Gezien de hitte van de discussies over cloud surveillance krijg je de indruk dat Amerikaanse overheidsorganisaties doorlopend in onze cloud-data aan het grasduinen zijn. Het lijkt mee te vallen. Google rapporteert.
Er is veel te doen over de Patriot Act en recentelijk over de FISAA (Foreign Intelligence and Surveillance Amendments Act (FISAA). Deze wettelijke raamwerken bieden Amerikaanse overheidsorganisaties de mogelijkheid om toegang te krijgen tot in de cloud opgeslagen gegevens. Dat is een onprettig idee. Gezien de hitte van de discussies over dit onderwerp krijg je de indruk dat de Amerikanen doorlopend in onze cloud-data aan het grasduinen zijn. Maar doen ze het ook?
Dat blijkt enorm mee te vallen. Google – cloud provider bij uitstek; die moet het weten – publiceert regelmatig over het aantal gevallen dat zij wordt gelast toegang te geven tot in de Google-cloud opgeslagen gegevens of om informatie te geven over Google Accounts, bijvoorbeeld voor Gmail of YouTube.
Riemen vast: in het tweede halfjaar van 2012 is Google in de VS een whopping aantal keren van 8438 om gebruikersgegevens gevraagd en 14.791 keer om accountdata. Dat in een land met tientallen, misschien honderden miljoenen gebruikers en Zettabytes aan gegevens. Voor Nederland zijn de gegevens over deze periode nog niet beschikbaar, maar voor het eerste halfjaar van 2012 ging het om 59 gevallen in beide categorieën.
Kortom: waar hebben we het over? Ik vind deze getallen absoluut niet om over naar huis te schrijven. Het aantal aanvragen groeit overigens gestaag, maar jaar-op-jaar beslist niet met dubbele cijfers. En Google honoreert niet alle aanvragen; aan een kleine 90 procent wordt in de VS tegemoet gekomen. In Nederland is dat 76 procent.
Kanttekeningen: Google is maar een van de aanbieders. Ook andere, zoals FaceBook en Twitter, zullen gelast worden informatie te verstrekken. Maar er is geen reden om aan te nemen dat de aantallen bij anderen relatief heel veel hoger zullen liggen. En verder: je weet natuurlijk niet wat Google niet vertelt of mag vertellen. Maar de gepresenteerde aantallen zijn geen reden tot zorg, althans niet voor mij.
Wil je meer weten, lees dan het Transparency Report van Google.
Maar ik ben wel benieuwd naar de wettelijke mogelijkheden en beperkingen van encryptie. Het is al eens eerder besproken n.a.v. een ouder artikel.
Vraag: is encryptie die niet door de overheden is te decrypten toegestaan? (misschien verschil NL, EU, VS).
De zaak rond Kim Dotcom lijkt erop te wijzen dat het uiteindelijk niet is toegestaan, let wel: decrypten alleen als de rechter dit eist.
@Leen: Encryptie is een heet hangijzer omdat overheden beseffen wat de consequenties zijn. Jaren geleden viel 128 bits encryptie al onder de munitie wet in de VS.
Er zijn echter fundamentele problemen met het verbieden en zover ik weet is er nog niets besloten in deze.
Interessante standpunten vind je terug op Tweakers: http://tweakers.net/nieuws/73966/justitie-encryptie-moet-worden-verboden.html
Q: Tja ieder zijn eigen geloof en mening. Natuurlijk zal er wat tijd overheen gaan en gaat de adoptie eigenlijk vrij traag, maar ik zie het als iets onvermijdelijks. Niet omdat ik het per se wil, maar omdat het logisch is. Ons geld zetten we toch ook op de bank en dat vinden we volkomen normaal en malen we niet om privacy en mogelijk encryptie.
@Henry: die wet uit de VS gaat over export van encryptiemiddelen, niet over het encrypten van data. Maar je hebt gelijk: er is veel onduidelijkheid over de wettelijke kaders. Het voorbeeld dat je geeft gaat over je eigen locale data waarvan je in de UK verplicht bent de sleutels/wachtwoorden te overhandigen indien de rechter dit eist. Nederland zou dit ook willen als het gaat om vermoeden van kinderporno.
In de cloud-context zou ik dit wel toejuigen, omdat het een transparant proces is, je bent zelf betrokken en weet dus wanneer openheid van zaken wordt verlangd. Hiermee worden gag-orders vermeden omdat de man-in-the-middle, the cloud provider geen rol heeft hierin.
@Leen: Het issue met encryptie/decryptie is simpel. Het is volledig toegestaan. Alleen is er nog onduidelijkheid over de situaties waarin je verplicht bent de sleutel te geven voor decryptie.
