Twintig Nederlandse cybersecuritywetenschappers hebben ernstige bezwaren tegen de uitbesteding van e-mail en andere ict-diensten aan grote Amerikaanse cloudproviders. Volgens de groep van merendeels hoogleraren moeten de universiteitsbesturen goed over een dergelijke overstap nadenken.
In een brandbrief wijzen de wetenschappers, verenigd binnen de Academic Cyber Security Society (ACCSS), op de vele gevaren en nadelen. Grootste risico is dat als je eenmaal bent overgeleverd aan Big Tech, het bijkans onmogelijk wordt van hen af te komen. Universiteitsbesturen en -raden krijgen daarom het advies om een strategische visie te ontwikkelen voordat definitieve stappen worden gezet.
De wetenschappers verbazen zich erover dat universiteitsbesturen besluiten het onderhoud van ict-diensten uit te besteden aan Amerikaanse cloud-giganten. Fijntjes wijzen ze op de oproep die rectoren van de Nederlandse universiteiten in december 2019 deden om de afhankelijkheid van Amerikaanse techbedrijven te verminderen. ‘Blijkbaar verliest het strategische langetermijndenken het van operationele korte-termijnproblemen,’ schamperen de cybersecurity-hoogleraren.
Ommezwaai
Aanleiding tot de ommezwaai is dat systeembeheerders hun handen vol hebben aan het verhelpen van fouten in de Microsoft-software. Zo duiken in Microsoft Exchange-mailservers om de haverklap bugs op, wat e-mailsystemen kwetsbaar maakt. De cloudgebaseerde e-mailsystemen van Microsoft lijken relatief veilig. De wetenschappers begrijpen dat er daarom stemmen opgaan om de e-maildiensten uit te besteden aan de ogenschijnlijk veilige cloud-oplossingen van Big Tech.
Maar het is volgens hen de vraag of dat wel zo verstandig is. Privacy en veiligheid zijn bij deze Amerikaanse cloudproviders allerminst gewaarborgd. De wetenschappers huiveren bij de gedachte dat data van medewerkers en studenten bij deze hyperscalers belanden en onder de Amerikaanse wet- en regelgeving vallen. Zelfs de autorisatie tot diensten dreigt te worden uitbesteed. ‘We verheffen daarmee de Facebooks, Googles, Amazons en Microsofts van deze wereld tot grenspolitie van die data,’ zo luidt de kritiek. Niet denkbeeldig is dat de Amerikaanse overheid daarmee straks toegang krijgt tot het universitaire e-mail verkeer en de data.
Ook juridisch zijn er gevaren. De kans bestaat dat Nederlandse rechters binnenkort de universiteiten verbieden om nog langer gegevens in de Amerikaanse cloud op te slaan. Financieel dreigt dan ook een strop. Ten slotte vragen de hoogleraren zich af of het ethisch valt te verdedigen als een bedrijf geen veilige e-mailsoftware kan leveren zoals Microsoft, het dan te belonen door je compleet van dat bedrijf afhankelijk te maken en alles uit te besteden.
Hangt Jack al in de touwen over het strategische langetermijn denken versus het oplossen van operationele korte-termijn problemen, de afwachtendheid van het Rijnlandse model is namelijk nog weleens als mosterd na de maaltijd want elektronische berichtensystemen hebben we al een tijdje. De vereniging i.o. komt dan ook niet echt met nieuws want voormalig privacy advocaat Caspar Bowden wees 2014 al op afhankelijkheid van een monopolist die meer geld besteed aan marketing dan aan beveiliging:
‘If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security’ – Caspar Bowden (19 augustus 1961- 9 juli 2015)
Caspar Bowden wees er trouwens ook op dat Trustworthy Computing (TwC) gewoon om marketing ging want alleen een gevoel van veiligheid was genoeg, dezelfde marketing in het verwachtingsmanagement zie ik bij de cloud waar providers de veiligheid vooral juridisch regelen middels exoneratieclausule. Security onderzoekers maken zich dan ook zorgen over het gemak waarmee hackers beveiligingscertificaten steelden om hun eigen identiteit te creëren waardoor ze multifactor-authenticatie konden omzeilen en toegang kregen tot Office 365-accounts met gevolgen voor duizenden getroffen bedrijven en overheidsinstanties. Maar de schuld ligt uiteraard bij de gebruiker die te zwakke wachtwoorden gebruikt.
