Bijeenkomst Cloud en Digitale Open Strategische Autonomie
Op 27 maart was er een mooi gesprek over de Nederlandse en Europese afhankelijkheid van “de cloud”. Het gesprek vond plaats op het ministerie van Economische Zaken en Klimaat, en deelnemers waren onder andere minister Micky Adriaansens en staatssecretaris van digitalisering Alexandra van Huffelen. Het onderwerp wordt dus (terecht) serieus genomen.
Dit artikel is onderdeel van een grotendeels Engelstalige reeks over Europese innovatie en digitale afhankelijkheden.
De bijeenkomst werd gehouden onder Chatham House Rule, wat inhoudt dat we niet gaan verklappen wie precies wat heeft gezegd. Op deze pagina vat ik dingen samen die mij zijn opgevallen, waarbij ik benadruk dat dit dus geen set conclusies uit de bijeenkomst is. Er is meer besproken dan ik hier beschrijf, en ik voeg onderstaand ook dingen toe die in de bijeenkomst niet (ruim) genoemd zijn. Zie dit meer als mijn reflectie op het gesprek.
Ook BNR besteedde tijdens de bijeenkomst aandacht aan dit onderwerp (op minuut 37).
Foto credit: Ministerie van Economische Zaken en Klimaat
Het onderstaande kan vrij anti-Amerikaans overkomen, maar zo is het niet bedoeld. De producten van Amazon Web Services bijvoorbeeld zijn doorgaans uitstekend, en beter dan wat wij kunnen. Maar we waren bijeen omdat totale afhankelijkheid toch ook niet alles is. Of zoals Charles Michel, voorzitter van de Europese Raad, het ooit zei “Interdependence is natural, even desirable. Over-dependence, however, is not”.
De context is onze digitale autonomie - kunnen we in Nederland of Europa onze eigen digitale broek nog ophouden? De bijeenkomst was ingegeven door de stelling van SIDN, de beheerders van alle internetnamen die eindigen op “.NL”, dat niemand in Europa de diensten nog kon leveren die zij nodig hadden om de administratie van .NL te voeren. SIDN is voornemens om deze administratie onder te brengen in een Canadees-Nederlands consortium dat z’n techniek laat beheren door Amazon.
SIDN heeft maar liefst 1200 klanten, dus het zou nogal slecht nieuws zijn als niemand in Nederland of zelfs Europa zoiets nog zou kunnen.
Nou kunnen we dat natuurlijk wel, maar SIDN is representatief voor wat er gaande is, en vanuit hun perspectief hebben ze gelijk: wat zij zoeken, of exacter hoe ze het zoeken, is in Europa dun gezaaid. Maar je hoeft het niet zo te zoeken, terloops.
Er zijn drie of vier ‘hyperscaler’ clouds in de wereld met een enorm breed assortiment aan diensten. Ik beschreef dit eerder in mijn artikel Taking the Airbus to the IKEA Cloud, en ook Clingendael publiceerde erover in hun rapport Too late to act? Europe’s quest for cloud sovereignty.
De enorme Amazon menukaart
Je kan bij AWS een 5G telefooncentrale bestellen of een satellietgrondstation, bijvoorbeeld. Ze hebben er echt alles. In de bijeenkomst beschreven we dit als een snoepwinkel vol mooie dingen.
Het bedrijfsleven is druk bezig te standaardiseren op met name de hyperscaler clouds van Amazon Web Services (AWS) en Microsoft Azure. Ook Google timmert hard aan de weg.
Voorheen werden diensten gebouwd op software die draaide op servers. Dit is nu verschoven naar het bouwen van diensten op basis van de diensten van de grote hyperscalers, met wat minder eigen software.
Natuurlijk zitten onder die diensten weer software en servers verstopt, maar die zijn letterlijk en figuurlijk uit beeld verdwenen (je krijgt ze echt nooit te zien).
Maar, als je zo werkt kies je natuurlijk voor de aanbieder met de meeste diensten, waar je ontwikkelaars al aan gewend zijn. In de praktijk kom je dan altijd uit bij een van de drie Amerikaanse reuzen.
Daar zijn twee problemen mee - om te beginnen is het toch geen leuk idee als Amerikanen met alles mee kunnen kijken. Ondanks wat men vaak beweert is iedere bit op de server van een Amerikaans bedrijf bereikbaar voor de Amerikaanse overheid. Het maakt niet uit of die server in de EU staat of op de maan. Ik zeg dit niet zelf, dit zegt een juridisch advies dat werd opgesteld in opdracht van de Nederlandse overheid. Iedereen die iets anders beweert zit de boel moedwillig te belazeren of heeft zich door een hyperscaler in de luren laten leggen. Uit het taalgebruik van de Amerikaanse politiek blijkt ook dat de US overheid niet-Amerikanen heel graag afluistert.
