De Duitse regering heeft de resultaten bekendgemaakt van een strategisch marktonderzoek van PwC om de ‘afhankelijkheid van unieke softwareleveranciers’ in te dijken. Alternatieven om die afhankelijkheid af te bouwen, kunnen echter op weinig animo rekenen.
In het document van 34 pagina’s concluderen de onderzoekers van PwC dat vooral de greep van Microsoft op de Duitse overheid groot is. Niet alleen wordt de software van de reus uit Redmond op ongeveer alle overheidsniveaus ingezet, de programmatuur is onderling ook sterk verstrengeld (bijvoorbeeld Outlook, Exchange en Windows Server). PwC schat dat ongeveer 96 procent van het computerpark van de Duitse overheid met Office en Windows is uitgerust.
Daarmee gaat Duitsland in tegen zijn eigen strategische it-doelstellingen, menen de onderzoekers. Meer nog, zij zien Microsoft als een ‘bedreiging voor de Duitse digitale soevereiniteit’. Er komt ook meer en meer kritiek op het Duitse softwarebeleid, zoals afgelopen zomer nog, toen de regering besloot zijn contracten met Microsoft te verlengen tot 2022. Vorig jaar spendeerde de Duitse federale overheid zowat 73 miljoen euro aan Microsoft-licenties, zo schrijft ZDNet. Dat is 25 miljoen meer dan het voorziene budget. In dit bedrag zitten de uitgaven van de deelstaten niet bij.
Politieke agenda
Naast vragen over het kostenplaatje komt de kwestie ook steeds prominenter op de politieke agenda. Zo slaagt de Duitse DSK (Datenschutzkonferenz) er niet in om exact uit te vissen welke diagnostische data Microsoft precies verzamelt in Duitsland en doorstuurt naar zijn servers. Die DSK bestaat uit data protection officers van de overheid die moesten nagaan of Windows 10 wel aan alle overheidsregels voldoet.
Microsoft zelf reageert in de Duitse media door te stellen dat het bedrijf enkel de Duitse overheid wil steunen en de ‘dienstverlening voor burgers wil verbeteren’. Microsoft wijst er ook op dat zelfs in de PwC-studie ‘geen enkele realistisch’ alternatief naar voren wordt geschoven om Microsoft op korte termijn te vervangen.
PwC meent wel dat opensource-software een mogelijk alternatief kan bieden, maar plaatst daar meteen kanttekeningen bij. Er moeten dan realistische doelstellingen gezet worden, de acceptatie bij de gebruikers moet worden aangemoedigd en er moet voor gezorgd worden dat iedereen de nodige kennis heeft om deze programma’s ook te kunnen gebruiken. Er zal ook beroep moeten gedaan worden op de kennis van de opensource-gemeenschap om iedereen mee in bad te trekken. Alleen zo kan de digitale onafhankelijkheid van Microsoft kritieke massa krijgen.
München
PwC haalt ook een voorbeeld aan van hoe het niet moet: in het begin van deze eeuw besliste de stad München om op Linux en LibreOffice over te schakelen, zowel voor veiligheidsredenen als om geld te besparen. Voor sommige gebruikersgroepen was de migratie een succes, maar toch bleef ongeveer een op de drie Beierse ambtenaren met Microsoft-software werken. Dit leidde tot een tweesporenbeleid, waardoor de efficiëntie een duik nam en de kosten net stegen. In 2017 besliste München om terug op één systeem over te schakelen, dat van Microsoft.
Rob,
Digital Right Management (DRM) is een jurdische doolhof waarin Digital Millennium Copyright Act vooral om het beschermen van Amerikaanse commerciële belangen gaat zoals de case MegaUpload liet zien. Lees in dat kader ook de nieuwe Europese regels aangaande modernisering van de auteursrechten. Als je aangaande File Server Resource Manager doelt op een ‘upload-filter’ dan kun je niet ontkennen dat de achterdeur open gezet wordt voor diagnostische applicaties op basis van verkeerde aannames.
