Peter Rietvelddeelt harde waarheid over soevereiniteit
Europese organisaties bevinden zich in een kritieke periode van strategische verlamming. De vanzelfsprekendheid van Amerikaanse Big Tech-cloudproviders, ooit beschouwd als de enige, superieure weg voorwaarts, is geëindigd. Nu geopolitieke spanningen escaleren, juridische onzekerheid hoogtij viert en de dreiging van een handelsoorlog reëel is, worden cruciale beslissingen over IT-infrastructuur uitgesteld. De markt is gestrand in de ‘wolk van onzekerheid’.
In dit afsluitende, essentiële interview confronteren we Rietveld met de harde realiteit van zijn eigen bevindingen. Hij schuwt het niet om de discussie te verheffen van een technisch debat naar een bestuurlijk en geopolitiek vraagstuk. We duiken in zijn ongemakkelijke conclusies: over de rol van figuren als Trump en Musk, de bestuurlijke zwakte in Europa, de verborgen blinde vlek van ongestructureerde data, en waarom sommige kleine organisaties de cloud mogelijk helemaal moeten mijden.
Het is een urgente oproep tot leiderschap, samengevat in zijn stelling: “Met de nieuwe Amerikaanse president en zijn koers ten aanzien van de EU gaan we van bondgenoot naar vazal, of tegenstander.”
Primaire frontlinie in handelsoorlog
Rietveld is kristalhelder over het kantelpunt dat hij in zijn paper duidt op januari 2025. De discussie gaat niet langer over vriendschap, maar over macht. “Met de nieuwe Amerikaanse president en zijn koers ten aanzien van de EU gaan we van bondgenoot naar vazal, of tegenstander,” stelt Rietveld. Hij benadrukt dat het probleem veel dieper zit dan politiek alleen; het is verweven met de belangen van Big Tech. Dit is volgens hem een primaire frontlinie in een handelsoorlog: “Trump, Musk en de rest van Big Tech.”
Bedenk dat Windows 11-updates per definitie een killswitch vormen
Voor organisaties zijn de consequenties direct. Rietveld waarschuwt voor de ingebouwde risico’s in populaire software. “Bedenk dat Windows 11-updates per definitie een killswitch vormen. Nu met de default BitLocker als killswitch worden niet alleen de systemen geblokkeerd maar ook alle data ontoegankelijk gemaakt.”
Zwakke bestuurlijke ruggengraat
Als board member van de DCWC, kijkt Rietveld primair door een geopolitieke lens. Hij nuanceert de discussie over cyberrisico en legt de verantwoordelijkheid elders. “Dit is bovenal een geopolitieke dreiging. Het cyberrisico kunnen we wellicht nog aan, onze zwakte is bovenal de bestuurlijke ruggengraat. Of het gemis daaraan.”
De overtuiging dat we niet zonder de VS kunnen, is volgens Rietveld onterecht en een kwestie van gebrek aan moed, niet aan capaciteit. “We kunnen zonder de VS en als het moet zelfs tegen ze: we hebben meer mensen en beter opgeleid zijn we ook. De VS heeft 347 miljoen inwoners, de EU ruim 100 miljoen meer,” aldus Rietveld.
Inspanningsverplichting
Peter Rietveld
In de inleiding van ons dossier ‘Vast in de cloud’ stelden we al de urgentie: de enige foute keuze is ‘niets doen’. Rietveld verduidelijkt dat dit voortkomt uit een gebrek aan bestuurskracht. “De wet is vooral een inspanningsverplichting, met de gedachte dat als je er zelf over nadenkt dat je dan voor jezelf de juiste keuzes maakt.”
Voor grote, kundige organisaties is dit werkbaar, maar het geldt niet voor iedereen. “Onderwijs, gemeenten, MKB en dergelijke hebben noch de expertise, noch het budget om zelf te kiezen. Die maken vaak dat kleine beetje budgetruimte op aan vergaderen over goede bedoelingen. Da’s jammer.”
