image

Kamervragen over risico's Microsoft 365 voor overheid

dinsdag 27 mei 2014, 17:26 door Redactie, 15 reacties

De VVD heeft minister Plasterk van Binnenlandse Zaken vragen gesteld over het gebruik van Microsoft 365 door overheidsorganisaties en semi-publieke instellingen. Volgens VVD-Kamerleden De Liefde, Moors, Dijkhoff en Litjens wordt in Microsoft 365 gegenereerde data in de Microsoft Cloud bewaard.

Een plek waar de NSA deze gegevens kan inzien, zo stellen de Kamerleden. Ze willen van de minister dan ook weten hoeveel overheidsorganisaties en semi-publieke instellingen van Microsoft 365 gebruik maken en of de minister erbij stilstaat dat Amerikaanse inlichtingendiensten de in de Microsoft Cloud opgeslagen data kunnen opvragen.

Opslaglocatie

De Kamerleden willen ook weten of de dataopslaglocatie bij overheidsorganisaties en semi-publieke instellingen wordt overwogen bij het kiezen van bepaalde software. Ook moet Plasterk aangeven of hij bereid is meer aandacht te geven aan bewustwording bij lokale overheden en semi-publieke instellingen wat betreft de risico’s die de fysieke opslaglocatie van vertrouwelijke data buiten Nederland met zich meebrengt.

Als laatste vragen de Kamerleden zich af of de minister bereid is om de Algemene inlichtingen- en veiligheidsdienst (AIVD) om advies te vragen op welke wijze alle Nederlandse overheidsorganisaties hun vertrouwelijke data het beste kunnen opslaan en beheren.

Reacties (15)
27-05-2014, 17:43 door Anoniem
Je hebt je eigen gegevens niet langer onder eigen beheer. De rest mag je zelf bedenken. Hoe naïef ben je als je denkt dat contractclausules je wel tegen buitenlandse spionagediensten zullen beschermen?
27-05-2014, 18:42 door Bitwiper - Bijgewerkt: 27-05-2014, 18:48
(1) Uit http://tweakers.net/nieuws/96195/microsoft-mag-informatie-over-fbis-office-365-opvragingen-publiceren.html:
Door Olaf van Miltenburg, vrijdag 23 mei 2014 11:46: Microsoft heeft bij de rechter afgedwongen dat het informatie over geheime verzoeken van de FBI om gegevens te verstrekken mag vrijgeven. De zaak ging over data van een klant die Office 365 van Microsoft gebruikte.
[...]
De techbedrijven mogen zelfs niet communiceren dat ze dergelijke verzoeken hebben ontvangen.
[...]
Als de FBI aantoont dat de dataopvragingen in het kader van onderzoek naar terrorisme plaatsvinden, is daarnaast geen toestemming van de rechter vereist.
[...]
M.a.w. dit soort verzoeken komen dus echt voor. Wat Microsoft nu heeft bereikt is dat ze die verzoeken niet meer geheim hoeft te houden (kan wel natuurlijk).

(2) Op 25 april 2014 heeft een rechter in New York, in een door Microsoft aangespannen rechtzaak, bepaald dat Microsoft alle beschikbare gegevens van een specifiek individu, inclusief e-mails, aan justitie beschikbaar moet stellen, ook al staan die gegevens op een server buiten de USA (in dit geval in de EU, Dublin om precies te zijn). De uitspraak (aardig leesvoer, niet alleen voor juristen) vind je hier: http://www.nysd.uscourts.gov/cases/show.php?db=special&id=398 (let op: het is een PDF file die zonder extensie .pdf wordt aangeboden, je moet deze opslaan bijv. als In.pdf, dan kun je hem openen).
P.S. op pagina 16 staat een prachtige typo: "Untied States" :)
Bron (Duitstalig): http://www.heise.de/ix/meldung/US-Internetunternehmen-muessen-im-Ausland-gespeicherte-Daten-herausgeben-2178454.html.

