Popup-Niks-missen-2.png

VERHALEN

Campus 26 augustus 2021

‘Je switcht nooit naar de cloud vanwege de security’

De haken en ogen van Digital@VU
reacties 1
De Vrije Universiteit verhuist op dit moment alle data van medewerkers en studenten naar de cloud van Microsoft. Hetzelfde bedrijf waarvan begin dit jaar de e-mailservers (Exchange) zijn gehackt, met desastreuze gevolgen. Hoe veilig zijn de VU-data straks?
DOOR Maurice Timmermans BEELD NASA on Unsplash

Alle bestanden op OneDrive, e-mailen uitsluitend via de Exchange-servers, en samenwerken in Teams. Zie hier het nieuwe digitale werken à la Microsoft, zoals medewerkers en studenten van de VU dat te wachten staat.

Het speelt zich allemaal af in de cloud, of eigenlijk, heel down to earth op een reeks servers van de Amerikaanse techgigant. Ja, dezelfde die begin dit jaar zijn gehackt (al dan niet met medeweten van de Chinese overheid). De cyberaanval trof tienduizenden bedrijven, overheden maar ook ziekenhuizen wereldwijd. “Dat valt Microsoft niet speciaal aan te rekenen”, zegt Fabio Massacci via Zoom, hij is hoogleraar foundational and experimental security aan de VU. “Alle techbedrijven worden aangevallen.”

Misschien juist een reden om de data toch in eigen huis op te slaan? Nee, zegt de Italiaan, daar kunnen ze evengoed worden gehackt. “Bij Microsoft zijn ze al met al veiliger, om de simpele reden dat het bedrijf meer beheerders en betere voorzieningen heeft. En daardoor zijn de services waaronder virusprotectie en autorisatie meestal op orde.”

Voor een Italiaan is de vergelijking met eten snel gemaakt: “Het is alsof je je eigen keuken ontmantelt en met een restaurant afspreekt om er elke dag te eten. “De kok kookt beter, de hygiëne is goed, et cetera. Maar er is wel een trade-off: het restaurant bepaalt wat op het menu staat. Dus Microsoft kan ineens beslissen dat sommige software wordt geïntegreerd met Teams of dat apps van andere bedrijven niet goed of helemaal niet meer werken.”

Hoe veilig zijn je onderzoeksdata?

En zo zijn er meer kanttekeningen te maken. Want let wel: werken vanuit de cloud betekent niet dat datalekken en gijzelhacks vanaf nu tot het verleden behoren. “Medewerkers kunnen er altijd voor kiezen om hun gegevens lokaal op te slaan, en dan kunnen ze in theorie geroofd of gegijzeld worden. Zelf bewaar ik een deel van mijn onderzoeksmateriaal op een lokale server. Dat zijn data die ik niet met anderen deel en die ik zelf goed weet te beveiligen.”

‘Zelf bewaar ik een deel van mijn onderzoeksmateriaal op een lokale server’

De VU zal willen dat medewerkers hun gegevens op de servers van Microsoft bewaren. “Zou kunnen, maar misschien ook niet. Kijk, alle informatie over het curriculum, alle studentenevaluaties en beleidsdocumenten zijn uitermate geschikt voor de cloud, maar als het gaat om onderzoeksdata verschilt dat per persoon. Wie zijn gegevens en intellectueel eigendom uitstekend zelf kan beschermen, kan daarvoor kiezen. Wie dat niet lukt, kan ze beter uploaden naar de cloud.”

Even voor alle duidelijkheid, zegt Massacci: “Je switcht nooit naar de cloud vanwege de security. Als je als instelling extra geld uitgeeft, kun je je data lokaal het best beveiligen. Je kiest voor de cloud vanwege de functionaliteit, omdat je dan je gegevens vanaf elke plek kunt raadplegen en makkelijk met iedereen kan delen.”

Wat als de VS onze e-mails opeist?

Eind 2019 waarschuwden de rectores magnifici van alle Nederlandse universiteiten, ook VU-rector Vinod Subramaniam, voor deals met techgiganten, die de data voor eigen gewin kunnen gebruiken. Afgelopen juni trok een groep van achttien Nederlandse hoogleraren aan de bel, en wees ook onder meer op datamisbruik.