De blinde vlek: het 90%-probleem
Het meest verontrustende probleem, dat we behandelen in het vierde artikel over het 90%-probleem, is dat van de ongestructureerde data. Rietveld erkent dit als de grootste uitdaging voor informatiebeveiliging. “Het is dan ook een idiote naam die we ons aangemeten hebben. We beveiligen systemen waarvan we vermoeden dat er informatie op staat. Of dat nu in de cloud is, in een fileshare, een lokale of cloud print cache of in de download map van een thuiswerker.”
Als het verbieden van privégebruik geen technische maatregel is, wat dan wel? De oplossing is een megaklus, maar de enige werkende route die Rietveld ziet. “Dit is via zaakgericht werken, waarbij losse bestanden labels krijgen die ze linken aan dossiers. Dit maakt de weg vrij voor meer geavanceerde beveiligingsmaatregelen.”
Over de mythes rond encryptie, die we uitdiepten in het derde artikel met drie mythbusters, is Rietveld kort en krachtig. “Leveranciers van crypto wekken de indruk dat als jij de sleutel hebt en de cloud provider niet, dat je dan een werkend systeem hebt. Maar dan begint pas de ‘PKI-hel’ van de jaren 2000 opnieuw: hoe houd je die sleutels in eigen beheer zonder dat ze gaan slingeren?”
De praktische weg: bikkelen
De juridische onzekerheid rond de Cloud Act en de Schrems-arresten blijft. Rietveld ziet hier slechts één manier om te navigeren. “Het is en blijft bikkelen. Het eerste gebod is op de hoogte zijn, het tweede een paper trail aanleggen daarvan.”
Dit vereist bestuurlijke discipline: een halfjaarlijkse update aan het C-level om ze bij te praten over de laatste ontwikkelingen. “Het punt nadert dat het kleinbedrijf dus dingen als cloud zal moeten laten omdat ze niet in staat zijn alle consequenties te dragen. Dan kom je in het spel van fuseren en/of uitbesteden. Bikkelen dus.”
Agility, kostprijs en het monopolie
Het sleutelbegrip voor de weg vooruit is ‘hosting agility’ (zie ook het tweede artikel met de vijf wegen vooruit). De eerste stap is volgens Rietveld omdenken. “Alles begint met omdenken. Een kostprijs is niet alleen out-of-pocket money, het is ook exit kosten, uitwijkkosten, etc. De CISO moet bij uitstek bedrijfsmatig denken en argumenteren.”
De CISO moet het over bestuurlijke aansprakelijkheid hebben
Hij adviseert de discussie aan te gaan met een duidelijke stelling. “Stel gewoon: cloud = monopolie.” Dit monopolie is ook zichtbaar in de prijzen, waarbij ‘price hikes’ worden gecamoufleerd. “Sinds Office 97 is er in Word, Excel, Outlook of PowerPoint bijna niks veranderd, behalve in features die vrijwel niemand gebruikt. Maar van een eenmalige honderd gulden zitten we nu op honderd tot 120 euro per jaar. Zet dat maar in een grafiek…”
Om de emotie en ‘cultuuroorlog’ rond het onderwerp te doorbreken, moet de CISO het over bestuurlijke aansprakelijkheid hebben en, humoristisch bedoeld, beginnen met een YouTube-video over de gevaren van oligopolie.
Kies een andere baas
Wat is dan de uiteindelijke kernboodschap uit de paper? Rietveld vat het krachtig samen met een metafoor. “Olifanten doen het met olifanten. Als je leverancier de baas is, dan moet je een ander kiezen. Too big to fail verstoort marktwerking, het wordt dan niet meer beter maar wel duurder. Monopolies maken de markt, de economie en dus op enig moment ook jouw bedrijf kapot.”
Vast in de cloud (#5): “Van bondgenoot naar vazal”
Peter Rietveld deelt harde waarheid over soevereiniteit
Europese organisaties bevinden zich in een kritieke periode van strategische verlamming. De vanzelfsprekendheid van Amerikaanse Big Tech-cloudproviders, ooit beschouwd als de enige, superieure weg voorwaarts, is geëindigd. Nu geopolitieke spanningen escaleren, juridische onzekerheid hoogtij viert en de dreiging van een handelsoorlog reëel is, worden cruciale beslissingen over IT-infrastructuur uitgesteld. De markt is gestrand in de ‘wolk van onzekerheid’.
