Soevereine clouds als veilige havens
In 2018 werd in de US de ‘Clarifying Lawful Overseas Use of Data’ Act aangenomen, ook wel de Cloud Act genoemd. Deze wet stelt de Amerikaanse overheid in staat in de VS gevestigde technologie-bedrijven – via een dagvaarding – te dwingen de gevraagde gegevens te verstrekken die zijn opgeslagen op servers, ongeacht of de gegevens in de VS of op buitenlands grondgebied zijn opgeslagen. Omdat deze wet deels in strijd is met de AVG voldeden Europese organisaties vaak niet meer aan de door de EU vereiste gegevensbescherming. Zij moesten zorgen dat privacy gevoelige data, niet (meer) bij Amerikaanse bedrijven werd opgeslagen. Dus wat betreft dataverwerking en -opslag, uitwijken naar soevereine clouds, die in eigen land of de EU onder lokaal gezag stonden.
Achtergrond van de wet
De FBI wilde data van Amerikaanse bedrijven krijgen, die niet op Amerikaanse bodem stond. In 2013 weigerde Microsoft – bij een onderzoek naar drugshandel – om emails van een Amerikaans staatsburger te verstrekken, opgeslagen in een datacenter van Microsoft in Ierland. Terechte privacy-zorgen van de technologiebedrijven zorgde uiteindelijk dat in de wet mechanismen kwamen om verzoeken aan te vechten als zij geloofden dat zo’n verzoek in strijd was met de buitenlandse privacyrechten met betrekking tot die Amerikaanse burgers.
De Europese Toezichthouder voor Gegevensbescherming (EDPS) vond inderdaad de CLOUD Act deels in strijd met de AVG. Het werd vergeleken met de Chinese Inlichtingenwet. De AVG legt fikse beperkingen op aan de overdracht van persoonsgegevens buiten de Europese Economische Ruimte (EER) om te zorgen dat het AVG beschermingsniveau voor individuen overal hetzelfde blijft. Persoonsgegevens mogen alleen buiten de EER worden overgedragen in overeenstemming met de voorwaarden voor dergelijke overdrachten zoals vastgelegd in de AVG. Of met instemming van het individu om wiens persoonlijke data het gaat.
Digitale soevereiniteit
Europese organisaties en bedrijven houden zich aan deze strenge Europese privacy- en compliance-regels. Voor de meeste Nederlandse bedrijven is een globale cloud op dit moment nog veilig genoeg. Het is vaak een theoretisch risico, dat de Amerikaanse overheid jouw data inziet. Maar we zien wel de opkomst van soevereine clouds, waar bedrijven lokaal voldoende grip op hun data kunnen houden. En de garantie hebben om juridisch altijd aan alle privacy- en compliance-regels te voldoen. Ook grote Amerikaanse providers hebben nu via lokale partners, soevereine cloud oplossingen ontwikkeld, waar de data op servers en storage van de lokale partners staat.
Soevereiniteit gaat over meer dan data alleen. In feite wil je voorkomen dat je als klant in een situatie van afhankelijkheid terecht komt. Dus niet alleen de data, maar ook de applicaties en diensten moeten te migreren zijn naar andere IT-infrastructuren. Maar er is geen data-soevereiniteit zonder cloud-soevereiniteit. De geopolitieke situatie in de wereld en het onder druk staan van verschillende data-verdragen met de VS, creëerde afgelopen jaren een grotere bezorgdheid op dit gebied. Zeker bij overheidsorganisaties. We zien afgelopen jaren een groeiende samenwerking van lokale aanbieders die voor interessante innovatie zorgen op het gebied van soevereine clouds. Ook investeerders hebben geld beschikbaar voor de ontwikkeling van deze lokale cloudproviders.
Wat is een soevereine cloud?
Een soevereine cloud is een cloud waarbij de data 100% eigenhandig wordt gecontroleerd, beheerd en bewaakt op eigen bodem en volledig voldoet aan de Nationale wet- en regelgeving over privacy en dataopslag. Virtuele infrastructuren zorgen ervoor dat niet alleen data, maar ook applicaties makkelijk naar andere IT-infrastructuren kunnen migreren. We zien een groeiend ecosysteem van providers met dezelfde ‘soevereine cloud’ standaarden. Waarmee ze via een framewerk van principes, best practices en technische vereisten kunnen garanderen dat ze voldoen aan alle voorgeschreven eisen voor datasoevereiniteit. Een combinatie van clouddiensten, het gelijktijdig waarborgen van digitale soevereiniteit en geen strikte verdor-lockin creëren.
