In het complexe debat over data soevereiniteit hangt een mist van halve waarheden, geruststellingen van leveranciers en technische ‘oplossingen’ die te mooi klinken om waar te zijn. Het is een ruis die veel organisaties dankbaar aangrijpen om de kern van het probleem te vermijden: het nemen van een moeilijke, strategische beslissing.
De recente paper ‘Made in Europe – the Road to Sovereignty’ van Peter Rietveld, board member bij de Dutch Cyber Warfare Community, snijdt genadeloos door deze ruis heen. Het stelt dat de enige foute keuze ‘niets doen’ is. En ‘niets doen’ vermomt zich vaak als het geloof in een van de volgende drie mythes. Het is tijd om deze comfortabele illusies te doorbreken.
Mythe 1: “Onze data is veilig, want we gebruiken encryptie.”
Dit is het meest gehoorde en meest gevaarlijke misverstand. De redenering klinkt logisch: als we onze data in een Amerikaanse cloud versleutelen, kan de provider (en dus de Amerikaanse overheid) er niet bij. Probleem opgelost, toch?
Vertrouwen op standaardencryptie is het slot op de deur laten zitten, terwijl de beheerder een loper heeft
De realiteit: Nee. Rietveld legt pijnlijk helder uit waarom dit niet klopt. De encryptie die standaard wordt aangeboden (Data ‘at Rest’ en ‘in Transit’) beschermt uw data alleen als de server uit staat of als de data wordt onderschept. Het échte probleem is ‘Data in Use’.
Om uw applicaties te laten werken, moet de data op de server ontsleuteld worden. Op dat moment heeft de cloud provider, of een overheidsinstantie die de provider daartoe dwingt, volledige toegang. Rietveld stelt: “Encryptie is een krachtig hulpmiddel. Maar encryptie is geen toverstaf die uw cloud soeverein maakt.” Vertrouwen op standaardencryptie is het slot op de deur laten zitten, terwijl de beheerder een loper heeft.
Dit is het antwoord van degenen die Mythe 1 al doorhadden. “We gebruiken niet zomaar encryptie, we gebruiken Microsoft’s double key encryption (DKE). Daarbij houden we één sleutel zelf.” Dit klinkt als de perfecte technische oplossing.
Een oplossing die zoveel frictie oplevert dat het geen levensvatbare strategie is
De realiteit: Het is een niche-oplossing die in de praktijk amper werkt. Rietveld merkt op dat deze technologie (die al stamt uit 2003) “extreem gecompliceerd” is om te gebruiken .
De adoptie ervan is “dicht bij nul”. Waarom? Omdat de beperkingen enorm zijn. Het werkt in feite alleen voor Office-documenten (Word, Excel, PowerPoint). Sterker nog, Rietveld citeert de beperking dat u “de versleutelde documenten niet online kunt bekijken in Office Web Apps”. Het is een oplossing die zoveel frictie oplevert dat het geen levensvatbare strategie is voor een hele organisatie.
Mythe 3: “We hebben geen keus, Amerikaanse tech is superieur.”
Dit is het excuus van de defaitist. Het is het idee dat Europa simpelweg de boot heeft gemist en dat we, om competitief te blijven, wel moeten kiezen voor de hyperscalers.
Het ‘superieure’ ecosysteem is vaak een zorgvuldig opgebouwde confusopoly
De realiteit: Dit argument is op zijn best een halve waarheid. Ja, Amerikaanse providers hebben een enorme marktdominantie. Maar waar zit die ‘superioriteit’ precies in?
Rietveld stelt dat de functies die het meest worden genoemd als ‘ontbrekend’ in EU-clouds, “de typische samenwerkingsfuncties in Office365, dat wil zeggen Teams en Outlook” zijn. Dit heeft meer te maken met het softwaremonopolie van Microsoft dan met een fundamentele technologische achterstand van de EU.
Veel van de kerntechnologieën die de moderne cloud aandrijven, denk aan containertechnologie, zijn “grotendeels open source” . Het ‘superieure’ ecosysteem is vaak een zorgvuldig opgebouwde confusopoly: een markt die gedijt op het onbegrip van de klant over wat hij koopt en tegen welke prijs.
Conclusie: stop met wachten op een toverstaf
Deze drie mythes hebben één ding gemeen: ze bieden een excuus om de échte, strategische discussie uit te stellen. De paper van Rietveld dwingt ons om te stoppen met zoeken naar een magische ‘fix’ en in plaats daarvan de harde realiteit onder ogen te zien. De enige weg vooruit is het maken van een eigen, geïnformeerde beslissing, gebaseerd op uw specifieke risicobereidheid en de noodzaak voor ‘hosting agility’.