Peter Rietveld, board member bij de Dutch Cyber Warfare Community (DCWC), heeft met zijn doortimmerde paper ‘Made in Europe – the Road to Sovereignty’ een genadeloze analyse van deze crisis geleverd. De documentenreeks, die wij bundelden in het dossier ‘Vast in de cloud’ (zie ook onze inleiding over de soevereine impasse, de vijf wegen vooruit, de drie mythbusters en het 90%-probleem), dringt aan op actie.
Ongemakkelijke conclusies
In dit afsluitende, essentiële interview confronteren we Rietveld met de harde realiteit van zijn eigen bevindingen. Hij schuwt het niet om de discussie te verheffen van een technisch debat naar een bestuurlijk en geopolitiek vraagstuk. We duiken in zijn ongemakkelijke conclusies: over de rol van figuren als Trump en Musk, de bestuurlijke zwakte in Europa, de verborgen blinde vlek van ongestructureerde data, en waarom sommige kleine organisaties de cloud mogelijk helemaal moeten mijden.
Het is een urgente oproep tot leiderschap, samengevat in zijn stelling: “Met de nieuwe Amerikaanse president en zijn koers ten aanzien van de EU gaan we van bondgenoot naar vazal, of tegenstander.”
Primaire frontlinie in handelsoorlog
Rietveld is kristalhelder over het kantelpunt dat hij in zijn paper duidt op januari 2025. De discussie gaat niet langer over vriendschap, maar over macht. “Met de nieuwe Amerikaanse president en zijn koers ten aanzien van de EU gaan we van bondgenoot naar vazal, of tegenstander,” stelt Rietveld. Hij benadrukt dat het probleem veel dieper zit dan politiek alleen; het is verweven met de belangen van Big Tech. Dit is volgens hem een primaire frontlinie in een handelsoorlog: “Trump, Musk en de rest van Big Tech.”
Voor organisaties zijn de consequenties direct. Rietveld waarschuwt voor de ingebouwde risico’s in populaire software. “Bedenk dat Windows 11-updates per definitie een killswitch vormen. Nu met de default BitLocker als killswitch worden niet alleen de systemen geblokkeerd maar ook alle data ontoegankelijk gemaakt.”
Zwakke bestuurlijke ruggengraat
Als board member van de DCWC, kijkt Rietveld primair door een geopolitieke lens. Hij nuanceert de discussie over cyberrisico en legt de verantwoordelijkheid elders. “Dit is bovenal een geopolitieke dreiging. Het cyberrisico kunnen we wellicht nog aan, onze zwakte is bovenal de bestuurlijke ruggengraat. Of het gemis daaraan.”
De overtuiging dat we niet zonder de VS kunnen, is volgens Rietveld onterecht en een kwestie van gebrek aan moed, niet aan capaciteit. “We kunnen zonder de VS en als het moet zelfs tegen ze: we hebben meer mensen en beter opgeleid zijn we ook. De VS heeft 347 miljoen inwoners, de EU ruim 100 miljoen meer,” aldus Rietveld.
Inspanningsverplichting
In de inleiding van ons dossier ‘Vast in de cloud’ stelden we al de urgentie: de enige foute keuze is ‘niets doen’. Rietveld verduidelijkt dat dit voortkomt uit een gebrek aan bestuurskracht. “De wet is vooral een inspanningsverplichting, met de gedachte dat als je er zelf over nadenkt dat je dan voor jezelf de juiste keuzes maakt.”
Voor grote, kundige organisaties is dit werkbaar, maar het geldt niet voor iedereen. “Onderwijs, gemeenten, MKB en dergelijke hebben noch de expertise, noch het budget om zelf te kiezen. Die maken vaak dat kleine beetje budgetruimte op aan vergaderen over goede bedoelingen. Da’s jammer.”
