Risico's van het verplaatsen van kernfuncties voor webbeheer naar de Amazon-cloud: het geval van Nederland

In Nederland beheert de Stichting Internet Domeinregistratie Nederland (SIDN) een digitaal register van ruim 6 miljoen '.NL'-websites, waaronder overheidssites als rijksoverheid.nl en politie.nl. Als consumenten deze .NL-websites willen bezoeken voor belastingaangifte, het aanvragen van huur- of kinderopvangtoeslag of het plannen van vaccinaties, zorgt SIDN ervoor dat dit mogelijk is. Als technisch register speelt SIDN een belangrijke rol bij het gebruik van het .NL-domein van internet. Tegenwoordig wil SIDN haar kerncompetenties uitbreiden, wat meer inkomsten lijkt te genereren ten koste van de collectieve veiligheid, stabiliteit en duurzaamheid van het Nederlandse internet.

Onlangs besloot SIDN verrassend genoeg een deel van haar relatief alledaagse registratiewerk uit te besteden aan de Amerikaanse cloudgigant Amazon Web Services (AWS). Deze aankondiging wat tot consternatie en kritiek leidt. Academici uit de cloudgemeenschap van de EU, vertegenwoordigers van het bedrijfsleven, technologen in het internetgovernance-ecosysteem, leden van het maatschappelijk middenveld en politici spraken allemaal over de risico's van het verplaatsen van een deel van de activiteiten van SIDN van de servers naar de AWS-cloud. SIDN is een bedrijf dat nog nooit van een plotselinge oprichting heeft gehoord, ook al maken de meeste Nederlandse internetgebruikers dagelijks gebruik van haar diensten. Voorpaginanieuws. De zaak is interessant voor een breder publiek op het gebied van technologiebeleid omdat het inspeelt op een belangrijke trend: een trend waarin cruciale diensten van overheden worden overgedragen aan grote Amerikaanse cloudgiganten, zonder dat er veel aandacht wordt besteed aan de schadelijke gevolgen op de lange termijn.

Waarom de overstap naar AWS door de Nederlandse registratie en waarom nu? De Chief Technology Officer van SIDN zegt dat geen enkel Europees cloudbedrijf de benodigde diensten kan leveren op basis van een extern uitbesteed adviesbureau. Het adviesrapport waarop hij deze beweringen baseerde, is niet openbaar. Als de beweringen van SIDN waar zijn, duidt dit erop dat Europese cloudbedrijven niet in staat zijn een relatief eenvoudig computersysteem te leveren. Dit is een belachelijke veronderstelling gezien het onafhankelijke beheer van internetdomeinen door SIDN-collega's in andere Europese landen zoals Frankrijk (.FR) en Duitsland (.DE). Deze landen en markten zijn aanzienlijk groter dan Nederland, een klein land met 18 miljoen inwoners en 6 miljoen geregistreerde domeinnamen.

De keuze om deze kritische webbeheerdiensten naar AWS te verhuizen lijkt technisch commercieel gemotiveerd. SIDN is, net als veel registries, op zoek naar manieren om haar technische expertise om te zetten in nieuwe inkomstenstromen en om de lucratieve Software-as-a-Service (SaaS)-markt te betreden. In een paar korte zinnen in het persbericht van SIDN dat de eerste buzz veroorzaakte, zegt het bedrijf dat het domeinnaamregistratiesoftware wil aanbieden en als een dienst wil verkopen, net zoals consumenten voor Spotify betalen. of Netflix-accounts. Dit wordt een nieuwe bedrijfsrichting voor SIDN, die naast de huidige inkomsten ook terugkerende inkomsten zal genereren. Interessant genoeg is SIDN niet gebaseerd op eigen software, maar doet dit het liefst in samenwerking met CIRA, de Canadese registerhouder die het .CA-domein beheert.

SaaS-idealen vereisen een cloudplatform dat werkelijk mondiaal is, zoals de markt die SIDN aanboort. Als deze businessplannen de beslissing van SIDN om naar een Amerikaanse provider over te stappen in belangrijke mate hebben beïnvloed, heeft de CTO van SIDN gelijk en is AWS inderdaad een geschiktere partner dan haar Europese concurrenten.

