Gezien de hitte van de discussies over cloud surveillance krijg je de indruk dat Amerikaanse overheidsorganisaties doorlopend in onze cloud-data aan het grasduinen zijn. Het lijkt mee te vallen. Google rapporteert.
Er is veel te doen over de Patriot Act en recentelijk over de FISAA (Foreign Intelligence and Surveillance Amendments Act (FISAA). Deze wettelijke raamwerken bieden Amerikaanse overheidsorganisaties de mogelijkheid om toegang te krijgen tot in de cloud opgeslagen gegevens. Dat is een onprettig idee. Gezien de hitte van de discussies over dit onderwerp krijg je de indruk dat de Amerikanen doorlopend in onze cloud-data aan het grasduinen zijn. Maar doen ze het ook?
Dat blijkt enorm mee te vallen. Google – cloud provider bij uitstek; die moet het weten – publiceert regelmatig over het aantal gevallen dat zij wordt gelast toegang te geven tot in de Google-cloud opgeslagen gegevens of om informatie te geven over Google Accounts, bijvoorbeeld voor Gmail of YouTube.
Riemen vast: in het tweede halfjaar van 2012 is Google in de VS een whopping aantal keren van 8438 om gebruikersgegevens gevraagd en 14.791 keer om accountdata. Dat in een land met tientallen, misschien honderden miljoenen gebruikers en Zettabytes aan gegevens. Voor Nederland zijn de gegevens over deze periode nog niet beschikbaar, maar voor het eerste halfjaar van 2012 ging het om 59 gevallen in beide categorieën.
Kortom: waar hebben we het over? Ik vind deze getallen absoluut niet om over naar huis te schrijven. Het aantal aanvragen groeit overigens gestaag, maar jaar-op-jaar beslist niet met dubbele cijfers. En Google honoreert niet alle aanvragen; aan een kleine 90 procent wordt in de VS tegemoet gekomen. In Nederland is dat 76 procent.
Kanttekeningen: Google is maar een van de aanbieders. Ook andere, zoals FaceBook en Twitter, zullen gelast worden informatie te verstrekken. Maar er is geen reden om aan te nemen dat de aantallen bij anderen relatief heel veel hoger zullen liggen. En verder: je weet natuurlijk niet wat Google niet vertelt of mag vertellen. Maar de gepresenteerde aantallen zijn geen reden tot zorg, althans niet voor mij.
Wil je meer weten, lees dan het Transparency Report van Google.
In het rapport van IVIR over Cloud-diensten en de toegang tot gegevens door de Amerikaanse overheid, in paragraaf 2.2.5 ‘Overige relevante bepalingen in de FISA’ wordt gesproken over zogenaamde ‘gag’-orders: verplichtingen voor bedrijven het gebruik van de bevoegdheid door overheidsinstanties geheim te houden.
Dus wat zeggen bovenstaande cijfers dan? In mijn ogen niet zoveel.
Zie: http://www.ivir.nl/publicaties/vanhoboken/Clouddiensten_in_HO_en_USA_Patriot_Act.pdf
Schrijver maakt hier wel een fout: Volgens beide wetten die hij aanhaalt wordt (in dit geval Google) de dataverwerker verplicht dit niet openbaar te maken. Dus als de overheid in de VS onder deze wetgeving data opvraagt, zal Google dit nooit (mogen) melden.
Dat maakt deze wetten dus zo ‘eng’
@TR: Tegen een gag order kun je overigens wel bezwaar maken, daarnaast roept Google anonieme gegevens en ik zie niet in waarom dat niet zou mogen, anders dat een overheid er niet blij mee is.
Wat Theo aangeeft is dat we de overheid-kijkt-in-onze-data wat meer waarde toegekend krijgt dan nodig. Of met andere woorden, dat het niet zo is dat als je iets in de cloud opslaat meteen ten prooi valt aan meekijkende overheden. Dat is ook mijn gevoel, maar het lastige blijft dat dit lastig goed in te schatten is.
Met research en bepaald intellectueel eigendom zou ik wellicht wat voorzichter zijn, maar voor 99% van de data zie ik geen risico dat het me kan schaden als de overheid daar toegang toe zou hebben. Aangezien politici over het algemeen ook gewoon mensen zijn, zou ik me niet al te druk maken over big-brother gevoelens. Aan de andere kant moet je wel waakzaam blijven en rechten beschermen die op de lange termijn kunnen leiden tot een autoritaire overheid die data misbruikt om burgers te onderdrukken.
