Enisa is kritisch over gebruik clouddiensten door overheid

Enisa, het Europese agentschap voor informatiebeveiliging, plaatst kanttekeningen bij het gebruik van clouddiensten door overheden en de publieke sector. Gevoelige gegevens moeten niet extern worden opgeslagen, meent het agentschap.

Enisa Externe providers van clouddiensten zouden alleen moeten worden gebruikt voor niet al te gevoelige gegevens en niet-cruciale diensten, schrijft de organisatie.

Wanneer overheden of semi-overheidsinstellingen gevoelige gegevens moeten opslaan, zou een eigen ict-infrastructuur beter zijn, waarbij eventueel kan worden samengewerkt met andere organisaties, door Enisa respectievelijk aangeduid als privé- en community-clouds.

Een bezwaar tegen externe aanbieders van clouddiensten is volgens de organisatie dat veel aanbieders zich niet binnen de Europese Unie bevinden, waardoor informatie soms buiten de EU wordt opgeslagen. Daardoor zijn de Europese regels voor gegevensbescherming niet van toepassing. Bovendien zouden veel aanbieders van externe clouddiensten niet transparant genoeg zijn over hun beveiliging.

Enisa raadt de EU aan om duidelijkere wetgeving aan te nemen die het gebruik van cloudcomputing coördineert. Ook zouden de individuele EU-landen regels moeten instellen voor het gebruik van cloudcomputing, waardoor de beveiliging moet worden gewaarborgd, evenals interoperabiliteit tussen verschillende platforms.

Instellingen die gebruik willen maken van cloudcomputing zouden daarnaast stil moeten staan bij de gevolgen daarvan, bijvoorbeeld de gevolgen van het onverwacht uitvallen van een clouddienst. Cruciale toepassingen moeten blijven werken als een clouddienst uitvalt, aldus Enisa.

IT-banen

Reacties (27)

johnkeates 17 januari 2011 15:42

Aanstellers. Policy is key! En als dat nog niet genoeg is om veiligheid e.d. en binnen eigen grenzen te garanderen, dan kunnen ze toch ook gewoon afspreken dat cloud-leveranciers niet door de overheden van het land waar ze gevestigd zijn beïnvloed mogen worden?

En daar naast kunnen ze ook gewoon clouds 'kopen' voor eigen infrastructuur, dan is het nog steeds cloudy en toch eigen beheer.

[Reactie gewijzigd door johnkeates op 28 juli 2024 01:57]

Dark Angel 58 @johnkeates • 17 januari 2011 15:49

Waarom aanstellers? Ik zag gisteren op TV, National Geographic (whatever

) dat de Amerikaanse overheid in Washington DC Google Documents gebruikt... Ze hadden eerst Microsoft Office gebruikt. Ik was heel geschrokken over het feit dat de Amerikaanse overheid Google documents gebruikt. ik vind het wel echt idioot, want zoiets kun je niet zomaar doen, vanwege privacy en staatsgevoeligheid informatie.

ATS @Dark Angel 58 • 17 januari 2011 16:00

Ach... Dat is tenminste nog in eigen land. Ik mag hopen dat de Nederlandse overheid niet hetzelfde gaat doen, tenzij ze dat in een lokale cloud doen (dat schijnt te kunnen, daar weet ik het fijne niet van).

Verwijderd @Dark Angel 58 • 17 januari 2011 18:29

Deze Google Docs draaid in de Gov Cloud, speciaal voor overheden.. Lijkt me dat daar andere indexeringsregels aanvast zitten..

Verwijderd @Dark Angel 58 • 17 januari 2011 19:33

Die informatie komt niet eens bij google aan. Google levert gewoon server software die je in eigen orginisatie kan draaien.

MsG @Dark Angel 58 • 17 januari 2011 20:22

Maar ja theoretisch gezien kan er in Microsoft Office ook een doorsluis-iets zitten. Wat dat betreft kan je beter je eigen software compileren.

Lapixx @MsG • 17 januari 2011 21:50

Een doorsluis-iets? Tenzij Microsoft (of Google wat dat betreft) al een plan heeft opgericht om de hele wereld over te nemen, ongetwijfeld in samenwerking met communisten, lijkt het me een erg domme zet om achterdeurtjes in software in te bouwen om de overheid te kunnen bespioneren.

Vaevictis_ @Lapixx • 18 januari 2011 04:56

Het zou niet de eerste keer zijn dat ze de fout in gaan he

. Kan me nog de NSA key affaire herinneren...

BarôZZa @Dark Angel 58 • 18 januari 2011 04:55

Geschrokken? Google Documents gebruiken is juist verstandig. De servers van Google zijn beter beveiligd dan de gemiddelde desktop-pc of lokaal netwerk. Wanneer gegevens uitlekken, dan gebeurt dat meestal door zaken als: USB stick kwijtgeraakt, een verkeerde openbaar gedeelde map, virus op een computer die bestanden gaat uploaden, bestanden mailen naar het verkeerde adres of een fout ingesteld lokaal netwerk waardoor verkeerde mensen toegang hebben tot alle gegevens. Kortom, menselijke fouten doordat de gebruiker zich bezig moet houden met waar de documenten worden opgeslagen en hoe deze verplaatst worden. Bij Google Documents zullen dat soort zaken veel minder voorkomen.

