Cloud surveillance, waar hebben we het over?

30-01-2013 09:54 | Door Theo Loth | Lees meer artikelen over: Social media, Big data | Er zijn 22 reacties op dit artikel | Permalink
Computable Expert
Theo Loth
Theo Loth

Oprichter en bestuurslid

Expert van Computable voor het topic Cloud Computing

Meer

Gezien de hitte van de discussies over cloud surveillance krijg je de indruk dat Amerikaanse overheidsorganisaties doorlopend in onze cloud-data aan het grasduinen zijn. Het lijkt mee te vallen. Google rapporteert.

Er is veel te doen over de Patriot Act en recentelijk over de FISAA (Foreign Intelligence and Surveillance Amendments Act (FISAA). Deze wettelijke raamwerken bieden Amerikaanse overheidsorganisaties de mogelijkheid om toegang te krijgen tot in de cloud opgeslagen gegevens. Dat is een onprettig idee. Gezien de hitte van de discussies over dit onderwerp krijg je de indruk dat de Amerikanen doorlopend in onze cloud-data aan het grasduinen zijn. Maar doen ze het ook?

Dat blijkt enorm mee te vallen. Google - cloud provider bij uitstek; die moet het weten - publiceert regelmatig over het aantal gevallen dat zij wordt gelast toegang te geven tot in de Google-cloud opgeslagen gegevens of om informatie te geven over Google Accounts, bijvoorbeeld voor Gmail of YouTube.

Riemen vast: in het tweede halfjaar van 2012 is Google in de VS een whopping aantal keren van 8438 om gebruikersgegevens gevraagd en 14.791 keer om accountdata. Dat in een land met tientallen, misschien honderden miljoenen gebruikers en Zettabytes aan gegevens. Voor Nederland zijn de gegevens over deze periode nog niet beschikbaar, maar voor het eerste halfjaar van 2012 ging het om 59 gevallen in beide categorieën.

Kortom: waar hebben we het over? Ik vind deze getallen absoluut niet om over naar huis te schrijven. Het aantal aanvragen groeit overigens gestaag, maar jaar-op-jaar beslist niet met dubbele cijfers. En Google honoreert niet alle aanvragen; aan een kleine 90 procent wordt in de VS tegemoet gekomen. In Nederland is dat 76 procent.

Kanttekeningen: Google is maar een van de aanbieders. Ook andere, zoals FaceBook en Twitter, zullen gelast worden informatie te verstrekken. Maar er is geen reden om aan te nemen dat de aantallen bij anderen relatief heel veel hoger zullen liggen. En verder: je weet natuurlijk niet wat Google niet vertelt of mag vertellen. Maar de gepresenteerde aantallen zijn geen reden tot zorg, althans niet voor mij.

Wil je meer weten, lees dan het Transparency Report van Google.

 

Reacties op dit artikel
De redactie vindt deze reactie: OKLeen Blom, 30-01-2013 10:44
In het rapport van IVIR over Cloud-diensten en de toegang tot gegevens door de Amerikaanse overheid, in paragraaf 2.2.5 'Overige relevante bepalingen in de FISA' wordt gesproken over zogenaamde 'gag'-orders: verplichtingen voor bedrijven het gebruik van de bevoegdheid door overheidsinstanties geheim te houden.
 
Dus wat zeggen bovenstaande cijfers dan? In mijn ogen niet zoveel.
 
Zie: http://www.ivir.nl/publicaties/vanhoboken/Clouddiensten_in_HO_en_USA_Patriot_Act.pdf
De redactie vindt deze reactie: OKTR, 30-01-2013 11:40
Schrijver maakt hier wel een fout: Volgens beide wetten die hij aanhaalt wordt (in dit geval Google) de dataverwerker verplicht dit niet openbaar te maken. Dus als de overheid in de VS onder deze wetgeving data opvraagt, zal Google dit nooit (mogen) melden.
 
Dat maakt deze wetten dus zo 'eng'
De redactie vindt deze reactie: OKHenri Koppen, 30-01-2013 12:39
@TR: Tegen een gag order kun je overigens wel bezwaar maken, daarnaast roept Google anonieme gegevens en ik zie niet in waarom dat niet zou mogen, anders dat een overheid er niet blij mee is.
 
Wat Theo aangeeft is dat we de overheid-kijkt-in-onze-data wat meer waarde toegekend krijgt dan nodig. Of met andere woorden, dat het niet zo is dat als je iets in de cloud opslaat meteen ten prooi valt aan meekijkende overheden. Dat is ook mijn gevoel, maar het lastige blijft dat dit lastig goed in te schatten is.
 