@Henri: Het is minder logisch dan je denkt. Het is onzes inziens onlogisch om onbeveilgde informatie in de cloud op te slaan omdat deze informatie via deze weg simpel bij je concurrent terecht kan komen. Het is minder onlogisch om beveiligde data in de cloud op te slaan. Echter hier gelden ook reserves, bijvoorbeeld wat gebeurd er als de data plotseling niet meer bereikbaar bij storingen of permanent te zijn verdwenen ?
In de UK bijv. is men verplicht om de encryptiesleutel aan de overheid te overhandigen als men daarom vraagt en soortgelijke stemmen zijn er ook in de US. Wat dat betreft is nog maar te bezien hoe de wetgeving daar zich ontwikkelt.
Het argument dat het opvragen van gegevens maar sporadisch gebeurd lijkt onschuldig maar zoals al eerder gezegd worden niet alle opvragingen geopenbaard. En het opvragen van gegevens van een argeloze burger is heel wat anders dan het opvragen van een prominent persoon, journalist of activist. En wat als deze gegevens worden geaggregeerd met alle andere gegevens die over de persoon bekend zijn? Wat dat betreft kan er een extreem nauwkeurig model worden samengesteld waarin exact bekend is wat de persoon zijn/haar patronen zijn en soms zelfs voordat deze het zelf beseft. En is het dan genoeg om uit te vinden dat deze persoon depressief is en maar een klein zetje nodig heeft om een definitieve keuze te maken? (Om maar een recent voorbeeld te noemen.)
Een bijkomend effect wat ook in de film Panopticon wordt aangehaald is het feit dat mensen zich beseffen dat ze worden ‘bewaakt’ ze hierop hun gedrag gaan aanpassen.
@Ewout
Zeg nee, je geeft je huissleutel toch ook niet aan een vreemde? Vercijferen prima, maar dan zelf de sleutels beheren organiseren etc. Op zich denk ik dat een vercijferd netwerk prima is te organiseren, dat is helaas al lang geen primeur (voor mij).
@Maarten
Een vercijferd netwerk is geen enkel probleem, vercijferde opslag ook niet. Het wordt echter problematisch als de versleutelde gegevens verwerkt moeten worden. Beveiliging is dus behoorlijk lastig als er een ‘man-in-the-middle’ is in de vorm van een cloud provider. Betreffende tappen heeft Phil Zimmermann (ja, die van PGP) trouwens een leuke start-up: https://silentcircle.com/
Nu ik toch aan het ‘spammen’ ben, ook Unisys heeft een oplossing voor beveiligde communicatie:-) http://www.unisys.com/unisys/landingPages/info.jsp?id=1120000970012810072
@Ewout,
Dat is weer wat meer werk, maar Skype is in een andere vorm daar toch aardig in geslaagd, als programma dat zich zelf beveiligd. Maar zeker, er zijn natuurlijk momenten dat de data ‘plain’ is in een bewerkingsfase. Vaak zijn beveiligingsmaatregelen een opeen stapeling van drempeltjes.
Misschien toch weer een puntje boven tafel tegen een bepaalde cloudvorm…
@Maarten
Beveiliging zijn vooral een heleboel technische maatregelen die je het beste vooraf inzichtelijk kunt hebben. Het achteraf pleisters plakken zorgt meestal voor een behoorlijk gehavende oplossing die zich uiteindelijk het beste laat kenmerken als: ‘Security through obscurity’.
Nu had ik aan Theo al eerder wat vragen gesteld over de ‘Europese backdoors’ die er zijn of komen maar daarop geen antwoord gekregen. Een rookscherm optrekken zorgt namelijk niet voor de broodnodige transparantie en dus ben ik benieuwd naar zijn mening over eerdere Europese afspraken aangaande privacy. Want deze zijn blijkbaar niet met ‘bloed geschreven’ en dus onderhandelbaar voor concessies.
Theo had wat mij betreft dan ook beter aandacht kunnen geven aan de verjaardag van: “EU Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data” uit 1981. Want ondertussen wordt duidelijk dat deze door de lobby industrie in Brussel behoorlijk verwaterd is waardoor we langzaam digitale ‘lijfeigenen’ worden.
@Leen, @Maarten: Zoals “Masters in ICT” weten is het internet alleen zo’n succes geworden door encryptie.
Voor de echte experts is bijvoorbeeld interessant het bewijs te besuderen dat te vinden is op https://content.wuala.com/contents/FreemoveQuantumExchange/Aspects/Security/Programs/SourceCodingExamples/Example.pdf