VS kan via clouddiensten bij e-mail NL overheid en bedrijven

Interessant is dat ik in de markt twee trends zie die voortkomen uit dit soort rapporten en bewustwording over privacy- en securityrisico's. Ik zie veel nieuwe partijen in Nederland en Europa opkomen die zich specifiek richten op het aanbieden van clouddiensten met een sterke nadruk op privacy en Europese sovereiginiteit. Daarnaast zie ik ook organisaties die juist weer besluiten om weg te stappen van de cloud en weer terug te gaan naar een eigen old school datacenter. Er zijn wat rapportages die ik voorbij heb zien komen waarin staat dat dit ook goedkoper kan dan het uitbesteden aan de cloud.

Ik heb jaren als security consultant gewerkt (nu weer) en elke keer als ik dit als risico aankaartte, werd het weggewuifd als niet relevant, want alternatieven bestaan haast niet, zijn minder effectief of duurder.

Dit geldt overigens niet alleen voor mail. De Amerikaanse overheid kan toegang afdwingen tot alle opgeslagen data die bij Amerikaanse bedrijven opgeslagen is, ongeacht locatie van deze data.

Wet- en regelgeving die op Europees niveau om dit goed en veilig te regelen zijn vernietigd omdat deze ontoereikend waren. Zie hiervoor het Schrems1 en Schrems2 arrest.

EU-voorstellen: gevolgen van het Schrems-arrest en het EU-VS Privacy Shield verdrag
De Schrems II-zaak: wat is er gebeurd?

Ik ben momenteel betrokken bij een project om een visie op te stellen rondom de inzet van (Amerikaanse) clouddiensten. In dit project zitten leden van het juridisch team, de CDO, architecten en privacy officers. Wordt breed aangevlogen, en dit rapport gaat vermoedelijk nog wel wat impact krijgen binnen de organisatie.

jurroen schreef op donderdag 11 april 2024 @ 11:51:
[...]


Ja, true. Ik geloof (maar niet zeker) dat dit de reden was dat er nu ook Microsoft Ierland is. Maar als de Amerikaanse wet- en regelgeving niet van toepassing is, wil ik niet geloven dat de nodige uitoefenen in Redmond niet alsnog zorgt voor zwichten.

Och, er is via meneer Snowden al bekend dat het aanwezig zijn van Microsoft Ierland nu niet echt helpt qua privacy

In 2013, Edward Snowden publicly disclosed that US Intelligence Agencies have access to the personal data of European users via surveillance programs such as PRISM or Upstream. These disclosed documents also listed a number of companies that are providing data to the US government for surveillance programs, including Apple, Microsoft, Facebook, Google and Yahoo.

https://noyb.eu/nl/projec...atus&page=11%2C4&sort=asc

Maar los van eigen data, vergeet ook zaken als telemetrie niet. Met name de Mobile Apps van Office zijn berucht vanwege de hoeveelheid data/telemetrie die verzameld wordt:

https://www.government.nl...d-mobile-slm-rijk-23-july

Currently, the processing of diagnostic data about the use of the mobile Office apps and the Controller Connected Experiences leads to five high data protection risks.Only Microsoft can effectively mitigate these risks. Government organisations are advised to create policies for their employees to not use Office Online and the mobile Office apps.

Overigens, een groot gedeelte van de conclusie van deze DPIA uit 2019 rust op het feit dat "Safe Harbour" en "Privacy Shield" wel voldoende bescherming zouden bieden. Laten die nu net door de eerder genoemde arresten vernietigd zijn.

Het rapport is iets wat bij security en privacy professionals niet veel nieuw informatie zal brengen. Daarnaast mag je natuurlijk ook vraagtekens stellen bij de motivatie van de AIVD om hier opdracht toe te geven. Dat doen ze omdat ze hier duidelijk een doel mee willen bereiken. Overigens ondersteun ik dat doel van harte, maar eenieder moet zich ook bewust zijn dat dit soort rapporten niet zomaar ontstaan, zeker niet als de AIVD opdrachtgever is.

Iedere organisatie zal hier zijn eigen risicoafwegingen in willen maken. En veel (private) organisaties hebben simpelweg de (financiële) ruimte niet om hier principiële keuzes in te maken. Simpelweg omdat ze zich daarmee mogelijk uit de markt prijzen door hogere kosten voor it of lagere arbeidsproductiviteit.
Voor partijen waar security echt een rol speelt, zeker op staatsgeheim niveau, is dit een topic dat zeker niet nieuw mag zijn. Maar dan heb je het over een heel klein deel van de Nederlandse organisaties.

Overheid zou hier wel een rol in kunnen spelen door wel principieel te kiezen voor een soevereine cloud en onafhankelijke (open source) leveranciers. Echter, hebben die ook beperkte budgetten en zal een groot deel van de beslissende laag hier niet snel warm voor lopen om extra geld uit te trekken. Nog los van mogelijk aantrekkelijk werkgeverschap als jij niet mee kan gaan met de laatste mooie tools van Amerikaanse partijen.