De blinde vlek: het 90%-probleem
Het meest verontrustende probleem, dat we behandelen in het vierde artikel over het 90%-probleem, is dat van de ongestructureerde data. Rietveld erkent dit als de grootste uitdaging voor informatiebeveiliging. “Het is dan ook een idiote naam die we ons aangemeten hebben. We beveiligen systemen waarvan we vermoeden dat er informatie op staat. Of dat nu in de cloud is, in een fileshare, een lokale of cloud print cache of in de download map van een thuiswerker.”
Als het verbieden van privégebruik geen technische maatregel is, wat dan wel? De oplossing is een megaklus, maar de enige werkende route die Rietveld ziet. “Dit is via zaakgericht werken, waarbij losse bestanden labels krijgen die ze linken aan dossiers. Dit maakt de weg vrij voor meer geavanceerde beveiligingsmaatregelen.”
Over de mythes rond encryptie, die we uitdiepten in het derde artikel met drie mythbusters, is Rietveld kort en krachtig. “Leveranciers van crypto wekken de indruk dat als jij de sleutel hebt en de cloud provider niet, dat je dan een werkend systeem hebt. Maar dan begint pas de ‘PKI-hel’ van de jaren 2000 opnieuw: hoe houd je die sleutels in eigen beheer zonder dat ze gaan slingeren?”
De praktische weg: bikkelen
De juridische onzekerheid rond de Cloud Act en de Schrems-arresten blijft. Rietveld ziet hier slechts één manier om te navigeren. “Het is en blijft bikkelen. Het eerste gebod is op de hoogte zijn, het tweede een paper trail aanleggen daarvan.”
Dit vereist bestuurlijke discipline: een halfjaarlijkse update aan het C-level om ze bij te praten over de laatste ontwikkelingen. “Het punt nadert dat het kleinbedrijf dus dingen als cloud zal moeten laten omdat ze niet in staat zijn alle consequenties te dragen. Dan kom je in het spel van fuseren en/of uitbesteden. Bikkelen dus.”
Agility, kostprijs en het monopolie
Het sleutelbegrip voor de weg vooruit is ‘hosting agility’ (zie ook het tweede artikel met de vijf wegen vooruit). De eerste stap is volgens Rietveld omdenken. “Alles begint met omdenken. Een kostprijs is niet alleen out-of-pocket money, het is ook exit kosten, uitwijkkosten, etc. De CISO moet bij uitstek bedrijfsmatig denken en argumenteren.”
Hij adviseert de discussie aan te gaan met een duidelijke stelling. “Stel gewoon: cloud = monopolie.” Dit monopolie is ook zichtbaar in de prijzen, waarbij ‘price hikes’ worden gecamoufleerd. “Sinds Office 97 is er in Word, Excel, Outlook of PowerPoint bijna niks veranderd, behalve in features die vrijwel niemand gebruikt. Maar van een eenmalige honderd gulden zitten we nu op honderd tot 120 euro per jaar. Zet dat maar in een grafiek…”
Om de emotie en ‘cultuuroorlog’ rond het onderwerp te doorbreken, moet de CISO het over bestuurlijke aansprakelijkheid hebben en, humoristisch bedoeld, beginnen met een YouTube-video over de gevaren van oligopolie.
Kies een andere baas
Wat is dan de uiteindelijke kernboodschap uit de paper? Rietveld vat het krachtig samen met een metafoor. “Olifanten doen het met olifanten. Als je leverancier de baas is, dan moet je een ander kiezen. Too big to fail verstoort marktwerking, het wordt dan niet meer beter maar wel duurder. Monopolies maken de markt, de economie en dus op enig moment ook jouw bedrijf kapot.”
Serie ‘Vast in de cloud’
Dit is deel ➎ in een serie van vijf artikelen. Eerder verscheen deze delen:
➊ De weg uit de soevereine impasse
➋ Dit zijn de 5 wegen vooruit
➌ 3 mythes die cloudstrategie verlammen
➍ 90% van data wordt vergeten