De twintig cybersecurity-hoogleraren missen een essentieel punt met hun oproep nog eens heel goed na te denken over het gebruik van de cloud-platforms van Big Tech. Onterecht zadelen ze de universiteitsbesturen op met een maatschappelijk, breder probleem. Michiel Steltman, directeur Stichting DINL (Digitale Infrastructuur Nederland), stelt dit in een reactie op de brandbrief van de wetenschappers, verenigd in de Academic Cyber Security Society (ACCSS).
Volgens Steltman zien de hoogleraren over het hoofd dat het voor toezichthouders noch voor de overheid mogelijk is die langetermijnrisico’s zodanig hard te maken dat die een doorslaggevende rol kunnen spelen bij hun platformkeuze. Steltman: ‘Laat staan dat onderwijsorganisaties en bedrijfsleven dat kunnen.’
De hoogleraren vragen zich af of het wel zo verstandig is over te gaan op de cloud-gebaseerde e-mailsystemen van Microsoft. Ze menen dat de keuze voor Amerikaanse providers op de lange termijn meer problemen kan opleveren dan er nu worden opgelost. Veiligheid en privacy van studenten en medewerkers zijn daar onvoldoende gewaarborgd.
Een nacht ijs
Volgens Steltman suggereren de briefschrijvers met hun opmerkingen over de korte versus de lange termijn ten onrechte dat de universiteitsbesturen over één nacht ijs zijn gegaan. ‘Er is geen aanleiding om te veronderstellen dat de e-mailplatforms van Microsoft en Google niet aan de wet voldoen of onveilig zijn. Dat argument wordt er met de haren bijgesleept’, meent Steltman.
Hij wijst op een onderzoek van ICTRecht over opslag van medische data in de cloud. Dit juridisch adviesbureau concludeerde dat medische gegevens bij Google en andere Amerikaanse hyperscalers wel degelijk veilig zijn. Onder voorwaarden kunnen ze daar gerust worden opgeslagen. Steltman: ‘Er bestaat er geen concrete aanwijzing dat partijen als Microsoft en Google zich niet aan de Europese wet houden. Als je als afnemer met de feitelijke informatie van vandaag een rationele afweging moet maken, dan kies je vaak voor zulke platforms. Ook de overheid zelf gebruikt die diensten. Meer mag je nu niet verwachten van organisaties die zulke keuzen moet maken.’
Gebrekkig
De DINL-directeur verwijt de hoogleraren een gebrekkige onderbouwing. Te veel hebben de hoogleraren zich laten meeslepen door het negatieve sentiment rond Big Tech, en de op zich terechte zorgen over onze digitale soevereiniteit. Verder reiken ze nauwelijks alternatieve oplossingen aan. Enige concrete voorstel is de e-mailinfrastructuur en andere diensten zoals autorisatie en andere diensten vaker uit te besteden aan Surf. Dat is op zich een prima gedachte, vindt Steltman. Maar alternatieven die zich kunnen meten met de diensten van genoemde leveranciers, zijn er nog niet. Daarbij kun je afvragen hoe zinvol het is om een nationaal alternatief na te streven en die ambitie bij onderwijs- en onderzoeksinstellingen neer te leggen.
Steltman: ‘In plaats van universiteiten en hoge scholen als een soort kop van Jut te maken, hadden de hoogleraren zich beter ergens anders druk over kunnen maken: de oorzaken van de steeds groter wordende achterstand van Europese alternatieven en het gebrek aan assurance-keurmerken die voldoen aan de behoeften van zakelijke cloudgebruikers.’ Het sleutelwoord is digitale soevereiniteit. Hoe zorgen we ervoor dat de Nederlandse en Europese cloud-industrie zich beter kan ontwikkelen, en die alternatieven wel kan bieden? En hoe kunnen afnemers zekerheden krijgen over de geschiktheid van een clouddienst voor een bepaalde toepassing? Hoe zorgen we er voor dat we op de lange termijn de baas blijven over onze eigen data?
Heldere criteria
De oplossing is niet dat organisaties ieder op hun eigen houtje een strategisch cloudbeleid ontwikkelen zoals de hoogleraren voorstellen. Universiteiten zijn er veel meer mee geholpen dat de overheid met certificeringen voor cloudproviders komt, die gebaseerd zijn op heldere criteria. ‘Dan weet elke instelling met wie ze in zee kunnen gaan. Als vaststaat dat een provider voldoet aan de Europese wet- en regelgeving, dan is geen discussie nodig over de vraag of data in vertrouwde handen zijn.’ Steltman moet helaas vaststellen dat de ontwikkeling van goede keurmerken tot nog toe niet van de grond is gekomen. En dat terwijl bijvoorbeeld artikel 42 van de Algemene Verordening Gegevensbescherming (AVG) voorschrijft dat de overheid voor certificeringen op het gebied van de AVG zorgt.
