Nadat de Verenigde Staten besloten om in de Veiligheidsraad mee te stemmen mét Rusland – en tegen de eigen bondgenoten in – kwam dit weekend de volgende klap voor de Westerse wereld: de Trump-administratie heeft Cisa (Cybersecurity & Infrastructure Security Agency) opdracht gegeven om Rusland niet langer als een cybersecuritydreiging te zien. De reacties op dit nieuws liegen er niet om.
‘Putin is on the inside now’, verklaarde een persoon die bekend is met de plotselinge koerswijziging van de VS tegenover The Guardian. Die opmerking kwam nadat de Amerikaanse minister van Defensie, Pete Hegseth, vorige week het US Cyber Command opdracht gaf alle plannen tegen Rusland, inclusief offensieve digitale acties, stop te zetten. Dit nieuws, dat door drie anonieme bronnen tegenover de website The Record is bevestigd, roept stevige vragen op over niet alleen de betrouwbaarheid van de VS als partner, maar ook over de veiligheid en betrouwbaarheid van de Amerikaanse tech-infrastructuur.
De opdracht geldt naar verluidt niet voor de National Security Agency (NSA) of haar signal intelligence-werkzaamheden gericht op Rusland. De volledige omvang van de opdracht van Hegseth is nog niet precies duidelijk, maar het lijkt een poging van het Witte Huis om de banden met Moskou te normaliseren, na de isolatie van het Kremlin vanwege de invasie van Oekraïne in 2022. De duur van opdracht is onbekend, maar de richtlijn zal voorlopig van kracht blijven.
Hoe kunnen de VS tot zo’n radicaal andere inschatting komen?
Onder de Amerikaanse veiligheidsorganisaties die deze opdracht hebben gekregen, zit hoogstwaarschijnlijk ook de 16th Air Force (Air Forces Cyber), de eenheid verantwoordelijk voor het plannen en uitvoeren van digitale operaties binnen het United States European Command (Eucom). Een woordvoerder van Eucom heeft een verzoek om commentaar van onder de website Gizmodo doorverwezen naar het Pentagon. Een hoge defensiefunctionaris verklaarde daarop: ‘Vanwege zorgen over operationele veiligheid, commentariëren of bespreken we geen cyberintelligence, plannen of operaties. Er is geen grotere prioriteit voor minister Hegseth dan de veiligheid van de mensen in alle operaties, inclusief het cyberdomein.’
Nederland
De gevolgen van deze koerswijzing gaan ver. Als bedrijven en overheden cruciale delen van hun informatievoorziening aan een derde partij uitbesteden, kan dit uitsluitend op basis van vertrouwen gebeuren. Op basis van dat vertrouwen hebben Nederland en Europa grote delen van hun tech-infrastructuur aan Amerikaanse partijen uitbesteed. Terwijl iedere ciso en securityprofessional in het Westen weet hoe actief de Russische overheid en de daarmee gelieerde cybercrime-groepen zijn, ondergraaft het besluit van de Trump-administratie dit vertrouwen in belangrijke mate. Hoe kunnen de VS immers tot zo’n radicaal andere inschatting komen?
Niet voor niets schrijft professor Martijn Dekker, verbonden aan Insead en global chief information security officer van ABN Amro, naar aanleiding van deze berichten op LinkedIn: ‘Dit heeft ook impact op onze beveiligingsbeoordeling van Amerikaanse infrastructuur: worden ze kwetsbaarder door de ontslagen en omdat ze minder beschermd zijn tegen Russische dreigingen? Misschien moeten we grote technologiebedrijven niet langer als ‘Amerikaanse clouds’, maar als ‘Russische clouds’ beschouwen. Hoe zou dat jouw risicobeoordeling veranderen?’
Michiel Steltman, tegenwoordig project lead bij ECP en voormalig managing director van Digitale Infrastructuur Nederland (DINL), vraagt zich op datzelfde LinkedIn af: ‘Cisa, dat verantwoordelijk is voor het beschermen van de kritieke infrastructuur van de VS tegen cyberdreigingen, schrapt de monitoring van Rusland als prioriteit. Wat komt daarna? Gaan de FSB en CIA samenwerken?’
Ook Jean-Paul van Hamond, veiligheidsexpert bij GouwIT, geeft in een commentaar op het LinkedIn-bericht van professor Dekker een waarschuwing: ‘Wie nog in de Amerikaanse cloud zit, zou zich serieus zorgen moeten maken. En bedrijven die exclusief op Amerikaanse cloud providers draaien? Het hele bedrijfsmodel staat op losse schroeven. Welke capabele ciso kiest, na deze ontwikkelingen, nog bewust voor de Amerikaanse cloud?’
Urgent
Het nieuws dat de VS Rusland niet langer als cybersecurity-dreiging zien, maakt nog maar eens duidelijk hoe urgent de discussie over Europa’s digitale soevereiniteit is. Sinds de komst van Trump hebben tal van it-managers, it-professionals en analisten alarm geslagen en aangegeven hoe afhankelijk Europa – zowel bedrijfsleven als overheden – zijn van digitale diensten die geleverd worden door niet-Europese partijen. Tot voor kort leek het ondenkbaar dat de Trump-administratie bijvoorbeeld de Microsoft Azure-omgeving als wapen zou kunnen inzetten. De ontwikkelingen van de laatste dagen laten zien dat niets meer ondenkbaar is.
Alle oproepen om de Europese afhankelijkheid te verminderen lijken vooralsnog niet tot duidelijke stappen te leiden die Europa richting een eigen – en wel degelijk bestaande – technische infrastructuur brengen. Het verbieden van Amerikaanse ai-tools is dan niet voldoende.
Roep
Het mag duidelijk zijn dat met de ontwikkelingen van de afgelopen dagen de roep van een migratie naar een Europese tech-infrastructuur en het opslaan van informatie in Europese datacenters geen verdere toelichting meer behoeft. Toch blijft het nog te vaak bij het beschrijven van het probleem. Wellicht ingegeven door de vermeende complexiteit van een migratie. Positief is wel dat het EuroStack-project vorderingen lijkt te maken. Het Duitse Sovereign Cloud Stack-project daarentegen lijkt dan weer veel minder bekend. Net als het feit dat er wel degelijk serieuze opensource-alternatieven zijn voor Office 365 (bijvoorbeeld hier en hier). Daarmee zijn de meeste bouwstenen beschikbaar zijn om een eigen en op Europese dan wel opensource-technologie gebaseerde tech-infrastructuur op te tuigen.
computable
03-03-2025 11:58