Vast in de cloud (#3): drie mythes die verlammen
In het complexe debat over data soevereiniteit hangt een mist van halve waarheden, geruststellingen van leveranciers en technische ‘oplossingen’ die te mooi klinken om waar te zijn. Het is een ruis die veel organisaties dankbaar aangrijpen om de kern van het probleem te vermijden: het nemen van een moeilijke, strategische beslissing.
De recente paper ‘Made in Europe – the Road to Sovereignty’ van Peter Rietveld, board member bij de Dutch Cyber Warfare Community, snijdt genadeloos door deze ruis heen. Het stelt dat de enige foute keuze ‘niets doen’ is. En ‘niets doen’ vermomt zich vaak als het geloof in een van de volgende drie mythes. Het is tijd om deze comfortabele illusies te doorbreken.
Mythe 1: “Onze data is veilig, want we gebruiken encryptie.”
Dit is het meest gehoorde en meest gevaarlijke misverstand. De redenering klinkt logisch: als we onze data in een Amerikaanse cloud versleutelen, kan de provider (en dus de Amerikaanse overheid) er niet bij. Probleem opgelost, toch?
De realiteit: Nee. Rietveld legt pijnlijk helder uit waarom dit niet klopt. De encryptie die standaard wordt aangeboden (Data ‘at Rest’ en ‘in Transit’) beschermt uw data alleen als de server uit staat of als de data wordt onderschept. Het échte probleem is ‘Data in Use’.
Om uw applicaties te laten werken, moet de data op de server ontsleuteld worden. Op dat moment heeft de cloud provider, of een overheidsinstantie die de provider daartoe dwingt, volledige toegang. Rietveld stelt: “Encryptie is een krachtig hulpmiddel. Maar encryptie is geen toverstaf die uw cloud soeverein maakt.” Vertrouwen op standaardencryptie is het slot op de deur laten zitten, terwijl de beheerder een loper heeft.
Mythe 2: “We gebruiken geavanceerde double key encryption (DKE).”
Dit is het antwoord van degenen die Mythe 1 al doorhadden. “We gebruiken niet zomaar encryptie, we gebruiken Microsoft’s double key encryption (DKE). Daarbij houden we één sleutel zelf.” Dit klinkt als de perfecte technische oplossing.
De realiteit: Het is een niche-oplossing die in de praktijk amper werkt. Rietveld merkt op dat deze technologie (die al stamt uit 2003) “extreem gecompliceerd” is om te gebruiken .
De adoptie ervan is “dicht bij nul”. Waarom? Omdat de beperkingen enorm zijn. Het werkt in feite alleen voor Office-documenten (Word, Excel, PowerPoint). Sterker nog, Rietveld citeert de beperking dat u “de versleutelde documenten niet online kunt bekijken in Office Web Apps”. Het is een oplossing die zoveel frictie oplevert dat het geen levensvatbare strategie is voor een hele organisatie.
Mythe 3: “We hebben geen keus, Amerikaanse tech is superieur.”
Dit is het excuus van de defaitist. Het is het idee dat Europa simpelweg de boot heeft gemist en dat we, om competitief te blijven, wel moeten kiezen voor de hyperscalers.
De realiteit: Dit argument is op zijn best een halve waarheid. Ja, Amerikaanse providers hebben een enorme marktdominantie. Maar waar zit die ‘superioriteit’ precies in?
Rietveld stelt dat de functies die het meest worden genoemd als ‘ontbrekend’ in EU-clouds, “de typische samenwerkingsfuncties in Office365, dat wil zeggen Teams en Outlook” zijn. Dit heeft meer te maken met het softwaremonopolie van Microsoft dan met een fundamentele technologische achterstand van de EU.
Veel van de kerntechnologieën die de moderne cloud aandrijven, denk aan containertechnologie, zijn “grotendeels open source” . Het ‘superieure’ ecosysteem is vaak een zorgvuldig opgebouwde confusopoly: een markt die gedijt op het onbegrip van de klant over wat hij koopt en tegen welke prijs.
Conclusie: stop met wachten op een toverstaf
Deze drie mythes hebben één ding gemeen: ze bieden een excuus om de échte, strategische discussie uit te stellen. De paper van Rietveld dwingt ons om te stoppen met zoeken naar een magische ‘fix’ en in plaats daarvan de harde realiteit onder ogen te zien. De enige weg vooruit is het maken van een eigen, geïnformeerde beslissing, gebaseerd op uw specifieke risicobereidheid en de noodzaak voor ‘hosting agility’.
Serie ‘Vast in de cloud’
Dit is deel ➌ in een serie van vijf artikelen. Dit zijn de overige delen:
➊ De weg uit de soevereine impasse
➋ Dit zijn de 5 wegen vooruit
➍ 90% van data wordt vergeten
➎ Expert-interview met Peter Rietveld