De Nederlandse overheid maakt gebruik van Amerikaanse cloud-diensten om gegevens op te slaan, zoals bijvoorbeeld AWS van Amazon. Ook bleek dat 75% van de overheidsinstellingen hun e-mail heeft ondergebracht bij Microsoft of Google.
Privacy is hierbij altijd een aandachtspunt geweest. Minister van Economische Zaken Dirk Beljaarts suggereerde recentelijk dat encryptie ervoor kan zorgen dat de Amerikaanse overheid geen toegang kan krijgen tot deze Nederlandse data.
Dit roept echter direct enkele vragen op bij beveiligingsexperts. Hoe haalbaar is dat idee? Welke praktische uitdagingen komen hierbij kijken? Enkele belangrijke overwegingen zijn:
1. Welk algoritme zal hiervoor worden gebruikt? Zo heeft de Amerikaanse NSA eerder bedrijven zoals Juniper gevraagd om encryptie te verzwakken, zodat de NSA kon meekijken. Zogenaamde side-channel-aanvallen en verzwakte encryptie zijn dus risico's om rekening mee te houden. Een niet-Amerikaans algoritme zou wellicht de voorkeur verdienen.
2. De encryptie zal end-to-end moeten zijn om te voorkomen dat de data onderweg alsnog lekt. Dit roept ook de vraag op of het wel veilig is om Amerikaanse software, zoals Windows, te gebruiken. Deze kan immers in theorie de data na decryptie alsnog lekken, net zoals eventuele hardware van Amerikaanse makelij.
Zelfs bij apparatuur van andere makelij zijn er risico's. De Amerikaanse NSA heeft bijvoorbeeld ooit meegeluisterd met de Nederlandse politie via een zwakte in de SE 660 Crypto-mobilofoons, gemaakt door ASCOM uit Zwitserland.
3. Overheden werken al geruime tijd aan quantumcomputers. Deze zullen extreem krachtig zijn, en er wordt verwacht dat huidige encryptiemethoden op termijn wellicht niet meer veilig zullen zijn. Dit fenomeen staat bekend als het 'Harvest now, decrypt later'-principe. Hoe kan Nederland ervoor zorgen dat de huidige versleutelde data in de toekomst veilig blijft?
4. Ook op politiek vlak lijken er uitdagingen te zijn. De Nederlandse overheid heeft eerder aangegeven geen groot voorstander te zijn van encryptie, omdat dit opsporingswerk zou kunnen belemmeren. Een verbod op encryptie is zelfs al eens besproken. Hoe valt dit te rijmen met het idee om als overheid encryptie te gebruiken om te voldoen aan de eigen privacywetgeving?
Het is een complexe uitdaging waarbij de enige oplossing lijkt te zijn om data simpelweg in Europa op te slaan. Dit zou een Europese cloud vereisen die kan concurreren met de Amerikaanse aanbieders. Deze is er echter (nog) niet. Hoewel Franse aanbieders zoals OVHcloud en het Duitse T-Systems mogelijk in aanmerking komen, blijft het nadeel dat deze gebruik maken van Amerikaanse hardware en software, waardoor de data in theorie opnieuw niet 100% veilig kan worden beschouwd.