Wens politie: geen auto ongezien door Rotterdam

<webwereld column>

Door alle nieuwe ontdekkingen van Brenno de Winter heb ik even overwogen om weer een column te wijden aan de OV-chipkaart. Maar bij nader onderzoek kwam ik er achter dat ik (en Brenno… en vele anderen…) eigenlijk alles erover in 2008 al gezegd hebben. En verder zijn grapje over de Iraakse minister van informatie zoooo 2003. Iets anders dus.

Ruim negen jaar geleden raakte in gesprek met Kees Vendrik (2e kamer, Groen links) over de verziekte Nederlandse software markt. Niet alleen was het onmogelijk een A-merk laptop te kopen zonder Microsoft Windows licentie, het was ook onmogelijk om veel websites (gemeenten, ns.nl en vele anderen) te bezoeken met iets anders dan Internet Explorer. Op dat laatste gebied is er veel verbetering te zien en dus kan ik tegenwoordig met mijn OS en browser naar keuze prima online leven. Alleen moet ik af en toe nog even die Windows licentie slikken bij aanschaf van een nieuwe laptop. Op dat gebied is er helaas nauwelijks verbetering. Ook zaken als de maatschappelijke afhankelijkheid van producten als MS-Office is niet echt minder geworden ondanks alle mooie wensen van ons parlement en plannen die de overheid daarop schreef.

Ondertussen daveren technologische ontwikkelingen door en datgene waar Bill Gates in ’95 zo bang voor was (het web maakt het OS irrelevant) is hard op weg werkelijkheid te worden. Bijna alle nieuwe ontwikkelingen die onderwerp van gesprek zijn onder IT’ers en power-users zijn web-based of gebaseerd op open specificaties en de meest gebruikte toepassingen van Pc’s draaien vrij goed als dienst in een browser.

Het 15-20 jaar oude probleem van afhankelijkheid is nog niet echt opgelost (onze overheid met tienduizenden IT’ers in dienst is niet in staat een desktop in te voeren op basis van iets anders dan de bekende Microsoft technologie stack) maar neemt dus wel af in impact. Ondertussen dienen zich al weer nieuwe afhankelijkheden aan van cloud-leveranciers die wellicht nog veel ernstiger kunnen zijn.

Door overmatig gebruik van proprietary software ontstaan risico’s van buitenlandse manipulatie of  aanvallen op kritische infrastructuur (zie bijvoorbeeld Stuxnet). Maar als je systemen op die manier worden aangevallen zijn er in ieder geval nog wat manieren om daar achter te komen. Als je werkt op de computer die niet van jou is, niet op een plek staat die je kan kennen en beheerd wordt op een manier waar je niets over kan weten wordt het wel heel lastig om nog enige controle te houden over wat er met je gegevens wordt gedaan.

Waar eerder nog de aanname was dat een deel van het probleem van controle over data te beheersen was door gebruikt te maken van lokale servers blijkt ook dat helaas een illusie. Alle ‘cloud’ diensten die worden aangeboden door bedrijven die in de VS gevestigd zijn vallen onder Amerikaans recht, zelfs als de servers fysiek in een ander land staan. En Amerikaans recht is tegenwoordig nogal, laten we zeggen, problematisch. Bij een verdenking van enige betrokkenheid bij ’terrorisme’,   specifiek bewijs niet noodzakelijk, kunnen systemen worden afgesloten of overgenomen. Zonder waarschuwing, mogelijkheid van wederhoor of enige juridische toetsing. De term ’terrorisme’ is daarbij zo ver opgerekt dat iemand die geen enkele Amerikaanse wet breekt, geen Amerikaans staatsburger is en zich niet in op het grondgebied van de VS bevindt toch ’terrorist’ kan zijn.  Gewoon omdat een van de vele drie-letterige diensten (FBI, CIA, NSA, DIA, DHS, TSA, enz…) dat vindt. De EU is niet blij maar gaat kennelijk niet zover dat zij haar burgers en mede-overheden wil adviseren geen gebruik meer te maken van dergelijke diensten.

De lange arm van de US Patriot Act reikt echter nog verder dan servers van Amerikaanse bedrijven op Europees grondgebied. Zo worden er wel eens domeinen ‘in beslag’ genomen en voorzien van een sticker: ‘deze site was betrokken bij handel in kinderporno‘. Ga dat maar eens uitleggen aan je relaties als ondernemer of non-profit. Alleen al het gebruiken van een .com, .org of .net extensie voor je domein is genoeg om onder Amerikaans recht te vallen en uitgeleverd worden. Je kan dus als Europeaan uitgeleverd worden voor het breken van Amerikaanse wetgeving terwijl je gewoon thuis was. Een .com domein maakt van je server effectief Amerikaans grondgebied.

We wisten we al dat proprietary platformen zoals Windows en Google-docs achtige oplossingen ongeschikt waren voor echt belangrijke zaken zoals het runnen van overheden of kritische infrastructuur. Nu blijkt dus echter dat iedere dienst geleverd via een .com/.org/.net domein je de-facto onder buitenlands toezicht laat vallen.

Oplossing? Draai zo veel mogelijk opensource software op servers lekker dicht bij huis, er zijn in Nederland en Europa gelukkig flink wat competente hosting bedrijven en bedrijfjes. Hou het lekker bij .nl of, als je echt bulletproof wil zijn, neem een .ch domein. Deze worden beheerd door een Zwitserse stichting en deze mensen nemen hun onafhankelijkheid zeer serieus. Niet voor niets draait wikileaks tegenwoordig onder wikileaks.ch nadat .org en andere domeinen een enkeltje Guantanamo Bay kregen.

En als je dan toch gebruik wil maken van Google-docs, Facebook, Evernote, Mindmeister, Ning, Hotmail of Office 365 doe dit dan met het bewustzijn dat je geen enkele verwachting meer kan hebben van privacy of enige andere vorm van burgerrechten. Prima voor de administratie van de tennisvereniging maar [x] ongeschikt voor alle zaken die er echt toe doen.