Az informatika jövője: a hazai cégek is elindultak a felhőbe

Rábízzuk-e az adatainkat, a féltett titkainkat, a kritikus folyamatainkat külső szolgáltatókra? Egy csomó területen: könnyedén. Odaadjuk a postásnak a levelet a személyes üzenetünkkel, a mobilszolgáltató szerverein ott vannak az sms-eink, benne a bankszámlaegyenlegeinkkel, és bár őrizhetnénk a dunyhában is a pénzünket, a legtöbben azért inkább bankba visszük. De vajon a valóban kritikus informatikai folyamatainkat, adatainkat mennyire bízzuk külső informatikai szolgáltatóra?

(Ide kattintva olvashatók a legfrissebb cikkeink!)

Az írás nem a magánemberek, sokkal inkább a vállalatok hozzáállásával foglalkozik, de személyes példával, nekem a diplomámra úgy tízévente egyszer van szükségem. Ilyenkor kategorikusan kizárt, hogy könnyen megtaláljam, ezért egy másolatot „diploma” tárggyal kilőttem a felhőbe. Minden létező e-mail-címemre elküldtem ezt a doksit, valamelyik csak él majd a következő keresésnél. Sokat persze nem kockáztattam, ha bárki megszerzi az oklevél másolatát, na bumm.

De vajon miként vélekednek a felhőről azok a hazai vállalatok, bankok, energetikai cégek, gyógyszercégek, amelyek igazán kritikus adatokat kezelnek? Elfogadják-e az IT-szolgáltatók folyamatos „hittérítését” arról, hogy a távoli külső szolgáltató, a felhő a modern út, ez a praktikus? Vagy továbbra is komfortosabban érzik magukat a házon belüli megoldásokkal?

Középkori vár, vagy reptér

Néz Péter, a Mol-csoport informatikai igazgatója találó hasonlattal írja le a vállalati informatika jelenlegi helyzetét: „Régebben egy nagyvállalat informatikai hálózata olyan volt, mint egy középkori vár. Egyetlen jól őrzött szűk kapu, a vár körül mély árok, abban aligátorok, körbe szögesdrót (nevezzük ezeket együtt tűzfalnak). Ma a cégek informatikai hálózata viszont már inkább olyan, mint egy forgalmas reptér. Milliószámra, 30-40 bejáraton keresztül jönnek-mennek a járművek, az utasok, a rokonok, a dolgozók, a külső és belső szolgáltatók. Ám a biztonságnak ennyi csatorna mellett is hibátlannak kell lennie.”

Olyan cég pedig már tényleg nem nagyon akad, amelynek az informatikai rendszere ne érintkezne ezer és egy helyen a külvilággal, szállítói kapcsolatok, rendelési lehetőségek, internet bank, hűségprogramok, és közben az adatvédelem iránti igény csak fokozódik.

A legnagyobbak értenek ehhez

Abban minden beszélgetőpartnerünk egyetért, hogy a top felhőszolgáltatók rengeteg erőforrással, állandó frissítésekkel többet tudhatnak a biztonságról, mint a mégoly képzett egyedi vállalatok. A cloud piac legnagyobbjai az AWS Amazon Web Services, a Microsoft Azure, a Google Cloud, az IBM Cloud, illetve az Oracle Cloud, a Salesforce, mellettük Európában még nagyon fontos az SAP.

A vállalati IT-rendszerek problémái, az adatlopások döntő többségben egyébként sem informatikai eredetűek, sokkal inkább humán tényező (gondatlanság, ártó szándék, vagy éppen forradalmi hevület, etikus hackerkedés) miatt történik. Ezt sok felmérés bizonyította, már csak az a kérdés, hogy vajon a külső szolgáltató miért védené jobban az adatainkat, mint mi magunk, akiknek az adat a legértékesebb? A válasz az lehet, hogy azért, mert az IT-sek tényleg ebből élnek, ez az alapüzletük, számukra létkérdés, hogy náluk biztonságban legyenek a folyamatok, aki ugyanis hibázik, az lehúzhatja a rolót.

