Op 1 en 2 april organiseerde de Cloud Security Alliance in de Amsterdamse RAI het SecureCloud 2014 congres over informatiebeveiliging in de cloud. De eerste dag stond vooral in het teken van een aantal juridische aspecten zoals de komende privacyverordening van de Europese Unie. En keer op keer kwam het probleem van sleepnetsurveillance door overheden aan de orde.
Wat daarbij opviel is dat haast niemand een samenhangend beeld lijkt te hebben van hoe we nu verder moeten. Weerkerend thema was het behoud van vertrouwen van klanten. Al bij de aftrap door Eurcommissaris Kroes werd dit benadrukt. Voor haar is transparantie een sleutel tot behoud of zelfs herstel van dat vertrouwen. Ze waarschuwde daarbij nadrukkelijk voor een gefragmenteerd internet, wat voor haar het tegenovergestelde van een gemeenschappelijke Europese markt is. Refererend aan de onthullingen van Snowden stelde ze onomwonden dat er sprake is van een inbreuk op grondrechten en klap voor het vertrouwen in het internet. En de naam Snowden viel daarna in eigenlijk iedere presentatie en paneldiscussie.
Leemte
Bij deze paneldiscussies viel ook op dat met name telecommunicatiebedrijven van mening zijn dat ze het beste gepositioneerd zijn om de beveiliging van cloud computing te waarborgen terwijl er tegelijkertijd vooral in termen van nog uit te rollen technieken werd gesproken. Wat een ander opvallend kenmerk was van de eerste dag: het sprong heen en weer van heel technische (maar daarom niet minder relevante) onderwerpen zoals authenticatiestandaarden voor cloud computing naar beleidsmatige vergezichten zoals dat van Kroes. Daartussen in leek een leemte te vallen.
Illustratief daarvoor was dat in een paneldiscussie over de ophanden zijnde hervormingen van de Europese privacyregels nog fundamentele concepten aan de orde werden gesteld en er ronduit diepgaande meningsverschillen waren over in hoeverre ‘privacy-by-design’ en ‘privacy-by-default’ überhaupt mogelijk zijn, terwijl dit onderwerpen zijn die bij uitstek tastbaar te maken zijn.
Edward Snowden
Dat de onthullingen van Edward Snowden als een donderwolk boven de sector hangen bleek tijdens een parallelsessie over de privacyregels waar zelfs de European Privacy Association, een spreekbuis van grote cloudpartijen in het Brusselse circuit, aangaf dat de zogenaamde Safe Harbor-regels ter discussie staan en dat men er niet vanuit moet gaan dat deze in hun huidige vorm blijven bestaan. Niet alleen omdat de Europese Commissie deze wel eens zou kunnen herzien naar aanleiding van de onthullingen, maar ook omdat een rechtszaak tegen GCHQ, de Britse veiligheidsdienst bij het Europese Hof van de Rechten van de Mens hier wel eens invloed op zou kunnen hebben.
De schaduw van Snowden kwam heel duidelijk naar voren tijdens het slotpanel over overheidssurveillance en de cloud. De Zweedse Europarlementariër Amelia Andersdotter gaf in een fel betoog aan dat opsporingsdiensten zich niet moeten gaan bedienen van dezelfde middelen als criminelen en dat inbraakbevoegdheden zoals al in diverse landen gehanteerd een verkeerde weg zijn. Ook werd tijdens deze sessie gesignaleerd dat de centralisatie van gegevens bij cloudproviders deze wel heel aantrekkelijke doelwitten maakt voor inlichtingen- en opsporingsdiensten. Jon Callas van Silent Circle, een versleutelde oplossing voor mobiele telefonie, ging daarbij zelfs zover te stellen dat Europa eigenlijk erger is dan de Verenigde Staten door de dataretentierichtlijn en dat dit voor Silent Circle reden was om hun servers in Zwitserland te plaatsen. Professor Bart Pruneel van de Katholieke Univesiteit Leuven sneed daarbij een ander hangijzer aan: aansprakelijkheden voor cloudproviders. Kortom, over deze onderwerpen is het laatste woord nog lang niet gezegd.
