数字自主权 2.0:现在是动真格的了Digitale Autonomie 2.0: en nu echt
数字自主权已从理论探讨迈入必须采取实际行动的“2.0阶段”。作者在 Surf 隐私与安全大会的开场演讲中指出,尽管业界已就此话题进行了超过50次的讨论,但当前的核心在于如何真正落实。文章强调了在隐私和安全领域采取具体技术措施的紧迫性。它呼吁企业和机构立即行动,建立真正属于自己的数字基础设施和防御体系。
今年6月25日,我为 Surf 隐私与安全大会(Surf Privacy en Security Conferentie)做了开场演讲。我以前经常谈论数字自主权,但这次我明确地把重点放在了现在必须采取的行动上。或者就像演讲题目所说的“动真格”。尽管我已经就这个话题做过不下50次演讲,但我以前还从未费心整理过一份像样的文字记录。这是为了那些和我一样更喜欢阅读而不是倾听的人准备的。
以下是经过润色的演讲版本——修改了一些不严谨的措辞,并补充了演讲时由于时间关系未涉及的内容。因此,这并不是一份逐字稿,而更接近于我真正想表达的东西。同时,它在很大程度上保留了演讲的原话,并配有原始的幻灯片作为插图。
要随时了解关于此主题的最新文章,您可以订阅我的时事通讯。
目前,我们对美国的数字依赖几乎是绝对的。市面上已经买不到不自动将文档发送到美国的计算机了。即使你勾选了所有正确的选项,试图暂时阻止这种情况,最终也会无济于事。100%的市政当局、所有公证处、所有银行,以及几乎整个国家政府,如果没有 Microsoft 的积极参与和知情,都已经无法正常运转。
人们试图用各种文件来与现实讨价还价,但这毫无用处。美国决定着我们的服务能否运作,美国可以读取所有的数据。即使你勾选了所有正确的选项。你已经无法在这样的基础上运营你的政府或国家了。
有人宣称离开云服务就活不下去,我用几个例子反驳了这一点。而且在2020年之前,在本地服务器上处理事务是最正常不过的事,这并不是说现在突然就不能这么做了。
欧洲患有“卡里梅罗情结”(自卑心理),仿佛我们不是世界上最大的经济体之一。事实证明,我们的工业仍在增长。没有我们的机器,云服务就不复存在。但我们真的对自己缺乏信心,花费大量时间去推广各种奇特的美国技术,却对自己在这里所做的事情视而不见。这个问题我们自己可以解决,但我们首先得有这个意愿。
我们仍然可以基于欧洲产品进行构建,但这需要一种稍微新颖的工作方式。需要胆识。敢于逆流而上,不去做“所有人”都在做的事。企业不会在这方面发挥带头作用,因为数字自主权并不能提高下个季度的利润。甚至恰恰相反。
因此,(半)政府机构必须引领我们。目前已经有一些行动,比如在 Surf,但教育界也把我们带入了这个困境。多年来,(高等)院校培养出来的仅仅是美国的云服务专家。真是谢谢了。
采取行动的必要性现在已经很明显了。政界和最高管理层也很清楚这一点。尽管他们并没有为此预留资金。再往下推一层,问题就更大了。那一层的管理层绝对不想做出任何改变。“这20年来我从来没有在实质上插手过 IT 事务,一直以来都在采购大家都在用的东西:Microsoft。我现在也不打算突然承认我错了,然后去换点别的。”
与此同时,绝大多数的一线人员都深受大型科技公司(big-tech)的熏陶,并且对微软的产品十分熟悉。出于各种原因,他们根本不想尝试其他方案。那一小部分想要有所改变的 IT 人员又没有决策权。在他们之下,绝大多数的外包 IT 人员同样深受大型科技公司的影响,并且存在商业利益绑定。在数字主权方面,我们同样不能对他们抱有太多期望。
最近,政府对 IT 和“数字服务”发出了更为积极的信号。尽管如此,资金依然匮乏,而且他们依然习惯性地试图通过(再次)增加协调、“保障”措施和“推进团队”来敷衍了事。首批当选的高层管理人员都是经验丰富的律师,对技术毫无感觉。
实现数字主权有很多“触手可及的果实”(容易实现的目标)。向各个组织指出这些容易实现的目标是有意义的。如果事实证明他们连这些容易实现的目标都不愿意尝试,那就很清楚了:他们根本就是不想做。
最后,对于那些想为数字主权做些具体事情的人,请从“小而重要”的项目开始。规模要小到能够顺利完成,但意义要足够重大,使其对组织来说具有真正的“切身利益”(skin in the game)。不要再搞什么试验田了。
祝成功!
演讲
很高兴大家能在这么炎热的一天齐聚一堂。我真心希望接下来的分享能对大家有所帮助。我会在台上走动一下,这样你们偶尔就能看到我穿的短裤了。
我听你们中的一些人说,你们在看了我发在 Mastodon 和 LinkedIn 上的帖子后心想:那我也可以穿短裤去。
恭喜你们,这正是我的目的!
