Afgelopen weken waren er berichten over vernielde zeekabels en verbroken cloudverbindingen. Net zoals mobiele telefonie grotendeels via kabels in de grond gaat, ligt de ruggengraat van ons internet grotendeels in de vorm van internetkabels op de bodem van de oceaan. Mobiel, draadloos en cloud lijken ‘hemelse begrippen’ maar de infrastructuur is aardser dan velen denken. Pas met verbindingen zoals Starlink is mobiel echt ‘draadloos’ en onafhankelijk van ondergrondse of onderzeese infrastructuur. Nederland is van oudsher een knooppunt in de internetwereld, passend binnen onze eeuwenoude traditie om als ‘handelaar’ op knooppunten van logistiek en transport te willen zitten. Voor de datahandel is dat niet anders en – ook passend in onze zeetraditie – is de veiligheid op zee ook voor internationale datahandel, zoals het leveren van clouddiensten, essentieel. Net als onze marineschepen beschikbaar zijn om onze Nederlandse vloot op zee te beschermen, is dat voor de bescherming van de zeekabels niet anders. En er zijn er veel, kijk maar op deze interactieve kaart.

Wolkbreuk van clouds

Het begrip ‘cloud’ kreeg al in de jaren negentig vorm. Het metafoor ‘cloud’ gebruikte David Hoffman in 1994 voor het eerst als communicatie specialist bij General Magic. Compaq breidde dit begrip uit naar cloud computing: het leveren van toekomstige computerdiensten via het internet. En daarbij ‘cloud-computing enabled Applications’ te ontwikkelen en internet service providers te voorzien van de (hardware) servers die hiervoor nodig waren. Een vooruitziende blik van Compaq. Begin 21ste eeuw groeide de cloud snel waarbij Amazon Web Services (AWS, 2002) en Simple Storage Services (S3, 2006) belangrijke commerciële mijlpalen waren.

Ik herinner me destijds bij EMC in 2006 de interne discussies over de potentiële paradigma verandering die hiermee voor data-opslag zou kunnen plaatsvinden. De transformatie van on-premise of ge-outsourcete data-opslag. Van fysieke, tastbare storage naar virtuele, onzichtbare storage. Hoe moest een storage leverancier hierop reageren? De jaren daarop ontstond een echte ‘wolkbreuk’ van clouds, frameworks en clouddiensten van bekenden zoals IBM, Oracle, Microsoft en Rackspace. In 2011 kwam de NIST, the National Institute  of Standards and Technology met de eerste formele definitie van cloud: ‘On-demand self-service, Broad network access, Resource pooling, Rapid elasticity en Measured service’. De stap van zelf-geïnstalleerde software naar Software als een Service (SaaS). 

Van ultieme oplossing naar duur en risicovol

Vanaf 2010 werd migratie naar de cloud steeds vaker opgenomen in de ICT-businessplannen, enerzijds om kosten van ICT-dienstverlening te verminderen – door het delen van gezamenlijke infrastructuur – én de flexibiliteit en schaalbaarheid van de dienst te vergroten. Begrijpelijk en nog steeds de meest geldige bedrijfsargumenten om van cloudleveranciers gebruik te maken. Een tweede belangrijk argument was de betere en hogere veiligheid van zowel de dienst als de gerealiseerde data-opslag. Immers, de grote cloudleveranciers konden vele malen beter deze veiligheid ontwerpen, inrichten en uitvoeren, dan dat kleinere ICT-organisaties dat ooit konden. 

Zoals in elke markt ontstonden dominante spelers die vanuit de bekende 80-20 regel uitgroeiden tot de Big Tech spelers die 80% van de cloudmarkt in handen hebben. Maar met de transitie naar de cloud, verdween ook veel van de interne ICT-deskundigheid bij bedrijven en organisatie. Net als water en elektriciteit uit het stopcontact, was nu computing ook als nutsvoorziening te gebruiken. Maar data is echter geen nutsvoorziening maar een asset. Het is zelfs geen ‘uitwisselbare asset’ zoals geldmunten of bankpapier, maar het is een ‘non-fungible’ asset of token. En specifiek bezit of bewijs dat uniek is en niet-uitwisselbaar is met een ‘andere set data’. Als je een €10 biljet uitleent, is het niet van belang dat je later een ander €10 biljet terugkrijgt. Of zelfs tien munten van €1. Ze zijn immers uitwisselbaar. Echter als je een koopcontract uitleent, wil je niet later een ‘ander’ vergelijkbaar koopcontract terugkrijgen. Deze informatie en data is immers niet uitwisselbaar maar uniek.