Volgens Steltman laten de Europese toezichthouders en de betrokken ministeries het echter op dit punt afweten. Wel is mede op initiatief van dat laatste het ministerie van Economische Zaken en Klimaat (EZK) de Online Trust Coalitie tot stand gekomen. Dit samenwerkingsverband van ruim twintig organisaties streeft naar eenduidige eisen, keurmerken en certificeringen. Cloudleveranciers kunnen daarmee aantonen dat hun diensten betrouwbaar en veilig zijn. De Online Trust Coalitie kan het tempo van ‘assurance’ omhoog brengen.
Luchtvaart
Volgens Steltman is allereerst nodig dat er heldere normenkaders komen die voorschrijven waaraan cloudproviders die actief zijn op de Europese markt, moeten voldoen. Daarnaast is bewijs nodig dat de beweringen van cloudproviders kloppen. Iemand zal dat moeten toetsen. Behalve een instantie die maatregelen neemt en een onafhankelijk toezicht, moet ook de informatieverstrekking worden gestandaardiseerd. Pas als aan die drie voorwaarden is voldaan, kunnen organisaties er zeker van zijn dat hun data in vertrouwde handen worden gelegd.
Steltman noemt de luchtvaart als voorbeeld van een sector waar de zaken naar ieders tevredenheid zijn geregeld. Luchtvaartmaatschappijen moeten in Europa aan strenge normen voldoen. Dat voorkomt dat bijvoorbeeld TUI moet nagaan of ze vakantiegangers met Ryanair kunnen laten vliegen.
Aan zakelijke afnemers van clouddiensten zou dezelfde zekerheid moeten worden geboden. Alleen assurance brengt de uiteindelijke oplossing. Beloftes van cloudproviders zijn ontoereikend. ‘Daar hebben we weinig aan. Klanten moeten onafhankelijke waarborgen hebben dat het klopt.’ Wel heeft de inrichting van zo’n kwaliteitsstelsel tijd nodig. Het is een stap naar volwassenheid, zegt Steltman.
Hij stelt een systematiek voor zoals we die kennen van financiële jaarrekeningen. Noem het een digitale jaarrekening op basis van een rapportagestandaard die voldoet aan wettelijke eisen. Qua auditpraktijk zou Nederland het voortouw moeten nemen. Die audits van cloudproviders mogen niet eenmalig zijn, want techniek en risico’s veranderen snel. Het tempo van de vernieuwing ligt zo hoog dat eenmaal afgegeven certificering al gauw is verouderd. Elk half jaar is daarom een audit nodig.
Schreeuwend
Omdat de Europese wetgeving anders is en in de EU anders over privacy wordt gedacht, kunnen we geen Amerikaanse normen volgen. Europa heeft schreeuwend behoefte aan eigen assurance-systematiek, besluit Steltman. Zolang we dit probleem niet oplossen, blijft de innovatie geremd. Mede onder invloed van brandbrieven zoals die van de ACCSS durven andere bedrijven en instellingen niet naar de cloud te gaan. Dat remt hun vermogen om te innoveren en werken op afstand te faciliteren. Nu krijgen ze geen duidelijkheid over welke platforms ze wel en niet kunnen kiezen. Het wordt hoog tijd deze onzekerheden weg te nemen.
“Het wordt hoog tijd deze onzekerheden weg te nemen”
Dat doe je door onzekere diensten niet te gebruiken voor persoonsgegevens. Dan is er geen onzekerheid.
Innoveren kan ook zonder Amerikaanse cloud en O365 is daar al helemaal niet voor nodig.
Dus de hoogleraren focussen op persoonsgegevens en hebben het helemaal bij het rechte eind. Het erbij halen van die 0,001% die voor hun innovatie iets uit die Amerikaanse cloud nodig heeft helpt niet.
We moeten juist Europese diensten gebruiken, dan heb je het gedoe gewoon niet.
“Mede onder invloed van brandbrieven zoals die van de ACCSS durven andere bedrijven en instellingen niet naar de cloud te gaan.”
Wel hoor. Maar terecht twijfelen ze aan de Amerikaans cloud dus doen ze dat in NL. Wat natuurlijk helemaal prima is en verstandig.
Dé cloud is niet Amerikaanse cloud. De cloud is er ook gewoon in NL.
De schrijver refereert naar het onderzoek van ICTRecht. Juist in dat onderzoek komt naar voren dat de overheid er werk van moet maken dat de Amerikaanse overheid bij de Amerikaanse cloud providers geen inzage in de gegevens meer kan veriesen.
Dit moet op politiek niveau worden opgelost.
Maakt in feite niet uit of een cloud provider Amerikaans, Russisch of Chinees is. Alle mail gaat leesbaar door de cloud en kan onderweg eenvoudig onderschept worden bij een van de maildistributeurs. Belangrijker is om de online identiteit optimaal te kunnen garanderen en alle opgeslagen vertrouwelijke informatie, zowel online als lokaal, te versleutelen met je eigen sleutel en de publieke sleutel van de ontvangers en geautoriseerde lezers. Europa zou in het kader van GDPR iedere inwoner een veilige online ID en veilige persoonlijke versleuteling moeten kunnen bieden.