今天我要谈谈数字主权 2.0,这次是动真格的。
韧性与自主权
这两者之间确实有着密切的联系。为此我准备了这张壮观的照片。这是马仕朗大坝(Maeslantkering),离这里非常近。它在涨潮时能保障我们的安全。这真是一个了不起的工程。
你也可以去那里参加非常有趣的导览游。而且不知为何,这张照片看起来就很凉爽。因为今天太热了,我格外欣赏这种感觉,但我为什么还会如此欣赏这个设施呢?
它能保护我们免受洪水侵害,而所有这些防风暴闸坝本身也具有很强的韧性。
NOS(荷兰广播基金会)文章
这是一些非常复古的设备,画面里的这个男人,他拿着一袋甘草糖和一部电话。看看那部电话。它永远都能打通。即使云服务宕机了它也能正常工作,这部米色的电话就是能稳定运行。
而且无论发生什么,马仕朗大坝和其他的防风暴闸坝也都能正常运转,在需要时它们就会关闭。
如果出现故障,我们也知道该找谁来修。因为我们认识那些人,他们就住在这里。其实,这也是我们希望所有 IT 系统的运作方式。也许就需要这样的人,我非常信任画面里的这个男人。再配上一个带有指示灯的屏幕,这真的是太棒了。
这是我们理想中的状态,但在荷兰,我们已经不再这样做了。画面里的这个男人很可能已经退休了,他的电话也被 Microsoft Teams 取代了。你可能会想,情况不至于此吧,但现实往往令人大跌眼镜。
下一张幻灯片可能会让人相当震惊。
这就是目前荷兰许多关键 IT 系统的运作方式。如果我们用同样的方式来对待马仕朗大坝,我们就会得到这张 A4 纸。
这个东西的问题在于,提交工单显然不会让人产生真正的紧迫感,而且这套系统只有在 CSCEC 这家中国公司运作、Salesforce 运作、Azure 运作,以及与 Azure 的连接正常时才能用得起来。遗憾的是,这就是当今荷兰 IT 行业的标准,但说实话,我们当然希望在所有事情上都能回到那个拿着甘草糖的男人身边。
越来越多的荷兰基础设施属于这第二种类型。因此,它们缺乏韧性。因为我们只有在 Azure 运作、Salesforce 运作、网络连接正常,以及 Windows 还能正常运行的情况下,才能维持它的运转。
这种情况不能再继续下去了。
简单介绍一下我自己。正如 Nicole 刚才善意提到的,你们可能以前已经见过我了。关于我最值得一提的一点是,这至少是我第五十次做关于数字主权的演讲了。
那还有什么意思呢?
每次我演讲结束后,都会有一些人过来对我说,我们那里的情况还要糟糕得多。或者,幸运的话,有时候,极少的情况下也会有人说,我们组织的情况其实还算好的。
但我之所以讲这些,与其说是因为我有多么才华横溢,不如说是因为经过所有这些反馈,我的认知已经校准得相当准确了。
因为所有人,包括 Microsoft,都有机会指出其中的错误。我甚至曾经和 Microsoft 一起在台上做过这个演讲,那感觉真的非常奇怪。
好了,我在政府内部工作过,也为政府做过事,我也敢自称为科学家,这个我们稍后再谈。我现在在 Kiesraad 担任一点顾问的工作,但我今天站在这里并不代表政府。不然他们以后就再也不会邀请我了!