Data en cloud staan deels op gespannen voet

Data slaan we – net als geld – op in kluizen en dat worden als snel honingpotten voor personen en organisaties die deze opgeslagen bezittingen willen inzien, stelen of zelfs vernietigen. Data is net zo lastig als geld te beveiligen: je moet het enerzijds ‘ergens’ veilig kunnen opslaan, maar het moet ook kunnen stromen in processen om waarde toe te voegen. Het is goud en olie tegelijkertijd. Goud bewaar in kluizen en het transport beveilig je ook. Hoe meer waardevol en/of interessanter de opgeslagen en getransporteerde data wordt, hoe meer ‘verkeerde belangstelling’ voor die data-opslag en -stromen ontstaat. Om die data te bemachtigen of die economisch belangrijke stromen te verstoren. En dan komen onze zeekabels in beeld. 

Data – zeker digitaal – is in tegenstelling tot goud makkelijk te kopiëren en dus te stelen. Als iemand jouw data kopieert, heb je dat niet snel in de gaten. Immers je hebt je eigen data nog steeds. Een goudstaaf die weg is, mis je direct. Gestolen data is daarom veel lastiger te ontdekken. Zeker als het op afstand en uit het zicht staat, een hele grote, onoverzichtelijke  hoeveelheid is (geworden) en diefstallen steeds slimmer worden uitgevoerd. Het is niet ongewoon dat soms pas maanden later wordt ontdekt dat een grote hoeveelheid belangrijke data is ‘ontvreemd’ of ‘gekopieerd’. Dat wil zeggen dat de inhoud in handen van derden is gevallen. Natuurlijk zorgen cloudleveranciers dat zij optimale state-of-the-art beveiliging ontwikkelen en realiseren, maar het feit blijft dat grote ‘honingpotten’ nu eenmaal aantrekkelijker voor diefstal zijn dan als die honing slim verspreid is over een verzameling – onderling verbonden – kleinere potjes. Eén van de verschillen tussen het centrale Web2 en het decentrale Web3. 

Centralisatie versus decentralisatie

De enorme hype rondom de cloud paste in een periode dat ICT bij veel bedrijven en organisaties was uitgegroeid tot grote, inefficiënte ICT-afdelingen en bijbehorende datacenters. De mogelijke besparingen en gewonnen flexibiliteit was zo enorm groot, dat het een no-brainer was om naar clouddiensten te transformeren. Maar dat was ook in een tijd dat de veiligheid en de uitwisselbaarheid van leveranciers (nog) geen probleem was en niet hoog op de business agenda stond (zie mijn blog ‘Cloud is Chefsache‘). Maar die tijden zijn veranderd, evenals de wetgeving en aansprakelijkheid die intussen op dit gebied is ontstaan. En de langzamerhand ontdekte ‘fysieke kwetsbaarheid’ van cloud-infrastructuren om ze te saboteren, te beschadigen, te gijzelen of zelfs te vernietigen. 

Zoals een slinger altijd doorslaat, geldt dit ook voor transformaties. De mooie belofte van de cloud bleek na de hype toch op diverse gebieden haken en ogen met zich mee te brengen. Dat doet niets af van de schoonheid en de logica van het cloud-model: centraal diensten uitvoeren en daarmee efficiency en kostenbesparing realiseren. Vergelijkbaar dat centrale energiecentrales nu eenmaal vele efficiënter zijn dan duizenden verspreidde energiebronnen op zon en wind. Maar centralisatie brengt – denk aan kerncentrales – gevaren met zich mee, waardoor nu kleinschalige kerncentrales midden in de belangstelling staan. Decentralisatie wordt dan efficiënt én toch centraal genoeg. 

Centraal waar het moet of kan en decentral als het kan of moet

Die trend zien we bijvoorbeeld in de vorm van soevereine clouds terug. De cloud, maar vooral de data, veel dichterbij de eigen organisatie, binnen het eigen wetsgebied, misschien iets minder efficiënt dan ‘ergens’ centraal maar juridisch eenvoudiger, net zo veilig en opgesplitst in kleinere honingpotjes. De ontwikkeling van het decentrale Web3 vanuit de centrale Web2 wereld. Van het hub & spoke model naar gekoppelde grids met decentrale nodes en edge-devices. Koppelbaar met grote cloud-omgevingen waar goedkope processing-capaciteit en grote datalakes beschikbaar zijn en blijven voor massa computing op basis van Nvidia platformen en big data analytics voor grote kunstmatige intelligentie platformen. 

Een gezonde mix van groot en dus centraal waar het moet en klein en decentraal als het kan (of zelfs moet). De opkomst van kleinere, lokale cloudleveranciers is dan ook een evident en logisch toekomstbeeld. Ook voor Nederland, zelfs als we via zeekabels met de hele wereld van globale cloudleveranciers zijn verbonden. Maar soms moeten we handel en (eigen) veiligheid scheiden, ook in de cloud en zeker voor onze data.  

