Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 219 reacties
Submitter: ArghhH

De faculteit Wiskunde en natuurwetenschappen van de Rijksuniversiteit Groningen vreest dat zij miljoenencontracten gaat verliezen omdat de hele universiteit gaat overstappen op Google Apps for Education. Het bestuur wees de bezwaren tegen de overstap vorige week af.

Rijksuniversiteit Groningen company logoVolgens de Ukrant, het nieuwsmedium van de Rijksuniversiteit Groningen, had zestig procent van de medewerkers van de faculteit bezwaar aangetekend tegen de overstap. De medewerkers zouden bang zijn dat onderzoeksgegevens of patentaanvragen op straat komen te liggen als het mailverkeer via Gmail gaat. Peter van Haastert, bestuurder bij de faculteit, laat aan Ukrant weten dat het hem goed mogelijk lijkt dat de faculteit nu miljoenencontracten met bedrijven als IBM en DSM gaat verliezen. Die bedrijven zouden niet willen dat onderzoekers van de universiteit gebruikmaken van Gmail, omdat ze vrezen voor bedrijfsspionage van de Amerikaanse overheid. Gmail is een onderdeel van Google Apps for Education.

''IBM en DSM zeggen dat e-mail nu ook niet veilig is, maar de gegevens die daaruit worden gehaald zijn juridisch gezien gestolen en daardoor niet bruikbaar'', aldus van Haastert. Hij vreest er nu voor dat als de universiteit een overeenkomst met Google heeft, gegevens niet als gestolen, maar als gedeeld bestempeld worden. Dat zou het juridisch aanvechten ervan stukken lastiger maken. De faculteit zou daarom nog gebruik willen maken van de huidige mailvoorziening van de universiteit. Dat zou dan wel 150.000 euro per jaar kosten, 'maar dat hadden we er wel voor over gehad, aangezien de contracten in de tientallen miljoenen lopen'.

Google laat in een reactie tegenover Tweakers weten dat het de veiligheid van data 'heel serieus' neemt. Het bedrijf doet naar eigen zeggen zijn best om te voorkomen dat data van gebruikers in handen komt van mensen voor wie het niet bedoeld is. Veel gebruikers zouden Gmail ook een veiligere service vinden dan diegene die zij voorheen gebruikten.

Gernant Deekens, woordvoerder van de universiteit, zegt tegenover Tweakers dat het universiteitsbestuur niet genoeg reden zag om alleen voor de faculteit Wiskunde en natuurwetenschappen een uitzondering op de overstap te maken. De faculteit zou de enige zijn die met een meerderheid van de medewerkers bezwaar heeft aangetekend tegen de overstap op Google Apps for Education. Medewerkers kunnen volgens Deekens nog wel individueel bezwaar aantekenen.

Moderatie-faq Wijzig weergave

Reacties (219)

EUR 150.000,00 over 35.500 studenten en medewerkers, dat is nog geen EUR 4,25 per gebruiker. Google Apps kost ook geld, maar ik kan de bedragen niet vinden.

Zelden zo'n nietszeggend stukje marketing gezien:
Google laat in een reactie tegenover Tweakers weten dat het de veiligheid van data 'heel serieus' neemt. Het bedrijf doet er naar eigen zeggen zijn best voor dat data van gebruikers niet in de handen terecht komt voor wie het niet bedoeld is. Veel gebruikers zouden Gmail ook een veiligere service vinden dan diegene die zij voorheen gebruikten.
RUG heeft een punt, zie Overeenkomst voor Google Apps for Education:
1. Services.
1.1 Faciliteiten en gegevensoverdracht. Alle faciliteiten die worden gebruikt om Klantgegevens op te slaan en te verwerken dienen te voldoen aan redelijke beveiligingsstandaards die geen geringere mate van bescherming bieden dan de beveiligingsstandaards op de faciliteiten waar Google zijn eigen, vergelijkbare informatie opslaat en verwerkt. Google heeft minimaal systemen en procedures geïmplementeerd die voldoen aan industrienormen, om de veiligheid en vertrouwelijkheid van Klantgegevens te garanderen, te beschermen tegen verwachte dreigingen of gevaren voor de veiligheid of integriteit van Klantgegevens, en te beschermen tegen onbevoegde toegang tot of gebruik van Klantgegevens. Als onderdeel van het leveren van de Services, kan Google informatie overdragen, opslaan en verwerken in de Verenigde Staten of enig ander land waar Google of zijn vertegenwoordigers voorzieningen hebben. Door gebruik te maken van de Services, gaat de Klant akkoord met deze overdracht, verwerking en opslag van Klantgegevens.
http://www.google.com/app...erms/education_terms.html

[Reactie gewijzigd door PcDealer op 11 juni 2014 17:41]

EUR 150.000,00 over 35.500 studenten en medewerkers, dat is nog geen EUR 4,25 per gebruiker. Google Apps kost ook geld, maar ik kan de bedragen niet vinden.
Google Apps for Education is gratis.
Als het daadwerkelijk gratis is om de mail voor tienduizenden studenten en medewerkers bij Google onder te brengen zou dat een nog grotere alarmbel afmoeten laten gaan... Alleen voor niets gaat de zon op, juist een universiteit zou dat moeten weten en wél bereid zijn om er wat voor neer te tellen. Kan me ook haast niet voorstellen dat dat waar is.
Ik zie niet in waarom er dan een grote alarmbel zou moeten afgaan.. Voor non-profit organisaties is het ook gratis, maar voor commerciele organisaties niet. Dat is wel vaker zo, ook bij software.
Bij Google Apps heb je geen 'last' van (gepersonaliseerde) advertenties of 'data mining'.
Bron: http://www.google.com/intl/nl/edu/privacy.html

[Reactie gewijzigd door calvinturbo op 11 juni 2014 21:08]

Omdat als je niet voor een dienst betaald, je zelf het product bent. Google is geen liefdadigheidsorganisatie dus langs wat voor weg dan ook verdienen ze geld aan hun gebruikers. Anders waren ze allang failliet.
Dat gezegde is allang onderuit gehaald en feitelijk niet waar. (of dat nou voor Google is of wat anders)
Bovendien verdient Google geld zat, dat dit een 'gratis' dienst is voor het onderwijs en non-profit betekent niet dat ze de gegevens verkopen of gebruiken voor eigen doeleinden. Dat staat ook nadrukkelijk in hun voorwaarden.

