Europa's soevereine cloud heeft een blinde vlek

In dit artikel:

Europa pompt miljarden in digitale soevereiniteit (IPCEI-CIS) en bouwt certificaten zoals het Franse SecNumCloud om clouddiensten juridisch af te schermen van Amerikaanse datavorderingen. Toch blijkt er een fundamentele blinde vlek: vrijwel alle servers draaien op Intel‑ of AMD‑chips met een ingebouwde beheerlaag (Intel CSME/ME of AMD PSP) die buiten het zicht van het besturingssysteem en van gebruikelijke beveiligingsinstrumenten opereert. Die laag werkt op een privilege‑niveau dat onderzoekers Ring‑3 noemen — een “computer binnen de computer” met eigen geheugen, klok en netwerkstack — en kan netwerkverkeer genereren dat niet van normaal hostverkeer te onderscheiden is.

Juridisch is dat relevant omdat de Reforming Intelligence and Securing America Act (RISAA, aangepast in 2024) de definitie van “electronic communications service provider” heeft verbreed, waardoor hardwarefabrikanten als Intel en AMD expliciet binnen het bereik van Amerikaanse inlichtingendiensten kunnen vallen. Via geheime bevelen met zwijgplicht kunnen deze leveranciers dus verplicht worden samen te werken — ook voor apparatuur die in Europese datacenters staat en door Europese bedrijven wordt beheerd. RISAA liep formeel af op 20 april 2026; het Congres verlengde de wet met 45 dagen terwijl hervormingsdebatten doorgaan.

SecNumCloud, dat architectuur, encryptie, toegangscontrole en organisatorische garanties beoordeelt, certificeert praktische beveiligingslagen maar sluit de processorontwerpen zelf uit van examinatie. ANSSI‑directeur Vincent Strubel benadrukt dat SecNumCloud een instrument voor cybersecurity is en geen instrument om de industrie of chipontwerpen te beheersen. Beveiligingsonderzoeker Aurélien Francillon (EURECOM) bevestigt dat het framework geen directe technische eisen stelt om firmware‑achterdeurtjes te voorkomen; het legt vooral organisatorische en operationele verplichtingen op, zoals risicoanalyses en monitoring.

Dat levert een spanningsveld op. Enerzijds betogen voorstanders van sterke operationele controles dat netwerksegmentatie, beheerisolatie en monitoring de “achterdeur” van de Management Engine onbereikbaar maken voor bijna alle aanvallers. Anderzijds waarschuwen onderzoekers zoals John Goodacre (wie een 37‑pagina risicoanalyse publiceerde) dat wanneer de Management Engine actief is op een apparaat dat met bedrijfsnetwerken verbonden is, host‑gebaseerde beveiliging in essentie ondermijnd wordt. Omdat de ME het MAC‑ en IP‑adres deelt, kan een versleutelde verbinding vanuit de ME niet door perimeterfilters worden onderscheiden van legitieme HTTPS‑verbindingen. Praktijkstudies door beveiligingsbedrijf Eclypsium tonen bovendien dat veel apparaten jaren na publieke kwetsbaarheidsmeldingen nog steeds vatbaar waren; de Conti‑ransomwaregroep ontwikkelde zelfs exploitcode gericht op Intel ME.

De praktische consequentie is dat een certificering die alleen de “bovenste verdiepingen” van een cloudconstructie beoordeelt, een fundering laat onaangetast die in juridische zin rechtstreeks door Amerikaanse bevelen kan worden aangesproken. Europa kan zich daarmee technisch en juridisch blootstellen, ook als front‑end‑diensten en juridische entiteiten wel Europees zijn opgezet. Als alternatief wijst het debat naar opensourcearchitecturen zoals RISC‑V als langetermijnoplossing, maar reële datacenterconcurrentie blijft op korte termijn uit; de geschiedenis van ARM illustreert hoe traag zo’n verschuiving kan verlopen.

Kernpunten:
- Wie: Europese overheden, cloudoperators (bv. S3NS — Thales/Google Cloud), chipmakers Intel en AMD, onderzoekers Goodacre en Francillon, ANSSI.
- Wat: SecNumCloud certificeert clouddiensten, maar niet de processorbeheersoftware (ME/PSP); RISAA maakt hardwarefabrikanten bereikbaar voor Amerikaanse inlichtingendiensten.
- Wanneer: S3NS kreeg SecNumCloud‑kwalificatie in december 2025; RISAA‑termijn liep af 20 april 2026, met een 45‑daagse verlenging; Goodacre presenteerde bevindingen op CyberUK april 2026.
- Waar: Europese datacenters en beleidsarena’s; Amerikaanse wetgeving kan extraterritoriaal toegang afdwingen.
- Waarom dit belangrijk is: operationele isolatie en certificeringen beschermen cloudoperators tegen juridische druk, maar laten een laag onveranderd die zowel technisch als juridisch een toegangspunt kan vormen dat buiten de reikwijdte van die maatregelen valt.

Conclusie: Europa certificeert gebouwen en procedures, maar staat nog geen antwoord achter de chip te formuleren. Zonder expliciete aanpak van de firmware‑ en processorlaag blijft er een structureel risico dat de beoogde digitale soevereiniteit ondermijnd wordt — politiek, juridisch en technisch.