Digitale soevereiniteit draait om drie vragen: waar staat de data? Van wie is het datacenter? En hoe kom je bij je data? Als de sleutelmaker ook nog eens buiten de EU is gevestigd, moet je je als organisatie voorbereiden op een exitstrategie.
‘Onze duidelijke Nederlandse identiteit versterkt de nationale digitale weerbaarheid’
‘Wij moeten als Nederlandse aanbieder een goed alternatief bieden. En dat hebben we,’ vertelt IAMconsultant Jan Martij n Tallen van Topicus KeyHub. In de discussie over digitale soevereiniteit ligt de focus ten onrechte vaak alleen op de locatie van dataopslag. Echte soevereiniteit gaat echter fundamenteel over wie de controle heeft over de toegang tot die data. Wanneer een organisatie de regie over haar Identity & Access Management (IAM) verliest, verliest zij de controle over ál haar bronnen, ongeacht hoe zwaar de hostingomgeving beveiligd is.
IAM is de achilleshiel van autonomie
De discussie over Europese data-soevereiniteit is steeds meer een issue, maar speelt eigenlij k al jaren, met dreigingen uit China en Rusland. ‘Zoals onze generaals buiten dienst bij talkshows waarschuwen, is de cyberwar al gaande,’ stelt Tallen. Veel organisaties draaien kritieke applicaties on-premise, achter zware fi rewalls. Dat biedt deels schij nzekerheid, waarschuwt hij . ‘Als de toegang wordt beheerd via een buitenlandse SaaS-provider, ontstaat er een kritiek risico. Aanvallers met legitieme inloggegevens kunnen nog steeds in het systeem. Via wetgeving, zoals de Amerikaanse Cloud Act, kunnen buitenlandse overheden toegang eisen tot identiteitsgegevens of sleutels. Ze hoeven de beveiligde applicatie niet te hacken, als ze de ‘sleutelmaker’, de Identity and Access Management (IAM)-provider), via wetgeving kunnen dwingen de deur te openen. Controle over de identity provider is daarom essentieel, omdat dit toegang geeft tot alle accounts en systemen, inclusief system-to-systemtoegang via tokens.
De strategie voor autonomie: drie pijlers
Digitale soevereiniteit rust op drie onlosmakelij ke pij lers, verklaart hij . Gebruik van Europese software, hosting-autonomie en operationele controle. ‘In de combinatie hosting-autonomie en operationele controle zij n we redelij k uniek,’ vertelt Tallen trots. ‘We hebben een Nederlandse basis. Onze IAM-software wordt ontwikkeld door Nederlandse developers. We vallen onder Nederlandse wetgeving. Dat sluit de invloed van buitenaf uit. En onze klanten hebben volledige vrij heid om te kiezen waar ze de software hosten: on-premise, in de cloud of hybride. Bij een aantal partij en draaien we air-gapped, met geen enkele connectiviteit met het internet.’ Door deze drie pij lers strikt te hanteren, waarborgen softwarebedrij ven binnen de EU het risico op verborgen geopolitieke belangen in hun software-ontwikkeling.
Kracht door integratie
Topicus KeyHub biedt een oplossing waarbij de controle op de data weer in eigen handen komt en goed geborgd is, met password management en een waterdicht controlesysteem op autorisaties met cryptografi e en unieke sleutels. De grip op de soevereiniteit over de eigen data wordt vaak bemoeilij kt door complexe ketens. Veel organisaties zij n grotendeels afhankelij k van Amerikaanse technologie, zoals Microsoft of Google. Dat werpt de vraag op wie de controle heeft over de digitale toegang. Er is een groeiende behoefte om losse beveiligingsoplossingen te integreren, ziet Tallen. ‘Topicus KeyHub verenigt de Identity Governance an Administation (IGA) – het beheer van de toegangsrechten van alle medewerkers – en Just In Time provisioning (JIT), voor de beveiliging van kroonjuwelen als databases, op één Nederlands platform. Daarmee elimineren we voor onze klanten de afhankelij kheid van versnipperde buitenlandse oplossingen. En met onze Nederlandse basis zitten we kort op de keten. Onze duidelij ke Nederlandse identiteit versterkt de nationale digitale weerbaarheid.