En ja, zegt Massacci, Microsoft heeft natuurlijk toegang tot alle bestanden en e-mails. “Anders zouden ze de gewenste diensten niet kunnen leveren. Maar iets anders is of ze alles scannen en doorsturen naar de marketingafdeling. Technisch valt dat nauwelijks te voorkomen, wel juridisch. Andermans data gebruiken voor commercieel gewin is illegaal, dus gaan we ervan uit dat Microsoft dat niet doet. Trouwens, een systeembeheerder van de VU of welke instelling dan ook kan evengoed data inzien en verkopen aan derden, om maar eens iets te noemen.”

‘Ik vrees dat de overheid of de NSA aan het langste eind trekt’

Waar Massacci zich meer zorgen over maakt, en waar ook de achttien hoogleraren niet gerust op zijn, is dat bestanden en e-mails worden opgeëist door de Amerikaanse overheid. “Techbedrijven zullen in eerste instantie weigeren, maar ik vrees dat de overheid of de NSA aan het langste eind trekt, ook als de data zich in de EU bevinden. Het moederbedrijf in de VS kan de vestigingen in Europa overrulen. Behalve data opvragen zou de Amerikaanse overheid ook beperkingen kunnen opleggen, waarbij bijvoorbeeld het e-mailverkeer met Iraanse of Chinese studenten wordt verboden. Dat zou in principe gewoon kunnen.”

Kom je ooit nog van Microsoft af?

En dan is er het probleem dat The Eagles in het nummer Hotel California zo treffend verwoordden: You can check out any time you like, but you can never leave. Anders gezegd: je kunt je contract na verloop van tijd wel opzeggen, misschien vanwege veranderde voorwaarden of om te switchen naar een andere clouddienst, maar hoe makkelijk is dat? Kom je ooit nog van Microsoft af?

Massacci: ”Wat als opzeggen betekent dat je bijvoorbeeld al je e-mails kwijt bent? Wat als overstappen naar een ander bedrijf toch een hoop geld blijkt te kosten? Het is in principe gratis, maar van Amazon is bekend dat het geld in rekening brengt voor het netwerkverkeer dat nodig is voor zo’n verhuizing. Het is nog te vroeg om van een structureel probleem te spreken, omdat instellingen pas sinds een paar jaar met techbedrijven in zee gaan. Het is nog even afwachten hoe dat uitpakt.”

 

{ Lees de 1  reacties}

comment_node_verhalen

Door Tom Kiel op 26 augustus 2021
Techgiganten hoeven niet de inhoud van je e-mail te lezen om toch te weten wat er aan de hand is. De bedrijven hebben zoveel informatie over ons vergaard, dat metadata en kunstmatige intelligentie voldoende zijn om accurate voorspellingen te doen over ons gedrag. In dat licht valt me op dat Fabio Massacci zegt: "Andermans data gebruiken voor commercieel gewin is illegaal, dus gaan we ervan uit dat Microsoft dat niet doet." We weten namelijk dat een groot deel van het verdienmodel van Microsoft gebaseerd is op het verzamelen van metadata, wat gebruikt wordt voor het opstellen van profielen van mensen die gebruikt worden om voorspellingen over ons gedrag te doen, waarna de voorspellingsproducten worden verkocht aan adverteerders (of erger, overheden). Hoe dit allemaal gebeurt is uiterst schimmig: we weten simpelweg niet welke informatie Microsoft, Facebook en Google over ons hebben, welke lessen ze daaruit leren en welk deel van die kennis wordt doorverkocht. We weten alleen dat het om enorm veel data gaat en dat het in ieder geval niet in ons belang gebeurt. Door onze informatie te stallen op servers van Amerikaanse bedrijven geven we ook automatisch macht over onze toekomst uit handen. Dat lijkt me bij uitstek een veiligheidsvraagstuk. Maar misschien gaat Massacci ervan uit dat we tot in de lengte der dagen vriendjes met de Amerikanen in de NAVO zullen blijven. Misschien zal hij wel gelijk krijgen. Want ik vrees dat we straks geen keus meer hebben, als we allemaal overstappen op clouddiensten.

Reageren?

Houd je bij het onderwerp, en toon respect: commerciële uitingen, smaad, schelden en discrimineren zijn niet toegestaan. De redactie gaat niet in discussie over verwijderde reacties.

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.

Deze vraag is om te controleren dat u een mens bent, om geautomatiseerde invoer (spam) te voorkomen.