Ten tweede, er is misschien voor veel zaken wel mee te leven dat de Amerikanen mogelijk meelezen. Zoals met alle email van de Tweede Kamer kennelijk. Maar ergens zullen we toch wel een keer een grens willen trekken, bijvoorbeeld bij de paspoortregistraties. Bijzondere ICT die we graag onder eigen beheer willen houden, zoals AIVD, de verkiezingen en “.NL” denk ik. Maar als werkelijk alles naar de hyperscalers verhuist, dan heeft straks niemand hier de vaardigheden meer om het in Nederland of zelfs maar Europa te doen. En zullen we uiteindelijk ook dingen uit moeten besteden waar van we dat echt niet willen.
Goed om te weten is dat Microsoft het steeds moeilijker maakt om hun software nog zelf in je eigen datacenter te draaien, het moet allemaal naar hun cloud. Ook voor de email maakt men dit steeds moeilijker en duurder.
Er komt dus een fascinerend moment binnenkort dat ook het kabinet en de ministeries moeten kiezen: ophouden met Exchange/Outlook, of al hun email aan Microsoft geven.
Op zo’n moment is het wel fijn als er nog een Nederlandse of Europese industrie over zou zijn.
De megascaler
Er wordt nu vaak blind gekozen voor een van de hyperscalers, want die hebben inderdaad alles in het assortiment. Europa heeft geen enkele hyperscaler, en de bestaande cloudbedrijven hier worden dus niet eens uitgenodigd voor veel aanbestedingen.
In de discussie op het ministerie hadden we het over het gat tussen wat we in Europa nog kunnen en wat je bij AWS kunt bestellen. Dat gat is groot, maar tegelijk moeten we het ook weer niet overdrijven. Niet ieder project heeft een AI taalmodel nodig of een satellietgrondstation.
Heel veel projecten zouden al goed geholpen zijn met een veel beperktere set met diensten. En die kan je dan wel nu al bestellen hier. Of omgekeerd, als er dingen op deze lijst elementaire diensten ontbreken kunnen Europese cloudproviders aan de bak om dat gat te dichten.
Je merkt hier enige weerstand bij. Als je niet ideologisch bezig bent, waarom zou je dan ooit met een beperktere leverancier in zee gaan? De snoepwinkel met alles lonkt.
Maar voor (semi-)overheidsdiensten gelden bredere overwegingen. Als er een lijst goede diensten is die in Europa afgenomen kunnen worden, dan moeten we dat vooral (ook) doen. Zo blijft er hier nog wat vaardigheid en bedrijvigheid over namelijk.
We hebben in het gesprek benoemd dat het nuttig kan zijn zo’n set basisdiensten op te stellen. Terloops zijn er al eerder oproepen geweest aan SIDN om hun eisenpakket te publiceren. Dan weten we allemaal wat er in Europa kennelijk ontbreekt. Of mogelijk dat het er wel is maar je even verder moet kijken.
Met zo’n set basisgereedschap zou ook een ‘megascaler’ zinvol diensten aan kunnen bieden, en hoeven we niet voor alles wat we doen te grijpen naar de hyperscaler clouds.
Update: een lezer uit de loopgraven kwam met een hier nog gemist inzicht. Het blijkt dat het extreem lastig is om een AWS-gebruiker te laten switchen naar Azure of omgekeerd. Het is dus al moeilijk om iemand van de ene hyperscaler naar de andere te krijgen. Laat staan naar een Europees alternatief wat nog vreemder is.
Rol van overheid
We zijn in Europa nu in de tragische situatie dat we de dominante vorm van “computing” hier niet meer aanbieden, en iedereen voor z’n cloud native spullen naar de drie hyperscalers een continent verderop gaat.
Dat gaat her en der nog een beetje gepaard met een moeilijk gevoel. Moeten we nou echt alles uit handen geven? Doet ook denken aan de tragische situatie toen niemand in Europa meer mondkapjes bleek te kunnen maken, want we hadden het opgegeven dat soort dingen hier nog te doen. Ook had niemand de kennis of de (werkende) machines meer.
Actueel deze week is dat we totaal afhankelijk zijn van het buitenland voor veel belangrijke medicijnen, die daardoor steeds op zijn, en waar we dan niets aan kunnen doen.
Terug naar de cloud, voor zover er in het bedrijfsleven nog enige terughoudendheid was over de exclusieve gang naar de Amerikaanse cloudproviders is dat nu voorbij: De Nederlandse overheid zelf leidt de weg.
Door de email en data van steeds meer overheidsonderdelen, inclusief de Eerste en Tweede Kamer, naar de cloud te verhuizen is iedere twijfel weggenomen: als zij het al kunnen, dan kunnen wij het ook.