BytePhantomX schreef op donderdag 11 april 2024 @ 15:16:
Nog los van mogelijk aantrekkelijk werkgeverschap als jij niet mee kan gaan met de laatste mooie tools van Amerikaanse partijen.

En dit is wel een belangrijke, er zijn voor veel zaken simpelweg geen goede alternatieven.

BytePhantomX schreef op donderdag 11 april 2024 @ 15:16:
Voor partijen waar security echt een rol speelt, zeker op staatsgeheim niveau, is dit een topic dat zeker niet nieuw mag zijn. Maar dan heb je het over een heel klein deel van de Nederlandse organisaties..

Als de Amerikaanse Overheid bij data van personen kan komen, heb je het niet over security, maar over privacy. Laat nu net elk bedrijf in de EU moeten voldoen aan de GPDR.

Dit onderwerp zou dan ook elke organisatie die persoonsgegevens verwerkt in een (Amerikaanse) cloudoplossing moeten aangaan. Dat de praktijk anders is, mede door de argumenten die je terecht aanhaalt, is helaas een feit.

[ Voor 52% gewijzigd door Question Mark op 11-04-2024 15:51 ]

Question Mark schreef op donderdag 11 april 2024 @ 15:47:
Als de Amerikaanse Overheid bij data van personen kan komen, heb je het niet over security, maar over privacy. Laat nu net elk bedrijf in de EU moeten voldoen aan de GPDR.

Dit onderwerp zou dan ook elke organisatie die persoonsgegevens verwerkt in een (Amerikaanse) cloudoplossing moeten aangaan. Dat de praktijk anders is, mede door de argumenten die je terecht aanhaalt, is helaas een feit.

Mijn achtergrond is security en ik denk dat beide hier van toepassing zijn. Ps, ik denk dat de context vanuit AIVD ook meer security is dan privacy (compliance).

Er is meer dan data over personen. Denk aan intellectual property, strategische data van publieke en private organisaties tot aan staatsgeheimen. Je mag verwachten dat een Amerikaanse overheid met name daar interesse in heeft. Denk bijvoorbeeld aan strategische keuzes rondom conflicten in de wereld. Iets waar de geheime diensten daar graag informatie over krijgen. En via de Amerikaanse cloud providers zouden ze dit vanuit nationaal belang zo op kunnen vragen. Maar denk ook zeker aan cruciale data rondom bijvoorbeeld ASML, vanuit politiek oogpunt, maar ook IP van ASML zal de overheid daar interessant vinden.

[ Voor 22% gewijzigd door BytePhantomX op 11-04-2024 16:45 ]

Net als bij Huawei etc: het is vooral een lange lange termijnrisico om als maatschappij alles op 1 paard te wedden.

Orangelights23 schreef op donderdag 11 april 2024 @ 10:55:
Ik heb jaren als security consultant gewerkt (nu weer) en elke keer als ik dit als risico aankaartte, werd het weggewuifd als niet relevant, want alternatieven bestaan haast niet, zijn minder effectief of duurder.

En 'de hele wereld doet het'. Die combi maakt het Euro-only argument lastig te verkopen, zolang het legaal is (icm. Euro-dochter van Amerikanen c.q. standard contractual clauses), goedkoper, en met meer functionaliteit. Moeilijk om te negeren.. Net zoals bij Huawei, zie ik Europese of landelijke wetswijzigingen als meer kansrijk (en dan met minieme kans). Na ruim investeren in Europese infra en organisaties, en dan over de hele stack dus niet alleen staal in een datacenter of een eigen Linux-fork.

En zolang we 'alles' produceren in China blijven we ook dan nog steeds zwaar afhankelijk. We zijn als maatschappij en als mensheid simpelweg amper tot niet in staat om vandaag te investeren in problemen voor twee generaties later.

Maar die wetswijziging geeft een risico dat dan wel in de boardroom komt: als in %2030% de wet of de internationale verhouding verandert, is er een zeer dure complexe migratie nodig. In korte tijd uit te voeren wat het nog duurder maakt. Dat is een concreet risico.

Niet dat er veel mensen paniekvoetbal zijn gaan gaan spelen toen Safe Harbor aan de kant was geschoven, maar toch.

Question Mark schreef op donderdag 11 april 2024 @ 11:42:
Dit geldt overigens niet alleen voor mail. De Amerikaanse overheid kan toegang afdwingen tot alle opgeslagen data die bij Amerikaanse bedrijven opgeslagen is, ongeacht locatie van deze data.

Dat geldt overigens ook voor puur Nederlandse hosters, via MLAT-verzoeken net zoals Europese overheden dat doen voor data bij Amerikaanse bedrijven.

