Als je een beetje de onderwerpen in de media volgt, dan zal je gezien hebben dat de discussie rond Digital Sovereignty redelijk “Losgaat”. Ook op LikedIn is Digital Sovereignty een onderwerp dat veelvuldig voorbijkomt. Veel van mijn vakbroeders zijn hiermee bezig – logish – want klanten zijn ermee bezig. Daar vinden deze discussies plaats en als gevolg daarvan worden we als IT consultancy bedrijf daarin betrokken. Veel consultancy bedrijven hebben ook al een Digital Sovereignty aanbod, net zoals mijn huidige werkgever. Maar ik vraag me serieus af, wie gaat er ook echt wat doen? Welk bedrijf gaat daadwerkelijk een punt zetten achter de afhankelijkheid van Amerikaanse tech? Maar nog belangrijker, welk aspect wordt vermeden?
Oke, waar hebben we het over?
Eerder schreef ik al een blog tekst over Digital Sovereignty. Hierin onderzocht ik wat goede definities zijn om te hanteren. De Europese Commissie heeft daar een prima startpunt voor. Dit “Cloud Sovereignty Framework” is zeer bruikbaar. De Europese comissie toont hier leiderschap naar mijn idee. De kern is dat Digital Sovereignty veel meer is dan alleen Data Sovereignty. Zoals Gartner aangeeft is er sprake van
- Technologische Sovereignty,
- Data Sovereignty,
- Operationele Sovereignty
In de meeste organisaties wordt overigens alleen gesproken over Data Sovereignty. Dat bleek tijdens twee rondetafelgesprekken die ik mocht leiden. Daarmee wordt voorbij gegaan aan het moeilijkste deel, namelijk de afhankelijkheid van US tech, zowel hardware als software. Het onderwerp Data Sovereignty rechtvaardigt een eigen blog tekst denk ik.
Wat me overigens ook verbaast is dat dit blijkbaar gezien wordt als drie ongerelateerde onderwerpen. Volgens mij kan je geen Data Sovereignty behalen als je technologisch afhankelijk bent. Even zo goed is Operation Sovereignty een illusie als je Data Sovereignty niet op orde hebt. Ik vermoed steeds meer dat alles draait om de Technological Sovereignty, de afhankelijkheid van US tech. En ja, dat gaat zowel over hardware als software.
Wat leerde ik tijdens de rondetafelgesprekken? Een telecom provider uit een noordelijk land gaf aan dat ze bij een invasie ook hun data terug uit een cloud willen kunnen krijgen. Dit aspect had ik eerder niet overwogen. De vraag die onmiddellijk bij mij op kwam was, en dan heb je je data terug hoe weet je dan dat het uit de cloud is verwijderd? Kan je dat eigenlijk wel bepalen?
Risc mitigation
Vanuit een architectuur standpunt bekeken gaat deze gehele discussie over risico mitigatie. Dat deden we altijd al, maar er is een geopolitiek risico bij gekomen. Namelijk, de afhankelijkheid van Amerikaanse tech. Nederland is volledig afhankelijk van Microsoft Office bijvoorbeeld. Ik kan geen opdracht doen zonder hiermee in aanraking te komen. Probeer het als professional maar eens te vermijden, succes. Overigens de alternatieven zijn ook allemaal uit de US afkomstig. Zelf gebruik ik Apple hardware, Google, Microsoft en AWS. Deze risico spreiding heeft dan ook een zwak punt, het is allemaal US tech.
Uitzondering hierop is mijn oude Macbook met Ubuntu. Welliswaar is de hardware op Amerikaanse tech gebaseerd, maar de software niet. Ook mijn Proton-account is redelijk vrij van Amerikaanse tech. Maar van mijn werkgever mag ik het allemaal niet gebruiken. Het is niet veilig en niet managed. Dit in tegenstelling tot mijn Windows laptop die volledig dichtgetimmerd is. Deze is wel als veilig beschouwd, ookal zijn de keys van Bitlocker inmiddels aan de FBI overhandigd.
Maar zoals gezegd, risicomitigatie dus. Vanuit architectuurstandpunt bezien vraag ik me dan af, welk geopolitiek risico wil je precies mitigeren? We zijn altijd wel ergens afhankelijk, maar ben je vrij om de afhakelijkheid te kiezen? Of accepteer je een afhankelijkheid omdat je niet door de pijn wil om daarvan af te raken? Ik heb het wel eens vergeleken met drugs, je moet cold turkey gaan om ervan af te komen. Maar dan heb je wel je vrijheid herwonnen.
Hardware en software afhankelijkheden
Mij lijkt het erg lastig om alternatieven voor US based hardware te vinden. Ze zijn er wel, o.a. mijn werkgever komt met eigen computer chips. De afhankelijkheid van US based hardware heeft daarnaast overigens ook een pikant detail. De machines om die chips te fabriceren komt uit Nederland. Anyways, ik zie dit toch niet zo snel veranderen.
Op het software vlak is meer eer te behalen. Er zijn veel Open Source alternatieven te vinden voor US based software. Ik ga geen lijst van alternatieven maken, die is er al. De alternatieven zijn misschien niet zo mooi en vereisen gewenning. Functioneel is het wel. Je blijft hiermee baas over de functionaliteit en de beschikbaarheid daarvan. Operational Sovereignty dus. En met Open Source software komen ook open standaarden. Deze open standaarden maken dat je baas blijft over eigen data. Een belangrijk deel van Data Sovereignty dus. Naar mijn idee kan je met Open Source software twee vliegen in een klap slaan.
Wel is er voldoende kennis en ervaring nodig om Open Source software succesvol te implementeren. Je wordt niet bij de hand genomen, er moet veel zelf uitgezocht worden. Het raakt hiermee aan de capabilities van de IT organisatie. Ik schreef er eerder over, maar ook dit onderwerp verdient een eigen blog tekst.
En hier hebben we het dus niet over
Opnieuw zien we dus nut van Open Source software. En daar wordt niet, of nauwelijks over gesproken. Opnieuw wel bij de Europese Commissie. Zij wil de commerciele Open Source software stimuleren. Verschillende organisaties werken aan alternatieven voor hun US based software. Frankrijk kiest bijvoorbeeld voor een alternatief voor Zoom. En opnieuw gaat het dus niet om kosten. Bedrijven zijn prima bereid te betalen voor software. Het gaat om de vrijheid om zelf keuzes te kunnen maken.
Voor mij is het een “Trip down memory lane”. Ik was destijds betrokken bij het Antonius Open project. Hier probeerde het St. Antonius ziekenhuis in Utrecht / Nieuwegein Open Source software te introduceren in haar IT landschap. We hebben veel weerstand ondervonden, maar technisch kon het allemaal wel. Inmiddels zijn we jaren verder en misschien is onze motivatie nu sterker?