我想展示一下我做的三个小东西。
这是 OpenTK.nl,通过它你可以非常好地监控 Tweede Kamer 和大量的 WOO 文件。
它开始慢慢变得比 tweedekamer.nl 还要受欢迎,而且 Tweede Kamer 内部也在使用它。
如果你在这里搜索“surf”,你会发现过去几天里就已经有 10 份关于你们的文件。收录了自 2008 年以来 Tweede Kamer 的所有文件,半个 TB 的数据量,每周有 10000 名用户,每天发送 3000 封邮件提醒。数量相当可观。
我参与的另一个构建项目:Galileo 网络是欧洲的 GPS。这也是系统韧性的一个例子。欧洲在 90 年代曾说:我们不能仅仅依赖美国的 GPS。我们想要自己的 Galileo。当时美国就像现在一样说:嘿,伙计,那真的没必要。你们完全不需要那个的,伙计。但同时美国又说:伙计,你们最好听话点,不然我们就把 GPS 给关了。
好了,现在我们有了自己的 Galileo。结果发现:一开始 Galileo 运作得并不是很好。于是我和 80 名志愿者一起建立了一个网络来监控它。当时欧盟委员会的人对此不太高兴……他们还给我打过电话。
有一次,我把监控系统关掉进行维护,结果欧盟委员会又打来电话,问我能不能把它重新打开。
因为事实证明,他们当时已经离不开它了。这还挺有趣的。
它监控着来自每一颗 Galileo、GPS、Baidu 和 Glonas 卫星的每一条消息。目前数据量已经达到了 9 TB。
我还有一个奇怪的 DNA 爱好。我维护着一个关于所有已知细菌基因组的数据库,专门研究相对冷门的 GC Skew 现象。我不确定自己算不算科学家,但我确实成功忽悠了 Nature 把这个给发表了。
好了,这就是我正在运行的三个相当硬核的 IT 项目。我到处听到人们说:“是啊,离开 cloud 什么都不行了。”“我们都必须使用美国的 cloud。”那么,我有三个相当大的 IT 项目,而它们都在这里运行:
这是一台非常小的电脑,64 GB RAM。我确实投资了不少。所有这些东西都在这上面运行。
我想强调一下。所以,脱离 cloud 是完全可行的。而且在 2020 年之前,这么做甚至是非常正常的。我经常在交谈中用这个来强调。如果有人再次叫嚣:我们必须依赖美国。我就会说:嗯,我不用。
如果我单枪匹马都能做到。那些直到 2020 年还能做到这一点的人,并没有都死绝了。只是你们决定换种玩法而已。所以,这依然是可行的。这也是这个故事的主题之一。
计算机有多重要?过去,计算机只是辅助工具。你可以用它来打封信。
如今,一所大学就等同于它的计算机。我们也看到了这一点。TU Eindhoven 在一次黑客攻击后关闭了它的计算机,然后他们说:别再来了。没有计算机我们无法工作。顺便说一句,这是一个很好的决定。一个出色的决定。这表明计算机对我们的社会已经变得多么重要。
然而,当计算机变得越来越重要时,我们却说,我们要越来越少地自己动手操作。那应该让远方的人去做。这当然是一个非常糟糕的组合。我们完全依赖于计算机,但我们却把它们外包给了远方那些我们根本无法掌控的人。
谁来为我们解决这个问题?不是企业。因为他们只盯着下个季度的利润。数字自治对下个季度的利润没有任何(好的)帮助。
如果 Unilever 实现了完全的数字自治,它的花生酱味道也不会有任何好坏变化。这对他们没有任何好处。
所以他们暂时还不会这么做。那谁应该带头呢?那就是政府。好吧,如果必须由政府来带头改善 IT 的话……
[大厅里的嘈杂声]
我在那里工作过,嗯,我在那里工作过。我不想嘲笑在那里工作的人。但是政府早就不是 IT 领域的先驱了!
现在,我觉得这也是对你们所有人、Surf 以及学术界的极大赞扬,你们最初把我们推向了完全依赖的境地,但现在你们又走在了摆脱依赖的最前沿。这给了我希望,我稍后还会再谈到这一点,但正因如此,我很高兴能在这里发表这场演讲!
FTM 文章
那么,我们跌得有多深?如果你去 AIVD 应聘,整整 15 年来,每一份提交给 AIVD 的求职申请都会被分享给大约 5 家美国公司。
这一开始被否认了,但最终 Follow the Money 进行了调查,我也提供了协助,我们发现不是 1 家,不是 2 家,不是 3 家,而是 4 家美国公司能够以纯文本形式查看 AIVD 的求职申请。
算是给新一代间谍的一点见面礼吧?我们对此抱怨了很长时间,在过去 3 年里非常密集。直到去年年底,他们才仅仅为 AIVD 把其中一家美国公司从这堆乱局中剔除出去。
后来有人质问 AIVD(荷兰情报与安全总局):你们自己都搞不定了,还得把我们所有的求职者信息跟那些美国公司分享,这难道不有点奇怪吗?AIVD 最后的回应是:是的,我们确实看到了所有的求职申请,但我们不会录用所有申请的人。
看看我们到底跌到了多深的谷底。如果连情报部门都说:哎呀,我们自己搞不定这个了,我们需要一大堆美国公司来帮忙。这就相当糟糕了。
嗯,这基本上就是目前的全球格局。云服务来自西方,而对于企业来说,IT 运维则来自东方。后者在学术界可能有点让人惊讶,但如果你去随便一家银行,或者 Zuidas 金融区的任何一家普通公司看看,他们已经把整个 IT 部门外包给亚洲了。
顺便澄清一下:我对亚洲或亚洲人没有任何意见,我不是那个意思。我的意思是,这中间存在巨大的地理距离。人们常说:我们不想再做这些了。我们想让别人替我们做。
所以,你看到服务器来自左边,运维来自右边。那我们欧洲人在这里还能做什么呢?
