De afgelopen tijd is er veel geschreven over de Nederlandse/ Europese afhankelijkheid van Amerikaanse BigTech bedrijven en de gebrekkige soevereiniteit die daaruit volgt. Ook de veiligheid van die cloud komt geregeld ter sprake. Ik liep tegen het volgende ProPublica artikel aan, dat een schokkend kijkje in de keuken van cloud accreditaties/ certificeringen geeft. Het is een lang artikel, maar is zeker de moeite van het lezen waard. Het ongemakkelijke gevoel bij het lezen nam bij om de paar paragrafen toe.

https://www.propublica.org/article/microsoft-cloud-fedramp-cybersecurity-government

Veel punten die we al eerder gezien hebben in security.nl-artikelen passeren de revue: gebrekkige tot totaal afwezige inzage in de beveiligingsmaatregelen en de risico's die komen kijken bij de Microsoft cloud, politieke druk in plaats van gedegen auditresultaten als doorslaggevende factor om een certificering af te geven, gebrekkige onafhankelijkheid, ellende door backward compatibility, marketing blah blah in persberichten, noem het maar op.

Voor auditors mooi leesvoer, en voor Microsoft-haters een bevestiging dat de nodige vraagtekens gezet kunnen worden bij de veiligheid van de Microsoft cloud, ook al is een formeel (in dit geval FedRAMP) stempeltje afgegeven.