Door het gebruik van Google Apps verhoogt het ministerie van Buitenlandse Zaken de kans dat staatsdocumenten worden gestolen. Dat zegt directeur Walter Belgers van het beveiligingsbedrijf Madison Gurkha in reactie op het nieuws dat dit ministerie in het eerste kwartaal van 2010 een pilot uitvoerde met Google Apps onder vijfhonderd medewerkers.
Door deze keuze loopt het ministerie een groter risico op diefstal van staatsgegevens dan wanneer gegevens op interne servers worden opgeslagen, zo zegt Belgers. 'Wat als het internet uitvalt? Kan het ministerie dan nog bij zijn gegevens?'
'In termen van kostenbesparingen kan ik me best voorstellen dat het ministerie deze keuze heeft gemaakt.' Of de kostenbesparingen die de overheid kan nemen opwegen tegen dit extra risico, hangt volgens de beveiligingsexpert van een aantal zaken af. In de eerste plaats hangt het af van de vertrouwelijkheid en beschikbaarheidseisen van het type documenten dat Buitenlandse Zaken opslaat binnen Google Apps, zo zegt Belgers.
Opslag buiten Europa
Daarnaast vraagt hij zich af of de documenten van het ministerie opgeslagen worden op servers die ook door andere klanten worden gebruikt. 'In dat geval zou er een minder grote muur om de gegevens staan.'
Belgers vermoedt dat de meeste gegevens vanwege logistieke redenen binnen Europa worden bewaard, maar hoopt toch dat het ministerie hierover afspraken heeft gemaakt: 'Anders valt niet uit te sluiten dat er toch staatsgegevens buiten Nederland, of buiten Europa, worden opgeslagen.'
Het ministerie van Buitenlandse Zaken was nog niet in staat een reactie te geven. Google laat weten hierover geen uitspraken te doen.
Geweldig dat BUZA dit onderneemt. Dit toont leiderschap en visie. Laat die security zakkenvullers maar lullen, allemaal bangmakerij. Wat maakt het uit waar jouw gegevens zijn opgeslagen, zolang je er maar goede afspraken over hebt gemaakt. Eindelijk een overheidsinstantie die niet voor een conventionele (dure) oplossing gaat. Ik wens BUZA veel succes in dit spannende avontuur.
@Gert,
welke kans is groter: een storing bij een eigen IT afdeling of de kans dat internet uitvalt.
Bovendien is dat laatste niet echt interessant, ook Google maakt gebruik van servers die ergens gewoon kunnen omvallen. Wel heeft een bedrijf als Google meer mogelijkheden om efficient redundantie in te bouwen.
Binnen BuZa zie ik dat laatste niet effectief en effecient gebeuren.
Ik denk dat hier een private cloud vorm meer gepast is dan een public. (Los van de discussie of Google Apps überhaupt een cloud is).
http://webwereld.nl/nieuws/58684/overheid-kan-profiteren-van-private-cloud.html
Meer controle, meer mogelijkheden. Daarnaast is deze prima te realiseren binnen EU grenzen, of zelfs binnen Nederland. Vervolgens kan deze dienst worden uitbesteed aan een team (volgens vastgestelde voorwaarden) wat beveiliging als core bussines heeft en niet al bijtaak.
O mijn god. Sommige reacties! Geen wonder dat we naar de kl*te gaan! Je wilt.. euh MOET zelf de touwtjes in de handen hebben! data op servers in het buitenland? laten we alle documenten gelijk ff op een publieke webserver zetten pfff. Juist Google e.d. zijn een gewild object om te hacken. Hoevaak zien we niet lijsten met emailadressen + wachtwoorden langskomen?
Ik bespaar de rest van de lijst en sommmigen boven mij zien het ook in…
@Danny
Het is nog een stukje ernstiger dan dat. Afgezien van wat Google belooft in haar voorwaarden zal de wetgeving in de VS ten alle tijde boven de voorwaarden van Google gaan.
En we weten allemaal dat de VS haar wetgeving na 9-11 dusdanig heeft aangepast zodat een aantal overheidsinstanties nagenoeg ongelimiteerd gegevens uit databanken mag opeisen zonder hier rugbaarheid aan te geven of ook maar enig gerechterlijk bevel.
