Nadat de Verenigde Staten besloten om in de Veiligheidsraad mee te stemmen mét Rusland – en tegen de eigen bondgenoten in – kwam dit weekend de volgende klap voor de Westerse wereld: de Trump-administratie heeft Cisa (Cybersecurity & Infrastructure Security Agency) opdracht gegeven om Rusland niet langer als een cybersecuritydreiging te zien. De reacties op dit nieuws liegen er niet om.
‘Putin is on the inside now’, verklaarde een persoon die bekend is met de plotselinge koerswijziging van de VS tegenover The Guardian. Die opmerking kwam nadat de Amerikaanse minister van Defensie, Pete Hegseth, vorige week het US Cyber Command opdracht gaf alle plannen tegen Rusland, inclusief offensieve digitale acties, stop te zetten. Dit nieuws, dat door drie anonieme bronnen tegenover de website The Record is bevestigd, roept stevige vragen op over niet alleen de betrouwbaarheid van de VS als partner, maar ook over de veiligheid en betrouwbaarheid van de Amerikaanse tech-infrastructuur.
De opdracht geldt naar verluidt niet voor de National Security Agency (NSA) of haar signal intelligence-werkzaamheden gericht op Rusland. De volledige omvang van de opdracht van Hegseth is nog niet precies duidelijk, maar het lijkt een poging van het Witte Huis om de banden met Moskou te normaliseren, na de isolatie van het Kremlin vanwege de invasie van Oekraïne in 2022. De duur van opdracht is onbekend, maar de richtlijn zal voorlopig van kracht blijven.
Hoe kunnen de VS tot zo’n radicaal andere inschatting komen?
Onder de Amerikaanse veiligheidsorganisaties die deze opdracht hebben gekregen, zit hoogstwaarschijnlijk ook de 16th Air Force (Air Forces Cyber), de eenheid verantwoordelijk voor het plannen en uitvoeren van digitale operaties binnen het United States European Command (Eucom). Een woordvoerder van Eucom heeft een verzoek om commentaar van onder de website Gizmodo doorverwezen naar het Pentagon. Een hoge defensiefunctionaris verklaarde daarop: ‘Vanwege zorgen over operationele veiligheid, commentariëren of bespreken we geen cyberintelligence, plannen of operaties. Er is geen grotere prioriteit voor minister Hegseth dan de veiligheid van de mensen in alle operaties, inclusief het cyberdomein.’
Nederland
De gevolgen van deze koerswijzing gaan ver. Als bedrijven en overheden cruciale delen van hun informatievoorziening aan een derde partij uitbesteden, kan dit uitsluitend op basis van vertrouwen gebeuren. Op basis van dat vertrouwen hebben Nederland en Europa grote delen van hun tech-infrastructuur aan Amerikaanse partijen uitbesteed. Terwijl iedere ciso en securityprofessional in het Westen weet hoe actief de Russische overheid en de daarmee gelieerde cybercrime-groepen zijn, ondergraaft het besluit van de Trump-administratie dit vertrouwen in belangrijke mate. Hoe kunnen de VS immers tot zo’n radicaal andere inschatting komen?
Niet voor niets schrijft professor Martijn Dekker, verbonden aan Insead en global chief information security officer van ABN Amro, naar aanleiding van deze berichten op LinkedIn: ‘Dit heeft ook impact op onze beveiligingsbeoordeling van Amerikaanse infrastructuur: worden ze kwetsbaarder door de ontslagen en omdat ze minder beschermd zijn tegen Russische dreigingen? Misschien moeten we grote technologiebedrijven niet langer als ‘Amerikaanse clouds’, maar als ‘Russische clouds’ beschouwen. Hoe zou dat jouw risicobeoordeling veranderen?’
Michiel Steltman, tegenwoordig project lead bij ECP en voormalig managing director van Digitale Infrastructuur Nederland (DINL), vraagt zich op datzelfde LinkedIn af: ‘Cisa, dat verantwoordelijk is voor het beschermen van de kritieke infrastructuur van de VS tegen cyberdreigingen, schrapt de monitoring van Rusland als prioriteit. Wat komt daarna? Gaan de FSB en CIA samenwerken?’
