Holanda bloqueia aquisição americana de fornecedora digital crítica

 (politico.eu)
1 pontos por GN⁺ 2 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • O governo da Holanda bloqueou a aquisição da Solvinity pela Kyndryl, sediada nos EUA, em resposta a preocupações sobre o controle estrangeiro de uma infraestrutura essencial de verificação de identidade online
  • A Solvinity opera a plataforma do aplicativo DigiD, e o DigiD é usado para autenticação de identidade online em agendamentos médicos, compra de imóveis e uso de serviços públicos
  • As autoridades responsáveis pela análise de investimentos avaliaram que a aquisição poderia criar um risco potencial ao interesse público, e o governo aceitou a recomendação na segunda-feira e a bloqueou
  • A Holanda enfatizou que, embora reconheça o valor econômico de empresas estrangeiras de tecnologia, aplica um sistema independente de análise de investimentos independentemente da nacionalidade do investidor
  • A decisão veio antes da divulgação do pacote de soberania tecnológica da UE e se conecta ao debate sobre a dependência europeia de tecnologia estrangeira em nuvem, microchips e IA

Bloqueio da aquisição da Solvinity

  • O governo da Holanda bloqueou a tentativa da empresa americana Kyndryl de adquirir a fornecedora holandesa de TI Solvinity
  • A Solvinity opera a plataforma do aplicativo holandês DigiD
  • O aplicativo DigiD é usado para autenticação de identidade online de cidadãos holandeses, em agendamentos médicos, compra de imóveis e uso de órgãos públicos
  • A Kyndryl anunciou em novembro o plano de adquirir a Solvinity, o que ampliou as preocupações de que uma ferramenta essencial de identidade online pudesse ficar sob controle estrangeiro

Análise do investimento e risco ao interesse público

  • A secretária de Estado para a economia digital da Holanda, Willemijn Aerdts, informou em uma carta ao parlamento divulgada na terça-feira que a autoridade nacional responsável pela análise do investimento recomendou ao governo bloquear a aquisição
  • A operação foi considerada uma transação que poderia gerar um risco potencial ao interesse público
  • O governo holandês aceitou essa recomendação na segunda-feira e decidiu bloquear a aquisição
  • A Holanda destacou que valoriza a presença de empresas estrangeiras de tecnologia, especialmente as sediadas nos EUA, e o valor agregado que elas trazem à economia holandesa e à infraestrutura digital do país
  • Ao mesmo tempo, mantém um sistema independente de análise de investimentos para proteger o interesse público, aplicado da mesma forma independentemente do país de origem do investidor

Debate sobre dependência tecnológica na Europa

  • Em toda a Europa, crescem as preocupações em torno da dependência de tecnologia americana
  • A decisão veio uma semana antes da divulgação do pacote de soberania tecnológica da European Commission
  • O pacote é um conjunto de propostas para reduzir a dependência europeia de tecnologia estrangeira nas áreas de nuvem, microchips e IA

Posição da Kyndryl

  • Em comunicado, a Kyndryl reagiu dizendo estar “profundamente decepcionada” com a decisão
  • A Kyndryl criticou que “a politização deste processo obscureceu os benefícios claros e importantes que esta transação teria trazido aos clientes da Solvinity e aos cidadãos holandeses”

Leituras relacionadas

1 comentários

 
GN⁺ 2 시간 전
Opiniões do Hacker News

  • Finalmente aconteceu

    O país inteiro vinha pedindo isso havia semanas, e o governo ficou completamente em silêncio. Há algumas semanas, todo o parlamento, com apenas um partido votando contra, aprovou uma moção para encerrar o contrato com a Solvinity, mas o governo, em vez disso, prorrogou o contrato, e no fim só restou bloquear a própria aquisição — e também não havia muita confiança de que o governo faria isso

    O motivo principal é que a Solvinity hospeda o DigiD, o sistema holandês de identidade eletrônica. O DigiD cuida da autenticação de todos os sistemas do governo e de sistemas sensíveis, como os de saúde. Por causa das leis dos EUA que exigem que dados pertencentes a empresas americanas estejam acessíveis ao governo dos EUA, independentemente de onde estejam hospedados, esse sistema claramente não pode cair em mãos americanas

    Claro, ainda há muitos dados sensíveis nas mãos de empresas americanas como Microsoft e Amazon. Não sei quando isso será resolvido

    • É um pouco mais complicado do que isso

      Quem realmente possui e administra a stack do DigiD é a Logius, e a Solvinity foi contratada apenas por sua especialização. Até onde eu sei, a Solvinity não tem acesso aos dados