Mártha Imre, a FŐTÁV vezérigazgatójaként, illetve az FKF fb-elnökeként azt tartja, hogy a lokális adattárolás sokszor egy hamis biztonságérzetet ad, „mert sok döntéshozó úgy érzi, hogy ami a házon belül van, az biztonságban és az irányításunk alatt van. Pedig a professzionális felhős adattárolás többszörös védelemmel rendelkezik, így akár magasabb szintű, sokrétűbb IT-biztonságot nyújt, mint az in-house megoldások.”

Természetesen az is igaz, hogy a belső és a külső szolgáltatások biztonságos összekapcsolása is egy feladat, és az igazán nagy szolgáltatók ellen nagyobb erőkkel is indulhatnak meg a hackerek.

Hiszen miközben a szakértő cégek, a felhő szolgáltatok élen járnak az informatikai biztonság területén, technológiai és szaktudás szintjén természetesen tényleg sokat tudnak az informatikai biztonságról. A harc a hackerek és a védekezők között kicsit olyan, mint a jegybankok és a bankjegyhamisítók versengése, soha nem lehet hátradőlni, a másik oldal mindig próbál fejlődni.

Ahogy Simon Lajos, a Richter Gedeon informatikai vezetője mondja, „Gombóc Artúr is szívesebben törne be egy csokiboltba”. Értjük a képet, ha Artúr egyetlen iskolatáskát lop el, abban jó esetben talál egy uzsonnára csomagolt szelet csokit, ám a boltban bejut a Kánaánba, ott aztán biztosan sok édesség lesz. Az adattolvajoknak is nagyobb nyereséggel kecsegtet egy top felhőszolgáltatót megtámadni, mint egyetlen vállalatot.

Mindenki ezt nyomja

Mindezek ellenére az általunk megkérdezett nagyvállalatok (Erste, FKF, Főtáv, Mol, MVM, OTP, Richter) mindegyike elindult már, vagyis mindenki használ felhőt, de a legtöbben azt is elmesélték, hogy óvatosan, megfontoltan és fokozatosan nyitnak, és többen a hibrid megoldásos (itt is, ott is vannak adatok) megközelítés hívei.

Ahogy Néz Péter meséli, a Molnál működik kritikus infrastruktúra, a társaság nem ezeknél, hanem olyan elemeknél próbálta ki először a felhőt, ahol „ugyan kellemetlen, ha nem megy a rendszer, de nem áll le tőle a finomító, ilyen volt a munkaerő-toborzás, az éves értékelések.”

Azt valamennyi beszélgetőpartnerünk megerősítette, hogy érez egyfajta nyomást a beszállítói oldalról. Van, ahol nincs is választás, mert a megoldás már csak a felhőben érhető el, és olyan helyzet is akad, hogy az informatikai cég értékesítési munkatársa annyira a cloud eladásában motivált, hogy sokkal nagyobb diszkontot tud adni, ha van a megvásárolt csomagban felhő is.

Simon Lajos (Richter Gedeon) szerint ennek az az oka, hogy a beszállítók szívesen építenek ki egy erősebb köldökzsinórt az ügyféllel, arra persze az ügyfélnek kell figyelnie, hogy ez ne legyen túl nagy, már-már felbonthatatlan kötődés. Johancsik Tibor, az OTP IT vezérigazgató-helyettese pozitívan áll a felhőszolgáltatásokhoz, és szerinte ma már nem is az a kérdés, hogy szeretjük-e a felhőt, vagy sem, mert a kérdés eldőlt, egyszerűen erre megy a világ.

Mint mondja,

„lehet, hogy valakit zavar, hogy nincsen hangja az elektromos autóknak, de ha pár évtized múlva már csak a villanyautó, vagy a ló közül lehet választani, akkor azért ezt meg fogja szokni.”

Az IT-ben 5-10 éve indult meg elképesztő tempóval a változás, amit főleg az indokolt, hogy a szolgáltatók tényleg olcsóbban tudnak így dolgozni. Már csak az a kérdés, hogy ebből a költségelőnyből mekkora részt tartanak meg és mennyit adnak át az ügyfeleknek. Ez mindig a konkrét versenyhelyzeten múlik. Ahogy egy szolgáltatótól hallottuk, „köztünk is verseny van, de ha nekünk 50-nel jobb a modell, 25-öt tényleg szívesen az ügyfélnek adunk ebből.”.

