Hoogleraren waarschuwen dat data Nederlandse universiteiten niet veilig is

Nieuws | de redactie
14 juni 2021 | Nederlandse hoogleraren van de Academic Cyber Security Society (ACCSS) roepen universiteiten op om hun cyberveiligheid niet uit te besteden aan Amerikaanse techbedrijven. De privacy van studenten en medewerkers is daar onvoldoende gewaarborgd. De hoogleraren besteden de cyberveiligheid liever uit aan SURF.
Een gebouw op de Microsoft Redmond Campus in Washington. Beeld: Coolcaesar.

In een open brief roepen twintig hoogleraren, verenigd in de Academic Cyber Security Society (ACCSS), universiteiten op om voorzichtig te zijn met het uitbesteden van Cloud-operaties aan Amerikaanse Big Tech bedrijven. Niet alleen de systemen van universiteiten en hogescholen worden geregeld aangevallen, er worden ook steeds meer aanvallen op Microsoft Exchange mailservers waargenomen. “Het blijkt dat hierdoor veel e-mailsystemen gehackt kunnen worden, en systeembeheerders hebben dan ook hun handen vol met het verhelpen van fouten in de Microsoft software”, schrijven de hoogleraren. 

Gezien de veiligheid van Cloud-systemen van Microsoft begrijpen de hoogleraren de stemmen die oproepen om e-mail en andere diensten uit te besteden aan Amerikaanse Big Tech bedrijven. Tegelijkertijd wijzen ze op het feit dat universiteitsbestuurders in 2019 nog opriepen om minder afhankelijk te zijn van deze Amerikaanse techbedrijven. “Blijkbaar verliest het lange termijn strategisch denken het van de korte termijn operationele problemen”, concluderen de hoogleraren. Zij hebben grote vragen bij de huidige koers van universiteitsbesturen. 

Techbedrijven als datadouane

Zo stellen ze dat de veiligheid en privacybescherming van studenten bij commerciële Cloud providers zoals Amerikaanse Big Tech bedrijven niet altijd gegarandeerd is. Die bedrijven kunnen de privacygevoelige data namelijk ook voor andere doeleinden dan het leren van de student gebruiken. Daarnaast verdwijnt de data van medewerkers en studenten nu niet alleen achter “de ‘ommuurde tuinen’ van deze Cloud providers”, ook de autorisatie tot diensten is aan die providers uitbesteed. “We verheffen daarmee de Facebooks, Googles, Amazons en Microsofts van deze wereld niet alleen tot beheerder van onze data, maar ook tot grenspolitie van die data”, schrijven de hoogleraren. 

Meld u hier aan de ScienceGuide Nieuwsbrief

 

Ze wijzen op de mogelijkheid dat het National Security Agency (NSA), de geheime dienst van de Verenigde Staten, een juridische grondslag vindt en vervolgens eenvoudigweg toegang krijgt tot de data van studenten en medewerkers van Nederlandse universiteiten. “Zouden we de grenscontrole op Schiphol en de uitgifte van paspoorten aan een buitenlandse natie uitbesteden?”, vragen de hoogleraren ter vergelijking. 

Techbedrijven ten dienste van Amerikaanse politiek 

Ook Amerikaanse geopolitieke gedragingen roepen bij grote bedenkingen op bij het uitbesteden van Cloud-diensten aan Amerikaanse techbedrijven. Aangezien de Amerikaanse regering bedrijven kan dwingen om mee te werken aan Amerikaanse politieke wensen, is het de vraag hoe er zal worden omgesprongen met de data van bijvoorbeeld Chinese of Iraanse studenten, aldus de hoogleraren. Via de invloed op techbedrijven zou de Amerikaanse regering Nederlandse universiteiten misschien zelfs kunnen dwingen om studenten uit bepaalde landen te weren.  

Daarnaast is het zogeheten Privacy Shield-verdrag tussen de Europese Unie en de Verenigde Staten, dat de privacy van Europese burgers moet waarborgen, door rechters van het Europese Hof onderuit gehaald. Het Privacy Shield-verdrag voldoet namelijk niet aan de Europese Privacywetgeving. Ook Nederlandse rechters zouden hoger onderwijsinstellingen nu kunnen verbieden hun gegevens in de Amerikaanse Cloud op te slaan. “Met het oog op deze juridische onzekerheid lijkt het dus onverstandig om nu te migreren naar een Amerikaanse Cloud”, aldus de hoogleraren.  

Besteed cyberveiligheid uit aan SURF 

Dat cyberveiligheid een steeds groter probleem is en het veilig houden van de infrastructuur daarmee lastiger wordt, begrijpen de hoogleraren. “Maar waarom wordt de e-mail infrastructuur en andere diensten (waaronder autorisatie) niet vaker samen met hogescholen, UMCs, MBOs en andere instellingen opgedragen aan SURF, de organisatie van en voor ons?”, vragen zij zich af. Hoewel dat uitbesteden aan SURF in het begin moeilijker kan zijn, kunnen daarmee in de toekomst veel van de geschetste mogelijke problemen worden voorkomen.  

De hoogleraren roepen universiteitsbesturen en universiteitsraden daarom op een strategische visie te ontwikkelen voordat bovengenoemde dreigingen veranderen in voldongen feiten. “Vergeet niet dat voor de Big Tech bedrijven geldt: ‘you can check-in anytime you like, but you can never leave'”, besluiten zij hun brief.  


«
Schrijf je in voor onze nieuwsbrief
ScienceGuide is bij wet verplicht je toestemming te vragen voor het gebruik van cookies.
Lees hier over ons cookiebeleid en klik op OK om akkoord te gaan
OK