Διαβάζω αυτό:
“Τα στοιχεία θα καταχωρισθούν σε ειδική ηλεκτρονική βάση δεδομένων που κατασκεύασαν τα στελέχη Πληροφορικής του υπουργείου Διοικητικής Μεταρρύθμισης, η οποία δημιουργήθηκε με μηδενικό κόστος «πάνω» στην πλατφόρμα της Google.”
και αυτό (Security Problems with U.S. Cloud Providers):
“I think these are legitimate concerns. I don’t trust the U.S. government, law or no law, not to spy on my data if it thought it was a good idea. The more interesting question is: which government should I trust instead?”
Υπάρχει ΠΑΝΤΑ κόστος.-
→ Report: Patriot Act Fears Squash UK Defense Company’s Microsoft Cloud Plan.
Managing organized complexity 
Παρόμοια αναφορά και στο νέο site του Δήμου Αθηναίων http://www.cityofathens.gr/
Η κατασκευή του Ιστοτόπου έγινε με απόφαση Δημάρχου, από ομάδα εργασίας εργαζομένων στον Δήμο Αθηναίων και την Δημοτική Επιχείρηση ΔΑΕΜ χωρίς επιπλέον αμοιβή και κόστος, κάνοντας χρήση ΕΛ/ΛΑΚ λογισμικού.
Το “χωρίς κόστος” είναι το νέο trend
Στην ανάρτησή σου αγγίζεις δύο θέματα: το «χωρίς κόστος» και το «ασφάλεια στο cloud».
Για το δεύτερο, δεν είναι σαφές αν χρησιμοποίησαν πακέτο το Google Apps, ή αν π.χ. έχουν κατεβάσει και τρέχουν οι ίδιοι ένα development server. Πάντως, σίγουρα η _ανασφάλεια_ στα _σύννεφα_ είναι ένα κόστος.
Για το πρώτο, πάντως, θεωρώντας πως εννοεί ότι δεν πλήρωσαν κάτι στη Google, η φράση θα ήταν ορθότερη αν ήταν: «η οποία δημιουργήθηκε “πάνω” στην με μηδενικό κόστος πλατφόρμα της Google.»
Έχει εγκατασταθεί στα μυαλά των ανθρώπων η εντύπωση πως επειδή δεν εκταμιεύτηκαν χρήματα, δεν υπάρχει κόστος. Αυτό είναι τόσο αληθές όσο και η δημιουργία ενέργειας από το μηδέν. Είναι επίσης άδικο καθώς εκμηδενίζει την εργασία που καταβλήθηκε από το προσωπικό. Στην πραγματικότητα όμως οι εμπλεκόμενοι είτε επενδύοντας προσωπικό χρόνο, είτε υπηρεσιακό (μπορεί και χρήματα της υπηρεσίας) εκπαιδεύτηκαν σε κάτι το οποίο τελικά οδήγησε στο συγκεκριμένο “άνευ κόστους” έργο. Επομένως μπορεί να μην εκταμιεύτηκαν χρήματα, μπορεί να μην επένδυσε η η υπηρεσία στους υπαλλήλους και να το έκαναν μόνοι τους, κόστος όμως υπήρξε. Το ότι δεν ξέρει να το μετρήσει η υπηρεσία είναι άλλο θέμα.
Δεν μπαίνω καν στην υπόθεση το έργο να έχει υλοποιηθεί από ομάδα συμβούλων, οπότε και το κόστος του μπορεί να υπολογιστεί ως τμήμα της αμοιβής τους και άρα πάλι δεν είναι μηδενικό.