A bankszektorban azért az sem mellékes, hogy a szabályozó mennyire fogadja el a felhőt, mert a bank „veszélyes üzem”, emberek pénzével kell bánni, a mindenkori felügyelet árgus szemekkel figyeli, hogy mi van az ügyféladatokkal. Ebben magas szinten kell kompromisszumot kötni, hiszen miközben a felügyelet ellenőrizni is szeretne, a felhőszolgáltatásoknál értelmét is vesztheti a helyszíni szemle (a folyamat lehet éppen Írországban, Németországban, de akár Indiában is), és a szabályozás az egész ország versenyképességét befolyásolja.

A szabályozók, az állam jellemzően óvatos, adatvédelmi, vagy szuverenitási okokból például a központi közigazgatásba, vagy a honvédelembe még biztosan nehezebb egy felhős cégnek bejutnia. És akkor még nem is nyitottuk ki a GDPR kérdését, mert a jószándékú, de sokszor bonyolult és személyes adatkezelési szabályoknak nem könnyű külső szolgáltatóként megfelelni.

Mártha Imre úgy véli, hogy a felhősödés nem csupán, sőt elsősorban nem műszaki, vagy pénzügyi kérdés. Az informatikai szempontok mellett szem előtt kell tartani az adatbiztonsági, jogi, kockázatkezelési, sőt akármilyen meglepő, de a HR szempontokat.

Mint a konténerek megjelenése a szállítmányozásban

A hazai Erste Bank is sokféle felhőt használ, van, ami privátfelhő (az anyaintézmény egy cége szolgáltat a csoportnak), van, ami külső szolgáltatótól jön (chatbot, csoportmunkát segítő szoftverek, irodai Windows) – meséli Foltányi Tamás, a magyarországi Erste-csoport informatikai vezetője,

„Egy nemzetközi bankcsoport lokális működtetésénél az is kérdés lehet, hogy a szabályozó engedi-e, hogy a hazai adatokról az anyavállalat kössön szerződést, vagy a leányvállalatnak kell közvetlenül szerződnie.”

A szakember szerint a külső szolgáltatós biztonság semmilyen szempontból nem rosszabb, mint a belsős, és a felhő üzemeltetési, felelősségi terheket is levehet a cégről, de aki pusztán azért menne a felhőbe, mert ott árelőnyt remél, csalódhat, a szakember szerint mindig egyedileg kell mérlegelni, mert a felhő nem egyértelműen olcsóbb.

A szakember hasonlata szerint a felhő használata – amennyiben törekszünk a „cloud native” megoldások bevezetésére, kifejlesztésére –, olyasmi a vállalati informatikában, mint a konténerek bevezetése volt anno a szállítmányozásban. Az iparágban ugyanúgy óriási költségmegtakarítást jelenthet ez a technológia, ahogyan anno az egységes konténerek bevezetése. Ettől még sajnos igaz, hogy aki egy nagy bank felhőszerződéseit megnézi, arról minden eszébe fog jutni, csak az egyszerűség és az átláthatóság nem. Vagyis a felhő, amennyiben hatékonyan akarjuk igénybe venni a szolgáltatásait, kikényszeríti a sztenderdek használatát, de itt sincsenek hatósági árak, az egyedi tárgyalásokon múlik, hogy ki milyen árat tud kiharcolni.

Hasonlóképpen látja a kérdést az MVM is, szerintük pusztán a presszió miatt egy állami vállalat nem teheti azt meg, hogy „tavaly vasat vettem, idén meg felmegyek egy előfizetéses szolgáltatásra a felhőbe”. „Ha van egy működő infrastruktúrám, túl vagyok a beruházáson, akkor az eredményességünket javítja, ha a rendszer új beruházás nélkül még ellátja a feladatát”, vélik.

Az állami vállalat informatikai és biztonsági vezetői szerint bár a felhőben valóban vannak jó irányok, az MVM mindent egyedileg vizsgál meg, mennyire kiforrott a szolgáltatás, megfelel-e az MVM fokozott biztonsági követelményeinek. Az ilyen vizsgálatok kulcsszavai a bizalmasság, a sérülékenység, a rendelkezésre állás.

