#34 - Soevereiniteit in een militaire context: leren van de pionerende Fransen (met Reinout Pieneman)
Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoemaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.
Renco:Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen. En daar valt veel over te bespreken. Dus veel plezier en.
Reinout:Al lang was het mijn droom om een keer te podcasten met een man waarmee het allemaal begon. En hij zit hier tegenover mij. Dat gaan we zo meteen ook verder toelichten wat ik daar precies mee bedoel, maar ja. Tegenover mij zit Reinout. Reinout kan je wat kort over jezelf vertellen?
Reinout:Waarom heb ik
Renco:je zover gekregen om in deze podcast te komen?
Reinout:Ja, ik ben Reinout Pieneman. Sinds een aantal jaren houd ik me ook bezig met de informatiebeveiliging. En in dit geval iets meer in het militaire domein. Als technical lead heet is de rol bij Thales Nederland.
Renco:Nou, als je in de defensie industrie actief bent, dan weet je wie Thales is volgens mij.
Reinout:Ja, veel oude mensen kennen nog wel eens Holland signaal, radars, dat soort associaties worden vaak op een verjaardag mee opgeroepen. Maar Talis is een wereldwijd bedrijf. Het moederbedrijf is Frans en Thales Nederland is een zelfstandige BV. Komen we straks nog wel eventjes op. In die groep en daar ben ik werkzaam.
Renco:En wat doet een technical lead?
Reinout:Technical sales. Dus dan zou je kunnen vertalen je moet een functionele analyse van hé, dit heb ik nodig. Oké, dan heb je ongeveer deze technische oplossing nodig, die vertaling. En achter mij staat een heel team van engineers en architecten die je daarbij helpen.
Renco:En die moeten dat dan eigenlijk waarmaken?
Reinout:Ja, uiteindelijk ja, wat jij belooft aan de opdrachtgever of klant dat moet jij dan ervoor realiseren dat het
Renco:ook daadwerkelijk werkt. Maar dan is het natuurlijk wel de vraag hoe heeft
Reinout:het zo kunnen lopen Reinout dat jij daar beland bent en niet dat wij onze gezamenlijke avontuur van nou, wat is het? 10, 12 jaar geleden om iets te gaan doen in informatiebeveiliging. Daarvan kan je zeggen dat is gelukt. Maar we hadden ook, we hebben
Renco:ook het idee gehad om dat samen te doen.
Reinout:Ja, dat hele mooie vraag. Ja, maar de, dan gaan we even voor de luisteraars ook even terug. Renco en ik kennen elkaar al heel erg lang. Vanaf de middelbare school Wordt echt lang, Ja, ja, het wordt... Dat is inderdaad erg lang.
Reinout:Nog altijd een interessante reis zijn we samen aan het maken. En in dit geval toen Renco overwogen om iets in de informatiebeveiliging... Of eigenlijk jij wist nog niet wat je ging doen met je de rest van je professionele leven. En toen zeiden we van ja, maar misschien is informatiebeveiliging, was 2014, 15. Misschien is dat wel iets.
Reinout:En dat was toen upcoming. Zat...
Renco:Wij zaten in de voorhoede met dat plan al.
Reinout:Ja, we waren 1 van de early adopters. Toen zijn we met een bedrijfsideetje van hé MKB. Die hebben misschien straks wel hulp nodig op informatiebeveiliging, want we zien allerlei security normen op ze afkomen, maar ook heel veel incidenten. Maar er waren ook een aantal mkb'ers die zeiden van ja, wat is het risico en wat is de pakkans? Ik ben helemaal niet interessant.
Renco:Ja, ik kan me dat nog herinneren dat ik toen interviews afnam met
Reinout:een aantal mkb'ers. Omdat ik daarvoor had
Renco:ik een onderzoeksbureau. Dus ja, ik dacht hé als je een nieuw idee hebt, dan ga je een onderzoekje doen. En dan zat ik met die mkb'ers aan tafel en moest eigenlijk eerst het probleem nog verkopen. En daarna pas kwam de oplossing. Dus ja, ik vond dat uiteindelijk niet het beste, niet de beste afzetmarkt.
Renco:Ja. En dat werden dan voor mij toen gemeentes. Ik begon toen wat toen heette Informatiebeveiliging Gemeente. Ik dacht ja, dat is echt meteen wat ik doe. En wat ben jij dan toen gaan doen?
Reinout:Nou, ik was op dat moment was ik al werkzaam bij TNO. Daar kwam ook het idee vandaan van joh dat wordt wel een ding. Dus daar moeten we ook een beetje op bij trekken. Ook als kennisinstituut. Dus daar kwam het idee vandaan.
Reinout:En ik ben eigenlijk wel, we hebben qua, we hebben een aantal opleidingen nog zelf of samen gedaan hè, we hebben een aantal certificeringen doorlopen. En ik ben eigenlijk altijd bij TNO was die security kennis ook wel nodig. En dat zie je nu ook wel, het vak is een stuk volwassener geworden. Mhmm. In elk geval in de civiele wereld, in de militaire wereld loopt men nog een stukje achter in de aanname dat er niet altijd een internetverbinding is.