Photo by Pixabay

———————-translated with ChatGPT   ————————

“When the Clouds Break: The Vulnerability of Submarine Cables and Cloud Connections”

In recent weeks, reports have surfaced about damaged submarine cables and disrupted cloud connections. Just as mobile telephony relies primarily on underground cables, the backbone of our internet largely consists of submarine cables lying on the ocean floor. While terms like “mobile” and “cloud” evoke heavenly imagery, the infrastructure that powers them is far more terrestrial than many realize. Only with technologies like Starlink can mobile connectivity truly be described as “wireless” and independent of underground or undersea infrastructure.

The Netherlands, with its historical role as a global trade hub, has long been a key node in the internet world. This aligns with our centuries-old tradition of positioning ourselves at the crossroads of logistics and transport. Data trade is no different. Moreover, reflecting our maritime heritage, ensuring safety at sea is as crucial for international data trade, including cloud services, as it is for protecting Dutch maritime interests. Just as our naval forces safeguard Dutch ships at sea, they play a role in protecting submarine cables—an essential but often overlooked element of global infrastructure. There are many such cables, as illustrated by this interactive map.

Cloudburst: The Evolution of the Cloud

The concept of the “cloud” began to take shape in the 1990s. The term gained traction in 1994 when David Hoffman, a communications specialist at General Magic, introduced the metaphor. Compaq expanded on this idea, outlining cloud computing in a business plan that envisioned future internet-based computing services. This included the development of “cloud-computing-enabled applications” and providing the necessary servers to internet service providers—a forward-looking vision indeed.

The early 2000s saw the rapid rise of the cloud, marked by key milestones such as Amazon Web Services (AWS) in 2002 and Simple Storage Services (S3) in 2006. At EMC in 2006, I recall internal discussions about the paradigm shift this could bring to data storage. It was a time of transformation from on-premises or outsourced storage to cloud-based models. In the years that followed, the cloud industry experienced a “cloudburst” of services and frameworks from major players like IBM, Oracle, Microsoft, and Rackspace. By 2011, the U.S. National Institute of Standards and Technology (NIST) formalized the definition of cloud computing as: on-demand self-service, broad network access, resource pooling, rapid elasticity, and measured service.

From Ultimate Solution to Costly and Risk-Prone

By 2010, cloud migration became a staple of ICT business plans, driven by two key arguments: reducing ICT costs through shared infrastructure and increasing service flexibility and scalability. Additionally, the cloud was seen as offering superior security and reliability, given the expertise and scale of major providers compared to smaller ICT organizations.

However, as with any market, dominant players emerged, following the 80-20 rule, where Big Tech companies now control 80% of the cloud market. Alongside this transition, organizations saw a decline in internal ICT expertise. Computing became as commoditized as electricity or water—seemingly a utility. Yet, data is not a utility; it is an asset. Moreover, it is a non-fungible asset, unlike currency, which is interchangeable. For instance, storing a €10 bill in a safe doesn’t matter if you retrieve a different €10 bill later. However, storing a purchase agreement requires retrieving the exact document, not a “similar” one.

Tension Between Data and the Cloud

Data, like money, needs secure storage, but it must also flow through processes to create value. It is simultaneously gold and oil—gold that requires vaults for safekeeping and oil that necessitates secure transportation. The more valuable or sensitive the data, the more it attracts attention from bad actors seeking to steal, access, or destroy it. This is where submarine cables come into play.

Unlike gold, data can be copied easily, making it vulnerable to theft without detection. Stolen data is challenging to discover because, unlike a missing gold bar, you still “possess” your data. Often, large-scale data breaches go unnoticed for months. Despite state-of-the-art security measures from cloud providers, centralized storage is inherently more attractive to attackers than dispersed, smaller repositories.

Centralization vs. Decentralization

The cloud hype coincided with a period when ICT departments in many organizations had become large and inefficient. The promise of cost savings and flexibility made cloud adoption a no-brainer. At the time, security and vendor lock-in were not pressing concerns. However, the landscape has shifted. New laws, liabilities, and the growing awareness of cloud infrastructure’s physical vulnerabilities—sabotage, damage, or even destruction—have changed the narrative.

As with all transformations, the pendulum has swung. While the cloud’s efficiency and scalability remain attractive, its limitations have come to light. Centralized models, though efficient, carry risks, much like nuclear power plants. This has sparked interest in smaller, localized alternatives, echoing the trend toward decentralized mini-nuclear reactors.

A Balanced Approach

This trend is evident in sovereign clouds, where data is stored closer to organizations and within national jurisdictions. While potentially less efficient than global cloud solutions, sovereign clouds offer legal simplicity, comparable security, and reduced risk through smaller “honey pots.” The shift from Web2’s centralized “hub and spoke” model to Web3’s decentralized grids and edge devices reflects this balance.

A hybrid approach—centralized where necessary and decentralized where possible—is emerging as the optimal model. Sovereign clouds and local cloud providers are becoming essential components of this future. For a data-driven nation like the Netherlands, maintaining this balance is crucial, even as we remain globally connected through submarine cables and international cloud providers. Sometimes, safeguarding our own data requires separating commerce from security—even in the cloud.