Hoewel Nederlandse overheidsinstellingen en bedrijven al jaren en in toenemende mate gebruik maken van cloud-oplossingen in hun dagelijkse kantoorwerkzaamheden en nog meer sinds corona velen dwong tot thuis werken en vergaderen, doemt toch nog regelmatig het spook van de angst-voor-de-cloud op in gesprekken en publicaties. Er is veel meer kennis en ervaring dan kort na de lancering van Office 365 in 2011, maar sommige argumenten tegen en kritieken op de cloud – en dan vooral tegen de zogenaamde ‘tech-giganten’ als Microsoft – leiden een hardnekkig leven. En hoewel ik van nature een voorzichtig mens ben en behept met een gezond wantrouwen tegen het grootkapitaal, vind ik wel dat discussie gevoerd moet worden op basis van concrete en correcte informatie. Daarom deze keer: drie misvattingen over Microsoft 365 en de cloud.
“Kijk maar naar Facebook, toen met Cambridge Analytica”
Als argument tegen onder andere Microsoft wordt aangevoerd dat het toevertrouwen van informatie aan het bedrijf er mogelijk toe zal leiden dat die informatie wordt doorverkocht of anderszins verkwanseld. Het argument wordt letterlijk aangevoerd in juni in een open brief van een negentiental cyber-security professoren van Nederlandse universiteiten:
“Commerciële bedrijven die een Cloud oplossing bieden kunnen data echter voor meerdere doeleinden gebruiken. Met bijvoorbeeld het Cambridge Analytica schandaal in het achterhoofd, moeten we constateren dat de veiligheid en privacybescherming van onze studenten bij commerciële Cloud providers niet altijd gegarandeerd is.”
De suggestie in het voorbeeld is overduidelijk. Terwijl de eerste alinea van de brief geheel over Microsoft en Microsoft oplossingen gaat (zie hieronder) wordt hier vol gas gegeven op de angst voor verkwanseling: ze zeggen misschien dat ze het niet doen, maar het kan gebeuren dat… en de veiligheid is niet altijd gegarandeerd. Het is suggestief en tendentieus om juist de Cambridge Analytica zaak aan te halen. Bijna drie miljard (!) maandelijkse gebruikers vertrouwen Facebook ‘kosteloos’ hun hebben en houwen toe. Maar juist van deze ‘gratis’ online diensten weet inmiddels iedereen – en zeker de cyber-security professoren – dat je betaalt met je data. Dat het schandaal aantoonde dat het allemaal nog erger was dan dat, zegt veel over het cynisme achter deze ‘gratis’ diensten. Bij Microsoft 365 betalen organisaties en bedrijven dure abonnementen en is er de garantie dat de eigenaar in beheer blijft van zijn informatie, dat die informatie in ruste en onderweg is beveiligd, dat deze niet wordt doorverkocht.
“Kijk maar naar die hack van Exchange, begin 2021’
Digitale aanvallen op organisaties en bedrijven nemen toe, dat is zeker waar. Iedere online verbinding met de buitenwereld is daarmee een kleiner of groter risico. En zeker e-mail, als dagelijkse communicatie naar buiten en naar binnen, is daarmee een gegadigde voor phishing. Soms is het criminaliteit en afpersing, maar het is duidelijk dat er wordt gewerkt vanuit of door landen als Rusland, China en Iran. Begin dit jaar kwam Microsoft in het nieuws met een groot lek in Microsoft Exchange Server. Ik hoorde die hack onlangs gebruikt worden als argument tegen migratie naar Exchange Online. Exchange is Exchange nietwaar en Microsoft Microsoft. Ook de brief van de cyber-security professoren gaat in de eerste alinea vol op het Exchange orgel:
“…veel aanvallen op Microsoft Exchange mailservers, waarin steeds nieuwe fouten worden gevonden. Het blijkt dat hierdoor veel e-mail systemen gehackt kunnen worden, en systeembeheerders hebben dan ook hun handen vol met het verhelpen van fouten in de Microsoft software. Gelukkig lijken de Cloud-gebaseerde e-mail systemen van Microsoft (Office 365), en die van de andere big-techbedrijven relatief veilig. Het lijkt dan ook niet meer dan begrijpelijk dat er stemmen opgaan om e-mail en andere diensten uit te besteden aan de ogenschijnlijk veilige Cloud oplossingen van de Amerikaanse Big Tech industrie.”