Dat dit gebeurt is overigens niet vreemd. De Rijksoverheid is een zeer conservatieve inkoper van technologie - graag de saaiste en meest gekozen oplossing, voor alles. Want er gaat al veel te veel mis, dus is er alleen ruimte voor veilige keuzes waar je nooit op aangesproken zult worden. Of zoals we dat vroeger noemden, no one ever got fired for buying IBM.
En in 2024 betekent dat “de cloud”, en organiseert de overheid seminars met AWS zodat we daar zo snel mogelijk heen kunnen.
We spraken over de noodzaak van industriepolitiek om onze ICT-vaardigheden op peil te houden. Maar we konden ook constateren dat in de praktijk de overheid nu een omgekeerde rol vervult door zo enthousiast over te gaan.
Deels komt dit doordat afdelingen inkoop binnen de overheid niet centraal worden gecoördineerd en bovendien vrijwel 100% ontkoppeld zijn van beleid. Ministeries en organisaties kopen de ICT diensten die hun problemen oplossen (geef ze eens ongelijk), het zijn nu geen organen om beleid mee uit te voeren. En toch zal dat gaan moeten.
Een van de aanwezigen meldde terloops ook dat ICT opleidingen inmiddels opleiden tot “hyperscaler cloudgebruiker”, en het daardoor lastig wordt nieuw personeel te vinden die nog iets anders kunnen dan Amazon of Azure.
Losse lagen en security
Kort bespraken we ook nog dat in Europa alles nog wel beschikbaar is, maar dat je een stuk meer moet shoppen. De industrie is gefragmenteerd. In plaats van een supermarkt met alles hebben we kaasboeren en groentewinkels en bakkerijen.
Je kunt uitstekende servers huren bijvoorbeeld bijvoorbeeld. Maar een managed database moet je vervolgens weer ergens anders vandaan halen, net als je goeie managed Kubernetes omgeving. Ik hoor ook dat het vervolgens doen van integrated identity & access management over die providers een uitdaging is. Verder werd “security” genoemd als iets wat je los moet kopen hier in Europa.
Nou wil ik daar nog wel iets over kwijt (wat in de bijeenkomst niet besproken is). Vroeger werd jouw onveilige software op jouw onveilige server gehacked. En tegenwoordig wordt jouw onveilige software in de cloud gehacked, of nog erger, je hele cloud account wordt overgenomen. De Amerikaanse NSA ziet een grote golf van beveiligingsincidenten in de cloud en kwam met een top-10 aanbevelingen om dit te voorkomen
Het beeld moet niet bestaan dat de cloud automatisch veilig is. Helaas wordt het wel vaak zo beschouwd. Terloops kan ook de cloudprovider zelf gehacked worden, zoals nu het geval is bij Microsoft. Dat is ook niet heel gek want er is nog nooit zo’n intense concentratie interessante data geweest. Landen kunnen hun beste hackers daarom inzetten om de clouds zelf te hacken.
Overigens staat Europa hier echt op enorme afstand. Onze cloudproviders zijn lang niet zo interessant om te hacken, maar zijn tegelijk ook niet voorzien van de indrukwekkende beveiligings-teams en -technieken die Microsoft, Amazon en Google inzetten. Het is mogelijk ook goed te weten dat de grootste Europese cloud providers ruim meer dan 100 keer kleiner zijn dan Amazon Web Services.
Investeren - maar waarin?
Dit was zoals gezegd een fijne bijeenkomst, waarbij ook vanuit de ministeries stevige dingen gezegd zijn. Toch kan je elkaar makkelijk verkeerd begrijpen. Als een overheid zegt te gaan investeren, dan hoort een ondernemer dat er geld uitgegeven gaat worden. Maar een ambtenaar kan ook heel goed bedoelen: we gaan er veel uren in steken, en bergen beleid schrijven. Dat is ook een investering (van tijd), maar het is mogelijk niet wat de ondernemer gehoord had.
We hebben ook besproken dat overheden door daadwerkelijk zichtbaar producten af te nemen, mogelijk zelfs als lead customer, een enorme invloed kunnen hebben. Want, als je (zeg) het ministerie van defensie als kritieke klant hebt, dan hoef je als ondernemer nooit meer uit te leggen of je wel betrouwbaar bent.
Omgekeerd is het lastig te zeggen dat je beter bent als je eigen overheid nog niet eens zaken met je wil doen.
Kosten cloud
We stipten het even kort aan - we doen de hele cloud omdat het efficiënter en goedkoper zou zijn. Maar is het dat ook? Daar begint nu twijfel over te ontstaan. Dit bleek ook aan de kant van de overheid bekend. Veel organisaties zien hun uitgaven aan IT juist ruim stijgen na een cloudmigratie.
