Jag kanske skall börja med att förtydliga mig. Jag har inte provat alla online backup system på marknaden så att generalisera och säga att allt inom detta segment skulle vara dåligt är kanske farligt och ganska säkert också felaktigt. Men de system jag har provat har samtliga varit under all kritik.
Jag skall också tillägga att jag inte har provat dessa system som privatperson eller som en intern lösning på företaget jag arbetar för utan i rollen som återförsäljare där vi har haft för avsikt att inkorporera online backup som en del av vår produktportfölj.
Under denna resa har jag testat flertalet system men jag tänker fokusera på två av dem, Mozy och SOS. Dock kan jag säga att av de totalt 6 olika leverantörer som vi provade har samtliga lidit av bristfällig kvalitet.
Anledningen till att jag väljer att fokusera på Mozy och SOS är att vi under ett år använde Mozy som vår online backup plattform och vi satt också i långt gångna förhandlingar med SOS i ett senare skede.
När vi i början av 2008 tog kontakt med Mozy var Berkley Data Systems (som skapade Mozy) uppköpta av EMC och Mozy blev en del av Deco. Mozy startades 2004 och har rönt stora framgångar på onlinebackupmarknaden. De lade tidigt marschtakten genom att i lagringsinfrastrukturen prata peta byte istället för tera byte och deras uttalade mål är i skrivande stund att ha 10 000 000 onlinebackupkunder 2011 (idag har de ca: 1 000 000 kunder).
Vi gjorde efterforskningar så gott det gick för att finna ”icke vinklad” information gällande Mozy och visst fanns det många som höjde ett varningens finger och tycket att systemet mest var ”skit”. Vissa påstod (i olika forum) att Mozys produkt var bland det sämsta de hade sett gällande systemkvalitet och att många system på skolprojektnivå höll högre klass.
Men…
Denna typ av ”fakta” från bloggar, forum och andra källor är alltid svårt att få bekräftat på ett riktigt sätt. Om man har en million kunder (om nu det verkligen stämmer*) och man finner några hundra som öppet klagar kan man naturligtvis göra en ungefärligt uppskattande procentberäkning på hur många som troligtvis bara är tysta och avinstallerar produkten.
*Jag misstänker att det fuskas en hel del med antalet användare, det är ju trots allt ett säljande argument att visa upp en stor användargrupp. Ett exempel på detta är danska GateSweeper (baserad på honeypot tekniken)som köptes upp av ökända pyramidföretaget GIICorp. Strax efter lanseringen klistrade man dit 10 000 användare på webbsidan för att några månader senare plocka bort produkten från marknaden. Med 10 000 betalande användare på några månader betvivlar jag att man ”plockar ner skylten”. Det sades i och för sig gällande GateSweeper att hela produkten var en enda stor bluff som inte fungerade (alltså likvärditg med GIICorp).
Det var också så att det fanns lika många forumtrådar som lovordade Mozy som produkt och naturligtvis kan man då även räkna åt andra hållet. Vi får även väga in att många av de som skriver på bloggar, forum och webbsidor kan på ett eller annat sätt, direkt eller indirekt, vara påverkade av Mozy.
Man kanske jobbar inom EMC (som är en jättekoncern), man kanske är just återförsäljare eller så har man någon annan koppling som gör att man vinner på att lovorda produkten.
Å andra sidan kanske man sitter hos en konkurrent och inget hellre vill än att skjuta Mozy i sank. Så mycket har jag lärt mig om den amerikanska marknaden att den är mycket hårdare än den Svenska. Vi är oftast justa mot varandra men det är man inte i USA. Det är ok att smutskasta ett annat företag eller person, titta bara på presidentvalskampanjen.
Detta lämnade oss att ta ett eget beslut baserat på det affärsmässiga upplägget, produktens tyngd på marknaden, re-branding, supportstöd och mycket annat som är viktigt för en långsiktig produktlansering.
I det initiala skedet gick allt som på räls. Att ansöka om att bli återförsäljare är inga problem, det sker på nolltid. Därefter tilldelas man en personlig ”account manager” som mer än gärna vill ha information om hur man tänker lansera produkten. Man gör upp om användande av egen logotype och andra marknadsmässiga frågor, man får prisbilden beskriven för sig, man får tillgång till administrativa gränssnitt och får förklarat för sig hur utmärkt supporten fungerar samt en kortare utbildning på systemet i sin helhet. Man går även igenom lite andra detaljer som är nyttiga att ha kunskap om.
