Onze maatschappij en overheden draaien in steeds grotere mate op Amerikaanse clouds, en we maken ons hier nu terecht zorgen over. Als we dit op willen lossen zullen er meer en betere Europese producten moeten gaan komen. En vervolgens moeten we die ook nog gaan kopen, en niet makkelijk weer voor dezelfde VS big tech spullen kiezen. Wordt hard werken allemaal.

En niemand houdt van hard werken, en dus springt iedereen vol enthousiasme op ieder bericht dat er een makkelijkere oplossing gevonden is. De pers juicht goed mee, bijna niemand vraagt kritisch door, want joepie de oplossing is gevonden! Club x heeft een Europese versie van Amazon Web Services gemaakt! Denemarken stopt met Microsoft!

Vervolgens komt er een hele stroom berichten op gang naar experts “kijk, het is gelukt!”. En die experts zien dan vaak in een oogopslag dat het opgeklopte onzin is. “Vegan kipfilet” zoals een wijs iemand het noemt.

Deze expert is dat inmiddels goed zat, dus hier een uitleg wanneer een oplossing echt “soeverein” is, en of het wel een oplossing is eigenlijk.

Voor we beginnen, voor “soevereiniteit” zijn een paar dingen nodig:

• Vertrouwelijkheid - hebben andere mensen dan wij toegang tot onze data?
• Beschikbaarheid - kunnen we uit de oplossing gegooid worden per Executive Order van Donald Trump?
• Controle - als het niet goed gaat, kan ik ingrijpen om de situatie te verbeteren? Door de boel zelf te repareren, of via de rechter in te grijpen?

Je kan dit nog wat verder ophakken en bijvoorbeeld ook kijken naar wendbaarheid (heb ik invloed op wat er wel en niet kan met de dienst, ook in de toekomst). En weerbaarheid, kan ik indien nodig de dienst zelf verdedigen tegen aanvallers? Of kan alleen Amerika dat? (Meer hierover in een een eerder praatje over digitale autonomie)

Ik heb het eerst over of Amerikaanse bedrijven soevereine oplossingen kunnen leveren. Daarna nog een stukje over hoe veel Europese initiatieven zichzelf onterecht beschrijven als volwaardige alternatieven, en waar je daar bij op moet letten. En daarna nog een stukje hoop.

Als het een dienst van Amerikanen is dan is het geen oplossing

Amerikaanse bedrijven vallen, met al hun dochterbedrijven, waar ook ter wereld, altijd onder de omvangrijke Amerikaanse afluisterwetgeving. Zowel die van de politie, maar relevanter, ook die van de inlichtingen- en veiligheidsdiensten. Ook moeten die bedrijven altijd de VS sanctiewetgeving gehoorzamen, en dat doen ze ook met enthousiasme.

Er is geen manier waarop een Amerikaans bedrijf zichzelf om kan toveren tot een niet-Amerikaans bedrijf. Ongeacht waar hun servers staan, in de EU of niet.

Helaas stopt dat Microsoft, Google, Oracle en Amazon niet om enorme webpagina’s te schrijven vol met loze beloftes, en dan altijd ook een zinnetje dat het eigenlijk niet helpt. “Moest van legal”.

Een prachtig voorbeeld is dit van Microsoft over hun “Customer Lockbox”:

Een ander mooi voorbeeld is de “EU Data Boundary” van Microsoft, die volgens hun eigen zeggen de stroom van data naar de US “aanzienlijk vermindert”. Maar waar je data staat maakt voor Amerikaanse wetgeving echt niet uit.

Dit soort versleutelingsstunts komen in twee maten. De eerste maat, zoals de Customer Lockbox, is even effectief als een extra slot op je deur monteren, maar dat je vervolgens een kopie van de sleutel aan je huisbaas moet geven. Zo hou je je huisbaas niet buiten, want hij heeft je extra sleutel toch.

Er is nog een tweede variant, waarbij je je documenten in een soort van gijzeling neemt, waardoor het Amerikaanse bedrijf deze inderdaad niet meer kan lezen. Helaas betekent dit effectief dat jij de data ook niet meer kunt vinden of verwerken. Microsoft zelf legt dit ook goed uit, doe dit alleen voor je allergevoeligste documenten. Het is wel versleuteld, maar je kan niet meer werken. Heb je ook niks aan.

