Europa's soevereine cloud heeft een blinde vlek: de hardwarelaag blijft grotendeels buiten beeld

Europa investeert miljarden euro's in digitale soevereiniteit. Via programma's als IPCEI-CIS, nationale cloudinitiatieven en certificeringsregimes zoals het Franse SecNumCloud probeert de Europese Unie haar afhankelijkheid van buitenlandse technologiebedrijven te verminderen. De nadruk ligt daarbij vooral op eigenaarschap, governance, juridische controle, datalokalisatie, encryptie en operationele autonomie.

Maar onder vrijwel iedere Europese cloudomgeving bevindt zich een technologische laag die veel minder aandacht krijgt: de processor. En juist daar bevindt zich een fundamentele spanning binnen het Europese soevereiniteitsdebat.

Vrijwel alle moderne servers draaien op processoren van Intel of AMD. Deze chips bevatten ingebouwde beveiligings- en beheercomponenten die onafhankelijk functioneren van het besturingssysteem en grotendeels buiten het zicht opereren van traditionele beveiligingsmaatregelen. Hoewel deze functionaliteit oorspronkelijk werd ontwikkeld voor beveiliging en beheer op afstand, roept zij tegelijkertijd vragen op over controle, transparantie en daadwerkelijke digitale autonomie.

De computer onder de computer

Moderne Intel-processoren bevatten een subsystem genaamd de Converged Security and Management Engine (CSME), historisch bekend als de Management Engine (ME). AMD gebruikt een vergelijkbaar subsysteem dat bekendstaat als de Platform Security Processor (PSP).

Deze componenten draaien niet binnen Windows, Linux of een hypervisor, maar beschikken over een eigen firmwareomgeving die actief wordt zodra een systeem stroom ontvangt. Daardoor functioneren zij onafhankelijk van de softwarelaag die systeembeheerders normaal gesproken beheren en monitoren.

Beveiligingsonderzoekers beschrijven deze positie vaak als een niveau onder het besturingssysteem. Hoewel de term "Ring -3" geen officiële architecturale definitie is, wordt deze in de beveiligingswereld gebruikt om aan te geven dat dergelijke subsystemen meer privileges kunnen hebben dan software die op de host draait.

De Management Engine en de PSP beschikken over directe toegang tot cruciale hardwarefuncties. Zij spelen een centrale rol bij secure boot-processen, cryptografische verificatie, firmwarevalidatie en diverse beheerfuncties. In zakelijke omgevingen maken zij onder andere functies mogelijk voor inventarisatie, remote management en herstel van systemen.

Dat levert duidelijke operationele voordelen op. Tegelijkertijd betekent het dat deze componenten buiten het zicht opereren van veel traditionele beveiligingsmaatregelen.

Een architectuur die moeilijk controleerbaar is

Het belangrijkste vraagstuk is niet zozeer dat deze subsystemen bestaan, maar dat hun werking slechts beperkt controleerbaar is voor de eigenaar van de infrastructuur.

Cloudproviders kunnen hun netwerken segmenteren, encryptie toepassen, toegangsrechten beheren en uitgebreide monitoring implementeren. Wat zij echter niet volledig kunnen inspecteren, is de interne firmware van gesloten processorcomponenten die door externe leveranciers worden ontwikkeld.

Dat creëert een fundamenteel verschil tussen software en hardware.

Software kan in principe worden geaudit, vervangen of opnieuw gecompileerd. Bij moderne processorfirmware is dat doorgaans niet mogelijk. Organisaties moeten vertrouwen op de leverancier voor ontwerp, beveiligingsupdates en kwetsbaarheidsbeheer.

Juist dat afhankelijkheidsvraagstuk staat centraal in discussies over digitale soevereiniteit.

Bekende kwetsbaarheden illustreren het probleem

De zorgen zijn niet uitsluitend theoretisch. In de afgelopen jaren zijn meerdere kwetsbaarheden ontdekt in zowel Intel ME als AMD PSP. Verschillende daarvan maakten privilege-escalatie, firmwaremanipulatie of toegang tot beveiligde onderdelen van het systeem mogelijk.

Hoewel fabrikanten voor dergelijke kwetsbaarheden patches uitbrengen, laten praktijkonderzoeken zien dat firmware-updates vaak aanzienlijk trager worden geïnstalleerd dan reguliere software-updates. Hierdoor kunnen kwetsbaarheden langdurig aanwezig blijven in productieomgevingen.

Voor cloudoperators betekent dit dat een deel van hun aanvalsvlak zich bevindt in een laag die moeilijk zichtbaar is en waarvan de beveiliging grotendeels afhankelijk blijft van externe leveranciers.

Wat SecNumCloud wel en niet doet

Het Franse SecNumCloud-framework geldt internationaal als een van de strengste cloudcertificeringen.

