Truc van marketing is om alleen de voordelen te noemen of omgekeerd, afhankelijk van wat je wilt verkopen natuurlijk. Nu door onthullingen van Snowden een discussie over onze privacy op gang komt wordt helaas nog vergeten dat sommige bedrijven de handel in persoonsgegevens tot hun business model gemaakt hebben. Goed, daar krijgen we tegenprestaties in de vorm van diensten voor terug maar geldt dit ook niet voor de inlichtingendiensten?
Tenslotte waarschuwde de AIVD in 2010 al met een kwetsbaarheidsanalyse voor de gevaren van ‘Consumerization of IT’ door het lage bewustzijn voor: Waarde van informatie; Verschillende belangen; en Noodzaak van beveiliging.
De technische en juridische abstracties zorgen er namelijk voor dat onduidelijk blijft wie er mee mogen en kunnen lezen. Nu iedereen verontwaardigd is over het stofzuigen van de NSA wordt de ‘Nilfisk’ van Google nog vergeten. En ergens heb ik het idee dat ‘naming and shaming’ van Google met hun transparantie rapport dus ook niet meer is dan marketing.
Dr. Jekyll versus mr. Hyde
Veel gratis oplossingen introduceren een ‘frenemies’ probleem, het is makkelijk maar heeft vaak een mistig verdienmodel. Vooral het tweezijdig model waarbij aan de achterkant data verkocht wordt aan derden is een listige opzet. Vooral bedoeld om de ‘inboorlingen’ hun privacy te laten ruilen voor spiegeltjes en kraaltjes. Hoewel we met aanvullende technische maatregelen zoals encryptie een aantal zaken kunnen mitigeren introduceert dit nieuwe problemen zoals verloren sleutels, toename van spam en hogere kosten voor services. Gebruik van ‘gratis’ diensten zorgt dus voor obesitas in (maat)regelen die daarom nog vaak achterwege gelaten worden.
Als gebruikers zich als kinderen blijven gedragen is informatiebeleid echter als water met een mand verplaatsen; het lekt aan alle kanten. Opmerkelijk eigenlijk omdat we nu toch geleerd zouden moeten hebben dat gratis niet bestaat. En de wijze waarop onze persoonsgegevens gebruikt worden veel weg heeft van valutering. Voor de duidelijkheid, huidige controleurs lijken toevertrouwde data vooral voor hun eigen belangen in te zetten. Want het CPB rapporteert in zijn jaarverslag dat ook onze eigen overheid laks omgaat met persoonsgegevens en deze wel eens misbruikt. Op die manier betalen we met het gebruik van ‘gratis’ diensten dus twee keer, één keer met het inleveren van onze privacy en vervolgens via de belastingen. Beide keren ook nog eens zonder een opt-out. Want nu we steeds afhankelijker worden van deze diensten komt bij mij de vraag op wie straks de controleur nog controleert of zoals Machiavelli het stelde: ‘De bescherming van iets moet worden toevertrouwd aan degene die de minste behoefte heeft om dat ten eigen nutte aan te wenden.’
Schaduw IT
Hoewel door alle afluisterpraktijken de term misschien tot een andere invulling leidt, gaat het hier om het gebruik van niet goedgekeurde ict-oplossingen. Het fenomeen is dus niet nieuw, maar wordt wel snel groter door de cloud. Gartner becijferde onlangs dat 35 procent (tegen 10 procent een paar jaar geleden) van de zakelijke it-bestedingen reeds buitenhet officiële budget plaats vinden. Gratis diensten vallen dus nog buiten deze radar, terwijl ander onderzoek laat zien dat deze niet enkel privé gebruikt worden. Ict-lichtvaardige gebruikers kopiëren met één muisklik informatie tussen de systemen waardoor de usb-sticks met gevoelige informatie niet meer op straat liggen maar in de cloud staan.
Marketing technisch klinkt dat goed, gebruikers krijgen meer flexibiliteit tegen lagere kosten en het al zwaar belastte it-budget wordt ontzien. Maar door het lage bewustzijn over de waarde van informatie en het belang ervan leidt dit tot Rogue IT, iets wat zich het beste laat vertalen naar ‘Bedrieglijke IT’. Voorbeelden hiervan kunnen we niet alleen teruglezen in de krant maar ook in de geschiedenis: het Turfschip van Breda. Daarom word ik ook een beetje treurig van mensen die voor elk probleem een ‘gratis’ antwoord in de cloud denken te zien, of zoals ISACA het stelt: ‘De hype rond de cloud kan de vaststelling van voor- en nadelen (waaronder risico’s) zonder een grondige zorgvuldige en objectieve afweging stimuleren. Dit kan leiden tot onjuiste beslissingen waarbij de cloud misschien niet de beste oplossing is.’
Governance versus gouvernante
Mogelijkheden van de cloud lokken dus, maar knellen wel met de governance, de maatregelen die bedrijven nemen om datalekken te voorkomen. En als marketing ons telkens laat geloven dat de cloud een luilekkerland is waar de gebraden ganzen ons in de mond vliegen, dan blijft het dweilen met de kraan open. Want terug naar het begin gaat het om de vraag wat die ‘gratis’ cloud diensten ons nu werkelijk opleveren. Of zoals William Stanley Jevons het zich in 1866 al afvroeg met: ‘The coal question’ is er een paradox omdat goedkopere resources leiden tot meer applicaties en meer applicaties leiden tot meer consumptie.
Nu heb ik niets tegen gratis diensten en gebruik deze zelf ook maar laten we niet de data stewardship, het rentmeesterschap binnen de governance modellen vergeten. Dat het in casu systeembeheerders zijn die wijzen op tekortkomingen van sommige diensten komt vanuit de waarnemingen en ervaring die zij opgedaan hebben. Want wat is de besparing als ‘gratis’ de prijs van het beheer doet opdrijven?
History doesn’t repeat itself, but it rhymes – Mark Twain
@Ewout,
leuk verhaal, geeft weer stof tot nadenken voor diverse mensen hier,
maar… indirect pleit je voor eenTCO afweging, voor zover het om de financiële component gaat, want dan wordt duidelijk wat de kostprijs is van gratis+niet gratis.
Wat dat betreft zweeft er ergens nog een artikel van mij op internet van een jaar 0f 7 geleden, het vergelijk van Skype gebruik voor een grote organisatie versus een eigen VoIP-systeem, en ja,,,, na 5 a 6 jaar was het VoIP systeem goedkoper wanneer je investeringen gebruikerskosten, beheer(s) kosten in ogenschouw neemt, hoe zo gratis goedkoper dus….
Ewout, ik vond het lastig om te reageren op jou opiniestuk. Steeds lopen er zaken door elkaar: gratis diensten, cloud, privacy etc. Soms ben ik het eens, soms is het genuanceerder dan je neerzet en soms ook klopt het niet met bepaalde vormen van de cloud.
Bij gratis diensten ben je als gebruiker het product. Eens.
Cloud: kan gratis zijn, maar is het ook vaak niet. Genuanceerd.
Gebruikers zijn lichtvaardig/kinderlijk: nee, maar kennen de impact van hun handelen vaak niet. Oneens dus.
Ik vind het een flut artikel waar ergens wel wat klepels hangen, maar geen bellen waar ze inpassen.
Dit is allemaal gericht op het aanpraten van “what ifs” en op het gevoel spelen van verlies, misbruik, angst maar dit totaal niet onderbouwen.
“If you are not paying for something, you are not the customer, but the product being sold”. Sure, daar ben ik het wel mee eens, maar wat dan nog? Schaadt het mij?
Dat de AH slimmer wordt van mijn koopgedrag te combineren met die van anderen en de vorm van korting (bonus) is niets mis mee! Ze zullen gericht reclame maken die mij onderbewustzijn misschien prikkelen dingen te kopen die ik niet nodig heb.. so what?
