Door het gebruik van Google Apps verhoogt het ministerie van Buitenlandse Zaken de kans dat staatsdocumenten worden gestolen. Dat zegt directeur Walter Belgers van het beveiligingsbedrijf Madison Gurkha in reactie op het nieuws dat dit ministerie in het eerste kwartaal van 2010 een pilot uitvoerde met Google Apps onder vijfhonderd medewerkers.
Door deze keuze loopt het ministerie een groter risico op diefstal van staatsgegevens dan wanneer gegevens op interne servers worden opgeslagen, zo zegt Belgers. 'Wat als het internet uitvalt? Kan het ministerie dan nog bij zijn gegevens?'
'In termen van kostenbesparingen kan ik me best voorstellen dat het ministerie deze keuze heeft gemaakt.' Of de kostenbesparingen die de overheid kan nemen opwegen tegen dit extra risico, hangt volgens de beveiligingsexpert van een aantal zaken af. In de eerste plaats hangt het af van de vertrouwelijkheid en beschikbaarheidseisen van het type documenten dat Buitenlandse Zaken opslaat binnen Google Apps, zo zegt Belgers.
Opslag buiten Europa
Daarnaast vraagt hij zich af of de documenten van het ministerie opgeslagen worden op servers die ook door andere klanten worden gebruikt. 'In dat geval zou er een minder grote muur om de gegevens staan.'
Belgers vermoedt dat de meeste gegevens vanwege logistieke redenen binnen Europa worden bewaard, maar hoopt toch dat het ministerie hierover afspraken heeft gemaakt: 'Anders valt niet uit te sluiten dat er toch staatsgegevens buiten Nederland, of buiten Europa, worden opgeslagen.'
Het ministerie van Buitenlandse Zaken was nog niet in staat een reactie te geven. Google laat weten hierover geen uitspraken te doen.
Beveiliging binnen bedrijven is vaak slechter geregeld dan bij Google. Memory sticks die slingeren, slecht geconfigureerde firewalls, verkeerd geconfigureerde operating systems, virussen, trojans etc. Het zal allemaal nogal meevallen met dat risico tov het gebruik van MS of Open Office.
@frank
Het gaat niet alleen om pure diefstal, spionage speelt ook een grote rol. Zodra we ministriele gegevens op servers in het buitenland zetten, dan kan je er donder op zeggen dat men die gegevens gaat inzien.
Denk bijvoorbeeld aan de Patriot Act in de VS en de bevoedheden die de CIA tegenwoordig heeft, zelfs zonder tussenkomst van de gerechtelijke macht.
Wat mij betreft is juist BuZa een uitgesproken voorbeeld van een instantie die nooit en te nimmer gebruik dient te maken van een cloud oplossing (of wat voor data opslag dan ook) beheert door een buitenlands bedrijf.
Ze dienen hen eigen zaakjes goed op orde te hebben met zwaar beveiligde clients en servers op Nederlandse bodem, het liefst in eigen beheer.
De heer Belgers wil weten wat er gebeurt, als internet uitvalt. Waarschijnlijk hetzelfde als wanneer de stroom uitvalt. Binnen de Google apps zijn overigens al een paar jaar mogelijkheden am alles ook lokaal op te slaan, de zogenaamde remote opties. Met synchronisatie en alles.
Wat is verder beter uit het oogpunt van veiligheid, dan je eigen gegevens op een onbekende plek buiten de deur te hebben?
Voordat BitLocker-to-Go etc is geïmplementeerd bij BuZa ben je een decennium verder. Dus wat dat betreft is het juizt goed dat ze overgaan op Google Apps. Qua beveliging loopt Google mijlenver achter op Microsoft Azure (die hebben zowel IP-source-adres beperking, encryption/authentication-certificates als loginnaam/wachtwoord-beveiliging). Wellicht gaat Google nu ook wat aan veiligheid doen. Bij Google moet je nog de meisjesnaam van je moeder of de naam van je favoriete huisdier invullen voor je wachtwoord-reset. In combinatie met Gmail kan dat eventueel nog een leuk feestje worden bij BuZa. Maar ze zullen ongetwijfeld aanvullende afspraken gemaakt hebben.
@Frank: We hebben gezien hoe “nauw” Google het neemt met de privacy bij het nemen van foto’s voor location-aware diensten in Duitsland. En passant wordt er her en der wat gesniffed op WLAN netwerken, worden SSIDs opgeslagen en vinden meer van die bedenkelijke activiteiten plaats. Zou er ook daadwerkelijk al zijn gerommeld in gegevens op de computers in die WLANs en staan deze inmiddels in de Google search database?
Ik zou niet zo snel in mijn ogen altijd gevoelige informatie van Buitenlandse Zaken onderbrengen bij Google, gezien de hierboven geschetste, bedenkelijke reputatie. Daarbij kijk ik nog niet eens naar het aspect beschikbaarheid: wie garandeert de uptime van het Internet?
Goede punten. Het beveiligingsrisico & controlegebrek is groot! +Google is nou niet bepaald een neutrale partij. Ik zou het niet vertrouwen om onze staatsdocumenten er op te zetten. Hun doel is immers: Total Information! En dan geef je hun toegang tot staatsgeheimen??
Zie ook het artikel van gisteren. Hele probleem is dat Google geen enkele garanties what so ever geeft. Niet waar de data is opgeslagen, niet wie toegang heeft tot de data, niet wat ze met de data doen.
Probleem met uptime garantie is dat ondanks dat Google het ongetwijfeld heel goed zal doen ze zelfs daar geen garantie over geven. Ik bedoel, kom op zeg! Ze beginnen daarnaast pas te meten na minimaal 10 minuten down gelegen te hebben.
“Wat als het internet uitvalt?” Euhm, wat? Veiligheid mag nooit gebaseerd zijn op angst en wantrouwen, maar op kansen dat een probleem zich voordoet en impact afgewogen tegen baten.
En nu even echte argumenten alstublieft. Ik zie namelijk nog geen een.
@Viktor: meen je dat nu echt serieus?
Argumenten worden genoemd, nu nog de feiten…
Zie onder meer:
http://www.security.nl/artikel/33302/1/Google_onderschepte_priv%C3%A9gegevens_via_WiFi.html
http://webwereld.nl/nieuws/65817/duitsland-furieus-over-wifi-scannen-street-view.html
Ik heb maar even twee URLs opgenomen om de reeds genoemde argumenten met feiten te onderbouwen.
Hoed en de rand verhaal. “BuZa gaat over op Google Apps”. Zelfde categorie als heel UPC is een slecht bedrijf want ik heb een rot-ervaring met 1 van hun medewerkers. Kortom: Welk deel van BuZa gaat Google Apps gebruiken? Welk type informatie wordt hiermee verwerkt? Etc.