Big tech clouds worden niet veiliger met stapels papier

Posted on

Je samenleving, overheid en maatschappij overlaten aan Amerikaanse servers komt met twee problemen:

  1. Alles werkt alleen zolang ze het in Amerika goed vinden. Met een enkel briefje op Whitehouse.gov lig je uit hun cloud.
  2. Via minstens drie wetsinstrumenten gunt Amerika zich toegang tot onze data en communicatie, ook al staan de Microsoftservers in Europa.

Dit is allemaal heel vervelend, en er is ook weinig aan te doen. Geen enkele “speciale” afspraak heft de realiteit van Amerikaanse wetgeving op. Je kunt proberen er nog wat BV’s tussen te schuiven, maar uiteindelijk ben je bij sancties toch de klos.

Ook het toevoegen van extra lagen encryptie/sleutels voor privacy is in de praktijk niet realistisch gebleken. Of zoals ik eerder schreef, je kunt je digitale autonomie niet kopen in Amerika.

Bovenstaande is allemaal niet controversieel. De landsadvocaat heeft het in de Tweede Kamer recent nog bevestigd.

Desondanks..

Desondanks onderhandelen we nog heel wat met de werkelijkheid.

Nu Amerikaanse clouds en diensten bewezen een risico vormen zal je toch wat anders moeten gaan doen. Maar dat is tegen de stroom inzwemmen. Dat is vertrouwen op Europese technologie die anders werkt. Waar niet duizenden big tech & “big four” consultants klaarstaan om je te verzekeren dat het goed is wat je doet & gelijk de bijbehorende diensten te leveren. Het vergt daadwerkelijke eigen IT-kennis. En de Nederlandse overheid heeft grotendeels geen IT-afdelingen meer, maar alleen big-tech afdelingen.

In plaats van te moeten veranderen, kan je ook proberen met papier aan te tonen dat het niet hoeft. En dat is erg populair tegenwoordig.

“Als mensen moeten kiezen tussen van gedachten veranderen, of bewijzen dat dat helemaal niet nodig is, storten de meeste mensen zich op het bewijs” - John Kenneth Galbraith

We hebben hiervoor een heel instrumentarium opgetuigd, zoals Data Privacy Impact Assessments, Data Transfer Impact Assessments en “Comply or explain” documenten. Zoals veel gebruikt in de zin “we moeten de Explain nog schrijven, dan kunnen we naar de cloud”.

De nieuwste doorbraak is dat je de risico’s in kaart brengt en daarna je “risk register” gebruikt om die risico’s vervolgens te “accepteren”. Ook weer opgelost!

Dit is big business


Te koop op despair.com

Al deze documenten worden geschreven door een hele industrie, binnen en buiten overheden. Als een soort aflaat kan je voldoende papier bestellen tot alles zo complex is geworden dat je opperhoofd of minister vol vertrouwen kan zeggen dat we door kunnen met de verhuizing van DigiD naar Amerika, of dat het helemaal niet raar is om je btw voortaan door Amerikanen te laten doen.

“Er zijn twee manieren om software te ontwerpen. De ene is om alles zo eenvoudig te maken dat het evident is dat er geen problemen zijn. Op de andere manier maak je alles zo ingewikkeld dat niemand snel problemen kan zien.” - de onlangs overleden softwareontwikkelaar Tony Hoare.

En als de bergen papier nog niet genoeg waren, dan kan je gaan praten over risicomodellen en “governance”. Want met de juiste governance kan je werkelijk iedere draak temmen.

Maar tuin er niet in

Niets doet af aan de realiteit dat Amerikaanse diensten kwetsbaar zijn voor sancties. Geen enkele berg papier heft de privacyproblemen op. Complexiteit verkocht als nuance verhult de gevaren alleen maar.

Het enige realistische wat je op kunt schrijven is dat je denkt dat het wel losloopt, en dat je erop vertrouwt dat Trump en zijn overheid redelijke dingen doen.

Het zou mensen sieren als ze dit voorin hun rapporten zouden zetten, “we geloven echt dat het wel meevalt”. Prima, dat is dan je mening. Nederlanders zijn het niet met je eens (gezien de woede over DigiD naar Amerika). Maar, dan kom je tenminste uit voor waarom je denkt dat het kan: je haast Ruttiaanse vertrouwen in de Verenigde Staten.

Maar weet dus dat mensen een hele goede baan hebben aan consulting, adviezen en “governance”, zodat we door kunnen gaan onze data en geld naar Amerika te brengen, zonder dat iemand hier moeite hoeft te doen om eens zelf controle te nemen over computers.

En deze mensen helpen ons, voor geld, naar een steeds afhankelijkere en gevaarlijkere maatschappij, terwijl ze zeggen dat ze nuance komen brengen.

Tuin er niet in. En werk aan iets beters.

Ja nou dit vind ik helemaal geen leuk stuk

Misschien gaat het wel niet over jou, maar ik kan echt deze filosofische blockbuster aanraden:


Video - “You probably think this song is about you”