Met research en bepaald intellectueel eigendom zou ik wellicht wat voorzichter zijn, maar voor 99% van de data zie ik geen risico dat het me kan schaden als de overheid daar toegang toe zou hebben. Aangezien politici over het algemeen ook gewoon mensen zijn, zou ik me niet al te druk maken over big-brother gevoelens. Aan de andere kant moet je wel waakzaam blijven en rechten beschermen die op de lange termijn kunnen leiden tot een autoritaire overheid die data misbruikt om burgers te onderdrukken.
 
Want er zijn veel staten in de wereld die het belang van macht veel hoger stellen dan het welzijn van de bevolking. Daarvoor pleit ik ook voor meer openheid door overheid. Laat ze maar eens kwantificeren hoeveel data zijn opvragen en hoe vaak.
 
Machtswellust is hetgeen wat mij nog altijd veel angst inboezemt...
De redactie vindt deze reactie: OKLeen Blom, 30-01-2013 13:39
Nog wat informatie over aantallen gag-orders: http://www.wired.com/threatlevel/2012/05/nsl-challenges/
 
In slechts een klein aantal gevallen wordt het recht om een gag-order aan te vechten ook daadwerkelijk uitgeoefend. Ik weet niet of Google daar bij is, ik kan daar geen informatie over vinden. Ben er wel benieuwd naar. Het zijn wel de partijen die het vermogen en de lange adem hebben om zoiets op te pakken.
Daarnaast zal het overgrote deel wel over Amerikaanse staatsburgers gaan, dat wordt niet duidelijk uit het artikel.
De redactie vindt deze reactie: OKQ, 30-01-2013 13:58
In het recente rapport dat te downloaden is van http://www.ponemon.org/local/upload/file/2012%20MTC%20Report%20FINAL.pdf blijkt dat 56% van de amerikanen bang is voor Big Brother. Alleen identiteitsdiefstal (61%) wordt meer gevreesd.
 
De getallen welke gegeven worden door Google zijn de gewenste "officiele" getallen. Echter wat er achter de schermen gebeurd met de opgeslagen informatie daar is geen zicht op. Zolang je als eigenaar van de broninformatie niet de sleutel hebt waarmee deze informatie beveiligd opgeslagen is, heb je absoluut geen controle meer over je gegevens in de cloud.
 
Dus een eerste stap om het vertrouwen in de cloud te herwinnen is om de eigenaren van de broninformatie ook de controle te geven over hun eigen informatie. En velen vrezen dat dit niet gaat gebeuren, tenzij de eigenaren van de informatie hier zelf voor gaan zorgen, zoals te zien is op zijvoorbeeld https://wuala.com/pgpstore
De redactie vindt deze reactie: OKHenri Koppen, 30-01-2013 21:01
Q: Je maakt altijd reclame met een link naar Wuala. Dit valt in mijn ogen gewoon in de categorie SPAM, al plaats je er wat zinnigs boven.
 
De nieuwe dienst van Kim Dotcom https://mega.co.nz/ slaat ook gegevens versleuteld op zodanige manier op dat hij het zelf niet kan inzien en daardoor niet meer aansprakelijk gesteld kan worden voor het delen van auteursrechtelijk beschermt werk.
 
Daarnaast gaat het niet om controle. Ik heb ook controle over mijn data als ik dit bij een cloud provider host. Het is alleen niet duidelijk of de hoster er zelf (actief) bij kan of dat overheid er bij kan.
 
Overigens vermoed ik ook dat we geen echte cijfers gepresenteerd krijgen.
 
Niettemin zie ik geen toekomst in IT op eigen ijzer.
De redactie vindt deze reactie: OKHenri Koppen, 30-01-2013 21:01
PS: Bij MEGA krijg je 50 Gb gratis :-)
De redactie vindt deze reactie: OKEwout Dekkinga, 31-01-2013 0:06
Theo,
 
Inderdaad, waar hebben we het over?
 
Een transparantie rapport van Google is leuk maar ook lachwekkend als ik kijk naar de lobby van ditzelfde bedrijf om binnen Europa allerlei wetgeving rond privacy te ondermijnen. Wist je trouwens dat Nederland wereldkampioen tappen is?
 
@Henri
Wat is er eigenlijk gebeurt met die andere dienst van Kim Dotcom, dat MegaUpload?
De redactie vindt deze reactie: OKMaarten Oberman, 31-01-2013 0:08
Goed .... ehh nee ... afdoende vercijferd opslaan is sowieso belangrijk, .......Je data ligt tenslotte buiten je eigen controle. Een provider kan er anders doorheen scannen en er kennis van nemen......
De redactie vindt deze reactie: OKEwout Dekkinga, 31-01-2013 0:21
Maarten,
 
Versleuteld opslaan levert volgens mij wel een paar problemen op, bijvoorbeeld met de sleutels. Het aan de provider geven van je sleutelbos is tenslotte net zoiets als politiekeurmerk veilig wonen maar toch vergeten de deuren op slot te doen.
De redactie vindt deze reactie: OKQ, 31-01-2013 8:51
@Henri Koppen: "Niettemin zie ik geen toekomst in IT op eigen ijzer.
 
