Het PRISM-afluisterschandaal stuit velen tegen de borst. Mij ook. Op grote schaal data vergaren in de hoop dat er op den duur bruikbare resultaten te herleiden zijn ….. Data verzamelen omdat het kàn. Als de technische middelen beschikbaar zijn, is het heel verleidelijk om die ook in te zetten. Zeker als de huidige wet- en regelgeving geen afdoende bescherming en kader bieden. Dat moet anders.
Wat betekent het nieuws dat Amerikaanse veiligheidsdiensten meekijken in onze cloud gegevens? Allereerst hoop en verwacht ik dat dit nieuws ervoor zorgt dat het onderwerp heel hoog op de Europese agenda komt te staan. Neelie Kroes maakt zich hier hard voor. Het begint allemaal bij Europese wetgeving, die expliciet maakt onder welke voorwaarden derde landen online toegang kunnen krijgen tot informatie, zo schrijft ze. ‘Delivering a more secure digital Europe should be every politician’s top priority: even more so now.’
Haast maken met Europese wetgeving
Het onderzoek naar de invloed van Amerikaanse wetten voor de bescherming van Europese data, haalde vorig jaar het CBS News. Naar aanleiding van het schandaal is het van groot belang dat er haast wordt gemaakt met nieuwe Europese wetgeving voor de bescherming van persoonsgegevens. Deze wetgeving zal Amerikaanse bedrijven verplichten zich aan de Europese regels te houden wanneer Europeanen gebruikmaken van hun diensten.
Extra aandacht voor dataclassificatie
Het nieuws over PRISM geeft daarnaast aanleiding om extra kritisch te kijken naar het belang van dataclassificatie. Wij willen met de hele sector afspreken welke types data geschikt zijn om in een publieke cloud op te slaan (bij commerciële aanbieders) en welke data we in ons eigen huis moeten houden. Daarbij kan ‘ons eigen huis’ ook voor een nationale of Europese community cloud staan. Daarover later meer.
Andres Steijaert, programmamanager cloudservices bij Surfnet
Andres,
Ondanks dat het een redelijk kort opinie stuk is haal je wel een goed punt aan.
Classificatie van data is essentieel. Wat wil je wel in de cloud hebben en wat niet? En wat zijn de risico’s? En bij welke leveranciers kan ik dat doen zonder dat mijn data ongewild afgetapt gaat worden?
Classificatie van dat klinkt goed, maar het is net als met de atoombom, de afzonderlijke helften zijn niet massa-kritisch, maar als je ze op een “bepaalde” manier samenvoegt wel. Kortom, het zal niet gaan helpen.
Wat wel kan helpen zijn adequate vercijferingstechnieken. Dan is classificatie niet nodig.
Natuurlijk vercijferen kost IT performance, maar classificeren kost op een andere manier weer tijd. Het is echter geen “wet van behoud van ellende”.
Ik sluit me aan bij Maarten. Classificatie is zeker belangrijk maar niet essentieel, goede versleuteling wel. Met versleutelen kun je nu meteen beginnen, als je moet wachten tot alles geclassificeerd is ben je zo een jaar verder. Liever iets te veel versleuteld, dan iets te weinig. Versleutelde en gedeclassificeerde data kan altijd nog ontsleuteld worden, maar eenmaal gelekte onversleutelde data krijg je nooit meer onder controle.
Even iets anders: nu maakt men zich druk over de NSA, vorige week waren het de cybercriminelen, maar kijk eens naar de eigen systeembeheerders. Bij sommige bedrijven zijn dat klaarblijkelijk ook bevoegd HR medewerkers, medici, overname-experts of financiële controllers, gezien waar ze allemaal bij kunnen. Ook hier is versleuteling hard nodig. Niet alleen ter bescherming van de data, maar ook ter bescherming van de systeembeheerders.
Als je de insteek hebt het van de zonnige kant te willen bekijken kan je jezelf blij maken met het feit dat het een hele goede aanjager is van de Europeese IT.
Wat te doen als versleuteling alleen door de overheden wordt toegestaan als zij ook de sleutel mogen hebben?
Er zit al een wetsvoorstel in de koker om personen te verplichten om hun sleutel op te geven tbv onderzoek door politie. Dat dit onder de noemer van zedendelicten met minderjarigen geschaard wordt spreekt uiteraard voor zich. Een volgende stap zou zomaar fraude bestrijding kunnen zijn.
Wat die classificatie betreft heeft het CPB hier eigenlijk al een duidelijk verhaal over. Alleen zijn de beveiligingsmaatregelen wat stringenter geworden wil je er écht aan voldoen.
Maarten,
Alles vercijferen/versleutelen of encrypten kost te veel tijd, geld en performance. Dat geef je in zekere maten al aan.
Tot die tijd blijft het classificeren wat je wel of niet in de cloud wilt hebben essentieel. Ja dit kost wat tijd en geld. Maar stukken minder dan encryptie/vercijferen.