I vårt fall investerade vi även tid, pengar och energi på att bygga upp ett eget svenskspråkigt administrativt gränssnitt där våra kunder skulle kunna logga in för att sköta sina konton (bl.a. lösenord, återläsning, kryptoprogram för upplåsning av filer krypterade med 256-bitars AES, klientnerladdning, manualer, förfrågan om remote access installation samt mycket annat).
Naturligtvis hade vi testat produkten lokalt och med undantag för lite mindre fadäser fann vi att saker och ting verkade vara ok.
Då var det bara att lansera då…
Och det gjorde vi, vi sjösatte Secure IT Online Backup med stor tilltro till både system och marknad.
I vårt affärsmässiga upplägg vände vi oss enbart till företag och vi tog oss gärna ann Windows baserade servermiljöer (MozyPro stödjer backup av både Exchange och AD). När vi hade gjort en del installationer på både klientnivå och servernivå började dock problemen att komma.
Jag listar några av dem här:
1. Backupklienten låser/hänger sig.
2. Backupklienten startar inte överhuvud taget.
3. Krypteringen med egen nyckel (256-bitars AES) fungerar inte (mycket alvarligt).
4. Resursrelaterade problem kopplade till körningen av backupklienten.
5. Backupklienten fungerar inte i trådlöst nätverk.
6. Problem vid komprimering av data.
7. Återkommande kommunikationsavbrott mellan klient och server.
8. Tidsmässigt felaktig återrapportering via det administrativa gränssnittet (tillbaka till oss som root administratör).
Detta är några av de fel som vi återkommande har stött på när vi har installerat och kört igång Mozy hos våra kunder.
Det finns två saker som stör mig här.
1. Dessa fel skall inte behöva uppkomma i ett system som är så pass hårt beprövat
Att det finns fel och brister i mjukvaror är inget nytt och det är med all säkerhet någonting vi alltid kommer att få leva med. Men när man lanserar ett säkerhetsrelaterat system anser jag att produkttestandet måste vara ännu hårdare och genomlysningen måste vara extra rigorös. Det mesta vi i våra yrkesroller gör bygger på förtroende och just säkerhetsrelaterade tjänster och produkter bygger på extra mycket förtroende.
Om Word kraschar från gång till annan kan jag leva med men jag har svårt att acceptera att backupsystemet, antivirussystemet, den personliga brandväggen eller andra säkerhetsrelaterade produkter inte håller måttet.
2. ”Back-End” support
Just supporten hos Mozy tänker jag beskriva lite mer ingående. Mozy påstår sig leverera snabb support åt sina återförsäljare (resellers), de pratar om 24/7/365 med maximalt 24-timmars väntetid på svar/lösning. Detta är ren och …… lögn. Vid varje tillfälle vi har åberopat support har vi haft en ledtid på minst en (1) vecka???!!!
Först hamnar man hos en level 1 technician, detta är en individ som ber dig skicka den loggfil systemet genererar tillbaks till supportavdelningen samt starta om backupklienten alternativt datorn.
”Nu är problemet lille supportvän att man startar inte bara om en server ute hos en kund hur som helst, framförallt inte under vissa tider på dygnet”.
När denna parodi har upprepats några gånger går man som näringsidkare i taket och ”river i” åt sin käre account manager att man vill prata med någon som har rätt kompetens. Denna ser då till att du får tillgång till en level 2 technician.
Bra tänker man och inleder en dialog med denne via mail om gällande problematik. Då visar det sig att just denne level 2 technician har om möjligt ännu längre svarstider, han vill att man hämtar ännu mer data från systemet (vilket innebär att det blir ytterligare längre svarstider) och han är allmänt insnöad på tekniska termer och rent utsagt trams.
”Jag vill ha en lösning för min kund börjar tappa förtroendet för mig och mitt företag, ditt nöt!”
I Sverige har vi en lång tradition av tålmodigt väntande, vi är nog världens mest förstående folk. Men inte ens världens mest tålmodiga och förstående slutkund i Svea rike köper ständigt återkommande tekniska problem utan lösning.
Detta kära Mozy innebär skadat renommé för mig och mitt företag och således också skadat renommé för er. När detta påtalas för kontaktpersonen (account manager) lovas bot och bättring som naturligtvis aldrig sker.
Det här är otroligt simpel logik. Jag bedriver en verksamhet där jag säljer en produkt åt ett annat företag. Om det företaget visar sig ha en dålig produkt, dålig support/stöd och dålig affärsmässig förståelse som direkt påverkar mina kunder och mig måste jag avsluta samarbetet.
