Het gebruik van de cloudplatforms van Big Tech wordt minder vanzelfsprekend. De oproep van twintig cybersecurity-hoogleraren om hier nog eens goed over na te denken, doet veel stof opwaaien. Prof. Aiko Pras, hoogleraar internet security aan de Universiteit Twente, is hier blij mee want Nederland loopt achter als het gaat om het nadenken over digitale soevereiniteit.
De open brief van de Academic Cyber Security Society (Accss) gericht aan universiteitsbesturen en -raden heeft zijn effect gehad. Binnen de universitaire wereld maar ook daarbuiten laait de discussie over de risico’s van cloudtransitie op.
Prof. Aiko Pras, hoogleraar internet security aan de Universiteit Twente, is blij dat het debat over digitale soevereiniteit is losgebroken. In Duitsland en Frankrijk is het strategisch denken hierover al veel verder ontwikkeld, zegt de ddos-expert.
Afhankelijk van Big Tech
Eurocommissaris Thierry Breton en Ursula von der Leyen, de president van de Europese Commissie, laten zich al jaren kritisch uit over de vraag of we niet te veel afhankelijk worden van Big Tech. Nederland loopt echt achter, stelt Pras. ‘Ik heb hier nog nooit een Nederlandse minister iets over horen zeggen.’
Volgens Pras, die de universiteit van het Duitse leger adviseert over cybersecurity en tal van functies op dat gebied bekleedt, wordt het hoog tijd dat digitale soevereiniteit ook in Nederland hoog op de agenda komt. Hij zou niet weten waarom de universitaire besturen en de studentenvertegenwoordigers daar geen mening over kunnen ontwikkelen. ‘Kom op, zeg. Zo dom zijn we niet,’ stelt Pras.
De Twentse hoogleraar, hoofdopsteller van de ‘brandbrief’, benadrukt beslist niet tegen de cloud te zijn. Hij wil alleen een waarschuwing laten klinken die vooral van politiek juridische aard is. Niet zozeer in het geding is de veiligheid van hyperscalers zoals Microsoft en Google maar hun positie als ondernemingen die onder het Amerikaanse recht vallen.
Probleem is dat de VS wezenlijk anders over privacy en security denken. De National Security Agency (NSA) kan Big Tech op elk moment opdracht geven bepaalde privacygevoelige data te overhandigen. En volgens de Amerikaanse wetgeving heeft die veiligheidsdienst toegang tot die gegevens, ook als ze van Europese burgers en bedrijven komen. Om die reden verklaarde het Europese Hof van Justitie vorig jaar zomer het EU-VS Privacy Shield ongeldig in de zogeheten Schrems II-uitspraak.
Europese organisaties die gegevens in de Amerikaanse cloud zetten, moeten voortaan extra maatregelen nemen om de veiligheid van de doorgifte te waarborgen. Dat is hun eigen verantwoordelijkheid. Pras: ‘Universiteiten die al hun gegevensopslag uitbesteden aan Big Tech, lopen daardoor gevaar. Dit geldt zeker als ze zo sterk afhankelijk zijn geworden dat er geen weg terug meer is.’
Als een Nederlandse rechter daar een stokje voor steekt, zijn de rapen gaar. Het zou Pras niet verbazen als een student in de toekomst naar de rechter stapt om die data-overdracht aan te vechten. Hij acht de kans groot dat de rechter die doorgifte onwettig acht.
Hij wijst op de impact die de Oostenrijkse activist Max Schrems met zijn campagnes tegen Facebook heeft gehad. De recente geschiedenis leert dat één individu of een klein groepje activisten kan afdwingen dat data in de EU moeten blijven.
Naïeve houding
Verder constateert Pras dat economische spionage de Amerikaanse inlichtingendienst niet vreemd is. Ook dat is een aspect dat in Nederland weinig aandacht krijgt. Terecht wees AIVD-baas Erik Akerboom op de naïeve houding van universiteiten in hun contacten met China. Dichter bij huis is ook de Franse veiligheidsdienst niet vies is van economische spionage. Volgens Pras is het naïef om te denken dat Amerikaanse inlichtingendiensten hun mogelijkheden niet zullen benutten, zeker als het politieke klimaat in Washington daartoe uitnodigt.
De positie van universiteiten is in de VS ook anders. Het zou de Twentse hoogleraar niet verbazen als Big Tech in de toekomst universiteiten op commerciële basis beginnen. Anders dan in Europa is de Amerikaanse academische wereld in hoge mate geprivatiseerd. Nederlandse universiteiten moeten er rekening mee houden dat Google, Facebook, Amazon of Microsoft zich op een bepaald moment als concurrenten ontpoppen.
Bij die op moderne leest geschoeide, commerciële universiteiten zullen data een belangrijker rol spelen dan voor een groep studenten een verhaaltje af te steken. Niet het onderwijs maar de data worden de hoofdzaak. In zo’n scenario kunnen hyperscalers in de verleiding komen aan de haal te gaan met de data die Nederlandse universiteiten in hun cloud hebben gestald. Pras zegt niet dat dit gaat gebeuren, maar vindt wel dat dit aspect een rol moet spelen in een bredere discussie over de cloud.
Probleem van tafel
Pras gaat ook in op de kritiek dat van onder meer Michiel Steltman dat de hoogleraren in hun brief nauwelijks oplossingen aanreiken. Volgens Pras is dit opzettelijk gedaan want als je allerlei oplossingen aandraagt, loop je het risico dat de discussie niet meer over het probleem gaat. Dan bestaat het gevaar dat met het afwijzen van oplossingen ook het probleem van tafel wordt geschoven.
Pras: ‘Universiteiten kunnen door krachten te bundelen wel degelijk zelf een organisatie oprichten die een alternatief voor Amerikaanse cloud-oplossingen biedt.’ Daarbij valt te denken aan opzet en beheer van de e-mailinfrastructuur en diensten zoals autorisatie.
Met Surf als coördinerende partij is een aantal diensten zelf te doen. Ook Surfsara, actief onder meer in dataopslag, kan daar een rol in spelen. Allerlei modellen en oplossingen zijn denkbaar. Uitbesteding aan een commerciële partij hoort daar ook bij, mits onder de juiste voorwaarden.
Een mogelijkheid is ook expertises die bepaalde universiteiten hebben, voor een bredere groep in de academische wereld in te zetten. Als universiteit X goed is in A en universiteit B sterk is in B, kunnen die competenties in groter verband worden gebundeld. Ook Europees zijn samenwerkingen mogelijk. Denk bijvoorbeeld aan Géant, een pan-Europees netwerk voor universitair onderzoek en onderwijs, geleid door de Nederlander Erik Huizer. ‘Er zijn best alternatieven’, besluit Pras. ‘Maar het belangrijkste is dat eerst in Nederland een goede discussie wordt gevoerd zoals dat ook elders in Europa plaatsvindt.’