Echter is classificatie geen structurele oplossing. We doen het nu veelal alleen maar om de manco’s (bandbreedte/security/verantwoordelijkheid ) van de Cloud te omzeilen.
@Ruud,
Het kan wel, heb toch wel een aantal nationale en internationale netwerken met complete vercijfering gedaan…., maar zeker het kost inderdaad geld, maar data “kwijt”raken kost ook tenminste geld. Net zo als andere beveiligingsmaatregelen. Je zou classificatie kunnen gebruiken om te zien wat wel en wat niet te vercijferen op applicatieniveau. Maar dat is eigenlijk de enige toegevoegde waarde van dit moment.
Over enkele jaren kost het zo weinig deze functie dat het er defacto inzit. Kijk maar naar het merendeel van de VoIP netwerken…….en diverse multinational datanetwerken.
Als eerste heb ik het idee dat deze stukjes niet meer dan een stukje lobby zijn, enkel gebruik maken van de publieke opinie om zodoende steun te krijgen voor Eucalypta. Want:
“The ‘European Dream’ argument for cloud computing could entice some non-tech savvy politicians to take the issue seriously by enabling them to score media attention with their involvement in the new futuristic project which helps rebuild the economy. However, unless the European legislators seize this opportunity in policy making to update its “jurisdiction” and learn from Iceland’s recent policy innovations for the free and open internet, investors may be enticed to build their infrastructure on the island nation, or elsewhere, instead of mainland Europe. The message is simple: Fail to make use of this chance to update the regulation of the internet intelligently, and countries like Iceland will profit most from Europe’s cloud computing strategy.”
Europese privacy-richtlijnen bevatten namelkik zoveel expliciete vrijstellingen voor gouvernementele organisaties met inbegrip van de EU dat geen burgers beschermd is tegen de misstanden van regeringen. Phil Zimmermann stelt zelfs dat de EU hierdoor nog slechter is voor het individu dan het ad-hoc beleid van de VS.
Dank voor de reacties.
Dataclassificatie voor cloud services raakt een principiële vertrouwensvraag:
welke gegevens kan ik buiten de muren van mijn eigen organisatie opslaan (ofwel, welke gegevens mogen bij een externe provider staan).
Het gaat dan om ‘wie kan er mee kijken’ (vanuit de leverancier of overheidsinstanties).
Encryptie biedt hier inderdaad een beschermlaag. Mooie tools op dit gebied zijn Boxcryptor, Cloudfogger en TrueCrypt.
Ook relevant zijn: ‘hoe gaat een externe provider met mijn gegevens om’, ‘kan ik (laten) controleren dat dit beheer deugdelijk plaatsvindt en kan ik mijn data terughalen (migreren) indien gewenst, ook bij een faillissement van die aanbieder.
@ Maarten,
Ik ben mij er van bewust dat het kan. Maar er kleven nu nog enkele nadelen aan vast waar door het niet haalbaar is voor iedereen.
En je laatste zin in je reactie bevestigt mijn mening. Ja het kan, maar het zal pas over een paar jaar echt haalbaar voor iedereen zijn.
@ Andres,
Je laatste punt in je reactie wordt nog te vaak vergeten. Een goed exit scenario is van groot belang.
Andres,
Je eerste vraag is goed, wat wel en wat niet naar de cloud omdat uitbesteden altijd een principiele vertrouwensvraag is. Zodra data in handen van een ander komt is het namelijk onzeker wat ermee gedaan wordt. Betreffende vraag hoe externe provider omgaat met de data ligt er namelijk ook nog een lastig juridisch geschil over het eigenaarschap van metadata.
Maarten geeft met het ‘non-proliferatieverdrag’ een mooi voorbeeld over hoe met onschuldig materiaal een bom gemaakt kan worden, principes van ‘Big Data’ kunnen tenslotte gebruikt worden om de informatie te verrijken. Ik denk dat we met de cloud dus een ‘frienemy’ probleem hebben, ongeacht of deze nu van Amerikanen of Europeanen is.
Classisificatie van data is weliswaar een goed uitgangspunt maar aangezien je bij allerlei gegevensverzamelingen van de overheid geen opt-out hebt en deze ook data veel langer vast houdt dan beloofd of nodig is zullen we dus eerst moeten bepalen wie nu eigenlijk de controleur controleert.
En je voorgestelde encryptie hulpmiddelen zijn leuk maar weer teveel de one-to-one oplossingen die zich vooral beperken tot USB-stick in de wolken. Een mooi overzicht met voor- en nadelen hiervan wordt gegeven op:
http://www.techsupportalert.com/best-free-encryption-utility-for-cloud-storage
Het wordt echter allemaal wat complexer als ik ook mijn mail wil beveiligen, veilig samenwerken in de cloud omdat er dan allerlei sleutels uitgewisseld moeten worden. En juist door het omslachtige gebruik van encryptie maken meeste er dus ook geen gebruik van.