Dit alles weerhoudt Microsoft, Google, Amazon en Oracle er niet van om tegenwoordig maandelijks nieuwe PR-offensieven te lanceren, maar het verandert allemaal niets aan de situatie. En als je heel goed leest zie je ook dat men niet belooft dat al deze woorden de Amerikaanse wetgeving buiten werking kunnen stellen.

Het enige wat zou helpen is als deze bedrijven hun Europese tak zouden verkopen (afstoten!) zodat er niet veel Amerikaanse aandeelhouders en geen Amerikaanse medewerkers meer zijn. En dat zijn ze niet van plan.

We hebben nog nooit data van een Europese overheid aan Amerika overhandigd!

Ja dit is wel een aparte. Als de politie je mailbox wil is er een juridische procedure en krijgt men een net verzoek. De Amerikaanse politie heeft inderdaad weinig behoefte aan de mailboxen van de Nederlandse overheid. Veel relevanter zijn de enorme Amerikaanse inlichtingen- en veiligheidsdiensten. Die gaan niet aan Microsoft Nederland vragen of ze een kopietje mogen van de mailboxen van het kabinet (of je bevolkingsregister, of belastinggegevens).

Section 702 van de Foreign Intelligence Surveillance Act (FISA) en Executive Order 12333 betekenen dat de Amerikaanse overheid zich in bulk toegang kan verschaffen tot onze data. En daar worden geen meldingen of statistieken van bijgehouden.

Als Amerikaanse bedrijven zeggen dat ze nooit court orders krijgen, dan bedoelen ze de politieverzoeken. En niet de bulk afluisterprogramma’s die zich richten op onze overheden, banken en bedrijven.

Als men niks zegt over Section 702 of de EO 12333, dan laat men de relevante data weg. Overigens heb ik ook begrepen dat er medewerkers zijn die oprecht zeggen dat ze hier nog nooit van gehoord hebben. Dat klopt. En dat is ook wel het probleem. De Nederlandse vestiging van een Amerikaanse provider gaat hier nooit van horen, het zijn Amerikaanse staatsgeheimen.

Let verder goed op met praatjes van CEOs, die zeer zorgvuldig alleen zeggen dat hun cloud “in essentie” soeverein is, zoals Microsoft’s CEO Satya Nadella onlangs in Nederland deed. Vraag vooral om schriftelijke bevestiging, en lees die ook heel kritisch.

Maar, de “airgapped” cloud dan?

Google belooft dat ze je een lokale kopie van de Google Cloud kunnen geven. Die heeft dan geen verbinding met Amerika. “Airgapped”. Microsoft belooft iets soortgelijks. Hier zit dan typisch een Europese partner bij, zoals Thales of SAP, en die runt het dan voor je.

In het geval van Google lijkt het echt zo te zijn dat hun oplossing ontkoppeld van Amerika kan draaien. Je hebt dan je eigen brokje Google cloud in huis, wat oprecht best knap is. In Nederland lijkt het ministerie van defensie dit via KPN en Thales te willen gaan doen (al heb ik nog geen aanbesteding gezien).

“Cloud de Confiance” leader

Maar, als je doorvraagt blijkt dat we er dan toch niet zijn. Wat als Donald Trump weer sancties uitschrijft, blijft je eigen lokale cloud dan werken? Volgens de Duitse Microsoft cloud ‘Delos’ is het dan na een paar maanden toch afgelopen. Er komen dan namelijk geen beveiligingsupdates meer uit Amerika. En na een paar maanden is je cloud dan te onveilig geworden om nog te draaien.

Dus je bent soeverein, maar als er gedonder is heb je daar maar een paar maanden plezier van. En nog even ter herinnering, als je je overheid bouwt op een niet-airgapped Amerikaanse cloud kan je er zomaar uitliggen, en komt je werk tot stilstand. Dan heb je die paar maanden niet eens.

Maar, de broncode ligt in Zwitserland

Dit is een nieuwe toevoeging in het verhaal. Microsoft heeft beloofd dat ze een kopie van de broncode zullen deponeren in Zwitserland. Als er dan ruzie is zou je die broncode daar op kunnen halen, en dan zelf het beheer van Microsoft Azure over kunnen nemen. Nou heb ik ervaring met dit soort “escrow” trajecten, en in de praktijk werkt het nooit.