Het gaat trouwens niet om veilige e-mailsoftware maar om een veilige elektronische berichtendienst hoewel ik door alle bijlages beter kan spreken van een digitale pakketdienst waarin software het middel is welke je relatief eenvoudig kunt vervangen om niet in de hoek van een vendor lock geschilderd te worden. De digitale postbode is eerder het communicatie protocol dat gebruikt wordt terwijl de brievenbus om de opslag gaat, je kunt deze opslag in de cloud zetten waarbij je volgens de wetenschappers incheckt in hotel California of in je meterkast:
https://accss.nl/open-brief-overstappen-naar-de-cloud-bezint-eer-ge-begint
@DINO: nee hoor very much alive and successfully kicking visieloos risico meidend spreadsheet manglement butt aan een universiteit. het is te gemakkelijk te zeggen dat een visie vormen ‘moeilijk moeilijk’ is (kijk daar is die weer die ‘camp cannot’). Neem anders gewoons een direct contact op met een van deze hoogleraren? Stel ze dan eens die vragen? Nodig ze eens uit voor een presentatie enzo?
@KJ: als RHEL het kan, dan kunnen RHEL derivaten (CentOS,Rocky,Alma,vzLinux en Oracle Linux) het ook. Ze zijn bit voor bit compatibele en de enige reden voor SAP om alleen RHEL te noemen is dus niet een technische reden, maar eerder misschien een bedrijfseconomische risico meiden reden. De enige reden voor organisaties dan om voor RHEL te kiezen is weer het verschuiven van verantwoordelijkheden. Net als bij outsourcing gaat hiermee elke kennis en vaardigheid verloren en wordt je eigen organisatie uitgehold en geconsumeerd als een junk. En dat dan onder de noemers a la Dino van ‘het is moeilijk moeilijk complex allemaal’. Slim hoor…
Ik denk dat menig risico vermijdend management in NL de wereld heel anders gaat zien als de op een IC liggen en de dokteren beginnen op die manier van ‘moeilijk moeilijk… het zou wel eens mis kunnen gaan en dan ja wie oh wie krijgt dan nu weer de schuld daarvan?’. Of een loodgieter die je belt omdat je badkamer vol begint te lopen… ‘ja meneer ik weet niet, wie dit niet onderhouden heeft heeft… tja ik ben daar niet verantwoordelijk voor en ja duur duur moeilijk moeilijk hoor!’.
Ons land gaat kapot door dat soort types hoor!
Je wilt ook niet op de ic liggen en nog net kunnen horen : “shit, beadememingsapp werkt niet en we hebben geen support, en swa, onze it hero is niet bereikbaar. Ach wat, ik kan toch al weken geen uren meer schrijven in SAP, had te maken met opensource en platform ofzo waardoor we het zelf maar uit moest zoeken.”
@DINO, je zult merken dat doktoren dan echte professionals zijn en WEL besluiten en actie durven te nemen als het om leven en dood gaat en dat ze dan zullen zeggen “fuck that SAP” en dan analoog met de hand gaan reanimeren tot de laatste snik (letterlijk). De gemiddelde buraux tijger spreadsheet manager daarentegen… Verder niet om wederom de vinger op die zere plek te moeten leggen, maar je doet weer een ‘moeilijk lastig kan niet’ type reactie weer en je denkt steeds eerder in problemen dan in oplossingen?! Daar krijgen we geen betere toekomst mee ben ik bang….
@swa en @fred, nog iemand die het met mij eens is, Michiel Steltman, directeur Stichting DINL dat dit een slecht initiatief is zonder alternatieven. Bovendien gaat alle mail leesbaar door de cloud en kan onderweg eenvoudig onderschept worden bij een van de maildistributeurs. Belangrijker is om de online identiteit optimaal te kunnen beschermen en alle opgeslagen vertrouwelijke informatie, zowel online als lokaal, te versleutelen met je eigen sleutel en de publieke sleutel van de ontvangers en geautoriseerde lezers. Europa zou in het kader van GDPR iedere inwoner een veilige online ID en veilige persoonlijke versleuteling moeten kunnen bieden.
Dus omdat de ene mail (encrypted via SMTPS) naar gmail de google cloud in gaat, maar de andere azure in omdat het een @microsoft bijv is enzv, trek jij de conclusie dat het allemaal maar niets meer uit maakt om meteen AL je bedrijfsmail integraal ‘for grabs’ bij een americaans big tech cloud bedrijf te plaatsen zonder fatsoenlijk wettelijk beschermingen volgens de GDPR en AVG?
Bedrijfsmail zijn je kroonjuwelen, dat besef je je?
Wellicht hebben directeuren van bedrijven ook niet 100% de beste voornemens met hun klanten als het puntje bij paaltje komt vwb hun business case?
