Toen Angela Merkel vorig jaar constateerde dat haar mobiele telefoon door de Amerikanen werd afgeluisterd, vond ze het tijd voor maatregelen. Ook vanuit andere Europese landen roept de politiek om actie tegen het datagraaien door de NSA. Merkel en Hollande lijken het erover eens te zijn dat een Europese cloud de oplossing is, opdat de data en privacy van burgers in de EU beschermd zijn tegen vreemde ogen. “Het zou zo moeten zijn, dat bijvoorbeeld e-mails binnen Duitsland of Europa blijven, zodat Amerika er niet in kan kijken”, stelt Merkel.
Het klinkt fraai voor de bühne. Maar zijn zulke claims realistisch of wenselijk? En is een Europese cloud echt een oplossing?
Er zijn volgens mij drie mogelijkheden om tot een Europese cloud te komen.
De eerste is de juridische weg – en die is eigenlijk heel eenvoudig te realiseren. Je hebt er alleen een handtekening voor nodig. Je kunt overheden en bedrijven uit andere landen namelijk verbieden om in je data te kijken. Zo’n verbod is alleen niet zo makkelijk af te dwingen. Geheime diensten, ook die van Duitsland, worden immers opgedragen om juist wel in de data van burgers en overheden van andere landen te snuffelen; dat gebeurt over en weer. De James Bond- en Mission impossible-films waar we van smullen, zijn realiteit geworden en zolang de praktijken van deze diensten geheim zijn, kun je er niet tegen optreden. En je kunt moeilijk schande roepen naar andere landen als die zich niet aan de afspraken houden, als je zelf net zo handelt.
Je kunt als overheid natuurlijk ook bedrijven opdragen om die juridische afscherming voor je te regelen. Je dient er als bedrijf dan voor te zorgen dat andere landen niet bij je opgeslagen of te verwerken data kunnen. Dat is in feite de aard en opzet van de Europese privacyprotectie.
Het streven is goed, maar ook hiermee los je het probleem maar ten dele op. Het internet is immers een wereldwijde verzameling van gekoppelde netwerken, en het is niet zo makkelijk te bepalen waar data zich bevinden als je over het web surft. Om technische redenen bevinden zich bijvoorbeeld kopieën van data op verschillende plekken: in CDN’s (Content Delivery Networks), proxy’s en caches. Bovendien is het voor de consumenten en eigenaren van de data niet zo makkelijk om te bepalen met welk bedrijf ze in de praktijk te maken hebben, en of die onderneming wel of niet valt onder door de overheid vastgestelde regels. Waar zijn mijn data bijvoorbeeld als ik, zelfs via een versleutelde verbinding, vanuit een hotelkamer in Singapore inlog op een site? Wie kan er dan allemaal bij?
Een hek om Europa
De tweede mogelijkheid om tot een Europese cloud te komen, is door te proberen een technisch hek om Europa te zetten. Dat is de suggestie die de term ‘Europese cloud’ oproept bij de meeste mensen die ik spreek. Om die oplossing te realiseren, moet je een compleet nieuw internet bouwen, dat op geen enkele manier met het ‘gewone’ internet verbonden is. Of, liever gezegd: op geen enkele manier verbonden is of kan worden met de internetjes van landen waarvan je niet wilt dat ze in je data kunnen kijken. Je moet dan je nieuwe infrastructuur zodanig beveiligen, dat geheime diensten niets kunnen aftappen. Waaronder het voorkomen van subtiele aftapmethodes als het afschrapen van de coating van een glasvezelkabel. Uiteraard is bij zo’n oplossing draadloos of mobiel Internet geen optie meer.
Versleuteling: gewenst of niet?
De derde – en naar mijn mening enige echt effectieve – optie is te zorgen dat versleuteling (encryptie) in ere wordt hersteld. In 1995 realiseerde de internetcommunity zich al dat internetverkeer inherent onveilig is. We bedachten SSL en IPSEC, maar helaas hebben we verzuimd de techniek en sleutellengtes aan te passen aan de kraaklust van de overheid. Ook is het vertrouwen in versleuteling uitgehold door bijvoorbeeld Diginotar en de backdoors die de overheden in encryptiesoftware hebben laten inbouwen. Als de EU nu eens echt werk zou maken van versleuteling door het doen van investeringen in onafhankelijke wetenschap en in hardwareontwikkeling, en met een echt goede certificate authority, dan kan de burger zijn of haar data zelf beschermen.
Dat dit echt kan, blijkt uit een toevoeging in het wetsvoorstel computercriminaliteit-III, dat nu bij de Raad van State ligt. Hierin staat dat burgers kunnen worden gedwongen om hun sleutels en wachtwoorden af te geven. Blijkbaar is de overheid bang dat effectieve versleuteling ervoor zorgt dat de geheime dienst of justitie echt niet meer bij de data kan. En daarmee is de cirkel rond. Want het beschermen van onze privacy is toch precies wat we met het Europese internet wilden realiseren?
Het bovenstaande roept ook de interessante vraag op wie en wat we nu precies tegen wie of wat willen beschermen. Wie zijn onze vrienden, en wie niet? Van de opties die ik hierboven gaf, lossen er twee het probleem niet op, en de derde – de effectieve encryptie – zal uiteindelijk door de politiek worden tegengehouden.
Zoals ik aan het begin van het artikel al zij: de uitspraken van Merkel doen het vooral goed op de bühne.
Michiel Steltman, directeur DHPA
Beste Michiel, interessante benadering van deze discussie. Ook ik geloof er heilig in dat betere encryptie een goede oplossing is tegen spionage, of het nu gaat om spionage door overheden, door concurrenten of door cybercriminelen. Zoals je aangeeft, zullen overheden hier moeite mee hebben. De Amerikaanse overheid zal de eerste zijn die hier een problemen van gaan maken, daar is het nu al niet toegestaan om sterke encryptie op de markt te brengen (als de verkopende partij tenminste geen Amerikaans bedrijf is, want die kunnen met een simpele ‘secret letter’ verplicht gesteld worden om de sleutel te overhandigen en erover te zwijgen als het graf, lees hier meer over op deze plek: http://datanews.knack.be/ict/opinie/columns/zolang-we-amerikaanse-software-en-machines-hanteren-zijn-we-niet-beschermd-tegen-de-nsa/opinie-4000541262867.htm).
Wil je hier al een begin mee kunnen maken, dan is het dus weldegelijk van belang om Europese internetdienstverlening, waaronder Cloud Services tot je beschikking te hebben. Ik heb hier een uitgebreider stuk over geschreven, dat hier kan worden gelezen: http://businessenit.nl/2014/02/27/een-europees-internet-een-goed-idee/#more-444.