Hà Lan chặn thương vụ Mỹ thâu tóm nhà cung cấp số trọng yếu

Ý kiến trên Hacker News

• Cuối cùng cũng làm rồi

  Cả nước đã yêu cầu điều này suốt nhiều tuần mà chính phủ hoàn toàn im lặng. Vài tuần trước, toàn bộ quốc hội đã thông qua kiến nghị đồng ý chấm dứt hợp đồng với Solvinity, chỉ có đúng một đảng phản đối, nhưng chính phủ lại gia hạn hợp đồng; rốt cuộc chỉ còn cách chặn luôn thương vụ mua lại, mà cũng không mấy ai tin chính phủ sẽ làm vậy.

  Lý do cốt lõi là Solvinity đang lưu trữ DigiD, hệ thống định danh điện tử quốc gia của Hà Lan. DigiD xử lý việc xác thực cho toàn bộ hệ thống chính phủ và các hệ thống nhạy cảm như y tế. Do luật Mỹ quy định rằng dữ liệu do công ty Mỹ nắm giữ phải cho phép chính phủ Mỹ truy cập bất kể được lưu trữ ở đâu, nên rõ ràng hệ thống này không được rơi vào tay Mỹ.

  Tất nhiên, vẫn còn rất nhiều dữ liệu nhạy cảm nằm trong tay các công ty Mỹ như Microsoft, Amazon. Không biết khi nào chuyện đó mới được xử lý.

  • Thực ra phức tạp hơn một chút

    Logius mới là bên thực sự sở hữu và vận hành stack DigiD, còn Solvinity chỉ được thuê vì chuyên môn. Theo tôi biết thì Solvinity không thể truy cập dữ liệu.

    Giờ tôi không tìm lại được, nhưng trên Tweakers có một người trong cuộc để lại bình luận rất dài giải thích rằng Logius gần như không có kiến thức về cách stack hiện tại vận hành và có rất nhiều thành phần tùy biến. Đây là kiểu vendor lock-in điển hình. Chính phủ, chính xác hơn là Logius, giờ muốn thoát khỏi Solvinity, nhưng có vẻ đây sẽ là quá trình mất ít nhất 5 năm.

    Đây có vẻ là kiểu việc mà “vòng tròn nhanh” của EU nên cùng làm. Chẳng hạn lấy stack của Estonia làm nền, rồi Sweden, Denmark, Finland, The Netherlands cùng áp dụng và đồng phát triển. Các phần tùy biến cần thiết cho từng nước có thể được thiết kế để mở rộng, rồi cứ vài năm lại xem phần mở rộng nào có thể được khái quát hóa và mô-đun hóa thì sẽ ra một sản phẩm tốt hơn rất nhiều. Mơ mộng chút cũng được mà :)

  • Một số chức năng của DigiD bản thân nó yêu cầu ứng dụng iOS hoặc Android. Điều đó đồng nghĩa phải có quan hệ hợp đồng với Apple hoặc Google, và họ cũng là bên quyết định liệu bạn có thể cài và dùng ứng dụng hay không.

    Tôi hiểu rằng con đường này không mở thêm quyền truy cập vào dữ liệu nhạy cảm, nhưng dù vậy các công ty đó vẫn có quyền chặn một cá nhân cụ thể truy cập ứng dụng DigiD.

    Phần lớn chức năng không cần ứng dụng, nhưng trong một số tác vụ liên quan đến y tế thì chỉ dùng được ứng dụng và không có phương án thay thế.

  • Gọi là “cuối cùng” thì hơi muộn một bước rồi. Hai năm nữa người ta sẽ lại nhắc rằng đã thấy chuyện này trước ở đây.