Reinout:Dus waarom zou je dan voldoen aan een bij een wapensysteem aan normen die ook voor voor het reguliere internet gelden. Dus daar heb ik me altijd wel mee bezig gehouden, want bij TNO maken ze heel veel proof of concepts of prototypes. En in die periode was er op de in de defensie hoek nog niet zoveel geld. Dus dan was het ook vaak ja, het mag niet van de beveiligingsautoriteit in dat geval.
Renco:Leuk. De BVA, ja?
Reinout:Ja, de de dan dan had je een mooi experiment met het team gedaan en dan ging je naar een generaal hé, what's next? En zegt die ja, goed idee en zelfs als het dan van de beveiligingsautoriteit mag hè, daarvoor hadden we dan ook een stukje kennis opgedaan, dan zat het op een goed idee, maar geen geld. Was dan vaak de conclusie. Onbevredigend. Onbevredigend, dus daarom ben ik uiteindelijk ook na 10 jaar bij TNO weggegaan.
Renco:Ja, en nu zit je aan de, mag ik dat zeggen, de aanbiedende kant, hè. Ik bedoel Thales biedt eigenlijk
Reinout:oplossingen voor complexe ja, het ziet er altijd groots meeslepend en complex uit als ik Thales aanbod voorbij zie komen. Ja, voor jou geldt dat hopelijk minder, want
Renco:jij moet het ja, jij moet het matchen met die klantvraag. Ben ik wel even benieuwd. Wat is dan bijvoorbeeld zo'n klantvraag? Ik snap dat je niet in specifics kan gaan, maar kan je algemeen voorbeeld noemen met zo'n vraag waar iemand dan bij jou betalen ze terechtkomt?
Reinout:Nou om hem wat concreter te maken voor het Nederlandse leger. Ik houd me bezig met het ontwikkelen van ik noem het even de Tesla tank, hè. Een gedigitaliseerd gevechtsvoertuig van de toekomst, hè. En een ander voorbeeld is Nederland, een Thales Nederland heeft een radar gemaakt, hè. Die werden altijd al op de fregatten gezet.
Reinout:Hele grote, grote
Renco:Dat was de hardloper toch? Die radar of niet?
Reinout:Was dat niet 1 van de... Ja, ja, in Nederland is best wel goed in radars bouwen. Lees als een Nederlands fregat met een Nederlandse Thales radar in dit geval. Die monitort vaak de raketten voor de Amerikanen, want Nederland ziet zich gewoon eerder dan als de Amerikanen iets door de door de ruimte of net tegen de ruimte aanschieten. Oké, dus dat is een compliment voor ons dan.
Reinout:Dat is een compliment voor ons. En in die kennisdriehoek heeft een Thales ook gezegd van hé, maar misschien kunnen we was eigenlijk al 10 jaar geleden met de Nederlandse landmacht gezegd van kunnen we die marine radar eigenlijk niet groen spuiten, wat kleiner maken en op een Scania zetten. Nou dat is 10 jaar later. Dat is allemaal niet moeilijk hè? Het is niet zo heel moeilijk.
Reinout:Dus dat zijn hele gave radars die heel ver kunnen kijken. En dat is nu met de dreiging voor zoals je in Oekraïne ziet is dat een mooie oplossing die ook gretig aftrek vindt in
Renco:Oké.
Reinout:En mijn taak daarbinnen.
Renco:Ja.
Reinout:Is dan nu kijken van hé die radar genereert nog steeds zoveel informatie. Dus die doet de processing al ad die edge zoals we dat wel eens noemen. Die die spuwt niet allemaal ruwe data mee door, maar die doet zelf een analyse van hé dit zie ik en dit zou ermee kunnen. Dat gaat dan naar een vuurleidingcentrum. Maar hoe krijgen we dan de data over een radioverbinding naar een naar dat vuurleidingcentrum.
Reinout:Want...
Renco:En dan ook nog op een veilige manier dan veronderstel ik. Want dat die data onderschept wordt, ontcijferd wordt, dan heb je een probleem.
Reinout:Ja, en daar komen, daarin zie je dus dat security kennis wordt integraal onderdeel van een technisch, technische oplossing. Hè, dus het is niet meer we trekken even een security specialist erbij. Je ziet ook ook de normen waar we binnen talking ze als multinational aan moeten voldoen. Krijgen we ook een soort iso auditor van hé is deze oplossing ook security wise volwassen genoeg? Maar dat is 1 horde van de vele voordat we iets mogen aanbieden.
Reinout:Hè dat is...
Renco:Gewoon een harde randvoorwaarde. Als je hier niet aan voldoet dan doe je gewoon niet mee.
Reinout:Ja, ja en dat is al intern omdat er in het militaire domein en zeker in het militaire OT domein eigenlijk door de NAVO nog geen gedegen normen zijn opgesteld. Er zijn wel wat normen, maar het is niet van zoals je in de IT wereld roept 27000 compliance hé met de stempel erop. Zover is het denken in de militaire wereld nog niet, omdat het heel veel wapensystemen, SEWACO noemen ze dat ook, sensor wapen combinatie. Die hebben nooit aan de internet gehangen. Dus vandaar dat Thales zelf zegt van wij trekken ons beetje bij.
Renco:Maar is dat dan ook waarom je het net vergelijkt met OT? Omdat dat dan vaak ook apparaten zijn, machines zijn die van oorsprong niet ontworpen zijn om aan het internet te via het internet te worden aangestuurd of wat dan ook. Of uitgelezen te worden en dan later een interface krijgen waarmee het allemaal wel kan. Met alle beveiligingsissues die daar dan weer bij horen. Dat klinkt alsof je dit soort issues ook naar binnen trekt.
