Hollanda, kritik dijital tedarikçinin ABD'li şirket tarafından satın alınmasını engelledi

 (politico.eu)
1 puan yazan GN⁺ 2 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Hollanda hükümeti, kritik çevrimiçi kimlik doğrulama altyapısının yabancı kontrolüne girme endişelerine karşı, ABD merkezli Kyndryl'in Solvinity'yi satın almasını engelledi
  • Solvinity, DigiD uygulama platformunu işletiyor; DigiD ise doktor randevusu alma, konut satın alma ve kamu kurumlarını kullanma sırasında çevrimiçi kimlik doğrulama için kullanılıyor
  • Yatırım inceleme otoriteleri, satın almanın kamu yararı açısından potansiyel risk yaratabileceğine hükmetti ve hükümet pazartesi günü bu tavsiyeyi kabul ederek işlemi engelledi
  • Hollanda, yabancı teknoloji şirketlerinin ekonomik değerini kabul etmekle birlikte, yatırımcının uyruğundan bağımsız bağımsız yatırım inceleme sistemi uyguladığını vurguladı
  • Bu karar, AB'nin teknoloji egemenliği paketini açıklamasından önce geldi ve Avrupa'nın bulut, mikroçip ve yapay zeka alanlarında yabancı teknolojiye bağımlılığı tartışmalarıyla örtüşüyor

Solvinity satın alımının engellenmesi

  • Hollanda hükümeti, ABD merkezli şirket Kyndryl'in Hollandalı BT tedarikçisi Solvinity'yi satın alma girişimini engelledi
  • Solvinity, Hollanda'nın DigiD uygulama platformunu işletiyor
  • DigiD uygulaması, Hollanda vatandaşlarının çevrimiçi kimlik doğrulaması için kullanılıyor; doktor randevusu alma, konut satın alma ve kamu kurumlarından yararlanma gibi işlemlerde kullanılıyor
  • Kyndryl, kasım ayında Solvinity'yi satın alma planını duyurmuştu ve kritik çevrimiçi kimlik doğrulama aracının yabancı kontrol altına girebileceği yönündeki endişeler arttı

Yatırım incelemesi ve kamu yararı riski

  • Hollanda'nın dijital ekonomiden sorumlu devlet sekreteri Willemijn Aerdts, salı günü yayımlanan parlamento mektubunda, yatırım incelemesinden sorumlu ulusal otoritenin hükümete satın almanın engellenmesini tavsiye ettiğini aktardı
  • Söz konusu satın alma, kamu yararı açısından potansiyel risk doğurabilecek bir işlem olarak değerlendirildi
  • Hollanda hükümeti pazartesi günü bu tavsiyeyi kabul ederek satın almayı engelleme kararı aldı
  • Hollanda, yabancı, özellikle de ABD merkezli teknoloji şirketlerinin varlığına ve Hollanda ekonomisi ile dijital altyapısına kattıkları değere önem verdiğini vurguladı
  • Aynı zamanda kamu yararını korumak için bağımsız yatırım inceleme sistemini sürdürdüğünü ve bunun yatırımcının geldiği ülkeden bağımsız olarak eşit şekilde uygulandığını belirtti

Avrupa'nın teknoloji bağımlılığı tartışması

  • Avrupa genelinde ABD teknolojisine bağımlılık konusundaki endişeler büyüyor
  • Bu karar, European Commission'ın teknoloji egemenliği paketini açıklamasından bir hafta önce geldi
  • Bu paket, bulut, mikroçip ve yapay zeka alanlarında Avrupa'nın yabancı teknolojiye bağımlılığını azaltmaya yönelik öneriler bütününü içeriyor

Kyndryl'in tutumu

  • Kyndryl, açıklamasında bu karardan dolayı “büyük hayal kırıklığına uğradığını” belirterek tepki gösterdi
  • Kyndryl, “Bu sürecin siyasallaştırılması, bu işlemin Solvinity müşterileri ve Hollanda vatandaşları için sağlayacağı açık ve önemli faydaları gölgede bıraktı” eleştirisinde bulundu

İlgili okumalar

1 yorum

 
GN⁺ 2 시간 전
Hacker News yorumları

  • Sonunda oldu

    Bütün ülke haftalardır bunu talep ediyordu ama hükümet tamamen sessiz kaldı. Birkaç hafta önce parlamentonun tamamı, sadece tek bir parti karşı çıkarken, Solvinity ile sözleşmenin feshedilmesine ilişkin önergeyi kabul etti; ama hükümet tam tersine sözleşmeyi uzattı. Sonunda geriye sadece devralmanın kendisini engellemek kalmıştı ve hükümetin bunu yapacağına dair güven de pek yüksek değildi.

