Twintig Nederlandse cybersecuritywetenschappers hebben ernstige bezwaren tegen de uitbesteding van e-mail en andere ict-diensten aan grote Amerikaanse cloudproviders. Volgens de groep van merendeels hoogleraren moeten de universiteitsbesturen goed over een dergelijke overstap nadenken.
In een brandbrief wijzen de wetenschappers, verenigd binnen de Academic Cyber Security Society (ACCSS), op de vele gevaren en nadelen. Grootste risico is dat als je eenmaal bent overgeleverd aan Big Tech, het bijkans onmogelijk wordt van hen af te komen. Universiteitsbesturen en -raden krijgen daarom het advies om een strategische visie te ontwikkelen voordat definitieve stappen worden gezet.
De wetenschappers verbazen zich erover dat universiteitsbesturen besluiten het onderhoud van ict-diensten uit te besteden aan Amerikaanse cloud-giganten. Fijntjes wijzen ze op de oproep die rectoren van de Nederlandse universiteiten in december 2019 deden om de afhankelijkheid van Amerikaanse techbedrijven te verminderen. ‘Blijkbaar verliest het strategische langetermijndenken het van operationele korte-termijnproblemen,’ schamperen de cybersecurity-hoogleraren.
Ommezwaai
Aanleiding tot de ommezwaai is dat systeembeheerders hun handen vol hebben aan het verhelpen van fouten in de Microsoft-software. Zo duiken in Microsoft Exchange-mailservers om de haverklap bugs op, wat e-mailsystemen kwetsbaar maakt. De cloudgebaseerde e-mailsystemen van Microsoft lijken relatief veilig. De wetenschappers begrijpen dat er daarom stemmen opgaan om de e-maildiensten uit te besteden aan de ogenschijnlijk veilige cloud-oplossingen van Big Tech.
Maar het is volgens hen de vraag of dat wel zo verstandig is. Privacy en veiligheid zijn bij deze Amerikaanse cloudproviders allerminst gewaarborgd. De wetenschappers huiveren bij de gedachte dat data van medewerkers en studenten bij deze hyperscalers belanden en onder de Amerikaanse wet- en regelgeving vallen. Zelfs de autorisatie tot diensten dreigt te worden uitbesteed. ‘We verheffen daarmee de Facebooks, Googles, Amazons en Microsofts van deze wereld tot grenspolitie van die data,’ zo luidt de kritiek. Niet denkbeeldig is dat de Amerikaanse overheid daarmee straks toegang krijgt tot het universitaire e-mail verkeer en de data.
Ook juridisch zijn er gevaren. De kans bestaat dat Nederlandse rechters binnenkort de universiteiten verbieden om nog langer gegevens in de Amerikaanse cloud op te slaan. Financieel dreigt dan ook een strop. Ten slotte vragen de hoogleraren zich af of het ethisch valt te verdedigen als een bedrijf geen veilige e-mailsoftware kan leveren zoals Microsoft, het dan te belonen door je compleet van dat bedrijf afhankelijk te maken en alles uit te besteden.
Helder verhaal en een duidelijk waarschuwing voor al die bestuurders die niet verder kijken zoals al genoemd, kortetermijnvisie.
Mogelijk veroorzaakt door tijdgebrek en generatiekloof in een tijdperk van snelle automatisering.
Het is een schande dat bedrijven alles wat als ‘hip’ en ‘doe toch mee’ aannemen, omdat ze niet uniek willen zijn maar braaf mee willen doen met de meute, met alle consequenties van dien. De trend om dapper te zijn als je niet een eigen mening hebt is een compleet op angst gebaseerde trend.
Twintig cybersecurity wetenschappers die “om de haverklap bugs in de Exchange-mailservers vinden”, waardoor die e-mailsystemen kwetsbaar zijn, zouden dan een alternatief moeten noemen en dat doen ze niet. Buiten Google en Microsoft zijn er geen gangbare en onderhoudbare emailsystemen en mits je de juiste systeembeheerders kunt vinden en houden die iedere maand trouw de updates op tijd doorvoeren. Probleem zit in het beheer niet in de programmatuur en alternatieven zijn er niet, en als er al open source alternatieven zijn, kun je daar zeker geen beheerders en tijdige updates voor vinden. Trouwens bieden Microsoft en Google opslag op servers in Nederland aan voor overheden, en misschien voor scholen en universiteiten.
@Guus: wat een onzinverhaal dat er geen open source e-mail systemen zouden zijn, waarvoor ook beheerders en tijdige updates te vinden zijn. Kwestie van prioriteiten en opleiden (herscholing wil ik het niet noemen), lijkt me, of zorgen dat niveau van systeembeheerders boven niveau knoppencursus ligt. Een heleboel bedrijven en instellingen zitten domweg gevangen in de Microsoft bubble/stack en deze techgigant zet zijn cloud-first strategie en verdergaande toepassing van het subscription model steeds meer door. De integratie met andere cloudgebaseerde tools van Microsoft, zoals met name de security en compliance tools, maar ook Teams en Office 365 en de laatste tijd ook weer sterk met de nieuwe Edge webbrowser maakt het steeds lastiger om (ook een van buiten het bedrijfsnetwerk toegankelijke) Exchange server goed te beheren en veilig en makkelijk te laten gebruiken door de eindgebruikers.