@guus:
Ik verwijs je graag naar het protocol dat SMTPS heet en DANE:
https://en.wikipedia.org/wiki/SMTPS
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities#Email_encryption
https://blog.apnic.net/2019/11/20/better-mail-security-with-dane-for-smtp/
Met deze protocollen ben je vrijwel 100% gegarandeerd dat dan de beoogde ontvanger het verkeer ontvang en dat op dat stukje onderweg niemand mee heeft kunnen kijken.
Cloud, in zijn basis, is iemand anders computer in een vreemd netwerk!
En saillant detail in de laaste ref is trouwens “DANE is not supported yet by Microsoft Office 365.”. Zouden die heren hoogleraren misschien toch wel een beetje verstand van de zaken hebben?
Dit artikel raakt een omvangrijk vraagstuk dat verder gaat dan vertrouwelijkheid van gegevens. Het gaat over soevereiniteit: hoe zorgen we ervoor dat de diensten die we afnemen voldoen aan ONZE (EU) regels. En daarnaast is er een meer strategisch vraagstuk dat we minder afhankelijk willen zijn van de grillen van andere supermachten. De Trump periode heeft ons laten zien dat een langdurig stabiele bondgenoot kan veranderen in een macht die je met heel andere ogen bekijkt. Beide zaken vragen om maatregelen van totaal verschillende aard. Soevereiniteit kun je regelen met afspraken, wetten, procedures en criteria. Daarbij is het zoals Michiel Steltman terecht zegt van groot belang dat de naleving daarvan frequent (bij voorkeur continu) wordt vastgesteld zodat we zekerheid hebben dat die soevereiniteit ook daadwerkelijk bestaat en functioneert. Het beperken van de afhankelijkheid is een heel ander verhaal. Dat kan alleen maar als je alternatieven hebt en helaas is de voorsprong van de techreuzen op dit moment zo groot dat je lastig alternatieven op dit niveau kunt vinden. In Europa wordt op dit moment gewerkt aan spelregels voor de cloud die voldoen aan EU wet- en regelgeving. Dit gebeurt onder de vlag van GAIA-X. GAIA-X moet een oplossing bieden voor het soevereiniteits vraagstuk. Maar ook hier zie je dat men eigenlijk niet om de techreuzen heen kan. Daarom heeft Frankrijk, nota bene een van de initiatiefnemers van GAIA-X, vorige maand een cloud strategie gepubliceerd die stelt dat de “Franse” cloud gebaseerd moet zijn op Franse/EU regels, maar waarbij nadrukkelijk de Amerikaanse techreuzen de mogelijkheid krijgen om hierin te participeren.
Het pleidooi van Michiel Steltman voor een cloud op basis van EU regels met een effectief stelsel van assurance (criteria, objectieve vaststelling dat daaraan voldaan wordt, keurmerken en communicatie) onderschrijf ik. Ik denk alleen dat we ons als Europa op dit moment niet kunnen permitteren om dit zonder de bekende techreuzen te doen.
“Er is geen aanleiding om te veronderstellen dat de e-mailplatforms van Microsoft en Google niet aan de wet voldoen of onveilig zijn.”
Helaas slaat de heer Steltman hier de plank volledig mis. Microsoft voldeed volstrekt niet aan de wet bleek uit een door de Rijksoverheid en SURF uitgevoerde DPIA. Daar is lang over onderhandeld om te zorgen dat MS wel voldoet aan de AVG.
Uit de DPIA van het Rijk en wederom SURF en het advies van de AP aan onderwijsinstellingen over het gebruik van Google blijkt dat Google nog verder achter loopt op de wet (AVG) dan Microsoft 2/3 jaar geleden. (Bron Surf.NL en tweedekamer.NL (https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2021Z10202&did=2021D22378))
Neem nooit aan dat een cloud provider voldoet aan de wet of veilig is, puur omdat ze dat zelf zeggen. Voer risico assessments en (technisch en juridische) DPIA’s uit, vraag onafhankelijke auditrapporten op, en zorg dat (zeer) gevoelige data nooit leesbaar is voor anderen dan jezelf/eigen organisatie. (En dit geldt ook voor Europese cloud providers)
@Karel: Google DPIA betreft wel specifiek de G Education Suite en dat was inderdaad al op 1 maart bekend gemaakt aan de Tweede Kamer. En natuurlojk, ook de e-mail is vanwege de Patriot Act gewoon daar in te zien door de NSA en andere USA-diensten, zonder dat de subpoena ervoor aan betrokkenen bekend wordt gemaakt. Zie ook deze blog: https://veiligcloudvaardig.nl/?p=180