De Amerikaanse president Obama heeft vrijdagavond 17 januari 2014 een speech gehouden over zijn visie op de hervormingen die de door hem ingestelde, onafhankelijke commissie had voorgesteld. Initieel reageerden de media nog positief op de goed uitgevoerde speech van Obama. Na analyse en commentaar door privacy experts en organisaties blijkt echter dat veel voorgestelde maatregelen genegeerd zijn en de wijzigingen een wassen neus zijn.
Er zijn een aantal zaken verbeterd met betrekking tot het verzamelen en analyseren van data over telefoongesprekken van Amerikanen, maar niet-Amerikanen worden voornamelijk door andere programma’s bespioneerd en deze zijn grotendeels ongewijzigd gebleven.
Bulk collection
Europeanen en andere niet-Amerikanen hebben het meeste te vrezen van zogenaamde ‘bulk collection’ programma’s. Deze slaan massaal informatie op zodat de NSA het kan analyseren om patronen in communicatie te herkennen en hier vervolgens actie op te ondernemen.
Het meest bekende NSA-programma is natuurlijk PRISM. Dit programma dwingt bedrijven als Google en Microsoft om informatie die door buitenlanders bij hen wordt opgeslagen vrij beschikbaar te stellen aan de NSA. Hier is vrijwel niets aan veranderd, dus PRISM gaat gewoon door. Er zal een aantal reviews plaatvinden om te bepalen of de periode voor het bewaren van data kan worden verkort en of het mogelijk is minder data op te slaan en toch over de gewenste informatie te beschikken. De reviews houden echter geen enkele concrete verplichting in.
Bullrun en Dishfire genegeerd
Een ander programma, genaamd Bullrun, heeft als doel de op het internet gebruikte encryptietechnieken voor de NSA te breken met medewerking van Amerikaanse beveiligingsbedrijven. Dit heeft een enorme invloed op het vertrouwen in privacy op het internet. Helaas werd het voorstel van de commissie om dit programma te verbieden door Obama compleet genegeerd.
Een ander programma dat geheel werd genegeerd is Dishfire. Vorige week werd bekend dat dit programma wereldwijd honderden miljoenen tekstberichten per dag analyseert.
Europa aan zet
Verder bevestigde Obama dat niet-Amerikanen niet op al te veel privacybescherming moeten rekenen. De programma’s die buitenlanders bespioneren worden als zeer belangrijk voor de Amerikaanse nationale veiligheid beschouwd. Het voorstel om Amerikanen dezelfde privacyrechten als niet-Amerikanen te geven, is dan ook afgewezen.
Het wordt tijd dat Europese overheden en de Europese Unie beseffen dat de NSA-programma’s die op niet-Amerikanen zijn gericht te nuttig zijn voor de Amerikaanse regering en dat er geen significante actie ondernomen zal worden om ze stop te zetten. Het is dus de beurt aan Europa om serieuze stappen te gaan nemen om privacygevoelige Europese data uit handen van de NSA te houden.
Met je conclusie ben ik het eens, het is tijd dat Europa stappen onderneemt.
Echter wie moeten dat doen?
Politici in een heleboel Europese landen zijn niet onafhankelijk en leunen sterk op Amerikaanse ideeën. De voormalige oostbloklanden zoals Polen, Tsjechië en vele andere worden ondersteund en sterk ‘belobbied’ door Amerikaanse bedrijven.
De hoop is op een sterke civiel-maatschappelijke beweging want daarin zijn Amerikanen niet erg goed en Europeanen gelukkig nog beter.
Beste Lennard,
Het plaatje wat je hier schetst is niet echt rooskleurig. Laat ik daar meteen bij zeggen dat het naief geweest zou zijn als we anders verwacht hadden.
Maar het verhaal roept wel vragen bij mij op met betrekking tot de levensvatbaarheid van clouddiensten.
Zo stel je over PRISM het volgende:
“Dit programma dwingt bedrijven als Google en Microsoft om informatie die door buitenlanders bij hen wordt opgeslagen vrij beschikbaar te stellen aan de NSA”
Microsoft levert met Office 365 een clouddienst, waarbij eigenlijk je documenten op het web staan. Dat is niet de enige clouddienst die Microsoft levert, puur een voorbeeld. Met andere woorden bedrijfsgeheimen zijn er niet meer voor de NSA. En bedrijfsspionage door Amerikaanse bedrijven wordt zo misschien wel erg makkelijk.