    Asıl neden, Solvinity'nin Hollanda'nın elektronik kimlik sistemi DigiD'yi barındırması. DigiD, tüm devlet sistemleri ile sağlık gibi hassas sistemlerde kimlik doğrulamayı yürütüyor. ABD şirketlerinin elindeki verilere, veriler nerede barındırılırsa barındırılsın ABD hükümetinin erişebilmesini gerektiren ABD yasaları yüzünden, bu sistemin ABD'nin eline geçmemesi açık.

    Elbette Microsoft, Amazon gibi ABD şirketlerinin elinde hâlâ çok fazla hassas veri var. Buna ne zaman el atılacağını bilmiyorum.

    • Bundan biraz daha karmaşık

      DigiD yığınını fiilen sahiplenen ve yöneten taraf Logius; Solvinity ise sadece uzmanlığı nedeniyle işe alınmış durumda. Bildiğim kadarıyla Solvinity'nin verilere erişimi yok.

      Şu an bulamıyorum ama Tweakers'ta bir içeriden biri uzun bir yorum bırakmıştı; Logius'un mevcut yığının nasıl çalıştığına dair neredeyse hiç bilgiye sahip olmadığını ve çok sayıda özelleştirilmiş unsur bulunduğunu anlatıyordu. Tipik bir vendor lock-in durumu. Hükümet, daha doğrusu Logius, artık Solvinity'den kurtulmak istiyor ama bu muhtemelen 5 yıldan uzun sürecek bir süreç.

      Bu, AB'nin “hızlı halka”sının birlikte yapması gereken bir şey gibi de görünüyor. Örneğin Estonia'nın yığını temel alınır, Sweden, Denmark, Finland ve The Netherlands bunu benimseyip birlikte geliştirir. Her ülkenin ihtiyaç duyduğu özelleştirmeler genişletilebilir şekilde yapılır ve birkaç yılda bir hangi özel uzantıların genelleştirilip modüler hale getirilebileceği gözden geçirilirse çok daha iyi bir ürün ortaya çıkar. Hayal kurmak bedava :)

    • Bazı işlevler için DigiD'nin kendisi iOS veya Android uygulaması gerektiriyor. Bu da Apple veya Google ile sözleşmesel ilişki kurmayı gerektiriyor ve uygulamanın kurulup kullanılabilip kullanılamayacağına da onlar karar veriyor.

      Bu yolun ek hassas veri erişimine izin vermediğini anlıyorum, ama yine de bu şirketler belirli kişilerin DigiD uygulamasına erişimini engelleme gücüne sahip oluyor.

      Çoğu işlev için uygulama gerekmiyor ama bazı sağlıkla ilgili işlemlerde alternatif olmadan yalnızca uygulama kullanılabiliyor.

    • “Sonunda” demek için biraz geç kalındı. Bunu ilk burada gördüğünüzü söylemeniz, 2 yıl sonra yeniden aklınıza gelecek.

      Şirket itiraz ederse bu kararın hem Hollanda'da hem de Avrupa mahkemelerinde bozulma ihtimali yüksek. Özellikle Mark Rutte Daddy bir telefon açtıktan sonra daha da yüksek. Bu adımın tek amacı Hollanda hükümetinin görüntüyü kurtarması ve iç kamuoyuna oynaması. Muhtemelen bunu söyleyen bir iç hukuk değerlendirmesini de bir yerlere saklamışlardır. Sonra da “biz yapmak istedik ama mahkeme engelledi” derler.

      Hollanda'nın tüm diplomatik ve memuriyet teşkilatı, Hollanda Dışişleri Bakanlığı dahil, günlük işlerde, bulut hizmetlerinde ve e-postada Microsoft altyapısını yaygın biçimde kullanıyor. Ve sızıntılar da yaşanıyor.

      “Microsoft Accused Of Sharing Dutch Officials’ Data with U.S. Government” - https://www.yahoo.com/news/politics/articles/microsoft-accus...