Naast op centrale efficiënte en Big Data en AI gerichte, server-intensieve cloudomgevingen, zien we aan de edge van de infrastructuur weer andere cloud-toepassingen ontstaan. Minder op ‘groot en efficiënt’ maar meer gericht op ‘snel en effectief’. Niet alleen voor het Internet of Things, maar vooral het Internet of People die aan de randen en via lokale nodes veilige toegang en connectiviteit zoeken met lokale verwerkingsmogelijkheden en bijbehorende data opslag. Met de opkomende ‘mechanisering’ van het internet ontstaan ook allerlei, vaak lokale ondersteunende ‘bots’ in het netwerk. Van simpele chat-engines tot automatische agents die een steeds groter onderdeel van het internetverkeer vormen. Dat hier ook vele fake-bots of zelfs agressieve bots tussen zitten, is helaas deel van de hedendaagse werkelijkheid.
Zerotrust
Zoveel cloud-knooppunten, decentrale nodes en ‘onbemande’ chat-engines maken het lastig goed en kwaad te scheiden. Wat zijn herkenbaar veilige, digitale havens waar je als gebruiker of organisatie met een gerust hart kunt binnenvaren en aanmeren. Zeker weten dat het geen piratennest is, waar je je digitale ‘hebben en houden’ niet zeker bent. Je opgelicht, beroofd of zelfs gekidnapt kan worden. Trustcenters die alleen toegankelijk zijn op basis van juiste gebruik van bedrijfspraktijk en regelgeving. Met richtlijnen op het gebied van minimale beveiliging, privacy, openheid en compliance. Met protocollen die beveiligingsspecialisten waarschuwen voor potentiële kwetsbaarheden. Trustcentra faciliteren op die wijze veilige communicatie en transacties, omdat ze realtime en continu de identiteit van alle partijen authenticeren en verifiëren.
Deze realtime beveiliging kan in apps worden gebouwd. De combinatie van deze ingebouwde protocollen in zowel de app zelf, maar ook in device of toestel, communicatievorm en lokatie van gebruik verifieert continu de identiteit van de gebruiker. Zerotrust, waarbij continu ‘niets en niemand’ wordt vertrouwd. Realtime privacy- en veiligheidsinstellingen elke seconde geborgd. Geldige, actieve en actuele certificaten om überhaupt communicatie of gebruik van data mogelijk te maken. Je bent als gebruiker als het ware een volledig gecontroleerde, bewezen levende avatar: als digital twin aanwezig in een bewaakte en gecontroleerde, virtuele ruimte. Zodra ook maar iets naar onveiligheid ruikt, ‘verdampt’ de opgebouwde virtuele ruimte met alle functionaliteit en zal deze opnieuw moeten worden opgebouwd. Het moderne veiligheidsconcept van de metaverse en het gebruik van Self Sovereign Identities.
Soevereine cloud- en trustcenters
ARPA’s Web1 was ooit de eerste opzet van het internet, waarbij we communiceerden met de eindpunten van een netwerk. Wie aan dat eindpunt aanwezig was, was gebaseerd op kennis en vertrouwen. Het aantal fysieke eindpunten groeide en centrale serviceproviders gingen als telefoonmaatschappijen deze knooppunten koppelden aan personen en organisaties. Een ontwikkeling die versnelde toen het mobiele internet zijn intrede kreeg. Vele ‘men-in-the-middel’ die de communicatie regelden, maar ook steeds meer meekeken in die communicatie.
De ontwikkeling van Web3 ontwijkt die logische middle-men en is gebaseerd op zelfstandige zerotrust gebaseerde soevereine cloud- en trustcenters om niet alleen 1:1 communicatie mogelijk te maken, maar deze ook intrinsiek veilig te houden. Door nationale overheden gegarandeerde veiligheid met controleerbare identiteiten, net zoals we ons ooit konden ‘ontdoen’ van struikrovers via publiek bewaakte tolwegen, zoals ik ooit beschreef in de blog ‘You ain’t seen nothing yet . . .’ Het veilig houden van publieke omgevingen en infrastructuur, hetgeen het internet ook is, moeten we uiteindelijk als een publieke verantwoordelijkheid zien.
Door: Hans Timmerman (foto)