‘Omdat ik Microsoft niet vertrouw’, was het eenvoudige en directe antwoord van de archiefautoriteit, toen ik na een beschrijving van de beveiliging van SharePoint Online in Office 365 vroeg waarom hij nog steeds geen records zou toevertrouwen aan de cloud. Daar viel niet zoveel tegenin te brengen. Vertrouwen heb je, of niet. In mijn adviezen en second opinions komt het begrip regelmatig terug. Vertrouwen in een oplossing, in een leverancier, vertrouwen in een aanpak, een onzekere uitkomst van dure projecten.
Vertrouwen is niet te koop en moet worden verdiend. Cliché, dus waar. Microsoft wil al zijn klanten graag naar de cloud hebben, om van daaruit de software voor kantoordoeleinden aan te bieden. Gemakkelijker voor de klant, geen serverpark, migraties, onderhoud. Gemakkelijker ook voor Microsoft. Maar de klant moet wel het vertrouwen hebben dat zijn documenten en gegevens veilig zijn bij Microsoft. Met voortdurende verbetering van beveiligingsmaatregelen, voldoen aan (inter-)nationale standaards en regelgeving en het aanbieden van extra functionaliteiten die de klant zelf kan inzetten (‘customer controls’, zoals o.a. data loss prevention, rights management services, mobile device management) wil Microsoft een ieder overtuigen. Vertrouwen winnen.
Als je zelf wilt weten hoe deze maatregelen allemaal werken, lees dan eens het uitstekend met links geannoteerde e-book The Complete Guide to Office 365 Security van Datto. Je vindt daar ook links naar uitleg van al die customer controls. Microsoft zelf heeft het e-book Myths about moving to the cloud in de aanbieding.
Nu schreef ik eerder (hier en hier) over de aanspraken die de Amerikaanse justitie maakt op inhoud die door Amerikaanse providers wordt beheerd op servers in het buitenland. Dus bijvoorbeeld door Microsoft op servers in Dublin. Zoals de inhoud van Nederlandse Office 365 gebruikers. Dat is niet zo goed voor het vertrouwen in cloudopslag. Niet alleen Microsoft vecht deze aanspraken aan, ook zo’n honderd technologie- en mediabedrijven, organisaties en universiteiten steunen de strijd.
Inmiddels is deze week een nieuw hoofdstuk aan deze juridische kwestie toegevoegd. Microsoft is nogmaals gehoord. Opnieuw was de lezing van de advocaten van het Ministerie van Justitie ontluisterend: de Amerikaanse overheid behoudt zich het recht voor om e-mailberichten op te eisen, van wie dan ook waar ook ter wereld, die zijn ondergebracht bij een provider met hoofdkantoor in de Verenigde Staten. In dit ene geval gaat het om e-mails in een narcoticazaak op een Microsoft Hotmail server in Dublin, Ierland.
“This is an execution of law enforcement seizure on their land,” Aldus Joshua Rosenkranz, Microsoft raadsman tegenover het hof. “We would go crazy if China did this to us.”
Eerder heeft Microsoft, gesteund dus door bedrijven als Amazon, Apple, CNN en The Guardian, aangegeven dat het niet aangaat om inhoud die geen eigendom is, maar ‘slechts’ wordt beheerd voor klanten op deze manier op te eisen. Justitie daarentegen ziet die inhoud als ‘business records’ van Microsoft zelf:
“This notion of the government’s that private emails are Microsoft’s business records is very scary,” zei Rosenkranz afgelopen woensdag.
Bovendien is er een stevig economisch argument tegen, want als documenten zo onveilig zijn in de cloud voor de grijpgrage handen van welke autoriteit dan ook, loopt de cloud-economie zelf risico. Als Microsoft verliest, zou het ook kunnen betekenen dat de server-beherende eenheden van Microsoft als afzonderlijke entiteiten verder moeten gaan. De volgende ronde in het juridisch conflict volgt komende winter.
Mijn opvatting over veiligheid van opslag in SharePoint Online en Office 365 heb ik vanaf deze blogpagina eerder geventileerd: kijk naar de veiligheid en compliance van je huidige documentenhuishouding. Hoe veilig is dat? Waar gaan al die e-mails met beleidsstukken, financiële informatie, pricacygevoelige informatie in attachments naar toe? Waar wordt in de onveilige consumer cloud samengewerkt, in Googledrive, Dropbox of Onedrive? In Office 365 kunnen je documenten veiliger zijn dan daar. Verdiep je in mythes en feiten en ga niet naar de cloud zonder die compliance maatregelen te willen treffen. Maar vertrouwen, dat blijft inderdaad niet te koop.
Weer een prima stuk Eric!