Roland de Jong (SPS): 'Juist nu moet de overheid weten hoe hun IT & OT landschap eruit ziet'

Volgens De Jong kent dit vraagstuk meerdere lagen. Het gaat om de invloed van buitenlandse organisaties, om de afhankelijkheid van grote cloudleveranciers, om consolidatie in de IT-markt en om de vraag wat overblijft als een leverancier of platform wegvalt. “Met grote overnames zie je ook vragen ontstaan als ‘hoe gaat het met onze data als daar een Amerikaanse partij achter zit?’” Daarmee schuift het debat op van abstracte digitale strategie naar een heel praktische overlevingsvraag: kan een organisatie of overheidsinstelling nog door als er iets uitvalt, verandert of onbereikbaar wordt?

Soevereiniteit begint met inzicht

Volgens De Jong zit de grootste onzekerheid bij veel overheidsorganisaties niet in de opslag van data, maar in de som van afhankelijkheden die daarachter schuilgaat. Veel partijen hebben de afgelopen jaren een groot deel van hun landschap in de cloud gezet. “Vaak met goede redenen, zoals schaalbaarheid, flexibiliteit en snelheid. Maar die beweging roept nu ook vragen op, omdat achter de bekende clouds veel Amerikaanse partijen zitten.”

Daar helpt SPS door inzichtelijk te maken hoe dit landschap er uitziet. “Wat zijn al die afhankelijkheden? Welke applicaties en bedrijfsprocessen zijn cruciaal? Welke infrastructuur hangt daaronder? Welke leveranciers, contracten en supportgroepen zijn ermee verbonden? En wat gebeurt er als daar iets in hapert?”

SPS brengt de IT-keten in kaart met eigen software, Gensys, ontwikkeld in Nederland. “Van stroomvoorziening tot applicatie en bedrijfsproces. Zo kan je live zien welke elementen noodzakelijk zijn om een dienst draaiend te houden. Het doel is niet alleen technische volledigheid, maar ook bestuurlijke handelingssnelheid. Die vragen willen we niet pas beantwoorden op het moment dat er een storing is, maar structureel inzichtelijk maken.”

Preventief werken

De kern van de propositie van SPS zit in preventie. “Veel IT-dienstverlening is nog steeds gebaseerd op reageren nadat een incident zichtbaar heeft plaatsgevonden. Een server valt uit, een gebruiker meldt een probleem, er wordt een ticket aangemaakt en pas dan begint het proces te lopen. Dat is te laat.” Daarom kiest SPS al jaren voor een andere benadering. Door continu monitoringdata, keteninformatie en patronen samen te brengen, is vooraf te zien waar risico’s ontstaan. “Wij zorgen dat we problemen voorkomen in plaats van genezen,” zegt De Jong.

IT en OT groeien naar elkaar toe

Een belangrijk element in de propositie van SPS, dat steeds belangrijker wordt, is volgens De Jong de toenemende convergentie van IT en OT (Operational Technology). “Die twee werelden waren lange tijd strikt gescheiden. Klassieke IT ging over kantooromgevingen, applicaties en infrastructuur; OT over fabrieken, bruggen, gemalen, PLC’s en industriële besturing. Maar die scheiding vervaagt. Je ziet nu een samensmelting die twee werelden,” zegt hij.

Dat brengt nieuwe uitdagingen met zich mee. “IT-mensen proberen bekende processen toe te passen op de OT-wereld, terwijl die omgevingen heel anders functioneren. Ze zijn langdurig in gebruik, draaien vaak op oudere systemen, kunnen niet zomaar geüpdatet worden en moeten met grote voorzichtigheid worden benaderd.”

Daar ontstaat nu dus een zeer actuele vraag uit de overheid. “Organisaties willen weten wat ze precies hebben, waar hun kwetsbaarheden zitten en wat de impact is van een vulnerability of verstoring op de hele keten. Software moet dan niet alleen laten zien welk component geraakt is, maar ook wat daarvan de businessimpact is. Welke brug, welke sluis, welk verkeerssysteem of welke dienst wordt geraakt als een bepaald firmwareprobleem of security-issue opduikt?” Daarmee verschuift het gesprek van een storing op systeemniveau naar de gevolgen voor dienstverlening, veiligheid en continuïteit.

Implementatie

Dat alles roept dan vanzelf de vraag op hoe complex het is om zo’n regie- en inzichtslaag daadwerkelijk neer te zetten. Volgens De Jong valt dat in de praktijk mee. “Tussen de drie en zes maanden hebben we dat inzichtelijk,” zegt hij. Binnen die periode kan een organisatie volgens hem al zicht krijgen op een samenhang die men vaak jarenlang heeft gemist. Ook speelt deze oplossing in op BIO en NIS2.

De implementatie bestaat niet alleen uit techniek, maar ook uit training en adoptie. Eerst moet het landschap inzichtelijk worden gemaakt, daarna moeten mensen leren hoe ze met die informatie en tooling kunnen werken. Maar de eerste waarde, de eerste inzichten, komen volgens hem vaak al snel naar boven. En dat maakt het meteen interessant voor overheidsorganisaties die al langer worstelen met vragen over assetmanagement, leveranciersafhankelijkheden en de ontbrekende actualiteit van hun CMDB’s.

Volgens hem zijn overheden hier nog niet altijd op ingericht in hun aanbestedingen. “Ze vragen vaak nog diensten uit op basis van het oude model: oplostijden, vaste servicelevels en een klassieke outsourcingslogica. Maar juist dat houdt innovatie tegen Wij hebben het niet over oplostijden, wij hebben het over oppaktijden, want wij proberen dingen te voorkomen.”

Volgens hem zou de overheid dus veel meer moeten uitvragen op basis van het gewenste eindresultaat, niet op basis van vooraf dichtgetimmerde aannames over hoe een leverancier dat resultaat moet leveren. “Als aanbestedingen geschreven worden naar wat je wilt bereiken, dan krijg je veel meer innovatie. De private sector steekt het heel anders in. Die zegt: ik heb dit probleem, vertel mij maar hoe je dit zou doen.”

Nederlands familiebedrijf

De huidige geopolitieke situatie geeft ook extra gewicht aan de achtergrond van SPS. Het is een Nederlands familiebedrijf, volledig in eigen handen, met software die in Nederland wordt ontwikkeld en ook volledig lokaal of on-premises kan draaien. “Dat was al langer een onderscheidend element, maar krijgt nu een nieuwe lading. Zo kunnen we iets bieden waar organisaties juist nu behoefte aan hebben: continuïteit, lange termijnvisie en minder afhankelijkheid van buitenlandse partijen.“