Bijna zes op de tien gemeentelijke webapplicaties (59,2 procent) draait op infrastructuur van Amerikaanse cloudproviders. Dat risico, momenteel een heet politiek hangijzer, blijkt uit onderzoek van MindYourPass.
Deze Nederlandse security‑startup gebruikte voor dit onderzoek geanonimiseerde metingen van daadwerkelijk inloggedrag. Ruim twee miljoen login-momenten bij twintig Nederlandse gemeenten werden geanalyseerd.
De helft van alle zevenduizend gebruikte zakelijke webapplicaties (50,5 procent) draait in of via de Verenigde Staten. Nog eens 46 procent staat bij Amerikaanse cloudproviders, maar dan in Europese datacenters. Slechts 39,3 procent wordt volledig in Europa gehost én beheerd. De resterende 1,5 procent draait buiten zowel Europa als de VS, bijvoorbeeld in Azië.
Via de VS
Het onderzoek laat zien dat een bewuste keuze voor een Europees datacenter bij een Amerikaanse cloudprovider niet automatisch betekent dat dataverkeer ook volledig binnen Europa blijft.
Ook wanneer data fysiek in Europa worden opgeslagen, kan het verkeer onderweg via de Verenigde Staten lopen, bijvoorbeeld door de manier waarop netwerken en ‘load balancers’ zijn ingericht. In dat geval worden data niet alleen juridisch geraakt door Amerikaanse wetgeving zoals de Cloud Act, maar loopt zij ook technisch via de VS.
Alternatief
Uit het onderzoek blijkt dat de afhankelijkheid van Amerika ook groot is bij de meest kritieke of ‘high impact’ applicaties die gemeenten gebruiken. Aanleiding om dit onderzoek te starten waren de eigen ervaringen van MindYourPass. Het bedrijf dat een alternatief biedt voor traditionele wachtwoordmanagers, koos bewust voor een Europees datacenter bij een Amerikaanse cloudprovider. Het deed dit in de veronderstelling dat daarmee alles binnen Europa bleef. Directeur Merijn de Jonge: ‘Pas toen we onze eigen infrastructuur analyseerden, zagen we dat dataverkeer alsnog via de VS kan lopen.
MindYourPass keek ook naar de toepassing van ai-tools binnen gemeenten. Vaak gaat het om tools die buiten het formele it- en inkoopbeleid om worden gebruikt. De twintig meest gebruikte ai-tools binnen gemeenten worden allemaal gehost in de Verenigde Staten. Veel gemeenten hebben formeel beleid vastgesteld voor het gebruik van Microsoft Copilot. Toch blijkt in de praktijk dat de meest gebruikte ai-tool ChatGPT van OpenAI is.
Tot de conclusie komen dat dataverkeer alsnog via de VS kan lopen gaat volgens mij om een technisch onderzoek op de onderste laag van het OSI-model. Hetzelfde geldt het identificeren van tools die buiten het formele IT- en inkoopbeleid om worden gebruikt. Reden dus om naar de onderzoeksmethode te kijken want blijkbaar is MindYourPass de MtM waarbij de 20 gemeenten procentueel maar een klein aandeel in het grotere geheel is:
“…geanonimiseerde login- en gebruiksdata van 20 Nederlandse gemeenten…”
Van meten naar verbeteren ben ik benieuwd hoe login- en gebruiksdata beschermd wordt want volgens de AVG is data alleen anoniem als re-identificatie redelijkerwijs onmogelijk is. Want gebruikers zijn zeker niet volledig anoniem als er device gegevens één-op-één gekoppeld kunnen worden aan zowel de organisatie als de gebruiker door de patronen in het dataverkeer te analyseren. We spreken dan niet over een anonieme dataset maar pseudonimisatie want IP-fingerprinting is niet alleen krachtig in het identificeren van applicaties en locaties maar helpt ook bij het bepalen van gedrag waardoor de OR vaak bezwaar heeft tegen dit soort onderzoek. Want netwerkdata analyseren om shadow IT te detecteren gaat om monitoring van gedrag, graag de rugnummers van ambtenaren die zich niet aan het beleid houden.
Ik kan mij nog goed herinneren dat bijna twintig jaar geleden banken en overheden riepen dat zij geen cloud konden gebruiken vanwege de gevoelige informatie waarover zij beschikten.
Nu hebben die prutsers toch alles naar de (Amerikaanse) cloud providers overgezet. Ik ben benieuwd wat voor weerwoord zij nu hebben over het feit dat de Amerikanen onze gegevens gewoon kunnen inkijken en zelfs aanpassen of diensten kunnen afsluiten.