De kill-switch van Microsoft: hoe kwetsbaar is jouw organisatie?
- Amerikaanse druk kan leiden tot afsluiting van Microsoft-diensten.
- Organisaties zijn kwetsbaarder door cloudafhankelijkheid.
- Alternatieven vergen forse investeringen, maar beperken risico’s.
- Lees ook: Experts slaan alarm over digitale soevereiniteit: ‘We zijn niet meer in control’
Organisaties die zwaar leunen op de diensten van Microsoft moeten zich afvragen: Wat zijn de gevolgen als Microsoft de opdracht krijgt de kill-switch over te halen? Is de schade te beperken en zijn die investeringen te rechtvaardigen?
De kans dat Microsoft van hogerhand daadwerkelijk organisaties moet afsluiten van de dienstverlening is niet groot, maar niet nul. Voor Amerika onwelgevallige handelingen van het Internationaal Strafhof (ICC) in Den Haag leidden ertoe dat in ieder geval het e-mailaccount van hoofdaanklager Karim Khan werd afgesloten, maar volgens onbevestigde bronnen ook van alle medewerkers van het ICC.
Microsoft zelf en het ICC doen er geen uitspraken over. Met een Amerikaanse president als Donald Trump zijn sancties tegen Europa niet uit te sluiten, al is het maar voor enkele dagen tot een presidentieel besluit wordt teruggedraaid.
Digitalisering heeft bedrijfsvoering kwetsbaar gemaakt
Miloslav Homer, een Tsjechische hacker en de Hoofdarchitect applicatiebeveiliging van chemieconcern Sandoz, nam de proef op de som. Hij analyseerde de gevolgen van zo’n besluit. De mogelijkheden van Microsoft om daadwerkelijk in te grijpen zijn met de overgang naar SaaS- en PaaS-diensten de afgelopen jaren enorm gestegen. Tot tien jaar geleden draaide veel essentiële software nog lokaal bij organisaties. Ook al ontstond er onenigheid met een softwareleverancier, dan konden de bedrijfsprocessen nog geruime tijd ongestoord doordraaien. De digitaliseringsgolf heeft vrijwel elk bedrijfsproces inmiddels afhankelijk gemaakt van softwarematige ondersteuning en de migratie naar de cloud heeft het lot in handen gelegd van Microsoft, of andere veelal Amerikaanse partijen. Daarmee is de machtspositie van deze bedrijven enorm toegenomen.
Uitval is echt niet denkbeeldig
De gevolgen van een grootschalige uitval van die dienstverlening zijn nauwelijks te overzien. Toch heeft het CrowdStrike-incident in 2024 aangetoond dat organisaties al snel miljoenen per dag verliezen, als essentiële diensten haperen.
Homer heeft een Return on Security Investment (ROSI) berekening gemaakt in een poging uit te zoeken wat rationele beslissingen zouden zijn om te investeren in preventiemaatregelen tegen zo’n incident. Een volledige overstap van Microsoft naar een alternatieve IT-stack zoals oplossingen gebaseerd op Linux en opensource-toepassingen. Hij bespreekt veel variabelen en de cijfers die hij noemt, zijn verontrustend hoog. Ook kijkt hij naar mogelijkheden om betrouwbare alternatieve dienstverleners in te schakelen, zonder daarmee nieuwe kwetsbaarheden te introduceren.
Er valt het nodige af te dingen op de berekeningen, maar Homer toont wel aan dat het zinvol is om als organisatie deze scenario’s onderdeel te maken van het risicomanagement en er onderbouwde beslissingen op te nemen. Dat is beter dan een bericht als dit weg te klikken omdat de kans dat zoiets gebeurt te onwaarschijnlijk is. Maar als je tot hier gekomen bent, heb je dat niet gedaan.
Europese initiatieven verdienen aandacht
Al ruim voor het aantreden van Trump als president van de Verenigde Staten schreef AG Connect al over de dringende noodzaak meer te investeren in Europese alternatieven.
"De gedachte is dat, zolang we goede afspraken met ze maken over privacy, we met onze overheidsdata goed zitten bij Microsoft, Google en Amazon", waarschuwden hoogleraar cybersecurity Bart Jacobs en José van Dijck, hoogleraar media en digitale samenleving in een opiniestuk in de Volkskrant.
Ondanks de vele initiatieven die sindsdien zijn genomen, wil het met marktontwikkeling nog niet erg lukken, zo bleek onlangs uit een noodkreet van Dutch Cloud Community (DCC), de branchevereniging van clouddienstverleners. Het marktaandeel van Europese cloudproviders daalt bijvoorbeeld de afgelopen jaren ten opzichte van de Amerikaanse aanbieders. Er bestaat een kip-ei-situatie waarin Europese aanbieders niet kunnen komen tot investeringen in efficiënte integratie van goede alternatieven doordat klanten ontbreken. Maar die kiezen gemakzuchtig voor plug-and-play bundels van de dominante Amerikaanse partijen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeBij de klassieke risico's rondom cloud (faillissement, outage van stroom of connectiviteit, ongunstige overname, verandering van voorwaarden etc) is er nog een bijgekomen van geopolitieke aard. Bedrijven moeten zelf opnieuw aan de slag met risico's en scenario's.
Ziptone, online vakblad voor klantcontactprofessionals, heeft de markt voor Europese contactcentersoftware (CCaaS) in kaart gebracht, ook om af te rekenen met het idee dat er - naast de dominante US spelers - weinig alternatieven op dit gebied zijn.
https://www.ziptone.nl/nieuws/ziptone-publiceert-marktverkenning-ccaas-made-in-europe/