Bullrun is erop gericht om encryptie over het internet te breken. Hetgeen kan betekenen dat de beveiliging van andere clouddiensten op dat moment te omzeilen is en ook daar (bedrijfs)spionage plaats kan vinden, zonder dat er daadwerkelijk toegang hoeft te zijn tot de fysieke bestanden in de cloud. Je kunt namelijk gewoon meeluisteren met het data verkeer.
Hoe denk je dat deze ontwikkelingen rondom de NSA de uitrol en levering van (met name public) clouddiensten gaat beinvloeden?
Is dit nu net de doodsteek voor zulke diensten of zie ik gewoon spoken? 🙂
Ik vrees dat als we op de politiek moeten wachten we er zeker van kunnen zijn dat er niet iets mee gedaan wordt. Al was het alleen maar door de politieke patstelling die Europa vaker kent.
Ik ben benieuwd hoe jij dit ziet.
Met vriendelijke groeten,
Corné
De EU is aan zet. Ik ben bang dat er weinig is dat de EU kan doen. Wij worden wat dit betreft gewoon voor voldongen feiten gesteld, zelfs als de EU zelfs maar zou pretenderen iets te ‘gaan’ doen, dan nog zou dat ongeloofwaardig over komen.
Heel sec gesteld zou dat alleen nog maar kunnen als we alle kabels en netwerken rigoureus door zouden knippen. Vooral zakelijk iets om toch even bij stil te staan en in aanverwante zaken te duiken.
Elke actie is uiteindelijk het paard achter de wagen…. helaas….
Dat zijn wel heftige gevolgen. En ik ben net als NumoQuest erg bang dat het al lang al besloten is.
Ik ben trouwens heel benieuwd wat Henri hier over kan roepen?
Wat Snowden herhaaldelijk gezegd heeft is dat het NSA te doen is om gegevens van bedrijven en politiek interessante personen te achterhalen.
En ook Europese naties doen tot op zekere hoogte mee met het spionage netwerk. Daarom zal er ook geen eenduidige Europese strategie komen om het te weren.
Wat dat betreft hoort de EU dit gedrag te counteren met handelsbeperkingen die de door bedrijfsspionage schade enigszins goedmaakt.
Wat wil je dat ik roep Ruud?
[begin rant]
Stel dat de VS zeggen niet meer te gaan luistervinken, zou je ze geloven? Hoe kun je dit controleren? Wachten op de volgende Snowden?
Stel dat we de amerikanen buiten sluiten en geen Android, Windows Phone en IOS meer gebruiken (dat is namelijk de consequentie), wat dat wel? En wie zegt dat “wij” (Europa dat zijn wij) niet even “slecht” zijn? Alle aandacht gaat uit naar PRISM omdat we nu eenmaal veel van de Amerikanen gebruiken, maar ieder land met enige macht heeft zijn eigen programma’s.
De belastingdienst vraag aan parkeer bedrijven of zij even door willen geven welke kentekens allemaal in periode X bij garage Y geparkeerd hebben. WTF?!?
Netneutraliteit gaat eraan, het is al begonnen, maar hoe zit het met bedrijven die zorg verzekering aanbieden aan hoger opgeleiden? Dalijk kun je verzekeren als je gezond leeft en daarom minder premie betaald, maar mensen met minder inkomen hebben veel minder toegang tot gezond eten, we krijgen een enorme polarisatie tussen bevolkingsgroepen.
Op straat kun je niet van A naar B bewegen zonder dat dit gemonitord wordt door GSM signaal en video bewaking (ook in openbaar vervoer).
Mijn punt: Privacy is dood en we zijn het punt allang gepasseerd dat we nog enigzins iets te vertellen hebben.
Kijk naar de agenda van Lennard. Waarom brengt hij dit ter sprake? Om af te zetten tegen de VS voor gewin van Europese providers, maar naast dat ik weinig vetrouwen heb dat “wij” het netter zullen doen lijkt het erop dat we de Amerikanen in hun data fetisch nauwelijks tegen te houden zijn. Ook alle certificate authorities zullen we moeten wantrouwen.
Er geloof dat er maar twee mogelijkheden zijn voor verandering:
-Een revolutie waarin het volk in opstand komt tegen de overheid en daarmee afrekent met de rechten van een overheid hun burgers te bespioneren (of toe te laten dat buitenlandse mogendheden dit doen)
– Een politiek verandering waarin we de bewakers strenger gaan bewaken. Onder welke omstandigheden mag wie wat inzien en hoe controleren we dat?