ATS @johnkeates • 17 januari 2011 15:50

Aanstellers? Groot gelijk hebben ze!

Afspraken met leveranciers garanderen niets: lokale wetten en regels gaan altijd boven contracten. Het lijkt mij een uitstekend uitgangspunt om als overheid je data binnen de eigen grenzen te hosten.

TDeK @ATS • 17 januari 2011 16:10

En zelfs als de wetten en regels niet toereikend zijn, dan gebeurt het toch. Als de belangen maar groot genoeg zijn (zie PayPal recent).

wizzkizz @johnkeates • 17 januari 2011 18:07

En daar naast kunnen ze ook gewoon clouds 'kopen' voor eigen infrastructuur, dan is het nog steeds cloudy en toch eigen beheer.

En dat is toch precies de suggestie die ze doen

Daarbij geven ze dus ook aan dat je met verschillende overheidsinstanties (bijv. ministeries) en cloud-omgeving kunt delen (community cloud), wat uiteraard de kosten drukt.

Of bedoel je en-en? En ga je dan daarna niet zeuren over de hoge ICT kosten van de overheid?

RomaniusDranius @johnkeates • 17 januari 2011 23:59

Als je ze aanstellers noemt dan begrijp je de problematic niet zo goed.

Overheden moeten zoizo niet hun diensten ergens extern opslaan, wel extern benaderbaar maken.

En zoals het steeds meer blijkt is er geen unified policy.

boner 17 januari 2011 15:45

Zolang niemand kan overzien wat er met de data gebeurt is het de plicht van overheden zorgvuldig met die data om te springen. Bij de geringste twijfel moet alles op eigen machines worden gehouden.

CherandarGuard 17 januari 2011 15:53

Ik durf te wedden dat Brenno de Winter deze organisatie even flink heeft zitten porren.
Ik heb hem een paar maanden geleden vrijwel precies hetzelfde verhaal horen houden.

Ik geef hem en deze club overigens gelijk. Het is ondenkbaar om gegevens van de overheid, inclusief gegevens van burgers, uit handen te geven.

Verwijderd 17 januari 2011 16:33

Het lijkt me dat ALS je al Cloud diensten gebruikt voor privacy gevoelige informatie, dat je zeker bij overheidsdiensten, dan alleen clouds moet gebruiken die fysiek binnen de landsgrenzen staan. Het fenomeen dat de Amerikaanse overheid alle regels aan de laars lapt en allerlei technische achterdeuren installeert of met een gerechtelijk bevel een provider dwingt bepaalde informatie af te staan, maakt het gebruik van dit soort diensten dan meer riskant.

Verwijderd 17 januari 2011 15:51

Enisa, het Europese agentschap voor informatiebeveiliging, plaatst kanttekeningen bij het gebruik van clouddiensten door overheden en de publieke sector. Gevoelige gegevens moeten niet extern worden opgeslagen, meent het agentschap.

Eindelijk iemand die een keer wakker wordt.

Maranello @Verwijderd • 17 januari 2011 16:44

Neelie Kroes (ja daar is ze weer) heeft 2 maanden geleden gespeecht voor meer bewustwording van de inzet van cloud computing. In het Enisa artikel wordt ook naar die speech gerefereerd:
http://europa.eu/rapid/pr...o?reference=SPEECH/10/686

Dus dit punt is wel degelijk al aangestipt op de Europese 'Digitale Agenda'. Dit Enisa artikel geeft input om er ook iets mee te gaan doen.

digifan @Maranello • 18 januari 2011 14:48

Wat een moordwijf die Neelie. Niet om het een of ander ze doet haar huiswerk uitstekend, en is zeer vooruitstrevend.
Een cloud kan je ook zelf draaien binnen een organisatie dus de overheid zou best zelf een cloud dienst op kunnen zetten voor alle departementen.

Dreamvoid

Cloud computing

@Verwijderd • 17 januari 2011 17:38

Tsja in theorie een mooi initiatief, maar in de praktijk is het maar de vraag of een bij Google gehoste en door hen beveiligde database werkelijk zoveel risicovoller is dan eentje die door een stel lokale ambtenaren in elkaar is geklust en wordt beheerd en op een server in Den Haag draait.