Renco:Op het moment dat je die SEWACO's... Ja, ik ben even trots op mezelf. Die SEWACO's alsnog aan het internet knoopt.
Reinout:Ja, ja, dat is feitelijk hè. De 62443 de OT security Ja. Die heeft nog niet een militaire variant. Want die kennis is nog best schaars. Dus je ziet wel dat de NAVO dan zegt en ook Nederland pusht daarin wel intern hé Nederlandse defensie, hé NAVO hier moeten we iets mee.
Reinout:Maar dan ja, dan wordt het toch een stukje politiek, want er moeten een aantal landen, minimaal een ja, 6 of 7 landen binnen de NAVO moeten zeggen, wij vinden het ook belangrijk. Ja, en dan gaan er een aantal nou ja, security specialisten bij elkaar zitten. En zelfs dan heb je een mooie norm. Dat heb je vaak binnen die NAVO-normstellingen. Ja.
Reinout:Maar ook een het laatste schaapje in die NAVO-kunde moet ook mee kunnen. Dus zelfs al zeg je van wij gaan aan deze standaard voldoen, dan zijn er sommige landen die zeggen ja, maar daar hebben we eigenlijk helemaal geen zin in of dat kost ons heel veel geld. Dus dat ja, je gaat net zo hard als het tempo van het langzaamste schaapje. En
Renco:dat is soms niet wou ik net constateren eigenlijk. Dan degene die technologisch meer geavanceerd zijn die worden eigenlijk in ieder geval in NAVO-verband geremd. Maar die zullen misschien dan bilateraal of op eigen kracht toch al ja, normenkaders adopteren of ontwikkelen. Omdat je anders onnodig achter komt te liggen eigenlijk voor je gevoel.
Reinout:Ja, ja, dat NAVO is uiteindelijk een consensus partij, maar daar zie je wel oplossingen. Soms zie je een kopgroepje ontstaan en bij een missie zoals in Afghanistan zeiden Amerikanen, we hebben die IT niet voor mekaar. Wij rollen een netwerk uit. Wij zorgen voor SarCom verbindingen en dan kunnen jullie daarop inpluggen. En dat initiatief loopt nog steeds, dat heet federated mission network.
Reinout:Hè, er zijn nu interventies bedacht dat een aantal landen waaronder Nederland kunnen gewoon zeggen dit is het internet en jullie kunnen conform deze standaarden kunnen jullie veilig jullie gerubriceerde netwerk aan de backbone hangen en dan kunnen we veilig data uitwisselen.
Renco:Oké en Thales is, je zei eerder van oorsprong een Frans bedrijf. Ja. Zal vast veel klanten hebben in Europa. Dat klopt. Misschien de Amerikanen ook wel als klant.
Reinout:Er is ook een Thales in Amerika.
Renco:Klopt. Er is een Thales in Amerika, ja oké. En nou, hebben nog wel wat met dreigingen te maken in de wereld, Dus digitaal natuurlijk ook gewoon, want je zei het al in is gewoon een oorlog gaande. Dus ja, als je dan een soort technologisch voordeel hebt of omdat je gewoon geavanceerdere dingen kan of omdat je beter in staat bent de constant aanvallende Russen te weerstaan, omdat jouw crypto bijvoorbeeld unbreakable is of wat dan ook. Dus ik kan me voorstellen dat dat de propositie van Thales ten goede komt eigenlijk die ontwikkelingen op geopolitiek gezien.
Renco:Dus ja, wat jullie bieden dat lijkt heel erg relevant te zijn.
Reinout:Ja, tegelijkertijd merk je dat dat ik zal het even concreet maken. Het Thales, het is een Frans bedrijf en Fransen denken fundamenteel anders over soevereiniteit in dit geval. Die hebben hun eigen energievoorziening. Die hebben hun eigen voedselvoorziening. In de zin en dat komt allemaal terug uit de goal nog, Na de Tweede Wereldoorlog, maar ook in de Tweede Wereldoorlog was de goal gewoon een hele trotse man.
Reinout:Laat ik het zo maar zeggen. En dat dat DNA zit er nog steeds in. Moet je eigen broek op kunnen houden. Natuurlijk als andere Europese lidstaten ook wel
Renco:lang om gegniffeld heb ik het idee. Dat een...
Reinout:Ja, maar nu denken we. En en nu zeggen we van dat is eigenlijk toch wel heel erg handig, hè. Zo van de Britten kunnen hun eigen nucleaire wapens niet lanceren als Amerika dat niet wil. De enige die dat kan zijn de Fransen. Dat kost ook heel veel geld, maar tegelijkertijd de die soevereiniteit heeft dus een prijs.
Reinout:Maar nu als Europa mogen we wel blij zijn dat er zo'n partij is die dat wel heeft gedaan. Om dat heel concreet te maken. Thales heeft in 2018 Gemalto gekocht. Ja, leuk, prima aankoop. Maar wat daar op de achtergrond speelde.
