Cybersecurity-hoogleraren tegen overstap naar cloud VS

Microsoft belonen voor gebrekkige e-mailsoftware stuit op verbazing

Twintig Nederlandse cybersecuritywetenschappers hebben ernstige bezwaren tegen de uitbesteding van e-mail en andere ict-diensten aan grote Amerikaanse cloudproviders. Volgens de groep van merendeels hoogleraren moeten de universiteitsbesturen goed over een dergelijke overstap nadenken.

In een brandbrief wijzen de wetenschappers, verenigd binnen de Academic Cyber Security Society (ACCSS), op de vele gevaren en nadelen. Grootste risico is dat als je eenmaal bent overgeleverd aan Big Tech, het bijkans onmogelijk wordt van hen af te komen. Universiteitsbesturen en -raden krijgen daarom het advies om een strategische visie te ontwikkelen voordat definitieve stappen worden gezet. 

De wetenschappers verbazen zich erover dat universiteitsbesturen besluiten het onderhoud van ict-diensten uit te besteden aan Amerikaanse cloud-giganten. Fijntjes wijzen ze op de oproep die rectoren van de Nederlandse universiteiten in december 2019 deden om de afhankelijkheid van Amerikaanse techbedrijven te verminderen. ‘Blijkbaar verliest het strategische langetermijndenken het van operationele korte-termijnproblemen,’ schamperen de cybersecurity-hoogleraren.

Ommezwaai

Aanleiding tot de ommezwaai is dat systeembeheerders hun handen vol hebben aan het verhelpen van fouten in de Microsoft-software. Zo duiken in Microsoft Exchange-mailservers om de haverklap bugs op, wat e-mailsystemen kwetsbaar maakt. De cloudgebaseerde e-mailsystemen van Microsoft lijken relatief veilig. De wetenschappers begrijpen dat er daarom stemmen opgaan om de e-maildiensten uit te besteden aan de ogenschijnlijk veilige cloud-oplossingen van Big Tech. 

Maar het is volgens hen de vraag of dat wel zo verstandig is. Privacy en veiligheid zijn bij deze Amerikaanse cloudproviders allerminst gewaarborgd. De wetenschappers huiveren bij de gedachte dat data van medewerkers en studenten bij deze hyperscalers belanden en onder de Amerikaanse wet- en regelgeving vallen. Zelfs de autorisatie tot diensten dreigt te worden uitbesteed. ‘We verheffen daarmee de Facebooks, Googles, Amazons en Microsofts van deze wereld tot grenspolitie van die data,’ zo luidt de kritiek. Niet denkbeeldig is dat de Amerikaanse overheid daarmee straks toegang krijgt tot het universitaire e-mail verkeer en de data. 

Ook juridisch zijn er gevaren. De kans bestaat dat Nederlandse rechters binnenkort de universiteiten verbieden om nog langer gegevens in de Amerikaanse cloud op te slaan. Financieel dreigt dan ook een strop. Ten slotte vragen de hoogleraren zich af of het ethisch valt te verdedigen als een bedrijf geen veilige e-mailsoftware kan leveren zoals Microsoft, het dan te belonen door je compleet van dat bedrijf afhankelijk te maken en alles uit te besteden.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Helder verhaal en een duidelijk waarschuwing voor al die bestuurders die niet verder kijken zoals al genoemd, kortetermijnvisie.
Mogelijk veroorzaakt door tijdgebrek en generatiekloof in een tijdperk van snelle automatisering.

Het is een schande dat bedrijven alles wat als 'hip' en 'doe toch mee' aannemen, omdat ze niet uniek willen zijn maar braaf mee willen doen met de meute, met alle consequenties van dien. De trend om dapper te zijn als je niet een eigen mening hebt is een compleet op angst gebaseerde trend.

Twintig cybersecurity wetenschappers die "om de haverklap bugs in de Exchange-mailservers vinden", waardoor die e-mailsystemen kwetsbaar zijn, zouden dan een alternatief moeten noemen en dat doen ze niet. Buiten Google en Microsoft zijn er geen gangbare en onderhoudbare emailsystemen en mits je de juiste systeembeheerders kunt vinden en houden die iedere maand trouw de updates op tijd doorvoeren. Probleem zit in het beheer niet in de programmatuur en alternatieven zijn er niet, en als er al open source alternatieven zijn, kun je daar zeker geen beheerders en tijdige updates voor vinden. Trouwens bieden Microsoft en Google opslag op servers in Nederland aan voor overheden, en misschien voor scholen en universiteiten.

