Dave Stemerdink (Cohesity): overheid zoekt grip op data, cloud en AI

Stemerdink merkt dat overheden AI willen omarmen, maar dat die ambitie meteen botst met zorgen over beveiliging, governance en afhankelijkheid. “We moeten wel, maar hoe doen we dat op een veilige manier?” vat hij de houding samen die hij bij veel klanten tegenkomt. Volgens hem speelt daarbij mee dat AI in de praktijk vaak via SaaS-diensten wordt aangeboden, terwijl juist de publieke sector kritischer kijkt naar waar data staat, wie er toegang toe heeft en wat er gebeurt als een buitenlandse partij de spelregels verandert.

Volgens hem is het verleidelijk om AI, cloud en governance als aparte onderwerpen te behandelen, maar in de praktijk lopen ze voortdurend door elkaar heen. “De AI-discussie begint altijd bij data. Zonder betrouwbare en gestructureerde data heeft AI weinig waarde. Dus verschuift de vraag voor veel overheden van ‘wat kunnen we met AI?’ naar ‘hebben we onze informatiebasis wel op orde om er verantwoord iets mee te doen?’”

Die vraag wordt versterkt door de manier waarop IT-omgevingen zich de afgelopen jaren hebben ontwikkeld. Overheden doen veel zelf, maar gebruiken ook publieke cloud- en SaaS-diensten. Microsoft 365 is daarvan het meest voor de hand liggende voorbeeld. Veel organisaties zijn in die hybride realiteit beland zonder altijd expliciet na te denken over wat dat betekent voor eigenaarschap, beschikbaarheid en herstel van data.

Data gebruiken

Dit raakt de discussie over digitale soevereiniteit. “De enige methode om echt controle over je data te hebben, is zorgen dat je die data uit zo’n SaaS-omgeving haalt,” zegt hij. Maar het is niet genoeg om alleen een kopie te maken” “Je kan wel een kopie maken van Microsoft 365, maar als die vervolgens niet toegankelijk is omdat je die dienst nodig hebt om die informatie uit te lezen, dan heb je daar niet zoveel aan.” Dat is voor hem een wezenlijk onderdeel van de soevereiniteitsdiscussie: organisaties hebben pas echt grip als ze data buiten de invloedssfeer van een externe leverancier kunnen bewaren én gebruiken.

Dat hoeft volgens Stemerdink niet te betekenen dat alle cloudtoepassingen moeten verdwijnen. Het betekent wel dat organisaties kritischer moeten kijken naar welke data zij waar onderbrengen en hoe zij ervoor zorgen dat toegang, herstel en leesbaarheid niet volledig afhangen van dezelfde leverancier die de primaire dienst levert.

AI

Op het gebied van AI ziet Stemerdink in de praktijk bij de overheid vooral voorzichtige, afgebakende stappen. “Er wordt wel geëxperimenteerd, maar op een gecontroleerde manier en met duidelijke use cases. Dat is logisch, want de risico’s zijn hoog en AI vraagt in veel gevallen toegang tot gevoelige informatie. AI wordt op dit moment dus vooral ingezet in toepassingen waarbij organisaties eerst hun eigen informatie beter inzichtelijk willen maken.”

Bijvoorbeeld in het zichtbaar maken van interne communicatie en besluitvorming. “Niet om automatisch besluiten te nemen, maar om informatie en onderliggende motieven beter doorzoekbaar en navigeerbaar te maken. In dergelijke toepassingen zit veel waarde, juist omdat ze concreet zijn en zich richten op interne verbetering voordat er sprake is van bredere, meer autonome inzet.”

Datafundering

Cohesity zorgt voor de onderliggende informatie-infrastructuur. “Daarin maken wij het verschil. Organisaties hebben hun data verspreid over uiteenlopende platformen, on-premises, in cloudomgevingen en in SaaS-diensten. Als je daar AI op wilt toepassen, moet je eerst zorgen dat die bronnen op een veilige en beheersbare manier samenkomen”

“Wat wij al sinds jaar en dag doen, is backups maken van al die verschillende informatiebronnen. Die kopieën worden niet alleen gebruikt voor herstel of cyber recovery, maar ook als basis om informatie veilig bevraagbaar te maken met AI. AI wordt dus niet direct op de operationele bronsystemen losgelaten, maar op data die al naar een gecontroleerd platform is gebracht. Daarmee ontstaan meteen beveiligingsvoordelen, omdat die laag al is ontworpen voor bescherming, herstel en beheer.”

Hij noemt daarbij een samenwerkingsproject met een overheidsdienst waarbij die benadering expliciet wordt toegepast. De data is daar volgens hem te gevoelig om naar een cloudomgeving te verplaatsen of bloot te stellen aan externe modellen. Daarom wordt gewerkt aan een volledig gecontroleerde omgeving waarin AI op de data kan worden toegepast zonder dat die buiten de eigen beveiligde context komt.

Kennis

Stemerdink ziet bij veel CIO’s en IT-teams bij de overheid inhoudelijke kennis van de vraagstukken die ze willen oplossen. “Ze weten waar de pijn zit, welke processen vastlopen en waarom AI of betere datatoegang daar iets in zou kunnen betekenen. Lastiger is de vertaalslag naar een veilige, werkbare implementatie. En juist op het vlak van uitvoering, veiligheid en controle lopen projecten regelmatig vast. Organisaties weten vaak wel waar zij naartoe willen, maar niet altijd hoe zij de juiste infrastructuur en governance daaromheen bouwen.”

Daar komt bij dat AI-projecten niet alleen een kwestie zijn van technologie neerzetten. Ze moeten ook beheerd, beveiligd en doorontwikkeld worden. En juist daar zit volgens hem vaak een praktisch tekort. “De juiste mensen zijn schaars, AI-expertise is duur, en de overheid concurreert op arbeidsvoorwaarden niet altijd makkelijk met de markt.”

Security

Een thema dat nauw samenhangt met de AI-discussie is cybersecurity. “De opkomst van AI zorgt ook aan de aanvallende kant voor een versnelling die organisaties dwingt om anders naar veiligheid te kijken. Ga uit van een breach. Denk niet meer alleen in voorkomen, maar ook in hoe je de impact minimaliseert en snel, veilig en betrouwbaar terug in operatie komt.”

Voor Cohesity ligt daar volgens hem een rol. Niet alleen in back-up en recovery, maar juist in de verbinding tussen verschillende beveiligingslagen. De complexiteit van de bestaande beveiligingsstack moet volgens hem worden teruggebracht, zodat organisaties in een crisissituatie niet eerst hoeven uit te zoeken hoe tools samenwerken en waar herstel precies moet beginnen.  De overheid hoeft niet alles tegelijk te doen, maar moet wel de fundamenten op orde brengen: grip op data, gecontroleerde AI-inzet, bruikbare kopieën buiten leveranciersomgevingen en een herstelstrategie die niet afhankelijk is van dezelfde systemen die zijn uitgevallen.