      İtiraz eden şirket de bunu temel hukuki argümanlarından biri yapacaktır. Bu kararın siyasallaştığını, dayanağının zayıf olduğunu ve bağlayıcı teknik-hukuki koruma önlemleriyle risklerin giderilebilecekken orantısız bir adım atıldığını savunacaktır. Sonra da Dışişleri'nin Microsoft'u yaygın biçimde kullanmasını örnek gösterecektir :-)

      Sonuçta bu da Hollanda hükümetinin bir başka Polder usulü ikiyüzlülüğü sadece.

    • Şu anda bildiklerimize bakınca bu akış epey mantıklı görünüyor. Sadece perde arkasında başka neler döndüğünü bilmiyoruz.

      Verilerin ayrıştırılarak tutulması gibi müzakereler olmuştur; tamamen engellemek de son çare olarak bırakılmıştır.

      Yine de ortaya çıkan sonuç iyi.

    • “ABD şirketlerinin elindeki verilere ABD hükümetinin erişebilmesini gerektiren ABD yasası” deniyorsa, tam olarak hangi yasa kastediliyor?

  • “Bu sürecin siyasallaşması, bu işlemin Solvinity müşterilerine ve Hollanda vatandaşlarına sağlayacağı açık ve önemli faydaları gölgede bıraktı”

    Bu gerçekten tam bir yüzsüzlük. Vatandaşların mahremiyetini ve çıkarlarını korumak siyasetçilerin işidir. Bugünün ABD standartlarına göre tuhaf gelebilir tabii.

  • İşte bu yüzden, politika ile güvence altına alınan mahremiyetten çok mimariyle güvence altına alınan mahremiyet daha önemlidir. Hollanda, “Solvinity verilere erişemez” politikasına güvendi ama mimari yine de bunu mümkün kılacak şekilde kurulmuştu.

    Gerçek çözüm, ABD hukuku ne derse desin tedarikçinin bile kullanıcı verilerine matematiksel olarak erişemeyeceği bir kriptografik egemenlik sistemi. “Bakmamaya söz veriyoruz” değil, “kelimenin tam anlamıyla bakamaz” olmalı.

    Bu yönde küçük bir şey geliştiriyorum. Kimlik, bir BIP-39 seed phrase; mesajlar ise uygulama düzeyinde değil protokol düzeyinde uçtan uca şifrelenen bir mesh ağında taşınıyor. Amaç, geliştirici olarak benim bile kullanıcı mesajlarını okuyamamam. Henüz erken aşamada ama burada anlatılan sorun tam olarak neden böyle bir şeye ihtiyaç olduğunu gösteriyor.

    • “Kimlik bir BIP-39 seed phrase” ise

      Yani yine tek bir bilgi temelli kimlik doğrulama unsuru kimliğin kendisi oluyor, öyle mi?

      Bunun neden yaygın bir fikir olmadığına dair sebepler var.

    • Ya da verileri, ülkemizde tüzel kişiliği olan bir şirketin yine ülke içinde barındırmasını sağlarsınız. Yani egemen bulut.

  • Hollanda vatandaşı olarak, 20 milyon kullanıcı için saatte 30 bin isteği karşılayan bir açık kaynak kimlik çözümünü neden kendimiz barındıramadığımızı anlamıyorum. Bu ne kadar zor olabilir ki?

    • Hollanda hükümetinin tam olarak bunu yapmasını destekleyen bir ABD vatandaşı olarak ben de merak ediyorum.

      https://openwallet.foundation/staff/

    • Bankalarda ya da devlette çalışacak yetkin mühendisleri işe almak ne kadar zor olabilir ki?

    • Saatte 30 bin istek mi? 5 euroluk bir VPS bile bunu rahatça kaldırır.

  • ‘Kyndryl’ adını ilk kez duyuyorum

    https://en.wikipedia.org/wiki/Kyndryl

    “2021'in sonlarında resmen faaliyete geçen Kyndryl, IBM'in altyapı hizmetleri biriminin bölünmesiyle kuruldu”

“Kyndryl, Kasım 2021 itibarıyla 63 ülkede faaliyet gösteriyordu”

  • Keşke daha fazla medya kuruluşu bunu düzgün yazsa. Kyndryl, eski IBM ve dünya genelinde 73.000 çalışanı var. Bu haber ilk çıktığında kimse adını duymamıştı, bu yüzden rastgele küçük bir hosting şirketi gibi geliyordu, ama aslında devasa

  • Kyndryl’i işe aldı diye işten çıkarılan kimse yok

  • Madem bu kadar önemli bir Hollanda altyapısı, neden en başta özel sektörün elinde?