[Reactie gewijzigd door calvinturbo op 11 juni 2014 22:44]

Uhhhh de voorwaarden van Google zeggen toch echt overdracht van gegevens naar anderen dan Google. Hoe ruim je dat wilt interpreteren is aan jou.

Als onderdeel van het leveren van de Services, kan Google informatie overdragen, opslaan en verwerken in de Verenigde Staten of enig ander land waar Google of zijn vertegenwoordigers voorzieningen hebben. Door gebruik te maken van de Services, gaat de Klant akkoord met deze overdracht, verwerking en opslag van Klantgegevens.


En misschien kun je mij helpen aan wat feiten die de stelling "voor niets gaat de zon op" uit kan breiden. Want voor zover ik kan zien zijn alle (digitale) diensten die ik gratis gebruik, gemaakt om mijn data als product te maken. En dan denk ik aan Facebook, gmail, instagram, iCloud, Google drive, dropbox, instagram, watsapp, linked-in, Nike+, runtastic, appie (Ah)....
Kijk je wel hier?
http://www.google.com/policies/privacy/#nosharing

Wat die digitale diensten betreft. De diensten waar 'ja' staat gebruiken jouw data om omzet te genereren bijvoorbeeld door middel van gepersonaliseerde advertenties :
Facebook - ja
Gmail - ja
Instagram - ja
iCloud - nee
Drive - nee
Dropbox - nee
Whatsapp - nee
Linked-in - geen idee
Nike+ - lijkt me niet maar geen idee
Runtastic - nee
Appie - ja
Een alarmbel omdat je niet meer de enige eigenaar bent van je eigen data? Hoe duidelijk wil je het hebben?

We weten dat je een Google adept bent en soms heb je goede bijdragen maar hier ga je toch echt volledig van het pad af :|
Als dat zou kloppen, eens.. Maar op Google's site (ik had het nog even gecheckt) staat toch echt dat je zelf eigenaar blijft van je data.. Bij Google Apps for Education dan.
Zoals al vaker gezegd maakt het ook niet uit waar de data opgeslagen wordt. Zolang het op een server van Google staat, of dat nou in Nederland of in de VS is, kan de Amerikaanse geheime dienst gegevens opvragen en dienen de bedrijven hieraan mee te werken zonder dat de klant hiervan weet.

Er loopt toevallig een hele interessante zaak inzake dit onderwerp mbt mail die Microsoft op een Ierse server heeft staan: nieuws: Microsoft weigert overheid VS in Europa opgeslagen mail te geven
En dat is nu juist de kern van het probleem. De beveiliging van email is niet het primaire probleem, maar het 'legaal vrijgeven' van informatie aan derden. Hierdoor kun je patent rechtzaken verliezen omdat je de informatie openbaar hebt gemaakt. En dat is het probleem waar DSM en IBM mee zitten. En ja, dan kan IBM een US bedrijf zijn, de NSA kan geen patent rechtzaak tegen hen beginnen als ze info niet legaal heeft verkregen, en Google kan dat dus in theorie wel door de voorwaarden in hun mail services contract.
Als je naar de opvattingen van Erich Schmidt, topman van Google, kijkt, dan ik wel ongeveer nagaan hoe 'redelijk' die eigen systemen en procedures zijn.
</cynisme>
Google laat in een reactie tegenover Tweakers weten dat het de veiligheid van data 'heel serieus' neemt. Het bedrijf doet er naar eigen zeggen zijn best voor dat data van gebruikers niet in de handen terecht komt voor wie het niet bedoeld is. Veel gebruikers zouden Gmail ook een veiligere service vinden dan diegene die zij voorheen gebruikten.
Als de data via de Patriot Act wordt opgevraagd mogen ze dat niet eens bekendmaken, dus hoe kan je hen er nou op vertrouwen dat ze geen gegevens aan de Amerikaanse overheid doorspelen? Ik had iets minder naïviteit van academisch personeel verwacht.
Als antwoord daarop hebben velen de zogenaamde Warrant Canary ingevoerd. Het principe is hetzelfde als waar men vroeger kanaries in de mijnen inzette. In dit geval is het een stukje tekst dat opgenomen is in bijv. de algemene voorwaarden waarin ze zeggen dat ze geen verzoeken onder Patriot Act hebben binnengekregen. Wanneer dat wel het geval is wordt die melding weggehaald. Ze mogen namelijk niet zeggen dat ze er eentje hebben gekregen maar ze mogen wel zeggen dat ze er geen hebben gekregen. Microsoft gaat nu een stap verder en probeert dit soort zaken nu actief tegen te houden: nieuws: Microsoft weigert overheid VS in Europa opgeslagen mail te geven

