Van de Minister van Defensie over het CCB tot Digitaal Vlaanderen: over cyberverdediging en soevereiniteit heeft iedereen wel iets te zeggen. Alleen praat niet iedereen over hetzelfde. Gaan we voorbij het semantische naar de kern van de zaak, wat blijft er dan over?
Digitale soevereiniteit moet enkel AI laten voorgaan als het op hype-factor aankomt. Het onderwerp wordt grondig gefileerd op zowat alle Europese conferenties en events en ook de Amerikaanse marketingdepartementen hebben het soevereiniteitsverhaal intussen omarmt. Met wat CISPE soevereiniteitswashing noemt, positioneren ze hun beslist niet-Europese oplossingen als bakens van controle en veiligheid.
Soevereiniteit en veiligheid gaan hand in hand. Het hoeft dan ook niet te verwonderen dat het thema eveneens op de CyberNova-conferentie in Antwerpen uitvoerig de revue passeert. Wat soevereiniteit precies is, blijft ook hier ter discussie staan.
Ter land, ter zee en op de computer
De conferentie wordt immers geopend door Minister van Defensie Theo Francken. Hij ziet hoe cybercriminaliteit de afgelopen jaren een nieuwe dimensie heeft gekregen: die van oorlogsvoering op statelijk niveau. “Daardoor is cybersecurity plots op de agenda komen te staan van defensiedepartementen overal ter wereld”, zegt hij. Francken trekt vol de kaart van de NAVO. De verdragsorganisatie heeft in 2016 zijn actieve domeinen (land, zee en lucht) al uitgebreid met cyber.
Francken ziet het groots, met een militaire Cyber Force, die ook offensieve taken heeft. Binnen het kader van de NAVO voorspelt hij dat ons land mee de digitale strijd tegen de as der autocratie zal winnen. Vlak na zijn betoog passeert er op de schelde een bootje met militairen, met ongerelateerde opdracht, die het punt zo wel onopzettelijk kracht bij zetten.
Miguel De Bruycker, hoofd van het CCB, is minder gerust als Francken als het op ’s lands digitale soevereiniteit aankomt, alsook de mogelijkheden die te beschermen. “Natiestaten focussen hun aanvallen op kritieke infrastructuur zoals energie, transport en de gezondheidszorg. Ook de overheid en de diplomatieke diensten worden geviseerd. We focussen veel op drones en schepen, maar krijgt cyberspace echt de juiste prioriteit?” Hij gheeft aan daar ietwat bezorgd rond te zijn.
Soeverein, ten opzichte van wie of wat?
In zijn betoog rept Francken bovendien met geen woord over de katalysator voor de hele soevereiniteitsdiscussie: de VS van president Trump, met zijn Cloud Act die de overheid in staat stelt Amerikaanse bedrijven te verplichten om data te delen, zelfs wanneer die in de EU bewaard worden. Dat de VS zich niet alleen in de NAVO maar ook in het economische domein als een wispelturige partner hebben opgesteld, speelt niet mee in de digitale oorlogsretoriek.
De Bruycker heeft tijdens de recentste Security Conference in München een dag doorgebracht met Europese cybersecurity-directeurs, waarin er de helft van de tijd over soevereiniteit werd gesproken. “Dat was blijkbaar een enorme uitdaging in de EU”, merkt hij op.
“Maar er is geen standaarddefinitie van soevereiniteit”, vervolgt hij. “We praten over andere dingen. Er is een economisch aspect en een nationaal aspect. Er is een holistische aanpak nodig.”
De landsgrenzen voorbij
Een gesprek over soevereiniteit dreigt al snel in een discussie over geografie te vervallen. Staan diensten wel in de EU? Dat is in feite niet zo’n relevante vraag, onder andere omdat de Cloud Act die grenzen toch niet respecteert.
Koen Segers, Managing Director van Dell Technologies in België, zag de discussie evolueren. “Het ging aanvankelijk vooral over waar data staan, maar dat hebben mensen wat losgelaten. Het gesprek gaat nu eerder over wetgeving, en dat is al een stuk relevanter. In de praktijk gaat soevereiniteit volgens mij vooral over veerkracht.” Met veerkracht verwijst Segers naar de capaciteit om te kunnen verder werken wanneer er iets gebeurt.
