BLOG – De roep om meer ict-autonomie klinkt onweerlegbaar. Minder afhankelijk van Amerikaanse hyperscalers. Meer grip op data. Minder geopolitiek risico. Maar het debat adresseert het verkeerde risicotype.
Het geopolitieke scenario – ‘een buitenlandse regering draait de knop om’ – is een laagfrequent, extreem scenario. Het risico bestaat, maar is zeldzaam en speculatief. De dagelijkse werkelijkheid van it-onveiligheid is anders: phishing, misconfiguraties, identity-sprawl, trage patching, tokenmisbruik, gebrekkige detectie en respons. Operationele zwakte waardoor systemen daadwerkelijk omvallen, ook nog steeds na conformeren aan 25 jaar NIS, GDPR, Dora, enz.
Toch richten we ons beleid op het zeldzame risico en niet op het structurele. Dat is geen toeval. Ons bestuurlijk systeem wordt afgerekend op zichtbare calamiteiten, niet op onzichtbare gemiste kansen. Regelgeving minimaliseert aantoonbare schade, maar verandert ook kansverdelingen. Innovatie is geen lineair proces, het is een staartverschijnsel. Doorbraken ontstaan uit variatie, experiment en een hoge fouttolerantie. Wie variatie dempt, dempt de kans op nieuw succes. Dat zie je niet terug want gemiste successen laten geen sporen na.
We richten ons beleid op het zeldzame risico en niet op het structurele
De Europese halfgeleidergeschiedenis laat zien hoe dat werkt. Ambitieuze programma’s halen zelden hun oorspronkelijke doel maar de opgebouwde competenties blijken later ook veel waardevoller dan het beoogde resultaat. Toevallige combinaties van mensen, technologie en marktkansen leveren uiteindelijk de doorbraken op. Juist die toevalligheid moet meer onderdeel van het mechanisme worden gemaakt.
Drempels
Als we vandaag autonomie definiëren als het systematisch uitsluiten van bestaande aanbieders, stapelen we drempels in een ecosysteem dat leeft van doorlaatbaarheid. Subsidie- en aanbestedingsregimes verschuiven risico’s naar ondernemers, terwijl beslissingsmacht richting toetsingskaders van overheden verschuift. Private investeerders worden risicomijdend als exit-scenario’s juridisch verstarren. Groei wordt ‘bet-the-company’, omdat terugschalen juridisch en financieel onvoorspelbaar of zelfs voorspelbaar onhaalbaar is.
Ict-autonomie dreigt zo het verkeerde probleem te lossen en oude problemen weer te introduceren. Voorstanders van strengere kaders hebben een valide punt: zonder regulering ontstaan machtsconcentraties en systeemrisico’s. Maar regulering die uitsluitend schade wil voorkomen, zonder systematisch te toetsen wat zij aan kansruimte vernietigt, is bijziend voor haar eigen keerzijden.
Minder afhankelijk
De kernvraag rond ict-autonomie is dus niet: hoe worden we minder afhankelijk maar verschuiven we afhankelijkheid niet ook naar een systeem dat minder schaal, minder incidentervaring en minder herstelvermogen heeft? Veiligheid is niet alleen juridische soevereiniteit. Veiligheid is operationele competentie. Die ontstaat door jarenlange innovatie en de noodzaak om te overleven. Dat vermogen kopieer je niet bij voorbaat door leveranciers te nemen. Wie niet innoveert, kan niet falen. Wie niet groeit, hoeft niet te herstructureren. Beleid lijkt zo te werken terwijl de kansruimte krimpt.
Misschien moeten we autonomie niet definiëren als uitsluiting, maar als het vergroten van keuzevrijheid, experimenteerruimte en terugschakelbaarheid. Dat is wellicht een ongemakkelijke gedachte in een tijd waarin maximale controle als grootste deugd geldt.
Rob Koelmans, directeur MetaMicro Automatisering
Blij met disaster recovery, ook al gaan disasters altijd om laagfrequent, extreem scenario. Operationele competentie wordt een uitdaging als je geen uitwijk voor je verdwenen Datacenter meer hebt. In het Zuid-westen hadden ze het wel even gehad met hun verlangen naar de eindeloze zee.
Deltawerken waren niet gratis, maar dan heb je ook wat. Not because its easy but because its hard. Met die ervaring, geboren uit angst voor risico, werd Nederland trouwens exporteur van waterzut-kennis.
Wat betreft die ict-autonomie gaat het tegenwoordig niet meer om welke maatregelen worden getroffen, maar eigelijk gewoon dat er ook maar iets gebeurt.
Je moet schieten, anders kun je niet scoren.
Je moeten bouwen, anders kun je niet wonen.
Dat geldt ook voor cloud en hosten.
Bij gemeenten werd gedwongen zelf wiel uitvinden uiteindelijk ook een Common Ground.
“autonomie niet definiëren als uitsluiting” en ook kijken naar “gemiste kansen” lijkt ze zowiezo een mooi uitgangspunt. Maar ik durf weinig meer te zeggen over “keuzevrijheid, experimenteerruimte en terugschakelbaarheid” versus
“maximale controle”, want jack-in-the-box lijkt tegenwoordig steeds meer de doos van pandora.