Er werken tienduizenden mensen bij Microsoft aan die broncode. Als we in Europa ook duizenden capabele mensen vooraf zouden trainen in dit overnemen dan zou je er wat aan hebben. Maar in de praktijk mag de kluis met die broncode pas open als er enorme ruzie is. En dan wens ik je succes met het begrijpen van die miljard regels broncode, waarbij Microsoft je wegens sancties niet meer mag helpen.

Europese aanbieders

Niet alleen de Amerikanen kloppen hun verhaal goed op. Het barst van de Europese aanbieders die claimen dat je “gewoon” op hun diensten over kunt stappen. Ik schreef eerder dat de cloud komt in soorten en maten. Kort gezegd hebben we hier in Europa echt hele goeie servers en netwerken. Misschien wel de beste. Ook goed betaalbaar vergeleken met “de Amerikaanse cloud”.

Maar de meeste van die aanbieders doen alleen eenvoudige diensten. En ondertussen hebben veel softwaredevelopers kant en klare oplossingen nodig. Veel eindgebruikerdiensten draaien niet meer op servers. Ze draaien op hoogwaardige knappe globaal beschikbare services. Ik schreef hier eerder over in het stuk Hosters verkopen hout, klanten willen meubels.

Als je dus een juichende aankondiging ziet van een nieuwe soevereine Europese cloud, check dan of ze bijvoorbeeld een equivalent van Amazon Cognito aanbieden. Dan zouden ze echt meedoen. Of kijk of ze een wereldwijd S3-equivalent in hun dienstenpakket hebben. Zo nee, dan doet men zich echt groter voor dan ze zijn.

Dit betekent niet dat deze clubs nutteloos zijn. Dat zijn ze zeker niet. Maar het zijn bouwmarkten voor mensen die weten wat ze aan het doen zijn. Ondertussen hebben Microsoft, Amazon, Google en Oracle ook mogelijkheden voor developers die weinig/minder van computers weten. En daar heeft de industrie massaal voor gekozen. Ik denk niet dat het een slim idee is om je zo te koppelen aan een specifieke leverancier, maar het is wel wat vaak gebeurt.

En iedereen die claimt een Europees equivalent te zijn van de grote cloudproviders zal dus ook al dat soort kant en klare diensten aan moeten bieden. Het is best mogelijk om dat te bouwen, maar dan zul je dat wel moeten gaan doen.

Tot nu toe lijkt niemand dit echt aan het doen te zijn. Dus wees heel kritisch voor je weer een expert lastigvalt met het nieuws dat de Lidl cloud ons gaat redden. Want voorlopig lijkt dat niet waar.

Is er dan helemaal geen goed nieuws?

Nou dat hangt van onszelf af. Een organisatie die moeite steekt in werving kan diensten leveren zonder “big tech” clouds. Zoals mijn eigen Tweede Kamer website opentk.nl. En met geringe technische moeite hoef je ook geen Teams te gebruiken. Decennialang draaiden we onze eigen servers, nu roept iedereen dat het niet meer van deze tijd is. Maar het blijkt dat het nog uitstekend mogelijk is eigen mailservers te draaien.

In Europa zijn werkelijk uitstekende servers te huren. Je moet alleen je developers er van overtuigen dat ze die kunnen gebruiken. En dat valt niet mee. En voor wat betreft onze afhankelijkheid van Microsoft, die hebben we onszelf ook aangedaan. Medewerkers laten switchen van software is onvoorstelbaar moeilijk. Ook organisaties die geprobeerd hebben te switchen naar Google Workspace switchen later vaak weer terug: ons personeel eist de echte Microsoft.

Als we zelf wat flexibeler zijn is er een hoop meer mogelijk.

Maar het begint met onszelf niet in de luren laten leggen door oplossingen die ons nog steeds afhankelijk houden van de goede wil van Donald Trump. Of door oplossingen die in de praktijk geen werkbaar alternatief zijn.

Meer informatie

Een goed overzicht van de hele situatie is te vinden in deze Cloud overview.

Dit stuk Soevereine Cloud: de ‘vegan kipfilet’ van de digitale wereld van Fleur van Leusden legt het ook prachtig uit.

En in NRC lezen we Amerikaanse techbedrijven proberen hun cloud zo Europees mogelijk te laten lijken.