De Sarbanes-Oxley act gaat net als Code Tabaksblat om de corporate governance waarin zeggen wat je doet, doen wat je zegt en dat bewijzen steeds vaker om de data gaat. Binnen de interne controle heeft IT een grote rol en mede hierom staat dan ook de macht van Amerikaanse tech-reuzen ter discussie. De impact van Edward Snowden is groter dan menigeen denkt, het rapport over US surveillance programma is openbaar en de opmerking hierin over koppelen van een MAC-adres aan Office documenten geeft aan waarom de Duitse DSK er niet in slaagt om exact uit te vissen welke diagnostische data Microsoft nu precies verzamelt en op welke manier.
Ik zeg niet dat Microsoft shadow profiles heeft maar er zijn wel degelijke bepaalde digitale fingerprints welke middels ‘phone home’ verzameld worden en uiteindelijk met derden gedeeld Hierin is sommige open source niet anders maar in het kader van Code Tabaksblat is er wel een verschil in transparantie aangaande de goverance van de code zoals ik al eens in een opinie stelde. De zes vragen van Rudyard Kipling honest serving men vormen uiteindelijk ook de basis van de Sarbannes-Oxley wet want niet elke verandering is een verbetering.
Ewout, FSRM en FCI zijn platformen die Microsoft geïmplementeerd heeft op het Windows platform voor transparency, governance en data-leakage. Het zijn de aangewezen producten om je voor te bereiden op AVG. In plaats van wat nuttigs te doen met dit soort platformen, zit men liever te neuzelen over een hypothetisch lekje in een lasnaad van een demper in een uitlaadmond van een meter of zo. Het is stug het Nederlandse vingertje in de dijk houden terwijl het over honderden meters doorgebroken is. Zolang ik in Nederland sinds 2012 nog nooit iemand tegengekomen ben die van FSRM en FCI op Windows domeinen gehoord had, kan ik het allemaal niet serieus nemen. Liever kopen ze peperdure producten en laten ze zich daarvoor peperdure migraties aansmeren. Ga wat doen met waarvan je zegt dat het overgrote deel van je gebruikers erop werkt. Nogmaals, ik laat me graag van het tegendeel overtuigen.
Rob,
Nee, FSRM/FCI zijn op NTFS (en DAC)gebaseerde services welke je dus afhankelijk van een legacy bestandssysteem maken. Je verkooppraatje van het platform vergeet dat de discussie om de telemetrie van Microsoft ging want je sluit wel de ramen maar laat de achterdeur nog wagenwijd open staan. De telemetrie verstuurt afhankelijk van de instellingen ook informatie over welke website je bezocht hebt en de optie Timeline gaat nog een stapje verder.
Hoewel SLM Rijk adviseert om Timeline functie uit te zetten en indien mogelijk het telemetrie verkeer compleet te blokkeren zal net als in München dit beveiligingsadvies door 1/3 van de ambtenaren niet opgevolgd worden omdat interne controles hierop beperkt blijven zoals minister Grapperhaus van J&V recentelijk heeft moeten ondervinden aangaande de adviezen van NCSC.
Ewout, dat ‘afhankelijk maken’ valt wel mee hoor. Alle workflows en alle overige functionaliteit bouw je platform-onafhankelijk. Dat doen we al jaren. Je kunt het even makkelijk vanaf OneDrive en bijvoorbeeld Exchange Online gebruiken. Alleen de OnCreate/Modify/Delete-hooks zijn platform-specifiek. Uiteraard ook vanaf NFS e.d. Het maakt voor vanwaar je het kunt of moet kunnen gebruiken al jaren niet meer uit waarop we het bouwen.