Of het expres verwaarlozen van Exchange on premise bij deze strategie hoort, weet ik niet, maar de term “cloud-first” spreekt voor zich als er keuzes gemaakt moeten worden. De vraag van de hoogleraren of je dit soort dienstverlening moet belonen door je boeltje dan maar in de publieke cloud te gaan hosten en de opmerkingen over de risico’s en over korte versus lange termijn denken, zijn volgens mij terecht.
Fred, wat is dan het alternatief ?
Uitbesteden en cloud zijn de trends, daarvan afwijken kost veel energie en geld. Waar haal je dat vandaan ?
Makkelijkste lijkt toch gewoon Gartner te volgen en te wachten op een uitspraak van de rechter waar je naar kunt verwijzen.
Daarna is er wel business case voor dit soort grote veranderingen.
@guus
je betoog deugt niet. immers als google het wel kan zonder microsoft software, dan heb je met een enkele voorbeeld je stelling ‘dat het niet anders kan’ zelf ontkracht.
waar we mee te maken hebben is een vorm van het stockholm-syndroom waarbij je gaande weg afhankelijk bent geworden van een partij (met out sourcen van dingen zijn vele ook kennis kwijt geraakt. er is dus bewust gekozen rond het putje te gaan draaien.) en je er maar vanuit gaat dat ze in jou beste bedoelingen handelen. dat is natuurlijk alles behalve waar. het is een bedrijf dat aandeelhouders heeft. wees niet naief in deze wereld. niet iedereen is er om je te ‘vangen’ met een groots boos vooropgezet plan, maar het is ook geen roze brilletje wereld waar andere belangen geen rol zouden spelen.
verder wijs ik enkelen meteen op deze exchange alternatieven: Open-Xchange, Kolab en Zimbra.
overzichtje op https://en.wikipedia.org/wiki/Comparison_of_mail_servers.
Ook zou je je kunnen afvragen waarom exchange (ook bij de beheerders ervan) als een drie koppige draak beschouwd wordt en waarom eenvoudigere oplossingen zoals de combi postfix, dovecot en roundcube niet al een hele goede start is voor de meeste. check ook bijvoorbeeld nethserver (http://nethserver.org) waarbij deze gehele stack via een pointy-klik web gui interface (en veel meer) beheerd kan worden.
Die genoemde alternatieven zijn bekend.
functionaliteit is net iets anders en dat pikken de gebruikers niet.
implementatie is totaal anders en dat pikt de origanisatie niet, andere filosofie, andere beheerders, andere verantwoordelijkheid, ander licentiemodel, andere security, andere support.
“een goede start” is geen enterprise solution.
zelfs als de implementatie vrijwel gelijk is zoals rhel vs centos, durft een organisatie het zelden aan om zonder os support te werken. centos as we know it, is overigens ook verleden tijd, ook zo’n dingetje.
@dino
– vwb CentOS, er is Oracle Linux, Springdale, vzLinux, Alma en Rocky (bijna) naast officieel RHEL vwb 8. vwb 7 is er wel nog CentOS, en Oracle Linux en Springdale en natuurlijk RHEL. Je kunt ook nog naar SuSE danwel Debian en Ubuntu derivaten kijken als alternatief. Hoeveel keuze vrijheid en dus mogelijkheden en onafhankelijkheden heb je bij Microsoft?
– je bent duidelijk eentje van de ‘alles is moeilijk partij’. dan blijf ook verder vooral in je stockholm syndroom ‘het kan niet anders’ cirkeltje hangen en schuif een van je ‘kroonjuwelen’ maar lekker via MS 365 in de cloud bij een Americaans big tech bedrijf. ik ben blij dat er nog wat hoogleraren een VISIE durven te vragen want het is duidelijk dat het niet vanzelf ‘uit de markt’ komt meer tegenwoordig…
Dingen roepen is makkelijk, ik kan het weten 😉
verantwoordelijkheid nemen in een grote organisatie met enorme belangen, moeilijk.
visie vragen : makkelijk
visie uitdragen, dus met argumenten komen, onderbouwde keuzes maken, rekening houden met wettelijke beperkingen : moeilijk
ff wat neerzetten : makkelijk
iets neerzetten wat beheer(s)baar, secure, schaalbaar is, met lcm, sla, continuiteit, kennisbehoud, uitwijkplan etc : moeilijk.
swa, je klinkt een beetje als die unix sysadmin uit jurasic park, lekker klussen. het ging mis.
die hebben we toen opgegeten.
@SWA
RHEL en Suse zijn de enige OS-en die S/4HANA (het nieuwe SAP platform) kunnen ondersteunen. Ik denk dan ook dat de rerst gedoemd is om in de end-user sfeer te blijven of langzaam af te sterven.