Een derde mogelijkheid is -en ik denk dat Lennard hier op doelt- is dat de EU strenger wordt in zijn interne regelgeving, Amerikaanse bedrijven buiten sluit als zij zich niet aan EU regels houden.
Alleen geloof ik hier niet in. We zijn de kikker die al veel te lang in de pan met warm water gezeten heeft.
In trias politica -het scheiden der machten- moet er misschien een vierde bij komen.
Als je echter kijkt naar de gemiddelde burger… dan leeft dit helemaal niet, en als de kritische massa klein blijft die echt fel tegen blijft is dat allemaal in de categorie “veel gespin, weinig wol”.
Waar het allemaal op neer komt is dat Europa gaat investeren in alternatieven, te beginnen bij een eigen Smartphone OS met heldere privacy regels. Als die goed is en de burger heeft wat over voor die privacy dan zal dit groeien en is er een alternatief. Alleen geloof ik helemaal niet dat er draagvlak voor is.
Lang verhaal kort. Als “we” iets gaan doen moet het in de vorm van een revolutie. Het is heel slecht dat privacy iets van het verleden is. Maar vooralsnog zal er niets veranderen en is het gewoon slikken en doorgaan. Om te zien wie er schuldig is hoeven we alleen maar in de spiegel te kijken.
—
Het enige wat ik nog wil toevoegen is “I hope the Russians love their children too”. Wij zijn ook de overheid en laten we hopen dat die het goed met ons voor heeft.
[/einde rant]
PS: Ik ben het dus met Numoquest eens 🙂
@ Henri
In 1 ding heb je gelijk, verandering begint bij onszelf.
Helaas bestaat er zoiets als “de massa” die naar leiding zoekt, te hopen dat er niet weer een fuehrer opstaat. De situatie van dit moment doet helaas sterk denken aan de twiniger en dertiger jaren.
@Jan
Het lijkt er niet alleen op. Het is ook zo omdat dezelfde duistere krachten hier ook achter zitten.
Goede discussie, ik ben het alleen niet eens met de tendens dat de situatie m.b.t. privacy hopeloos is. Veel politici, bedrijven en burgers zijn de massale analyse van data en communicaties door buitenlandse mogendheden en binnenlandse veiligheids- en andere diensten zat.
Dat de situatie nu hopeloos lijkt, is gedeeltelijk perceptie. In vrijwel elke relevante sector organisatie die een mening over privacy geeft, zitten vertegenwoordigers van Amerikaanse bedrijven, van Eurocloud tot Nederland ICT. Deze organisaties nemen verrassend genoeg in de discussie nauwelijks stelling en hierdoor lijkt het dat er geen economisch belang is bij het handhaven van strikte privacy regels. Het wordt tijd dat Europese burgers en bedrijven gaan samenwerken om een helder tegengeluid te geven. Dit zal de politici die zich hiervoor willen inzetten van de broodnodige ammunitie voorzien. Er zijn al informele gesprekken gaande tussen Europese cloud bedrijven om deze samenwerking in gang te zetten.
Concreet zou Europa het volgende kunnen doen:
* Geen Europese persoonsgegevens meer in clouds die niet kunnen garanderen dat buitenlandse entiteiten geen toegang hebben tot deze gegevens. Er kan indien nodig een migratietijdlijn worden gegeven zodat Europese alternatieven zich kunnen ontwikkelen.
* Het publiceren van een lijst met veilige technologieën en het stimuleren van deze technologieën (bijvoorbeeld in het inkoopbeleid van de overheden). Denk hierbij aan veilige encryptiemethoden (die er wel degelijk zijn) en allerhande open source cloud oplossingen die zich nu in hoog tempo ontwikkelen.
* Strakke regels waar intra-Europese veiligheidsdiensten zich aan moeten houden, inclusief strakke controle. De Engelsen zullen hier waarschijnlijk een stokje voor willen steken maar die moeten dan verteld worden dat ze niet mee hoeven te doen en hun eigen regels moeten bepalen.
Het bovenstaande is niet perfect en er zal nog genoeg te analyseren zijn door overheidsdiensten, vooral data die geen persoonsgegevens betreft. Aan de andere kant ben je zelf ook niet echt slim bezig als je nu nog je bedrijfsgeheimen, controversiële politieke meningen of compromitterende privé informatie via Gmail of Office 365 bewerkt of verstuurd. Hier ligt een stuk eigen verantwoordelijkheid dat mensen waarschijnlijk pas serieus gaan nemen als er meer gevallen van misbruik door de Amerikaanse of andere overheden duidelijk worden.