Jace / TBL 17 januari 2011 19:42

Binnen eigen grenzen, regelgeving over opslag, WTF! Van zulke random factoren laat je de veiligheid toch niet afhangen

Je zou anno 2011 toch verwachten dat als een overheidsinstantie waar dan ook (dus OOK op eigen servers) gevoelige gegevens opslaat, dat dan encrypted gebeurd!
_{(maar goed, whishful thinking natuurlijk )}

humbug @Jace / TBL • 18 januari 2011 02:29

Het probleem wat men hier aankaart is dat als je een clouddienst afneemt je niet precies weet wat er met je data gebeurd. Betekent het vinkje "Encryptie aan" daadwerkelijk dat je data met een sterk algoritme beveiligd wordt of enkel dat je een extra bedrag per maand moet betalen terwijl de data nog compleet onbeschermd op de server staat? Wie hebben er toegang tot de data, wie kunnen de data weer leesbaar maken, zijn de backups encrypted of niet, wat als de overheid van het land waar de data staat langs komt? Je geeft zaken uit handen en dient dus vertrouwen te hebben in de aanbieder. Voor overheden met privacygevoelige informatie van burgers geldt dit nog sterker dan voor een willekeurig bedrijf. Door eisen te stellen aan de clouddienst en te zorgen dat de data uiteindelijk opgeslagen wordt in je eigen land kun je bepaalde problemen afdekken.

Encryptie van de data helpt niet. Vergeet niet, de data op de cloud staat daar niet alleen om bewaard te worden maar moet ook gebruikt worden. Oftewel de data moet dus zonder encryptie aan gebruikers getoond worden. Het is zeker niet onmogelijk dat een cloud beheerder daar eventjes (op aandrang van een vreemde overheid) een man in the middle attack op uitvoert en gewoon mee kan lezen met je eigen medewerkers.

Jace / TBL @humbug • 18 januari 2011 14:08

Betekent het vinkje "Encryptie aan" daadwerkelijk dat je data met een sterk algoritme beveiligd wordt

Ik heb het niet over een vinkje, ik heb het over zelf je data encrypten voordat je het bij een willekeurige cloudboer (of waar dan ook) opslaat. Als het niet alleen om opslag/backup gaat maar je er ook mee moet kunnen werken, kun je het zonodig lokaal decrypten.

Uiteraard laat je de betrouwbaarheid van de encryptie niet afhangen van een random partij, als je die encryptie toepast omdat je die partij in de eerste plaats al niet blind vertrouwt.

Ik heb een enorme shitload aan backups van klantgegevens, source codes, betalingsgevevens, email en weet ik wat voor zooi, op diverse buitenlandse servers opgeslagen. Geen idee of het ook "cloud" is, het zal wel. Ik ben er gerust over omdat ik het als encrypted archive heb geüpload, en gewoon weet dat niemand het kan ontcijferen. Dus ze doen er maar mee wat ze willen, inval van de FBI/CIA/NSA, al posten ze het op hun twitter en facebook .

AmigaWolf 17 januari 2011 20:07

Ik ben er helemaal mee eens, het moet niet extern worden opgeslagen.

Het gaat andere Landen (Continenten) niks aan wat er gebeurt hier met privé dingen of belangrijke dingen die andere Lander (Continenten) niet horen te weten, en op deze manier kunnen andere continenten landen gewoon alles zien omdat daar andere wetten zijn.

Ik ben ook helemaal niet blij met clouddiensten, ik wil dat alles op mijn computer blijf, ik wil niet mijn briefen en andere privé spullen bij andere op hun computer komt (bij grote bedrijven op hun servers).

[Reactie gewijzigd door AmigaWolf op 28 juli 2024 01:57]

PolarWolf 17 januari 2011 21:59

Ik ben geen fan van clouds (overhyped concept) en al helemaal niet voor overheidsgebruik. Zoals al eerder aangehaald zijn die gegevens zeer gevoelig en verdienen het om niet vercommercialiseerd te worden. Al is het maar een kleine kans, maar er moet ten alle tijde worden voorkomen dat je door je eigen (cloud) leveranciers in gijzeling wordt genomen.

Verwijderd 18 januari 2011 10:57

Kostbare zaken uit handen geven aan totaal vreemden. Waar je niks over te zeggen hebt. Geen juridische zeggenschap over hebt. Niet kunt controleren. En allemaal om een half procentje meer te verdienen of besparen.

Geweldig idee !

Waar hebben we dat eerder gezien ?
Oh ja, de IceSave bank !
Particulieren en overheidsinstellingen die gebruik maakten van de diensten van IceSave. Zonder eigenlijk te weten of hun belang in goede handen was. Prachtig resultaat.

Kunnen we controleren of Google iets fout doet ? Zijn ze verplicht te melden als er iets mis gaat ? Krijgen we enige garanties ? Is er enige juridische manier om zaken voor elkaar te krijgen ? Nope. Alles is gratis, en dan krijg je waar je voor betaalt, namelijk niets. En wedden dat er concurrenten van Google zijn (of komen), die nog gratiser zijn dan Google ? En die concurrenten zullen nog onbetrouwbaarder en waziger zijn dan Google.

"Sorry meneer, kunt u uw OGZ-belasting-formulier opnieuw invullen, aub ? Onze gratis-cloude-service-provider is vorige week failliet gegaan, en we zijn al onze data kwijt".

Op dit item kan niet meer gereageerd worden.

Enisa is kritisch over gebruik clouddiensten door overheid

Lees meer

Migreren naar de cloud: (niet) geschikt

IT-banen

Reacties (27)

Lees meer

Migreren naar de cloud: (niet) geschikt

IT-banen

Reacties (27)

Sorteer op:

Weergave: