IT w instytucjach i firmach, nie rozumieją w pełni konsekwencji wchodzenia w technologie chmurowe?

Ogólnie rynek zachowuje się nieco podobnie jak epokę wcześniej. Dziś jednak dostęp do wiedzy - raportów i innych publikacji - jest szerszy, natychmiastowy i tańszy lub wręcz darmowy. Dlatego za 10 lat nie byłbym równie wyrozumiały dla dzisiejszych liderów. Mamy też szeroki wybór firm doradczych i wdrożeniowych, również polskich. Wiedzę można więc kupić, traktując to jako inwestycję. Niestety mała część rynku jest tego świadoma. To problem nie tylko krajowy.

To jakie są kluczowe kwestie do rozważenia przed wejściem do chmury?

Nie można z góry przesądzić, że chmura jest lub nie jest opłacalna. Wszystko zależy od posiadanej infrastruktury oraz potrzeb krótko i długoterminowych. Ustalmy odpowiedź na podstawowe pytanie: ile zapłacimy w perspektywie x lat za utrzymanie swojej infrastruktury względem kosztów równoważnej infrastruktury w chmurze. Obiektywna i merytoryczna weryfikacja wydaje się oczywista, ale rzadko się zdarza. Dostawcy chmury najczęściej podają koszty w okresie kilku, kilkunastu miesięcy. Tymczasem żywotność stacji roboczych, serwerów czy macierzy jest znacznie dłuższa. Opłacalność chmury należy więc analizować w przewidywanym cyklu życia infrastruktury.

Są jeszcze koszty pracownicze.

Nie widziałem jeszcze wdrożenia chmury, wskutek którego zwolniono pracowników odpowiedzialnych za utrzymanie infrastruktury fizycznej. Tak się nie dzieje z dwóch powodów. Po pierwsze - przeciętna firma nie przechowuje wszystkiego w chmurze, a po drugie - chmura również wymaga zarządzania.

Wracając do analogii: czy skorzystanie z chmury grozi vendor lockiem?

Jeśli powierzymy proces transformacji do chmury przedstawicielowi jednego dostawcy, to przeważnie przeprowadzi on transformację, mocno integrując jedną technologię. Wówczas zmiana dostawcy i migracja do chmury innego producenta stanie się trudna, droga i czasochłonna. Jeśli natomiast skorzystamy z usług niezależnego podmiotu, jego rola powinna polegać m.in. na zapewnieniu wdrożenia uniwersalnego technologicznie, czyli chmury producenta A z możliwością łatwej zmiany na producenta B. Niestety firmy wdrażające chmurę często o tym zapominają. To kolejna analogia do czasów minionych, gdy dopiero po wdrożeniu orientowano się, jakie są skutki i koszty uzależnienia od jednego producenta. Wtedy jednak problemem była technologia, natomiast cała infrastruktura i dane były pod kontrolą. Nowy vendor lock stanowi większe wyzwanie, bo w skrajnych przypadkach może się okazać, że nie mamy nic: danych, usług, własnej infrastruktury ani wpływu na cenę. Dlatego chmura tak, ale z głową. Rynek sobie to uświadomi, ale dopiero za kilka lat.

W tradycyjnych wdrożeniach kupowało się licencję wieczystą na oprogramowanie i usługi wsparcia. Często zdarzało się, że wsparcie się kończyło i był okres bezumowny. Był to jakiś problem, ale w przypadku usług chmurowych jest on chyba dużo większy, gdy np. nie zdąży się z przetargiem?

Przy infrastrukturze fizycznej rzeczywiście zdarza się brak ciągłości usług wsparcia lub serwisu sprzętu czy oprogramowania. Wtedy koszt posiadania infrastruktury sprowadza się głównie do kosztu energii elektrycznej, a sprzęt ciągle posiadamy i stanowi on naszą własność. Natomiast w przypadku chmury koniec okresu obowiązywania umowy oznacza koniec świadczenia usług przez dostawcę, czyli dostępu do infrastruktury - chyba że umowa przewiduje automatyczne zawarcie kolejnej.

Czy to zagraża ciągłości działania?

Najwięksi dostawcy nie odłączają usług przy krótkotrwałych zaległościach, powiedzmy dwumiesięcznych. Ich umowy najczęściej przewidują automatyczne przedłużenie o kolejny rok. Wyłączanie zdarza się w skrajnych przypadkach. Generalnie wiodący dostawcy tego nie przewidują, ponieważ oznaczałoby to negatywne konsekwencje wizerunkowe.

Na czym więc polega największe zagrożenie?