mvg rk
Rob,
Volgens mij gaan we een andere discussie in met ‘OnCreate/Modify/Delete-hooks’ waarbij het argument dat je dit al jaren doet kwalitatief niets zegt over het juist opslaan van data. Want veranderende wetgeving – zoals AVG – dwingt organisaties om nog eens naar de workflows te kijken en één van de acties is dus de audit op Persoonlijk Identificeerbare Informatie om zodoende data te classificeren naar sensitiviteit. Daar kun je een service zoals FSRM voor gebruiken maar zoals met veel Microsoft producten die ‘gratis’ meekomen met het platform zul je dan nog wat werk hebben om dit werkend te krijgen. Als MetaMicro Automatisering daarin een toegevoegde waarde heeft met bijvoorbeeld templates voor regular expressies dan ben ik nieuwsgierig naar een opinie/blog hierover.
Ik heb ooit eens een opinie/blog geschreven voor Computable over Persoonlijk Identificeerbare Informatie omdat de 65+ (IRMA?) attributen hierin wat complexer zijn dan NAW-gegevens. Middels regular expressies van FRMS data classificeren zal naar mijn opinie geen succes worden maar zoals gezegd sta ik open voor nieuwe inzichten. Want de AI van algoritmen gaat uiteindelijk om de inzichtelijkheden die je kunt krijgen middels het analyseren van data. En aangaande NAW-gegevens, 1/3 hiervan is onveranderlijk om te wijzen op de aanname in sommige analyses aangaande de locatie gegevens.
Ewout,
FSRM en FCI niet gebruiken is zoiets als vrijwel al je kantoren betrokken hebben bij één projectontwikkelaar en de ingebouwde archiefkasten niet of maar half gebruiken omdat je geen vendor lock-in wilt. Enerzijds wil de overheid zoveel mogelijk alles uniform hebben en worden aanbestedingen zo ver mogelijk opgeblazen. Anderzijds wil met geen lock-in. Argumentatie is geheel gelegenheidsafhankelijk.
Beslissers die vanuit hun eigen portemonnee redeneren komen tot de conclusie dat datalekkage werkelijk kunnen voorkomen een onbegonnen zaak is en calculeren het risico dat ze lopen zolang de belastingdiensten e.d. nog roepen dat ze binnen 6 jaar niet AVG-compliant zullen zijn. Bestuurders van overheids- en andere organisaties willen alleen het risico dat ze ergens op aangesproken kunnen worden zoveel mogelijk vermijden. Ze gaan het liefst ‘alles’ outsourcen bij een partij waarvan de keuze achteraf kunnen verdedigen met argumenten als: “Ik heb gewoon gevolgd wat de meesten in mijn branche gedaan hebben, ook nog eens op basis van een uiterst kostbaar rapport van het mij aanbevolen advieskantoor”. Kosten en resultaat spelen dan alleen een secundaire rol. Althans, dat is mijn beeld van een en ander.
Inzake dataveiligheid is er voor ons daardoor weinig handel. Wij gebruiken deze platform-onderdelen vrijwel uitsluitend voor document processing en lifecycle management. FCI is bij ons onontbeerlijk voor workflow.
Rob,
Wederom nee, ik wees namelijk op een kasteelbouwer die de geheime gangetjes naar de ingebouwde archiefkasten op de bouwtekeningen achterwege laat. Maar misschien is een betere beeldspraak het verkopen van een lek schip, dat is wat jij doet door voorbij te gaan aan simpele maatregelen aangaande de telemetrie. En veel hoeft dat niet te kosten als ik overweeg dat je templates hiervoor kunt maken. Daarmee garandeer je nog geen 100% veiligheid maar je bewijst wel dat je wat gedaan hebt, een essentieel punt als we kijken naar de code Tabaksblat.
