De kill-switch van Microsoft: hoe kwetsbaar is jouw organisatie?
- Amerikaanse druk kan leiden tot afsluiting van Microsoft-diensten.
- Organisaties zijn kwetsbaarder door cloudafhankelijkheid.
- Alternatieven vergen forse investeringen, maar beperken risico’s.
- Lees ook: Experts slaan alarm over digitale soevereiniteit: ‘We zijn niet meer in control’
Organisaties die zwaar leunen op de diensten van Microsoft moeten zich afvragen: Wat zijn de gevolgen als Microsoft de opdracht krijgt de kill-switch over te halen? Is de schade te beperken en zijn die investeringen te rechtvaardigen?
De kans dat Microsoft van hogerhand daadwerkelijk organisaties moet afsluiten van de dienstverlening is niet groot, maar niet nul. Voor Amerika onwelgevallige handelingen van het Internationaal Strafhof (ICC) in Den Haag leidden ertoe dat in ieder geval het e-mailaccount van hoofdaanklager Karim Khan werd afgesloten, maar volgens onbevestigde bronnen ook van alle medewerkers van het ICC.
Microsoft zelf en het ICC doen er geen uitspraken over. Met een Amerikaanse president als Donald Trump zijn sancties tegen Europa niet uit te sluiten, al is het maar voor enkele dagen tot een presidentieel besluit wordt teruggedraaid.
Digitalisering heeft bedrijfsvoering kwetsbaar gemaakt
Miloslav Homer, een Tsjechische hacker en de Hoofdarchitect applicatiebeveiliging van chemieconcern Sandoz, nam de proef op de som. Hij analyseerde de gevolgen van zo’n besluit. De mogelijkheden van Microsoft om daadwerkelijk in te grijpen zijn met de overgang naar SaaS- en PaaS-diensten de afgelopen jaren enorm gestegen. Tot tien jaar geleden draaide veel essentiële software nog lokaal bij organisaties. Ook al ontstond er onenigheid met een softwareleverancier, dan konden de bedrijfsprocessen nog geruime tijd ongestoord doordraaien. De digitaliseringsgolf heeft vrijwel elk bedrijfsproces inmiddels afhankelijk gemaakt van softwarematige ondersteuning en de migratie naar de cloud heeft het lot in handen gelegd van Microsoft, of andere veelal Amerikaanse partijen. Daarmee is de machtspositie van deze bedrijven enorm toegenomen.
Uitval is echt niet denkbeeldig
De gevolgen van een grootschalige uitval van die dienstverlening zijn nauwelijks te overzien. Toch heeft het CrowdStrike-incident in 2024 aangetoond dat organisaties al snel miljoenen per dag verliezen, als essentiële diensten haperen.
Homer heeft een Return on Security Investment (ROSI) berekening gemaakt in een poging uit te zoeken wat rationele beslissingen zouden zijn om te investeren in preventiemaatregelen tegen zo’n incident. Een volledige overstap van Microsoft naar een alternatieve IT-stack zoals oplossingen gebaseerd op Linux en opensource-toepassingen. Hij bespreekt veel variabelen en de cijfers die hij noemt, zijn verontrustend hoog. Ook kijkt hij naar mogelijkheden om betrouwbare alternatieve dienstverleners in te schakelen, zonder daarmee nieuwe kwetsbaarheden te introduceren.
Er valt het nodige af te dingen op de berekeningen, maar Homer toont wel aan dat het zinvol is om als organisatie deze scenario’s onderdeel te maken van het risicomanagement en er onderbouwde beslissingen op te nemen. Dat is beter dan een bericht als dit weg te klikken omdat de kans dat zoiets gebeurt te onwaarschijnlijk is. Maar als je tot hier gekomen bent, heb je dat niet gedaan.
Europese initiatieven verdienen aandacht
Al ruim voor het aantreden van Trump als president van de Verenigde Staten schreef AG Connect al over de dringende noodzaak meer te investeren in Europese alternatieven.