    Nếu công ty kháng cáo, quyết định này rất có thể sẽ bị lật ở cả tòa Hà Lan lẫn tòa châu Âu. Nhất là sau khi Mark Rutte Daddy gọi điện thì càng dễ như vậy. Mục đích duy nhất của biện pháp này là để chính phủ Hà Lan giữ thể diện, phục vụ trong nước. Chắc đâu đó họ cũng đã cất sẵn bản rà soát pháp lý nội bộ nói đúng như thế. Rồi sau này họ sẽ nói “chúng tôi đã cố nhưng tòa án ngăn lại”.

    Toàn bộ bộ máy ngoại giao và công vụ Hà Lan, bao gồm cả Bộ Ngoại giao Hà Lan, dùng hạ tầng Microsoft rất rộng rãi cho công việc thường ngày, dịch vụ đám mây và email. Và dữ liệu cũng đã bị rò rỉ.

    “Microsoft Accused Of Sharing Dutch Officials’ Data with U.S. Government” - https://www.yahoo.com/news/politics/articles/microsoft-accus...

    Công ty kháng cáo cũng sẽ dùng chính điều này làm trọng tâm pháp lý. Họ sẽ lập luận rằng quyết định này đã bị chính trị hóa, thiếu cơ sở, và không tương xứng vì rủi ro có thể được xử lý bằng các biện pháp bảo vệ kỹ thuật và pháp lý có tính ràng buộc. Và họ sẽ lấy việc Bộ Ngoại giao dùng Microsoft trên diện rộng làm ví dụ :-)

    Cuối cùng thì đây cũng chỉ là một kiểu đạo đức giả kiểu Polder khác của chính phủ Hà Lan.

  • Với những gì hiện biết thì diễn biến này khá hợp lý. Chỉ là chúng ta không biết phía sau còn chuyện gì đang diễn ra.

    Chắc hẳn đã có đàm phán về những cách như tách riêng và duy trì dữ liệu, và việc chặn hoàn toàn được giữ lại như biện pháp cuối cùng.

    Dù sao thì kết quả này vẫn tốt.

  • Nếu nói đến “luật Mỹ yêu cầu chính phủ Mỹ phải có quyền truy cập dữ liệu do công ty Mỹ nắm giữ”, thì cụ thể là luật nào vậy?

• “Sự chính trị hóa trong quá trình này đã che khuất những lợi ích rõ ràng và quan trọng mà thương vụ này sẽ mang lại cho khách hàng của Solvinity và công dân Hà Lan”

  Câu này thật trơ trẽn. Bảo vệ quyền riêng tư và lợi ích của công dân là công việc của chính trị gia. Có thể theo tiêu chuẩn Mỹ ngày nay thì đó là ý tưởng kỳ lạ.

• Đây chính là lý do vì sao quyền riêng tư được đảm bảo bằng kiến trúc quan trọng hơn quyền riêng tư được đảm bảo bằng chính sách. Hà Lan đã tin vào chính sách “Solvinity không thể truy cập dữ liệu”, nhưng kiến trúc thì dù sao vẫn cho phép điều đó.

  Giải pháp thực sự là một hệ thống chủ quyền mật mã mà ngay cả nhà cung cấp cũng không thể truy cập dữ liệu người dùng về mặt toán học, bất kể luật Mỹ nói gì. Không phải “hứa là sẽ không nhìn”, mà phải là “theo nghĩa đen là không thể nhìn được”.

  Tôi đang làm một thứ nhỏ theo hướng đó. Danh tính là cụm từ hạt giống BIP-39, còn tin nhắn là mạng mesh được mã hóa đầu cuối ở cấp giao thức chứ không phải cấp ứng dụng. Mục tiêu là khiến ngay cả tôi, với tư cách nhà phát triển, cũng không thể đọc được tin nhắn của người dùng. Còn đang ở giai đoạn đầu, nhưng chính vấn đề đang được mô tả ở đây là lý do vì sao những thứ như vậy cần tồn tại.

  • “Danh tính là cụm từ hạt giống BIP-39” tức là

    Lại quay về việc một yếu tố xác thực dựa trên tri thức duy nhất trở thành danh tính à?

    Có lý do khiến ý tưởng đó không tồn tại.

  • Hoặc có thể lưu trữ dữ liệu trong nước bằng một công ty có pháp nhân tại nước mình. Tức là đám mây chủ quyền.

• Là một công dân Hà Lan, tôi không hiểu vì sao họ không thể tự lưu trữ một giải pháp định danh mã nguồn mở phục vụ 20 triệu người dùng với 30 nghìn yêu cầu mỗi giờ. Chuyện đó thì khó đến mức nào?

  • Là một công dân Mỹ đang hỗ trợ chính phủ Hà Lan làm đúng chuyện đó, tôi cũng thắc mắc.

    https://openwallet.foundation/staff/

  • Tôi cũng tự hỏi việc tuyển được kỹ sư giỏi để làm cho ngân hàng hay chính phủ thì có thể khó đến mức nào.

  • 30 nghìn yêu cầu mỗi giờ à? VPS 5 euro cũng xử lý dễ dàng.

• Tôi chưa từng nghe đến ‘Kyndryl’.

  https://en.wikipedia.org/wiki/Kyndryl

  “Kyndryl, chính thức ra mắt vào cuối năm 2021, được tạo ra từ việc tách mảng dịch vụ hạ tầng của IBM.”

“Kyndryl đã hoạt động tại 63 quốc gia tính đến tháng 11 năm 2021”

• Mong là sẽ có thêm nhiều cơ quan báo chí viết điều này cho đúng. Kyndryl trước đây là IBM và có 73.000 nhân viên trên toàn cầu. Khi tin này mới xuất hiện, không ai từng nghe đến cái tên đó nên nó nghe như một công ty hosting nhỏ ngẫu nhiên nào đó, nhưng thực ra là một gã khổng lồ

• Không ai bị sa thải chỉ vì thuê Kyndryl

• Nếu đây là hạ tầng quan trọng đến thế của Hà Lan, thì tại sao ngay từ đầu nó lại nằm trong tay tư nhân?

  • Bản thân DigiD thuộc sở hữu của chính phủ, nhưng hạ tầng do công ty tư nhân Solvinity quản lý. Cũng không khác mấy việc chính phủ Mỹ chạy một nửa stack trên AWS

  • Vì có quá ít người giỏi IT sẵn sàng làm việc theo khung lương của chính phủ. Trong đa số trường hợp, làm ở khu vực tư nhân hoặc doanh nghiệp sẽ kiếm được nhiều tiền hơn

    Vì vậy, phần lớn các dự án IT của Hà Lan đều rơi vào tay các công ty tư nhân, và trong các trường hợp như DigiD hay các nền tảng nhắn tin chính thức và bảo mật, các nhà cung cấp hosting có thể tính mức phí vô lý. Bạn có biết gửi một tin nhắn qua Berichtenbox tốn 25 xu không? Mỗi năm, khi chính phủ gửi thông báo “đã đến lúc khai thuế”, họ phải trả hàng triệu euro. Trừ khi có hợp đồng chiết khấu số lượng lớn

  • Vì các quỹ đầu tư mạo hiểm tư nhân và ngân hàng đầu tư rất quyền lực muốn chính phủ tiếp tục ở trong trạng thái bất lực trước tư bản. Chào mừng đến với thế giới phương Tây

  • Vì tư nhân hóa

• Đây là điều tốt, nhưng đặc biệt khi nhìn vào chính quyền Mỹ hiện tại, có lẽ đây sẽ không phải lần cuối. ASML cũng chỉ được phép mua lại công ty Mỹ Cymer vào năm 2013 sau khi chấp nhận các thỏa thuận nghiêm ngặt về chia sẻ công nghệ và kiểm soát xuất khẩu. Cymer thực sự sở hữu công nghệ nguồn sáng EUV có giá trị

  Việc Hà Lan chặn một thương vụ phía Mỹ vì lo ngại kiểm soát công nghệ chắc chắn sẽ khiến Washington khó chịu

  • Đây không phải kiểu công ty tự phát triển công nghệ độc quyền, mà là một công ty xử lý một phần trong hạ tầng quan trọng nhất của chính phủ chúng ta. Hoàn toàn có thể hình dung những lo ngại về quyền riêng tư. Đây là một trường hợp hoàn toàn khác

  • Nếu là năm 2013 thì rất có thể thương vụ tương tự đã được thông qua. Quan hệ Mỹ - Hà Lan vào năm 2013 dưới thời Obama hoàn toàn khác với quan hệ hiện nay dưới nhiệm kỳ Trump 2. Việc viện dẫn những gì đã diễn ra thời Obama để nói về tính có đi có lại ngày nay là không thuyết phục. Ai cũng biết Trump phản đối gần như mọi thứ Obama từng làm

  • Đây là một chi tiết lớn khiến bức tranh trở nên phức tạp hơn. Công nghệ quang khắc của ASML đã hưởng lợi rất nhiều từ nghiên cứu của Bộ Năng lượng Mỹ

    “Năm 1997, ASML bắt đầu nghiên cứu việc chuyển sang sử dụng tia cực tím bước sóng cực ngắn. Hai năm sau, công ty tham gia một liên danh gồm Intel và hai nhà sản xuất chip Mỹ khác để tận dụng nghiên cứu nền tảng do Bộ Năng lượng Mỹ thực hiện. Cooperative Research and Development Agreement (CRADA) mà liên danh này tuân theo được tài trợ bằng tiền của chính phủ Mỹ, vì vậy giấy phép phải được Quốc hội phê duyệt”

  • ASML đưa Cymer vào nội bộ vì Cymer không thể tạo ra công nghệ mà họ cần, và để thực sự tạo ra kết quả cần thiết thì ASML đã phải dồn nguồn lực và kỹ sư vào dự án của nhà cung cấp. Cymer chỉ làm được nguồn sáng EUV 10W, trong khi ASML cần nguồn sáng 250W, nên họ mua công ty để có thể thực hiện điều họ muốn. ASML cũng có các nhà cung cấp nguồn sáng khác để chuyển sang

    Theo nghĩa đen, họ mua lại vì công ty đó không thể làm được thứ họ cần. Nhưng nhiều người Mỹ, theo kiểu chủ nghĩa ngoại lệ Mỹ quen thuộc, lại muốn viết lại cả thế giới như thể ASML là một thực thể ma thuật đang giấu công nghệ Mỹ trong áo choàng. Như thể mọi thứ bằng cách nào đó đều mắc nợ người Mỹ

    Chính phủ Mỹ đã ép tất cả các công ty Mỹ không được làm việc với thẩm phán hay nhân viên ICC với lý do bảo vệ Israel, ông chủ của nước Mỹ. Chỉ riêng điều này thôi cũng đủ để mọi công ty Mỹ bị đuổi khỏi tất cả các quốc gia khác. Ý tưởng trao quyền kiểm soát công nghệ hạ tầng trong nước cho một công ty đặt địa chỉ tại Mỹ là điên rồ, gần như ở mức phản quốc. Bất kỳ ai thúc đẩy điều đó đều phải bị điều tra kỹ lưỡng. Tương tự, việc UK vẫn tiếp tục triển khai mấy thứ rác rưởi của Palantir là bằng chứng rõ ràng rằng đất nước đó đã hỏng hoàn toàn và cần một cuộc tái cơ cấu bộ máy công vụ trên diện rộng

    Tất cả những điều này còn chưa tính đến đủ loại trò mè nheo, mức độ tham nhũng kỳ quái và hành vi công khai đe dọa đồng minh

