2009 års megahajp är nu inne i den nyktra verkligheten. Molnets löften skärskådas nu från många håll och lycksökarna har hittat nya jaktmarker. I den här gigantiska kitteln kokar det för fullt och det saknas inte krydda. Personligen har jag haft förmånen att hålla låda på seminarier, workshops och jag kommer även att hålla i ett antal strategiska heldagsbriefings inom området. Under den här perioden har jag utkristalliserat tre olika molntyper:

1. Molnfantasten: Sjunger molnets lov och har till fullo köpt in på idén att molnen löser mellanösternkonflikten, den globala uppvärmningen, stopp i avloppet och Palmemordet.
2. Domedagsprofeten: Pekar på allt det hemska i molnen och argumenterar trovärdigt om jordens undergång så fort svenska personuppgifter lämnar hemmaplan och hamnar i onda utlänningars ägo.
3. ”Vilket-ben-ska-jag-stå-på-velaren”: Har sett verksamhetschefer ta in molntjänster snabbare än Lucky Luke drar sin pistol. Har hört på konferens att Gartner tycker att molnen är bra. På en annan konferens talade en säkerhetsguru om det hemska som bara väntar på att få hända. Törs inte fråga om hjälp på grund av risken för att uppfattas som bakåtsträvare.

I ärlighetens namn finns det även en hel mängd nyktra personer som har sett stora skiften förr och har i tydligt minne allt som gick snett med tjänsteorienteringen (SOA). Så, den stora frågan är: ”Hur kan jag smartast ta en resa mot molnen och få maximal nytta med minimal risk?” Mitt mest kortfattade svar är: Genom mod i stort och smått!

Att våga fråga

9 av 10 gånger när jag pratar om molnen ägnas värdefull tid åt att definiera vad molnet egentligen är. Beroende på vilken position någon har använder de sig av någon tolkning som passar just deras syften. Personligen har jag samlat en länklista som pekar på alla definitioner som finns där ute och den delar jag glatt med mig med uppmaningen: ”Pick your choice!” Att genom ordbajseri muta in molnet är dömt att misslyckas och som kund ska man helt skippa jargongen och ge sig i kast med frågor om nytta:

• Vilka tillämpningar/avdelningar/projekt kan jag lägga ut i molnet idag?

• Måste jag fortsätta att betala för mina licenser och sen betala ytterligare för er tjänst?

• Vilken prispåverkan innebär det här periodiserat?

• Idag handhar en outsourcingpartner plattformar och provisionering; hur kan jag mappa dem mot molnet?

• Om ert datacenter går ner; vilka reservrutiner finns på plats, vad förväntas jag göra och i vilken prioritetsordning återstartar ni tjänsterna?

• Hur väl kan ni leva upp till av mig uppsatt exitstrategi med data levererat i specificerade format och på specifika systemavbilder? Kostar det extra?

Det finns ett stort antal relevanta frågeställningar till som handlar om en nykterhetskontroll: Om molnet nu blir elastiskt och jag som kund bara betalar för det jag använder så blir väl konsekvensen att min IT-stödfunktion blir billigare? Det är här nyckeln ligger för att kunna formulera fram ett avtal som säkerställer påståendet.

Att våga pröva vingarna

För att kunna komma till rätt frågeställningar är det oerhört viktigt att tidigt ge sig in på en avgränsad molnresa. Hitta den där gruppen av eldsjälar som faller inom den första typgruppen, Molnfantaster, och ge dem fria händer att förändra sådant som de tycker är dåligt idag. Sätt upp ett förändringsprojekt i syfte att visa på hur molnet löser de problem som finns och hur det går till. Mätetal för att kontrollera framgången är inte helt fel heller.

Genom det här förfarandet har du visat att du strävar framåt och lyft fram de entusiaster som finns. De kan nu visa upp sina hypoteser och bli hjältar. I processen har du fått ett perfekt öra mot marknaden som hjälper dig att formulera frågor och krav.

Att våga kravställa

Molnen är en konsekvens av ett antal vitt skilda områden, som tillsammans har skapat grunderna:

• ”PC-fieringen” och client/server-tekniken med massor av logik på klienterna och ett serverlager med mellanprogramvara, transportbussar och interoperabilitetslager. Det här har skapat enorma konstruktioner som har krävt en gigantisk underhållsbudget och blivit supertankers som inte gärna vänder på en femöring. Långa cykler för minsta förändring och massor av lappande har varit signum.

