大科技云堆叠纸张并不能变得更安全Big tech clouds worden niet veiliger met stapels papier

Je samenleving, overheid en maatschappij overlaten aan Amerikaanse servers komt met twee problemen:

Dit is allemaal heel vervelend, en er is ook weinig aan te doen. Geen enkele “speciale” afspraak heft de realiteit van Amerikaanse wetgeving op. Je kunt proberen er nog wat BV’s tussen te schuiven, maar uiteindelijk ben je bij sancties toch de klos.

Ook het toevoegen van extra lagen encryptie/sleutels voor privacy is in de praktijk niet realistisch gebleken. Of zoals ik eerder schreef, je kunt je digitale autonomie niet kopen in Amerika.

Bovenstaande is allemaal niet controversieel. De landsadvocaat heeft het in de Tweede Kamer recent nog bevestigd.

Desondanks..

Desondanks onderhandelen we nog heel wat met de werkelijkheid.

Nu Amerikaanse clouds en diensten bewezen een risico vormen zal je toch wat anders moeten gaan doen. Maar dat is tegen de stroom inzwemmen. Dat is vertrouwen op Europese technologie die anders werkt. Waar niet duizenden big tech & “big four” consultants klaarstaan om je te verzekeren dat het goed is wat je doet & gelijk de bijbehorende diensten te leveren. Het vergt daadwerkelijke eigen IT-kennis. En de Nederlandse overheid heeft grotendeels geen IT-afdelingen meer, maar alleen big-tech afdelingen.

In plaats van te moeten veranderen, kan je ook proberen met papier aan te tonen dat het niet hoeft. En dat is erg populair tegenwoordig.

“Als mensen moeten kiezen tussen van gedachten veranderen, of bewijzen dat dat helemaal niet nodig is, storten de meeste mensen zich op het bewijs” - John Kenneth Galbraith

We hebben hiervoor een heel instrumentarium opgetuigd, zoals Data Privacy Impact Assessments, Data Transfer Impact Assessments en “Comply or explain” documenten. Zoals veel gebruikt in de zin “we moeten de Explain nog schrijven, dan kunnen we naar de cloud”.

De nieuwste doorbraak is dat je de risico’s in kaart brengt en daarna je “risk register” gebruikt om die risico’s vervolgens te “accepteren”. Ook weer opgelost!

Dit is big business

Te koop op despair.com

Al deze documenten worden geschreven door een hele industrie, binnen en buiten overheden. Als een soort aflaat kan je voldoende papier bestellen tot alles zo complex is geworden dat je opperhoofd of minister vol vertrouwen kan zeggen dat we door kunnen met de verhuizing van DigiD naar Amerika, of dat het helemaal niet raar is om je btw voortaan door Amerikanen te laten doen.

“Er zijn twee manieren om software te ontwerpen. De ene is om alles zo eenvoudig te maken dat het evident is dat er geen problemen zijn. Op de andere manier maak je alles zo ingewikkeld dat niemand snel problemen kan zien.” - de onlangs overleden softwareontwikkelaar Tony Hoare.

En als de bergen papier nog niet genoeg waren, dan kan je gaan praten over risicomodellen en “governance”. Want met de juiste governance kan je werkelijk iedere draak temmen.

Maar tuin er niet in

Niets doet af aan de realiteit dat Amerikaanse diensten kwetsbaar zijn voor sancties. Geen enkele berg papier heft de privacyproblemen op. Complexiteit verkocht als nuance verhult de gevaren alleen maar.

Het enige realistische wat je op kunt schrijven is dat je denkt dat het wel losloopt, en dat je erop vertrouwt dat Trump en zijn overheid redelijke dingen doen.

要是有人真在报告里写上“我们真心相信这玩意儿能行”，那可真是够招摇的。好吧，那是你的观点。不过荷兰人可不买账（想想看他们对 DigiD 赴美这事有多愤怒）。但至少你还能说出个所以然来：你可是把对俄罗斯的信任照单全收地套在了美国头上。

所以啊，这些人拿着高薪，干着咨询、建言和“治理”的活儿，好让我们心安理得地把数据和钱往美国送——反正没人会费力去真正掌控那些电脑。

他们嘴上说着要带来 nuance（微妙平衡），实际上却是在拿钱帮我们把社会推入越来越依赖、越来越危险的境地。

别钻进这个坑了。去做点真正更好的事吧。

哦，这个嘛，我实在不觉得这是个有趣的段落。

也许它不是针对你的，但我真得推荐这部哲学大片：

视频 - “You probably think this song is about you”