@Guus: wat een onzinverhaal dat er geen open source e-mail systemen zouden zijn, waarvoor ook beheerders en tijdige updates te vinden zijn. Kwestie van prioriteiten en opleiden (herscholing wil ik het niet noemen), lijkt me, of zorgen dat niveau van systeembeheerders boven niveau knoppencursus ligt. Een heleboel bedrijven en instellingen zitten domweg gevangen in de Microsoft bubble/stack en deze techgigant zet zijn cloud-first strategie en verdergaande toepassing van het subscription model steeds meer door. De integratie met andere cloudgebaseerde tools van Microsoft, zoals met name de security en compliance tools, maar ook Teams en Office 365 en de laatste tijd ook weer sterk met de nieuwe Edge webbrowser maakt het steeds lastiger om (ook een van buiten het bedrijfsnetwerk toegankelijke) Exchange server goed te beheren en veilig en makkelijk te laten gebruiken door de eindgebruikers.

Of het expres verwaarlozen van Exchange on premise bij deze strategie hoort, weet ik niet, maar de term "cloud-first" spreekt voor zich als er keuzes gemaakt moeten worden. De vraag van de hoogleraren of je dit soort dienstverlening moet belonen door je boeltje dan maar in de publieke cloud te gaan hosten en de opmerkingen over de risico's en over korte versus lange termijn denken, zijn volgens mij terecht.

Fred, wat is dan het alternatief ?
Uitbesteden en cloud zijn de trends, daarvan afwijken kost veel energie en geld. Waar haal je dat vandaan ?
Makkelijkste lijkt toch gewoon Gartner te volgen en te wachten op een uitspraak van de rechter waar je naar kunt verwijzen.
Daarna is er wel business case voor dit soort grote veranderingen.

@guus

je betoog deugt niet. immers als google het wel kan zonder microsoft software, dan heb je met een enkele voorbeeld je stelling 'dat het niet anders kan' zelf ontkracht.

waar we mee te maken hebben is een vorm van het stockholm-syndroom waarbij je gaande weg afhankelijk bent geworden van een partij (met out sourcen van dingen zijn vele ook kennis kwijt geraakt. er is dus bewust gekozen rond het putje te gaan draaien.) en je er maar vanuit gaat dat ze in jou beste bedoelingen handelen. dat is natuurlijk alles behalve waar. het is een bedrijf dat aandeelhouders heeft. wees niet naief in deze wereld. niet iedereen is er om je te 'vangen' met een groots boos vooropgezet plan, maar het is ook geen roze brilletje wereld waar andere belangen geen rol zouden spelen.

verder wijs ik enkelen meteen op deze exchange alternatieven: Open-Xchange, Kolab en Zimbra.

overzichtje op https://en.wikipedia.org/wiki/Comparison_of_mail_servers.

Ook zou je je kunnen afvragen waarom exchange (ook bij de beheerders ervan) als een drie koppige draak beschouwd wordt en waarom eenvoudigere oplossingen zoals de combi postfix, dovecot en roundcube niet al een hele goede start is voor de meeste. check ook bijvoorbeeld nethserver (http://nethserver.org) waarbij deze gehele stack via een pointy-klik web gui interface (en veel meer) beheerd kan worden.


Die genoemde alternatieven zijn bekend.
functionaliteit is net iets anders en dat pikken de gebruikers niet.
implementatie is totaal anders en dat pikt de origanisatie niet, andere filosofie, andere beheerders, andere verantwoordelijkheid, ander licentiemodel, andere security, andere support.
"een goede start" is geen enterprise solution.
zelfs als de implementatie vrijwel gelijk is zoals rhel vs centos, durft een organisatie het zelden aan om zonder os support te werken. centos as we know it, is overigens ook verleden tijd, ook zo'n dingetje.

@dino

- vwb CentOS, er is Oracle Linux, Springdale, vzLinux, Alma en Rocky (bijna) naast officieel RHEL vwb 8. vwb 7 is er wel nog CentOS, en Oracle Linux en Springdale en natuurlijk RHEL. Je kunt ook nog naar SuSE danwel Debian en Ubuntu derivaten kijken als alternatief. Hoeveel keuze vrijheid en dus mogelijkheden en onafhankelijkheden heb je bij Microsoft?
- je bent duidelijk eentje van de 'alles is moeilijk partij'. dan blijf ook verder vooral in je stockholm syndroom 'het kan niet anders' cirkeltje hangen en schuif een van je 'kroonjuwelen' maar lekker via MS 365 in de cloud bij een Americaans big tech bedrijf. ik ben blij dat er nog wat hoogleraren een VISIE durven te vragen want het is duidelijk dat het niet vanzelf 'uit de markt' komt meer tegenwoordig...

Dingen roepen is makkelijk, ik kan het weten ;-)
verantwoordelijkheid nemen in een grote organisatie met enorme belangen, moeilijk.
visie vragen : makkelijk
visie uitdragen, dus met argumenten komen, onderbouwde keuzes maken, rekening houden met wettelijke beperkingen : moeilijk
ff wat neerzetten : makkelijk
iets neerzetten wat beheer(s)baar, secure, schaalbaar is, met lcm, sla, continuiteit, kennisbehoud, uitwijkplan etc : moeilijk.

swa, je klinkt een beetje als die unix sysadmin uit jurasic park, lekker klussen. het ging mis.
die hebben we toen opgegeten.

@SWA
RHEL en Suse zijn de enige OS-en die S/4HANA (het nieuwe SAP platform) kunnen ondersteunen. Ik denk dan ook dat de rerst gedoemd is om in de end-user sfeer te blijven of langzaam af te sterven.

Hangt Jack al in de touwen over het strategische langetermijn denken versus het oplossen van operationele korte-termijn problemen, de afwachtendheid van het Rijnlandse model is namelijk nog weleens als mosterd na de maaltijd want elektronische berichtensystemen hebben we al een tijdje. De vereniging i.o. komt dan ook niet echt met nieuws want voormalig privacy advocaat Caspar Bowden wees 2014 al op afhankelijkheid van een monopolist die meer geld besteed aan marketing dan aan beveiliging:

'If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security' - Caspar Bowden (19 augustus 1961- 9 juli 2015)

Caspar Bowden wees er trouwens ook op dat Trustworthy Computing (TwC) gewoon om marketing ging want alleen een gevoel van veiligheid was genoeg, dezelfde marketing in het verwachtingsmanagement zie ik bij de cloud waar providers de veiligheid vooral juridisch regelen middels exoneratieclausule. Security onderzoekers maken zich dan ook zorgen over het gemak waarmee hackers beveiligingscertificaten steelden om hun eigen identiteit te creëren waardoor ze multifactor-authenticatie konden omzeilen en toegang kregen tot Office 365-accounts met gevolgen voor duizenden getroffen bedrijven en overheidsinstanties. Maar de schuld ligt uiteraard bij de gebruiker die te zwakke wachtwoorden gebruikt.

Het gaat trouwens niet om veilige e-mailsoftware maar om een veilige elektronische berichtendienst hoewel ik door alle bijlages beter kan spreken van een digitale pakketdienst waarin software het middel is welke je relatief eenvoudig kunt vervangen om niet in de hoek van een vendor lock geschilderd te worden. De digitale postbode is eerder het communicatie protocol dat gebruikt wordt terwijl de brievenbus om de opslag gaat, je kunt deze opslag in de cloud zetten waarbij je volgens de wetenschappers incheckt in hotel California of in je meterkast:

https://accss.nl/open-brief-overstappen-naar-de-cloud-bezint-eer-ge-begint

@DINO: nee hoor very much alive and successfully kicking visieloos risico meidend spreadsheet manglement butt aan een universiteit. het is te gemakkelijk te zeggen dat een visie vormen 'moeilijk moeilijk' is (kijk daar is die weer die 'camp cannot'). Neem anders gewoons een direct contact op met een van deze hoogleraren? Stel ze dan eens die vragen? Nodig ze eens uit voor een presentatie enzo?