Thanks voor dit verslag die denk ik de kern goed raakt van wat er speelt. Keep them coming en als het kan met relevante links zodat ik details kan nalezen.
Duidelijk is dat er geen eenduidig beeld is van een oplossing en niemand in de toekomst kan kijken. Zowaar mogelijk zet ik als druppel op een gloeiende plaat overal waar het kan https aan. Zowel op de sites die ik host, als op de sites die ik gebruik (LinkedIn kun je bijvoorbeeld nu overal https aanzetten, voor wat het waard is….).
Persoonlijk ben ik er in ieder geval bewust van dat alles wellicht gezien kan worden en heb ik maatregelen genomen voor het stukje data wat ik echt private acht.
Walter,
Leuk verslag waaruit een heleboel (juridische) bedenkingen komen die stof tot discussie geven. Wel opmerkelijk dat de naam van Edward Snowden in zo’n beetje elke discussie viel omdat zijn onthullingen eerder bevestigingen dan nieuws waren. In reactie op andere opinie: ‘Goed voorbereid overstappen op een ander systeem’ haalde ik aan dat de privacy wake-up call al in 2000 plaats vond alleen toen door niemand gehoord werd. Rond die tijd werden ook de Safe Harbor principles opgesteld waarvan Edward Snowden nu dus een lachertje heeft gemaakt.
Betreffende de beleidsmatige vergezichten van Kroes ben ik nog wat sceptisch omdat de bereidwilligheid om werkelijk een einde te maken aan dit digitaal imperialisme nog lijkt te ontbreken. En tot op heden hebben die politieke vergezichten juist tot het tegenovergestelde geleid doordat Europa heel volgzaam alles geleverd heeft waarom de Amerikanen vroegen. Aangaande transparantie waarover Kroes spreekt moet ik denken aan het tegenovergestelde geluid dat Brenno de Winter liet horen op Alt-S congres, zie mijn expertverslag daarover.
Nu is het niet allemaal kommer en kwel over Europa want het Secure idenTity acrOss boRders linKed (STORK) project vind ik een goed initiatief om werkelijk wat te doen aan de zorgen rond privacy. Nu dient de overheid daarin wel een betrouwbare partner te zijn en niet alle persoonsgegevens over te dragen als de Amerikanen een keertje BOE roepen. Vergeet niet dat in 2001 het voorstel om vingerafdrukken in paspoort op te slaan nog naar de prullenbak verwezen werd omdat dit zou leiden tot een ‘Big Brother’ maatschappij maar onder argument van terrorismebestrijding zonder enige bezwaar ingevoerd werd, inclusief de aanvullende gelaatsherkenning.
Dank voor je verslag maar zou je misschien vanuit je professie ook eens een opinie kunnen wijden aan de juridische ontwikkelingen aangezien ik het idee krijg dat wetgeving telkens achter de feiten aanloopt.
@Henri
Jij bent hopeloos naïef, zo wordt https getermineerd op de server en was het schokkende van onthullingen die Snowden deed dat het afluisteren daar achter plaats vond. LinkedIn als voorbeeld nemen is trouwens hilarisch aangezien deze grossieren in persoongegevens. Saillant detail is dat Snowden tijdens SXSW stelde dat je beter persoonsgegevens achter kunt laten bij commerciële partijen dan de overheid omdat laatste de tucht van de markt niet kent. PPS is helaas nog weleens een loterij zonder nieten zoals we gezien hebben met DigiNotar, het hete hangijzer van aansprakelijk voor providers.
Ewout, ik weet dat https geen totaal oplossing is, maar als al het verkeer over het internet in HTTPS gaat zal het in ieder geval lastiger worden, zoals ik zei, een druppel op een groeiende plaat.