Als je bij een bier prijsvraag je gegevens invult en vervolgens jarenlang gebeld en gemaild wordt, a la, dat is niet netjes zeker als de kans op een prijs nihil is, maar dit soort bangmakerij komt gewoon voort uit angst dat je dalijk geen business meer hebt omdat de cloud goedkoper is.
Ewout noemt het niet, maar hij bedoeld o.a. Google Gmail welke gratis is voor consumenten. Misschien verdient Google miljoenen doordat bedrijven Google betalen om mij reclame voor te schotelen. What is hier nu helemaal verkeerd aan? Dat is mij volstrekt onduidelijk.
Wordt ik ineens vaker gebeld omdat ik GMail heb? Nee.
Liggen mijn geheimen op straat omdat ik Gmail gebruik? Nee
Verlies is iets als ik GMail gebruik? Nee.
Dus leg mij dan eens glashelder uit wat nu helemaal het probleem is?
Google heeft onenigheid met de EU, maar waar gaan die zaken over? Meningen en randverschijnselen, geen tastbaar misbruik. zijn de resultaten Google gericht? Gebruik een andere search engine.
De verhalen uit het nieuws over data op straat gaan over het algemeen NIET over de grote gratis diensten, maar over kleinere bedrijfjes die lang buiten de aandacht lagen. Slechte beveiliging, dat zijn zondes, want die gegevens worden door criminelen gebruik en schaden mij wel degelijk.
Er blijft in mijn oog nog maar 1 zaak over: meekijkende overheden en met name die van de VS waar veel van die mooie diensten vandaan komen. Daardoor kan de NL overheid niet zomaar gebruik maken van deze schaduw IT en zou er inderdaad meer bewustzijn moeten zijn bij medewerkers. Er zijn potentieel twee dingen schadelijk: Je geheimen (intellectueel eigendom) worden doorgespeeld aan Amerikaanse bedrijven & spionage.
Grappig genoeg is het NIET gebruiken van cloud diensten geen garantie. Want met je Ministerie email adres bijlagen sturen naar mensen buiten het ministerie wordt net zo makkelijk opgevangen door VS diensten. zelfde geldt voor surfgedrag en dergelijke.
Deze laatste twee alinea’s vind ik de enige relevante als het gaat om de schaduwkant van cloud in de context van dit artikel, maar zijn in mijn ogen een politiek issue.
De schaduwkant van cloud is dat veel diensten onduidelijk is of ze veiligheid goed geregeld hebben, maar de argumenten die jij gebruikt zin FUD (Fear, Uncertainty and Doubt)
Dus maak je voorbeelden eens concreet en onderbouw ze met voorbeeld HOE er dus schade ontstaat anders dan wat ik al aangeef.
Sorry dat ik wat fel uit de hoek om, maar dat is zoals ik het ervaar. Ik leidt geen schade van een prima dienst die bijvoorbeeld Google bied, maar je moet wel je gezond verstand blijven gebruiken en het PRISM stukje verdiend inderdaad aandacht.
Wat mij betreft is de ‘schaduwkant van de cloud’ het valse gevoel van veiligheid als je je data op eigen servertjes hebt staan. Het verassende nieuws van de laatste tijd is immers dat de NSA c.s. *overal* meekijkt en zelfs bij bevriende regeringen inbreekt. Door na te denken over de cloud wordt je in ieder geval bewust van wat je het beschermen waard vindt en wat niet. Denken dat je geen probleem hebt als je niet ‘in de cloud’ zit is een groter probleem dan die hele cloud zelf.
-Leuke titel trouwens. Hebben we nu alle woordspelingen gehad?
Nog een kleine aanvulling c.q. gedachte.
Dropbox is een betaalde dienst met een gratis variant. Ben je dan het product wat verkocht wordt? Verkoopt Dropbox je data? Ik dacht het niet.
