Gazet van Antwerpen Stad en Rand
Hoe Europa uw privacy te grabbel gooit
Monopolie van Microsoft leidt tot veiligheidsproblemen
De software van Microsoft zit diep verweven in overheidsapparaten over heel Europa. En dat is niet zonder gevaar. “Na de onthullingen van Snowden had ik verwacht dat Europa sterker zou reageren”, zegt cryptograaf Bart Preneel.
Over heel Europa werken overheden met software van Microsoft of andere Amerikaanse technologiereuzen. Voor de Amerikanen het gedroomde kanaal om binnen te dringen tot in de politieke achterkamers. China beseft dat gevaar en weekt zich los van de Amerikaanse producten. Onder leiding van de nationale academie voor ingenieurswetenschappen promoot het een eigen, op Linux gebaseerd besturingssysteem, ‘NeoKylin’. De ‘de-Windowsering’, zoals projectleider professor Ni Guangnang het noemt, moet vooral in veiligheidsgevoelige sectoren gebeuren. Bij het leger en de overheidsinstellingen, en in de financiële sector wordt het gebruik van open programma’s daarom verplicht. De omschakeling moet tegen 2020 rond zijn.
Lockin
Hoe zit het intussen in Europa? “Veel lidstaten zijn zo afhankelijk van Microsoft dat ze niet meer kunnen kiezen welke software ze gebruiken. Daardoor lopen ze het risico de controle over hun eigen IT-infrastructuur te verliezen”, zegt de Duitse jurist en informaticus Martin Schallbruch. Tot in 2016 stond hij aan het hoofd van de IT-afdeling van het Duitse ministerie van Binnenlandse Zaken, vandaag is hij onderzoeker aan de Berlijnse Hogeschool voor Economie, ESMT. “Als overheden zouden overschakelen op een onafhankelijke IT-architectuur, dan zouden daar enorme investeringen nodig zijn”, zegt hij.
Onder meer die hoge kosten maken het praktisch bijna onmogelijk om afscheid te nemen van bijvoorbeeld Microsoft. Experts noemen zo’n doorgedreven afhankelijkheid een ‘lock-in’. “Een lock-in is een reëel risico waarvoor we absoluut alert moeten zijn”, zegt Jan-Frans Willems van Smals, een overheidsdienst die openbare instellingen in de sociale en gezondheidssector bijstaat rond informatica.
Wat zijn de gevolgen van zo’n lock-in? En wat kunnen regeringen daaraan doen? Een team van journalisten binnen het netwerk Investigate Europe heeft dat gedurende drie maanden bestudeerd. Microsoft zelf verkoos om niet te reageren.
Wie is verantwoordelijk?
Verschillende Belgische overheidsdiensten hebben al overwogen om af te stappen van het besturingssysteem en de kantoorsoftware van Microsoft, Windows en Office. Zo’n tien jaar geleden is er zelfs een poging ondernomen om Open Office in te voeren in de volledige federale administratie. Dat is mislukt omdat Microsoft Office en Open Office niet met elkaar konden werken. Meer zelfs, de federale politie heeft recent beslist om nog meer over te schakelen naar software van Microsoft, waardoor alternatieven er op termijn zouden verdwijnen.
Die afhankelijkheid brengt veiligheidsproblemen mee. Want de software die Microsoft ontwikkelt, is complex. En hoe complexer de software, hoe groter het risico op gaten waarlangs hackers kunnen binnendringen. Bovendien blijven de bouw- stenen van Windows of Office (de programmacode) strikt geheim. Behalve Microsoft zelf kan niemand onafhankelijk testen hoe veilig populaire programma’s als Word of Excel zijn.
Het is geen toeval dat zware cyberaanvallen op publieke instellingen zoals de Europese Commissie of het Europees Parlement vaak gebeuren via kwetsbaarheden in programma’s van Microsoft. Maar overschakelen naar andere programma’s ligt niet voor de hand. Doordat de alternatieven al decennia een eerder marginaal fenomeen zijn, is de gebruiksvriendelijkheid soms beperkt.
“Ik zou ook niet zeggen dat open-sourcesoftware per definitie veiliger is”, zegt Miguel De Bruycker, directeur van het Centre for Cyber Security Belgium, dat onder premier Michel valt. “Kwetsbaarheden in commerciële producten worden opgelost omdat de leverancier zich daarop focust. Bij open source is soms de vraag wie de verantwoordelijkheid op zich neemt.”
Het recept voor een monopolie van Microsoft, aangevuld met andere Amerikaanse giganten als Apple, Amazon of IBM, blijft daardoor overeind.
Onthullingen Snowden
Behalve tot zuiver technische leidt dat ook tot politieke veiligheidsproblemen. Microsoft valt, zoals alle Amerikaanse bedrijven, onder Amerikaans recht. Daardoor kan het op elk moment worden verplicht om de Amerikaanse overheid te helpen bij de toegang tot data van buitenlandse overheden of burgers. “Sinds de onthullingen van Edward Snowden weten we zeker dat er via toepassingen van Google, Apple, Facebook of Microsoft wordt gespioneerd”, zegt de Leuvense cryptograaf Bart Preneel, die in
zijn vak tot de absolute wereldtop behoort.
Dat is ook Miguel De Bruycker niet ontgaan. “Ik vind het spijtig dat we zo afhankelijk zijn van Amerikaanse technologie”, zegt hij. “Ik zou het zelf liever anders zien, want die afhankelijkheid maakt beveiligen een stuk moeilijker. Maar is het dan zoveel beter om gebruik te maken van Apple-producten? Of van Chinese hardware? Je riskeert altijd dat er achterpoortjes zijn.”
Airbusproject
“Het gebruik van die producten door publieke instellingen is in feite niet verenigbaar met de rechtsstaat”, vindt jurist en Europees Parlementslid Jan Philipp Albrecht (De Groenen), die ook als vader van de Europese privacyregels geldt. “Op overheidscomputers staan oneindig veel persoonlijke data: belastingaangiften, gezondheidstoestand, politieonderzoeken, gerechtelijke dossiers enzovoort. Zolang overheden met software werken die ze niet onder controle hebben, kunnen ze nooit volledig garanderen dat die data privé blijven. Dat zou moeten veranderen, anders degradeert Europa gewoon tot een digitale kolonie”, zegt Albrecht.
Het Europarlementslid pleit voor een Airbus-project, maar dan op het vlak van informatica. Zoals Europa zich ooit onafhankelijk maakte van de Verenigde Staten voor de bouw van vliegtuigen, zou dat ook voor software kunnen. Preneel ziet het breder dan dat: “Je kunt álle grote spelers, of ze nu Amerikaans zijn of iets anders, in zo’n omslag betrekken door te eisen dat ze evolueren naar meer open source-programma’s. Op termijn moeten we echt naar een open omgeving evolueren. Maar Europa heeft daarover geen politieke visie. Na de onthullingen van Snowden had ik verwacht dat Europa sterker zou reageren, maar dat is niet gebeurd.”
Voorlopig willen de beleidsmakers van zo’n Airbus-project voor de IT-sector niet weten. Andrus Ansip, als Europees commissaris bevoegd voor de Digitale Eengemaakte Markt, wil er zelfs niet over praten. Zijn hoogste ambtenaar, directeur-generaal Roberto Viola, zegt alleen dat dit “niet onze grootste zorg” is.