Overigens is de reactie van IBM uiterst merkwaardig. Zij zijn een Amerikaans bedrijf en dienen dan ook te moeten voldoen aan de Amerikaanse wetgeving waaronder de Patriot Act. Denken die marketing gasten nou dat we daadwerkelijk zo dom zijn? :X
Overigens is de reactie van IBM uiterst merkwaardig
welke reactie?
Als de data via de Patriot Act wordt opgevraagd mogen ze dat niet eens bekendmaken, dus hoe kan je hen er nou op vertrouwen dat ze geen gegevens aan de Amerikaanse overheid doorspelen?
Dergelijke onderzoeksdata kan waarschijnlijk niet via de patriot act worden opgevraagd.
Veel delen van de patriot act zijn inmiddel al niet meer actief.
Een deel dat nog wel actief is (voorlopig tot 2015) is het doorzoeken van business records van bedrijven.
En dat betreft dan dus niet onbekende klant data maar informatie wel gestructureerde datarecords die Google zelf vastlegd.

Met de patriot act zou daarom bijvoorbeeld wel opgevraagd kunnen worden bij Google welke personen er een account hebben en ook wanneer ze zijn ingelogd en zelfs via welke IP adressen maar niet wat voor informatie deze personen hebben opgeslagen of welke informate er in hun emails staat.

Het is niet ondenkbaar dat er voor amerikaanse inlichingendiensten toch mogelijkheden zijn om aan informatie te komen over wat er door klanten bij Google is opgeslagen maar dan niet als gevolg van de patriot act.

[Reactie gewijzigd door 80466 op 11 juni 2014 17:47]

Bovendien, als mail zo vertrouwelijk is zou deze niet plain moeten verzenden. Ook niet als je een eigen cluster gebruikt.

Dan zou je op de inhoud encryptie moeten toepassen. Ik werk momenteel ook aan een project waarbij de mail zelf (tekst) nog wel plain mag worden verzonden, maar de bijlagen welke gevoelige informatie kunnen bevatten (restricted of secret) enkel mogen worden verzonden met encryptie, met een dagelijks wisselende sleutel.

Hoewel dat uiteraard nog geen 100% safe kan garanderen (gezien de lekken/backdoors die de NSA mogelijk in encryptie algoritmes heeft zitten) lijkt mij dat in elk geval veiliger dan via welke weg dan ook plain verzenden.
Zowel IBM als DSM hebben vestigingen in de VS. Dus zij zijn even vatbaar als Google voor overheidsspionage. Of de NSA die mails nu bekijkt op de mailservers van Google of die van IBM maakt bijzonder weinig uit...
Ik weet niet waarom er nu ineens zo'n ophef over is, maar ik geloof er niets van dat het te maken heeft met de veiligheid van de gegevens.
Zowel IBM als DSM hebben vestigingen in de VS. Dus zij zijn even vatbaar als Google voor overheidsspionage. Of de NSA die mails nu bekijkt op de mailservers van Google of die van IBM maakt bijzonder weinig uit...
Het gaat om de liability. Als IBM betaalt voor de mailserver waar het vandaan lekt is IBM aansprakelijk voor de schade.
Aanstellerij, los van of de beschuldigingen richting Google (of eigenlijk de Amerikaanse overheid) waar zijn:
1. Een groot deel van de universiteiten in de VS en Europa gebruikt GMail. De RUG is zeker niet de eerste. Ik geloof er weinig van dat die andere uni's de problemen hebben gehad die nu beschreven worden.
2. Als het allemaal zo gevoelige informatie is (wat prima kan), waarom gebruik je dan unencrypted e-mail om te communiceren?
3. Gezien de staat van de automatisering bij de meeste uni's en HBO's in Nederland lijkt het me veel makkelijker om bedrijfsspionage te plegen in systemen die door de uni zelf worden onderhouden dan in systemen door Google worden gerund.
4. IBM (en zelfs DSM) zijn evengoed vatbaar voor NSA of Patriot Act toestanden.
Hmm, ik moest gelijk aan dit denken:
nieuws: SURF introduceert cloudopslagdienst voor universiteiten en hogescholen

Het gaat in het nieuwsbericht over de RuG dan wel over mailverkeer, maar de overstap van cloudopslag naar opslag+mail is redelijk laagdrempelig lijkt me. Kan mooi alles op Nederlandse bodem blijven.
Tsja, rook vuur water klink klepel en bel. Bij de RUG hebben ze voor het uitwisselen van belaqngrijke informatie die niet zomaar in handen van derden mogen vallen andere systemen in de lucht die ze zelf hebben en onderhouden. Alleen de luiaard die alleen mail wil gebruiken laat z'n info ten prooi vallen aan de mailscanners van deze wereld. En dat is niet alleen de NSA.

Ophef om niets en stemming makkerij in mijn optiek.
Ironie: Postfix, een van de meest gebruikte mailservers, geschreven door een natuurkundige, Wietske Venema, aan destijds, jawel, de RUG. Je zou toch hopen dat ze in staat zijn om zelf een paar mailservers in de lucht te houden.
Dat zijn ze ook!

Dit is een financieel plaatje geweest. Het bestuur wilde een paar ton bezuinigen door mail bij Google onder te brengen.
Veel gebruikers zouden Gmail ook een veiligere service vinden dan diegene die zij voorheen gebruikten.
Dat kan, maar dat is niks meer dan meningen die er totaal niet toe doen! Het gaat natuurlijk om feiten...
Het bedrijf doet er naar eigen zeggen zijn best voor dat data van gebruikers niet in de handen terecht komt voor wie het niet bedoeld is.
Dus mogelijk wel in handen van de US overheid als die dat willen is dat namelijk WEL de bedoeling...

