The missed opportunity of avoiding PRISM

Once upon a time, in a pre-9/11 world, the European Parliament was about to take the privacy rights of their citizens seriously. Now PRISM is only a problem for Europeans because our governments did not implement the policies they themselves proposed in July 2001. On July 11th 2001 the European Parliament published a report on the Echelon spy network and the implications for European citizens and businesses. Speculations about the existence of this network of Great Britain-and-her-former-colonies had been going on for years but it took until 1999 for a journalist to publish a report that moved the subject out of the tinfoil-hat- zone. The report of the EU Parliament contains very practical and sensible proposals, but because of events two months later across the Atlantic, they have never been implemented. Or even discussed further. Under the heading "Measures to encourage self-protection by citizens and enterprises" it lists several concrete proposals for improving data security and confidentiality of communications for EU citizens. The document calls on Parliament to inform citizens about the existence of Echelon and the implications for their privacy. This information must be 'accompanied by practical assistance in designing and implementing comprehensive protection measures, including the security of information technology.'

Foto: Lawrence Berkeley National Laboratory (cc)

Hoger onderwijs moet cloud afschermen

ACHTERGROND - Nederlandse hogescholen en universiteiten gaan steeds meer gebruik maken van cloudcomputing. Maar dat brengt ook risico’s met zich mee. 

Als de staatsveiligheid van de USA in het geding is, kan Washington meekijken in verzamelingen van gegevens in ons HBO en WO. Op zich geen nieuw feit, maar de overgang naar ‘cloudcomputing’ in het Hoger Onderwijs (HO) dwingt wel tot verdere doordenking. Het samenwerkingsverband voor netwerk- en ICT-diensten van het HO in Nederland, SURF, werkt daar nu aan.

Het Instituut voor Informatierecht (IViR) heeft daarom onderzoek gedaan naar de toegang van overheden tot data die zich in de cloud  bevinden. Hoofdconclusie daarvan is dat het voor het HO zaak is zicht te krijgen en te houden op de condities waaronder justitie en veiligheidsdiensten toegang hebben tot data en de daarmee samenhangende risico’s.

Er moet daarbij verder worden gekeken dan de Patriot Act in de  USA, want er is daar sprake van meer wet- en regelgeving over overheidstoegang tot (cloud)data. Het volledige rapport, inclusief de managementsamenvatting, is hier te downloaden.

Nieuwe vragen opgeroepen

De huidige wetgeving in zowel de Verenigde Staten als in Nederland zorgt ervoor dat bevoegde instanties de mogelijkheid hebben om gegevens van kennisinstellingen op te vragen. Het maakt daarbij in principe niet uit of die gegevens in het eigen datacenter of in de cloud staan. Wanneer de gegevens in een cloud staan bij een leverancier die onder Amerikaanse jurisdictie valt, kunnen de gegevens direct vanuit de VS bij de betreffende onderneming/instelling opgevraagd worden.

Is dat niet het geval, dan kan een verzoek tot inzage worden gedaan via de Nederlandse justitie of veiligheidsdiensten. Het is juridisch gezien niet mogelijk om tegen te houden dat bepaalde data worden opgevraagd door de overheid als deze een relatie legt met staatsveiligheid of strafvordering.

Wilma Mossink, juridisch adviseur van SURF: “Dat overheden toegang tot gegevens kunnen krijgen is niet nieuw. De overgang naar cloud computing roept wel vragen op over de veranderende context en de consequenties hiervan. Het is volgens het IViR te verwachten dat het opvragen van gegevens uit de cloud door overheden alleen maar zal toenemen gezien de hoeveelheid gegevens die daarin worden ondergebracht. Hoe vaak dat nu gebeurt, is moeilijk na te gaan. Het is daarom niet aan te geven hoe groot het risico daadwerkelijk is. Toch is het belangrijk dat instellingen zich bewust zijn van dit risico bij het onderbrengen van data in de cloud.”

Afgeschermde diensten voor HO?