Dat de Patriot-Act wereldwijd geldt voor bedrijven met 1 of meer vestigingen in de USA is hiermee nog eens bevestigd, en niet alleen de NSA kan er gebruik van maken (in elk geval ook de FBI dus). Als de vragende kamerleden dat hadden geweten (lijkt niet zo te zijn) hadden ze wellicht iets andere vragen gesteld...
27-05-2014, 21:34 door Anoniem
Door Bitwiper: (1) Uit http://tweakers.net/nieuws/96195/microsoft-mag-informatie-over-fbis-office-365-opvragingen-publiceren.html:
Door Olaf van Miltenburg, vrijdag 23 mei 2014 11:46: Microsoft heeft bij de rechter afgedwongen dat het informatie over geheime verzoeken van de FBI om gegevens te verstrekken mag vrijgeven. De zaak ging over data van een klant die Office 365 van Microsoft gebruikte.
[...]
De techbedrijven mogen zelfs niet communiceren dat ze dergelijke verzoeken hebben ontvangen.
[...]
Als de FBI aantoont dat de dataopvragingen in het kader van onderzoek naar terrorisme plaatsvinden, is daarnaast geen toestemming van de rechter vereist.
[...]
M.a.w. dit soort verzoeken komen dus echt voor. Wat Microsoft nu heeft bereikt is dat ze die verzoeken niet meer geheim hoeft te houden (kan wel natuurlijk).

(2) Op 25 april 2014 heeft een rechter in New York, in een door Microsoft aangespannen rechtzaak, bepaald dat Microsoft alle beschikbare gegevens van een specifiek individu, inclusief e-mails, aan justitie beschikbaar moet stellen, ook al staan die gegevens op een server buiten de USA (in dit geval in de EU, Dublin om precies te zijn). De uitspraak (aardig leesvoer, niet alleen voor juristen) vind je hier: http://www.nysd.uscourts.gov/cases/show.php?db=special&id=398 (let op: het is een PDF file die zonder extensie .pdf wordt aangeboden, je moet deze opslaan bijv. als In.pdf, dan kun je hem openen).
P.S. op pagina 16 staat een prachtige typo: "Untied States" :)
Bron (Duitstalig): http://www.heise.de/ix/meldung/US-Internetunternehmen-muessen-im-Ausland-gespeicherte-Daten-herausgeben-2178454.html.

Dat de Patriot-Act wereldwijd geldt voor bedrijven met 1 of meer vestigingen in de USA is hiermee nog eens bevestigd, en niet alleen de NSA kan er gebruik van maken (in elk geval ook de FBI dus). Als de vragende kamerleden dat hadden geweten (lijkt niet zo te zijn) hadden ze wellicht iets andere vragen gesteld...

Bitwiper:

Mail die kamerleden eens je inzichten... En geef dan ook gelijk aan dat door het outsourcen van allerlei bedrijven in Nederland aan buitenlandse bedrijven ongeveer ALLE Nederlandse data eigenlijk al in handen is van de Amerikanen, Russen, Chinesen, India, etc, etc.

Mijn mening:

Het blijft lachwekkend om te zien hoe naïef mensen denken over cloud en outsourcing naar verre oorden. Want ook al staat de data hier en is er niks outsourced dan nog zijn er wel leveranciers die diensten, hardware en software betrekken uit verwegistan waardoor de data alsnog compromiteerbaar is. Alleen crypto met eigen sleutelbeheer kan het enigszins bemoeilijken dat alle data direct straat komt te liggen. Als je tenminste de moeite hebt genomen om de overige security op orde te brengen...
28-05-2014, 07:25 door Anoniem
Helemaal eens. Cloud is (wat dit betreft) niet anders dan outsourcen. Sterker: in een cloud omgeving heb je vermoedelijk nog betere controle over je data dan als je outsourced.

De (belangrijke/gevoelige) data moet beveiligd worden, met eigen sleutels.