Sagt och gjort, samarbetet med Mozy (EMC) är nu avslutat. Men vi gav oss inte där och eftersom vi tror på online backup som produkt/tjänst gav vi oss i kast med att finna en annan leverantör.
Valet föll nu på SOS från Australien. SOS är inte lika stora som Mozy men de har fått en del beröm för sitt system av framförallt internationell IT press. Detta såg vi som någonting positivt och vi inledde en dialog med företaget tillsammans med dess amerikanska marknadsavdelning. På klassiskt amerikansk manér började man smutskasta Mozy när vi berättade att vi har gjort en ”resa” under ett års tid inom denna bransch.
Vi ber dem då snällt att fokusera på sin produkt och naturligtvis är den otroligt bra och deras infrastruktur är ”topp of the line”.
Vi gör här en lång historia lite kortare, eftersom vi var brända av tidigare erfarenheter ber vi SOS att få tillgång till klientmjukvara och det administrativa gränssnittet för att kunna göra en utvärdering. Vi får tillgång till klientmjukvaran (och vi skulle ha fått tillgång till det administrativa gränssnittet men det hanns aldrig med) bara för att omedelbart kunna konstatera olika fel och brister.
Den schemalagda backupen startar inte. När den väl startar kraschar den efter halvtid och stänger ner sig själv. Webbgränssnittet går inte att komma åt under långa stunder (dagtid) eftersom det är hårt belastat vilket leder till att vi inte kan återläsa filer den vägen. När vi väl kommer åt webbgränssnittet fungerar i alla fall inte återläsningen (ett diffust felmeddelande anges i gränssnittet som återigen är kopplat till trafikbelastning).
Vi installerade mjukvaran på tre olika datorer (en Vista maskin och två XPPro burkar) med samma resultat, det vill säga bland annat krascher och frysningar. Våra datorer är konfigurerade helt utan konstigheter med Office paket, antivirus från Nod32, WinZip, Acrobate och lite annat ”kontorsnyttigt”. Vi är inte smittade av ohyra och datorerna är nya med god prestanda. Vi har även dedikerad fiber med bra hastighet och ingen speciell brandväggskonfiguration skulle genomföras.
Vi valde små datamängder (ca: 500MB) och vi testade både wlan och trådbundet nätverk. Hela tiden med ovan beskrivet resultat.
Den slutsats vi gjorde var att vi inte vill stå med svansen mellan benen inför våra kunder ännu en gång.
”Dessa problem kan vi försäkra er att vi kan lösa” sa man från SOS.
Snälla SOS, dessa problem skall inte ens behöva uppkomma om man har ett fungerande system som klarar av att göra det som er marknadsavdelning lovar!
Slutsats
Tror vi på online backup? Ja det gör vi, som grundidé är det perfekt med automatisk separering av data till en plats avskild från den lokala IT miljön. System med en välbyggd infrastruktur innebär också att man arbetar med hårdvara som de flesta företag aldrig har råd med. Detta gör att man som liten kund till förhållandevis små investeringar kan få tillgång till backup i ”storföretags” klass.
Men så här långt tror vi inte på de mjukvarulösningar vi har sett. Onlinebackupmarknaden har eskalerat under de senaste två åren och kan nu liknas vid många andra ”svamp branscher” (så som antivirusbranschen). Rådande politik verkar vara att ”Skynda ut med skiten på marknaden så att vi kan ta del av så mycket av kakan som möjligt”. Detta slår naturligtvis tillbaks på hela branschen och jag tror att en självsanering är nödvändig där de sämsta systemen försvinner för gott och lämnar plats för de seriösa aktörerna.
En annan fråga man kan ställa sig är hur logiskt det är att hantera t.ex. 200GB från en server på en adsl lina på låt säga 2 eller 8Mbit/s (vilket inte är helt ovanligt förekommande bland mindre företag).
Vad händer vid ett scenario där en lokal hårddisk kraschar om datacentret återfinns i USA och det inte finns möjlighet att ”skicka en disk på dagen”? Ofta behöver man bara återskapa enstaka filer på några kb och då är det inga problem men om vi pratar 200GB data är det inte lika roligt längre?
En rekommendation till er som läser detta och funderar på att skaffa online backup är kanske att satsa på ett företag med serverpark inom landets gränser där man har en strategi för snabb och säker leverans av stora datamängder på exempelvis diskar. Vad vet jag!
/Tomas
Funderingar kring IT säkerhet 