Bedrijven lijken hier anders over te denken. Veel grote bedrijven zijn weer afgestapt van het in de cloud zetten van hun eigen gegevens. Dat is althans de conclusie uit het Oracle onderzoek "Next Generation Data Centre Index".
De redactie vindt deze reactie: OKLeen Blom, 31-01-2013 10:23
Maar ik ben wel benieuwd naar de wettelijke mogelijkheden en beperkingen van encryptie. Het is al eens eerder besproken n.a.v. een ouder artikel.
Vraag: is encryptie die niet door de overheden is te decrypten toegestaan? (misschien verschil NL, EU, VS).
De zaak rond Kim Dotcom lijkt erop te wijzen dat het uiteindelijk niet is toegestaan, let wel: decrypten alleen als de rechter dit eist.
De redactie vindt deze reactie: OKHenri Koppen, 31-01-2013 10:50
@Leen: Encryptie is een heet hangijzer omdat overheden beseffen wat de consequenties zijn. Jaren geleden viel 128 bits encryptie al onder de munitie wet in de VS.
 
Er zijn echter fundamentele problemen met het verbieden en zover ik weet is er nog niets besloten in deze.
 
Interessante standpunten vind je terug op Tweakers: http://tweakers.net/nieuws/73966/justitie-encryptie-moet-worden-verboden.html
 
Q: Tja ieder zijn eigen geloof en mening. Natuurlijk zal er wat tijd overheen gaan en gaat de adoptie eigenlijk vrij traag, maar ik zie het als iets onvermijdelijks. Niet omdat ik het per se wil, maar omdat het logisch is. Ons geld zetten we toch ook op de bank en dat vinden we volkomen normaal en malen we niet om privacy en mogelijk encryptie.
De redactie vindt deze reactie: OKLeen Blom, 31-01-2013 11:03
@Henry: die wet uit de VS gaat over export van encryptiemiddelen, niet over het encrypten van data. Maar je hebt gelijk: er is veel onduidelijkheid over de wettelijke kaders. Het voorbeeld dat je geeft gaat over je eigen locale data waarvan je in de UK verplicht bent de sleutels/wachtwoorden te overhandigen indien de rechter dit eist. Nederland zou dit ook willen als het gaat om vermoeden van kinderporno.
 
In de cloud-context zou ik dit wel toejuigen, omdat het een transparant proces is, je bent zelf betrokken en weet dus wanneer openheid van zaken wordt verlangd. Hiermee worden gag-orders vermeden omdat de man-in-the-middle, the cloud provider geen rol heeft hierin.
De redactie vindt deze reactie: OKQ, 31-01-2013 11:10
@Leen: Het issue met encryptie/decryptie is simpel. Het is volledig toegestaan. Alleen is er nog onduidelijkheid over de situaties waarin je verplicht bent de sleutel te geven voor decryptie.
 
@Henri: Het is minder logisch dan je denkt. Het is onzes inziens onlogisch om onbeveilgde informatie in de cloud op te slaan omdat deze informatie via deze weg simpel bij je concurrent terecht kan komen. Het is minder onlogisch om beveiligde data in de cloud op te slaan. Echter hier gelden ook reserves, bijvoorbeeld wat gebeurd er als de data plotseling niet meer bereikbaar bij storingen of permanent te zijn verdwenen ?
De redactie vindt deze reactie: OKSjoerd, 31-01-2013 11:12
In de UK bijv. is men verplicht om de encryptiesleutel aan de overheid te overhandigen als men daarom vraagt en soortgelijke stemmen zijn er ook in de US. Wat dat betreft is nog maar te bezien hoe de wetgeving daar zich ontwikkelt.
 
Het argument dat het opvragen van gegevens maar sporadisch gebeurd lijkt onschuldig maar zoals al eerder gezegd worden niet alle opvragingen geopenbaard. En het opvragen van gegevens van een argeloze burger is heel wat anders dan het opvragen van een prominent persoon, journalist of activist. En wat als deze gegevens worden geaggregeerd met alle andere gegevens die over de persoon bekend zijn? Wat dat betreft kan er een extreem nauwkeurig model worden samengesteld waarin exact bekend is wat de persoon zijn/haar patronen zijn en soms zelfs voordat deze het zelf beseft. En is het dan genoeg om uit te vinden dat deze persoon depressief is en maar een klein zetje nodig heeft om een definitieve keuze te maken? (Om maar een recent voorbeeld te noemen.)
 