Do niedawna uzależnienie od dostawcy wynikało głównie ze specyfiki technologii, którą trudno było zastąpić. Obecnie pojawiła się nowa kategoria ryzyka - warunki umowy świadczenia usług chmurowych, formalno-prawne i finansowe. Vendor lock w XXI wieku wynika m.in. z tego, że treść umów dotyczących usług wiodących dostawców de facto nie podlega negocjacji. Przykładowo: mało który klient zdaje sobie sprawę, że w umowie nie przewidziano odszkodowania za niedostępność usługi.

Nowe zagrożenie
Nowe zagrożenie
– Do niedawna uzależnienie od dostawcy wynikało głównie ze specyfiki technologii, którą trudno było zastąpić. Obecnie pojawiła się nowa kategoria ryzyka - warunki umowy świadczenia usług chmurowych - podkreśla Krzysztof Dyki.
Marek Wiśniewski

Nie ma gwarantowanego poziomu usług?

Jest, ale sprawdźmy, co się dzieje w przypadku niedotrzymania SLA [z ang. service level agreement], czyli niedostępności usługi. Wiodący dostawcy w przypadku awarii nie rekompensują związanych z tym strat klienta, a jedynie udzielają zniżek na przyszłe usługi. Ich partnerzy też nie biorą na siebie większego ryzyka, bo ich marże zwykle nie są wysokie. To nie przypadek, że Facebook, eBay czy Allegro nie opierają swoich usług na chmurach publicznych.

Umowę zawiera się na 2-3 lata. Co z kwestią cen przy jej odnawianiu?

Ceny usług chmurowych rosną, zamiast maleć. To jeden z powodów, dla których wiodący dostawcy niechętnie podpisują umowy na dłużej niż trzy lata. Klient uzależniony technologicznie od dostawcy nie będzie miał argumentów, które mógłby wykorzystać w negocjacjach dotyczących kolejnej umowy. Usługi chmurowe, które okresowo sam wykorzystuję, również nie mają gwarancji ceny. Dlatego w ramach własnej działalności oprócz chmury prywatnej korzystam z multicloud u dwóch różnych dostawców chmury publicznej. Należy weryfikować oficjalny cennik przed wyrażeniem zgody na pierwszą umowę, bo dostawca może kusić dużymi upustami. Ewentualnie można dążyć do formalnego ograniczenia dopuszczalnego wzrostu kosztów w okresie kilku lat.

Co więc radzi pan kolegom z branży rozważającym chmurę?

KD: Po pierwsze nie należy rozmawiać tylko z jednym dostawcą. Trzeba poznać rynek. Konkurencyjny i transparentny dialog może przekonać największych dostawców do zmiany warunków, które domyślnie nie podlegają negocjacjom. W niektórych przypadkach warto zajrzeć za granicę - skontaktować się z przedstawicielem danej korporacji w regionie lub bezpośrednio z centralą. Przy odpowiedniej skali inwestycji i wiarygodności klienta producenci dopuszczają odejście od standardowych warunków, nie są jednak zainteresowani upublicznianiem takich informacji.

Tak mogą negocjować tylko największe organizacje z najgrubszym portfelem. Co radzi pan mniejszym?

Nie chodzi o to, czy jesteśmy najwięksi, tylko o to, czy jesteśmy poważnym i wiarygodnym klientem.

Co z bezpieczeństwem danych w chmurze dużych dostawców?

Przekazując dane do chmury, powinniśmy mieć świadomość utraty fizycznej kontroli nad nimi. Wiodący dostawcy domyślnie nie szyfrują danych klientów, więc są one przechowywane w postaci jawnej. Oczywiście istnieją bezpieczne sposoby rozwiązania tego problemu, ale wiążą się z wyższymi kosztami i mniejszą wydajnością usługi.

Dużo się mówi o miejscu przechowywania danych. To istotne, czy są na serwerach w Polsce, w Niemczech czy w USA?

Spójrzmy na kraje bardziej rozwinięte, przykładowo Niemcy i Stany Zjednoczone. Który ich urząd przetwarza wrażliwe dane w chmurze za granicą? Powinniśmy zdefiniować kluczowe zbiory danych i przetwarzać je wyłącznie w granicach państwa i pod jego kontrolą. To samo dotyczy firm. Chodzi np. o to, żeby można było zweryfikować, kto i na jakich zasadach ma dostęp do urządzeń przetwarzających dane. Ma to również znaczenie w szczególnych sytuacjach, jak epidemia COVID-19. Co się stanie, gdy zostanie uszkodzony światłowód i klient nie będzie mógł przenieść lub skopiować danych, bo nie przedostanie się przez zamknięte granice? To kwestia odpowiedzialności za wartościowe dane. Jeśli takie nie są, możemy je przetwarzać na dowolnym kontynencie.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane