Advies aan Nederlandse overheid: gebruik MS Teams niet voor gevoelige informatie

De Rijksoverheid en universiteiten wordt aangeraden om geen Microsoft Teams te gebruiken voor het uitwisselen van gevoelige informatie. Dat schrijft Privacy Company in een rapport dat is opgesteld in opdracht van onder meer het Nederlandse ministerie van Justitie en Veiligheid.

In het Data protection impact assessment of DPIA wordt onder andere gesproken over een 'hoog risico' voor de bescherming van gevoelige gegevens dat bestaat bij het gebruik van Microsoft Teams. Dat risico is gerelateerd aan het mogelijk opvragen van die gegevens door Amerikaanse wetshandhavings- en inlichtingendiensten, omdat Microsoft een Amerikaans bedrijf is.

Het risico zou niet afnemen als Microsoft gegevens op Europees grondgebied opslaat, omdat de VS dergelijke gegevens dan alsnog kan opvragen via wetten als de US Clouds Act. Privacy Company schrijft in een samenvatting dat Microsoft gedwongen kan worden om gegevens te ontsleutelen zolang het bedrijf toegang heeft tot de encryptiesleutel. Dat risico is wel voornamelijk theoretisch, schrijft Privacy Company. Microsoft heeft verklaard dat het nog nooit gegevens van werknemers van publiekesectorinstellingen heeft verstrekt aan enige overheid, dus ook niet aan de Amerikaanse overheid. Microsoft schrijft zelf: "Microsoft verstrekt geen persoonsgegevens van EU-burgers aan regeringen en heeft dat ook nooit gedaan."

Het hoge risico speelt ook voor Microsofts OneDrive-dienst voor cloudopslag en SharePoint, dat wordt gebruikt voor gegevensuitwisseling binnen een organisatie. Voor die diensten kunnen organisaties uit de publieke sector het risico mitigeren door Microsofts Double Key Encryption te gebruiken, concludeert het rapport. Daarmee kunnen gebruikers hun gegevens en bestanden versleutelen met een eigen encryptiesleutel, die niet in handen is van Microsoft. Dat is boven op de versleuteling die al wordt toegepast op OneDrive en SharePoint. Double Key Encryption wordt ook aangeraden voor het opslaan van Teams-opnames.

Publieke gebruikers wordt verder aangeraden om eind-tot-eindversleuteling voor Teams in te schakelen als die dienst wordt gebruikt voor niet-gevoelige informatie. Dat is al mogelijk voor ongeplande een-op-eengesprekken. Microsoft voegt later encryptie voor groepsgesprekken en chatberichten toe, maar het is niet bekend wanneer dat gebeurt.

In het impactrapport wordt ook ingegaan op een aantal 'lage risico's' bij het gebruik van Teams, OneDrive en SharePoint. Dat gaat onder meer om de doorgifte van telemetriegegevens naar de VS. Daarbij wordt wel geschreven dat Microsoft eind dit jaar met zijn EU Data Boundary komt, waarmee commerciële en publieke organisaties hun gegevens in de EU kunnen laten verwerken. In het rapport wordt ook ingegaan op het gebruik van analytics en personeelsvolgsystemen. Beheerders wordt aangeraden om deze in te stellen op hun laagst mogelijke niveaus.

Privacy Company voerde eerder al DPIA's uit voor Microsoft-software, zoals Windows 10 Enterprise en Microsoft Office. Microsoft deed toen toezeggingen om de software aan te passen. Daardoor kunnen publieke instanties die software blijven gebruiken in overeenstemming met de AVG. Dat deed Microsoft na onderhandelingen met de overheid en het Strategisch Leveranciersmanagement van het Rijk of SLM. In het nieuwe impactassessment wordt geschreven dat Microsoft nog meer aanpassingen en verbeteringen moet doorvoeren om de resterende risico's te beperken.

Door Daan van Monsjou

Nieuwsredacteur

22-02-2022 • 11:14

181

Submitter: Dasprive

Reacties (181)

181
173
79
11
0
79
Wijzig sortering
Het is me nogal wat, want ik ken juist veel (grote) bedrijven die specifiek Google Meet in de ban hebben gedaan en gebruik van MS Teams *eisen* vanuit informatiebeveiligingsperspectief.

Ook de vraag: Google, Slack, en Microsoft zijn allemaal Amerikaans. Welke SaaS-provider van communicatiediensten zou je wel kunnen gebruiken? (Zoom en Cisco Webex zijn a) beperkt b) *ook* Amerikaans)

Of wordt dat voor iedereen klungelen met Jitsi servers?

[Reactie gewijzigd door Keypunchie op 23 juli 2024 05:58]

Het is de vraag waarom Google Meet in de ban gedaan is, en of dat bijvoorbeeld vanwege de noodzaak van een Google account is, met aanvullende tracking.

Bij MS Teams wordt nu gezegd: Ongeacht hoe goed Microsoft zijn beveiliging op orde heeft, de Amerikaanse overheid kan Microsoft dwingen om gegevens over te dragen van wie dan ook, waar dan ook.

Feitelijk is dat een probleem voor alle bedrijven met een Amerikaanse vestiging die direct of indirect bij data kan.

[Reactie gewijzigd door gorgi_19 op 23 juli 2024 05:58]

Dit inderdaad. Ik vind het heel raar om Microsoft hier uit te zonderen terwijl dit verhaal opgaat voor Dropbox, Slack, Zoom, Google, Apple, etc.
Volgens mij is het al beleid bij de overheid om de diensten die jij noemt niet te gebruiken voor gevoelige data.
Zou me ten zeerste verbazen, omdat er dan niks overblijft.
Nou, Teams wordt sowieso nog wel gebruikt voor communicatie. Dat weet ik omdat ik vrij vaak in Teams meetings zit met klanten bij de overheid. Maar dat gaat dan om meetings en eventueel om het uitwisselen van niet-vertrouwelijke documenten.
Maar echte data transfer doen we met diensten zoals cryptshare (die is mogelijk zelfs ook alweer uit de gratie en vervangen), dedicated eigen systemen of zelfs met fysieke datadragers als het om gevoelige zaken gaat.

En daarnaast, dat iets beleid is wil niet zeggen dat het in de praktijk niet toch gebeurt.
De Nederlandse overheid heeft het helaas wel geprobeerd: https://www.security.nl/p...+van+communicatieplatform
Hahahaha wat een flater was dat.
Ik vind 800k voor wat ze hebben neergezet gigantisch meevallen. Zeker als ik lees dat het product in principe af is. Het is jammer dat bij de veiligheidseisen totaal niet nagedacht is over UX en daar nu het product op wordt afgewezen.
Mee eens.
800k is gelijk aan 100 euro/uur x 40uur x 50weken x 4werknemers.
Als je dat af zet tegen WhatsApp die in het begin 55 werknemers had, is dat dus een beetje weinig.
Geen Google en geen Apple. Dus geen telefoons?
Android kan zonder Google en zelfs met custom roms.
Niet zo gebruiksvriendelijk, maar geen onmogelijke klus voor bedrijven.

De politie gebruikt ook Android voor heel veel zaken (Boetes, informatie opvragen etc), kan me niet voorstellen dat dit plain Android is (Met dus Google)
Acht jij de overheidsinstellingen capabel genoeg om alle custom ROMs helemaal uit te pluizen op incorrecte code, en dat voor elke update van elk package - hoe groot of klein dan ook?

Zo nee, waarom niet? Zo ja, waarom jok je? :P
Rare reactie dit, ongetwijfeld heeft de overheid de kennis in huis (of kan ze deze in huis halen) om een eigen ROM te ontwikkelen.
Ik help het hopen, maar gezien de resultaten behaald in het verleden biedt het weinig hoop.

Het lijkt me sterk dat elke ambtenaar die bij gevoelige data kan komen een door de overheid geproduceerde custom Android ROM gebruikt.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 05:58]

Nee, ik gaf dan ook alleen maar aan dat een telefoon niet per defintie Google of Apple is.
Er zijn genoeg alternatieven, waarbij je met Android zelf vrij bent om te doen wat je wilt.

Verder ging mij reactie ook totaal niet om of een overheid dat wel of niet kan en of wilt. Dit is ook iets dat een overheid zou outsourcen..

Daarnaast kan ik mij niet voorstellen, zoals ik al aangaf (Dus ben niet zeker, maar neem aan) dat de Politie toestel gebruikt die indentiek zijn zoals voor de consument.
Rutte, heeft gisteren een iPhone ontvangen en vond het een hem heel handig.
Ging mij meer om dat er meer bestaat dan Google en Apple.
Waarbij Google/Android de mogelijkheden oneindig zijn.
Er is meer dan Google en Apple op smartphones.

Daarbij is Android het het grootste gedeelte opensource. Dat is al een stuk beter dan wat Apple te bieden heeft. Nog beter is om geen smartphones te gebruiken niet om Google of Apple, maar om Qualcomm, Samsung, en dat soort tenten. Die hebben er een handje van om binary blobs uit te geven voor de drivers en whatall, die alléén op Android werken. En ze weigeren er source van te publishen, waar ze wrs wel een reden voor hebben - wij weten niet wat die reden is, dus we moeten uitgaan van het ergste.
Gevoelige informatie mag inderdaad niet telefonisch worden besproken.
Iedergeval wel Apple, tenminste menig overheid medewerker heeft een iPad & iPhone van de zaak.
Omdat ik een aanzienlijk deel van de afgelopen jaren aan heb besteed aan dergelijke DPIA's en ook specifiek aan deze vind ik deze opmerking erg ongemakkelijk.

Een DPIA moet bijvoorbeeld gedaan worden (heel grof samengevat, bespaar me de nuances) bij verwerkingen waarvan je van tevoren kan verwachten dat er hoge risico's zijn voor de rechten en vrijheden van betrokkenen. De inkooporganisatie die deze DPIA heeft laten uitvoeren koopt Microsoft (en ook andere cloud-diensten) in voor de Rijksoverheid. Vanuit die achtergrond is het niet zo gek dat daarmee de nadruk komt te liggen op de software en diensten die het meest gebruikt worden. Bovendien is een DPIA geen vergelijken waren onderzoek (ja, ja , subsidiariteit...), maar een risico analyse van een specifieke verwerking.

Maar mocht je interesse hebben in een breder spectrum aan DPIA's dan raad ik je aan om ook andere publiek beschikbare DPIA's te lezen die zijn uitgevoerd door de overheid. Ik kan je bijvoorbeeld de DPIA naar Google aanraden die ik voor dezelfde klant heb mogen helpen maken.
Ik snap dat dit meer een rapport is van: mogen wij dit op deze manier gebruiken?

Maar dat het nieuws het dan oppakt als 'Teams is onveilig' is een beetje jammer, want de redenen waarom het onveilig zou zijn, zijn universeel van toepassing op alle U.S. made software.
Ik denk dat artikelen die het uitvoeren van een dergelijke DPIA meer in perspectief plaatsen een goed idee zouden zijn. Ook een artikel over het bredere probleem van internationale doorgifte zou wel een goed idee zijn.
Ook lees ik in je reactie een stelling die ik niet onderbouwd ga tegenspreken, maar ik kijk uit naar een publicatie daarover.

Ik zou ook graag nog meer overkoepelende analyses lezen. Maar een degelijke analyse zoals die achter het onderzoek waar dit artikel over gaat kost zo enkele maanden werk en soms met een nog veel langere doorlooptijd. Het duurt even voordat je verschillende onderzoeken naast elkaar kan leggen.
Die publicatie is er al. In het rapport staat namelijk:

"omdat de VS dergelijke gegevens dan alsnog kan opvragen via wetten als de US Clouds Act."

Die wet is gewoon een wet die op alle softwareleveranciers van de VS van toepassing is.
Plus natuurlijk als je een Frans product neemt de Franse overheid grasduint, en bij de Chinezen de Chinese overheid. Etc. Laten we niet vergeten dat uit Snowden bleek dat de Duitsers ook bij ons spioneerden via o.a. connecties van de Duitse Beurs. Natuurlijk is er een rangorde qua welke overheden je weinig en welke je nog minder vertrouwt, maar uiteindelijk wil je als NLse overheid toch altijd iets als Double Key Encryption zodat je het enkel zelf kunt lezen, ongeacht waar het hoofdkantoor van de leverancier staat.
Gewoon de oplossing van de Fransen kopiëren en een eigen Matrix versie hosten;

https://matrix.org/blog/2...ure-instant-messenger-app
Meer details over een vergelijkbare risico-analyse over Google Workspace zijn hier te vinden: https://www.privacycompan...ity-on-high-privacy-risks

Deze bevindingen zijn als voorafgaande raadpleging bij de AP ingediend en de AP heeft de reactie daarover aan de kamer gestuurd. Daarover is hier meer te lezen: https://www.rijksoverheid...raadpleging-inzake-google
Er zit een enorm verschil in compliance en functionaliteit tussen de 2 en hoe je met AIP, retention en advanced ediscovery het beheer en legal compliance uit kunt voeren. en B2B om samenwerking secure aan te gaan
Je kunt Google Enterprise gewoon aan je Microsoft AD hangen, zelfs voor Chromebooks. Daar zijn dan geen specifieke Google accounts voor nodig.
Ook de vraag: Google, Slack, en Microsoft zijn allemaal Amerikaans. Welke SaaS-provider van communicatiediensten zou je wel kunnen gebruiken? (Zoom en Cisco Webex zijn a) beperkt b) *ook* Amerikaans)
Ja, dat is de olifant in de kamer. We zijn hier met open ogen in de vendor lock-in getrapt. Hier op Tweakers zijn wat mensen die al jaren moord en brand schreeuwen maar die worden steeds aan de kant gezet met argumenten als "prijs", "pragmatisme" of "gebruikersvriendelijkheid". Allemaal mooie onderwerpen maar we hebben er nu nog minder controle over dan voorheen. Het is niet goedkoper geworden. Het is niet efficienter. Het is niet gebruikersvriendelijker. Het is anders, dat wel, en nu zitten we er aan vast.

Veel is ook doorgevoerd met een valse tegenstelling waarbij je zeg maar kan kiezen tussen drie Amerikaanse cloudbedrijven die dus allemaal exact hetzelfde probleem hebben. Dan is er geen goede keuze maar je wordt toch gedwongen om iets te kiezen om vervolgens de te horen dat je niet moet zeuren want je hebt zelf gekozen.

Het gaat duur en pijnlijk worden om weer los te komen. Hoe langer we wachten hoe erger. Eerlijk gezegd denk ik niet dat we er nog eenzijdig uit kunnen komen want de alternatieven zijn grotendeels weggevaagd. Als we techisch gezien niet een radicaal andere koers gaan varen, waarbij je zelf de controle houdt over je data en infrastructuur (al dan virtueel of gehuurd), dan is de enige andere oplossing dat we die bedrijven tot radicale veranderingen dwingen.
"double key encryption" is daar een klein voorbeeld van. Dat soort technieken moeten we verplicht gaan stellen inclusief uitgbreide controles en inspecties van de achterliggende software. Dat zal echter niet voor alles werken. Met name communicatiesoftware als Teams wordt dan wel erg lastig.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 05:58]

Soevereiniteit kost geld. Dat was in de 80 jarige oorlog al zo toen Amsterdam geen zin had om mee te doen.
Maar op de langere termijn verdien je er aan, Nederland werd al snel welvarender dan Spanje.
Enorme olifant inderdaad. Het zou me verbazen als de EU-markt door al die partijen links wordt laten liggen. Ben benieuwd of VS bedrijven mogelijkheden hebben naar de EU te verhuizen om niet meer onderhevig te zijn aan betreffende wetten in VS, en daarnaast zullen VS bedrijven mogelijk lobbyen voor veranderde wetgeving want enorme omzetverliezen ed. Mogelijk zodat privacy shield weer in ere hersteld kan worden. Is in elk geval een interessante tijd die nu gaat aanbreken!
Probleem is dat we wel de gratis producten willen, maar ook niet betalen via onze privacy. En dan ook klagen dat de alternatieven zo duur zijn. Maar zelf iets doen gaat in de EU niet zonder overheidsingrijpen, en met overheidsingrijpen is het vooral een spelletje subsidie verdelen en komt er doorgaans niets uit.

En als tegen de verwachting er toch iets uitkomt wordt het links en rechts opgekocht door of de Chinezen of de Amerikanen.

Uitendelijk zul je toch bepaalde heilige huisjes moeten slopen wil je dit doorbreken. Ik denk aan een aantrekkelijker investeringsklimaat voor lokale tech bedrijven zonder een verstikkende fiscus die bang is wat geld mis te lopen, en anderzijds een EU die meer blaft naar buiten ipv reguleert binnen. En natuurlijk meer eigen waar kopen ipv altijd maar het goedkoopste uit China.
[...]


"double key encryption" is daar een klein voorbeeld van. Dat soort technieken moeten we verplicht gaan stellen inclusief uitgbreide controles en inspecties van de achterliggende software.
Met dubbele sleutel encryptie kun je geen gebruik maken van bijvoorbeeld:
  • Transportregels, waaronder anti-malware en spam die zichtbaarheid in de bijlage vereisen
  • Microsoft Delve
  • eDiscovery
  • Zoeken en indexeren van inhoud
  • Office web-apps inclusief coauthoringsfunctionaliteit
Dus practisch gezien de basis waarom je 0365 gebruikt. Samen documenten bewerken. Bron: https://docs.microsoft.co...ption?view=o365-worldwide

Ook geeft double key encryption juist iets heel vervelends: je kunt de data alleen samen Microsoft Azure ontsleutelen. Microsoft heeft de helft van de sleutel. Dus een soort crypto lock in een business jasje.

Zeer gevaarlijk. Microsoft heeft afgelopen jaar ook ineens verboden om je licentie van office365 op AWS Workspaces te gebruiken. Wat denk je dat ze gaan doen met de prijs van het unlocken van je gevoelige (dus vaak zeer belangrijke) data?

Commerciële CryptoLock.
Goede punten, ik heb ze allemaal gejat en gerecycled in een andere communicatiekanaal.
Goed om te weten want dan kunnen we er alert op zijn. Ik vrees dat organisaties zullen besluiten dat het blijkbaar mogelijk is om O365 te gebruiken als je het juist configureert, maar dat vervolgens niet doen.
Nouja Teams is vooral "onveilig" als jouw adversary the US government is. Dat is maar voor een heel klein deel van de Nederlandse bedrijven het geval natuurlijk. Er zijn vast andere redenen voor de organisatie om te switchen van Meet naar Teams, en dat zal dan met de beheerstool te maken hebben en dat je daarmee beter bepaalde veiligheidsinstellingen kan afdwingen bijvoorbeeld.

Zoals altijd, bedenk eerst maar even wat je threat model is en tegen wie je precies probeert te beveiligen, en als dat inderdaad nation-states zijn zou ik me veel meer zorgen gaan maken dan alle Teams/Meet/WebEx etc. Dan moet je vooral bij al je medewerkers en hun achtergrond gaan kijken denk ik zo.
ik denk dat je het vooral als “onveilig” moet zien in de context van GDPR non compliance, vergelijkbaar met google analytics uitspraak in oostenrijk van Schrems.

Ik ben ook heel benieuwd hoe ver die uitspraak gaat worden doorgetrokken. Sommigen hier noemen al terecht slack ed. waar de overheid al dan niet gebruik van maakt. Maar wat te zeggen over MS Windows, macOS, iOS, Android?
GDPR maakt een stuk minder uit voor veel bedrijven hun communicatie, het rapport gaat nog steeds vooral om de US government die bij je data zou kunnen.
Dit volg ik niet zo 123. Die DPIA’s worden gedaan om de impact (van het gebruik van die tools) op de privacy te analyseren. De GDPR verbied delen van persoonsgegevens met, simpel gezegd, niet GDPR equivalent handelende landen, zoals de VS sinds opheffing van privacy shield was. Dat werd tot voor kort met ‘standard contractual clauses’ alsnog toegestaan, maar komt volgens mij nu naar aanleiding van die oostenrijkse uitspraak ivm google analytics ook een einde aan: privacy is onvoldoende gewaarborgd door bedrijven die onderhevig zijn aan US wetgeving. Als je dat doortrekt naar hier zouden dus alle bedrijven die persoonsgegevens, in share point etc, office online, slack, noem maar op rammen, een probleem hebben. Ook als je adversary niet de VS is, betekent het niet dat de privacy van individuen goed gewaarborgd wordt door dergelijke VS-bedrijven, en dus mogelijk gewoon verboden is/wordt. Vergeet niet dat medewerkers van bedrijven ook persoonsgegevens hebben, niet alleen klanten ed.
Onveilig in de zin van data vergaren binnen de US. Ook al heb je niets te verbergen, je wil nog steeds niet dat Jan en Alleman (of Guan and Everyone) mee kan luisteren/kijken. Of heb jij thuis geen gordijnen/jaloezieën/lamellen?

Daarbij, de US is weliswaar een bondgenoot, maar voor hoe lang? Niets houdt ons of hen tegen om morgen aan te vallen. In de Eerstvolgende Wereldoorlog is er totaal geen garantie dat Europa en de US de handen ineen vouwen tegen wie dan ook. Ja dit is doemdenken, maar als het gaat om gevoelige overheidsinformatie, moet je ook rekening proberen te houden met de lange termin.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 05:58]

Maar het hele punt is dus dat het NIET Jan en Alleman is. En dus inderdaad gevoelige overheidsinfo sure, maar voor alle mensen die hier helemaal los gaan in de comments, waarschijnlijk geen probleem, als men al een eigen bedrijf heeft.
Jan en Alleman die bij Microsoft werkt dan dus.
Microsoft heeft voor teams communicatie in geplande video calls nog geen encryptie.

En de real-time ondertitelfunctie heeft in de voorwaarden staan dat de audio gebruikt mag worden voor trainingsdoeleinden. Het zelfde voor de feature die voicemail omzet naar een transcriptie. En de automatische vertaal functie. En zeker ook de feature die dat voice-to-voice doet.

Ik heb niet geviseerd of al deze functies binnen de EU blijven met hun verwerking, ik vermoed van niet gezien de trainingsdoeleinden.

Just so you know.

[Reactie gewijzigd door djwice op 23 juli 2024 05:58]

Nextcloud?

[Reactie gewijzigd door amx op 23 juli 2024 05:58]

Je zou iets zelf kunnen hosten, bijvoorbeeld Jitsi.
Jitsi is pas overgenomen door 8x8 een ander Amerikaans telecombedrijf. Dus optie zal ook binnenkort verdwijnen.
Jitsi is open source en zelf te hosten.
Als het opensource en self-hosted blijft, is er niets aan de hand.
Behalve dat dat je personeel moet gaan inhuren om de security fixes, privacy compliance en bugfixes te beheren. Immers open source is leuk, maar de aanschaf en licentiekosten zijn niet zelden lager dan het zelf beheren. Als je al goed personeel kunt krijgen ...
Klopt, maar ik maak ook nergens het punt dat de TCO van opensource lager is. Alleen dat de security garandeerbaar is.

Bovendien gaat het om een overheidsding. Security is dan veel belangrijker dan de kosten van een paar extra mensen inhuren.
Dat is waar inderdaad. Maar andersom is het dus niet enkel kosten, maar ook gekwalificeerd personeel vinden om je eigen servers te beveiligen. Maar een overheid zou ook daar natuurlijk in moeten kunnen investeren inderdaad. Nederland als software land staat echter niet super goed bekend.
Dat was 3,5 jaar geleden…
Hosten is misschien nog te doen. Maar je moet daar ook de netwerkstructuur (lees bandbreedte e.d.) voor hebben. Die ontbrak aan het begin van de crisis op veel plekken bij de overheid. (Er wordt immers nogal wat vergaderd bij de overheid) Die behoefte kwam totaal ongepland en er moest snel gehandeld worden.

Vandaar dat bij grote delen van de overheid al snel is besloten gebruik te maken van Cisco Webex als communicatiemiddel en deze datastroom buiten het eigen netwerk te houden. Medewerkers maken voor WebEx vooral gebruik van mobile apparatuur (Lees: de werktelefoon of -tablet) en hun eigen wifi. Die optie bleek het meest veilig en (ook niet onbelangrijk) haalbaar.

Dit moest allemaal snel ingericht worden en was toen (!) maar tijdelijk tot de ambtenaren, net als de rest van Nederland, weer naar kantoor mochten.
Maar ook hier is 'tijdelijk' een rekbaar begrip gebleken. Inmiddels is men waarschijnlijk gewend aan Cisco Webex.
Die ontbrak aan het begin van de crisis op veel plekken bij de overheid
Je schrijft in de vereleden tijd, maar wat is dan de actuele situatie? We zijn bijna 2 jaar verder. Een paar servers in de lucht brengen met een Jitsi-daemon kost geen 2 jaar.
We hebben het hier over de overheid.... daar is 2 jaar al niet al te lang. ;)

Maar wat ik er destijds van mee gekregen heb is dat WebEx aan de gestelde veiligheids- en privacyregels zou voldoen. Ik heb er niet met mijn neus bovenop gezeten, dus die details ken ik niet. De andere geluiden die ik hier lees zijn voor ieders eigen rekening. Ik heb alleen die conclusie gehoord.

Als er gedegen naar gekeken is naar veiligheid en privacy (laten we daar even vanuit gaan) en iedereen is gewend aan de applicatie, en als ook het hybride/thuiswerken de norm wordt dan verwacht ik niet zo snel dat het afgeschaft gaat worden. Maar da's puur mijn inschatting... ik heb er niks in de melk te brokkelen !
Bij grote delen van de overheid wordt er gebruik gemaakt van Cisco Webex als communicatiemiddel.
Cisco, die standaard een backdoor voor de NSA inbouwd zou veiliger zijn dan Teams?
Interessant... Cisco standaard backdoor voor NSA... heb je informatie over WebEx en backdoors?

@Keypunchie WebEx en Zoom beperkt??? Voor een meeting platform zijn Zoom en WebEx een prima oplossing.
Ja, dat van de backdoors in routers weet ik. Daarom vond ik het ook zo "grappig" dat Trump zo zat te bashen op Huawei met vermeende (maar nooit bewezen) backdoors, terwijl hij ze "zelf" in de Cisco apparatuur heeft/had zitten.

Maar nu over WebEx. Is daarvan bekend dat er backdoors in zitten?
Ja wat raar dat hij geen infrastructuur wilde hebben zodat een vijand/rivaal overal mee mee kan kijken. Dat staat totaal los van wat ze in eigen land doen.
Uhm... geen bewijs? En backdoors in Cisco apparatuur dat wereldwijd gebruikt wordt. Tja. Wie vertrouw je meer? De VS of China? Nou, ik vertrouw beide partijen voor geen ene sikkepit.
Ik heb zo'n donkerbruin vermoeden dat Trump meer vertrouwen heeft in de Amerikaanse inlichtingendiensten dan in de Chinese, tis maar een vermoeden hoor :)
HAHAHA Ja, dat denk ik ook! :D
Maar ik heb geen vertrouwen in Trump (en zijn opvolger). De Amerikaanse politiek is extreem rechts. De meest linker politicus in de VS zou prima voor de VVD in de 2e kamer hebben kunnen plaatsnemen. Wellicht moeten we hier eens een Forum draadje voor aanmaken, want dit loopt flink off-topic. :)
Daarom vond ik het ook zo "grappig" dat Trump zo zat te bashen op Huawei met vermeende (maar nooit bewezen) backdoors, terwijl hij ze "zelf" in de Cisco apparatuur heeft/had zitten.
Projectie is een ding. Mensen maken zich wel vaker druk om dingen die ze zelf verkeerd doen. Ze weten van zichzelf dat ze het verkeerd doen. De meeste mensen voelen zichzelf, diep van binnen, beter dan de rest. Als ze zelf iets verkeerd doen dan zal de rest het nog wel veel erger doen, is dan al snel de conclusie.
Hoe minder inlevingsvermogen mensen hebben hoe makkelijker het voor ze is om de rest van de mensheid te zien als een slecht aftreksel van zichzelf.

Deze post zegt vast ook weer iets mij ;)

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 05:58]

De meeste mensen voelen zichzelf, diep van binnen, beter dan de rest.
Haha, dat geldt voor Donald Trump in het kwadraat. Een groter narcist is haast niet denkbaar. Voor eenieder die nieuwsgierig is naar zijn manier van regeren, zou het boek Een heel stabiel genie kunnen lezen. Je valt van de ene verbazing in de ander.
Zoom en WebEx kunnen wel prima oplossingen zijn. Het blijven echter nog steeds amerikaanse bedrijven.
Voor het organiseren van calls zijn WebEx en Zoom prima, maar Google, Slack, en Microsoft bieden veel meer dan dat natuurlijk.
Voor een meeting misschien wel, maar zijn het totaal oplossingen? Dus gebruik je ze ook voor chat, bestandsdeling, integratie met alerting tools enzo?

Zoom ken ik in ieder geval niet veel meer dan vergaderen, WebEx kan ik me voorstellen dat die meer biedt, maar dat ik het domweg niet ken.

Teams heeft de integratie met Microsoft, Slack is een extreem persistente tool en zeer makkelijk te integreren met allerlei apps/webhooks etc. En google is geïntegreerd met de Google Apps (en heel vaak een default authenticatie-methode ook bij 3rd party)

Vandaar.
nee maar wel handiger voor onze eigen BVD om mee te kijken en lezen ;)
De BVD bestaat sinds 2002 niet meer, maar de NBV is mede-opdrachtgever voor de in het artikel genoemde evaluatie van DKE: https://www.rijksoverheid.../13/analyse-microsoft-dke
jij maakt een claim. dus de bronvermeldingen liggen bij jou.
dat is hoe dat werkt in de wetenschap.

ik kan ook wel dingen roepen maar als ik naar gevraagd word heb ik geen bewijs, dan word ik ook uitgelachen, of niet dan?
wat ik vraag is een bronvermelding, niet een random search.

waar haal je de informatie vandaan waar je je claim op baseerd?
welke bewijsstukken heb jij om je claim te argumenteren?

hoe kom je op je claim?
Dat is inderdaad bijzonder aangezien meet vanaf het begin al veiliger is en (volgens eigen zeggen geen decryption kan doen).
Google Meet has always encrypted all data in transit by default, adhering to IETF security standards for Datagram Transport Layer Security (DTLS) and Secure Real-time Transport Protocol (SRTP). Meet generates a unique encryption key for every person and every meeting. This key is transmitted in an encrypted and secured RPC (remote procedure call) during the meeting setup, lives only as long as the meeting, and is never stored to disk.
Volgens eigen zeggen en kunnen is natuurlijk wat anders. Is het mogelijk dat tijdens de key uitwisseling informatie naar een overheid wordt gestuurd door misschien speciale code op dat moment?.
Ik denk dat je dan bijna geen tools kunt gebruiken.
and is never stored to disk.
Dat moeten we maar geloven. Zolang het closed source is weten we het niet zeker.
Er worden audits op gedaan waarvan de uitslag wél publiek gemaakt worden net als bij Microsoft, dat is waar dit soort adviezen op gebaseerd zijn.
Audits ? Dat is toch geen valide argument dat er geen backdoors zouden zijn !

Iedere dag worden er vulnerabilities gevonden in software. Wat is nu het verschil tussen geplande “vulnerability “ en een “ongeplande”.
Omgekeerd is het ook moeilijk dergelijke dingen te verbergen bij audits. Zelfs al haal je die dingen uit de code dan is er altijd een kans dat iemand ergens een fout maakt en er alsnog een verwijzing wordt gevonden. Niet dat ik meteen de grote partijen vertrouw maar als door een dergelijk iets het vertrouwen kwijt is dan kan dat een doodsteek zijn voor je product dus waarom zou je dat risico nemen.
Gelukkig kunnen audits niet slecht gedaan worden.
Diginotar werd vast ook geaudit.

Ik doe zelf ook audits, en dan vraag je je soms af hoe ze door de vorige audit zijn gekomen.
Het blijft altijd mensenwerk en een moment opname. Ik kom in mijn eigen oudere code ook regelmatig dingen tegen waarvan ik denk hoe ik ooit zoiets stoms heb kunnen doen maar op het moment van programmeren was ik er van overtuigd dat het perfect was.
Als het opensource was, kon iedereen op elk moment auditen. Niet dat iedereen de vaardigheid heeft, maar wel de mogelijkheid.

Microsoft zou Teams opensource kunnen maken bijv. Ze hebben wel meer opensource, zelfs zeer populaire software hebben ze opensource. Dus wat houdt ze tegen? Dan zijn ze van het gezeik af.
Ook met opensource weet je niet of dat ook de exacte versie is die er gebruikt wordt, dan moet je ook je infra openstellen en dat wordt al een stuk lastiger. Dergelijke audits die ook toegang hebben tot de infra zijn soms veel waardevoller.
Klopt ook, en dat is ook wat bijv bij Visual Studio Code misgaat.
Dus je bent het met mij eens dat audits niet zo heel veel toevoegen. Bedankt.
Dan heb je niet goed gelezen.
Het gaat natuurlijk niet zozeer om de meeting zelf, maar de chats, opnames en bestanden die je uitwisselt en op Google's server staan. Encryptie met een unieke key doet namelijk vrijwel elke videodienst, net zoals elke website, etc. Echter hoe maak je een opname en slaat die op, maar zorgt ervoor dat niet Google, niet die hacker en ook niet de US overheid die kan lezen, maar wel de eigen werknemers inclusief diegene die niet bij de meeting aanwezig waren en dus niet die unieke uitgewisselde key hadden/hebben.

Dat is het probleem dat je moet oplossen. Microsoft heeft dat grotendeels opgelost, maar zoals het rapport aangeeft nog niet geheel.

Plus natuurlijk dat Google leeft van jouw informatie en de gepersonaliseerde adds die je te zien krijgt, terwijl Microsoft leeft van jouw subscription fee. Dus Google moet op de een of andere wijze jouw data kunnen verkopen.

[Reactie gewijzigd door Armin op 23 juli 2024 05:58]

Waarom klungelen? Wat werkt er niet aan?
Ik hoor iedereen die jitsi gebruikt klagen over haperingen en wegvallende verbindingen.
Wat is daar anders aan dan met Teams?

Bij Jitsi kun je het tenminste zelf fixen. Dat is beter dan om aan de genade van MS/etc overgeleverd te zijn.
nooit last van gehad.
gewoon weer terug naar on-premise 8)7
Ter info: Je kan Jitsi ook draaien met ondersteuning van de makers. Dus niet zelf klungelen maar maximale ondersteuning ala Teams of andere hosted diensten. Zie hier voor meer info: https://jaas.8x8.vc/#/ Ik vermoed dat er meer partijen zijn die dit soort diensten aanbieden?
Die zitten overigens wel weer in de VS, dus ze vallen zelf af.
In de breedte is er een gebrek aan niet-amerikaanse diensten. Straks moet voor de europeese e-id altijd een google of apple telefoon gebruikt worden. Dan is de markt op slot.
Privacy en security liggen dicht bij elkaar, maar deze context is echt privacy en niet security. Als het vanuit informatiebeveiligingsperspectief iets wordt gekozen, zou dat zomaar niet privacy gerelateerd kunnen zijn.
Goed nieuws voor de zorg dus, kunnen met dit rapport in de hand lekker WhatsApp en Zoom blijven gebruiken.

Ja raar dat andere bedrijven niet genoemd worden - en Office 365 geen probleem lijkt te zijn.
Ik dacht dat Teams in bedrijven lokaal op de sharepoint server draaide? Dus dacht dat het juist een goede ontwikkeling was over cloud-based programma's.
En Zoom is toch Chinees?
Amerikaanse Chinees. Maar omdat Zoom van beide walletjes (niet) wilt eten, suggereert men ook wel eens dat men Indiaas is.

Grote probleem bij Zoom is dat het op privacy en security allemaal nog wat in de kinderschoenen staat, en er nog weinig tot geen audits geweest zijn. Ook heeft men in het verleden wat gelogen. Ik denk niet dat het allemaal zo ernstig is, maar wat ik en jij denken is natuurlijk niet relevant als je als bedrijf juridische verantwoordelijkheden hebt. Dan moet iets gecertificeerd zijn etc.
Ik heb zelf een keer glasswire geinstalleerd gehad en wat mij opviel (toen was skype er nog) was dat teams verkeer via amerika ging en skype eigenlijk volledig binnen Nederland bleef.

We zeggen vaak we moeten iets europees hebben, maar niemand doet er wat mee.
Nog nooit van gehoord. Zijn die daadwerkelijk 'enterprise ready'? Als ik hun webpagina bekijk zijn ze vooral 'video conferencing' en zie ik niet zo veel verdere diensten.

Ook licht ironisch, van hun website "Enable everyone to seamlessly join Microsoft Teams meetings with their familiar workflows, no matter the technology or collaboration tools."
welkom op Tweakers.net

Stockholm-syndroom als het gaat om Amerikaanse IT bedrijven, (met name uit Redmond) is nog altijd hevig aanwezig: 15 jaar geleden hoorde je hier niet bij als je geen 'MCSE' certificaat had, en anno nu wordt open source nog steeds als hobby/minderwaardig gezien.
Het is letterlijk nog een wild westen op het internet.
Moet je een SaaS provider gebruiken voor je opslag/chat? Voor je telefoon neem je ook een abonnement af. Verschil is wel, dat er voor telefonie strenge wetgeving is mbt tappen en omgaan met klant informatie. Je kan namelijk niet zomaar je eigen telefonie-provider starten. Maar je mag wel je eigen VoIP dienst starten.
Met Teams/Slack/whatever kan alles ineens. Als je ziet hoe mensen omgaan met informatie en groepen, da's soms toch best eng.
Weseedo is Nederlands en wordt door gemeenten gebruikt.
Al eens gekeken naar https://whereby.com/? Die zitten in Noorwegen.
Helaas geen dial in solution voor mensen die graag nog met hun conferencing toestel inbellen.
Heeft gewoon kantoren in de VS en valt dus onder de CLOUD Act.
En veel saas aanbieders maken weer gebruik van de cloudservers van microsoft/google en amazon.
Voor gevoelige communicatie zijn wel wat andere oplossingen te bedenken behalve google meet, ms teams of whatsapp toch?

Gross van de communicatie kan gewoon via teams, maar vepaalde staatsgeheimen kan je simpelweg beter niet op een dergelijke manier delen. Altijd al zo geweest trouwens.
Waarom gaat dit specifiek over Microsoft Teams? Dit is toch van toepassing op letterlijk iedere dienst die ook in de VS actief is?
Inderdaad,

zouden politici Tweakers ook lezen tegenwoordig aangezien oa ikzelf dat ook al maanden herhaal 😄


En het probleem ligt niet bij Microsoft of een Google of Apple etc. Het is een VS-wet en zij kunnen naar eigen inzicht bepaalde personen als verdacht aanmerken en vervolgens moeten de bedrijven zich daar aan confimeren zonder de NL-overheid of EU daar enigzins over wordt ingelicht.


VS-burgers worden tzt wel ingelicht aangezien dat de wet is. In Nederland hebben we soortgelijke wetgeving mbt de AIVD,
https://www.aivd.nl/onder...f-of-een-overleden-naaste
Gegevens opvragen over uzelf
U kunt gegevens opvragen die wij mogelijk over u in onze archieven hebben. Houd er wel rekening mee dat er beperkingen zitten aan de informatie die de AIVD mag verstrekken. Wij mogen geen gegevens verstrekken die:

•in de afgelopen 5 jaar nog zijn verwerkt in een onderzoek;
•nog van belang zijn voor enig lopend onderzoek;
•zicht geven op bronnen en werkwijzen;
•zicht geven op persoonsgegevens van een ander.
Nou is het aan de volksvertegenwoordigers om te besluiten of potentiële data wel zo veilig is in VS-veiligheidsdiensten als je weet dat zowel eigen veiligheidsdiensten als buitenlandse veiligheidsdiensten er een potje van maken met het verschil dat je je eigen diensten kunt aanspreken.
Het probleem lijkt mij eerder gemakzucht en gebrek aan niet-Amerikaanse alternatieven.

Als je naar software ed kijkt, komt de laatste jaren maar bar weinig uit de EU.
Of het wordt binnen de kortste keren opgeslokt door Amerikaanse giga bedrijven.
Dit rapport gaat toevallig over Teams/onedrive/sharepoint, vervang de woorden door concurrenten en je hebt nagenoeg dezelfde strekking.
Is het niet vreemd om informatie wat interessant is voor een ander land zoals Amerika via zulke platformen te sturen?
Het is vooral vreemd dat wij in een modern vooruitstrevend Europa zo goed als geen industrie in deze tak hebben. Alle grote partijen zitten in de VS en China, waar blijven de Europese sexy tech bedrijven?
Op zich is dat niet heel vreemd; tech is niet heel locatie gebonden en zeer gevoelig voor schaal. Hoe meer klanten, hoe meer er te verdienen valt. Die twee samen maakt dat er een tendens is naar steeds grotere spelers en die bevinden zich... juist in landen met een groot aantal klanten / diepe beurs, zoals China en de VS. Europa zou ook zo'n speler kunnen zijn, maar bestaat natuurlijk uit veel kleine losse landjes die een stuk minder geintegreerd zijn (qua markt en regelgeving) dan bijvoorbeeld de staten in de VS.

Maar de dynamiek hier is wel interessant; de VS zouden zichzelf wel eens in de voet kunnen schieten met hun wetgeving die de privacy opoffert ten koste van "de nationale veligheid". Ook in China is de mate van overheidsbemoeienis natuurlijk ronduit ongezond.

Wat dat betreft liggen er kansen voor Europa, maar daar moet dan wel op gehandeld worden. Door de markt meer te integreren, maar ook door in tech te investeren (en het niet alleen als noodzakelijke kostenpost te beschouwen).
Spotify uit Zweden en Skype uit Estland! Al is die laatste gekocht door Microsoft..
AWS is ook met name door Nederlanders ontwikkeld, echter wel voor een Amerikaanse bedrijf.. Zij hebben "tech" jarenlang enorm gestimuleerd en zijn veel meer georiënteerd op leren van je fouten dan wij die geen fouten (meer) tolereren.
Die software bestaat ook, en zou de overheid ook kunnen vinden als ze meer dan 10 seconden even om zich heen zouden kijken. Echter lijkt de overheid puur op naamsbekendheid af te gaan, en komt dan telkens op de al grote Amerikaanse bedrijven uit.
Nu ben ik wel nieuwsgierig, is er een volwassen en volwaardig alternatief voor Microsoft365?
Daarmee bedoel ik dus Mail, Office, Onedrive, Teams.
Het complete plaatje dus, maar dan Europees?
Atolia geeft je in ieder geval bestanden, Teams, Calendar, en Office (in de vorm van geïntegreerde OnlyOffice). Mail zit daar niet bij, maar is nou niet echt het lastigst een alternatief voor te vinden. Het wordt dan ook gebruikt door een hoop Franse overheidsbedrijven.
Hier meer info: https://www.atolia.com/en/pricing/
9 à 11 euro pm per gebruiker
Als ik dan even kijk, zit er een max van 50 man op video calls. Dat is echt een paar factoren te weinig voor een hele hoop overheidsonderdelen, zeker met thuiswerk / hybride werken.

Dat is een beetje het probleem met veel van de alternatieven...de schaalbaarheid. Bij overheid gaat het al snel over honderden, zo niet duizenden werkplekken die centraal beheerd moeten worden, waar documenten gedeeld moeten worden met alle benodigde beveiliging, alle standaard apps natuurlijk, plus alle infra voor de software development teams, het beheer van de IT infra, etc. Heel veel alternatieven werken prima voor het MKB, maar zodra het 1000+ users gaat, blijven de echt grote spelers over...en die zijn vooralsnog allemaal Amerikaans.
die worden allemaal opgekocht.
Maarja, aan de andere kant wil je ook niet honderden verschillende pakketten moeten gebruiken om een beetje met elkaar te communiceren/werken.
Is het wel vreemd als je bedenkt dat er nauwelijks alternatieven zijn?

En wat is trouwens interessante informatie? Vroeger of later vind iedereen iets wel interessant zou ik denken, maar volgens mij is 90% van wat er bespoken wordt in meetings zelfs voor de meeste aanwezigen vaak niet eens boeiend/relevant :+

Maar zonder gekheid, we zien alweer dat de EU gewoon onafhankelijker zou moeten worden, of het nu soft- of hardware is.
LOL, nu de de maatregelen mbt corana vervallen komen ze hier mee.
Wees gerust, alle gevoelige info is al via teams en cohorten over tafel geweest.

Hoezo een emmer mosterd na de maaltijd.
Eh... Deze risico's zouden allang besproken moeten zijn in een risico analyse voor de ingebruikname van bv. Teams. Veel bedrijven nemen dit risico als acceptabel. Bij de overheid, is het voor het gros van de bureaucratie acceptabel, maar voor bepaalde discussies, oa. die je niet via whatsapp moet gaan voeren of via de email, is het niet geschikt.

Veel grote bedrijven hebben al VS vestigingen en zitten links of rechtsom met dit issue.
Als je goed leest, zie je dat dit een nieuwe assessment is na een vorig assessment. Microsoft heeft in overleg met de partijen de nodige verbeteringen doorgevoerd om compliant te kunnen zijn. Bij mijn weten is dat eerste assessment voor Corona gedaan en heeft het überhaupt geen relatie tot de corona pandemie.
Kunnen ze er ook eentje doen voor Zoom dan of is dat bij voorbaat al kansloos (wat ik vermoed). En alle alternatieven zoals WebEx, Meet etc.

Bij gebrek aan complete alternatieven (Teams is immers onderdeel van een groter platform, M365) op platformniveau ben ik ook wel op zoek naar goede alternatieven.

Dus voor gevoelige gesprekken gaan we dan allemaal naar Jitsi (wat overigens met klein aantal mensen prima werkt, maar niet zo schaalbaar lijkt in de praktijk) op eigen (EU) servers en gaan we voorbij aan het hele M365 platform en de efficiency die dat brengt in o.a. samenwerken.

De vraag is of het risico wel zo groot is, de kans lijkt klein immers. Zijn er voorbeelden van bedrijven die een datalek hebben veroorzaakt of is het 'security by obscurity' aan de kant van Microsoft vooral? Het rapport geeft wel wat punten van aandacht maar is de kans dat het risico zich voordoet ook echt groot?

En wat ik hierin mis het 'Exchange online', wat integraal en bijna noodzakelijk onderdeel is wil je echt lekker met Teams/M365 werken. Daar geldt dat toch ook voor dan qua DPIA, het rapport lijkt daar niet echt op in te gaan zo snel lezende. Ik ken meer bedrijven die Exchange online gebruiken dan niet. dus tja.

[Reactie gewijzigd door BuG2FiX op 23 juli 2024 05:58]

Dit is toch al jaren bekend dat de Amerikaanse overheid wettelijk data kan eisen.
Ja zelfs van elk bedrijf dat in Amerika gevestigd is. Op de blauwe ogen van MS geloof ik niet. Zeker weten doe je het nooit want ze zullen altijd ontkennen.
Wel interessante talk over DPIA's:

NLUUG 2021 NJ Conference: Sjoera Nas -- It's the metadata, stupid! Privacy versus the big cloud.
https://youtu.be/-qglWvaxW2A
Aan de ene kant worden overnames die de grote Tech bedrijven doen goedgekeurd door de EU,, en daarna verbieden ze het gebruik van software omdat het allemaal in Amerikaanse/Chinese handen is 8)7

Dit is een advies, dus ik zou zeggen, ontvangen, gelezen... en we gaan verder.
Ik vraag mij af wat de scope van "het uitwisselen van gevoelige data via Teams" is.
  • Gaat het hier puur om audio/video gesprekken? Indien ja, dan wordt er default niets opgeslagen (behalve metadata tbv rapportages over gebruik en gesprekskwaliteit).
  • Gaat het om het plaatsen van bestanden in Teams? Dan hebben we het eigenlijk over bestandsoplag in Sharepoint online.
  • Gaat het om het uitwisselen van bestanden via 1:1 chatberichten, of chatberichten in een Teamschannel? Indien ja, dan hebben we het over Exchange online als onderliggende techniek.
Zou het advies dan niet moeten zijn dat M365 niet als voldoende veilig beschouwd wordt?
Je hoeft niets op te slaan om het te kunnen onderscheppen, meeluisteren kan ook voldoende zijn. Bovendien heb je de transcript functie die het automagisch in tekst omzet. Vol met spelvauten weliswaar, maar toch 😎
Als je niet wilt dat de Amerikaanse overheid meekijkt, is er dan niet een leuke Russische of Chinese variant beschikbaar ? :+

Op dit item kan niet meer gereageerd worden.