@KJ: als RHEL het kan, dan kunnen RHEL derivaten (CentOS,Rocky,Alma,vzLinux en Oracle Linux) het ook. Ze zijn bit voor bit compatibele en de enige reden voor SAP om alleen RHEL te noemen is dus niet een technische reden, maar eerder misschien een bedrijfseconomische risico meiden reden. De enige reden voor organisaties dan om voor RHEL te kiezen is weer het verschuiven van verantwoordelijkheden. Net als bij outsourcing gaat hiermee elke kennis en vaardigheid verloren en wordt je eigen organisatie uitgehold en geconsumeerd als een junk. En dat dan onder de noemers a la Dino van 'het is moeilijk moeilijk complex allemaal'. Slim hoor...

Ik denk dat menig risico vermijdend management in NL de wereld heel anders gaat zien als de op een IC liggen en de dokteren beginnen op die manier van 'moeilijk moeilijk... het zou wel eens mis kunnen gaan en dan ja wie oh wie krijgt dan nu weer de schuld daarvan?'. Of een loodgieter die je belt omdat je badkamer vol begint te lopen... 'ja meneer ik weet niet, wie dit niet onderhouden heeft heeft... tja ik ben daar niet verantwoordelijk voor en ja duur duur moeilijk moeilijk hoor!'.

Ons land gaat kapot door dat soort types hoor!

Je wilt ook niet op de ic liggen en nog net kunnen horen : "shit, beadememingsapp werkt niet en we hebben geen support, en swa, onze it hero is niet bereikbaar. Ach wat, ik kan toch al weken geen uren meer schrijven in SAP, had te maken met opensource en platform ofzo waardoor we het zelf maar uit moest zoeken."

@DINO, je zult merken dat doktoren dan echte professionals zijn en WEL besluiten en actie durven te nemen als het om leven en dood gaat en dat ze dan zullen zeggen "fuck that SAP" en dan analoog met de hand gaan reanimeren tot de laatste snik (letterlijk). De gemiddelde buraux tijger spreadsheet manager daarentegen... Verder niet om wederom de vinger op die zere plek te moeten leggen, maar je doet weer een 'moeilijk lastig kan niet' type reactie weer en je denkt steeds eerder in problemen dan in oplossingen?! Daar krijgen we geen betere toekomst mee ben ik bang....

@swa en @fred, nog iemand die het met mij eens is, Michiel Steltman, directeur Stichting DINL dat dit een slecht initiatief is zonder alternatieven. Bovendien gaat alle mail leesbaar door de cloud en kan onderweg eenvoudig onderschept worden bij een van de maildistributeurs. Belangrijker is om de online identiteit optimaal te kunnen beschermen en alle opgeslagen vertrouwelijke informatie, zowel online als lokaal, te versleutelen met je eigen sleutel en de publieke sleutel van de ontvangers en geautoriseerde lezers. Europa zou in het kader van GDPR iedere inwoner een veilige online ID en veilige persoonlijke versleuteling moeten kunnen bieden.

Dus omdat de ene mail (encrypted via SMTPS) naar gmail de google cloud in gaat, maar de andere azure in omdat het een @microsoft bijv is enzv, trek jij de conclusie dat het allemaal maar niets meer uit maakt om meteen AL je bedrijfsmail integraal 'for grabs' bij een americaans big tech cloud bedrijf te plaatsen zonder fatsoenlijk wettelijk beschermingen volgens de GDPR en AVG?

Bedrijfsmail zijn je kroonjuwelen, dat besef je je?

Wellicht hebben directeuren van bedrijven ook niet 100% de beste voornemens met hun klanten als het puntje bij paaltje komt vwb hun business case?

@Guus: Zegt Michiel dat er buiten Google en Microsoft geen gangbare en onderhoudbare emailsystemen zijn, zoals jij beweert? Dat lijkt me stug. De hoogleraren lijken me niet tegen het idee om iedere inwoner van de EU van een veilige online ID te voorzien en daar is men in EU-verband ook hard mee bezig om te ontwikkelen, samen met sommige van deze hoogleraren zelfs, vermoed ik. Ze willen alleen niet dat Amerikaanse bedrijven de poortwachter worden tot dat soort data. Zoals nu al vaak het geval is bij mail en agenda-items bij overheidsinstanties, waar je buiten Citrix om van buitenaf alleen maar toegang toe krijgt, met een two-factor code via een SMS-je van Microsoft. E-mail is via webmail met https in je browser of via TLS met een e-mailclient versleuteld, ook als je een eigen mailserver (een beetje fatsoenlijk ingericht) ergens draait en ik zie niet welke maildistributeurs dat onderweg kunnen ontsleutelen, maar de berichten zelf versleutelen is uiteraard nog beter. Dat heeft weinig te maken met een Google of Microsoft die de mailserver host.

@fred: als je een eigen mailsever draait, verstuur je de mail via een versleutelde verbinding maar daarmee is de inhoud, je mailbericht niet versleuteld. Je hebt geen zicht welke maildistributies er onderweg allemaal tussen zitten. Netals dat mobiel verkeer afgetapt kan worden, zo kan mailverkeer ook afgetapt worden. Alternatieven bestaan er misschien zoals hierboven genoemd wel maar de hoogleraren gaan voorbij aan het belangrijkste aspect en dat is de interface voor de gebruiker. Gebruikers willen Office of G-Workspace op hun laptop en telefoon, en niets anders. Blijf er bij dat een veilige ID's en goede versleuteling zaken zijn die Europa zou moeten kunnen ontwikkelen, vergelijkbaar aan de GDPR, die nu wereldwijd impact heeft en ook buiten Europa wordt opgepakt.

Guus Brugman,
Stichting DINL is een lobbyclub, zoals vereniging i.o een praatclub is want de overdracht van onze digitale souvereiniteit hebben we al lang geleden gedaan zoals we ons ook afhankelijk hebben gemaakt van onze Amerikaanse bondgenoot als het om defensie gaat. We vergeten het nog weleens maar Defense Advanced Research Projects Agency (DARPA) van het Amerikaanse leger werd in 1958 opgericht als reactie op de lancering van Spoetnik-satelliet van de Sovjet-Unie. met als doel ervoor te zorgen dat Amerika nooit meer met de broek op de enkels zou worden betrapt in de technologierace. En wat heeft Europa al die tijd gedaan?

Goed, we hebben een Europese tegenhanger voor GPS en zijn drukdoende met GAIA-X maar dat we afhankelijk zijn geworden van m.n. Amerikaanse techreuzen zit toch echt in de keus tussen zelfdoen of laten doen. De gebruikelijke lobby voor open source vergeet even dat code misschien wel toegankelijk is maar daarmee nog niet direct leesbaar, een 'digitale geletterdheid' gaat namelijk niet om de bedieningsvaardigheden. En we hebben inderdaad niet alleen bezuinigd op de postzegel maar ook op de enveloppe, wat zegt stichting DINL eigenlijk over het meelezen van onze eigen overheid in het berichtenverkeer?

Ik verwees in eerdere reactie naar Caspar Bowden omdat hij - net als Edward Snowden - een klokkenluider was: https://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/briefingnote_/briefingnote_en.pdf

Versleuteling is een optie, de vraag is alleen wie de 'master-key' heeft want als ik me niet vergis wil vooral onze eigen overheid meekijken in de communicatie, academische praatclubje vergeet even een referendum. Wat hackers kunnen zal een overheid ook kunnen en ik wijs even op de criminelen die misleid werden met het idee dat ze veilig hun snode plannen konden overleggen via een cryptodienst die opgezet was door de politie. De vraag is dus waar blijft Jack want zijn filosofische broeders heb ik tijdens lange marsen uitgedaagd, de geestelijke eentonigheid van marcheren werd draagelijk door discussie.

Ik maak dus even zijsprongetje naar een andere discussie over de belofte van code maakt schuld want de vraag of je een bedrijf moet belonen voor een wanprestatie is een leuke want dat Microsoft al 40 jaar altijd meer beloofd dan dat ze werkelijk leveren is geen nieuws. De kudde begrijpt alleen niet dat het een strategie is, je drijft de schapen namelijk het makkelijkste in de hoek als ze bang zijn.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-06-15T10:19:00.000Z Alfred Monterie