Dat afdwingen is bij een Europese tak is dan weer niet legaal cf. Europees recht. Als het toch illegaal gaat dan zijn er ook andere niet-legale methoden. Ik zie dat risico dan ook niet zo groot, tenzij je MinDef of ASML bent. (Edit: en "belangrijker", every crime is also securities fraud. En de grote beursgenoteerde jongens hebben daar grote belangen).

En de security-aandachtspunten gelden ook zeker voor puur Nederlandse hosters, een NL-overheid cloud gaat doelwit zijn van de Cozy Bears van deze wereld (en tegenhangers uit andere landen), ook of misschien juist zonder Amerikanen in de buurt. Als er geen landgenoten in de database staan is er immers geen kans op nevenschade.

'Cloud Kootwijk':

Vrijwel alle data van burgers en de overheid staan opgeslagen op servers van de grote Amerikaanse techbedrijven Microsoft, Google en Amazon. Daarmee is Europa niet alleen militair, maar ook digitaal zeer afhankelijk van Amerika. Deskundigen waarschuwen al langer voor de grote risico's.

Zo is de vrees dat de Amerikanen de data kunnen inzien en de boel zelfs kunnen afsluiten als iets ze niet aanstaat. Die vrees is er ook bij het Internationaal Strafhof, dat Amerikaanse sancties kreeg opgelegd als straf voor de arrestatiebevelen die het hof heeft uitgevaardigd tegen onder anderen de Israëlische premier Benjamin Netanyahu.

Rode knop
"Al het bewijsmateriaal van het Internationaal Strafhof staat op servers van Microsoft", zegt technologiedeskundige Bert Hubert. "De angst brak daar direct uit, dat ze er niet meer bij kunnen. Er is niet alleen een theoretische rode knop om ons mee af te sluiten, er wordt ook al op die knop gedrukt."

Als voorbeeld noemt Hubert het faillissement van de Amsterdam Trade Bank, een Nederlandse dochter van een Russische bank. Die bank kreeg te maken met Amerikaanse sancties, alle Amerikaanse softwaresystemen gingen op slot. "Toen kon de bank niet meer werken en ging failliet."

https://nos.nl/nieuwsuur/...ten-kom-nu-met-een-plan-b

Je kunt een hoop vinden van alles wat in de VS gebeurd, maar dit soort thema's krijgen daardoor ook ineens een stuk meer aandacht. Elk nadeel heeft toch ook weer een voordeel.

Ben oprecht benieuwd hoe een souvereine IT omgeving eruit ziet zonder afhankelijkheid van Amerikaanse partijen.
- Hoe ga je email (veilig) doen. Recent een onderzoekje gedaan voor mezelf als consument, maar als je MFA als harde eis hebt, blijft er weinig over, want POP en IMAP ondersteunen dat niet, dus de email leverancier moet een eigen app ontwikkelen. Laat staan dat er schaalbare oplossingen zijn voor 1000-en medewerkers.
- Documenten: er lijkt wat tractie te zijn rondom NextCloud. Was deze week verbaasd dat ik de naam hoorde op BNR. Maar dat is natuurlijk by far nog niet vergelijkbaar met SharePoint en ook geen ide hoe schaalbaar dit is.
- Servers / werkplek: Linux is al tal van keren geprobeerd, maar lijkt toch elke keer niet te lukken
- Video conferencing: jitsi is open source, maar wel eigendom van een amerikaanse partij. Zijn er nog andere alternatieven
- Libre office lijkt geen amerikaanse belangen te hebben, dus dat zou misschien een redelijk alternatief zijn. Integreert ook met Nextcloud

Dit zijn dan nog de generieke werkplek zaken. Voor tal van meer specialistische dingen zullen waarschijnlijk minder alternatieven zijn.

[ Voor 5% gewijzigd door BytePhantomX op 14-03-2025 10:29 ]

Zie net deze voorbij komen, benieuwd wat het gaat worden:
https://minbzk.github.io/mijn-bureau/

Hier zijn wat meer details
https://github.com/MinBZK...main/openbsw/evaluatie.md

[ Voor 34% gewijzigd door BytePhantomX op 14-03-2025 12:57 ]

BytePhantomX schreef op vrijdag 14 maart 2025 @ 12:52:
Zie net deze voorbij komen, benieuwd wat het gaat worden:
https://minbzk.github.io/mijn-bureau/

Samen met Frankrijk en Duitsland onderhouden we een Europese suite van samenwerksoftware. Mijn Bureau is de Nederlandse implementatie daar van.

Doet me denken aan
https://www.entreprises.g...ecteurs-strategiques-de-7
En
https://www.numerique.gouv.fr/services/cloud/cloud-interne/

In Frankrijk zijn ze daar inderdaad serieus mee bezig met zelfs een nationale cloud coördinator.
Duitsland heb ik minder zicht op.

Ben wel benieuwd naar de Nederlandse eigen bijdrage.