不过,我们在这里确实还在做一些事情:
但是,事实证明情况并非完全如此。我的讲述也发生了一些演变。因为这部分的主题叫作“数字自治与主权 2.0”。我本来是想让这张幻灯片显得严肃一点的。比如,我们欧洲还在生产手提包。还有奶酪、啤酒,以及进行逃税。顺便说一句,这些确实是我们极度擅长的。这也是我们目前的支柱产业之一。
尽管如此,虽然这张幻灯片一开始是出于搞笑的目的,但过了一段时间我才发现,我自己也信以为真了。
这些是支撑全球运转的欧洲巨头企业。欧洲是一个工业巨人。
它们每年的总营收高达数万亿欧元。
右边那些庞大而精密的机器,来自 ASMI、BESI 和 ASML。每一个云服务的基础都离不开这三家公司的机器。没有欧洲,就没有云服务。
每个人都在拼命试图仿制我们的机器,但他们根本做不到。是的,那是飞利浦(Philips),我以前以为他们只生产普通的牙刷之类的产品。但事实证明,他们是全球最大的医疗设备供应商之一。欧洲是不可忽视的力量。
这是一张图表。
我一直以为欧洲是个正在萎缩的侏儒:
数据来源
但并非如此,事实证明,在过去十年里,我们的工业产出增长了 10%。顺便说一下,这在很大程度上要归功于 Ozempic 和 ASML 的机器。
强烈推荐大家收听这期 NRC 播客,嘉宾是 Sander Tordoir。
但还有另一种说法:欧洲太小了,我们无法包揽一切。于是,诺贝尔经济学奖得主保罗·克鲁格曼(Paul Krugman)做了一张图表。
数据来源
这里你可以看到欧洲和美国实际的购买力,两者之间几乎没有差距。我还在右边画了一个欧洲的标志性卡通形象——Calimero。
我总是听到人们说:是的,我们太小了,我们做不到,欧洲做不到。但拜托,我们非常繁荣富裕,所有的云服务都离不开我们的机器,否则根本没戏!
我只是不想再听到有人说:哎呀,我们太小了。
我们实际的意思可能是:我们只是懒得去做。[全场笑声]
那就完全是另一回事了。
粗略(或多或少的)看一下规模:全球的大型云提供商有 Google、Amazon、Azure,如果你运气实在不好,可能还会遇到一点 Oracle。然后我就想:在这幅图景中,欧洲在哪里?
那么,如果你仔细看 Google 的“E”下面,会有一些公司:
如果我们放大来看,这些其实是相当大的公司。里面也有一些大人物。只不过,与 Amazon、Microsoft 和 Google 相比,一切都显得微不足道。
所以,这里一家典型的超大规模云提供商,例如 Ionos,每年的营业额是 15 亿欧元。这确实是笔巨款,对吧?但与大型科技公司每天 15 亿欧元的营收相比,就算不上什么了。
所以,并不是说什么都没有。只不过规模要小得多。
我们在荷兰是如何进行沟通的?
这是荷兰政府。2026年。所有的沟通都通过 Microsoft 产品进行,而且通常也是通过 Microsoft 托管的服务器。
100%的荷兰市政部门。100%的律师事务所。100%的银行。以及100%的大学。
呃
有几个部委表示:我们还在运行自己的 Microsoft 服务器。向他们致敬。SSC-ICT,9个部委。
但我们最近确实对这些进行了调查,看看我们自己的服务器向美国泄露了多少数据,结果所有人都差点晕过去。报告的结论太过劲爆,以至于他们在发布前花了半年时间来粉饰太平。
然后,所有人都把所有的滑块和复选框拨到了“正确”的方向。不共享这个,不共享那个,关掉 Copilot。等他们做完这一切,对美国的泄露就变得“可控”了。也就是这条红色虚线。
左下角一个单独的框:税务局。他们是唯一还能独立发送电子邮件的机构。他们曾试图连这也一并取消,但现在(据说)并未成行,这真是个天大的好消息。
但这种状况确实非常诡异。也就是说,如果荷兰政府的某个部门想给另一个部门发送点东西,他们必须得通过美国来传输。
这意味着美国:第一,可以顺带读取这些信息;第二,只有当美国对我们态度友好时,这套系统才能运转。
就像埃因霍温理工大学(TU Eindhoven)因为不再信任自己的电脑而被迫关闭一样,如果美国不再对我们友好,你大可以把荷兰的整个社会都给关停。
这听起来极其极端。极端到人们都难以置信。但这确是事实。如果我们从这里走出去,去 Mediamarkt。或者再走远点,去 Coolblue:
来源
假设我给你们出个难题。你们必须协同处理一份文档。而且你们必须保密。一份真正的机密文件。极其敏感。在 Mediamarkt 已经买不到能做到这一点的电脑了。任何运行 Windows 11、MacOS 或 ChromeOS 的电脑,都会自动把所有文档上传到美国。无论你愿不愿意。开箱即如此。还有我的 Apple 笔记本,我买它就是为了能跟你们用 Teams 沟通。放在我那台巨大的 Lenovo Linux 笔记本旁边。
我的 Apple 笔记本也会这样。我最近处理一份机密文件。我按下保存。然后它提示:是的,它已存到 iCloud 上了。我心想:该死。这根本不是我想要的。只不过后来发现,那些复选框总是会被自动勾选,导致所有东西都被传到美国。
所以现在,如果你对人们说:你想把这个保密,大家私下知道就好,这根本行不通。因为市面上卖的计算机根本做不到这一点。非常荒谬。
这也适用于那些在 Microsoft 的服务器上对 Microsoft 提起诉讼的律师事务所。
于是,又出现了那种老生常谈:是的,但我们做了特殊约定。大家都随声附和。The Privacy Company 从中赚取了丰厚的利润。Surf 也为此出了不少力。他们出具了庞大的报告。上面写着:是的,但其实情况没那么糟。但最终,如果你仔细阅读,就会发现情况并非如此。无论你达成过什么协议,无论服务器位于何处,美国法律都能染指你所有的数据或服务器,只要它们托管在与美国有哪怕半点关系的公司那里。
最终,荷兰政府不愿相信这一点。于是 NCSC 自己聘请了一家美国律师事务所来询问:这是真的吗?
来源及详细说明
那家律师事务所的收费肯定非常昂贵,因为他们带回来一个非常简短的答复:是的,那是真的。那你可能会想:现在事情解决了,现在大家总该相信了吧
并没有,正因如此,荷兰国家律师最近不得不在众议院再次重申这一点。想要通过制定特殊协议来确保你的数据留在欧洲服务器上,且美国人无权访问,这是不可能的。
来源
如果你与 Microsoft、Google、Amazon、Oracle 或 Kyndryl 合作,美国人就能获取你的数据。或者他们可以切断你的访问权限。
那你可能会想,现在事情总该清楚了吧,现在大家总该都听说了吧。一个月前的 NU.nl 报道,TU Delft,是的,但我们和 Microsoft 有特殊协议:
来源
我真的受不了了,我真的受不了了,国家律师、GreenbergTraurig、NCSC 都说,忘了你们的特殊协议吧。选择美国产品是可以的,但要诚实地说:我觉得美国人在那边监视是可以接受的。请对此保持诚实。
这也确实非常令人头疼。荷兰通过 Microsoft 进行内部通信,如果这家伙哪天早上心情不好,我们连邮件都发不出去了。
实际上,国际刑事法院就遭遇过这种情况,这是一个著名的案例,Amsterdam Trade Bank 也是以这种方式从世界上消失的,因为美国人当时说:“我们就是不答应了。”
通过将我们越来越多的社会基础架构迁移到美国,我们实际上正在亲手挖出自己的数字版霍尔木兹海峡。
AI,我们曾有一个 Mythos 模型,每个人对它都非常狂热,在一个星期五的凌晨三点,美国那边说:“抱歉,欧洲人不能再使用它了。”然后它就没了。
来源
想象一下如果你一直依赖那个 AI 模型会怎样。嗯,这类事情其实一直在发生。当时我得以在电视上对此发表了愤怒的言论。当时我们所有人都对 Mythos 表达了强烈的不满。
我也说过:“嘿,我们为什么不使用自己的欧洲产品呢?我们明明也有啊。”每次有人在电视上问我这个问题时,我都会这么说。然后我又会开始重申:“你为什么不用那些欧洲产品呢?”然后他们就说:“那太商业化了。”这话题没法聊下去。但我们却可以去给美国产品做宣传!
所以我顺便提一下:加州大学伯克利分校维护着一个排行榜,收录了用于发现安全漏洞的最佳AI软件。他们有八个不同的顶级软件榜单,在其中三个榜单上,一家捷克公司Aisle名列榜首:
谁听说过Aisle?我看到有人举了一只手。那大概是通过我的Mastodon帖子知道的吧!
这是一家捷克公司,我们都知道著名的Curl软件,用来发HTTP请求。Mythos在Curl中发现了1个安全漏洞,而那家捷克公司找到了6个。
但不知为什么,一旦你开始谈论这些,大家就会说:我们总可以说美国的东西多么了不起。与此同时,所有的董事会和管理团队都对Mythos感到困惑:哦,这对我们意味着什么?他们觉得这事儿特别紧张刺激。但你要是问他们:你们有没有看过一家捷克公司?他们就说:没有。没有,毫无概念。
所以嘛,我在这里提一嘴,大家去点进去看看。也跟别人说说这件事。
来源
人们说:是的,我们在云端,但它非常安全。这就是补偿。我们的隐私没了,我们的控制权没了,我们的自主权没了。但它至少是安全的。然而事实证明,每次你仔细去看,都令人失望。美国联邦政府审查过,结论是:这玩意儿就是一坨屎。
嗯,我们已经表态了:没问题。但这不可接受。实际上,我前面这些幻灯片想说的就是:这行不通。我们不能把整个社会建立在美国服务之上。
然而我们大家都说:我们又觉得没问题了。因为我们仍在疯狂地将邮件服务器关停并迁移到Microsoft 365。还附带了厚厚的数据隐私影响评估报告。
这些报告完全忽略了一个事实:明天Whitehouse.gov上可能登出一条消息,说荷兰对入侵格陵兰不够积极。然后服务就到此为止了。
这个问题靠治理解决不了。靠"主权美国云"也解决不了。靠特殊加密和双重密钥也解决不了。靠语言上的小聪明同样解决不了。
现在我们进入2.0部分。
我们怎么解决这个问题?
