Wie kun je nog vertrouwen?
Terwijl steeds meer mensen de illusie lijken te hebben dat we andere landen niet nodig hebben, weten we binnen de IT-wereld wel beter. Er zijn een heleboel bedrijven die clouddiensten aanbieden en aanprijzen als Nederlands product en dus veilig. Maar van de hardware en de software die gebruikt wordt om die dienst te bouwen, is hooguit een beperkt deel gemaakt in Nederland, of de EU zo u wil. Er is een blind vertrouwen dat de leveranciers van deze producten van goede trouw zijn. Totdat de verdachtmakingen begonnen. En ja, er is rook: veel landen zetten technologiebedrijven onder druk om achterdeuren in te bouwen, waarbij men zich vooral beroept op terreurdreiging of veiligheid in meer algemene zin. Maar waar het vuur is, welke bedrijven onder die druk bezwijken, is lastig te beoordelen.
Volgens de Amerikanen is bijvoorbeeld Huawei niet te vertrouwen. Waarom niet is niet goed te beoordelen omdat eventueel bewijs in ieder geval niet publiek wordt gemaakt. Wel wordt verwezen naar de militaire achtergrond van de oprichter. In Europa draait bijvoorbeeld een zeer groot deel van de telecommunicatienetwerken op Huawei-apparatuur. Europa volgt het wantrouwen van de VS daarin niet.
Kaspersky Lab leek tot voor kort een vergelijkbaar verhaal. Er waren waarschuwingen vanuit onder meer de VS. Wederom krijgen we geen zicht op enige vorm van bewijs. Maar nu werd het wel overgenomen en heeft de EU een ban uitgesproken op basis van een stemming van het Europarlement dat ook geen inzage in enig bewijs lijkt te hebben gehad. Wel wordt in de beargumentering naar onder meer Nederland verwezen. Minister Grapperhaus besloot dat Kaspersky verdacht genoeg is om te weren binnen de centrale overheid. Blijkbaar niet omdat er een incident is gebeurd, maar omdat de Russische geheime dienst het te eenvoudig zou kunnen doen.
Waarom Kaspersky wel en Huawei niet? Komt het omdat we Rusland momenteel toch al niet echt als een bevriende natie beschouwen en China een te belangrijke handelspartner is? Of is er wel degelijk bewijs en vreest men dat het bewijs te veel inzage biedt in ‘onze’ opsporingswijzen? Zolang niet duidelijk wordt uitgelegd dat iets dergelijks het geval is, is het moeilijk om deze karaktermoord te billijken. Kaspersky Lab is (nog) niet meteen een ZTE-verhaal, het Chinese bedrijf dat failliet is gegaan omdat Amerikaanse telefoonproducenten geen onderdelen van ZTE meer mochten afnemen. De tijd zal leren hoe hard de dreun aankomt.
Over vrienden gesproken, hoe lang blijven we in Europa nog naar de VS als vriend kijken? De laatste jaren zijn we in de EU al steeds kritischer geworden ten aanzien van de macht van de Amerikaanse techreuzen en hun ‘datagraaien’. En ook voor Amerikaanse bedrijven zijn er de nodige verdenkingen (ook weer veel meer dan onweerlegbaar bewijs) dat ze achterdeuren voor de CIA hebben geïnstalleerd. En dan is het ook nog eens zo dat er veel minder privacybescherming in de VS is dan we in Europa ons comfortabel mee voelen. Bovendien heerst de mening dat privacy alleen een recht is voor Amerikanen en niet voor buitenlanders. En dat was al zo voordat Trump president werd. Met Trump gaan we nu weer een stapje verder. In maart heeft hij zijn handtekening onder de CLOUD Act gezet. Dat heeft dan geen betrekking op technologie zelf, maar verplicht Amerikaanse bedrijven wel om data zonder ‘uitleveringsverdrag’ vanuit buitenlandse locaties, zoals de EU, op verzoek over te dragen aan de Amerikaanse autoriteiten. Microsoft schijnt inmiddels al op basis van deze Act e-mails overgedragen te hebben die ze eerst weigerden te delen, aangezien deze in Ierland waren opgeslagen. Wordt vervolgd!
Wat zou de impact zijn als we Amerikaanse technologie-leveranciers niet meer vertrouwen? Het zal niet snel gebeuren, want daarvoor zijn we veel te afhankelijk van Amerikaanse informatietechnologie. Hoewel er ongetwijfeld (nog) meer initiatieven vanuit de overheid komen om minder afhankelijk te worden en in Europa technologie te gaan ontwikkelen, zullen de meeste bedrijven besluiten dat Amerika voor hun een technologische vriend blijft. Uit praktische overwegingen. Net zoals consumenten gewoon bij Facebook blijven. En ook de EU zal vooralsnog niet zomaar een Amerikaanse leverancier op de zwarte lijst zetten. Maar Russische technologie, dat kunnen we wel missen. Ook van een leverancier die nauw samenwerkt(e) met onder meer de Nederlandse politie en Europol en qua transparantie vooroploopt.
Peter Vermeulen is Directeur bij Pb7 Research
Disclaimer: Pb7 voert onderzoek uit voor een groot aantal Amerikaanse en niet-Amerikaanse technologiebedrijven, onder meer voor Kaspersky Lab en Huawei.