• Öppen källkodsrörelsen har gått från ett studentrum till att vara ett världsomspännande kompetensnätverk som står för Internetlogikens grundpelare: Webbservrar, programlogik och datalager. Google har visat på hur man bygger upp en mastodontsuperdator genom att använda sig av billigast tänkbara hårdvaror som rackmonteras och ingår i ett superkluster.

• Internets robusthet som kommer sig av en samling öppna protokoll i klartext.

Ur det här har molnen uppstått och visar på att standardiserade IT-funktioner mycket väl kan levereras som el, vatten eller telefoni. Alla måste inte äga en kraftstation, vattenanläggning och telestation för att dra nytta av infrastrukturen (Nicholas Carr har skrivit en spännande bok i ämnet; ”The Big Switch”).

Det som saknas är gemensamma standarder för molnet och många grupperingar har bildats för att muta in sin egen standard. ”Standarder är fantastiska, alla måste ha en!” är en slogan som gäller även här. I den här röran gäller det att ha modet att kravställa: Öppenhet framför slutna sällskap. Transparens framför luddiga modeller.

Slutmod

Har du kommit så här långt är du nu rustad för en trygg molnresa till nytta för din egen verksamhet. Förutsättningarna finns, men det är upp till oss slutkunder att kräva lite bättre avtal, villkor och även lite garantier. Friskrivningsklausulernas tid borde vara förbi när vi kliver in i molnen!

Idag är jag moderator för en molndiskussion på ”Kundskapsdagen”( Anne-Marie Eklund Löwinder är en av dem som talar), och för de som är intresserade finns det en färsk bok kring IT-säkerhet som jag har skrivit med 13 andra säkerhetsexperter.

Fler moln-tips!

Cloud Sweden

Cloud interoperability forum

Cloud Security Alliance

Open Crowd

illustrationen(Gruk): Predrag Mitrovic

Ingen kan ha undgått att den sista IPv4-adressen snart  har delats ut. Vi har levt med adressbristen  i 15 år men när det händer blir bristen akut istället för bara den plåga den är idag. Det finns mycket att läsa på  ipv6formum.se och ipv6actnow.org. Douglas Adams beskriver i ”Liftarens Guide till Galaxen” den billigaste och effektivaste metoden att göra något osynligt; Det är att bestämma sig för att det är ”Någon Annans Problem” eller NAP om man förkortar. Detta är ett synsätt som skrämmande väl stämmer in på den offentliga sektorns sätt att se på adressbristen på Internet. ”Det är inte vårt problem – om vi struntar i det försvinner det nog!”

Den enda långsiktigt vettiga lösningen idag heter IPv6, en teknik som funnits i många år men som få börjat använda. Vi funderade lite på hur väl förberedda den offentliga sektorn är inför IPv6? Vi pratade  med en person som jobbar med IT-upphandlingar och denne kände inte till någon enda upphandling  som krävt stöd för IPv6 under de senaste åren. Varför är det så kan man undra över. En förklaring är att Kammarkollegiet, som sköter upphandlingar åt offentliga sektorn idag,  inte har färdigställt sina upphandlingskrav då SOU 2009:86  E-delegationens ”Strategi för myndigheternas arbete med e-förvaltning” fortfarande är ute på remiss. Förhoppningsvis, men långt ifrån säkert, kommer denna utredning att tydligt peka på behovet av IPv6 och andra tekniker som ett baskrav för ett framtida stabilt och tillgängligt Internet i även framtiden!

Låt dem inte komma undan med några vaga löften till hösten!

Vi har några förslag till den offentliga sektorn som jag vill att de tar till sig för att inte bli tagna på sängen den dagen då det Internet vi är van vid förändras drastiskt: Kräv IPv6 av din Internetleverantör. Enligt en undersökning i oktober 2009 klarar bara 15 procent av Internetleverantörer i Sverige av att leverera IPv6. De som inte kan det ska diskvalificeras vid en upphandling med automatik och ni som kund måste sätta press på dem genom att kräva att de aktiverar IPv6 direkt vid installation. Låt dem inte komma undan med vaga löften om ”till hösten”! Klarar de inte IPv6 nu har de inget på marknaden att göra!

Det finns även de som uppger sig kunna leverera IPv6, men när man hårdgranskar dem är det tydligen inte så enkelt som de lovar! Så kräv referenser inom samma anslutningstyp och geografiskt område som ert eget innan några avtal skrivs under. Ett bra exempel är Telia som tog ungefär fyra månader på sig från beställning till leverans av IPv6. De kan heller inte leverera native IPv6 utan bara tunnlad…

Se till att all utrustning och operativsystem stödjer IPv6. Exempel på externa system som ska stödja IPv6:

Brandvägg

• Många  ledande leverantörer av brandväggar har support för IPv6. Om ni sitter på långa avtal med brandvägg(ar) som bara stödjer IPv4 – köp en till och placera den bredvid den gamla och kör all IPv6 i den. Ni kommer inte att behöva samma omfattande regelverk eller prestanda i en separat brandvägg om den bara gör IPv6! För 10000 kronor får ni en som ni kan komma igång och lära med!