2020年的时候,我们还能在普通服务器上运行服务。税务局现在还在这么做。社会保险银行还在这么做。Adyen在这么做,银行在一些关键业务上还在这么做。你完全可以在欧洲的服务器上运行软件。这是完全可以的:
那些在2020年能做到这件事的人,并没有全部去世。也没有全部退休。他们确实已经不是系统管理员了。但在2020年,这事儿是能做的。
这意味着,现在不靠美国来做一些事情,不可能是做不到的。
那么,你就会遇到这个问题:
链接1和链接2
这是绝对的行业标准。如果你现在在企业界启动一个新的软件项目,甚至在教育领域的大部分机构也是如此,你都是在Amazon或Google或Azure之上开始编程的。只有这三个选择。
现在从大学毕业的现代程序员,在学校里被培养的也只有这些。
谢谢大家!
我们可能还记得SIDN的案例。一年半前SIDN说,抱歉,欧洲没有人能提供这类东西,所以我们不得不在Amazon上构建我们的新系统。因为这里已经没人能做了。
这引发了一场非常有趣的讨论:这意味着什么?真的再也没人能做这个了吗?
这场讨论非常有意义,因为得出的结论是:不,我们欧洲当然还有计算机,我们也很擅长编程,只是现在从应用科学大学或普通大学毕业的人都不会编程了。
他们都被培养成了 Azure 或类似云平台的专家。这里存在一个巨大的分化:
如果你戴着这种有色眼镜来看,你可能会理直气壮地说:我只能找到会基于美国云服务工作的人。而欧洲没有这样的人,所以我只能选择美国云服务。
在企业界,这已经是绝对的常规操作。
因此,如果你在企业界说:除了这三家之外,我们换点别的怎么样?每个人都会一脸茫然地看着你:你打算用自己的服务器之类的吗?你还打算自己建个燃煤发电厂吗?
我在那三个云服务之间画了很粗的红线。这些线很能说明问题。
我们希望人们能在这三者之间进行权衡。但在这三者之间迁移已经非常困难了。如果一个项目在 AWS 上运行多年,有人说我们有 Azure 的免费代金券,要不要迁移到 Azure?大家会说,不行,这根本不可能,我们已经和它深度绑定了。
你可以想象,要让他们迁移到某个新兴的欧洲云服务上会有多难。他们根本就不会这么做。
所以,仅仅打造一个欧洲的 Amazon,第一,你试试看有多难;第二,即使你做到了,那些人依然会说:是的,但我是在那三家之一上受训的。我就是不想用。所以我们很难轻易摆脱这个困境。
那么,我们到底该怎么摆脱这种局面呢?这是另一种技术格局:
在这种格局下,你会说:我们再次基于标准组件来构建应用程序。这些标准组件包括 Garage、S3、PostgreSQL。所有的云服务商都提供 PostgreSQL 作为数据库,所以你可以自己使用它,或者外包给别人来做。
你可以从其他地方获取 DNS,可以用 Keycloak 做 IAM。这其实是一种大致相似的编程方式,只是你会说:我基于标准构建块来开发。而这些标准构建块必须做得非常好。
这样,程序员依然可以专注于编程。我们有专门的部门来提供这些标准构建块。他们可能是基于 Havenstandaard 或 Kubernetes 来实现的。
而且你可以在任何地方购买到这些组件。这是一个相当不错的愿景。这也是完全可行的。这并没有什么破天荒的地方,只是你必须开始行动。
为什么我们要这么做?因为这是一个巨大的变革。组织不喜欢变革。管理层不喜欢变革。坦白说,程序员也不喜欢。我已经使用同一个编辑器三十年了。我可以透露一下,直到我死我都会继续用它。
(当然是 Emacs 了。)
但如果你想要改变现状,就需要高层有强烈的意愿。因此,组织高层必须有人说:“是的,我知道不使用 Amazon 会带来更多麻烦。但我们还是要这么做。”
那样的话,事情就会变得很棘手。
“我们到底是不是搞 IT 的”成了一个核心问题:
你的组织是做 IT 的吗?还是不是?