Reinout:Kan je kan je kort even iets vertellen over Gemalto? Wat was dat voor een organisatie die Gemalto is? Gemalto is een Duits een Duits bedrijf was dat, is dat nog steeds. Die eigenlijk als laatste in Europa nog vanaf de fysieke laag, hè dus chip kaarten, dat soort techniek. Eigenlijk alle hardening konden konden in van de oplossing konden voorzien.
Reinout:Dus jouw bankpas is bijvoorbeeld nu beveiligd met een met een talking chip. Maar dat dat is eigenlijk gewoon Gemalto.
Renco:Oké. Ze hadden een uniek stuk kennis en techniek. Ja. Wat waarschijnlijk ook de reden voor Thales om het te kopen dan.
Reinout:Ja, als je een PKI opzet pak je vaak een harde security model. En dat is een Gemalto leest Thales harden security model. Dus die maakt de rootkeys voor de rest van je PKI. Er zit een hele ceremonie achter. Er zijn fysieke sleutels, fysieke componenten en dan heb jij een Een ceremonie dat klinkt toch...
Reinout:Een key ceremonie. Ja, ja, dat gaat heel officieel als je zo'n HSM koopt harden security model. Dus dat is gaaf hè dat voegt Thales dan toe aan haar winkel, aan haar wereldwijde winkel. Maar wat dat interessant maakt is als dat in 2018 niet door Thales was gekocht. Dan wist de Franse president heeft hij de baas van Thales gewoon een opdracht gegeven hè.
Reinout:De Franse staat in 40 procent van de aandelen van Thales Frankrijk. En die zegt, dus dat is ook gewoon industriepolitiek. En die zegt gewoon anders kopen de Amerikanen het en dan kunnen wij dit niet meer. Nou nu met de kennis van nu hè is dat een hele slimme stap. Maar als dat niet was gebeurd dan hadden wij ook onze eigen bankpassen niet meer fysiek kunnen beveiligen.
Reinout:Ja, als in dat we dan ook afhankelijk waren geweest van Amerikaanse technologieën en Amerikaanse bedrijven. Wat nu ook in het huidige klimaat een omstreden onderwerp aan het worden is natuurlijk, Die hele tech afhankelijkheid, hè. Hoe ga je, nou dan zul je als man die de klantvraag moet matchen met jullie enorme winkel zullen we zeggen, waar allerlei producten en diensten in zitten, dan zul je vast ook heel vaak de vraag gesteld krijgen hoe zit het dan met soevereiniteit? Ja, die vraag hebben we met.
Renco:Dat voelt trouwens wel als een erg geprepareerde vraag denk ik.
Reinout:Ja, ja. Dus in die gedachte van we moeten ons als Europa, maar ook als Frankrijk oorspronkelijk onze eigen broek op kunnen houden. Levert de... We hebben een aparte entiteit, hè. We hebben een business line zoals dat in zo'n grote organisatie dan heet.
Reinout:En die levert eigenlijk de crypto sleutels net zoals ik het net had over GemaltoDimulto voor heel wat landen. Omdat die zelf ook hun eigen crypto sleutels niet kunnen maken voor een ja, zeg maar een HSM maar dan op NATO niveau hè. Dan heb je eigen nationale rubriceringsniveau. Ja. En Nederland zit daar altijd wel in de kopgroep.
Reinout:Dus als de Nederlandse beveiligingsautoriteit iets goedkeurt, dan zegt de ANSSI in Frankrijk of de de Duitse tegenhanger van de beveiligingsautoriteit zegt, als jullie het goedkeuren dan wij er ook wel wat sneller vertrouwen in.
Renco:Ja, precies. Want elkaars autoriteit worden en expertise wordt gerespecteerd eigenlijk dan, ja.
Reinout:Ja en dat is de, dat is een militaire crypto gaat het dan om. Maar je ziet dat ook Nederland daarin afgelopen jaren nou ja, die vonden het wel oké om het vaak op crypto van een ander land, hè. Wij kunnen zelf niet onze crypto algoritme schrijven. Nou, dat is nu een overweging waar waarin we ook. Maar kan je dat
Renco:ook nog willen dan je eigen crypto bedenken ook?
Reinout:Ja, want zo ja, want zelfs als jij dus wat we wat Thales nu bijvoorbeeld doet in die militaire soevereine security tak heet dat ook. Hè, in die business line.
Renco:Een militaire soevereine security taken, oké.
Reinout:Ja, dus naast wat we met Gemalto hebben gedaan kunnen we ook de militaire sleuteltjes kunnen we maken. En dat kan dus voor een aantal landen waar die dat zelf niet kunnen leveren we dat. Ja. Maar nu heeft de Nederlandse vraag heeft in de nationale crypto strategie ook zichzelf de vraag weer gesteld van moeten wij nou zelf weer onze militaire sleuteltjes kunnen maken. Dus wat er dan gebeurt is die die sleuteldozen, laat ik het zo maar zeggen, moet aan hele strenge normen voldoen.
Renco:Ja, gelukkig. Maar
Reinout:dan heb je een fysiek doosje, maar dan heeft in dit geval een taal als Noorwegen heeft als enige in de groep een goedkeuring om dat op NAVO niveau ook te doen, hè. NAVO is nog een soort overkoepelende security standaard die nog strenger is. Cosmic top secret zit erop. Fantastische naam trouwens. Wat zei je nou?