Σε αυτό το σημείο, και δηλώνοντας άγνοια για τις λειτουργικές απαιτήσεις της εφαρμογής, θέλω να εκφράσω ένα ερώτημα: Ποιος είναι ο όγκος των δεδομένων και ποιες οι απαιτήσεις σε διαθεσιμότητα που οδηγούν την εφαρμογή σε ένα cloud εκτός χώρας; Γιατί δεν μπορούσε να στηθεί σε εγχώρια υποδομή;
Ψιλά γράμματα μπορεί να σκεφτεί κανείς, αλλά εδώ έχουμε να κάνουμε με δεδομένα υπηρεσιών και υπαλλήλων με την πιθανότητα κάποια από αυτά να είναι και ευαίσθητα προσωπικά δεδομένα. Και δεδομένα που άπτονται του θέματος της εφεδρείας το οποίο έχει συνδεθεί με την οικονομική κατάσταση της Χώρας και τη δανειοδότησή της. Δεδομένα που από ότι καταλαβαίνω είναι κάποιου ειδικού χειρισμού καθώς διαφορετικά θα μπορούσαν να είναι άμεσα διαθέσιμα στο κοινό τα ίδια και όχι κάποια aggregate data.
Σκέψου λοιπόν πως με τη χρήση του PATRIOT Act (που δεν χρησιμοποιείται μόνο για περιπτώσεις τρομοκρατίας) ή ενός National Security Letter ή κυβέρνηση των ΗΠΑ μπορεί να έχει άμεση πρόσβαση στα δεδομένα αυτά και να τα χρησιμοποιήσει τόσο “on intelligence” όσο και “on evidence” εάν το επιθυμεί ανεξάρτητα από τους χειρισμούς που μπορεί να επιθυμεί να κάνει η Ελληνική Κυβέρνηση στις διαπραγματεύσεις της για τα ίδια δεδομένα. Γιατί πολύ απλά αυτά τα δεδομένα τους τα έχουμε ήδη εκχωρήσει. Δεν λέω πως δεν μπορούν να αποκτηθούν και με άλλους τρόπους, αλλά πιο εύκολα από αυτό δεν γίνεται.
Το ίδιο συμβαίνει και για τα υπηρεσιακά email καίριου για το χειρισμό της Κρίσης Υπουργείου τα οποία φιλοξενούνται στο cloud.
Και αυτό το κόστος σίγουρα δεν είναι μηδέν. Και όποιο νούμερο και να του βάλεις δίπλα, η υλοποίηση inhouse ή σε ένα εγχώριο cloud κοστίζει λιγότερο.
Όπως βλέπεις δεν μπήκα καν στο θέμα της ασφάλειας στο cloud με την παραδοσιακή προσέγγιση στο θέμα (σε ποιον ανήκουν τα δεδομένα, ποιος φταίει εάν γίνει παραβίαση, who audits the cloud κ.λπ.). Αυτή έρχεται μετά, αφότου δηλαδή καταλάβει ο χρήστης του cloud πως με την εγκατάσταση των εφαρμογών και δεδομένων του εκεί, εξαρτάται πλέον και από τη συμπεριφορά (και το πλαίσιο λειτουργίας) του cloud provider το οποίο και οφείλει να κατανοεί απόλυτα. Η σχέση είναι άνιση.
Συμφωνώ απόλυτα με όσα λες (διαπιστώνω πως ήταν πολύ ασαφές το προηγούμενο σχόλιό μου). Γι’ αυτό μετέθεσα το «μηδενικό κόστος» στην πλατφόρμα της Google και όχι στην υλοποίηση.
Απλώς, από το άρθρο δεν κατάλαβα αν έχουν τα δεδομένα στο cloud ή όχι.
Ούτε κι εγώ. Αλλά πρέπει να σε ευχαριστήσω, γιατί με το σχόλιό σου με ανάγκασες να γράψω (έστω και σε σχόλιο) το πραγματικό blog post που είχα στο μυαλό μου.
1. Secure function evaluation. Αν και δε νομίζω ότι χρησιμοποιείται ακόμα.
2. You can trust Google :).
Google is not the problem here. The legal framework it operates within is something that foreign Governmnets should factor in their decision, especially for data that their own legal framework demands special treatment for.
When data rests outside juristiction, a Government simply disrespects its own legal framework.
“When data rests outside juristiction, a Government simply disrespects its own legal framework.”
Sounds like standard modus operandi for the Greek ‘Government’. It has always disrespected its own legal framework—why change now?
In any case:
1. You can encrypt the data before sending it to Google or whoever, if we’re just talking about archiving.
2. If we’re talking about data interactions (e.g. database queries), then secure function evaluation can help. I expect to see it being rolled out by cloud providers or even 3rd parties in the near future.