"De gedachte is dat, zolang we goede afspraken met ze maken over privacy, we met onze overheidsdata goed zitten bij Microsoft, Google en Amazon", waarschuwden hoogleraar cybersecurity Bart Jacobs en José van Dijck, hoogleraar media en digitale samenleving in een opiniestuk in de Volkskrant.
Ondanks de vele initiatieven die sindsdien zijn genomen, wil het met marktontwikkeling nog niet erg lukken, zo bleek onlangs uit een noodkreet van Dutch Cloud Community (DCC), de branchevereniging van clouddienstverleners. Het marktaandeel van Europese cloudproviders daalt bijvoorbeeld de afgelopen jaren ten opzichte van de Amerikaanse aanbieders. Er bestaat een kip-ei-situatie waarin Europese aanbieders niet kunnen komen tot investeringen in efficiënte integratie van goede alternatieven doordat klanten ontbreken. Maar die kiezen gemakzuchtig voor plug-and-play bundels van de dominante Amerikaanse partijen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeBij de klassieke risico's rondom cloud (faillissement, outage van stroom of connectiviteit, ongunstige overname, verandering van voorwaarden etc) is er nog een bijgekomen van geopolitieke aard. Bedrijven moeten zelf opnieuw aan de slag met risico's en scenario's.
Ziptone, online vakblad voor klantcontactprofessionals, heeft de markt voor Europese contactcentersoftware (CCaaS) in kaart gebracht, ook om af te rekenen met het idee dat er - naast de dominante US spelers - weinig alternatieven op dit gebied zijn.
https://www.ziptone.nl/nieuws/ziptone-publiceert-marktverkenning-ccaas-made-in-europe/
De geschiedenis herhaalt zich. Lang geleden hoorde ik al; "De cloud is het nieuwe Mainframe", want ook toen was al duidelijk dat de afhankelijkheid van cloud tot excessen zou leiden; een (te) grote afhankelijkheid leidt tot hoge prijzen en grote risico's.
Nadat bedrijven honderden miljoenen hebben besteed om niet langer afhankelijk te zijn van 2-3 (mainframe) vendors doen we met cloud precies hetzelfde. Net als toen zijn de redenen valide (je kunt niet alles meer zelf, schaalbaarheid, altijd de nieuwste technologie) maar we vergeten te makkelijk dat alles zijn prijs heeft. En die prijs wordt ook weer hoog als iedereen tegelijkertijd digitale autonomie als hoogste prioriteit stelt. Opnieuw risicoanalyses maken en naar een balans zoeken lijkt me.
Je kunt alle cloudcommunicatie en -opslag versleutelen op een manier welke wiskundig bewijsbaar onkraakbaar is. Nog steeds kun je dan door een cloudprovider afgesloten worden. Echter afsluiting detecteer je direct in tegenstelling tot ongeauthoriseerd gebruik van onversleutelde informatie. Als de informatie versleuteld is heeft een ongeuathoriseerde partij geen toegang tot deze informatie. Als daarnaast ook de privacy van de gebruikers wiskundig bewezen is dan ben je beschermd tegen ongeauthoriseerd gebruik van de informatie. Als je de cloud alleen gebruikt voor communicatie en dus de source informatie op lokale storage hebt staan dan ben je naast ongeauthoriseerd gebruik van informatie ook beschermd tegen de kill-switch. Sharing_secrets in de directory Research op https://spideroak.com/browse/share/UTwente/RNG geeft hiervan een implementatievoorbeeld evenals het Ndax Quantum Systeem op de Ndix Internet-Exchange zie bijvoorbeeld https://photos.app.goo.gl/XRcRX84H48EvhX9i9 voor achtergrond informatie. Op https://utwente.yuja.com/V/Watch?v=851703&node=4538188 is videouitleg te vinden van recent onderzoek naar double-extortion ransomware. Op beveiligde informatie conform de hierboven genoemde voorbeelden zijn double-extortion ransomware aanvallen onmogelijk.