@Guus: Zegt Michiel dat er buiten Google en Microsoft geen gangbare en onderhoudbare emailsystemen zijn, zoals jij beweert? Dat lijkt me stug. De hoogleraren lijken me niet tegen het idee om iedere inwoner van de EU van een veilige online ID te voorzien en daar is men in EU-verband ook hard mee bezig om te ontwikkelen, samen met sommige van deze hoogleraren zelfs, vermoed ik. Ze willen alleen niet dat Amerikaanse bedrijven de poortwachter worden tot dat soort data. Zoals nu al vaak het geval is bij mail en agenda-items bij overheidsinstanties, waar je buiten Citrix om van buitenaf alleen maar toegang toe krijgt, met een two-factor code via een SMS-je van Microsoft. E-mail is via webmail met https in je browser of via TLS met een e-mailclient versleuteld, ook als je een eigen mailserver (een beetje fatsoenlijk ingericht) ergens draait en ik zie niet welke maildistributeurs dat onderweg kunnen ontsleutelen, maar de berichten zelf versleutelen is uiteraard nog beter. Dat heeft weinig te maken met een Google of Microsoft die de mailserver host.
@fred: als je een eigen mailsever draait, verstuur je de mail via een versleutelde verbinding maar daarmee is de inhoud, je mailbericht niet versleuteld. Je hebt geen zicht welke maildistributies er onderweg allemaal tussen zitten. Netals dat mobiel verkeer afgetapt kan worden, zo kan mailverkeer ook afgetapt worden. Alternatieven bestaan er misschien zoals hierboven genoemd wel maar de hoogleraren gaan voorbij aan het belangrijkste aspect en dat is de interface voor de gebruiker. Gebruikers willen Office of G-Workspace op hun laptop en telefoon, en niets anders. Blijf er bij dat een veilige ID’s en goede versleuteling zaken zijn die Europa zou moeten kunnen ontwikkelen, vergelijkbaar aan de GDPR, die nu wereldwijd impact heeft en ook buiten Europa wordt opgepakt.
Guus Brugman,
Stichting DINL is een lobbyclub, zoals vereniging i.o een praatclub is want de overdracht van onze digitale souvereiniteit hebben we al lang geleden gedaan zoals we ons ook afhankelijk hebben gemaakt van onze Amerikaanse bondgenoot als het om defensie gaat. We vergeten het nog weleens maar Defense Advanced Research Projects Agency (DARPA) van het Amerikaanse leger werd in 1958 opgericht als reactie op de lancering van Spoetnik-satelliet van de Sovjet-Unie. met als doel ervoor te zorgen dat Amerika nooit meer met de broek op de enkels zou worden betrapt in de technologierace. En wat heeft Europa al die tijd gedaan?
Goed, we hebben een Europese tegenhanger voor GPS en zijn drukdoende met GAIA-X maar dat we afhankelijk zijn geworden van m.n. Amerikaanse techreuzen zit toch echt in de keus tussen zelfdoen of laten doen. De gebruikelijke lobby voor open source vergeet even dat code misschien wel toegankelijk is maar daarmee nog niet direct leesbaar, een ‘digitale geletterdheid’ gaat namelijk niet om de bedieningsvaardigheden. En we hebben inderdaad niet alleen bezuinigd op de postzegel maar ook op de enveloppe, wat zegt stichting DINL eigenlijk over het meelezen van onze eigen overheid in het berichtenverkeer?
Ik verwees in eerdere reactie naar Caspar Bowden omdat hij – net als Edward Snowden – een klokkenluider was: https://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/briefingnote_/briefingnote_en.pdf
Versleuteling is een optie, de vraag is alleen wie de ‘master-key’ heeft want als ik me niet vergis wil vooral onze eigen overheid meekijken in de communicatie, academische praatclubje vergeet even een referendum. Wat hackers kunnen zal een overheid ook kunnen en ik wijs even op de criminelen die misleid werden met het idee dat ze veilig hun snode plannen konden overleggen via een cryptodienst die opgezet was door de politie. De vraag is dus waar blijft Jack want zijn filosofische broeders heb ik tijdens lange marsen uitgedaagd, de geestelijke eentonigheid van marcheren werd draagelijk door discussie.
Ik maak dus even zijsprongetje naar een andere discussie over de belofte van code maakt schuld want de vraag of je een bedrijf moet belonen voor een wanprestatie is een leuke want dat Microsoft al 40 jaar altijd meer beloofd dan dat ze werkelijk leveren is geen nieuws. De kudde begrijpt alleen niet dat het een strategie is, je drijft de schapen namelijk het makkelijkste in de hoek als ze bang zijn.