Banken weten ook alles van me, net als telecom maatschappijen en social media, maar ook zorgverzekeraars worden steeds grotere dataverzamelaars. Het gaat om het combineren van gegevens door overheid en bepaalde partijen waartegen ik me graag wil beschermen, en natuurlijk tegen crimineel misbruik. Als laatste wil ik nog mijn persoonlijke communicatie en voorkeuren beschermen, maar dat was het dan wel.
Een organisatie wil graag bepaalde kennis geheim houden, de zogenaamde organisatie privacy.
Heel veel privacy is weinig boeiend in de massa, maar wordt ineens wel boeiend als je de speld in een hooiberg bent waarnaar men op zoek is…
Ik snap privacy prima.
@Henri
Concept van Big Data is gebaseerd op binnen harken van zoveel mogelijk privacy gevoelige informatie, ING wil niet voor niets verkregen profielen verkopen. Betreffende je opmerking dat privacy weinig boeiend is in de massa verwijs ik je ook naar expertverslag Alt-S waar Matthijs Koot een aardig voorbeeld had over pseudo anonimiteit, hoe kleiner de massa hoe groter de mogelijkheid om tot op de persoon nauwkeurig uit te komen.
Ik ben het met je eens dat de overheid terughoudend moet zijn in het verzamelen van allerlei privacy gevoelige data en heb een opinie ingediend aangaande dit maatschappelijke probleem. We hebben namelijk steeds meer attributen die ons digitaal herkenbaar maken en sommigen daarvan worden niet alleen door criminelen misbruikt waardoor er een Kafkaëske bureaucratie ontstaat.
Ewout,
“Heel veel privacy is weinig boeiend in de massa, maar wordt ineens wel boeiend als je de speld in een hooiberg bent waarnaar men op zoek is…”
Hiermee bedoel ik dus inderdaad, dat je in de massa niet opvalt, maar als jij op het netvlies komt van een organisatie, dan ineens ben je geen massa meer en dan is het eng van wat er allemaal mogelijk is.
dit is het “ik heb niets te verbergen” credo. Je voelt je veilig in de massa, totdat je ineens een gevaar bent voor iets en er met terugwerkende kracht van alles boven water gehaald kan worden. Stel je was vroeger een uploader van iets, nu kom je in landelijke politiek en ben je een bedreiging voor de huidige regering, dan gaan ze even spitten en hebben ze ineens middelen gevonden om je onschadelijk te maken.
Ook is er (bron heb ik niet meer) onderzoek gedaan om te kijken of anonieme zoekopdrachten kon leiden tot identificatie van een persoon. Dit ging in zeer veel gevallen op! Dus als je de zoektermen van 1 anonieme gebruiker bewaard kun je hem vaak uniek identificeren. Denk aan vanity search (jezelf googlen), locatie gebaseerd zoeken (openingstijden van een zwembad) en het vragen van directions naar een plek op Google Maps….
mbt
“ING wil niet voor niets verkregen profielen verkopen”
Ik geloof niet dat ze iets verkochten, maar dat adverteerders kunnen betalen om bij relevante bank klanten onder de aandacht gebracht te worden. Dat is wel even anders, waarbij de essentie van het sentiment natuurlijk is dat de banken extra aan je verdienen. Wat een slimmer (ehh minder dom) plan was geweest is bijvoorbeeld het youtube model, waarbij opbrengsten gedeeld worden. Dus ING klant staat toe dat er advertenties getoond worden en krijgt een deel van de opbrengst die ING hieraan verdiend. Als adverteerder is dit natuurlijk weer listig omdat een klant dan ineens gemotiveerd is om op advertenties te klikken :-0
@Henri
In eerdere reactie – op een hier al genoemde opinie die over CRM ging – stelde ik dat juristen voorwaarden in het Sanskriet schrijven. Hoe je de drol ook verkoopt derdenverstrekking van ING lijkt me discutabel als persoonsgegevens uiteindelijk voor iets anders gebruikt worden dan waarvoor ze zijn verkregen.