Amerikaanse senator komt wegens Britse iCloud-backdoor met wetsvoorstel
De Amerikaanse senator Ron Wyden heeft naar aanleiding van berichtgeving over de eis van de Britse autoriteiten dat Apple een iCloud-backdoor ontwikkelt een wetsvoorstel gepresenteerd. De Global Trust in American Online Services Act moet de communicatie van Amerikanen tegen 'buitenlandse surveillance-eisen' beschermen, aldus Wyden. Zijn wetsvoorstel is erop gericht om de Amerikaanse CLOUD Act aan te passen.
De Clarifying Lawful Overseas Use of Data Act (CLOUD Act) maakt het voor Amerikaanse opsporingsdiensten mogelijk om Amerikaanse techbedrijven door middel van een dagvaarding of gerechtelijk bevel te verplichten om data te verstrekken, ongeacht of die data zich op Amerikaanse bodem of in het buitenland bevindt. Wyden stelt dat de CLOUD Act het ook mogelijk maakt voor buitenlandse landen om data direct bij Amerikaanse bedrijven op te vragen en zo het Amerikaanse juridische systeem te omzeilen zodra ze een akkoord met het Amerikaanse ministerie van Justitie hebben gesloten.
"De CLOUD Act verplicht buitenlandse landen niet om dezelfde waarborgen voor een eerlijk proces toe te passen die wel onder Amerikaanse wetgeving gelden, waardoor buitenlandse landen kunnen eisen dat Amerikaanse techbedrijven de veiligheid van producten verzwakken waar Amerikanen gebruik van maken en het wereldwijde vertrouwen in Amerikaanse bedrijven in gevaar wordt gebracht", aldus Wyden. De senator stelt dat zijn voorstel deze mazen in de wet zal repareren.
De Global Trust in American Online Services Act voorkomt dat buitenlandse landen de CLOUD Act kunnen gebruiken om Amerikaanse providers te dwingen om de beveiliging te verzwakken of malware onder gebruikers te verspreiden. Daarnaast mogen Amerikaanse bedrijven voor een federale rechtbank bezwaar tegen buitenlandse CLOUD Act-eisen maken en moet het congres voortaan goedkeuring geven voor overeenkomsten die onder de CLOUD Act worden gesloten.
ICloud-back-ups
Onlangs lieten The Washington Post en BBC weten dat de Britse autoriteiten aan Apple een Capability Notice (TCN) hebben gegeven, waarin ze eisen dat Apple toegang tot end-to-end versleutelde iCloud-back-ups biedt. ICloud-back-ups zijn standaard niet end-to-end versleuteld, wat inhoudt dat Apple en ook de autoriteiten hier toegang toe kunnen krijgen. Gebruikers kunnen via de optie 'Advanced Data Protection voor iCloud' back-ups end-to-end versleutelen.Apple heeft dan geen toegang meer. Deze optie staat echter niet standaard ingeschakeld. De toegang die de Britse autoriteiten willen zou voor iCloud-gebruikers wereldwijd moeten gaan gelden. Apple zou daarnaast niets over het bestaan van de backdoor mogen zeggen.
Het voorkomen dat de CLOUD act tegen je gebruikt kan worden (haha iets met pot en ketel), voorkomt niet dat een ander land eisen kan stellen aan een software product.
Daarnaast kan Apple bijvoorbeeld deze backdoor idioterie inbouwen voor Britten en niet voor Amerikanen. (die wss al lang een eigen wereldwijde backdoor hebben)
Waarom zou een backdoor inbouwen überhaupt kùnnen stroken met de CLOUD act? Dat staat er volgens mij helemaal los van.
Het toont dus alleen de hypocritie aan van de Amerikanen dat zij blijkbaar de enige zijn met het wereldwijde recht op het inzien van data van alle burgers op aarde en geen enkel ander land wel.
Lees ik dat goed?
Is dat niet nogal heel erg eenzijdig?
Volgens mij is dit genoeg om de Amerikaanse Cloud niet te mogen gebruiken voor gevoelige EU data.
Is er een lijst met landen waar Europese data wel/niet veilig opgeslagen kan worden?
Als een Amerikaans bedrijf zaken wil doen in een ander land dan de VS, zal het zich toch moeten conformeren aan de wetten van dat land. (De praktijk is momenteel weerbarstiger). Een Amerikaanse wet gaat niet veranderen hoe een Britse wet moet worden nageleefd. Het is graag of niet.
De exit-route voor Apple zou kunnen zijn om een soort iCloud-consortum op te richten bestaande uit Apple en per land een partner die zelf de iCloud-service aanbied. Apple zou dan haar server software moeten omschakelen naar NextCloud, Seafile of iets anders, of de server software van iCloud open source te maken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Adviseur
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan informatie-technologie (IT) en operationele technologie (OT) binnen onze taken, is het essentieel om deze veilig te houden.
Security Specialist
Directie Informatievoorziening & Inkoop
Als security specialist is je primaire taak het detecteren en het afhandelen van (mogelijke) security incidenten. Hiervoor vergaar je dreigingsinformatie en richt je op basis van risico's detectieregels in, opdat aanvallers in een zo vroeg mogelijk stadium geïdentifi-ceerd kunnen worden. Wanneer een dreiging wordt gedetecteerd, zorg jij ervoor dat de juiste acties worden uitgezet.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?