Ik vind dat IBM en DSM zeer goede redenen hebben om een Amerikaans platform niet te vertrouwen!
IBM is een Amerikaans bedrijf en valt dus ook onder de Patriot Act.
Of de overheid het nou bij google vandaan haalt of bij IBM zelf, als de overheid het wil krijgen ze het toch wel.
DSM is daarintegen wel een Nederlands bedrijf, maar ze hebben ook vestigingen in de USA, dus ook die valt onder de Patriot Act.
Uhm DSM is onderdeel van een Joint venture met een Amerikaans bedrijf. En volgens mij is dat bedrijf zelfs gedeeltelijk eigenaar van DSM.
IBM moet wel concurreren met andere Amerikaanse bedrijven. Ik kan me voorstellen dat ze geen trek hebben in oneerlijke concurrentie.
Dat kan, maar dat is niks meer dan meningen die er totaal niet toe doen! Het gaat natuurlijk om feiten...
Precies. En die zijn er de andere kant op ook niet, dus het blijft een spel van meningen.
Stond toch anders vrij duidelijk in het nieuws dat de NSA glasvezel verbindingen tussen Google's datacenters aftapte.
Google gebruikt nu tussen dc's encryptie, maar alsof die fibertaps de enige ingangen van de NSA waren.
Oftewel, er is wel degelijk genoeg reden om als bedrijf Gmail niet te vertrouwen als je bedrijfsgeheimen hebt die je niet wilt delen met Amerikaanse bedrijven.
Snap hier echter het probleem niet? 150.000 per jaar om eigen infrastructuur te runnen om contracten van tientallen miljoenen te kunnen blijven aangaan, lijkt me dat ze geen keuze hebben?...
Om te zeggen dat NSA economische doeleindes na streeft gaat misschien wel wat ver. Dan had het bij voorkeur niet Gmail af getapt.
Ik ben wel van mening dat het erg onverstandig is. Google zou zelf ook wat tegen kunnen doen; eigen onderdelen beginnen in andere landen en meer op lokaal niveau opslaan, beheren, zo dat het onder lokale wetgeving valt.
Dat doet de NSA dus wel degelijk. Naast terroristische activiteiten houdt het zich ook bezig met economische activiteiten. Snowden heeft o.a naar buiten gebracht dat het Braziliaanse ministerie van mijnen en energie, Petronas, Gazprom en Aerosmith door de NSA worden bespioneerd. Daarnaast hebben ze ook de VN, de EU en een hoge Europese ambtenaar(N. Kroes) die zich met ICT en markt bezig houdt en de Duitse premier afgeluisterd dan wel bespioneerd. Je kunt me veel vertellen maar dit heeft werkelijk niets te maken met terrorisme dan wel veiligheid van haar burgers.

De werkelijke reden dat Amerika dit doet is om steeds voorsprong te hebben op andere landen. Zij willen tenslotte het machtigste land van de wereld blijven. Doordat zij zoveel informatie bezitten kunnen zij de koers bepalen in vrijwel ieder opzicht.

Door de Patriot Act moet ieder Amerikaans bedrijf data ophoesten als een veiligheid dienst die opvraagt. Het lullig daarbij is, is dat deze informatie weer wordt doorgespeeld naar een betreffende ministerie die daar over gaat. Mocht de universiteit dus iets zeer interessants weten te ontwikkelen dan kan dat volgens die wet zonder slagen of stoot in Amerikaanse handen vallen. Daarom moet een ieder hier in Europa zich afvragen of een nog wel zaken moeten doen met bedrijven zoals Google en Microsoft.

En nee bovenstaande is geen alu hoedje verhaal. Je kunt het allemaal zelf lezen in het laatste boek van Greenwald.

[Reactie gewijzigd door Miki op 12 juni 2014 00:21]

Je denk net wat te eentonig. Je moet soms ook bedrijven uit andere landen bespioneren of zij wel aan de wetgeving houden, hierdoor bescherm je eigen bedrijven. Wanneer buitenlandse niet aan de wetgeving houden kun je hun regering op de vingers tikken. Zo worden kansen wat eerlijker.

Daarbij is het wel vreemd als een van de meest naïeve en krenterigste land, hierin zijn we in opslag bescherming echt niet anders. Toch kent Eindhoven nog steeds de grootste "patentendichtheid".
Daarbij moeten we om NSA nog minst druk maken. We kunnen veel beter kijken naar de Russische en Chinese geheimen diensten want die doen het in veel grotere mate.
Je moet soms ook bedrijven uit andere landen bespioneren of zij wel aan de wetgeving houden, hierdoor bescherm je eigen bedrijven.
Een ander land heeft weinig recht om patentpolitie te spelen met bedrijven uit andere landen.

Als een Braziliaans bedrijf over de schreef gaat, dan moet het Braziliaanse gerecht het oplossen, en niet het Amerikaanse gerecht.

Als een Amerikaans bedrijf dan plotseling het Braziliaanse bedrijf aanklaagt om de fouten, dan is het een vorm van bedrijfsspionage, want de kans is dan groot dat ze die info van de NSA hebben gekregen.
Het punt is dat het bestuur bestaat uit boekhouders die koste wat kost willen bezuinigen omdat FWN al jaren verlies draait, en ze over onvoldoende kennis, en voldoende arrogantie, beschikken om te denken te "weten" dat het zo'n vaart niet zal lopen.
Nee, het echte punt is dat het helemaal nergens op slaat.

Sec gesproken is Gmail inderdaad minder veilig als je bang bent dat andere bedrijven of overheden mee kunnen kijken. Maar dat argument slaat helemaal nergens op omdat mail als protocol überhaupt helemaal niet veilig is. Het is een beetje als een discussie wat veiliger is: Een geladen .9 mm pistool op de kinderkamer laten liggen, of een magnum 44.

Als je belangrijke gegevens wilt delen met anderen en dit moet veilig gebeuren, dan moet je die gegevens versleutelen voordat je ze verstuurt. Zo simpel is het. Alles wat je over gewone mail gooit gaat gewoon onversleuteld over het net. En de NSA zal misschien het Google netwerk te tappen, maar denk niet dat ze geen ingangen hebben bij het AMS-IX, of de andere grote exchanges. Alles wat daar onversleuteld langs komt is gewoon gecompromiteerd. Zo bekeken is GMail misschien zelfs veiliger omdat dat in de regel tenminste nog over een versleutelde SSL verbinding gaat. Dus zolang de overheid die gegevens niet actief opvraagt van Google zal het veel lastiger voor ze zijn om er aan te komen dan als die gewoon kunnen worden afgevangen bij het eerste het beste internet knooppunt waar het langs komt.
Dat is natuurlijk een onzin argument. SMTP kan tegenwoordig prima over de hele linie (tussen het versturen van SMTP servers onderling en het ophalen via POP/IMAP) versleuteld worden. Daarnaast is een MitM aanval waar jij op doelt een stuk lastiger te realiseren dan dat de NSA automatisch een BCCtje krijgt van je e-mail. Zeker als het verkeer het land niet verlaat, wat tussen een Nederlandse Universiteit en een partij als DSM het geval zal zijn.

Jouw aanname dat qua mail alles onversleuteld over het net gaat is simpelweg niet waar. AMS-IX heeft overigens aangegeven dat ze niet getapt worden door de NSA.

Daarnaast is Gmail een aantrekkelijker doelwit voor hackers dan DSM of een Universiteit. Dat maakt het ook een groter risico.

Ik begrijp de bezwaren dus wel..
Daarnaast is een MitM aanval waar jij op doelt
Welke man-in-the-middle aanval waar ik op doel??

Mijn punt is juist dat voor ouderwetse, onversleutelde e-mail helemaal geen MitM aanval nodig is! Die kunnen ze zo van de draad plukken zonder dat er ooit een haan naar kraait. Dit in tegenstelling tot Gmail dat over SSL loopt en waar dus wel een MitM voor nodig is.

En ja, e-mail servers kunnen inderdaad ook overversleutelde verbindingen worden geleid. Maar hoe vaak gebeurt dit? In de meeste gevallen die ik heb gezien wordt gewoon POP3 gebruikt voor het ophalen, of Exchange en meestal niet versleuteld...

Het punt is dat je gewoon bewust met gevoelige data om moet gaan en deze moet versleutelen vóórdat je deze over het netwerk verstuurt. Dat heb je helemaal in eigen hand.

Ik begrijp de bezwaren dus echt niet. Ik ken de situatie in Groningen niet maar de meeste universiteiten of hogescholen waar ik de situatie wel een beetje van ken doen alles met closed source, Amerikaanse software. Eerst je gevoelige document intypen in Word (waarvan je de broncode niet hebt en dus niet weet f die wat logged en/of opstuurt naar MS), draaiend op Windows (situatie idem) en dan vervolgens steigeren dat het echt niet over Gmail mag want wie weet wat Google er wel niet mee kan doen.

Als we eerlijk zijn weten we helemaal niet wat onze eigen computer allemaal uitspookt. En zolang we software blijven gebruiken waarvan we de broncode niet kunnen nalezen zullen we dit ook nooit zeker kunnen weten. Dat onze hele IT infrastructuur draait op systemen waar we de broncode niet van hebben vind ik persoonlijk een veel ernstiger probleem dan of onze mailtjes langs Google gaan. Ik bedoel als je iets op de post doet gaat het ook langs de TPG toch?
Je kunt proberen om er een open vs closed source discussie van te maken, maar dat zou misschien een volgende stap zijn. Bij de genoemde Microsoft producten heb je geen inzage in de broncode, maar dat heb je bij Gmail evenmin. Bij die eerste heb je in ieder geval nog wel controle over de infrastructuur waarop het draait, en kun je op die manier dus alsnog beperken welke data buiten de deur terechtkomt (en laten we wel wezen, als MS op die manier gebruikersdata zou proberen te achterhalen, zou dat daardoor allang opgevallen en in de openbaarheid gekomen zijn) . Die controle ontbreekt bij Gmail volledig, alles staat immers buiten de deur. Zie de huidige rechtszaak (van Microsoft) over toegang voor de Amerikaanse overheid tot data opgeslagen bij Amerikaanse bedrijven (zelfs al staat die data fysiek in Europa), voor een indruk van wat dat betekent.

Ik zou in deze context toch eerder kiezen voor Microsoft producten dan voor Google. MS verkoopt een OS en applicaties (even los van je mening over de kwaliteit). Google is juist groot geworden van het analyseren en verkopen van de data die gebruikers aan hun toevertrouwd hebben...
Ik denk dat dit meer gebeurt dan je denkt. Wij hosten enkele duizenden websites, en het gros van de POP3/IMAP connecties gaat over SSL. Simpelweg omdat de meeste clients dat standaard doen.

Ik denk dat je echt onderschat hoeveel mail al over SSL gaat. Daarnaast zou een Universiteit ook prima alleen POP3S kunnen aanbieden en de reguliere tcp/110 afsluiten om zo gebruikers te forceren SSL te gebruiken.

Ik doelde met MitM attack ook op sniffen, my bad.