Joris van Hoboken, onderzoeker van het IViR voegt hieraan toe: “De actuele kwestie rond de Patriot Act is nauwelijks grondig onderzocht. Hierdoor zijn in het maatschappelijke debat over cloud computing flink wat onjuistheden geslopen. Het maakt bijvoorbeeld in beginsel niet uit of cloudgegevens in de VS of ergens anders in de wereld zijn opgeslagen. Als een Nederlandse cloudaanbieder structureel zaken doet in de VS, dan geeft VS wet- en regelgeving al de mogelijkheid voor VS autoriteiten om gegevens op te vragen vanuit Nederland. Voor afnemers van clouddiensten zullen zulke relaties in de praktijk moeilijk te achterhalen zijn en door overnames in de sector kan de situatie opeens veranderen.”

SURF heeft tegen deze achtergrond de opvatting dat per soort gegevens bekeken moet worden wat de risico’s zijn. Op basis van een dergelijke classificatie kan worden vastgesteld waar public clouddiensten van marktpartijen ingezet kunnen worden.

Om optimale rechtsbescherming te garanderen in geval van gegevens met een te hoog risico, kan het nodig zijn om bepaalde afgeschermde community clouddiensten speciaal voor het hoger onderwijs in te richten.

Dit artikel verscheen eerder op Scienceguide.

Doe het veilig met NordVPN

Sargasso heeft privacy hoog in het vaandel staan. Nu we allemaal meer dingen online doen is een goede VPN-service belangrijk om je privacy te beschermen. Volgens techsite CNET is NordVPN de meest betrouwbare en veilige VPN-service. De app is makkelijk in gebruik en je kunt tot zes verbindingen tegelijk tot stand brengen. NordVPN kwam bij een speedtest als pijlsnel uit de bus en is dus ook geschikt als je wil gamen, Netflixen of downloaden.

Foto: Sargasso achtergrond wereldbol

[x] ongeschikt

<webwereld column>

Door alle nieuwe ontdekkingen van Brenno de Winter heb ik even overwogen om weer een column te wijden aan de OV-chipkaart. Maar bij nader onderzoek kwam ik er achter dat ik (en Brenno… en vele anderen…) eigenlijk alles erover in 2008 al gezegd hebben. En verder zijn grapje over de Iraakse minister van informatie zoooo 2003. Iets anders dus.

Ruim negen jaar geleden raakte in gesprek met Kees Vendrik (2e kamer, Groen links) over de verziekte Nederlandse software markt. Niet alleen was het onmogelijk een A-merk laptop te kopen zonder Microsoft Windows licentie, het was ook onmogelijk om veel websites (gemeenten, ns.nl en vele anderen) te bezoeken met iets anders dan Internet Explorer. Op dat laatste gebied is er veel verbetering te zien en dus kan ik tegenwoordig met mijn OS en browser naar keuze prima online leven. Alleen moet ik af en toe nog even die Windows licentie slikken bij aanschaf van een nieuwe laptop. Op dat gebied is er helaas nauwelijks verbetering. Ook zaken als de maatschappelijke afhankelijkheid van producten als MS-Office is niet echt minder geworden ondanks alle mooie wensen van ons parlement en plannen die de overheid daarop schreef.

Ondertussen daveren technologische ontwikkelingen door en datgene waar Bill Gates in ’95 zo bang voor was (het web maakt het OS irrelevant) is hard op weg werkelijkheid te worden. Bijna alle nieuwe ontwikkelingen die onderwerp van gesprek zijn onder IT’ers en power-users zijn web-based of gebaseerd op open specificaties en de meest gebruikte toepassingen van Pc’s draaien vrij goed als dienst in een browser.

Het 15-20 jaar oude probleem van afhankelijkheid is nog niet echt opgelost (onze overheid met tienduizenden IT’ers in dienst is niet in staat een desktop in te voeren op basis van iets anders dan de bekende Microsoft technologie stack) maar neemt dus wel af in impact. Ondertussen dienen zich al weer nieuwe afhankelijkheden aan van cloud-leveranciers die wellicht nog veel ernstiger kunnen zijn.

Door overmatig gebruik van proprietary software ontstaan risico’s van buitenlandse manipulatie of  aanvallen op kritische infrastructuur (zie bijvoorbeeld Stuxnet). Maar als je systemen op die manier worden aangevallen zijn er in ieder geval nog wat manieren om daar achter te komen. Als je werkt op de computer die niet van jou is, niet op een plek staat die je kan kennen en beheerd wordt op een manier waar je niets over kan weten wordt het wel heel lastig om nog enige controle te houden over wat er met je gegevens wordt gedaan.

Waar eerder nog de aanname was dat een deel van het probleem van controle over data te beheersen was door gebruikt te maken van lokale servers blijkt ook dat helaas een illusie. Alle ‘cloud’ diensten die worden aangeboden door bedrijven die in de VS gevestigd zijn vallen onder Amerikaans recht, zelfs als de servers fysiek in een ander land staan. En Amerikaans recht is tegenwoordig nogal, laten we zeggen, problematisch. Bij een verdenking van enige betrokkenheid bij ’terrorisme’,   specifiek bewijs niet noodzakelijk, kunnen systemen worden afgesloten of overgenomen. Zonder waarschuwing, mogelijkheid van wederhoor of enige juridische toetsing. De term ’terrorisme’ is daarbij zo ver opgerekt dat iemand die geen enkele Amerikaanse wet breekt, geen Amerikaans staatsburger is en zich niet in op het grondgebied van de VS bevindt toch ’terrorist’ kan zijn.  Gewoon omdat een van de vele drie-letterige diensten (FBI, CIA, NSA, DIA, DHS, TSA, enz…) dat vindt. De EU is niet blij maar gaat kennelijk niet zover dat zij haar burgers en mede-overheden wil adviseren geen gebruik meer te maken van dergelijke diensten.

De lange arm van de US Patriot Act reikt echter nog verder dan servers van Amerikaanse bedrijven op Europees grondgebied. Zo worden er wel eens domeinen ‘in beslag’ genomen en voorzien van een sticker: ‘deze site was betrokken bij handel in kinderporno‘. Ga dat maar eens uitleggen aan je relaties als ondernemer of non-profit. Alleen al het gebruiken van een .com, .org of .net extensie voor je domein is genoeg om onder Amerikaans recht te vallen en uitgeleverd worden. Je kan dus als Europeaan uitgeleverd worden voor het breken van Amerikaanse wetgeving terwijl je gewoon thuis was. Een .com domein maakt van je server effectief Amerikaans grondgebied.

We wisten we al dat proprietary platformen zoals Windows en Google-docs achtige oplossingen ongeschikt waren voor echt belangrijke zaken zoals het runnen van overheden of kritische infrastructuur. Nu blijkt dus echter dat iedere dienst geleverd via een .com/.org/.net domein je de-facto onder buitenlands toezicht laat vallen.

Oplossing? Draai zo veel mogelijk opensource software op servers lekker dicht bij huis, er zijn in Nederland en Europa gelukkig flink wat competente hosting bedrijven en bedrijfjes. Hou het lekker bij .nl of, als je echt bulletproof wil zijn, neem een .ch domein. Deze worden beheerd door een Zwitserse stichting en deze mensen nemen hun onafhankelijkheid zeer serieus. Niet voor niets draait wikileaks tegenwoordig onder wikileaks.ch nadat .org en andere domeinen een enkeltje Guantanamo Bay kregen.

En als je dan toch gebruik wil maken van Google-docs, Facebook, Evernote, Mindmeister, Ning, Hotmail of Office 365 doe dit dan met het bewustzijn dat je geen enkele verwachting meer kan hebben van privacy of enige andere vorm van burgerrechten. Prima voor de administratie van de tennisvereniging maar [x] ongeschikt voor alle zaken die er echt toe doen.