Een bijkomend effect wat ook in de film Panopticon wordt aangehaald is het feit dat mensen zich beseffen dat ze worden 'bewaakt' ze hierop hun gedrag gaan aanpassen.
De redactie vindt deze reactie: OKMaarten Oberman, 31-01-2013 22:00
@Ewout
 

Zeg nee, je geeft je huissleutel toch ook niet aan een vreemde? Vercijferen prima, maar dan zelf de sleutels beheren organiseren etc. Op zich denk ik dat een vercijferd netwerk prima is te organiseren, dat is helaas al lang geen primeur (voor mij).
De redactie vindt deze reactie: OKEwout Dekkinga, 31-01-2013 23:13
@Maarten
 
Een vercijferd netwerk is geen enkel probleem, vercijferde opslag ook niet. Het wordt echter problematisch als de versleutelde gegevens verwerkt moeten worden. Beveiliging is dus behoorlijk lastig als er een 'man-in-the-middle' is in de vorm van een cloud provider. Betreffende tappen heeft Phil Zimmermann (ja, die van PGP) trouwens een leuke start-up: https://silentcircle.com/
 
Nu ik toch aan het 'spammen' ben, ook Unisys heeft een oplossing voor beveiligde communicatie:-) http://www.unisys.com/unisys/landingPages/info.jsp?id=1120000970012810072
De redactie vindt deze reactie: OKMaarten Oberman, 01-02-2013 9:08
@Ewout,
 
Dat is weer wat meer werk, maar Skype is in een andere vorm daar toch aardig in geslaagd, als programma dat zich zelf beveiligd. Maar zeker, er zijn natuurlijk momenten dat de data 'plain' is in een bewerkingsfase. Vaak zijn beveiligingsmaatregelen een opeen stapeling van drempeltjes.
 
Misschien toch weer een puntje boven tafel tegen een bepaalde cloudvorm...
De redactie vindt deze reactie: GoedEwout Dekkinga, 01-02-2013 10:04
@Maarten
 
Beveiliging zijn vooral een heleboel technische maatregelen die je het beste vooraf inzichtelijk kunt hebben. Het achteraf pleisters plakken zorgt meestal voor een behoorlijk gehavende oplossing die zich uiteindelijk het beste laat kenmerken als: 'Security through obscurity'.
 
Nu had ik aan Theo al eerder wat vragen gesteld over de 'Europese backdoors' die er zijn of komen maar daarop geen antwoord gekregen. Een rookscherm optrekken zorgt namelijk niet voor de broodnodige transparantie en dus ben ik benieuwd naar zijn mening over eerdere Europese afspraken aangaande privacy. Want deze zijn blijkbaar niet met 'bloed geschreven' en dus onderhandelbaar voor concessies.
 
Theo had wat mij betreft dan ook beter aandacht kunnen geven aan de verjaardag van: "EU Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data" uit 1981. Want ondertussen wordt duidelijk dat deze door de lobby industrie in Brussel behoorlijk verwaterd is waardoor we langzaam digitale 'lijfeigenen' worden.
De redactie vindt deze reactie: OKQ, 01-02-2013 11:03
@Leen, @Maarten: Zoals "Masters in ICT" weten is het internet alleen zo'n succes geworden door encryptie.
 
Voor de echte experts is bijvoorbeeld interessant het bewijs te besuderen dat te vinden is op https://content.wuala.com/contents/FreemoveQuantumExchange/Aspects/Security/Programs/SourceCodingExamples/Example.pdf
De redactie vindt deze reactie: OKMaarten Oberman, 02-02-2013 12:24
@Q,
 
met dat onderwerp kan ik uitstekend uit de voeten , kijk maar eens op - Patent pub. nr.: " 0 105 553" . Welis waar historie, mar toe state of the art.
 
Ik denk dat overigens je stelling over het succes van Internet door vercijfering wel verder door te trekken is tot alles wat in bitjes vertaald is, omdat het een van de weinige manieren is om dit te beveiligen.
Gerelateerde artikelen

06-02-13  IT'er zet vraagtekens bij security public cloud

Wat is beter: MS Office of Google Apps?

Organisaties hebben als het gaat om productiviteitstoepassingen, e-mail en samenwerking – onder de verzamelnaam......

19 vacatures
Netwerk- Systeembeheer

Wazda-IT Solutions , Goor

Managed Services Engineer m/v / systeembeheerder

PK Automatisering , Assen

Senior Systeembeheerder

ORTEC bv , Zoetermeer

Senior systeembeheerder

Openbare Bibliotheek Amsterdam , Amsterdam

Junior Projectleider ICT

Grant Thornton , Alphen aan den Rijn

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1563 6.2
Klik voor meer info2 1299 6.0
Klik voor meer info3 1266 6.2
Klik voor meer info4 1069 6.2
Klik voor meer info5 976 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 521 6.1
Klik voor meer info9 397 6.0
Klik voor meer info10 391 6.2