Reinout:Cosmic top secret. Dat is Uber geheim zullen we maar zeggen. Dat... Je dacht u dat het nog geheimer kon? Maar dat kan niet.
Reinout:Ja, ja, Maar dat is dus zulke specialistische kennis en zo zulke strenge normen dat zelfs in de Thales groep dat ze zeggen van ja, dat kunnen we wel ook terugverkopen aan andere landen die daar behoefte aan hebben. Maar nu zie je dus een aantal nationale overheden weer zeggen van ja, maar wij willen eigenlijk ook wel die die die nou ja, gewoon componenten. Die die hsm's bijvoorbeeld, maar dan voor militaire inzet. Ja. Willen we zelf weer kunnen maken.
Reinout:En dan nu is een overweging om dat dan weer op nationaal niveau te doen voor een aantal landen, waaronder Nederland. Maar is dat dan voor zo'n
Renco:klein land als Nederland niet volstrekt naïef? Dan hebben wij de kennis en expertise en misschien ook het uithoudingsvermogen om dat op termijn dan weer helemaal te kunnen insourcen? Die kennis
Reinout:kunnen we weer opdoen. Ja, als je maar wil kun je heel
Renco:veel. En
Reinout:je zei net soevereiniteit.
Renco:Exact, ja.
Reinout:Ja, een aantal jaar geleden heeft
Renco:Dat woord zet ik natuurlijk in de titel van deze aflevering, want dan gaan meer mensen luisteren. Dat is prima.
Reinout:Dus daarom wat Frankrijk in die gedachte ook een aantal jaar geleden al heeft gedaan is hé cloud technologie zeer interessant, maar Google, Google Amerikaans. Dus hoe hebben ze dat opgelost? En dat is de keuze wat je nu ook wel veel in Nederland in het publieke debat hoort is hé, wat is nou eigenlijk je definitie van soevereiniteit? De Fransen hebben in mijn optiek de meest extreme variant gekozen, lees.
Renco:Dat verrast dan ook weer niet hé, dat de Fransen daar dan
Reinout:maar dat is wel een goed referentiepunt. Want wat heeft Frankrijk gedaan? Die zijn naar Google gegaan en die zeggen joh, jullie hebben een goede stack. Die willen we best wel hosten. Ook voor onze nou ja, meer high assurance workloads.
Reinout:Dus ook de Franse industrie kan daar haar workloads al op draaien. Die is ook nu voor de politie en de overheid is die beschikbaar. Dat heet de Sans, Google Sans is dat.
Renco:In welk opzicht verschilt deze variant van de Google Cloud dan van andere varianten van de Google Cloud? Waar zit hem dat dan in?
Reinout:Dat er geen fysieke connectie meer is. Dat heet tegenwoordig heeft Google dat ook iets explicieter in de markt gezet. Google Distributed Cloud air-gapped.
Renco:oké.
Reinout:Als de luisteraars dat googelen dan vinden ze dat wel. Maar dat komt oorspronkelijk dus weer uit Frankrijk. En dat is de eerste keer dat Google dat in de wereld heeft gedaan met de soevereine Fransen. Maar de Franse overheid vond al niet genoeg. Die zei van ja, maar we hebben nog steeds Google medewerkers die dan in een datacentrum achter de knoppen zitten.
Renco:Ja, nog steeds problematisch. Ja. Want je bepaalt komt.
Reinout:Ja, want dan heb je nog steeds een Amerikaanse partij die dat host. Dus daar heeft de Thales ook gezegd van wij starten een joint venture met Google. En alle medewerkers die toen nog bij Google werkten zijn gewoon allemaal massaal overgegaan naar die nieuwe joint venture. Dus de legal entity zit ook in Frankrijk van Sans en daarmee heeft Google ook gezegd hé succes met je cloud. Met onze medewerkers met die kennis die ze hebben.
Reinout:Vanaf nu wij kunnen nog wel een update pushen van onze IaaS's of PaaS infrastructuur. Maar dan moeten we moeten jullie zelf de code review gaan doen Met de medewerkers die je op dat moment hebt. En dan moet je zelf iets
Renco:gaan Nou ja, ja, zou moet ik b zeggen dan hè. Dus als je helemaal los wilt staan dan zul je een aantal dingen zelf moeten gaan organiseren die wij eerder voor je deden.
Reinout:Exact. En dat is, dat we, dit is al 2018, 2019 waarin deze overwegingen zijn gemaakt. En nu zie je dat andere landen, hè. Je hebt volgens mij ook een Aldi cloud of een Lidl cloud, hè. De Duitsers kunnen ook best wel snel, zijn goed met crypto.
Reinout:Zie je dat die ook best wel snel soortgelijke overwegingen maken. Maar iedereen gaat langs dezelfde train of thought zie je nu. Die in Parijs al is nou duidelijk is overwogen en waarin keuzes zijn gemaakt. En en als je dan een, dat
Renco:is wel interessant hè? Dus aan de afnemende kanten hebben we eigenlijk dicteert nou nee, nee. Frankrijk bedenkt het eigenlijk, denkt het het meest uit. Werkt het uit, stelt misschien ook wel de meeste eisen aan de leverancier die ze dan ook maar kiest. En andere Europese landen varen er eigenlijk wel bij dat we zo'n pionier aan de voorkant hebben die dit allemaal een beetje ontginst, zou je kunnen zeggen.