Daarnaast, als Microsoft data van gebruikers uit Word documenten zou versturen naar Microsoft dan was dat inmiddels wel ontdenkt door iemand die toevallig een packet sniffer draaide.

Je geeft zelf al aan dat je bewust om moet gaan met gevoelige data en moet versleutelen. Dan is het toch ook niet raar dat je de e-mail volledig in eigen beheer wilt hebben? Dan heb je een beter zicht op wat er met je data gebeurt dan wanneer je dat uitbesteed aan een Amerikaanse multinational.
SMTP kan tegenwoordig prima over de hele linie

Kan, maar er is geen garantie. Als de (relay) server van de ontvanger het niet ondersteunt, gaat de zaak gewoon onversleuteld over het net.

Maar het gaat hier veel verder. Omdat de universiteit overstapt op GMail gaat ook de interne mail voortaal via Google servers.

Ik snap werkelijk niet waarom dat zou moeten. Als je wilt is het heel goed mogelijk een contact af te sluiten waarbij je Microsoft/Google/vul-je-favoriet-in services en tools gebruikt, maar de servers zelfs 100% binnen eigen beheer of beheer van een binnenlandse organisatie blijft.
Ik moet wel lachen om dat onderstreepte 'interne'. 'localhost', dat is intern. De rest is extern. :Y)

We hebben het hier over mail. MAIL.
Als je beveiliging wilt gebruik je dat überhaupt niet.
Onzin natuurlijk. SMTP is dan wel standaard onversleuteld, het is prima mogelijk om TLS/SSL te gebruiken (STARTTLS) op een verbinding. Gmail heeft ondersteuning hiervoor en bij verbinding via pop of imap dwingt gmail SSL af. Even los van het feit of je gmail ZELF moet vertrouwen. Wat alsnog een reden kan zijn om geen mail te versturen via gmail, maar dit is waar voor alle externe partijen.

SMTP over TLS/SSL is geen standaard in de wereld, en dat is jammer. het zegt dan enkel iets over de maatregelen die jij moet nemen met het verzenden van mail. Net zoals je gevoelige zaken op het web over een SSL verbinding wil doen, is dat met mail ook zo.

Mail is en kan dus wel degelijk veilig. De defacto standaard implementatie is echter vaak onveilig.

Voor je gevoelige mail stuurt, eerst even een mail met ongevoelige data sturen en de return-path even door iets als dit halen: http://checktls.com/perl/TestReceiver.pl

[Reactie gewijzigd door lenny_z op 13 juni 2014 10:43]

Gmail heeft ondersteuning hiervoor

Toevallig was er gisteren noge en artikel over hoe groot het gebruik van STARTTLS is bij GMail.

Bij uitgaande email was het 71%. Bij ingaande email 50%. Ofwel een heel groot deel is helaas dus onversleuteld over het netwerk.

Maar goed, dat probleem heb je dan dus niet bij werknemers die onderling emailen, want dan is het altijd versleuteld.

(Dat dus los van het feit dat de email nog steeds het eigen bedrijfsnetwerk verlaat.)
Bron van de door Armin genoemde cijfers: https://www.google.com/transparencyreport/saferemail/

Let op, dit gebrek aan versleuteling ligt dus niet zozeer aan Gmail, maar aan het niet ondersteunen en gebruik bij de andere partijen. Het 'netwerk' is dus het internet. Wat Google intern met de mail doet is onbekend.

Een Facebook publicatie over e-mail veiligheid en de toepassing van starttls, met statistiek:
https://www.facebook.com/...ployment/1453015901605223

[Reactie gewijzigd door R-J_W op 13 juni 2014 10:14]

Nee, je mist schijnbaar het punt.

Als jij als organisatie email hebt, blijft email van personen binnen die organisatie onderling wel degelijk intern binnen dat bedrijf. Dat is gewoon tot een zekere mate veilig tegen buitenstaanders.

Door over te stappen op GMail verlies je dat.

En dat is dus niet nodig, want je kunt de tools van bedrijf X gebruiken, zonder meteen de zaak naar hun servers over te hevelen.

EDIT: typo

[Reactie gewijzigd door Armin op 12 juni 2014 01:06]

Lokaal mailen, intern in de organisatie mailen, whatever. ;)
Is waar, maar als dat het enige probleem is dan kan een DSM en een Universiteit best beide SSL opzetten op hun SMTP server. Dan is _die_ mail versleuteld en gaat het argument van clear-text e-mail over de pijp niet meer op.

Daarnaast, het feit dat sommige mail onversleuteld tussen SMTP machines onderling verzonden wordt is bij Gmail niet anders. Dus dat is geen argument.
Is waar, maar als dat het enige probleem is dan kan een DSM en een Universiteit best beide SSL opzetten op hun SMTP server. Dan is _die_ mail versleuteld en gaat het argument van clear-text e-mail over de pijp niet meer op.

Dat is dan ook niet mijn argument. :)

Mijn argument is dat bij interne mail van werknemers/personeel/etc onderling, de email uberhaupt het bedrijfsnertwerk niet hoeft te verlaten bij gebruik van eigen beheer servers of privaat ingehuurde ipv die van Google.

