Twintig Nederlandse cybersecuritywetenschappers hebben ernstige bezwaren tegen de uitbesteding van e-mail en andere ict-diensten aan grote Amerikaanse cloudproviders. Volgens de groep van merendeels hoogleraren moeten de universiteitsbesturen goed over een dergelijke overstap nadenken.
In een brandbrief wijzen de wetenschappers, verenigd binnen de Academic Cyber Security Society (ACCSS), op de vele gevaren en nadelen. Grootste risico is dat als je eenmaal bent overgeleverd aan Big Tech, het bijkans onmogelijk wordt van hen af te komen. Universiteitsbesturen en -raden krijgen daarom het advies om een strategische visie te ontwikkelen voordat definitieve stappen worden gezet.
De wetenschappers verbazen zich erover dat universiteitsbesturen besluiten het onderhoud van ict-diensten uit te besteden aan Amerikaanse cloud-giganten. Fijntjes wijzen ze op de oproep die rectoren van de Nederlandse universiteiten in december 2019 deden om de afhankelijkheid van Amerikaanse techbedrijven te verminderen. ‘Blijkbaar verliest het strategische langetermijndenken het van operationele korte-termijnproblemen,’ schamperen de cybersecurity-hoogleraren.
Ommezwaai
Aanleiding tot de ommezwaai is dat systeembeheerders hun handen vol hebben aan het verhelpen van fouten in de Microsoft-software. Zo duiken in Microsoft Exchange-mailservers om de haverklap bugs op, wat e-mailsystemen kwetsbaar maakt. De cloudgebaseerde e-mailsystemen van Microsoft lijken relatief veilig. De wetenschappers begrijpen dat er daarom stemmen opgaan om de e-maildiensten uit te besteden aan de ogenschijnlijk veilige cloud-oplossingen van Big Tech.
Maar het is volgens hen de vraag of dat wel zo verstandig is. Privacy en veiligheid zijn bij deze Amerikaanse cloudproviders allerminst gewaarborgd. De wetenschappers huiveren bij de gedachte dat data van medewerkers en studenten bij deze hyperscalers belanden en onder de Amerikaanse wet- en regelgeving vallen. Zelfs de autorisatie tot diensten dreigt te worden uitbesteed. ‘We verheffen daarmee de Facebooks, Googles, Amazons en Microsofts van deze wereld tot grenspolitie van die data,’ zo luidt de kritiek. Niet denkbeeldig is dat de Amerikaanse overheid daarmee straks toegang krijgt tot het universitaire e-mail verkeer en de data.
Ook juridisch zijn er gevaren. De kans bestaat dat Nederlandse rechters binnenkort de universiteiten verbieden om nog langer gegevens in de Amerikaanse cloud op te slaan. Financieel dreigt dan ook een strop. Ten slotte vragen de hoogleraren zich af of het ethisch valt te verdedigen als een bedrijf geen veilige e-mailsoftware kan leveren zoals Microsoft, het dan te belonen door je compleet van dat bedrijf afhankelijk te maken en alles uit te besteden.