Webbservrar

• De flesta på marknaden förekommande system har inga problem att konfigurera IPv6. Börja gärna med webben som första tjänst! Google har under ett antal år testat IPv6 genom att ha sin vanliga söktjänst tillgänglig över IPv6 fast på en annan adress. Så kan även ett företag göra. Det ger minimal inverkan på den befintliga driftmiljön men möjlighet att testa och lära sig det nya protokollet.
  E-postsystem
Många kör idag någon sorts form av ”tvätt” av e-post för antispam och antivirus innan meddelandena släpps in i de interna systemen. Kräv att alla e-postservrar som tar emot era meddelanden från andra även skaacceptera IPv6 för inkommande och utgående e-post.

Operativsystem

• Tro’t eller ej; Microsoft är en klart lysande stjärna när det gäller stöd för IPv6 och ligger klart före de fria operativsystemen som är baserade runt Linux och BSD. Framförallt är Windows Vista och Windows 7 utmärkta exempel på system med fullt IPv6-stöd men även gamla Windows XP tar sig fram relativt bra! Här kan det vara ide att IT-avdelningen börjar testa och själva använda IPv6 så de hinner skaffa erfarenhet inför en bredare utrullning!

DNS

• För att kunna visa resten av Internet att de kan nå era tjänster via IPv6  behöver givetvis er DNS peka ut vilka tjänster som har IPv6-adresser. Men även DNS-servrarna i sig själva bör vara nåbara över IPv6! Om ni har DNS-servrar hos er ISP eller på annat håll – hör med dem om de är redo och fundera över att anlita någon som är om inte!

Utbilda er

Utbildningssteget som krävs att få igång IPv6 är enligt min åsikt kort. Kan man sin IPv4 är det enkelt att komma igång med IPv6! Samla gärna ihop personal från flera kommuner eller de myndigheter ni samarbetar med och hyr in någon erfaren tekniker och kör praktiska workshops så ni blir lite varma i kläderna innan ni lägger stora pengar på utbildning. Utbildning fungerar alltid bäst om man har viss förkunskap!

Annan infrastruktur som behöver uppmärksamhet

DNSSEC

• Det är givetvis så att vi fokuserar på IPv6 då det är ett av våra huvudintressen. Det finns dock flera väldigt viktiga områden  där det offentliga skulle kunna gå före! Ett av dem är en säkrare infrastruktur för DNS som allmänt kallas DNSSEC. För ett par år sedan visade en forskare hur enkelt det var att styra om den som ville till en viss webbplats eller e-postserver till en annan illasinnad. Idag har uppgraderingar gjort det lite svårare men det är fortfarande möjligt. Med DNSSEC hos DNS-operatörer, företag och ISP:er så skulle detta hål täppas igen. Även här har standarden funnits med ett tag men införandet gått trögt.

E-legitimation

På E-legitimationer återstår också viktiga beslut. Den modell som funnits i Sverige ett antal år lider av flera brister. Här är det viktigt att krav ställs på att systemet ska vara;

• baserad på öppna standarder,
• ge ett fullgott skydd av den personliga integriteten,
• teknikneutralt,
• tillgängligt för aktörer i alla delar av samhället.

Även rollerna som registerförare och utgivare av legitimation bör förtydligas och särskiljas. Dagens system lider också av att endast privatpersoner kan identifiera sig. Bolag, myndigheter och föreningar bör givetvis också gå att identifiera! Här är det viktigt att staten öppnar sina register på ett sätt som både öppnar möjligheter men också skyddar integriteten

Kör jag redan IPv6?
Moderna operativsystem har IPv6 aktiverat som standard. Det betyder att ni kanske kör IPv6 redan utan att veta om det. Testa mot test.ipv6.tk så ser ni om ni gör det eller inte! Resultatet kan variera med samma dator om ni sitter på jobbet eller hemma beroende på brandväggar och annat.

Slutsats?
Sidorna kommunermedipv6.se och myndighetermedipv6.se visar att det är mycket litet som händer – tyvärr. Det måste till ett krav ”uppifrån” för att det offentliga skall prioritera detta inom sin IT-verksamhet. Samtidigt är det inte några monumentala uppgifter! Det handlar om arbetsdagar per myndighet och inte ett antal manår.