Dat het onversleuteld is, is bij Google inderdaad sinds 2012 geen groot gevaar. Google heeft dat goed geregeld.
Niet alleen de NSA, maar google zelf kunnen mbv data mining van de (meta) e-mail gegevens mbv data mining heel veel leuke info extraheren en deze aan marketeers verkopen. Dom dom zou ik zeggen, maar wellicht hollandse boekhoud krenterigheid en naieviteit bij het bestuur van de universiteit!
Google Apps for education en Google Apps for business worden niet gescand voor marketing/reclame doeleinden. Dit is laatst nog in het nieuws geweest en staat ook expliciet in hun voorwaarden.
https://support.google.com/a/answer/139019?hl=en

[Reactie gewijzigd door RebelwaClue op 11 juni 2014 20:33]

Jup, net als Google niet scant als ze met de Wifi auto langsrijden, dat was ook nog in het nieuws.... toch deden ze het lekker stiekem toch eventjes... eventjes lekker snuffelen.

Want tja zo rolt Google nu eenmaal.
Er is een verschil tussen iets stiekem doen (waar ze op betrapt zijn) of keihard liegen in hun voorwaarden. Als ze dit in hun voorwaarden zetten en alsnog voor marketing doeleinden data doornemen, zijn ze de pisang. En geloof me daar komt men achter.
Mbt tot wifi scanning, ze hebben nooit van te voren gezegd dat ze het niet doen om dan betrapt te worden. Ze hebben het nooit vermeldt en zijn toen betrapt. Groot verschil.

[Reactie gewijzigd door RebelwaClue op 11 juni 2014 22:38]

Het gaat om de precieze formuleringen van die voorwaarden.
Die zijn alleen door juristen nog te begrijpen en zullen zonder twijfel een opening laten om de NSA (en andere 'diensten') in hun (jouw en mijn dus) data te laten kijken.
De link die ik eerder geplaatst had, was vrij eenduidig. Maar je hebt wel gelijk dat normaal de voorwaarden zo lang en zo moeilijk zijn, dat een doorsnee burger het al niet meer snapt.
Volgens mij trekt de NSA zich sowieso niks aan van voorwaarden. Die tappen bv ook de AMS-IX af en andere grote pijplijnen naar het internet. Die doen lekker waar ze zin in hebben, vaak onder het mom van terrorisme, terwijl ze per saldo amper wat hebben tegengehouden.
Dat het niet voor marketing/reclame doeleinden gebruikt wordt wil nog niet zeggen dat het niet voor alle andere mogelijke (spionage) doeleinden gebruikt wordt. Het is immers bewezen dat metadata erg inzichtvol kan zijn.

Stel je voor dat de NSA precies weet wie met wie mailt.... Dan is het zeer eenvoudig om gericht een persoon aan te gaan vallen (of af te persen).
Ik wil ook niet zeggen dat ze nu maar moeten overschakelen op een amerikaanse maildienst, aangezien ik die Amerikanen voor geen meter vertrouw. Die schuwen het misbruik niet om Amerikaanse bedrijven het voordeel te geven. Ik zeg alleen dat Google die diensten uitzondert qua marketing doeleinden.
Ik ben het helemaal met je eens dat de NSA mooie technieken heeft om het volk (zowel Amerikaans als buitenlands) in de gaten te houden en onder controle te houden.

[Reactie gewijzigd door RebelwaClue op 11 juni 2014 22:39]

Voorwaarden kunnen ieder moment gewijzigd worden. Ga je dan als universiteit zijnde de dag daarna om naar een ander systeem?
Boekhouders, tja hele domme dan.

Je bespaard 150.000 euro en verliest potentieel miljoenencontracten.

Het lijkt me dat zelf een kind uit de eerste klas weet dat je dan op - uitkomt en het dus geld kost.

daarnaast mag ondertussen duidelijk zijn dat er nog steeds een patstelling is tussen de amerikaanse patriot act en de EU databescherming waardoor amerikaanse bedrijven als google gedwongen kunnen worden inzicht in EU data te geven.

Als met al weer een goed voorbeeld van dommigheid.
Het aantal studenten FWN tegenover het aantal Faculteit Economie zetten... en je schrikt je een hoedje. Ernstig gewoon.
Zelfs als je uit gaat van een goed dichtgetimmerde gebruikersovereenkomst bij Google Scholar (bij persoonlijk gebruik van gmail is in principe alles wat in de mailbox staat van Google), ben je maar 1 patriot act weg van dat al je gegevens van de Amerikanen zijn.

De overstap naar Google Scholar was echt extreem stom; ook met zaken als sociaal onderzoek waarbij in de informed consent staat dat gegevens anoniem verwerkt worden en niet voor derden beschikbaar zijn.

Dat is dus niet meer het geval als het via de Google Scholar gaat. Ben benieuwd of ze hier een extra clausule voor in de informed consent stoppen
Probleem is dat we de feiten niet kennen. We weten dat Google, Microsoft, Facebook en Yahoo de afgelopen maanden heel hard gewerkt hebben om alle informatie te versleutelen (Zie dit artikel http://www.nytimes.com/20...to-spy-agencies.html?_r=0). We weten dat MS ook achterdeurtjes ingebouwd had, maar ook die hebben het roer omgegooid. (Zie dit artikel: http://en.wikipedia.org/wiki/NSAKEY). Dus is je informatie veiliger op een lokale mail-server die op Windows server draait, of in the Google cloud? Of zouden we allemaal OpenBSD moeten gebruiken, met goed gepatched openssl? Het is een kat en muis spel, en de harde feiten zijn moeilijk boven tafel te krijgen. Soms lijkt het wel een cyber-oorlog in een internet jungle. Feit is wel, dat voor al deze bedrijven, informatie lekken zeer schadelijk zijn, want ze zijn alle afhankelijk van het vertrouwen van klanten. Zoals trend-watchers zeggen: vetrouwen en reputatie zijn de nieuwe waarde papieren.