Het stelt uitgebreide eisen aan governance, toegangscontrole, encryptie, operationele processen, personeelsscreening, incidentrespons en juridische onafhankelijkheid. Het doel is om organisaties beter te beschermen tegen ongewenste buitenlandse invloed en om een hoog niveau van cyberweerbaarheid te garanderen.

Maar SecNumCloud is primair ontworpen als een cybersecurity- en governancekader. Het is geen certificering van de volledige halfgeleiderketen.

Dat betekent dat de certificering niet vereist dat processoren, microcode of ingebouwde firmware volledig Europees zijn ontworpen of gecontroleerd. Evenmin garandeert zij volledige transparantie over alle interne hardwarecomponenten.

Dat is geen tekortkoming van het framework zelf; het ligt simpelweg buiten de oorspronkelijke doelstelling ervan.

De juridische dimensie

Binnen het Europese debat gaat veel aandacht uit naar wetgeving zoals de CLOUD Act en FISA Section 702. Deze instrumenten richten zich voornamelijk op gegevens die worden beheerd door organisaties die onder Amerikaanse jurisdictie vallen.

Minder besproken is de bredere vraag in hoeverre kritieke hardwareleveranciers onder nationale wetgeving van hun thuisland kunnen vallen.

Intel en AMD zijn Amerikaanse ondernemingen. Zoals iedere onderneming binnen een rechtsgebied kunnen zij onder bepaalde omstandigheden worden geconfronteerd met wettelijke verplichtingen richting nationale autoriteiten.

Wat echter niet publiekelijk is aangetoond, is dat bestaande wetgeving een mechanisme creëert waarmee Amerikaanse autoriteiten rechtstreeks en routinematig toegang verkrijgen tot alle Intel- of AMD-systemen wereldwijd via Management Engines of vergelijkbare componenten.

Dat onderscheid is essentieel. Enerzijds bestaat er een reële afhankelijkheid van buitenlandse leveranciers. Anderzijds ontbreekt publiek bewijs voor de stelling dat deze subsystemen momenteel functioneren als een universele, door de overheid aangestuurde achterdeur.

De discussie gaat daarom minder over bewezen misbruik en meer over structurele afhankelijkheid en potentiële machtsconcentratie.

Twee verschillende risicobenaderingen

Onder experts bestaan uiteenlopende visies op de praktische impact van deze architectuur.

Een groep onderzoekers stelt dat goede netwerksegmentatie, streng toegangsbeheer, monitoring en operationele beveiliging de risico's grotendeels beheersbaar maken. Vanuit die visie vormen Management Engines en PSP's vooral een theoretisch risico dat voor de meeste dreigingsmodellen acceptabel is.

Een andere groep wijst erop dat juist natiestaten beschikken over de middelen, expertise en tijd om geavanceerde hardwarematige aanvalspaden te benutten. Vanuit dat perspectief vormt de aanwezigheid van gesloten firmware in een hooggeprivilegieerde positie een structureel probleem dat niet volledig kan worden weggenomen door operationele maatregelen.

Beide standpunten erkennen dezelfde technische realiteit. Het verschil zit vooral in de inschatting van de kans dat dergelijke mogelijkheden daadwerkelijk worden benut.

Het strategische vraagstuk voor Europa

De kern van het debat is uiteindelijk niet technisch maar strategisch.

Kan Europa spreken van volledige digitale soevereiniteit wanneer de fundamentele rekeninfrastructuur afhankelijk blijft van buitenlandse chipontwerpen, buitenlandse firmware en buitenlandse toeleveringsketens?

Op dit moment bestaat er geen eenvoudig alternatief.

ARM heeft inmiddels een positie verworven in delen van de servermarkt, maar blijft voor een groot deel afhankelijk van mondiale toeleveringsketens. RISC-V biedt op langere termijn mogelijkheden voor een opener ecosysteem, maar bevindt zich voor hoogwaardige cloud- en hyperscale-omgevingen nog in een relatief vroeg stadium van ontwikkeling.

Daardoor blijft Europa voorlopig afhankelijk van technologie die grotendeels buiten zijn directe controle wordt ontwikkeld.

De vraag die nog openstaat

Europese certificeringen worden steeds strenger. Cloudproviders investeren steeds meer in governance, compliance, encryptie en operationele autonomie. Dat zijn belangrijke stappen vooruit.

Toch blijft één fundamentele vraag grotendeels onbeantwoord.

Als digitale soevereiniteit betekent dat een organisatie haar infrastructuur daadwerkelijk begrijpt, beheerst en controleert, hoe verhoudt dat ideaal zich dan tot een hardwarebasis waarvan het ontwerp, de firmware en de beveiligingsarchitectuur slechts beperkt inzichtelijk zijn?

Zolang die vraag onbeantwoord blijft, zal het Europese soevereiniteitsdebat zich vooral richten op de bovenbouw van het digitale kasteel, terwijl de discussie over de fundering nog maar net is begonnen.

Door: Drifter