Het is gewoon een gratis product en als je er aan gewend bent ga je het meer gebruiken en loop je tegen de gratis limiet aan en ga je betalen voor meer opslag. De betalende klanten financieren dan dus de gratis gebruikers. Wederom is er niets op tegen. Kom je iets tegen dat beter is? Dan switch je. Zelf BOX.NET de enterprise “dropbox” oplossing heeft een gratis variant. Zijn die dan ook de schaduwkant?
Veiligheid is daar gewoon groot en het enige nadeel is wederom een potentieel meekijkende overheid, maar nu val ik in herhaling.
Bewustwording, begeleiding, tools, aanspreken op elkaars gedrag zijn allemaal prima middelen, maar laten we elkaar nou niet gemaken over de grote boze cloud.
Henri,
Heerlijk voorspelbare reactie, net als je egocentrische vragen: Maar wat dan nog? Schaadt het mij? op je instemming over ‘gratis’:
“If you are not paying for something, you are not the customer, but the product being sold”
Ik heb hierdoor het idee dat de boodschap van het rentmeesterschap je dan ook volledig ontgaat. Want hierdoor zullen maatregelen zoals cookiebeleid, bel-me-niet register, server-side encryptie en vele anderen dus niet meer helpen om het vergelijk te duiden met de ‘The Strange Case of Dr Jekyll and Mr Hyde’
Let op dat ik gebruik van ‘gratis’ diensten niet per definitie afkeur maar enkel wijs op soms listige achterliggende verdienmodellen die enkele populaire diensten hanteren. Google geeft tenslotte weinig transparantie aan wie ze allemaal gegevens verkopen, door Edward weten we dat in elk geval de NSA (Amerikaanse belastingbetaler) flink betaalde.
Dat maakt zoals je het zelf al aangeeft het risico op verlies van IP dus groter, de immateriele activa die vaak een financiele waarde vertegenwoordigt. ‘Risks of data loss and falling out of compliance are too high to ignore’ is dus iets wat je vaak vergeet te melden als je gratis diensten promoot.
P.S.
Dropbox (en andere FS zoals MegaUpload) maken gebruik van het freemium model, een oude bekende uit de software wereld wat goed werkt zolang er geen kannabalisatie optreedt.
Leen,
Ik heb het hier over de ‘consumenten cloud’ welke gratis is of een gereduceerd tarief kent door tweezijdige verdienmodellen. Lichtvaardig betekent: enigszins bedreven maar onbedachtzaam wat me van toepassing lijkt op gebruikers die zonder voorwaarden te lezen alles maar accepteren.
Ik zie wel de waarde van dit artikel en kan me (zoals meestal) niet zo in de kritiek van Henri vinden.
Kenlijk is het jouw niet bekend hoeveel mensen in de problemen zijn geraakt omdat slimme zakenjongens een en ander over hen bijhielden.
Daar heb je geen last van totdat het zover is, historie verteld ons genoeg daarover.
Ook wordt er wel degelijk in je content gegrasduind. In je vakantiefoto’s is niemand geintereseerd, maar even je zakelijke transacties op je google accountje vastleggen lijkt me toch niet zo’n goed idee.
Waarmee cloud oplossingen overigens daarom niet gemeden moeten worden,
Als je maar bewust bent dat de gegevens voor derden toegangkelijk zijn, en geld of politieke druk kunnen derden heel wat voor elkaar krijgen.
Daan,
Eigen servers – al dan niet als private cloud – kennen meer zekerheden dan publieke versies waarbij er geld verdiend wordt aan je data of gedrag. En ik gaf al aan dat Schaduw IT niet iets is van de laatste jaren maar juist groter wordt door het gemak van de cloud. Vaak wordt classificeren wel genoemd maar zoals Henri al liet zien nog vaak ingevuld met een ‘Na mij de zondvloed’ attitude.
@Ewout: dank, dat geeft wat meer context aan het verhaal.