De keerzijde van zo’n enorm menu aan opties en zelfschalende services is dat je zonder het te weten ineens makkelijk voor een vermogen aan diensten afneemt. Waar inefficiënte software vroeger leidde tot een overbelaste server leidt het nu tot veel meer servers en hogere facturen.
Overigens is dit geen pleidooi dat iedereen een ambachtelijke server in de meterkast op moet hangen, maar het is wel iets om bij stil te staan.
De kleine Europese cloud providers, zoals bijvoorbeeld Scaleway, OVH, Hetzner, Leaseweb, Contabo en ionos lijken ondertussen prijsvechters geworden te zijn, wat misschien wel te begrijpen is. Als je niet het hele assortiment kunt bieden, bied dan een kleiner segment goedkoper aan.
Helaas sluit dit niet aan bij de huidige behoefte van grote bedrijven en overheden, en door de prijsdruk is de ervaring bij sommige van deze Europese aanbieders daardoor ook niet erg goed (kan ik uit eigen ervaring bevestigen helaas).
Datacenters als de nieuwe plofkip
Dit is ook schrijnend. In Nederland is het datacenter inmiddels de nieuwe plofkip, niemand wil er meer mee aangetroffen worden. Maar datacenters moeten ergens staan. Microsoft en Meta hebben onhandige dingen gedaan in Nederland, maar het is voor iedere ondernemer nu duidelijk: probeer geen datacenter in Nederland te bouwen.
En zoals een deskundige in de bijeenkomst het duidelijk maakte, zonder datacenters zijn er hier geen servers en komt er ook geen cloud.
Ook hier zullen pijnlijke keuzes gemaakt moeten worden.
Cultureel
Ook genoemd op de bijeenkomst, de culturele aspecten. Doordat we alles aan Amerikanen overlaten bepalen zij ook wat acceptabel is op hun servers, en daarmee waar wij het nog over kunnen hebben.
We beschouwen een tekstverwerker misschien nog als een stuk software, maar Google drive heeft een uitgesproken mening over waar je het over mag hebben. Microsoft OneDrive heeft een vergelijkbaar beleid. “Don’t publicly display or use the Services to generate or share inappropriate content or material (involving, for example, nudity, bestiality, pornography, offensive language, graphic violence, self-harm, or criminal activity)"
Ook dit is weer een argument om nog dingen zelf te kunnen doen hier. Want straks is je document over euthanasiebeleid ineens weg. Het is best bevreemdend dat media en organisaties alles op OneDrive en Google Docs doen met dit zwaard van damocles boven hun hoofd.
Afsluitend
Ik vond het een fijne bijeenkomst waar iedereen goed naar elkaar geluisterd heeft. De urgentie is ook duidelijk - de industrie en onze overheid standaardiseren op een IT platform wat in die vorm niet bestaat in Nederland en in Europa. Met de strubbelingen van SIDN en de overgang van de Tweede Kamer email naar Microsoft is het puntje nu bij het paaltje aan het komen.
Juist de overheid heeft de kritieke massa en ook de bijzondere behoeftes om deze trend te breken, en te helpen komen tot een eigen industrie die relevant blijft. Want het kan toch niet zo zijn dat onze basisregistratie personen straks buiten staat. Maar we stevenen nu wel af op die wereld.
Een mogelijk aanknopingspunt is het komen tot een set cloud diensten die wel goed in Europa af te nemen is. Overheid en bedrijfsleven zouden samen kunnen werken aan het opstellen van de lijst “megascaler” requirements. De hyperscaler requirements komen dan mogelijk later als we weer een relevante industrie hebben.
Ik hoop dat we gezamenlijk stappen kunnen zetten, en zo in eerste instantie zelfredzaam blijven, en later misschien weer op kunnen bloeien tot toonaangevend (vergelijk de opbouw van Airbus).
Een enorme stap daarin zou zijn als de overheid naast investeren in beleid ook de markt op gaat om dingen te kopen in Nederland en Europa.
Mogelijk ook interessant
- Dit artikel is onderdeel van een hele reeks over Europese innovatie, en hoe het ooit zover gekomen is: European innovation and capabilities
- Van eerder deze week: Minister van Digitale Zaken: hoe het kan werken
- Podcast bij BNR (met transcript), waar we de cloud-afhankelijkheid ook in geuren en kleuren bespreken: BNR De Technoloog over de (Lidl) cloud & Europa
- Over hoe het uitbesteden van “alles” er makkelijk toe leidt dat je geen kennis meer over hebt om de dingen die je niet uit wil besteden nog te doen, en je eigenlijk ook niet meer weet hoe je je uitbestedingspartners in bedwang moet houden: Jouw tech of mijn tech: kies snel