Want er zijn veel staten in de wereld die het belang van macht veel hoger stellen dan het welzijn van de bevolking. Daarvoor pleit ik ook voor meer openheid door overheid. Laat ze maar eens kwantificeren hoeveel data zijn opvragen en hoe vaak.
Machtswellust is hetgeen wat mij nog altijd veel angst inboezemt…
Nog wat informatie over aantallen gag-orders: http://www.wired.com/threatlevel/2012/05/nsl-challenges/
In slechts een klein aantal gevallen wordt het recht om een gag-order aan te vechten ook daadwerkelijk uitgeoefend. Ik weet niet of Google daar bij is, ik kan daar geen informatie over vinden. Ben er wel benieuwd naar. Het zijn wel de partijen die het vermogen en de lange adem hebben om zoiets op te pakken.
Daarnaast zal het overgrote deel wel over Amerikaanse staatsburgers gaan, dat wordt niet duidelijk uit het artikel.
In het recente rapport dat te downloaden is van http://www.ponemon.org/local/upload/file/2012%20MTC%20Report%20FINAL.pdf blijkt dat 56% van de amerikanen bang is voor Big Brother. Alleen identiteitsdiefstal (61%) wordt meer gevreesd.
De getallen welke gegeven worden door Google zijn de gewenste “officiele” getallen. Echter wat er achter de schermen gebeurd met de opgeslagen informatie daar is geen zicht op. Zolang je als eigenaar van de broninformatie niet de sleutel hebt waarmee deze informatie beveiligd opgeslagen is, heb je absoluut geen controle meer over je gegevens in de cloud.
Dus een eerste stap om het vertrouwen in de cloud te herwinnen is om de eigenaren van de broninformatie ook de controle te geven over hun eigen informatie. En velen vrezen dat dit niet gaat gebeuren, tenzij de eigenaren van de informatie hier zelf voor gaan zorgen, zoals te zien is op zijvoorbeeld https://wuala.com/pgpstore
Q: Je maakt altijd reclame met een link naar Wuala. Dit valt in mijn ogen gewoon in de categorie SPAM, al plaats je er wat zinnigs boven.
De nieuwe dienst van Kim Dotcom https://mega.co.nz/ slaat ook gegevens versleuteld op zodanige manier op dat hij het zelf niet kan inzien en daardoor niet meer aansprakelijk gesteld kan worden voor het delen van auteursrechtelijk beschermt werk.
Daarnaast gaat het niet om controle. Ik heb ook controle over mijn data als ik dit bij een cloud provider host. Het is alleen niet duidelijk of de hoster er zelf (actief) bij kan of dat overheid er bij kan.
Overigens vermoed ik ook dat we geen echte cijfers gepresenteerd krijgen.
Niettemin zie ik geen toekomst in IT op eigen ijzer.
Theo,
Inderdaad, waar hebben we het over?
Een transparantie rapport van Google is leuk maar ook lachwekkend als ik kijk naar de lobby van ditzelfde bedrijf om binnen Europa allerlei wetgeving rond privacy te ondermijnen. Wist je trouwens dat Nederland wereldkampioen tappen is?
@Henri
Wat is er eigenlijk gebeurt met die andere dienst van Kim Dotcom, dat MegaUpload?
Goed …. ehh nee … afdoende vercijferd opslaan is sowieso belangrijk, …….Je data ligt tenslotte buiten je eigen controle. Een provider kan er anders doorheen scannen en er kennis van nemen……
Maarten,
Versleuteld opslaan levert volgens mij wel een paar problemen op, bijvoorbeeld met de sleutels. Het aan de provider geven van je sleutelbos is tenslotte net zoiets als politiekeurmerk veilig wonen maar toch vergeten de deuren op slot te doen.
@Henri Koppen: “Niettemin zie ik geen toekomst in IT op eigen ijzer.
Bedrijven lijken hier anders over te denken. Veel grote bedrijven zijn weer afgestapt van het in de cloud zetten van hun eigen gegevens. Dat is althans de conclusie uit het Oracle onderzoek “Next Generation Data Centre Index”.