如果你的组织是“搞 IT 的”,那么主管就敢于说:“是的,我们要进行这项变革,我非常期待。我很好奇你们都会构建出些什么。”
一个典型的非 IT 组织会说:我们必须好好制定我们的 requirements。然后让招投标流程顺其自然发挥作用就行了。因此,他们把 IT 当成咖啡机或者下水道,当成某种应该由别人替我们搞定的事情。
这就是目前的常态。常态就是管理团队认为“IT 部门做的事,‘只要’正常运转就行了”。顺便说一句,一旦有人用了“只要”这个词,你就知道他其实并不想真正去深入思考。这种状况必须改变。
如果你本身不是搞 IT 的,那你总是会选择中庸之道。你会说:照搬其他人的做法就行了。我不想惹事生非。如果市场上所有人都觉得 M365 好,那我们也就跟着用。
逆流而上需要具备大量的专业知识。
说点积极的事情吧。我们还能做到吗?
在荷兰,我们还能独立部署、操作和开发自己的 IT 项目吗?我想提一下荷兰选举委员会(Kiesraad)。很久以前有过一次招标,计划将软件外包开发。选举计票甚至可能要在云端进行!
幸运的是,那次招标因为其他原因流标了,于是我们得以重新开始。后来我也加入了选举委员会。当时我们就明确表示,选举是我们自己的事,必须将其牢牢掌控在自己手中。
选举系统就像马斯兰特阻水闸(Maeslantkering)一样至关重要。绝不能出现计票因云服务中断而受阻,导致我们不得不到处去提交工单,听着“如果您的选举系统出现问题,请按1”这种事。好在,我们成功了!
在最近的市议会选举中,有14个市镇使用了我们自主开发的软件,在本地计算机上脱离云端完成了计票。这一切完全行得通。
我还想提一下 SURF 的相关活动。荷兰各地都在进行各种试点项目。大家可以在这些项目中尽情试验,但就是不让投入实际生产环境。不过,SURF 的 Nextcloud 试点项目可是个动真格的试点。我非常希望它能取得成功。
如果这个项目失败了,其实就没有第二次机会了。压力不大哈。(笑声)但我非常赞赏这项举措。因为,它确实蹚出了一条路。所以,我们还是能做到的。
我还用灰色标出了 DAWO,这是 SSC-ICT 发起的一个项目。还有 MijnBureau,这是更广泛的政府部门联合发起的一项倡议。但它们在图上显示为灰色。为什么是灰色呢?因为它们都属于不允许投入实际生产的试点项目。这已成为荷兰政府内部的一个反复出现的模式。
我的演讲快要接近尾声了。
这个金字塔展示了:在荷兰,决策权掌握在谁手中?在最顶端,我们看到政界目前在下议院以150票全票赞成支持数字主权(digitale autonomie)。
他们对其他任何事务都没能达到150票的全票赞成。如果你问,饮用水法案好不好,可能都拿不到150票。但数字主权好不好?150票全票通过。
至少在下议院,政界对此抱有很高的热情(不过顺便说一句,一旦涉及到要花钱,大家就会开始要求多给点时间了)。
处于顶层的高管们,比如各位大臣等,他们会说,我觉得这个理念挺好,但是没有预算,不过我们确实认为这很重要。这本身已经是件好事了,也算是一种进步。
但在高管层之下,却隔着一层极其强硬的管理团队。
为什么我们会变得如此彻底地受制于数字依赖?因为有一大批管理者在过去整整二十年里一直在说:“嘿,我对此毫不关心,直接向 Microsoft 采购就行了,我所有的朋友和同僚管理者们也都是这么做的。”
现在,我们要求这些人退一步,去承认他们在过去二十年里所做的工作是不好的。
这是实现更高数字自主权过程中最棘手的一个群体。这些人二十年来从未涉足数字自主权领域,现在还会说,“我靠继续干老本行也能安稳退休。”
这部分人是最难被动员起来的,而且他们都是非常资深的政府官员。
接下来是一线工作人员,我们必须认识到,我们(在座的各位)并不属于这个群体。我们在座的都是受理想主义驱动的人。这就是为什么我们坐在这么个闷热的房间里,因为我们觉得这件事很重要。我们坐在这里,可不是为了能分到什么公司配车。
IT 领域有极大一部分人就是冲着公司配车去的。他们非常适应 Microsoft Big Tech 生态系统,而且也确实游刃有余。现在我们却要问这些人:你们愿意离开自己擅长的领域,来参与这项实验吗?