      Não estou encontrando agora, mas um insider deixou um comentário longo no Tweakers explicando que a Logius quase não tem conhecimento de como a stack atual funciona, e que há muitos elementos personalizados. É um caso clássico de vendor lock-in. O governo, ou mais precisamente a Logius, agora quer se desvincular da Solvinity, mas isso provavelmente vai levar mais de 5 anos

      Isso parece o tipo de coisa que o “laço rápido” da UE deveria fazer em conjunto. Algo baseado na stack da Estonia, adotado e desenvolvido em conjunto por Sweden, Denmark, Finland e The Netherlands. Tornando extensíveis os elementos personalizados de que cada país precisa e, a cada alguns anos, revisando quais extensões personalizadas podem ser generalizadas e modularizadas, sairia um produto muito melhor. Sonhar ainda é permitido :)

    • Em algumas funções, o próprio DigiD exige um app para iOS ou Android. Isso exige uma relação contratual com Apple ou Google, e eles também decidem se você pode instalar e usar o app

      Entendo que esse caminho não dá acesso a dados sensíveis adicionais, mas mesmo assim essas empresas passam a ter o poder de bloquear o acesso de uma pessoa específica ao app do DigiD

      A maior parte das funções não exige o app, mas em algumas tarefas ligadas à saúde o app é a única opção, sem alternativa

    • Para ser “finalmente”, já chegou tarde demais. Vamos lembrar deste comentário daqui a 2 anos e dizer que vimos isso primeiro aqui

      Se a empresa recorrer, há uma grande chance de essa decisão ser revertida tanto nos tribunais holandeses quanto nos europeus. Especialmente depois que o papai do Mark Rutte ligar. O único objetivo dessa medida é o governo holandês salvar as aparências, para consumo interno. Eles provavelmente já esconderam por aí uma análise jurídica interna dizendo exatamente isso. E depois vão dizer: “tentamos, mas os tribunais nos impediram”

      Todo o aparato diplomático e administrativo holandês, incluindo o Ministério das Relações Exteriores dos Países Baixos, usa amplamente a infraestrutura da Microsoft no trabalho diário, em serviços de nuvem e em e-mail. E também já houve vazamentos

      “Microsoft Accused Of Sharing Dutch Officials’ Data with U.S. Government” - https://www.yahoo.com/news/politics/articles/microsoft-accus...

      A empresa que recorrer também vai usar isso como argumento jurídico central. Vai dizer que a decisão foi politizada, tem fundamentação insuficiente e é desproporcional, porque os riscos poderiam ter sido resolvidos com salvaguardas técnicas e jurídicas vinculantes. E vai citar como exemplo o uso amplo de Microsoft pelo Ministério das Relações Exteriores :-)

      No fim, isso é só mais um caso de hipocrisia estilo Polder do governo holandês

    • Considerando o que sabemos agora, essa evolução parece bem lógica. Só que talvez a gente simplesmente não saiba o que mais está acontecendo nos bastidores

      Deve ter havido negociações sobre formas de manter os dados segregados, e bloquear tudo completamente provavelmente foi deixado como último recurso

      Ainda assim, o resultado em si é bom

    • Quando você diz “leis dos EUA que exigem que o governo dos EUA possa acessar dados pertencentes a empresas americanas”, está falando exatamente de qual lei?

  • “A politização desse processo ofuscou os benefícios claros e importantes que essa transação teria trazido aos clientes da Solvinity e aos cidadãos holandeses”

    Isso é de uma desfaçatez impressionante. Proteger a privacidade e os interesses dos cidadãos é justamente o trabalho dos políticos. Embora, pelos padrões americanos atuais, isso talvez pareça uma ideia estranha

  • É por isso que privacidade garantida por arquitetura é mais importante do que privacidade garantida por política. Os Países Baixos confiaram na política de que “a Solvinity não pode acessar os dados”, mas a arquitetura permitia isso de qualquer forma

    A solução de verdade é um sistema de soberania criptográfica no qual nem o fornecedor possa acessar matematicamente os dados do usuário, independentemente do que diga a lei dos EUA. Não “prometemos não olhar”, mas “literalmente não conseguimos olhar”

    Estou construindo algo pequeno nessa linha. A identidade é uma frase-semente BIP-39, e as mensagens trafegam numa rede mesh com criptografia ponta a ponta no nível do protocolo, não no nível da aplicação. O objetivo é fazer com que nem eu, como desenvolvedor, consiga ler as mensagens dos usuários. Ainda está no começo, mas o problema descrito aqui é exatamente o motivo de isso precisar existir

    • Se “a identidade é uma frase-semente BIP-39”

      Então novamente um único fator de autenticação baseado em conhecimento vira a identidade?

