Data en ai
Blog

Poetin de cloud-killer

Bart Jacobs is hoogleraar computerbeveiliging en privacy aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design.

Overheidsinstanties mogen “onder strikte voorwaarden” gebruik maken van commerciële clouddiensten. De internationale ontwikkelingen van de afgelopen weken maken duidelijk dat hier een harde eis aan toegevoegd moet worden, namelijk dat cloud-gebaseerde ICT moet blijven functioneren wanneer Poetin transatlantische kabels opblaast.

Staatssecretaris Van Huffelen van digitalisering publiceerde vorige maand het nieuwe rijksbrede cloudbeleid van dit kabinet. Overheidsinstanties mogen “onder strikte voorwaarden” gebruik maken van commerciële clouddiensten. De internationale ontwikkelingen van de afgelopen weken maken duidelijk dat hier een de harde eis aan toegevoegd moet worden, namelijk dat cloud-gebaseerde ICT moet blijven functioneren wanneer Poetin transatlantische kabels opblaast.

Met het aantreden van de huidige Europese Commissie onder voorzitterschap van Ursula von der Leyen is het onderwerp Europese autonomie en soevereiniteit hoog op de Europese agenda terecht gekomen. Tijdens de pandemie hebben we gezien hoezeer we in Europa (en in Nederland) afhankelijk zijn geworden van internationale partijen met hun eigen agenda’s. Deze nieuwe nadruk op soevereiniteit strekt zich nadrukkelijk ook uit tot het digitale domein. Von der Leyen zelf, maar ook haar commissaris Breton, zetten hier zwaar op in, bijvoorbeeld om een eigen Europese chipindustrie te stimuleren. In Den Haag wordt deze aandacht voor digitale autonomie maar traag opgepakt: voor het huidige kabinet heeft het vooralsnog geen hoge prioriteit.

Cloudbeleid

De recente brief over het nieuwe rijksbrede cloudbeleid gaat zelfs in de tegengestelde richting. Het kabinet staat toe dat overheidsorganisaties overstappen van eigen (Nederlandse) cloudleveranciers naar de cloud van bekende dominante (Amerikaanse) cloud (en SaaS) partijen, zoals Microsoft, Amazon en Salesforce. De brief bindt het gebruik van zulke diensten aan “strikte voorwaarden” en sluit overzeese opslag en verwerking van bijvoorbeeld gevoelige persoonsgegevens of staatsgeheimen uit. Het is belangrijk dat er met deze brief zulke expliciete voorwaarden zijn, om cowboy-gedrag op dit gebied aan banden te kunnen leggen.

Samen met collega José van Dijck heb ik me bij een andere gelegenheid reeds uitgesproken over het gebrek aan ambitie om Nederlandse en Europese ontwikkelingen richting een (open source) cloud- en diensten-infrastructuur te ondersteunen, uit te bouwen en te gebruiken. Ook gemeenteraadsleden zijn verbolgen over vergelijkbare trends in het lokale bestuur.

Cloud zonder kabels?

Met het opblazen van de Nordstream-gasleidingen in de Oostzee is Europa hard geconfronteerd met haar afhankelijkheid van internationale verbindingen. Vorig jaar verdween in Noorwegen een onderzeese kabel voor digitale communicatie naar het eiland Spitsbergen. Beide onderbrekingen passen in de hybride oorlogsvoering van Poetin. Hij wordt alom aangewezen als opdrachtgever.

Kunnen overheid en vitale sectoren nog wel blijven functioneren wanneer Poetin transatlantische kabels tot doelwit maakt?

De situatie in de Oekraïne wordt voor Rusland steeds problematischer. Poetin kiest daarbij de weg van de escalatie. Hij knijpt nu al de gasleveranties aan Europa af. Een digitale afsluiting is een voor de hand liggende volgende stap op de escalatieladder – met nucleaire escalatie als ultieme ingreep.

De gebleken kwetsbaarheid van internationale verbindingen moet voor iedere organisatie in Europa, publiek of privaat, een wake-up call zijn. Kan onze overheid, of kunnen onze vitale sectoren, nog wel blijven functioneren wanneer Poetin transatlantische kabels tot doelwit maakt? Er zijn de afgelopen maanden en jaren meermaals verdachte Russische marine activiteiten geconstateerd boven onderzeese kabels, bijvoorbeeld ten zuiden van Ierland maar ook in `onze’ Noordzee.

Cloud risico’s

De Oostenrijkse jurist Max Schrems heeft laten zien dat de uitwisseling van Europese persoonsgegevens met de Verenigde Staten een wankele juridische basis heeft: keer op keer heeft hij gelijk gekregen bij het Europese Hof van Justitie. Vervolgens komt er weer een ronde van pleisters plakken en van nieuwe procedures van Schrems. We zien nu dat Schrems en Poetin elkaar versterken – bien étonné de se trouver ensemble. Geeft dit een omslagpunt?

In iedere boardroom gaat nu neem ik aan de eis gesteld worden dat de eigen ICT blijft functioneren ook wanneer Poetin kabels los begint te trekken. Amerikaanse cloud- en dienstenleveranciers sussen hun Europese gebruikers dat hun data op Europese servers staan, zoals in de EU data boundary plannen van Microsoft of in het Oracle cloud initiative. Maar werken die Europese systemen volledig onafhankelijk en daarmee ook zonder transatlantische kabels? Werken bijvoorbeeld ook authenticatie (inloggen) en spellingscontrole niet toch via Amerikaanse systemen? Dat zal grondig getest moeten worden, want niemand wil in een crisis door verborgen afhankelijkheden verrast worden, waardoor de eigen ICT niet meer werkt.

Afsplitsing

Ik verwacht zelf dat een deel van een uiteindelijke oplossing moet komen van een volledige afsplitsing van een Europese tak van Amerikaanse ICT-giganten. Daarnaast, en in de tussentijd, is het verstandig om zwaar in te zetten op Europese (open source) alternatieven, zoals NextCloud en GoodCloud, niet alleen omwille van publieke waarden en digitale soevereiniteit, maar ook omwille van business continuity.

Bart Jacobs is hoogleraar computerbeveiliging en privacy aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Voor meer informatie, zie zijn persoonlijke webpagina bij de universiteit.

  • Fred Hage | 23 oktober 2022, 20:14

    Dag Bart, digitale soevereiniteit wil je inderdaad voor de hele digitale infrastructuur.

    Ook in 2014, bij de annexatie van de Krim, heeft Putin trouwens al eerst de glasvezelverbinding met Oekraïne onklaar gemaakt, zodat de bevolking alleen nog maar via Rusland met internet verbonden was. Dat heeft toen tot veel ophef bij de NATO geleid, deze herkenning van een nieuwe aanvalsvector in cyberwar.

    Hyperscalers kiezen er over het algemeen voor om hun (“regionale”) datacenters op minimaal drie internationale routes aangesloten te hebben. Niet alleen vanwege resilience, ook om latency en bandbreedte elastischer in de hand te hebben. Dus zo maar even “los van internet” zijn ze echt niet.

    Maar zo’n 70% van het dataverkeer over de intercontinentale wordt momenteel gegenereerd door de internet grootmachten en ze worden in toenemende mate ook eigenaar van die intercontinaentale zeekabels, waar dat voorheen telecom-consortia waren. China Telecom is overigens wel groeiende in deze sector.

    Wat ik dus mis in je lijstje voor de uiteindelijke oplossing, is een oproep om ook de publieke waarden en open gebruik (en open standaarden uiteraard!) te willen borgen bij de zeekabels. Anders draaien de internet moguls en staten die dan helemaal niks meer hoeven door te knippen, straks gewoon even aan de knoppen of plaatsen een filter bij de grote backbone router van het internet, als dat ze beter uitkomt.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren