Microsoft trekt de stekker uit het ICC, maar niemand weet wie op de knop drukte of waarom

Weet je nog, de column die ik recent schreef over de soevereine cloud als de ‘vegan kipfilet’ van de digitale wereld? Deze column is een vervolg daarop. Begin mei had Nederland namelijk bezoek van Brad Smith. Vice voorzitter en president van Microsoft. In zijn promo-tour door Europa vertelde hij over de 5 commitments van Microsoft die zouden moeten zorgen dat als de VS de stekker uit de cloud trekt voor Europese organisaties, wij geen zorgen moesten hebben.[1] Microsoft beloofde onder andere de Amerikaanse staat aan te klagen in een dergelijke situatie en de broncode in een kluis in Zwitserland te bewaren, waar het uit gehaald zou kunnen worden indien nodig (?). Brad vertelde ons dat we rustig konden slapen. Want een dergelijk scenario was volgens hem “highly unlikely”.[2]

Brad Smith zei dat we rustig konden slapen. En deed toen het licht uit bij het ICC.

Laten we zeggen, “that did not age well”, want nog geen week later kon het Internationaal Strafhof in Den Haag (ICC) diens primaire taken niet meer vervullen. Door Amerikaanse blokkade op onder andere e-mail kan het niet langer doen waar het voor is opgericht: het berechten van mensen die worden beschuldigd van de meest ernstige internationale misdaden, zoals genocide en oorlogsmisdrijven.[3]

Daarna barstte een discussie los over de reden dat Microsoft het betreffende mail account had “losgekoppeld”, zoals ze dat zelf zeiden.[4] Hun eigen woordvoering hielp daar niet bepaald in mee om helderheid te verkrijgen over van wie de opdracht was gekomen het mail account “los te koppelen”. Inmiddels lijkt Microsoft een ware koning te zijn in ambigu taalgebruik. “Microsoft heeft op geen enkel moment zijn diensten aan de ICC-organisatie stopgezet of opgeschort.” Aldus de woordvoerder. Maar dat stond nooit ter discussie. Het ging specifiek om een mailbox van de hoofdaanklager. Daar loopt een intern onderzoek naar wegens wangedrag, maar daar zijn ook, los daarvan, specifiek door de VS sancties tegen uitgevaardigd.[5] Dus wie drukte hier op de rode knop? Die vraag blijft vooralsnog onbeantwoord.

Nu kun je beargumenteren dat het ICC technisch gezien geen “Europese organisatie” is. Het is “slechts” gehuisvest in Den Haag. Maar zou dat dan het belangrijkste criterium moeten zijn? Of vinden we het belangrijk dat oorlogsmisdadigers worden aangepakt?

Waarom de Amerikaanse cloud nooit vegan wordt

Afgezien hiervan; zoals ik eerder betoogde moeten we simpelweg niet veel verwachten van alle “soevereine” Amerikaanse cloud oplossingen. Vooralsnog blijkt het erg ingewikkeld om kipfilet (vlees) vegan (niet-vlees) te maken. Je verwacht het gewoon niet!

Ondertussen wordt het steeds ingewikkelder voor Amerikaanse cloud diensten om vol te houden dat het “highly unlikely” is dat we ooit worden afgesloten van hun diensten, maar dat áls dat toch zou gebeuren, we vrolijk verder kunnen gaan.

Juridische valkuilen en afhankelijkheden

Ook andere oplossingen lijken in theorie sterk, maar hebben praktische uitdagingen. Oplossingen waarbij zowel de broncode als de data in Europa bij een extern bedrijf worden ondergebracht leveren een aantal voordelen op. Maar in dezelfde mate weer uitdagingen. Bijvoorbeeld:

1. Wat gebeurt er als niet heel Europa afgesloten wordt, maar bijvoorbeeld alleen de Nederlandse overheid?
2. Wat gebeurt er als we volledig van Amerika afgesloten zijn en dan door kunnen draaien met deze constructie, maar er blijken ernstige kwetsbaarheden in de software gevonden te zijn? Hoe gaan we dat patchen?
3. Kunnen partijen dergelijke juridische constructies niet gemakkelijk verscheuren tussentijds?

Hoe graag je een kipfilet ook vegan zou willen krijgen, geen hoeveelheid mais die je de kip voert verandert het vlees in iets plantaardigs. Het blijft in essentie namelijk gewoon vlees. En vlees, dat is niet vegan.

Op zoek naar écht plantaardige alternatieven

Moeten we dan maar allemaal van de Amerikaanse cloud af? Zoals altijd: it depends. Het is prima verdedigbaar om “nice to have” applicaties/processen in dergelijke oplossingen te hebben draaien. En in bepaalde gevallen kan het ook momenteel praktisch moeilijk/complex zijn om dingen uit de Amerikaanse cloud te halen. Maar wees je in elk geval als organisatie bewust van je afhankelijkheden. En onderzoek alternatieven, daar waar het schuurt. Helemaal als je een overheidsorganisatie bent of een organisatie van groot publiek belang. De tijd van vertrouwen in de VS lijkt steeds verder van ons vandaan te raken.

Ik ben niet onderlegd genoeg om de oplossing te geven. Maar ik ben blij dat er voldoende andere experts zijn die dat wel zijn. En die komen met hele goede suggesties en zelfs strategie.[6] Dus lees vooral hun blogs en stel die vraag aan hen.

Maar voor wat betreft de kipfilet van big US tech? Deze is nog altijd niet vegan wat mij betreft. En rustig slapen? Dat doen CISO’s sowieso nooit!

---

[1] Microsoft announces new European digital commitments – Microsoft On the Issues

[2] Microsoft pledges to take legal action if governments try to seize EU data | Euronews

[3] Internationaal Strafhof hard geraakt door sancties VS: 'Ik schrik hiervan'

[4] https://ibestuur.nl/artikel/microsoft-bevestigt-loskoppeling-icc-hoofdaanklager-van-diensten/

[5] https://ofac.treasury.gov/recent-actions/20250213

[6] https://berthub.eu/articles/tags/cloud/