Onafhankelijke journalistiek over de Vrije Universiteit Amsterdam | Sinds 1953
27 maart 2024

Campus
& Cultuur

‘Je switcht nooit naar de cloud vanwege de security’

De Vrije Universiteit verhuist op dit moment alle data van medewerkers en studenten naar de cloud van Microsoft. Hetzelfde bedrijf waarvan begin dit jaar de e-mailservers (Exchange) zijn gehackt, met desastreuze gevolgen. Hoe veilig zijn de VU-data straks?

Alle bestanden op OneDrive, e-mailen uitsluitend via de Exchange-servers, en samenwerken in Teams. Zie hier het nieuwe digitale werken à la Microsoft, zoals medewerkers en studenten van de VU dat te wachten staat.

Het speelt zich allemaal af in de cloud, of eigenlijk, heel down to earth op een reeks servers van de Amerikaanse techgigant. Ja, dezelfde die begin dit jaar zijn gehackt (al dan niet met medeweten van de Chinese overheid). De cyberaanval trof tienduizenden bedrijven, overheden maar ook ziekenhuizen wereldwijd. “Dat valt Microsoft niet speciaal aan te rekenen”, zegt Fabio Massacci via Zoom, hij is hoogleraar foundational and experimental security aan de VU. “Alle techbedrijven worden aangevallen.”

Misschien juist een reden om de data toch in eigen huis op te slaan? Nee, zegt de Italiaan, daar kunnen ze evengoed worden gehackt. “Bij Microsoft zijn ze al met al veiliger, om de simpele reden dat het bedrijf meer beheerders en betere voorzieningen heeft. En daardoor zijn de services waaronder virusprotectie en autorisatie meestal op orde.”

Voor een Italiaan is de vergelijking met eten snel gemaakt: “Het is alsof je je eigen keuken ontmantelt en met een restaurant afspreekt om er elke dag te eten. “De kok kookt beter, de hygiëne is goed, et cetera. Maar er is wel een trade-off: het restaurant bepaalt wat op het menu staat. Dus Microsoft kan ineens beslissen dat sommige software wordt geïntegreerd met Teams of dat apps van andere bedrijven niet goed of helemaal niet meer werken.”

Hoe veilig zijn je onderzoeksdata?

En zo zijn er meer kanttekeningen te maken. Want let wel: werken vanuit de cloud betekent niet dat datalekken en gijzelhacks vanaf nu tot het verleden behoren. “Medewerkers kunnen er altijd voor kiezen om hun gegevens lokaal op te slaan, en dan kunnen ze in theorie geroofd of gegijzeld worden. Zelf bewaar ik een deel van mijn onderzoeksmateriaal op een lokale server. Dat zijn data die ik niet met anderen deel en die ik zelf goed weet te beveiligen.”

‘Zelf bewaar ik een deel van mijn onderzoeksmateriaal op een lokale server’

De VU zal willen dat medewerkers hun gegevens op de servers van Microsoft bewaren. “Zou kunnen, maar misschien ook niet. Kijk, alle informatie over het curriculum, alle studentenevaluaties en beleidsdocumenten zijn uitermate geschikt voor de cloud, maar als het gaat om onderzoeksdata verschilt dat per persoon. Wie zijn gegevens en intellectueel eigendom uitstekend zelf kan beschermen, kan daarvoor kiezen. Wie dat niet lukt, kan ze beter uploaden naar de cloud.”

Even voor alle duidelijkheid, zegt Massacci: “Je switcht nooit naar de cloud vanwege de security. Als je als instelling extra geld uitgeeft, kun je je data lokaal het best beveiligen. Je kiest voor de cloud vanwege de functionaliteit, omdat je dan je gegevens vanaf elke plek kunt raadplegen en makkelijk met iedereen kan delen.”

Wat als de VS onze e-mails opeist?

Eind 2019 waarschuwden de rectores magnifici van alle Nederlandse universiteiten, ook VU-rector Vinod Subramaniam, voor deals met techgiganten, die de data voor eigen gewin kunnen gebruiken. Afgelopen juni trok een groep van achttien Nederlandse hoogleraren aan de bel, en wees ook onder meer op datamisbruik.

En ja, zegt Massacci, Microsoft heeft natuurlijk toegang tot alle bestanden en e-mails. “Anders zouden ze de gewenste diensten niet kunnen leveren. Maar iets anders is of ze alles scannen en doorsturen naar de marketingafdeling. Technisch valt dat nauwelijks te voorkomen, wel juridisch. Andermans data gebruiken voor commercieel gewin is illegaal, dus gaan we ervan uit dat Microsoft dat niet doet. Trouwens, een systeembeheerder van de VU of welke instelling dan ook kan evengoed data inzien en verkopen aan derden, om maar eens iets te noemen.”

‘Ik vrees dat de overheid of de NSA aan het langste eind trekt’

Waar Massacci zich meer zorgen over maakt, en waar ook de achttien hoogleraren niet gerust op zijn, is dat bestanden en e-mails worden opgeëist door de Amerikaanse overheid. “Techbedrijven zullen in eerste instantie weigeren, maar ik vrees dat de overheid of de NSA aan het langste eind trekt, ook als de data zich in de EU bevinden. Het moederbedrijf in de VS kan de vestigingen in Europa overrulen. Behalve data opvragen zou de Amerikaanse overheid ook beperkingen kunnen opleggen, waarbij bijvoorbeeld het e-mailverkeer met Iraanse of Chinese studenten wordt verboden. Dat zou in principe gewoon kunnen.”

Kom je ooit nog van Microsoft af?

En dan is er het probleem dat The Eagles in het nummer Hotel California zo treffend verwoordden: You can check out any time you like, but you can never leave. Anders gezegd: je kunt je contract na verloop van tijd wel opzeggen, misschien vanwege veranderde voorwaarden of om te switchen naar een andere clouddienst, maar hoe makkelijk is dat? Kom je ooit nog van Microsoft af?

Massacci: ”Wat als opzeggen betekent dat je bijvoorbeeld al je e-mails kwijt bent? Wat als overstappen naar een ander bedrijf toch een hoop geld blijkt te kosten? Het is in principe gratis, maar van Amazon is bekend dat het geld in rekening brengt voor het netwerkverkeer dat nodig is voor zo’n verhuizing. Het is nog te vroeg om van een structureel probleem te spreken, omdat instellingen pas sinds een paar jaar met techbedrijven in zee gaan. Het is nog even afwachten hoe dat uitpakt.”