      Existe um motivo para essa ideia não existir

    • Ou então basta hospedar os dados no nosso país com uma empresa incorporada no nosso país. Em outras palavras, uma nuvem soberana

  • Como cidadão holandês, não entendo por que não conseguimos hospedar nós mesmos uma solução de identidade open source para 20 milhões de usuários, lidando com 30 mil requisições por hora. Quão difícil isso pode ser?

    • Como cidadão americano que apoia exatamente isso para o governo holandês, eu também gostaria de saber

      https://openwallet.foundation/staff/

    • Fico imaginando quão difícil pode ser contratar engenheiros competentes para trabalhar em bancos ou no governo

    • 30 mil requisições por hora? Isso roda fácil até num VPS de 5 euros

  • Nunca tinha ouvido falar de ‘Kyndryl’

    https://en.wikipedia.org/wiki/Kyndryl

    “Lançada oficialmente no fim de 2021, a Kyndryl foi criada a partir do spin-off da divisão de serviços de infraestrutura da IBM”

“A Kyndryl operava em 63 países em novembro de 2021”

  • Queria que mais veículos escrevessem isso direito. A Kyndryl é a antiga IBM e tem 73.000 funcionários no mundo todo. Quando essa notícia saiu pela primeira vez, ninguém tinha ouvido falar dela, então parecia uma empresa aleatória de hospedagem de pequeno porte, mas na verdade é gigantesca

  • Ninguém vai ser demitido por contratar a Kyndryl

  • Se essa infraestrutura holandesa é tão importante, por que está nas mãos da iniciativa privada para começo de conversa?

    • O DigiD em si é do governo, mas a infraestrutura é gerenciada por uma empresa privada, a Solvinity. Não é muito diferente de o governo dos EUA rodar metade da stack na AWS

    • Porque há gente demais com capacidade em TI que não quer trabalhar sob a estrutura salarial do governo. Na maioria dos casos, dá para ganhar mais indo para o lado privado/corporativo

      Então a maior parte dos projetos de TI da Holanda vai para empresas privadas, e no caso do DigiD ou de plataformas de segurança e mensagens oficiais, isso permite que empresas de hospedagem cobrem valores absurdos. Você sabia que custa 25 centavos para enviar uma única mensagem pelo Berichtenbox? Quando o governo manda todo ano a mensagem “está na hora de declarar seus impostos”, precisa pagar milhões de euros. A menos que exista algum contrato com desconto por volume

    • Porque firmas privadas de venture capital e bancos de investimento muito poderosos querem que o governo continue impotente diante do capital. Bem-vindo ao mundo ocidental

    • Por causa da privatização

  • É uma coisa boa, mas especialmente olhando para o atual governo dos EUA, não parece que será a última vez. A ASML também só recebeu autorização para adquirir a empresa americana Cymer em 2013 sob acordos rígidos de compartilhamento de tecnologia e controle de exportação. A Cymer realmente tinha uma tecnologia valiosa de fonte de luz EUV

    O fato de a Holanda bloquear uma aquisição por parte dos EUA por preocupações com controle tecnológico certamente vai irritar Washington

    • Não estamos falando de uma empresa que cria tecnologia própria e coisas assim, mas de uma empresa que lida com parte da infraestrutura mais importante do nosso governo. Dá perfeitamente para imaginar preocupações com privacidade. É um caso completamente diferente

    • Se fosse em 2013, é bem provável que o mesmo negócio tivesse passado. A relação EUA-Holanda em 2013, na era Obama, e a relação atual sob o Trump 2 são completamente diferentes. Hoje, falar em reciprocidade com base no que aconteceu na era Obama não convence. Todo mundo sabe que Trump se opõe a quase tudo que Obama fez

    • Esse é um grande detalhe que torna o quadro mais complexo. A tecnologia de litografia da ASML se beneficiou muito de pesquisas do Departamento de Energia dos EUA

      “Em 1997, a ASML começou a estudar a mudança para o uso de ultravioleta extremo. Dois anos depois, juntou-se a um consórcio que incluía a Intel e outras duas fabricantes americanas de semicondutores para aproveitar pesquisas básicas conduzidas pelo Departamento de Energia dos EUA. O Cooperative Research and Development Agreement (CRADA) seguido por esse consórcio é financiado pelo governo dos EUA, portanto a licença precisa da aprovação do Congress”