Oja, betreffende je workflows zie ik steeds vaker andere devices hierin zoals Apple iPads. Maar ik zie ook dat de data flows hierdoor veranderen omdat videobestanden steeds vaker als bewijslast gebruikt worden. Hetzelfde geldt voor audiobestanden vanuit de telefonische verkoopprocessen, de wijze waarop we communiceren veranderd maar juridisch blijft de bewijslast onveranderlijk. Dat levert uiteindelijk problemen op, oplossing hierin is RunMyProcess waarmee je het NextGen digitale business platform kunt bouwen. En hierbij is onderliggende opslag uiteindelijk afhankelijk van de karakteristiek van de data en de lifecycle.
Ik weet niet of je in het proces gebruik maakt van een checksum bij inname van data, binnen de chain of custody is de onweerlegbaarheid van data belangrijk. En als ik volledige data governance plaatje over 7 jaar bereken op basis van je code Tabaksblat principes dan ben ik al snel 40% goedkoper uit dan het Microsoft platform met een oplossing zoals bijvoorbeeld StorNext van Quantum. Ik wil niet vervelend over de workflow doen maar zeker 90% van alle data die we moeten bewaren is koud, deze is eenmalig aangemaakt en wordt nooit meer gewijzigd en nog sporadisch geraadpleegd. Verplaatsing hiervan naar tape, uiteraard met behoud van de checksum bij een eerdere inname op disk middels HSM levert een groot aantal voordelen op.
Ewald,
Instellingen over telemetrie zijn in Windows 10 volledig transparant en stuurbaar. Als klanten van ons zich een eventuele AVG-zaak voorstellen, verwachten ze dan ontstaan zullen zijn doordat bijvoorbeeld een consultant/medewerker waarvan het dienstverband is beëindigd gevoelige informatie op het internet heeft gegooid. Dat soort scenario’s vormt in hun ogen het grootste risico.
Het is altijd verwijtbaar. Het zou bij voorbaat niet hebben mogen kunnen (je hebt dan je processen per definitie niet goed ingericht) en je weet ook dat je het in de praktijk niet zult kunnen voorkomen. Daarbij voldoet alleen een mogelijke kans op lekkage al aan meldingsplicht. Ze weten ook dat ze alle schijnwerpers zich richten als ze alle vermoedelijk meldenswaardige gevallen daadwerkelijk gingen melden. Althans dit is wat anderen en wij bij bestudering van de wet hebben geconcludeerd. Ook hier laat ik beeld hierop eventueel graag weer bijstellen.
Het enige waarmee wij op dit vlak nog enigszins een verschil kunnen maken voor klanten, is effectief gebruik van FSRM, FCI en AVG gerelateerde voorzieningen in Office365/Azure. Maar vrijwel niemand is geïnteresseerd: de risico’s verminderen onvoldoende substantieel.
Klanten vragen ons momenteel heel andere dingen. Voor zover onze klanten ermee te maken, hopen ze met grote stappen zoals ‘algehele’ outsourcing het snelst thuis te zijn. Ze hopen dan in ieder geval verwijten van grove ondeskundigheid of onachtzaamheid jegens henzelf te kunnen voorkomen.
@Rob Koelmans, de instellingen voor telemetrie in W10 zijn niet transparant en niet stuurbaar, zonder heel diep in het systeem te graven.
Het kan namelijk niet (simpel) 100% uitgezet worden door de gebruiker en er is ook geen (simpele) controle mogelijk over de data die verzonden wordt.
Een kaal systeem in rust hoort niet uit zichzelf spontaan te communiceren, zonder dat er controle (of ingrijpen) mogelijk is.
De enige uitzondering is een controle op updates, maar wanneer je tijdelijk een dure internet verbinding hebt, dan wil je op elk bitje kunnen bezuinigingen en ook de controle kunnen uitstellen, nu kan dat alleen (tijdelijk) met het ophalen/installeren van de updates, maar niet voor de controle.
@Ron, laten we het s.v.p. zo concreet mogelijk houden. Wanneer heb je voor het laatst een Windows 10 machine ingericht en een profiel op aangemaakt? Als het niet om alle weigeringsmogelijkheden gaat die je daarbij tegenkwam, om welke gaat het dan precies?