    • DigiD’nin kendisi devlete ait, ama altyapıyı Solvinity adlı özel bir şirket yönetiyor. Bu, ABD hükümetinin yığının yarısını AWS üzerinde çalıştırmasından çok da farklı değil

    • Çünkü devlet maaş sistemi altında çalışmak isteyen yetenekli BT insanı çok az. Çoğu durumda özel sektöre ya da kurumsal tarafa gidersen daha çok kazanırsın

      Bu yüzden Hollanda’daki BT projelerinin çoğu özel şirketlere gidiyor ve DigiD ya da güvenlik/resmî mesajlaşma platformları gibi alanlarda hosting şirketleri fahiş ücretler kesebiliyor. Berichtenbox üzerinden bir mesaj göndermenin 25 sent tuttuğunu biliyor muydun? Hükümet her yıl “vergi beyannamesi verme zamanı” mesajını gönderirken milyonlarca euro ödemek zorunda kalıyor. Toplu indirim anlaşması yoksa tabii

    • Çünkü çok güçlü özel girişim sermayesi ve yatırım bankaları, hükümetin sermaye karşısında güçsüz kalmasını istiyor. Batı dünyasına hoş geldin

    • Sebebi özelleştirme

  • Bu iyi bir şey, ama özellikle mevcut ABD yönetimine bakınca bunun son olacağını sanmıyorum. ASML de 2013’te ABD şirketi Cymer’ı satın alırken ancak sıkı teknoloji paylaşımı ve ihracat kontrolü anlaşmaları altında onay alabildi. Cymer gerçekten değerli olan EUV ışık kaynağı teknolojisine sahipti

    Hollanda’nın teknoloji kontrolü endişeleriyle ABD tarafının satın alımını engellemesi, Washington’u mutlaka rahatsız edecektir

    • Bu, kendine ait teknoloji üreten bir şirket falan değil; bizim hükümetimizin en önemli altyapılarından bir bölümünü yöneten bir şirket. Mahremiyet kaygılarını rahatlıkla hayal edebilirsin. Tamamen farklı bir durum

    • Eğer yıl 2013 olsaydı aynı anlaşma büyük olasılıkla geçerdi. Obama dönemindeki 2013 ABD-Hollanda ilişkileriyle, Trump’ın ikinci dönemi altındaki bugünkü ilişkiler tamamen farklı. Bugün Obama döneminde olanları temel alıp karşılıklılıktan söz etmek ikna edici değil. Trump’ın Obama’nın yaptığı neredeyse her şeye karşı çıktığını hepimiz biliyoruz

    • Bu tabloyu daha karmaşık hale getiren büyük bir ayrıntı. ASML’nin litografi teknolojisi, ABD Enerji Bakanlığı araştırmalarından büyük ölçüde fayda gördü

      “1997’de ASML, aşırı morötesi kullanımına geçişi incelemeye başladı. İki yıl sonra Intel ve diğer iki ABD’li yarı iletken şirketini içeren bir konsorsiyuma katıldı ve ABD Enerji Bakanlığı tarafından yürütülen temel araştırmadan yararlandı. Bu konsorsiyumun tabi olduğu Cooperative Research and Development Agreement (CRADA), ABD devlet fonlarıyla yürütüldüğü için lisansların Congress onayı alması gerekir”

    • ASML gerekli teknolojiyi Cymer üretemediği için şirketi bünyesine kattı ve gereken çıktıyı gerçekten elde edebilmek için tedarikçi projelerine kaynak ve mühendis yığmak zorunda kaldı. Cymer ancak 10W EUV ışık kaynağı yapabiliyordu, ASML’nin ise 250W kaynağa ihtiyacı vardı; yani istediklerini hayata geçirmek için şirketi satın aldılar. ASML’nin geçebileceği başka ışık kaynağı tedarikçileri de vardı

      Kelimenin tam anlamıyla, ihtiyaç duydukları şeyi yapamadığı için satın aldılar. Ama birçok Amerikalı, kendine özgü Amerikan istisnacılığıyla, sanki ASML ceketinin içinde aslında ABD teknolojisini saklayan sihirli bir varlıkmış gibi dünyayı yeniden yazmak istiyor. Her şeyin bir şekilde Amerikalılara borçlu olduğu havası var