Het is ook terecht dat SIDN een bredere trend volgt. Europese bedrijven besteden het beheer van digitale systemen steeds meer uit aan Amerikaanse bedrijven. SIDN versnelt deze verontrustende trend verder door te verkondigen dat het niet langer mogelijk is om cloudproviders in Europa te vinden. De bekende gevaren voor de politieke vrijheid die burgers verwachten van een organisatie die naar Nederlands recht wordt aangemerkt als 'aanbieder van essentiële diensten' lijken te zijn genegeerd. Dit zelfs als het in het Nederlandse internetdomeinregister staat beschrijft Omdat de website zichzelf omschrijft als 'experts in wat we doen en volledig onafhankelijk', kiest het ervoor om kerndiensten uit te besteden aan Amazon, dus wie is er nog onafhankelijk? Het geeft iedereen een licentie om al zijn technologie uit te besteden.

Laten we duidelijk zijn dat we deze overstap naar AWS geen goed idee vinden. Welke activiteiten heeft SIDN als grote nationale infrastructuurspeler in de commerciële software-industrie of met AWS? Hoe verstandig de keuzes van het bredere Europese bedrijfsleven ook zijn, we moeten hoge eisen stellen aan 'het bedrijf achter .NL', zoals SIDN zichzelf noemt. Het belang van .NL kan niet genoeg worden benadrukt. Een verstoring van de AWS-diensten voor .NL zal niet alleen het internet in Nederland ontwrichten, maar ook de communicatie vanuit het buitenland afsnijden. In een dergelijk scenario is SIDN wellicht niet de eerste bij de AWS-helpdesk, gezien de kleine omvang vergeleken met de mondiale klantenkring van dit cloudbedrijf. Omdat alles wordt uitbesteed, zal SIDN moeite hebben om de diensten indien nodig opnieuw op te bouwen of te hosten. Goed zijn met technologie betekent daadwerkelijk technologie doen. We moeten de zakelijke doelstellingen van SIDN openlijk ter discussie stellen, vooral als dit ten koste gaat van het behoud van de controle over de kerncapaciteiten en kritische diensten.

Kan de Nederlandse overheid niet ingrijpen? Moeilijk te geloven, maar .NL (wat uiteindelijk staat voor 'Nederland') valt niet direct onder de bevoegdheid van de overheid. SIDN is een besloten vennootschap die inmiddels bestaat uit vier verschillende besloten vennootschappen (BV's). Er is echter een mogelijkheid van druk. Er is een ‘overeenkomst’ waarin de overheid afspreekt dat SIDN onder twee voorwaarden de .NL-diensten mag exploiteren. Ten eerste moeten beslissingen worden genomen in overleg met de internetgemeenschap. Ten tweede moet er sprake zijn van een ‘verbinding’ met Nederland. Het is op dit moment niet bekend hoeveel overleg hierover met de overheid heeft plaatsgevonden. Het is onduidelijk hoe SIDN aan de voorwaarde van ‘verbinding met Nederland’ wil voldoen na het besluit om belangrijke functies uit te besteden aan AWS. Het gebrek aan antwoorden op deze vragen onderstreept het belang om ervoor te zorgen dat de Europese cloudindustrie zich in ieder geval bezighoudt met 'essentiële' toepassingen zoals .NL. Door het landendomein zonder diepgaand overleg uit te besteden aan bedrijven buiten Nederland heeft SIDN haar vertrouwen in niet-bindende conventie geschonden.

Het Nederlandse parlement besteedt nu samen met veel politici aandacht aan deze situatie Stelt formele vragen Over dit besluit. We hopen dat ze hun toezicht op SIDN zullen heroverwegen en zullen erkennen dat dit soort kritieke infrastructuur niet afhankelijk mag zijn van de cloud in het algemeen en de Amerikaanse technologie-industrie in het bijzonder.