De teloorgang van efficiëntie
Jan Smedts, Hoofd van Digitaal Vlaanderen, komt volgens ons met de meest relevante definitie van soevereiniteit aandraven. Die leunt sterk aan bij wat Segers zegt. “Soevereiniteit draait om controle”, stelt hij. “Decennialang hebben we in een naoorlogse context van vertrouwen geleefd. Efficiëntie was de dominante parameter, en we hebben alles geoptimaliseerd met kosten en gemak in het achterhoofd.”
Het resultaat is zichtbaar: de hele economie is verstrengeld met zichzelf, en bedrijfsvoering hangt voor een groot stuk af van buitenlandse entiteiten. Het lijkt haast alsof de knoop niet te ontwarren valt, maar Smedts denkt dat dat wel kan en moet.
Eigenaarschap terugwinnen
“We hebben het risico van de afhankelijkheid onderschat” denkt Smedts. “Efficiëntie is de competentie van gisteren. Vandaag is wendbaarheid belangrijker.” Dat klinkt allemaal nogal flou, tot Smedts ter zake komt: “De prijs van digitale soevereiniteit is redesign. Het zal tijd, geld en misschien zelfs functionaliteit kosten, maar in dat proces zullen we het eigenaarschap van onze digitale toekomst terugwinnen.”
Smedts pleit voor structurele desintegratie op basis van modulariteit. De enige manier om digitale soevereiniteit te bekomen, is via schaalbare en modulaire platformen op basis van standaarden. In die context kan je de functionaliteit van één partij vervangen door een alternatief van een andere. Hij vergelijkt het met bouwen met Lego. “Dat is trager dan iets kant- en klaar lopen, maar dat is de prijs die we moeten betalen.”
Soevereiniteit is controle over architectuur en afhankelijkheid, zodat je van Plan A naar plan B kan gaan met focus en zonder paniek.
Jan Smedts, Hoofd Digitaal Vlaanderen
Modulair bouwen geeft opties, en opties brengen macht en beslissingsrecht met zich mee. Dat is op zijn beurt waar soevereiniteit om draait: niet of een oplossing van partij X of Y komt, maar of je zelf kan beslissen om de oplossing van partij X te vervangen door die van partij Y wanneer jij wilt. “Soevereiniteit is controle over architectuur en afhankelijkheid, zodat je van Plan A naar plan B kan gaan met focus en zonder paniek”, vat Smedts samen.
‘Cyberbus’
Dat Europa nog werk aan de winkel heeft om in die richting te bewegen, mag duidelijk zijn. De Bruycker ziet echter precedenten waaruit we moed kunnen tanken. “Vroeger was er Boeing en McDonnel”, vertelt hij, refererend naar de luchtvaartindustrie. “Tot Europese landen zijn samengekomen, en Airbus is ontstaan. Ik denk dat we een cyberbus nodig hebben.”
In de kernbetekenis van het woord verwijst soevereiniteit naar de hoogste macht en onafhankelijkheid. Wat dat betekent, is contextgevoelig. Wanneer Francken vanuit het perspectief van Defensie spreekt, gaat soevereiniteit om de bescherming van het land. Dat gebeurt in de praktijk (en tot nader order) met partners in de context van de NAVO.
Een kwestie van controle
Soevereiniteit op het niveau van organisaties die diensten afnemen, impliceert dat de hoogste macht en onafhankelijkheid bij de organisatie moet liggen, en niet de diensten. Dat is nu niet het geval: als de Amerikaanse president Trump zich morgen laat overtuigen om AWS te verbieden nog diensten te leveren aan de EU, dan vallen ondernemingen zonder alternatief stil. De macht ligt bij de technologiebedrijven, waarvan Europa afhankelijk is.
In die context rijkt Smedts een visie voor een oplossing aan. Modulariteit brengt het zwaartepunt van de macht terug naar bedrijven en organisaties. Dat is complexer en minder efficiënt dan één totaaloplossing afnemen, maar het biedt robuustheid, wendbaarheid en zelfbeschikking. In die versie van soevereiniteit is het bovendien niet nodig om exclusief voor EU-oplossingen te kiezen, maar er moeten wel valabele EU-alternatieven bestaan, waarnaar indien nodig gewisseld kan worden.