Minister: versleuteling kan toegang VS tot Nederlandse cloudgegevens blokkeren

Minister van Economische Zaken Dirk Beljaarts zegt dat encryptie ervoor kan zorgen dat de VS geen bestanden van de Nederlandse overheid bij Amerikaanse cloudbedrijven kan inkijken. Volgens Beljaarts mag Nederland ook niet afhankelijk worden van een enkele clouddienstverlener.

Minister Beljaarts heeft de opmerking gemaakt in een kabinetsreactie op een rapport van denktank Clingendael. Die organisatie had eerder dit jaar nog gewaarschuwd voor de mogelijke veiligheidsrisico’s die kunnen ontstaan doordat Nederlandse overheidsdiensten en infrastructuur e-mailbeheer hebben ondergebracht bij grote Amerikaanse techbedrijven.

Beljaarts gaat in zijn reactie verder in op Amerikaanse wetgeving die cloudaanbieders in de Verenigde Staten in specifieke situaties ertoe kan dwingen om gegevens van gebruikers over te dragen aan de inlichtingendiensten. De minister meent echter dat het risico ‘laag’ is dat gegevens van Europese burgers op basis van deze wet overgedragen zullen worden. De minister stelt bovendien dat de inzagemogelijkheid in zijn geheel kan worden geblokkeerd door bestanden te versleutelen, voordat ze in de cloud worden opgeslagen. Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.

Beljaarts schrijft tevens dat de dominantie van Amerikaanse cloudaanbieders in Europa een economische afhankelijkheid creëert en impact heeft op de digitale open strategische autonomie van Europa. De minister vermeldt ook dat het Nederlandse ministerie van Economische Zaken momenteel onderzoek doet naar de verschillen tussen het Nederlandse en Europese cloudaanbod en het aanbod van de grote Amerikaanse techbedrijven.

Reacties (101)

wildhagen

Verenigde staten
Nederland
Politiek en recht
Beveiliging en antivirus

23 september 2024 15:51

Minister van Economische Zaken Dirk Beljaarts zegt dat encryptie ervoor kan zorgen dat de VS geen bestanden van de Nederlandse overheid bij Amerikaanse cloudbedrijven kan inkijken.

Dat vind ik een boude uitspraak. Het is immers al jaren bekend dat de NSA bij sommige producenten een verzwakte encryptie heeft laten opnemen, zodat ze mee konden kijken. Als voorbeeld: nieuws: 'Juniper gebruikt door NSA verzwakt algoritme voor encryptie'

Ook kon de NSA meeluisteren bij de Nederlandse politie door het exploiten van een lek. Zie bijvoorbeeld nieuws: 'NSA kon meeluisteren met SE 660 Crypto-mobilofoons van Nederlandse p...

Snowden heeft ook aangetoond dat de NSA werkt aan speciale quantumcomputers om encrypte kunnen kraken: nieuws: NSA werkt aan kwantumcomputer om encryptie te kraken

Ook heeft de NSA speciale afdelingen, juist om encryptie (van bijvoorbeeld VPN, SSH etc) te kraken: nieuws: 'Speciale NSA-afdeling kraakt vpn-, https- en ssh-verbindingen'

Met al deze berichten in het achterhoofd, hoe kan minister Beljaarts dan garanderen dat de NSA dit soort methoden ook niet inzet voor toegang tot bijvoorbeeld data in de Amazon-, Google-, Oracle- of Microsoft-cloud omgevingen?

Ik vind dit een behoorlijk gewaagde uitspraak van de minister.

Wouterie @wildhagen • 23 september 2024 15:53

Ik neem even aan dat de minister geen Amerikaans product wil gebruiken om de boel te versleutelen. Het is anders inderdaad behoorlijk kansloos. Wel een ultieme kans voor de Amerikaanse inlichtingendiensten! Al die Europeanen die hun gevoelige data zo in hun handjes geven.

FreezeXJ @Wouterie • 23 september 2024 16:26

Dat hebben ze nu ook al, dus er verandert niks.
En ik wil de minister nog wel eens zien zonder Microsoft, Apple en Google (Android).

Wouterie @FreezeXJ • 24 september 2024 08:39

Het verschil is dat nu een aantal bedrijven die ik ken vrij huiverig zijn om gevoelige data in 'de cloud' te plaatsen en zo een andere oplossing hebben voor die data. Uiteraard wordt dat allemaal maar duur en onhandig gevonden, dus deze versleuteling zou ze zomaar over de streep kunnen trekken.
Wij hanteren ook zeer strenge richtlijnen rondom (zeer) gevoelige data, ik vrees dat de discussie binnenkort ook weer losbarst hier. -zucht-

Vaevictis_ @wildhagen • 23 september 2024 16:18

Gewoon data in de EU houden, ik weet dat Amerikaanse bedrijven verplicht zijn om mee te werken aan inzage verzoeken ook in andere landen maar dat is niet ons probleem. Als de klant versleuteling (in transit en at rest) gebruikt dan kunnen ze wel toegang geven maar dan kunnen ze er niets mee. Dat is niet ons probleem.

Mikeoes @Vaevictis_ • 24 september 2024 07:41

De data van de europese bedrijven staat in de EU in datacenters. Elke cloud provider bied de mogelijkheid om een specifieke regio voor je data te selecteren. In het geval van Microsoft zijn dat bijvoorbeeld Ierland, 2 in de UK, Frankrijk, Spanje, Italie, Zwitserland, 2 in Duitsland, Noorwegen, Zweden, en Polen.

wiseger

Politiek en recht

@Mikeoes • 24 september 2024 10:57

Elk Amerikaans data center in de EU dient zich aan de Patriot Act te houden. Ze kunnen verzoeken van de NSA niet weigeren en mogen Nederland ook niet inlichten indien er zo'n verzoek binnenkomt.

Het is zoals @Vaevictis_ stelt, de data zal versleutelt moeten worden voordat de data in de Cloud geplaatst wordt. Dan kan de NSA wel om de data via de Cloud provider in handen krijgen echter die is van versleutelt.

Erwin1967 @Vaevictis_ • 24 september 2024 22:27

Vergeet niet dat de inlichtingendiensten onderling contact hebben. Een verzoek van de Amerikanen zou via de AIVD kunnen lopen of zelfs via bedrijven die in Engelse handen zijn zoals Fox-IT. Als Europa moet we meer loskomen van de VS en zorgen voor onze eigen Cloud infrastructuur. Desnoods zou dit gratis aangeboden moeten worden vanuit de Europese Unie. Iedere Europeaan een eigen Euro-drive met onbeperkte opslag en mailfaciliteiten. Het zou het speelveld tussen Europa en de VS gelijker maken.

Scriptkid @wildhagen • 23 september 2024 17:53

Ik neem aan dat het hier gaat om de enige manier om het veilug te doen

DKE. Double key encryption.

Enige probleem is waar host je je eigen key want er is bijna geen enkele goede manier.

Je hebt dan eigenlijk een hardware key applaince nodig in een datacenter dat gecertificeerd is om dit te hosten net als een public PKI.

Outsourcen naar specialist is geen optie dan kan je net zo goed Ms AIP gebruiken.

En als je self hosting verkeerd gaat of een outage hebt kun je gedag zeggen tegen je hele tenant want ms kan niks meer voor je doen.

En als laatste heb je nog dat je key overdracht nu elke sessie via inet gebeurd en dus niet alleen de end users dus load kan best hard toenemen op die appliance.

En als laatste ga je het jezelf heel lastig maken in de legal en compliance hoek omdat je niet meer inzicht hebt in wat er met je data gebeurd.

Je kunt niet even een ediscovery over de tenant doen. Je zult onprem tools moeten gebruiken of dycrypten en terug uploaden naar blob etc.

Het is dus niet even gewoon encrypte.

#msft

[Reactie gewijzigd door Scriptkid op 23 september 2024 17:59]

Vogel666 @Scriptkid • 24 september 2024 00:52

Je zou kunnen denken aan een overheid-vault waar alle gemeenten en ministeries hun encryptie key opslaan, fysiek gehost door de Nederlandse overheid en dan 6 factor authentication erop, waarbij meerdere mensen hoog in de boom. techneuten en security officer allen een deel van de key kunnen ontvangen.

Scriptkid @Vogel666 • 24 september 2024 10:38

Dat is wel een leuke voor de Redhats.

als je dan een DDOS daar kunt veroorzaken is niet alleen de hele NL down maar ook alle data die ze ooit hebben gehad.

Painting a bullseye

[Reactie gewijzigd door Scriptkid op 24 september 2024 10:38]

Vogel666 @Scriptkid • 24 september 2024 16:59

nee, iedere organisatie bewaart (by default) zijn eigen decryptie key.
Het scenario werd geschetsts dat een organisatie de key kwijt raakt (door whatever calamiteit, zoals een uitgebrand serverpark of een cryptolocker)
In dat geval kun je je SaaS omgeving nog lezen omdat je een methode hebt om toch je key nog te recoveren, zonder dat een vreemde mogendheid daar bij kan.

Scriptkid @Vogel666 • 24 september 2024 19:18

Dus je wilt een HSM lokaal bij elke entiteit en dan een centrale backup HSM voor alle identiteiten samen,

is dat wat je bedoelt ?

Maar dan moeten al die entiteiten heel hard gaan opschalen om hun eigen HSM secure en met correcte redundacy en capaciteit te hosten , Ik zie dat niet snel gebeuren. HSM hosting is niet iets wat je even snel doet en zomaar in elk datacenter kan.

Vogel666 @Scriptkid • 26 september 2024 11:11

Dat de overheid nog veel werk te doen heeft als het gaat om security staat wel vast.
Alles is uitbesteed zodat de ambtenaren nooit zelf de fouten kunnen maken.

Dat moet natuurlijk als eerste stoppen. Als je niet eens weet wie er toegang heeft tot je omgeving, hoe kun je dan ooit verantwoordelijkheid nemen voor je security.

Jerie

@Scriptkid • 24 september 2024 11:34

Maar zo'n machine kun je gewoon in een LAN opslaan. Zoals dat van Defensie. Want dat gaat nooit plat

Triblade_8472 @wildhagen • 23 september 2024 18:19

Ff serieus, als de NSA data wil, dan kan ze Microsoft dwingen die te verkrijgen via de front end applicaties.

Leuk die versleuteling, maar dat werkt alleen tegen derden. Als je het eindpunt te pakken hebt, kom je er alsnog bij...

Sorcerer8472 @Triblade_8472 • 23 september 2024 20:09

Als je zelf de front-end applicaties bouwt en bijv. wel in de EU host, of bepaalde soorten beveiliging erin aanbrengt die lijken op e2e encryption, dan kan het wel gewoon

Triblade_8472 @Sorcerer8472 • 23 september 2024 21:20

Dat zal vast, maar het artikel en de post van degene waar ik op reageer gaat over de VS.

Sorcerer8472 @Triblade_8472 • 23 september 2024 21:26

Het tweede deel van mijn zin ook.

Triblade_8472 @Sorcerer8472 • 23 september 2024 21:32

Dus als ik een chatapp bouw, met end-to-end encryptie en en ik bouw een achterdeur in de software op de telefoon die de chatinhoud doorstuurt naar de NSA, dan ben je veilig?

End-to-end zegt alleen dat alleen jij en de ontvanger(s) een sleutel hebben. Maar het zegt niks over wel- of geen achterdeur in de clientsoftware.

De telefoon kan gekraakt zijn
De software kan een achterdeur bevatten\gekraakt zijn
De keys kunnen tijdens het aanmaken/uitwisselen onderschept zijn of via man-in-the-middel niet eens true e2e zijn

Er is van alles wat je kan doen terwijl het nog steeds e2e is of lijkt.

Sorcerer8472 @Triblade_8472 • 24 september 2024 09:28

Ik interpreteerde het artikel alsof het alleen gaat om software die de overheid bouwt, dus niet Sharepoint/Office365-apps oid, maar zelfgebouwde en -beheerde apps.

Anders is het idd niet zinnig. En als je die dingen al on-prem kan draaien (wat met meerdere Azure-dingen kan, dan draai je containers op je eigen infra) dan bestaat idd het achterdeur-gevaar wat jij beschrijft.

Vogel666 @Triblade_8472 • 24 september 2024 17:03

Maar dan is er dus traffic van je end-points naar de servers van de NSA.
Nu zit ik niet de hele dag te kijken naar mijn uitgaande datastroom, maar toch is er een aanzienlijk risico dat iemand op tweakers toch ontdekt dat er rare dingen gebeuren.

Triblade_8472 @Vogel666 • 24 september 2024 18:10

Vooraf: dit is allemaal speculatie/theoretisch, ik weet niet of het gebeurt of zelf daadwerkelijk ingebouwd is/al kan.

Ik zou er van uitgaan dat het alleen bij specifieke personen aan wordt gezet. Scheelt een hele berg zinloze data, je kan het "targeten" en de kans dat het ontdekt wordt is heel klein.

Sissors @wildhagen • 23 september 2024 16:04

Tja maar als je er toch vanuit gaat dat al onze encryptie gekraakt is, dan heb je wel grotere problemen die je niet oplost door een andere cloud aanbieder te gebruiken.

Kaasrol @wildhagen • 23 september 2024 16:24

Zelfs als encryptie nu veilig is blijft het risico van 'harvest now, decrypt later' bestaan. Ook versleuteld is data gevoelig.

emeralda @Kaasrol • 23 september 2024 22:34

Ja voor een land als Amerika is het niet denkbeeldig dat ze gewoon een supercomputer 10 jaar lang laten draaien om iets te kraken.

Vaevictis_ @Kaasrol • 24 september 2024 11:55

Niet met quantum safe encryptie en perfect forward secrecy.

Sorcerer8472 @wildhagen • 23 september 2024 16:05

Indien goed uitgevoerd (wat ws wel impact heeft op performance) lijkt het me wel mogelijk om encryptie toe te passen via client of middleware aan Europese zijde?

Tuurlijk is het niet zonder risico en kunnen keys/certificates lekken, maar helemaal kansloos vind ik het ook niet?

Cyberpuppy @Sorcerer8472 • 23 september 2024 19:30

Ik zou eerlijk gezegd niet weten hoe ik mijn Office365 data (e-mail en OneDrive) kan versleutelen. Iemand wellicht een idee. Ja ik kan natuurlijk bestanden versleutelen en dan opslaan in OneDrive, maar dan mis ik meteen ook wel een boel functionaliteit. Hoe dit verder moet met Sharepoint data met meerdere gebruikers is nog vager.

Of Google/Android. Hoe versleutel ik alle data? Hooguit de databestanden kun je versleutelen. De rest lijkt me toch redelijk lastig.

Oftewel. Ik zie nog wel wat gaten in de bewering van de minister.

Sorcerer8472 @Cyberpuppy • 23 september 2024 20:08

Nee, niet Office365, maar wel pure compute/storage, daarmee kan het wel. Je voegt wel een laag complexiteit toe, maar die is sowieso verstandig om te hebben bij bijvoorbeeld data breaches.

Triblade_8472 @Cyberpuppy • 23 september 2024 21:25

Ik zou eerlijk gezegd niet weten hoe ik mijn Office365 data (e-mail en OneDrive) kan versleutelen. Iemand wellicht een idee. Ja ik kan natuurlijk bestanden versleutelen en dan opslaan in OneDrive, maar dan mis ik meteen ook wel een boel functionaliteit. Hoe dit verder moet met Sharepoint data met meerdere gebruikers is nog vager.

Sensitivity labels
Uiteraard met de benodigde licenties. En het vergt best wat uitzoekwerk en (daarmee) expertise.
Voor Sharepoint staat het er ook een paar menu items lager.

Welke gaten zie je dan? Hij benoemd het missen van functionaliteit.

BvdW1978 @Triblade_8472 • 24 september 2024 11:45

Zover ik die opties doorzie, werkt het allemaal met services van MS waarbij MS dus ook minstens de sleutels een paar keer moet vasthouden. Dat lijkt me niet de bedoeling van dit verhaal.

Triblade_8472 @BvdW1978 • 24 september 2024 11:47

Dat was niet je vraag

Maar dat kan met Double Encryption.

Alleen dan kan je niets wat Sharepoint vereist, zoals live samenwerken in hetzelfde document enz.
Ook Automatisch opslaan (in SP) werkt dan niet. En meer.

Cyberpuppy @Triblade_8472 • 27 september 2024 19:43

Dankje. Weer wat geleerd. Maar ik sluit me wel aan bij de vragen van @BvdW1978 hieronder. Voor een buitenstaander versleuteld, maar MS beheert de sleutels.

Triblade_8472 @Cyberpuppy • 27 september 2024 21:44

Dan heb je niet gelezen wat double key encryption doet.

Die 2e key beheert MS niet, maar jij.

Ben jij de key kwijt, is de data voorgoed verloren.

Triblade_8472 @Sorcerer8472 • 23 september 2024 21:35

Dan kan je net zo goed Double Encryption gebruiken.

Het is een sympathiek idee, maar als je een soort versleutelings-proxy gaat gebruiken, wat is dan nog het verschil met Double Encryption? Je besteed het beheer van de keys uit, maar niet echt meer dan dat.

De leuke features blijven net zo min werken omdat Azure de data niet leesbaar in Sharepoint heeft staan, wat voor bijna alles vereist is.

latka @wildhagen • 24 september 2024 09:25

Welke reden heb je om aan te nemen dat deze minister dit allemaal zou weten en/of mee zou wegen in zijn uitspraken?

uiltje 23 september 2024 15:59

De minister meent echter dat het risico ‘laag’ is dat gegevens van Europese burgers op basis van deze wet overdragen zullen worden.

Dat zal een interessante manier zijn van risico-inschatting. Geen idee hoe je daar een waarde aan kan hechten.

De minister stelt bovendien dat de inzagemogelijkheid in zijn geheel kan worden geblokkeerd door bestanden te versleutelen, voordat ze in de cloud worden opgeslagen. Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.

Uh, ja. Als ze helemaal versleuteld zijn dan kan je er normaal gesproken niets meer mee doen. De enige informatie die losgelaten wordt bij "normale versleuteling" is informatie over de grootte van de data, en dat kan een aanvaller natuurlijk ook zien.

Er bestaat wel zoiets als homomorphe versleuteling waarbij je op gegevens nog steeds berekeningen kan doen, maar dat is niet gemeengoed en kost gigantisch veel rekenkracht. Dat zal zo duur zijn dat een lokale opslag veel goedkoper gaat zijn.

Verder is het de vraag op welk systeem je het dan gaat versleutelen. Dat zouden al bijna per definitie lokale systemen moeten zijn; i.e. of de clients of servers die hier draaien. Tja, dan kan je misschien beter de cloud naar je toe halen.

Als je de NL overheden en liefst EU overheden verplicht om vanwege de data inkijk mogenlijkheden van een lokale cloudprovider uit te gaan dan betaal je misschien wat meer, maar daarmee help je ook je eigen bedrijven mee. Als de US daar problemen mee heeft dan hadden ze die drakonische wetten maar niet aan moeten nemen.

Cyberpuppy @uiltje • 23 september 2024 19:34

Probeer eens een IT infrastructuur te bouwen zonder amerikaanse producten. Dus firewall, switches, OS, applicaties, etc.

Zelfs Open Source is niet veilig. Genoeg voorbeelden inmiddels waarbij malafide content redelijk ongemerkt in de code terecht is gekomen. Dat kan dus ook een geheime dienst doen.

Mij is het nog niet gelukt een enigszins valide concept te bedenken.Lukt het jou wel?

uiltje @Cyberpuppy • 23 september 2024 23:20

Mee eens op zich. Security is altijd een weegschaal. Als je de echter de administratie van de apparatuur en software uitbesteed dan ben je sowieso nat als de ander partij bij je data wil komen. Wat dat betreft maakt het niet eens zo veel uit waar de data fysiek is.

Momenteel kan je eigenlijk niet garanderen dat alle data niet continue wordt uitgelezen door een andere dienst. Als je het zelf in de hand hebt zou je dat het in ieder geval moeten kunnen detecteren.

Cyberpuppy @uiltje • 27 september 2024 19:57

Dat detecteren is nogal lastig, tenzij je natuurlijk ook nog je eigen hardware gaat ontwikkelen.

We draaiden vroeger gewoon een IPX/SPX netwerk naast TCP/IP. Beiden konden elkaar totaal niet zien. Zoiets zou dus ook heel simpel in hardware kunnen zitten gebakken. Kleine kans dat je dit dan met wireshark oppikt.

Aan de andere kant. Als ik me op dat niveau zorgen moet gaan maken, dan hebben we vrees ik grotere problemen dan partijen die bij onze data kunnen.

AMD and INTEL 23 september 2024 15:48

dit zou toch ook in europa moeten kunnen?

Blokker_1999

Politiek en recht
Verenigde staten
Beveiliging en antivirus
Nederland

@AMD and INTEL • 23 september 2024 15:53

Noem eens 1 EU aanbieder die een dienst heeft die zo veelzijdig is wat de Amerikaanse bedrijven aanbieden?

Xallistus @Blokker_1999 • 23 september 2024 16:00

Moet het zo veelzijdig zijn dan?

meowmofo @Blokker_1999 • 23 september 2024 16:02

Ze zijn er blijkbaar wel aan het bouwen: https://digital-strategy....t-project-common-european

Je zou dan juist met dat soort initiatieven in zee willen gaan om te zorgen dat ze kunnen groeien.

Scriptkid @meowmofo • 23 september 2024 18:03

Dat is dat initiatief wat nu intern vecht en er maar niet uit komt.

Laat staan dat ze 20 jaar aan achteratand even weg programeren.

Alex3 @Scriptkid • 23 september 2024 19:53

De meeste gebruikers willen ook met gebruikers in andere landen kunnen communiceren. Degenen die geen inkijk door de VS willen zijn ver in de minderheid. Dat maakt het moeilijk om winstgevend te worden.

3raser @Blokker_1999 • 23 september 2024 16:27

De minister stelt bovendien dat de inzagemogelijkheid in zijn geheel kan worden geblokkeerd door bestanden te versleutelen, voordat ze in de cloud worden opgeslagen. Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.

Als ze over client-side versleuteling praten dan is er niet zoveel boeiends wat de aanbieder levert lijkt me. Enkel cloudopslag. Daar zijn echt wel voldoende serieuze partijen voor binnen Europa.

Soldaatje @Blokker_1999 • 23 september 2024 16:32

En die goedkoper zijn dan de VS.

CamelKnight @Blokker_1999 • 24 september 2024 11:32

Dat die er nu niet zijn, betekent niet dat die er niet kunnen komen.
Als je als EU in wetten vastlegt dat EU data alleen in de EU opgeslagen mag worden met een hoge mate van beveiliging, dan gaan bedrijven daar keihard op inspringen want die zien het geld aan de bomen groeien.
Nu zien bedrijven dat geld niet omdat Amerikaanse bedrijven een goedkoper alternatief aanbieden, maar als men niet meer buiten de EU mag plaatsen, dan is het ineens heel interessant om zoiets in de EU op te gaan zetten.

MvdW- @AMD and INTEL • 23 september 2024 16:02

Eigenlijk zouden we er voor moeten zorgen dat het überhaupt niet nodig is. Er zijn genoeg mogelijkheden om cloud services in de EU werkend te krijgen. Denk aan het franse OVHcloud, of het Duitse T-systems. We zijn al teveel afhankelijk van de Amerikanen. Te beginnen met wat er in onze broekzak zit.

BFmango @MvdW- • 23 september 2024 16:52

Dan doen we er toch wat aan? Zullen we wel een gunstiger ondernemersklimaat en beleggersklimaat moeten creëen.

Face it, je kan niet van twee walletjes eten. Je kan niet onafhankelijk zijn van de Amerikanen wat betreft bijvoorbeeld technologische kennis, gemakkelijke toegang tot (durf)kapitaal, (elektro)technische productie- en ontwikkeling, alsook goede faciliteiten voor ondernemers en vermogende personen,... én dan tegelijkertijd ook de Europese roze bril op blijven houden waarin we overal wet- en regelgeving voor hebben, solidair zijn met alles en iedereen (kansarmen, criminelen, vluchtelingen), goede vangnetten hebben, lekker genieten van parttime werken en enorm veel vakantiedagen, etc. etc.

In zekere zin lossen de Amerikanen op veel fronten het vuile werk voor ons op, en dat heeft een prijs: wij zijn afhankelijk van de Amerikanen, maar we leven wel een relatief rustig, gemakkelijk en veilig leventje. Voor de Americano's geldt daarentegen dat je een kutleven hebt als je geboren wordt in het verkeerde wiegje of als je onverwachts jong ziek wordt, maar het wel kan maken als alles lekker goed loopt in je leven.

Beetje gechargeerd, maar zo werkt de wereld wel natuurlijk, niet voor niks zitten de grote techreuzen in USA en niet in NL (op één uitzondering na dan).

cracking cloud @MvdW- • 23 september 2024 16:12

Waar komt de hardware vandaan die in die servers zit?

MvdW- @cracking cloud • 23 september 2024 16:14

Dat weet ik niet. Zal vast Amerikaans zijn, maar volgens mij is er geen verbod op het kopen van servers.
Dus dit kun je gewoon in de EU realiseren.

cracking cloud @MvdW- • 23 september 2024 16:31

En worden daar geen backdoors ingebouwd door NSA etc?

Zapato @cracking cloud • 23 september 2024 16:37

Of springstof door de Mossad.

3raser @cracking cloud • 23 september 2024 16:30

De hardware is het probleem niet. Een betrouwbare dienst met voldoende mogelijkheden is wat er ontbreekt. Bovendien wil je ook niet op één paard wedden, dus eigenlijk heb je meerdere aanbieders nodig. Als een enkele aanbieder voldoende is zouden ze eens bij Proton moeten gaan kijken.

Scriptkid @MvdW- • 23 september 2024 18:06

Je kunt het ook omdraaien waarom kunnen neit een wereld cloud hebben.

Waarom moet alles met een eigen belang dat is het meest onlogische dat de mens ooit verzzonnen heeft.

MvdW- @Scriptkid • 24 september 2024 00:27

Omdat de mens gewoon zo is. Zelfzuchtig.

phubert 23 september 2024 15:53

Waarom moeten wij in Nederland data opslaan in de VS? Er is in Nederland veel te doen geweest om datacenters, laat onze overheid daar dan een gedeelte huren of het beter in eigen beheer doen. Toch niet meer dan redelijk dat je online gegevens versleuteld opslaat waarbij alleen de eigenaar van de bestanden de sleutel heeft de gegevens te openen?

MarcMK2 @phubert • 23 september 2024 16:10

Het grote probleem hierin is dat zelfs als de data in europa/nederland opslaan maar hiervoor een amerikaans bedrijf gebruiken (azure, aws, etc eu locatie) gebruiken amerika alsnog via de cloud act deze data kan opvragen/inzien.
https://en.wikipedia.org/wiki/CLOUD_Act

david-v

@MarcMK2 • 23 september 2024 16:26

Nog erger is dat het eigenlijk ook kan als het niet bij Azure of AWS staat maar bijvoorbeeld bij KPN. Ook dan kan via de cloud act informatie geëist worden. Of het daadwerkelijk zover komt is maar de vraag, maar in theorie kan het wel.

edit: zie dit artikel van NCSC die hierover gaat

[Reactie gewijzigd door david-v op 23 september 2024 16:27]

Scriptkid @MarcMK2 • 23 september 2024 18:01

Kunen en aanleveren zijn 2 delen.

Diverse grote big tech hadden al aangegeven die verzoeken niet te honoreren. Zelfs tot op het opsplitsen toe van de entiteiten

david-v

@phubert • 23 september 2024 16:05

Er staat nergens dat we data opslaan in de VS maar dat we gebruik maken van Amerikaanse cloudaanbieders. Die kunnen door de overheid in de VS gedwongen worden om data die opgeslagen is in de EU over te dragen. Dit kan uiteraard niet zomaar en er is werkelijk waar een hele circus aan wetten opgesteld zowel bij de VS en de EU die niet eens op elkaar aansluiten.

Versleutelen met een eigen sleutel is overigens iets wat de meeste services wel aanbieden, bijvoorbeeld Azure biedt dat al langer aan (CMK)

meowmofo 23 september 2024 15:51

Store now, decrypt later.

Wikipedia: Harvest now, decrypt later

Wordt de minister van EZ bijgestaan door mensen met expertkennis over dit soort zaken?

RoyD @meowmofo • 23 september 2024 16:12

Vraag is natuurlijk hoe relevant de meeste informatie nog is op het moment dat je deze kunt ontsleutelen.

FreezeXJ @RoyD • 23 september 2024 16:31

Gezien allerlei 'top secret' dossiers 50 jaar (of nog veel langer) geheim blijven denk ik dat een jaartje vertraging in het ontsleutelen geen groot issue zal zijn. Zeker niet als je daarmee jaren terug kunt kijken.

3raser @RoyD • 23 september 2024 16:33

Dat is volledig afhankelijk van de informatie en wanneer het verkregen is. Dus daar valt weinig zinnigs over te zeggen.

emeralda @RoyD • 23 september 2024 22:51

Wikipedia: Venona project

Ik denk dat de interne communicatie van de AIVD of het ministerie van Buitenlandse Zaken best lang relevant kan zijn.

Jazco2nd 23 september 2024 17:04

Wat een domme minister.
De encryptie sleutels bij cloud staan gewoon in diezelfde cloud onder beheer van diezelfde cloudleverancier. Dus dat lost het (lage) risico niet op.

alwuzomondo @Jazco2nd • 23 september 2024 17:10

Dat idd. Je kunt wel dingen roepen over encryptie, maar als je het niet over toegang tot de sleutels heb gaat het nergens over.

Jazco2nd @alwuzomondo • 23 september 2024 17:13

Precies. En zaken als HYOK voor cloud zijn nog niet gebruikelijk en vaak alleen voor een selectie workloads/apps beschikbaar. Daarnaast is een eigen HSM voor HYOK veels te duur voor de meeste organisaties. En als je dat uitbesteed, bijvoorbeeld aan Thales, zit je weer met een 3e partij, al dan niet Europees, die aan andere wetgeving moet voldoen.

Dit soort politieke uitspraken getuigen alleen maar van een hopeloos uitdijende kennis gat bij de overheid.

CSB 23 september 2024 15:49

En wat verhinderd de CIA (of andere instanties) om deze encryptie te proberen te kraken als die data eenmaal op Amerikaanse servers staat? Beter is het om die gegevens alleen op Nederlandse (of EU) servers te houden, indien mogelijk.

[Reactie gewijzigd door CSB op 23 september 2024 15:49]

fvdberg @CSB • 23 september 2024 15:54

Wat weerhoudt de CIA of andere instanties ervan om een Nederlandse server te kraken?
Nog beter is om alle paden te versleutelen. Zowel de toegang als de bestanden zelf.

david-v

@CSB • 24 september 2024 09:59

omdat de AIVD deze data net zo goed kan doorsturen naar de CIA? dit soort diensten werken heel vaak samen, dus de CIA hoeft helemaal niet moeilijk te doen door data op te vragen van aws of azure in de EU, dat gaat wel via de AIVD.

boner 23 september 2024 16:46

De minister vergeet een kleinigheid. Als je de data binnen jouw omgeving versleutelt is die data niet buiten jouw omgeving te benaderen. Maar dan.... stel je gebruikt naast de eigen cloud-applicaties ook teams. Om maar een kleine dwarsstraat te noemen. Dan kan teams ook niet bij die data. En dan maakt samenwerken wel heel erg lastig. Teams leunt op sharepoint om gezamenlijk aan documenten te werken. Als die mogelijkheid wegvalt is teams niet meer dan een dure facetime. Zelfde geldt voor Office356, Exchange, het complete powerplatform en zo voorts und so weiter.

Dus het verhaal klopt an sich wel, maar is in de praktijk een dood vogeltje

Sluuut @boner • 23 september 2024 17:09

Dat verteld hij wel; "Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.". Samenwerken door het delen van bestanden is dan inderdaad snel onmogelijk. En bijvoorbeeld DLP ook, want die tools moeten je data kunnen lezen dus ook de private key hebben om de ge-encrypte bestanden te kunnen decrypten. Die key moet je dan moet afgeven aan je cloud leverancier, die dan dus in Amerikaanse handen is.

Dus aan de ene kant moet je voldoen aan wetten, ISO normen, NTA normen, waarin is vastgesteld dat je DLP moet implementeren, maar aan de andere kant moet je vooraf uploaden naar de cloud je bestanden encrypten. Lijkt mij een onwensbare en onwerkbare situatie.

Enige goede alternatief is om in Europa een cloud oplossing te bieden die gefund word en waarin overheden het voortouw nemen.

wica 23 september 2024 15:55

Ondanks ik onze data liever bij een EU leverancier zie staan.

De minister stelt bovendien dat de inzagemogelijkheid in zijn geheel kan worden geblokkeerd door bestanden te versleutelen, voordat ze in de cloud worden opgeslagen. Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.

Ben ik blij dat de minister, hiermee zegt. Dat KMS geen optie is

crzyhiphopazn 23 september 2024 15:59

En via omwegen halen ze de data decrypted binnen.
Liaison van een Liaison die wel samenwerkingsverbanden heeft met een ander land.

Ik sta er niet van te kijken dat overheden elkaar bespioneren of elkaar data al dan wel niet legaal kunnen inzien.

david-v

@crzyhiphopazn • 23 september 2024 16:24

ik denk inderdaad dat de lijn cia/nsa naar de aivd veel vaker gebruikt wordt dan de lijn cia/nsa naar Microsoft of AWS voor het inzien van bepaalde data.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (101)

Sorteer op:

Weergave: