Bijna zes op de tien gemeentelijke webapplicaties (59,2 procent) draait op infrastructuur van Amerikaanse cloudproviders. Dat risico, momenteel een heet politiek hangijzer, blijkt uit onderzoek van MindYourPass.
Deze Nederlandse security‑startup gebruikte voor dit onderzoek geanonimiseerde metingen van daadwerkelijk inloggedrag. Ruim twee miljoen login-momenten bij twintig Nederlandse gemeenten werden geanalyseerd.
De helft van alle zevenduizend gebruikte zakelijke webapplicaties (50,5 procent) draait in of via de Verenigde Staten. Nog eens 46 procent staat bij Amerikaanse cloudproviders, maar dan in Europese datacenters. Slechts 39,3 procent wordt volledig in Europa gehost én beheerd. De resterende 1,5 procent draait buiten zowel Europa als de VS, bijvoorbeeld in Azië.
Via de VS
Het onderzoek laat zien dat een bewuste keuze voor een Europees datacenter bij een Amerikaanse cloudprovider niet automatisch betekent dat dataverkeer ook volledig binnen Europa blijft.
Ook wanneer data fysiek in Europa worden opgeslagen, kan het verkeer onderweg via de Verenigde Staten lopen, bijvoorbeeld door de manier waarop netwerken en ‘load balancers’ zijn ingericht. In dat geval worden data niet alleen juridisch geraakt door Amerikaanse wetgeving zoals de Cloud Act, maar loopt zij ook technisch via de VS.
Alternatief
Uit het onderzoek blijkt dat de afhankelijkheid van Amerika ook groot is bij de meest kritieke of ‘high impact’ applicaties die gemeenten gebruiken. Aanleiding om dit onderzoek te starten waren de eigen ervaringen van MindYourPass. Het bedrijf dat een alternatief biedt voor traditionele wachtwoordmanagers, koos bewust voor een Europees datacenter bij een Amerikaanse cloudprovider. Het deed dit in de veronderstelling dat daarmee alles binnen Europa bleef. Directeur Merijn de Jonge: ‘Pas toen we onze eigen infrastructuur analyseerden, zagen we dat dataverkeer alsnog via de VS kan lopen.
MindYourPass keek ook naar de toepassing van ai-tools binnen gemeenten. Vaak gaat het om tools die buiten het formele it- en inkoopbeleid om worden gebruikt. De twintig meest gebruikte ai-tools binnen gemeenten worden allemaal gehost in de Verenigde Staten. Veel gemeenten hebben formeel beleid vastgesteld voor het gebruik van Microsoft Copilot. Toch blijkt in de praktijk dat de meest gebruikte ai-tool ChatGPT van OpenAI is.
Tot de conclusie komen dat dataverkeer alsnog via de VS kan lopen gaat volgens mij om een technisch onderzoek op de onderste laag van het OSI-model. Hetzelfde geldt het identificeren van tools die buiten het formele IT- en inkoopbeleid om worden gebruikt. Reden dus om naar de onderzoeksmethode te kijken want blijkbaar is MindYourPass de MtM waarbij de 20 gemeenten procentueel maar een klein aandeel in het grotere geheel is:
“…geanonimiseerde login- en gebruiksdata van 20 Nederlandse gemeenten…”
Van meten naar verbeteren ben ik benieuwd hoe login- en gebruiksdata beschermd wordt want volgens de AVG is data alleen anoniem als re-identificatie redelijkerwijs onmogelijk is. Want gebruikers zijn zeker niet volledig anoniem als er device gegevens één-op-één gekoppeld kunnen worden aan zowel de organisatie als de gebruiker door de patronen in het dataverkeer te analyseren. We spreken dan niet over een anonieme dataset maar pseudonimisatie want IP-fingerprinting is niet alleen krachtig in het identificeren van applicaties en locaties maar helpt ook bij het bepalen van gedrag waardoor de OR vaak bezwaar heeft tegen dit soort onderzoek. Want netwerkdata analyseren om shadow IT te detecteren gaat om monitoring van gedrag, graag de rugnummers van ambtenaren die zich niet aan het beleid houden.
Ik kan mij nog goed herinneren dat bijna twintig jaar geleden banken en overheden riepen dat zij geen cloud konden gebruiken vanwege de gevoelige informatie waarover zij beschikten.
Nu hebben die prutsers toch alles naar de (Amerikaanse) cloud providers overgezet. Ik ben benieuwd wat voor weerwoord zij nu hebben over het feit dat de Amerikanen onze gegevens gewoon kunnen inkijken en zelfs aanpassen of diensten kunnen afsluiten.
Het probleem in notedop: “koos bewust voor een Europees datacenter bij een Amerikaanse cloudprovider. Het deed dit in de veronderstelling dat daarmee alles binnen Europa bleef.”
Bewust kiezen en veronderstellen helpt niet zo als je niet begrijpt.
De klant kwam erachter toen ze hun “eigen infrastructuur analyseerden”.
Ik kan me ook goed voorstellen dat je op die manier niet de hele route kan volgen
en met tunneling en trump-in-the-middle wordt een dienst net zo transparant als een cloud zegmaar 😉
Ook interessant dat het inloggedrag blijkbaar ook input is voor startups :-P.
Met hun “geanonimiseerde metingen”, vast ook met bewuste keuzes en veronderstellingen.
Straks van MindYourPass naar CoverYourAss, waarbij ze uitgebreid ingaan wat ze er allemaal van geleerd hebben en welke tegenmaatregelen ze hadden genomen toen het kalf verdronken was.
Net als Diginotar, Hof van Twente, GGD, Universiteit Maastricht, Technischiche Universiteit Eindhoven…
Best practices zijn vaak het leermoment van fouten, een vorm van intellectueel eigendom waarmee je als start-up leuke consultancy kunt doen als we kijken naar de onderzoeksmethode. En misschien dat MindYourPass ook nog kan reageren want ‘eigen infrastructuur analyseren’ gaat om wetenschap achter gesloten deuren, de SaaS dienstverlener maakt tenslotte gebruik van een Amerikaanse IaaS dienst waardoor de term Europees datacenter om inhoudsloze marketing gaat:
https://diensten.cwbrainport.nl/supplier/mindyourpass/
Wat betreft het monitoren van het inloggedrag van medewerkers op online accounts en de verwerking tot een gedetailleerd assessment rapport wees ik al op de doelbinding. Dino is altijd zo negatief want het idee van trump-in-the-middle gaat om een technische maatregel om beleid na te leven. CoverYourAss gaat tenslotte om de acties die je neemt als blijkt dat het beleid een loze letter is, fuck de regels we doen wat we willen gaat om de ambtenaren die voor een groter probleem zorgen dan de Amerikaanse cloud.
Weten wat er mis is en er niets aan doen geldt niet alleen Diginotar, Hof van Twente, GGD, Universiteit Maastricht, Technisch Universiteit Eindhoven en anderen want wachtwoorden zijn per definitie zwak, geen MFA maakt MindYourPass een halve oplossing. Twee van de vijf opties in NIST CSF vraagt om consultancy want wij van WC-eend zien kansen in consultancy. Want cijfers liegen nog weleens als je de accounts en transacties met elkaar combineert.