FTM vraagt door en dat is pijnlijk voor DNB

Follow the Money heeft aan De Nederlandse Bank (DNB) vragen gesteld over het gebruik van Microsoft diensten. Begrijpelijk dat de onderzoeksjournalisten daar meer over willen weten. Pijnlijk is dat DNB een eerder antwoord moest aanpassen. Wat er gebeurde zal op nog heel veel andere plekken in Nederland plaatsvinden. DNB ging er schijnbaar vanuit dat het gebruik maken van een Microsoft dienst veilig was omdat er encryptie wordt toegepast. Je zou verwachten dat deze toezichthouder niet over een nacht ijs is gegaan bij het formuleren en uitvragen tijdens het selectieproces van alle aanbieders, dus ook Microsoft.

Pijnlijk

Als dan een eerdere verklaring wordt ingetrokken en aangepast is dat pijnlijk voor DNB. Men moet toegeven dat encryptie niet alomvattend is. “In theorie” is het mogelijk dat derden vanuit Microsoft toch bij de DNB data kunnen. De actie van FTM en de reactie van DNB komen natuurlijk op een moment dat iedereen zich moet afvragen hoe betrouwbaar Amerikaanse clouddiensten zijn. Iedere wederverkoper van cloudlicenties heeft van het gros van zijn klanten nooit vragen gehad of de encryptie niet te omzeilen is. Het is ook het soort vragen dat de wederverkoper zijn leveranciers niet zal stellen, waarom zou men ook.

Zelf onderzoek doen

Ondertussen moet duidelijk zijn er grenzen zijn aan het vertrouwen in een leverancier. Het gaat daarbij niet om verkeerde informatie die is verstrekt of bepaalde zaken niet vertellen. Onder alle EU en NL wetgeving die met cybersecurity en weerbaarheid te maken heeft staat ondubbelzinnig, glashelder, klip en klaar, dat men zelf onderzoek moet doen.

Bijzondere positie reseller – MSP

De IT reseller of MSP zit wat dat betreft in de bijzondere positie dat hij zowel leverancier als klant is van diensten. Hij moet zelf onderzoek gaan doen en vragen beantwoorden. In Nederland is dat nog een behoorlijk onderbelicht punt. Op de Britse eilanden zijn ze al een stuk verder, daar worden door de overheid eisen gesteld aan de MSP’s. DNB, een toezichthouder die de sector waar het over waakt, zelf keer op keer oproept onderzoek te doen en alert te blijven, heeft zelf dus een enorme steek laten vallen. Pijnlijk en tegelijk een trieste indicatie voor de omvang van een veel groter probleem.