A rugalmasság

A legtöbb felhasználó szerint a cloud computing igazi előnye, hogy nagyon gyors és rugalmas. Ha egy vállalat több felhasználóval szerezne dolgozni, ha hirtelen több szerverre van szüksége, akkor a külső szolgáltató azonnal biztosítja a kapacitásokat, nem kell időigényes tendert kiírni. Jó esetben a cégek ezért felhasználás-arányosan fizetnek, vagyis nem kell úgy megfinanszírozni egy nagyobb kapacitást, hogy azt évente csak egyszer-kétszer kell kihasználni.

Ez a gyorsaság és rugalmasság előny, de kérdés, hogy ki lehet-e használni. Az MVM szakemberei megjegyzik, hogy a közbeszerzés-köteles cégeknél ritkán lehet puha paraméterekkel tendert kiírni, vagyis úgy nehéz vásárolnia egy állami vállalatnak, hogy a költségek majd kialakulnak. Az MVM is elindult a felhőbe, és valamekkora felhasználási játéktér azért lehet egy-egy szolgáltatásnál, de a közbeszerzéseknél jellemzőbb az, hogy elég pontosan meg van határozva, hogy az állami cég mit vesz meg.

A sok felhasználós nagyvállalatoknál pedig az már nem olyan egyszerű, hogy ki és milyen jóváhagyás mellett kérhet pluszszolgáltatásokat, mert mindennek költségvonzata van, ha viszont túl bonyolult az engedélyeztetés, akkor oda a rugalmasság.

A rugalmasság pénzügyi oldalról is érték lehet. Az IT-nak nem kell egy nagy beruházást kiharcolni, megszervezni, lefuttatni, vagyis a pénzügyes nyelvén CAPEX (beruházás) helyett OPEX (működési költség) igazítás is elég, ettől persze még bármelyik lehet gazdaságos, de a nagy bevásárlás amortizációja nem ég be a költségvetésekbe.

Mártha Imre szerint is kulcskérdés, hogy az informatikai szolgáltatási szerződéseket jellemzően jóval rövidebb időre kötik, mint a beruházási szerződések amortizációs időhorizontja. A felhő így akár projektként, rövidebb időre is leköthető, ami előny a mostani, gyorsan változó világban, igaz a nagyvállalatok éppen ezért óvatosak is a szolgáltatói IT-modellel szemben, hiszen a százmilliós IT-beruházások leírásáig nehezen indokolható azok „idő előtti” kiváltás.

Foltányi Tamás szerint is fontos tényező a rugalmasság, de ez bizonyos szempontból ma már a megvásárolt „vasaknál” is gyakori. Olcsóbb ugyanis a szállítóknak úgy eladni egy szervert, 8 processzorral, hogy abban mind a 32 beültethető processzor benne van, s 24-et csak szoftveresen blokkolnak. Később, szükség esetén ezek egy kattintással beüzemelhetőek.

Konfekció, vagy testreszabott?

Az ügyfél döntését leginkább egy „szentháromság” alapján kell mérlegelni – fogalmaz Johancsik Tibor. Az informatika és olyan, mint a szabó, általánosságban olcsóbb lehet a konfekció, mint a testreszabott, de az is kérdés, hogy

• mennyire biztonságos és stabil az adott megoldás,
• mennyi az időigénye (ha a karácsonyi akció informatikai megoldása februárra készül el, akkor nem ér túl sokat),
• illetve milyen a költséghatékonyság.

A felhő sokat reklámozott előnye, hogy a szállítók folyamatosan frissítik, karbantartják a szoftvereket. Ez természetesen jobban hangzik, mintha a cégek olyan 10-15 éves eszközökön dolgoznának, amelyeket esetleg már nem is támogat a fejlesztő, abban azért lehet különbség, rossz esetben hátrány is, ha a verziófrissülés nemcsak egy észrevétlen változás, hanem más rendszerek illeszkedései is megbolondulnak. Ahogy az MVM-nél mesélik a vállalati informatika egy pókháló, minden rendszer, mindegyikhez elérhet, ezért a változásoknak is összetett hatásai lehetnek.

Mint Foltányi Tamás mondja, ebben a Magyar Nemzeti Bank is szigorú, amely szabályozó a használt szoftverek frissítését maga is előírja, az úgynevezett hardening keretében.