Renco:Hoe zit het dan aan de leverancierskant? Want ik hoor je nu Google zeggen. Maar ja, ik hoef maar op LinkedIn even te scrollen en ik heb weer een of andere poster over de Amazon soevereine cloud of de Microsoft, nou ik weet niet of Microsoft soevereine cloud is vast ook wel. Ik bedoel zijn dat dan vergelijkbare technologieën aan wat je net uitlegt met Google of of
Reinout:ik weet niet of
Renco:je daar wat over kan zeggen hoor.
Reinout:Ja, nee, in de in de praktijk de collega's die hier een paar jaar geleden al mee bezig hielden die zeiden ook ja, Google zien we over het algemeen de de gebruiker nog het meest zelf aan de knoppen zitten. Waarin Gemalto of sorry Microsoft en Amazon die zegt van wat is überhaupt de meerwaarde als je nooit meer aan onze cloud hangt dat wij die oplossing bieden. Uiteindelijk af en toe moet er een applicatie of de OS moet wel een call-to-home doen om een bepaalde update te krijgen. Dus dat is heel lang het productbeleid geweest, Maar Google was daar gewoon iets proactiever in, iets mee denkender. Ja en die zijn ook wel redelijk leading in hoe soeverein dus zo'n oplossing kan zijn als een soevereine cloud.
Reinout:Maar je ziet ja, in de nou ja, je zag na het incident met in Den Haag waarin iemand niet meer zijn mail kon openen. Bij het internationaal strafhof dat
Renco:die was heel vervelend. Men legde heel naar bloot hoe de kaarten geschut zijn vond ik.
Reinout:Ja, ja en daarmee toen zei Microsoft in diezelfde maand was het volgens mij nee, maar nu mogen jullie in Europa ook je eigen cloud infrastructuur hebben en daar kunnen we niet meer bij. Ja, en dan krijg je vaak een best wel lastig verhaal, want voor de gemiddelde security officer best wel lastig is het doorgronden van. Ja. Wat is, we weten niet wat de definitie van soevereiniteit is. We hebben dus geen norm daarvoor vastgesteld gezamenlijk.
Reinout:En dan vervolgens moet ik als security officer gaan bepalen of dit ze afdoende beveiligd is. Maar en dan kun je het hebben over je sleutelbeveiliging, maar zijn je medewerkers dan wel voldoende gescreend bijvoorbeeld of zijn die wel te vertrouwen? Dus zolang we geen normen kader hebben is het ook nog een beetje cowboy land. En ja, slik je al snel een broodje van een soevereine cloud waarin de Microsoft vertelt van ja, die sleutels zijn alleen van jou en wij kunnen daar niet bij. Oké, maar wat als de NSA onder de cloud act vraagt van hé, we willen toch wel even in in die infrastructuur kijken.
Renco:Ja, die cloud act dan weer hè?
Reinout:Ja, ja. Overigens is de cloud act moet er wel bij zeggen nog niet zo vaak geactiveerd, maar dus op 2 handen te tellen. We moeten ook weer niet te bang ervoor zijn.
Renco:Ja, je leest dat ook wel in brieven van de minister hè van als hier lastige vragen over vragen over gesteld worden, die worden beantwoord. Dan zie je ook vaak dat er echt wel over nagedacht wordt. En dan wordt deze kaart eigenlijk getrokken. Dat het het kan gebeuren, maar de kans dat het gebeurt is heel klein. En toch zijn we misschien als vakken liefhebbers zullen we zeggen, zijn we heel snel geneigd te zeggen ja, die kans die schuiven we snel van tafel.
Renco:We zeggen ja, het kan gebeuren hè. Het feit dat het kan zou al genoeg moeten zijn hè, ik dacht dat de Fransen denk ik dan maar om het niet te willen. Terwijl je natuurlijk in een, in op andere gebieden als je risicoanalyse doet heb je natuurlijk altijd een kans en een impact component. Hè? Dus het is ook eigenlijk niet helemaal fair om dan zo zwaar op die impact kant te leunen.
Renco:Terwijl die kans misschien echt minimum is. Ja. Maar oké, de Fransen dus. Want er zijn geen enorme kaders, maar de Fransen zei je eerder die hebben dat gepionierd. Ja en kan ik ook dat googelen of omdat we ons nu in het in het militaire domein bevinden.
Renco:Alles wat ik nu googel daar vind ik niks op, omdat het allemaal gerubriceerde informatie is of?
Reinout:Ja, dit kun je allemaal wel terugvinden in verschillende artikelen. Dus ik vertel niets nieuws.
Renco:Nou ja, voor mij vindt hij wel wat nieuws hoor, maar... Oké, ik, oké.