Even los daarvan: zouden de kamerleden weten hoe ontzettend slecht IT (beveiliging) bij de overheid zelf is geregeld? Of maken ze liever stennis over een probleem elders in de hoop dat we vergeten hoe slecht het hier gesteld is?
28-05-2014, 08:04 door Anoniem
Volgens de Nederlandse wet mag niet alle data zomaar op een buitenlandse cloud gezet worden. Zelfs al is er spraken van een 'safe harbor' dan nog zijn er strenge regels met betrekking op onder andere persoonsgegevens en politiek gevoelige informatie. Het zou erg dom zijn als onze vertegenwoordigers dat niet weten.
28-05-2014, 08:56 door Fwiffo
Door Bitwiper:
Happy days and jubilation! Starship captain Bitwiper has returned!
/dance
28-05-2014, 09:07 door Anoniem
Simpel encrypteren alles wat je verwerkt en opslaat in de cloud, altijd doen; op werk of thuis.
Zijn plenty tooltjes voor om dat te doen tegenwoordig.
Encryptie is niet heilig en wordt ooit gekraakt, maar tegen die tijd is het oud nieuws en geen nieuws meer.
Voor overig zeer gevoelige data...pen en papier en de ouderwetse kluis...
28-05-2014, 09:33 door Anoniem
Tja, dat was wel te verwachten dat er vragen over gingen komen. Het duurt even want Kamerleden zijn over het algemeen niet de meest vlotte, maar dan krijg je ook wat.
Ik zie in de decentralisatie van de jeugdzorg en participatie gemeenten grijpen naar cloud oplossingen als Office 365. Onlangs is Office 365 voor gebruik van medische gegevens geautoriseerd dus gaan veel zorgverleners er vanuit dat het dan we goed zit.
Laten we wel zijn, of nu alles bij een NL provider draait en de gegevens staan bij gemeenten lokaal, onze eigen AIVD/MIVD hebben daar toegang toe, en dat zijn ook de partijen die data voor andere diensten verzamelen. Gemeenten zijn namelijk "verplicht" om de basis registraties toegankelijk te maken voor o.a. de AIVD. Dus tja, waar gaat het dan nog over?
Bedrijven zou ik adviseren om toch alles in eigen hand te houden en de hogere kosten dan maar voor lief te nemen. Als ze dat niet willen moeten ze ook niet zeuren.
28-05-2014, 09:44 door Anoniem
Ach... als je niets hebt te verbergen...

Ik stop nooit en never iets in de wolken, maar dat is logisch.
28-05-2014, 09:54 door Anoniem
Office 365 kan je toch ook met een hybride oplossing gebruiken?
28-05-2014, 10:13 door [Account Verwijderd] - Bijgewerkt: 28-05-2014, 10:22
[Verwijderd]
28-05-2014, 10:42 door Anoniem
Soms rol je van de ene in de andere verbazing. Office 365 heb ik nooit begrepen. Je geeft de controle over je software volledig uit handen. Als je al ziet wat voor problemen er zijn als MS overgaat naar een nieuwe versie of zelfs stopt met de ondersteuning van de oude versie. Bij 365 ben je dus volledig afhankelijk van MS.
Gevoelige data opslaan in een cloud die niet je eigen is? Ik zeg er ff niks over. Gelukkig zijn we goede vrienden met de VS en zullen ze niet zo maar door onze gevoelige data gaan gras duimen om informatie van bepaalde personen te achter halen.
Beveiliging persoonsgegevens is dat niet een wet waar iedereen zich aan dient te houden?
Echt MS heeft meer malen laten zien een onbetrouwbare partner te zijn. Die vertrouw je dus niet blindelings alles toe. Wanneer gaat onze overheid eens over op open source. Dan heb je zelf veel meer onder controle.
28-05-2014, 12:35 door Anoniem
Feit is natuurlijk inderdaad dat contractclausules je niet tegen buitenlandse spionagediensten zullen beschermen.
Regels en beloftes worden nu eenmaal gebroken.
De vraag is dan nog steeds of je data intern veiliger is dan in O365. Voor beide valt wat te zeggen.
Misschien moet men het O365 trust center eerst nog even doornemen.
1 belangrijk punt wat hier in genoemd wordt is dat de 'data eigenaar' altijd kan inzien waar zijn/haar data is opgeslagen en kan hier ook keuzes in maken. De Microsoft data centers voor EU(heel EMEA) staan in Nederland en Ierland! (behalve de AD informatie wordt in de US opgeslagen. vanwege performance zeggen ze)

Zeer opmerkelijk: 'OVerheids O365 abonnementen' worden wel volledig in/vanuit de US gehost!

Florisz
28-05-2014, 15:45 door Eric-Jan H te D
Je hoeft volgens mij bij Office 365 helemaal geen gebruik van de "Cloud" te maken. Indien er een onnozele hals
bij de Overheid dit (oh zo handig) wel mogelijk heeft gemaakt, dan dient deze persoon per onmiddellijk te worden ontslagen met terugbetaling van zijn volledige genoten salaris.
28-05-2014, 17:59 door Anoniem
Niet grappig : wat is de overeenkomst tussen ransomeware en office 365?

Moeten betalen om je bestanden te unlocken.

Wat gebeurt er als de overheid van deze soft'..ware' naar een andere meer open office variant zou willen?
Moet er dan een gigantische kostbare conversie operatie gaan plaatsvinden naar andere bestandsformaten die niet vendor locked zijn?
Trekt die overheid dan wederom een extra geldlade open voor extra 'support per pc'?
Is iedereen binnen de overheid al opgeleid en geïnstrueerd om documenten in een verdor lock vrij en voor langere termijn houdbaar bestandsformaat te bewaren?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.