A humán tényező

Az informatikai cégek sokszor úgy ítélik meg, hogy a felhő azért nem terjed el elég gyorsan itthon, mert az informatikai vezetők ellenállnak, mert úgy érzik, hogy a kiszervezéssel kisebb szervezeti egységet, kevesebb embert vezethetnek. Van. aki elismeri, hogy volt ilyen idegenkedés az IT-osztályon, esetleg a munkatársak tartottak attól, hogy a felhővel kannibalizálják a saját állásukat, de azért a legtöbb beszélgetőpartnerünk arról beszélt, hogy annyi feladat van és olyan nehéz jó informatikust találni, hogy minden tehercsökkenésért csak hálásak, több teret ad a magasabb hozzáadott értékű munkának.

A vállalati IT-vezetőknek szinte mindig van olyan praktikájuk, hogy az általuk kockázatként azonosított elemekre figyeljenek. Simon Lajos szerint a vevőnek fontos, hogy lehetőleg sztenderd szolgáltatásokat vegyen igénybe és könnyű legyen az adatokat migrálni, azaz átvinni egyik helyről a másikra (a szállítók ebben eltérő gyakorlatot folytatnak), mert így megmarad az egészséges versenyhelyzet, lehet versenyeztetni, költséget csökkenteni. A szakembert például zavarja, ha a szállító emelt díjas szolgáltatást kér a fokozott adatvédelemért.

Ilyenkor felmerül, hogy az alapszolgáltatásban nem tökéletes a biztonság, de nekem is kényelmetlen nem kérni a fokozott védelmet, mert azzal mintha azt mondanám, hogy az adat elvesztése nem okozna végzetes kárt nekem.

Néz Péter szerint a legtöbb felhőszolgáltató legfeljebb öt évre szerződik,

„ha évente fizetek 60 ezer dollárt, azzal lehet kalkulálni, de mi lesz az ötödik év végén? Marad ugyanannyi a díj, vagy megemelik 80 ezerre? Én az utolsó előtti évben szeretek tárgyalni a hosszabbításról, ha jó feltételeket adnak, mindenki boldog, ha rosszakat, van egy évem váltani.

Mindezt a taktikát mások is jónak tartják, és ahogy mondják a vállalati oldalon is figyelni kell a rugalmasságra, az it gyorsan változó szektor, boldog lehet az ügyfél a jó 5 éves szerződésével, de annyi idő múlva teljesen más lesz az ágazat térképe, nem is biztos, hogy a cégek működnek. De ez természetesen igaz lehet egy autógyárra és a szervizhálózatára, attól még nem mi próbálunk autót építeni, hanem veszünk autót külső szállítótól.

A korrupció kérdése

Az informatikai szolgáltatóknak vannak érvei amellett is, hogy a felhő kevésbé kedvez a korrupciónak. Az érv amúgy úgy szól, hogy amennyiben nem érdemes túlvásárolni a vasat, ha az ügyfél felhasználás-arányosan fizet szolgáltatási díjat, akkor jó esetben visszaszorítható a ”gépzsír„.

Az informatikai vezetők véleménye szerint azonban egy 5 millió dolláros szerződés akkor is 5 millió dolláros szerződés, ha az vasról szól, de akkor is, ha felhőszolgáltatásról. Az ilyen utakra fogékony ”zsák„ megtalálhatja a foltját.

Mártha Imre szerint

”a felhőszolgáltatás azért alapvetően mégiscsak egy technológia, amellyel üzleti hatékonyságot lehet növelni. Személyes meggyőződésem, hogy a sokkal rugalmasabb beszerzési folyamat a szolgáltatói modell esetében önmagában is transzparensebb, mint a sokéves időhorizonton megvalósuló beruházások.”

Más vezetők további szempontokat említenek, jó embereket kell találni, megfelelő (négy szemes) ellenőrzéseket bevezetni, a gyanú esetén pedig keményen fellépni. Fix árak a felhőben sincsenek, ugyanúgy a beszerzők feladata, hogy minél jobban leszorítsák az árakat a tárgyalások során. Aki ezt jó szándékkal teszi, szép eredményeket fog elérni, aki rossz szándékú az a céges megtakarítás helyett egyéni előnyökre megy rá inkább, mindenesetre, ahogy többen is megfogalmazták a nagyvállalati körből, lehet, hogy a listaárak valamelyest transzparensebbek, de ha egy nagyvállalat listaáron vásárol, akkor ott az informatikai vezetőt azonnal ki kell rúgni.