Ook Jean-Paul van Hamond, veiligheidsexpert bij GouwIT, geeft in een commentaar op het LinkedIn-bericht van professor Dekker een waarschuwing: ‘Wie nog in de Amerikaanse cloud zit, zou zich serieus zorgen moeten maken. En bedrijven die exclusief op Amerikaanse cloud providers draaien? Het hele bedrijfsmodel staat op losse schroeven. Welke capabele ciso kiest, na deze ontwikkelingen, nog bewust voor de Amerikaanse cloud?’
Urgent
Het nieuws dat de VS Rusland niet langer als cybersecurity-dreiging zien, maakt nog maar eens duidelijk hoe urgent de discussie over Europa’s digitale soevereiniteit is. Sinds de komst van Trump hebben tal van it-managers, it-professionals en analisten alarm geslagen en aangegeven hoe afhankelijk Europa – zowel bedrijfsleven als overheden – zijn van digitale diensten die geleverd worden door niet-Europese partijen. Tot voor kort leek het ondenkbaar dat de Trump-administratie bijvoorbeeld de Microsoft Azure-omgeving als wapen zou kunnen inzetten. De ontwikkelingen van de laatste dagen laten zien dat niets meer ondenkbaar is.
Alle oproepen om de Europese afhankelijkheid te verminderen lijken vooralsnog niet tot duidelijke stappen te leiden die Europa richting een eigen – en wel degelijk bestaande – technische infrastructuur brengen. Het verbieden van Amerikaanse ai-tools is dan niet voldoende.
Roep
Het mag duidelijk zijn dat met de ontwikkelingen van de afgelopen dagen de roep van een migratie naar een Europese tech-infrastructuur en het opslaan van informatie in Europese datacenters geen verdere toelichting meer behoeft. Toch blijft het nog te vaak bij het beschrijven van het probleem. Wellicht ingegeven door de vermeende complexiteit van een migratie. Positief is wel dat het EuroStack-project vorderingen lijkt te maken. Het Duitse Sovereign Cloud Stack-project daarentegen lijkt dan weer veel minder bekend. Net als het feit dat er wel degelijk serieuze opensource-alternatieven zijn voor Office 365 (bijvoorbeeld hier en hier). Daarmee zijn de meeste bouwstenen beschikbaar zijn om een eigen en op Europese dan wel opensource-technologie gebaseerde tech-infrastructuur op te tuigen.
De verschuiving in het Amerikaanse cybersecuritybeleid lijkt me vooral het gevolg van het wegvallen van een duidelijke ideologische vijand nu Amerikaanse middenklasse het globalisme als een bedreiging van nationale soevereiniteit en de Amerikaanse levensstijl ziet. Oja, de CIA informeerde de FSB in 2017 over een aanslag in Sint-Petersburg waarvoor Poetin de toenmalige Amerikaanse president persoonlijk bedankte. En de FSB op haar beurt informeerde de CIA over Al-Qaida netwerken want soms wordt de soep niet zo heet gegeten als dat deze opgediend wordt. De problemen lijken me dan ook niet van de laatste dagen want in 2013 stelde Caspar Bowden al dat je de nationale soevereiniteit opgaf voor Microsoft patches en in dezelfde tijd waarschuwde Edward Snowden voor massasurveillance via de cloud.
Een professor op de loonlijst van de ABN AMRO vergeet dan ook te melden dat sinds 1 januari 2023 de DAC7-richtlijn van kracht is binnen de EU. Ideologische vijand van het volk is namelijk een belastingdienst als daarmee de globaal opererende bedrijven gered worden via een bail-out zonder tegenprestatie. Want de
€22 miljard om de ABN AMRO te redden veranderde namelijk niks aan de economische onzekerheid. Bedrijven en overheden besteden namelijk cruciale delen van hun informatievoorziening uit aan een derde partij. ABN AMRO is grotendeels afhankelijk van haar Indiase leveranciers die hun ogen grotendeels gericht hebben op de Amerikaanse mogelijkheden. De professor lijkt dan ook niet goed geïnformeerd te zijn over de realiteit op de werkvloer want deze CISO gaat voorbij aan alle risico’s in de keten.
Ik denk dat veel bedrijven, instellingen en ook overheden uit de VS niet overtuigd zijn na deze officiële ommezwaai. De gebeurtenissen in 2024 laten geen ander beeld zien. Dat er een radicaal andere inschatting is t.o.v. de Russische Federatie, heeft meer te maken met de Trumps wereldordepolitiek, die China als probleem nr 1 ziet en niet in conflict wil komen met een combinatie van de Russische Federatie en PR China.
Dat massasurveillance via big tech iets met vrijheid te maken zou hebben, is de politiek van de plutocratie van big tech. Grappig is dat die big tech juist wel van globalisme houdt.
Ze moeten ook in de VS sowieso blijven oppassen omdat cybercrime met name ook van bondgenoten van de Russische Federatie kan komen. Met die landen heeft de VS mot. En gevaar kan incidenteel ook vanuit een zolderkamer komen.
Ik denk dat veel bedrijven, instellingen en ook overheden uit de VS niet overtuigd zijn na deze officiële ommezwaai. De gebeurtenissen in 2024 laten geen ander beeld zien. Dat er een radicaal andere inschatting is t.o.v. de Russische Federatie, heeft meer te maken met de Trumps wereldordepolitiek, die China als probleem nr 1 ziet en niet in conflict wil komen met een combinatie van de Russische Federatie en PR China.
Dat massasurveillance via big tech iets met vrijheid te maken zou hebben, is de politiek van de plutocratie van big tech. Grappig is dat die big tech juist wel van globalisme houdt.
Ze moeten ook in de VS sowieso blijven oppassen omdat cybercrime met name ook van bondgenoten van de Russische Federatie kan komen. Met die landen heeft de VS mot. En gevaar kan incidenteel ook vanuit een zolderkamer komen.
Hoe werkt dat dan? Er is een hack, maar hij komt uit Rusland, dus ok?
Als het minder moeite kost om systemen in de US te hacken dan zal er tijd overblijven om nog meer aandacht aan Europa te geven. De nieuwe vijand die Ukraine gaat helpen. Wij zullen dus alle zeilen bij moeten zetten want als een crypto exchange zo eenvoudig is te kraken, hoe zit dat dan met de veiligheid van de overheids-IT in Europa?
“Hoe werkt dat dan? Er is een hack, maar hij komt uit Rusland, dus ok?”
ja, zolang die hack maar niet van immigranten komt want dat is de werkelijke vijand, zo leerde ons Vance,
Misschien komt er ook wel Patriot act by proxy.
Voor Rusland namelijk.
Das voor als Putin het nodig vindt om onze data te bekijken 😉
Wat betreft heimelijk meekijken met zoiets als massasurveillance wees ik op DAC7-richtlijn omdat het hier niet gaat om de plutocratie van big tech maar om de technocratie van Brussel. Want de transparantie in de digitale economie gaat om het vinden van manieren om deze te kunnen belasten. Want de Europese burger is de pinautomaat als het om redden van de banken gaat of een soevereine staat tegen Russische agressie beschermen.
Nu vrees ik dat dit narratief omgevallen is nu helder is geworden dat geopolitiek niet om democratie en veiligheid van soevereine staten gaat maar om economische en grondstofbelangen zoals eerder met een ‘Coalition of the willing’ voor Irak. Zelensky heeft nu dan ook een grotere vijand dan Poetin of Trump als we kijken naar alle problemen met de corruptie in Oekraïne.
Van arm land naar rijk land door de mijnbouw concessies die grotendeels aan Amerikaanse bedrijven vergeven worden maakt wel duidelijk dat geruchten over de laptop van Hunter Biden op waarheid te berusten. Er blijkt dan ook geen concreet bewijs dat de FSB hierin was betrokken. Net als met eerdere speculaties die gevoed werden door de corrupte belangen in Washington.
Oja, een wet verplicht Russische security-experts om hun bevindingen eerst aan te bieden aan de Russische overheid waardoor de deals niet altijd zo goed zijn. En mogelijk bieden criminelen betere voorwaarden want ook deze kopen de achterdeurtjes om binnen te komen in netwerken. We hebben het over een miljarden handel met legale handelaren zoals Zerodium (VS) en Crowdfense (VAE) welke niet kijken naar de nationaliteit van de bug hunters.
Terwijl Brussel zich met DAC7-richtlijn druk maakt om een bijstandsmoeder die wat bijverdiend zonder dit op te geven verdienen security-experts onbelast miljoenen door buiten het systeem om te handelen. Ik insinueer niks maar Dubai is een hierdoor de expat-hub voor de internationaal werkende cybersecurity-specialisten in het grijze gebied zonder een uitleveringsverdrag met Nederland.