Reinout:Ik ga het even weten. En ik ik zeg hier de Fransen in Europa zijn hier leading in. Maar de Chinezen die bouwen volgens mij vorig jaar hebben ze 500 datacenters gebouwd met dezelfde rekenkracht als wij met een paar cloudtjes hier en daar en dan gaan we huilen als de koeien weg moeten zeg maar. Dus de Chinezen die doen dit maar op een schaal keer 100. Want die beseffen net zo goed dat je niet een Amerikaanse cloud leverancier moet bellen op het moment dat jij rekenkracht nodig hebt Ja,
Renco:dan wil je gewoon zelfvoorzienend in zijn, niet afhankelijk zijn van dat soort geopolitieke krachten. Oké, hé wat is nou het leukst dan aan jouw baan? Je zit in het speelveld, Je hebt
Reinout:allemaal klanten die zeggen soeverein dit, soeverein dat. Nou, wat het leuk maakt is dat het zo'n enorme winkel is. Hè, je zit met 80, 85000 collega's en dat zijn over het algemeen slimme mensen. En dat zie je ook wel bij een aantal, het is niet altijd fantastisch technologie, maar je denkt wel af en toe zit je op een internationaal event, hè. Post-Quantum Crypto heeft iemand al een paar jaar geleden, hè gewoon een algoritme voorgeschreven.
Reinout:En dat zijn dan wel de beste vaak engineers uit bepaalde landen die dat doen. Maar dat je op een Europese schaal echt gewicht in de schaal kan leggen. En waar we dan in Nederland mee bezig zijn voelt af en toe dan wel een beetje als de Jupiler League. Maar als je die kennis en talenten samenvoegen zit je echt wel als Europa ook in de Champions League. En dat is wel gaaf dat je dat gewoon bij een Europees bedrijf ziet en ook kan ervaren.
Reinout:Ja. En dat dat voel ik af en toe echt wel. Ja, we
Renco:hebben ook allebei wel een soort technische ich heb ik wel, hebben we
Reinout:wel eens vastgesteld. We hebben, ik haal, ik geef trainingen zoals je
Renco:weet en dan beken ik
Reinout:ook altijd even dat ik certified ethical hacker niet gehaald heb. Dat altijd even een open wond die dan breng ik
Renco:zelf dan ter sprake. Dat is een training die wij samen gevolgd hebben. Allebei niet gehaald hebben. Dus voor de mensen die dit wel gehaald hebben, maar wij hebben ook niet een achtergrond in onze verdediging. Maar ik merk zowel bij jou als bij mij dat die voorliefde voor de techniek daar waar het dan gebeurt zullen we zeggen.
Renco:Die hebben wij allebei wel. En jij bent eerst heb je natuurlijk bij TNO een aantal jaren gezeten. Toen was het heel erg in mijn optiek best wel abstract en proof of concept. En dan was het eigenlijk klaar. Dat ik dacht ja, wat heb je dan nu opgeleverd?
Renco:Een of ander theoretisch raamwerk of een of iets wat je getest hebt met een defensie onderdeel of wat dan ook. Want TNO werkt natuurlijk veel voor defensie. En nu nu zit jij aan de oplossingen kant zeg maar. Want wat je zegt die winkel die ligt helemaal vol met state of the art spullen. En ik merk ook dat ik in mijn opdracht dat ik denk ja, soms ik moet weer even weer wisselen.
Renco:Soms heb ik een opdracht waarbij ik wat meer adviseur ben. Wat meer strategische opereer en dan denk ik ja, nu heb wel weer zin in techniek. Ja. Dus die het is allebei leuk.
Reinout:En ja, wat dat betreft leven we in een ontzettend leven wij in een ontzettend interessante tijd. Want het gaat echt heel erg snel zoals we dat zien. En dat ervaren we allemaal. Dus misschien is het wel de het coolste decennium om werkzaam te zijn in deze hoek. Want 100 jaar geleden was het heel anders en je ziet ook wel weer dat qua security normering dat de reguliere IT en ook de OT best wel snel volwassen is geworden.
Reinout:Dus dat hebben we met zijn allen goed gedaan als security specialisten. Maar je ziet dat er dat het randvoorwaardelijk hè dat ook security normen met AI. Wat is nou een definitie van een veilige AI als jij in de toekomst nou ja, interactie gaat hebben met een personal AI-assistant? Hoe weet je dat de informatie die die jou geeft dat het is. Dus we leven gewoon in een hele interessante tijd.
Reinout:Ja. En ik denk dus dat deze toch wel lichtelijke nerd kant van ons mooi van pas komt. Ja. Om af en toe wel ergens goed in te verdiepen van wat is hier nou de gist en is dit nou echt nieuw? En waar moeten we dan aan denken?
Reinout:En hoe gaan we nou slim om met al die technische ontwikkelingen? En wat kun je daarin je opdrachtgever adviseren?
Renco:Ja, mij lijkt dus ook die die die militaire omgeving dan wel nog een soort extra gave toevoeging. Omdat het dan voor mijn gevoel zeker in het huidige wereld klimaat er nog meer toe doet of zo. Ja,
Reinout:vroeger was het niet ethisch om bij Thales te werken. Werd je nog wel Nou, daar heb wel eens opmerkingen gehad. Toen zat ik er net. Ja, het is niet zo hip. En nu is het...
Renco:Niet van mij toch?
Reinout:Nee, niet van jou. Maar de de en niemand kende het en nu is het hipper. Maar ik ben ook wel weer zo van ja, die wind waait straks weer een andere kant op. Ja. Dus ja, op dit moment zit je op deze plek en dan doe je dat naar eer en geweten.
Reinout:Maar en natuurlijk denk je ook wel eens van ja, deze techniek die we ontwikkelen die wordt ook ingezet, kan worden ingezet om mensen te doden. Ja, als je daar niet tegen kan dan moet je er ook niet werken. Tegelijkertijd zoals ik net zeg van er is heel veel techniek die helemaal niet. Die die juist voor zorgt dat we veiliger zijn. En dat is ook de slogan ook van mijn huidige opdrachtgever, maar ook bij de bij de vorige bij TNO van het is juist ook een wereld die veiliger is.
Reinout:Of die dan voor wie die veilig is kun je natuurlijk een politieke discussie over hebben. Maar zonder die techniek komen we niet verder. En hebben we ook geen vertrouwen in uiteindelijk in de AI modellen die we in de komende jaren allemaal gaan gebruiken.
Renco:Dus in jouw team zijn er nu 10 vacatures dan?
Reinout:We zoeken dit jaar wereldwijd 9, we hebben 9000 nieuwe collega's nodig wereldwijd. Afgelopen jaar zijn er volgens mij iets van 5, 600 nieuwe collega's in Nederland gestart. Heftig. Dus ja, het is lekker om de wind in de zeilen te hebben. Maar dat wil niet zeggen dat het werk er zelfs als de financiële hobbel wat minder is.
Reinout:Hè, het blijft belastinggeld dus de de criteria en de opdrachtgever.
Renco:Doorlooptijden,
Reinout:Ja, die zijn nog steeds daar. Er worden wel wat hobbels weggenomen. Of extra ja hobbels zijn het eigenlijk of hordes om tot een snel tot een oplossing te komen.
Renco:Ja.
Reinout:Maar tegelijkertijd denk je ook dus van ja, als we me als maatschappij iets meer hier op hadden geïnvesteerd dan hebben we bijvoorbeeld heel ander de tanks verkocht. Ik zeg niet dat de tanks nu nodig zijn, maar nu waait de wind de andere kant op en kopen die tanks weer, maar voor de driedubbele prijs. Terwijl die wapensystemen, ik ga wel een nieuwe generatie, die hadden we al. Dus we hebben ook al wat weggedaan en heeft TNO en ook defensie hebben gezegd lijkt ons niet slim, maar goed het is een politiek besluit. Ja, en dan betalen we daar met zijn allen wel de prijs voor.
Renco:Ja, ja, ja, dan kan me voorstellen dat je af en toe denkt van dan zijn die Fransen zo gek nog niet.
Reinout:Tot een bepaald niveau. Ik zeg niet dat Nederland zelf nucleaire wapens moet hebben. Maar ik zou het best realistisch vinden als de Fransen zeggen van joh op NAVO hè, ik verwacht dat je straks een soort core groep krijgt binnen de NAVO van een aantal landen. En dat die ook onder bepaalde omstandigheden dat de Fransen dan zeggen dan mogen jullie ook met onze nucleaire wapens vliegen. Als dat een scenario is.
Reinout:Dus het is niet dat de Fransen zeggen van nou we sturen gelijk een factuur als jullie nu zo'n raket willen. Zo zitten ze er helemaal niet in. Maar ja, de naïviteit is er vanaf. Maar tegelijkertijd denk ik hoeven ook weer niet de andere kant op te schieten en in een soort angst alles maar weer als landje zelf te willen doen. Want we zijn heel erg klein en we kunnen het alleen op Europese schaal oplossen.
Reinout:Veiligheid vraagstuk bedoel ik.
Renco:Zo is het. Nou, veel krachtiger en bondiger kunnen we het niet afronden. Ik ik vond
Reinout:het heel interessant. Ik wij kunnen hier nog veel langer over praten dan we nu doen. Dat lukt trouwens wel beter dan toen je bij TNO werkt.
Renco:Want het wordt ook meer moeite om goed te begrijpen wat
Reinout:je nou eigenlijk deed. Nu nu wordt het voor mij is
Renco:het wat concreter al hoewel je natuurlijk in die militaire context wel wat meer tegen hoe zeg je dat, tegen het in een technologische voorhoede zitten dan waar ik actief ben. Ik zit in een publieke sector, gewoon in het overheidsapparaat zullen we maar zeggen. Dus de landelijke overheid of de gemeentelijke overheid ja, daar hebben we wat minder geavanceerde technologie over het algemeen. Dus ik vind het
Reinout:echt wel interessant om te horen wat er allemaal ja, wat er allemaal nog meer is. Dus wie weet maak ik nog eens een keer de overstap en schrijf ik een keer
Renco:een brief
Reinout:over een van die 9000 vacatures. Ik wou net zeggen dan hebben we er in ieder geval eentje. En laat het me weten dan vangen we nog, ik krijg natuurlijk weer een wervingsbonus daarvoor. Dus als mensen interesse hebben kunnen ze altijd een keertje contact opnemen. Goed.
Renco:Rein, dank je, dank je wel voor je tijd en je inzichten. En ja, wij gaan mekaar weer zien, maar dan gewoon in een café of zo denk ik. Is
Reinout:goed. Dank je wel.
Renco:En daarmee is deze aflevering van qeep talking alweer afgelopen. Leuk dat je luisterde en hopelijk heb je wat bruikbare ideeën opgedaan die je kan toepassen binnen je eigen werk. Op mijn site, qeepposted punt nl vind je naast deze podcast ook blogs, video's, handige links, opinie's en trainingsdata. Abonneren is gratis en zo gepiept en op die manier ontvang je nieuwe content direct in je mailbox. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert.
Renco:Tot dan.