Dus staar je niet blind op het gebrek aan garanties van Google, het probleem is een stuk fundamenteler.
@Maarten
Een private cloud zal inderdaad de uiteindelijke oplossing moeten worden. Maar dan niet door een externe (buitenlandse) partij beheerd.
@Rob:
“IP-source-adres beperking”: is eigenlijk uit de tijd. Men wil tegenwoordig telewerken, laptopperen in de trein, overal ter wereld onverwacht kunnen inloggen om bij je documentjes te kunnen. Het is dus niet uit de tijd qua beveiliging, maar qua mentaliteit, waarbij beveiliging intussen ondergeschikt is aan mentaliteit. Beveiliging krijgt zelden zoveel prioriteit dan wenselijk is. Pas als er iets ergs gebeurt, wordt er even tijdelijk extra naar ’t systeem gekeken – en als de betreffende manager opgevolgt wordt, is ’t vorige euvel al weer vergeten.
In elk geval is ’t aan te raden dat er een USB-sleutel wordt gebruikt en een SMS-systeem.
Deze beveiligingslagen zijn gewenst:
1. Een gebruikerswachtwoord wat voldoet aan complexiteitseisen. Een wachtwoord kunnen resetten middels zo’n vraag als ‘Wat is de meisjesnaam van je moeder’ is natuurlijk zo onveilig als maar kan, en zo’n optie mag uiteraard niet aanwezig zijn.
2. De best beschikbare encrypytie wordt toegepast.
3. Zonder de USB-sleutel kan er niet ingelogd worden.
4. Na het eerste gedeelte van het inloggen krijg je een SMS-je met een code, waarmee je het inlogproces kunt afronden.
5. Pak dat besturingssysteem (server en client) wat zichzelf totnutoe ’t beste heeft bewezen qua veiligheid. In elk geval dus niet Windows. Die ondersteunt gewoon teveel malware.
Ik zie dat er heel verschillend wordt gedacht over garanties op de beschikbaarheid en de beveiliging. Dat heb je nou eenmaal met meningen: die zijn verschillend.
Het is gewoon een kwestie van zelf doen of laten doen met meerdere plussen en minnen voor beide scenario’s. Een zeer belangrijk aspect betreft de vraag of ICT strategisch voor een organisatie is of niet. Het al dan niet strategisch zijn wordt uiteraard bepaalde door de aard en doelen van de organisatie, de informatie, de gebruikers afgezet tegen diverse kwaliteitsaspecten. Zo
Zo is voor sommige organisaties de beveiliging van informatie nu eenmaal meer strategisch… en wil je als zodanige organisatie er alles aan doen (inrichten, sturen, controleren etc.) om niet te hoeven twijfelen aan het voldoende beveiligen van de informatie.
En dan zijn sommige oplossingen minder voor de hand liggend. Mijn mening is dat dit geldt voor het opslaan van informatie van het Ministerie van Buitenlandse Zaken binnen de Google organisatie.
@Chris, wat zal je er dan van vinden als door identity theft jou naam gekoppeld wordt aan een criminale activiteit?
Wil je op vakantie naar Amerika, blijkt dat je daar meteen wordt vastgezet. Vindt je het dan nog zo’n goed idee om informatie van BuZa via Google Apps en het internet te ontsluiten?
“Wat als het Internet uitvalt?” Ja, laten we daar al onze systemen op inrichten. Het Internet valt immers voortdurend uit… Sorry hoor, maar elke organisatie die ik ken kent meer downtime dan “Het Internet”. En waarom zouden voor BuZA hier geen backups mogelijk zijn van belangrijke data op een andere plek? En waarom geen eigen alternatieve VPN-verbinding met een datacenter? Wie zegt dat de Buza constructie geen private cloud wordt? Al die info wordt hier niet zomaar aan de grote klok gehangen, neem ik aan. Juist met het oog op die veiligheid, misschien?
We hebben hier weer de traditionele bangmaak-discussie. Google als favoriet voor hackers, sure. Maar de partijen die graag iets van Buza willen ontdekken weten nu ook al waar ze het moeten proberen.
Vind dit echt een non-discussie.