De uitgever van VMware, „een buitenlandse leverancier die zich als een tiran heeft gedragen tegenover zijn klanten en partners”
Het CISPE maakt zich zorgen over de intimiderende praktijken van Broadcom, de uitgever van VMware, die indruisen tegen een soevereine strategie op het gebied van cloud computing. En haalt flink uit.
Broadcom presenteert zijn VMware Cloud Foundation (VCF)-software als de sleuteltechnologie voor de ‘soevereine cloud’ van de Europese Unie, maar dat is onjuist, stelt de secretaris-generaal van CISPE, Francisco Mingorance. “Broadcom is niet de oplossing voor de problemen rond technologische soevereiniteit in Europa!”
Als Amerikaanse leverancier die onderworpen is aan de CLOUD Act en andere extraterritoriale voorschriften, bevat VCF, de VMware Cloud Foundation-software van Broadcom, aspecten die de controle van klanten over clouddiensten in gevaar brengen.
„Door het gebrek aan overdraagbaarheid en het schaarse aanbod aan alternatieven komt VCF niet eens in aanmerking voor de certificering ‘veerkrachtig’ binnen het CISPE-kader voor soevereine en veerkrachtige clouddiensten – een kader dat is ontworpen om klanten controle over hun diensten te garanderen wanneer zij gebruikmaken van niet-soevereine diensten.”
CADA, niveau 1
Naar aanleiding van de publicatie van de CADA (Cloud and AI Development Act), die op 3 juni door de Europese Commissie werd gepubliceerd, is CISPE ook van mening dat de software van Broadcom slechts een certificering van niveau 1 zou moeten krijgen. Het laagste niveau.
Voor het CISPE vallen de tekortkomingen uiteen in twee categorieën. Ten eerste: softwareafhankelijkheid. Het CISPE-kader voor een soevereine en veerkrachtige cloud definieert duidelijk de noodzakelijke controles die klanten op hun software moeten uitoefenen. Het gaat met name om de mogelijkheid om kritieke onderdelen te inspecteren, te onderhouden, te verplaatsen en te repliceren. VCF is een propriëtaire softwarestack met gesloten broncode, geleverd door een Amerikaanse leverancier die onderworpen is aan de exportregelgeving (EAR), de douanerechten van het OFAC en de CLOUD Act.
De algemene voorwaarden van Broadcom bieden beperkte onderhoudsverplichtingen, geen deponering van broncode, geen vervangingsplan en geen certificering onder de Data Act. Daardoor zou deze oplossing niet voldoen aan de vereisten voor CADA-garantie boven niveau 1.
Het uitvoeren van deze software in een soeverein datacenter of op locatie lost deze afhankelijkheidsproblemen niet op. Broadcom behoudt de eenzijdige controle en is de enige bron van patches, updates en onderhoud. Indien Broadcom dit wenst of hiertoe gedwongen wordt, kan het de toegang voor zijn klanten onderbreken, waardoor zij achterblijven met een niet-gelicentieerde en snel verslechterende virtualisatielaag.
Afhankelijkheid
Tweede aspect: operationele autonomie. Er zijn maatregelen nodig om de veerkracht te waarborgen tegen operationele risico’s zoals onderbreking, interferentie of verslechtering van de dienstverlening. In de openbare reactie van Broadcom op de CADA wordt erkend dat „softwareafhankelijkheid waardoor een buitenlandse regering toegang krijgt tot Europese operaties of deze kan verstoren, de soevereiniteit in gevaar brengt”.
Toch vereist het eigen mechanisme voor „nalevingsrapportage“, opgenomen in de specifieke documentatie van het VCF-programma (versie 9.0 en later), om de 180 dagen een nalevingsrapport, op straffe van verslechtering of blokkering van het beheerplan. Kortom, een noodstopmechanisme.
Broadcom, een „tiran“ tegenover zijn klanten en partners
Ook hier geldt dat implementatie in soevereine datacenters of op locatie geen vrijstelling biedt van deze verplichting, en er bestaat geen realistisch of betaalbaar alternatief. Klanten zitten gevangen in een niet-soeverein en niet-veerkrachtig softwareplatform.
In zijn commentaar op deze conclusies concludeert Francisco Mingorance dat VCF een propriëtair product is waarvan de interoperabiliteit en vervangbaarheid beperkt zijn.
„Het wordt gecontroleerd door een buitenlandse leverancier die zich als een tiran heeft gedragen tegenover zijn klanten en partners. Als Europa een voorbeeld nodig heeft van de gevaren van een buitensporige afhankelijkheid van dominante buitenlandse spelers, dan is Broadcom daar het bewijs van!“