这些人的回答也合情合理:“不用了,我用 Excel、Azure、Outlook 和 SharePoint 就能搞定一切,我打算继续这么干下去。” 这也完全不足为奇,因为这些正是他们所擅长的。所以,我们很难轻易把他们争取过来。
那么,在右侧我们还有一群真正充满热情的人,也就是我们自己。但遗憾的是,这个群体的规模较小,而且他们往往也不掌握那些实际运行的 IT 系统的控制权。
在金字塔的底部有一条虚线,跨过这条线我们就进入了 Atos、Kyndryl、Sopra Steria 的领地。以前那里是 Ordina,但他们觉得现在的这些名字听起来更好[笑声]。
最底层完全被 Big Tech 给“腌制”透了。这就是他们的日常工作,是他们赚钱的途径,也是他们获取折扣的来源。
每当有组织大规模部署 Microsoft 的产品时,总有一部分资金会落入 Kydryl 们的口袋。这就是他们的世界,也是他们所热衷的。如果我对这些人说:“想参与我的数字自主权项目吗?”他们会回答:“改天再看看吧。”但他们毫无热情。当然,他们也没有理由要有热情。
在这个金字塔底部画着一条虚线,因为如今政府和企业的 IT 系统有很大一部分干脆就是由 Capgemini 运营的。所以,现在早就不是“我们从他们那里雇人”的层面了。事实上,TweedeKamer.nl 背后就是 Capgemini。只是他们没明说罢了。如果直接叫 TweedeKamer.Capgemini.nl,反而更诚实一些。
这些人也完全不想搞什么数字自主权,因为他们现在的日子过得很好。他们能赢得招标,能提交合规的报价。
我想表达的是:我们必须迈向新方向,而要扭转所有人的观念并说服他们,将是一项浩大的工程。
如今,数字自主权的重要性已经非常明确。
政界已经被说服了。各组织的高层也基本被说服了。
而眼下新的任务是审视这整个金字塔,并思考:我们到底该如何推进这件事?
这里简单回顾一下近期的进展。政府是否走在正确的道路上?确实出现了一些微小的转机,一些不利的动向最终也未能得逞。但与此同时,整体情况看起来并不乐观。由于将数字主权这一议题在 BZK 和 EZ 之间进行了莫名其妙的(重新)分配,导致相关部门目前主要都在忙于内部扯皮。ABDTopconsult 的调查也指出了这种职权划分有多么荒谬。
关于“荷兰数字服务”(Nederlandse Digitale Dienst)的进展十分有限,看起来它终究还是更像一个协调性质的机构。
在《干练政府行动计划》(Actieagenda Slagvaardige Overheid)中,对荷兰数字服务有不少溢美之词,但他们却开始任命经验丰富的律师来担任负责人。这些人与实际业务相去甚远。
在《荷兰数字化战略(NDS)框架下主权政府云探索现状》报告中同样有华丽的辞藻,但也再次重申这需要花费资金,而且这笔资金尚未落实。
我非常希望他们最终能找到资金和真正具备管理能力的专业人才。
数字自主权:组织“现在”能做什么
从哪里开始呢?这是一个积极的页面,上面写着:这里有大概十件每个组织今天就可以着手去做的事情,以提升数字自主权。这些事情一点也不难。为什么这件事如此有趣?想象一下,组织看着这份清单说:是的,听起来不错,但我们“全都不会”去做。
那你会说:好吧,所以你们不想做。因为这些事情都是唾手可得的果实,你们本可以轻松做到。如果你们连这些事情都说“我们不打算做”,那你们就是根本没有把这事当真。
拿这份清单去和你们的管理层对峙,是一件非常有趣的事。
建议
从小处着手,但要做重要的事。
这就是为什么 SURF Nextcloud 试点项目如此有趣,因为人们会真正去使用它。当然,他们还有一个 plan B,但这将会是真正投入使用的。
如果行得通,你就会说:好的,现在我们有 skin in the game(切身利益攸关)了。我们已经做了一个演示,它跑通了,证明可行。我们解决了一个问题,现在我们可以继续前进了。
你尤其不能做的,就是制定一个好大喜功的计划,比如“到2027年我们要摆脱 Microsoft”。因为那注定会失败,而且即使是那些似乎支持这种计划的人,可能也在暗自希望它失败,因为这样他们就不需要做出任何改变了。
因此,从小而重要的地方开始,这样我们就有希望找到重回巅峰的道路。
最后,我们必须回归到一个将 IT 视为核心任务的政府和管理层。只要他们不将其视为核心任务,就不会致力于实现数字自主权。这就好比公共工程与水管理总局(Rijkswaterstaat)说:我们有纸张、打印机、计算机、汽车部门,以及一个处理桥梁和道路的部门。不,它必须排在前面。它必须置于首位。
此外,基于我们自己掌控的计算机和服务进行构建,应该重新成为常态,因为我们认为这很重要。至于那些现在还在说“是啊,欧洲太小了,我们必须等到欧洲云自发形成后才开始行动”的人。
那是不切实际的说辞。说这话的人只是不想干罢了。
但是,还是有进展的。祝你们在这方面一切顺利。谢谢大家!
延伸阅读
需要完整排版与评论请前往来源站点阅读。