Ik weet niet eens waar te beginnen: ja de hack ging om Exchange mailservers, dus inderdaad niet om Exchange Online. Dat veel e-mailsystemen ‘hierdoor’ gehackt kunnen worden is niet waar, want diezelfde berichten waren er nou juist niet over mail in de (Microsoft-)cloud. Dus dat het ‘begrijpelijk lijkt’ (is) om e-mail uit besteden aan de ‘ogenschijnlijk’ (tot heden bewezen) veilige cloud is inderdaad niet meer dan volkomen terecht.
Check deze uitstekende blog van de altijd kritische maar degelijke Tony Redmond van eerder dit jaar over die Exchange hack en zijn conclusies:
“The bottom line is that if you can move email off on-premises Exchange to the cloud you should do so as quickly as you can. When I’m asked about this topic, I ask CIOs and CTOs to consider three points:
- The increasing sophistication of attack (…).
- Better protection is available in the cloud (…).
- More functionality is available in the cloud (…).
Move. Don’t delay”
Dus. Verderop in de brief stellen de professoren nog onder de kop ‘Ethiek’ de vraag of het te verdedigen zou zijn een bedrijf je e-mail toe te vertrouwen als ze er eerder niet in geslaagd zijn ‘veilige e-mail software te leveren’. Is het ethisch om verwarring te zaaien over de kwaliteiten van verschillende producten en diensten met – helaas, dat wel – een sterk gelijkende naam? *)
“Ze kunnen bij je data en geven die aan justitie”
Ook hier nog altijd veel misverstanden. En ook hier zijn niet alle aanbieders van gratis en betaalde diensten in de cloud gelijk. Het gaat dus niet aan om ‘de Facebooks, Googles, Amazons en Microsofts van deze wereld’ over één kam van onbetrouwbaarheid te scheren. Dat Nederlandse universiteiten die gebruik maken van Amerikaanse cloud providers ‘dus’ daarmee de data van medewerkers en studenten ‘buiten het Europese grondgebied’ plaatsen is dan ook niet correct. Voor de gratis diensten van Facebook en Google kan en wil ik niet spreken hier, maar Microsoft is absoluut transparent over waar data en content zich bevinden. Dat is de Europese Unie, met uitzondering van Sway (maar zeg zelf, wie wil dat gebruiken) en Workplace Analytics.
En ja, er is de mogelijkheid dat Amerikaanse justitie informatie opvraagt uit Microsoft systemen. Ik schreef daar eerder over. Het zou dan wel zo netjes zijn te vermelden dat juist Microsoft zich al jarenlang juridisch verzet tegen die praktijk en ook hier transparantie betracht. Transparantie die overigens ook Nederlandse justitiële verzoeken aan Microsoft geldt – en niet alleen die enge onbetrouwbare yanks.
*) Hetzelfde fenomeen (onterecht kritisch over een Microsoft product met gelijkende namen) deed zich een tijd lang voor bij ‘OneDrive’ (de gratis foto- en documentenopslag van Microsoft) en ‘OneDrive for Business’ (de persoonlijke opslag in Microsoft 365). Twee compleet verschillende producten, met hooguit de overeenkomst dat ze voor individuele opslag bedoeld zijn, de eerste voor privé gebruik, met beperkte garanties en rechten, de tweede betaald in Microsoft 365 met bijbehorende garanties en veiligheid.