    • A ASML internalizou a Cymer porque ela não conseguia produzir a tecnologia necessária, e para realmente obter o resultado desejado era preciso despejar recursos e engenheiros no projeto do fornecedor. A Cymer só conseguia fazer uma fonte de luz EUV de 10W, enquanto a ASML precisava de uma fonte de 250W, então comprou a empresa para conseguir executar o que queria. Também havia outros fornecedores de fontes de luz para os quais a ASML poderia ter migrado

      Foi literalmente uma aquisição porque a empresa não conseguia entregar o que era necessário. Mas muitos americanos, num típico excepcionalismo americano, querem reescrever o mundo como se a ASML fosse uma entidade mágica escondendo tecnologia americana debaixo do casaco. Como se, de algum jeito, tudo devesse algo aos americanos

      O governo dos EUA forçou todas as empresas americanas a não poderem trabalhar com juízes ou funcionários do ICC, sob o pretexto de defender Israel, o senhor dos EUA. Só isso já deveria bastar para que empresas americanas fossem expulsas de todos os países estrangeiros. A ideia de dar a uma empresa sediada nos EUA o controle tecnológico da infraestrutura interna é insana, quase nível traição. Quem empurra isso deveria ser investigado a fundo. Do mesmo modo, o fato de o Reino Unido continuar adotando os lixos da Palantir é prova clara de que o país está completamente apodrecido e precisa de uma grande reforma do funcionalismo público

      Tudo isso independentemente dos vários acessos de birra, dos níveis bizarros de corrupção e do comportamento de ameaçar aliados abertamente

      Sem dúvida vai “irritar”, mas os EUA já passaram muito do limite. A essa altura, ninguém mais se importa com o motivo de a panelinha daquele país idiota — pedófilos, imbecis e criminosos em busca de interesse próprio — estar fazendo escândalo. A essa altura, os EUA deveriam ser expulsos da OTAN, todas as bases deveriam ser fechadas e cada país deveria buscar seu próprio armamento nuclear

  • Boa notícia. Seria desolador se uma parte tão central da nossa sociedade ficasse à mercê dos caprichos de outro país, ainda mais de um país instável e abertamente hostil

  • Vamos ver com mais frequência esse movimento de bloquear propriedade americana. Por melhores que sejam as relações, nenhum governo deve nem pode entregar a um comprador estrangeiro o acesso aos dados do seu próprio governo e dos seus cidadãos

    Separadamente, isso mostra um quadro mais nítido do controle americano. Ele está se perdendo. Os EUA estão sendo vistos como ameaça, e começa uma prática coercitiva de possuir dados e depois usá-los como instrumento de controle

    • Você parece estar assumindo que os dados dos cidadãos seriam transferidos; há alguma evidência disso?

  • Se a Holanda tiver um acordo de compartilhamento de inteligência com os Five Eyes ou os Fourteen Eyes, então todos esses dados ainda poderiam ser acessados pelos EUA e outros aliados. Claro, esperando que o governo holandês faça o papel de guardião

    • Não é só uma questão de dados. Por exemplo, o problema é o risco de que os EUA possam, na prática, desligar coisas como a arrecadação de impostos ou o atendimento hospitalar na Holanda como parte de um ataque preventivo à Groenlândia

      Claro, a chance é baixa. Mas, no clima atual, as pessoas estão nervosas, e é melhor não correr riscos sem necessidade. O governo atual já iniciou uma estratégia de longo prazo para trazer de volta para dentro do país mais infraestrutura crítica de software, então vender para o exterior o software de um provedor de identidade crítico entra em choque frontal com a política atual

    • O ponto central era menos a preocupação com privacidade e mais algo como “não vamos entregar uma das peças mais importantes da infraestrutura a um país potencialmente hostil”. O DigiD é a plataforma de autenticação de usuários de quase todos os sites do governo holandês. Um governo estrangeiro poderia restringir o acesso e pressionar cidadãos holandeses a obedecer

    • É exatamente esse papel de guardião que faz a diferença aqui. A questão é: você entrega todos os dados para outro país e pede partes de volta quando precisar, ou hospeda tudo você mesmo e compartilha apenas as partes relevantes para a investigação daquele país? Não deveria ser uma estrutura em que outro país possa bloquear alguém toda vez que essa pessoa tentar usar o DigiD

    • “Se a Holanda tiver um acordo de compartilhamento de inteligência com os Fourteen Eyes”, então é uma suposição bastante segura, já que a Holanda é membro dos Fourteen Eyes

    • Não é uma questão de privacidade, e sim de controle