      ABD hükümeti, İsrail’i —ABD’nin efendisi olarak— savunmak bahanesiyle tüm ABD şirketlerinin ICC yargıçları ya da personeliyle çalışmasını yasakladı. Sadece bu bile tüm yabancı ülkelerde ABD şirketlerinin kovulmasına yetmeli. Adresi ABD’de olan bir şirkete ülkenin altyapı teknolojisi üzerinde kontrol vermek delilik, neredeyse ihanet düzeyinde. Bunu zorlayan herkesin en ince ayrıntısına kadar soruşturulması gerekir. Aynı şekilde, Birleşik Krallık’ın Palantir’in o çöplüğünü durmadan sisteme sokması da o ülkenin tamamen bozulduğunun ve kapsamlı bir kamu kurumu reformuna ihtiyaç duyduğunun açık kanıtı

      Bütün bunlar, her türden sızlanma, grotesk düzeyde yolsuzluk ve müttefikleri açıkça tehdit etme tavırlarından bağımsız olarak söylenebilir

      Elbette “rahatsız edecektir”, ama ABD zaten işi fazlasıyla büyüttü. Bu saatten sonra o aptal ülkenin pedofil, salak ve kendi çıkarı peşindeki suçlulardan oluşan tayfası ne diye ortalığı ayağa kaldırırsa kaldırsın kimse umursamıyor. Bu noktada ABD NATO’dan çıkarılmalı, tüm üsler kapatılmalı ve herkes kendi nükleer silahını edinmeli

  • İyi haber. Toplumumuzun böylesine kritik bir kısmının başka bir ülkenin, üstelik istikrarsız ve açıkça düşmanca bir ülkenin keyfine bağlı olması korkunç olurdu

  • İleride ABD sahipliğini engelleme eğilimini daha sık göreceğiz. İlişkiler ne kadar iyi olursa olsun, hiçbir hükümet kendi devletine ve vatandaş verilerine erişimi denizaşırı bir alıcıya devretmemeli, devredemez de

    Ayrı olarak bu olay, ABD’nin kontrol gücünün daha net bir resmini veriyor. Bunu kaybediyor. ABD bir tehdit olarak görülüyor ve verilere sahip olup bunları bir kontrol aracı olarak kullanmaya yönelik zorlayıcı pratikler başlıyor

    • Vatandaş verilerinin aktarılacağını varsayıyor gibisin; buna dair bir kanıt var mı?

  • Hollanda’nın Five Eyes ya da Fourteen Eyes ile istihbarat paylaşım anlaşması varsa, tüm bu veriler yine ABD ve diğer müttefikler tarafından kullanılabilir olacaktır. Tabii umarım Hollanda hükümeti burada kapı bekçisi rolünü oynar

    • Mesele sadece veri değil. Örneğin Grönland’a yönelik önleyici bir saldırının parçası olarak ABD’nin Hollanda’nın vergi tahsilatı ya da hastane hizmetleri gibi şeyleri fiilen kapatabilmesi riski söz konusu

      Elbette olasılığı düşük. Ama mevcut ortamda insanlar tedirgin ve gereksiz yere risk almamak daha iyi. Mevcut hükümet zaten daha fazla kritik yazılım altyapısını ülke içine geri getirmeye yönelik uzun vadeli bir strateji başlattı; temel kimlik sağlayıcı yazılımını yurtdışına satmak ise mevcut politikayla doğrudan çelişir

    • Asıl mesele mahremiyet kaygısından çok, “potansiyel olarak düşmanca bir ülkeye en önemli altyapı parçalarımızdan birini vermeyelim” noktasına yakındı. DigiD, Hollanda’daki neredeyse tüm devlet siteleri için kullanıcı kimlik doğrulama platformu. Yabancı bir hükümet, erişimi kısıtlayarak Hollandalı bireyleri baskı altına alıp boyun eğmeye zorlayabilir

    • Farkı burada tam da bu kapı bekçisi rolü yaratıyor. Mesele, tüm verileri başka bir ülkeye verip gerektiğinde parçalarını geri istemek mi, yoksa kendin host edip sadece o ülkenin soruşturmasıyla ilgili kısımları paylaşmak mı olduğu. Biri DigiD kullanmaya çalıştığında o ülkenin bunu engelleyebileceği bir yapı olmamalı

    • “Hollanda’nın Fourteen Eyes ile istihbarat paylaşım anlaşması varsa” diyorsan, Hollanda zaten Fourteen Eyes üyesi, yani bu oldukça güvenli bir varsayım

    • Mesele mahremiyet değil, kontrol meselesi