    Chắc chắn điều này sẽ “khiến họ khó chịu”, nhưng Mỹ đã làm quá tay đến mức không ai còn quan tâm đám ấu dâm, ngu ngốc và tội phạm trục lợi trong cái quốc gia ngớ ngẩn đó đang nổi cơn vì điều gì nữa. Đến mức này thì nên đuổi Mỹ ra khỏi NATO, đóng tất cả các căn cứ, và mỗi nước tự trang bị vũ khí hạt nhân

• Tin tốt đấy. Sẽ thật thảm hại nếu một phần cốt lõi như vậy của xã hội chúng ta lại bị chi phối bởi sự thất thường của một quốc gia khác, nhất là một quốc gia bất ổn và công khai thù địch

• Chúng ta sẽ còn thấy xu hướng chặn quyền sở hữu của Mỹ thường xuyên hơn trong tương lai. Dù quan hệ có tốt đến đâu, không chính phủ nào nên và có thể trao quyền tiếp cận dữ liệu của chính phủ mình và dữ liệu công dân cho một bên mua lại từ nước ngoài

  Tách riêng ra, vụ này cho thấy một bức tranh rõ ràng hơn về quyền lực kiểm soát của Mỹ. Họ đang đánh mất nó. Mỹ bị nhìn như một mối đe dọa, và một thực tiễn cưỡng ép đang bắt đầu: sở hữu dữ liệu rồi dùng nó làm công cụ kiểm soát

  • Có vẻ bạn đang giả định dữ liệu công dân sẽ bị chuyển đi, có bằng chứng nào cho điều đó không?

• Nếu Hà Lan có thỏa thuận chia sẻ tình báo với Five Eyes hay Fourteen Eyes, thì toàn bộ dữ liệu này vẫn có thể được Mỹ và các đồng minh khác sử dụng. Dĩ nhiên, hy vọng là chính phủ Hà Lan sẽ đóng vai trò người gác cổng

  • Không chỉ là vấn đề dữ liệu. Ví dụ, rủi ro là trong khuôn khổ một cuộc tấn công phủ đầu vào Greenland, Mỹ có thể thực tế tắt hệ thống thu thuế hay khám chữa bệnh của Hà Lan

    Tất nhiên, khả năng đó là thấp. Nhưng trong bầu không khí hiện nay, mọi người cảm thấy bất an, và tốt hơn là không nên chấp nhận rủi ro không cần thiết. Chính phủ hiện tại đã bắt đầu một chiến lược dài hạn nhằm đưa thêm hạ tầng phần mềm cốt lõi về trong nước, nên việc bán phần mềm nhà cung cấp danh tính cốt lõi ra nước ngoài đi ngược hoàn toàn với chính sách hiện nay

  • Trọng tâm không hẳn là lo ngại về quyền riêng tư, mà gần hơn với việc “đừng giao một trong những mảnh hạ tầng quan trọng nhất của chúng ta cho một quốc gia có thể trở nên thù địch”. DigiD là nền tảng xác thực người dùng cho gần như mọi website chính phủ của Hà Lan. Một chính phủ nước ngoài có thể gây sức ép buộc cá nhân Hà Lan phải phục tùng thông qua việc hạn chế quyền truy cập

  • Chính vai trò người gác cổng đó mới tạo ra khác biệt ở đây. Vấn đề là bạn muốn giao toàn bộ dữ liệu cho một quốc gia khác rồi khi cần thì xin họ trả lại từng phần, hay tự mình lưu trữ và chỉ chia sẻ những phần liên quan đến cuộc điều tra của quốc gia đó. Không thể để cấu trúc mà mỗi lần ai đó muốn dùng DigiD thì quốc gia kia lại có thể chặn được

  • Nếu là “nếu Hà Lan có thỏa thuận chia sẻ tình báo với Fourteen Eyes”, thì đó là một giả định khá an toàn vì Hà Lan là thành viên Fourteen Eyes

  • Đây không phải vấn đề quyền riêng tư mà là vấn đề quyền kiểm soát