Vorige week is duidelijk geworden dat de voorgenomen verkoop van Solvinity meer dan een losstaand probleem is. De politiek en een groot deel van de pers is voorzichtig, maar spreekt over meer ongewenste afhankelijkheden van niet Europese cloudproviders. Er zullen partijen zijn die dat helemaal niet leuk vinden, maar zij wisten donderdag nog niet wat er vrijdag zou gebeuren.
Woensdag stonden de schijnwerpers gericht op Solvinity. Diezelfde avond verschenen de eerste blogposts en nieuwsartikelen. Donderdag deed de gewone pers een duit in het zakje. Iedereen kon lezen en horen wat de risico’s zijn als de omgeving waar DigiD op draait een Amerikaanse eigenaar krijgt.
De heldere uitleg van de sprekers woensdag voor de Commissie DiZa hebben bijgedragen aan internationale aandacht. Over de grens heeft men ook meegekeken, meegeluisterd en daar over geschreven. Ongewild is de naamsbekendheid van Solvinity buiten Nederland behoorlijk toegenomen. Bekend zijn is leuk, maar niet om deze redenen en op deze manier.
De zaak Solvinity/Kyndryl zal nog niet direct tot veel vragen van klanten aan hun IT dienstverleners leiden. Dat wordt wellicht anders naar aanleiding van het nieuws waar Forbes vrijdag mee kwam.
BitLocker sleutels
De Amerikaanse publicatie kreeg van Microsoft bevestigd dat het bedrijf de BitLocker sleutels van klanten aan de FBI heeft overhandigd. Dat was niet de eerste of enige keer. We weten nu dat de FBI dit tientallen keren per jaar doet.
Deze melding is verontrustend. Het begint er mee dat Microsoft klanten wijst op de optie een kopie van de sleutel waarmee de harde schijf wordt versleuteld in de Microsoft cloud kan worden opgeslagen. Het bedrijf zegt daarover alleen dat het handig is, niet wat de risico’s daarvan zijn.
Die risico’s zijn dat het een omgeving is waar Amerikaans recht op van toepassing is. De FBI mag aankloppen en doet dat dus ook. Andere diensten mogen dat dus ook. Welke diensten dat zijn laat zich raden. Microsoft mag daar niet over communiceren.
Aankloppen is nog tot daaraan toe, maar Microsoft is dus ook in staat elke gevraagde BitLocker sleutel die is geüpload te identificeren en overhandigen.
Het mag duidelijk zijn dat na het bericht van Forbes heel wat vragen zijn gesteld aan IT beheerders en wederverkopers. Dat is niet leuk, helemaal niet omdat het pas het begin is. Ook al heeft dit technisch gezien niets met backdoors te maken, het is koren op de molen van iedereen die closed source software uit Amerika wantrouwt.
Er is nog iets waarom het goede artikel van Forbes helemaal niet leuk is. Hoe met je als wederverkoper van het OS in kwestie of hardware waar dat op geïnstalleerd is hier met je klanten over praten? Zwijgen en hopen dat zij er niet over beginnen klinkt makkelijk.
Vergis je niet, iedereen die BitLocker gebruikt en onbewust een kopie van de sleutel ergens bij Microsoft heeft achtergelaten heeft wetten, regels en voorschriften overtreden omdat een derde partij (Microsoft) toegang tot die sleutel heeft.
Aanvulling: dit bericht is geschreven voor de NOS over het “Amerikaanse cloud-infuus” schreef. Het is allemaal nog erger dan menigeen dacht.