En dan spelen er voor een bedrijf als DSM ook andere belangen. Vaak hebben ze contracten met partners als Microsoft, die zo zijn opgezet dat het heel onaantrekkelijk wordt services van andere leveranciers te gebruiken.

[Reactie gewijzigd door elteck op 11 juni 2014 18:53]

Lees gerust eens wat over je eigen zwartmakerij tov MS.
Bijvoorbeeld uit de sources van jouw gelinkte wiki.

De NSAKEY is/was geen backdoor maar een tweede encryptiesleutel van MS zelf.
Vandaar de naam NSAKEY en niet MSKEY...

Kom op het is toch wel héél erg verdacht of niet? Als je dit alles 5 jaar geleden had gezegd dan had ik wel met je meegegaan en gedacht het zijn conspiracy theory aanhangers... maar na alles wat we de afgelopen tijd hebben gelezen ben ik helemaal om. Er is bij mij vrijwel geen twijfel meer dat de NSA echt wel een dealtje met MS had/heeft.
Of zouden we allemaal OpenBSD moeten gebruiken, met goed gepatched openssl LibreSSL?
Fixed that for you ;)
Onzin natuurlijk. LibreSSL is natuurlijk net zo vatbaar voor problemen als willekeurig welk ander software systeem.

Punt is wel dat beide systemen Open Source zijn. Je kúnt dus als je wilt alles controleren. Dat dit heel lastig en duur is is weer een ander verhaal, maar het kan tenminste.

Wel een leuke invalshoek: Waar kan de uni zijn tijd beter aan besteden? Misschien een leuk idee om eens in een gezamenlijk project met andere universiteiten de OpenSSL broncode helemaal na te gaan pluizen?? Zodat we straks een volledig peer-reviewed SSL library hebben?
Wel een leuke invalshoek: Waar kan de uni zijn tijd beter aan besteden? Misschien een leuk idee om eens in een gezamenlijk project met andere universiteiten de OpenSSL broncode helemaal na te gaan pluizen?? Zodat we straks een volledig peer-reviewed SSL library hebben?
Dan zou ik als ik hun was toch bij OpenBSD's LibreSSL aankloppen. Die zijn al redelijk onderweg. Nóg een OpenSSL fork maakt het niet overzichtelijker.

Als ik lees wat de mensen bij OpenBSD allemaal tegenkomen in OpenSSL, ben ik echt verbaasd dat het internet niet allang geleden is omgevallen.
In ieder geval: Google valt gewoon onder de Patriot Act, en moet gewoon alle gegevens netjes aan de overheid geven op het moment dat zij daar om vragen.
We kennen een paar feiten wel:
1. De NSA zal alles doen om alle communicatie te onderscheppen en op te slaan.
2. Bedrijven hebben geen geweten en zullen, als ze daar voordeel in zien, dus met de NSA (en andere 'diensten') meewerken.
3. En zelfs als ze dat niet zouden doen, dan nog zou de NSA jouw PC zelf hacken en uitlezen.
4. Niets is veilig. Zelfs totaal onkraakbare versleuteling niet zolang je geen 100% garantie (en die is er niet) hebt dat degeen aan de andere kant van het communicatiekanaal jouw data direct na ontvangst en nog versleuteld, op een andere, niet net-verbonden PC zet en daar ontsleuteld, de sleutel goed bewaart, geen 'mannetje' (zoals bijv. die anonymousoprichter) van de 'diensten' is, etc. etc.
IBM is zelf Amerikaans. Daarnaast zijn er heel veel Amerikaanse bedrijven die webmail en andere universiteitsvoorzieningen (zoals blackboard of osiris) aanbieden.

Een beetje een drogreden dus, met name van IBM. Als Google gedwongen of vrijwillig private informatie door zou spelen spelen aan de Amerikaanse overheid, doet IBM dat ook.
Het bedrijf doet er naar eigen zeggen zijn best voor dat data van gebruikers niet in de handen terecht komt voor wie het niet bedoeld is.
die data is ook niet bedoeld voor google :+
TOch werden mensen verplicht over gezet, en dat zet kwaad bloed.
Dus mogelijk wel in handen van de US overheid als die dat willen is dat namelijk WEL de bedoeling...
Ik vind dat IBM en DSM zeer goede redenen hebben om een Amerikaans platform niet te vertrouwen!
ik weet niet wie of was DSM is, maar IBM heeft niet te klagen want hun gegevens liggen al op straat als zelfs Amerikaans bedrijf zijnde.
The International Business Machines Corporation (IBM) is an American multinational technology and consulting corporation, with headquarters in Armonk, New York, United States.
Dus doe ik het hele verhaal maar af als trolling.
DSM is een enorm bedrijf bij jou wellicht beter bekend als De Nederlandse Staatsmijnen?
http://en.wikipedia.org/wiki/DSM_%28company%29
Je gebruikt wellicht dagelijks producten van hun.

Maar ontopic, mijn eerste gedachte die ik had toen ik hoorde dat universiteiten Google gingen gebruiken was spionage. Onbedoeld of bedoeld, alles dat je tikt staat ineens in een ander land. En dat is niet bepaald wat je wilt.
Niet bepaald de beste bron om te gebruiken, maar zie dit nu.nl artikel als voorbeeld.
Tijd dat we een EU concurrent van Google, Yahoo etc krijgen.
Tijd dat we een EU concurrent van Google, Yahoo etc krijgen.
Joepie, het staat dan niet meer in de USA. maar in vaag EU-land ipv NL, oftewel het maakt praktisch geen barst uit.

Of je wilt het in NL hosten en je trekt je portemonnee (met max 17 miljoen NL'ers krijg je nooit de schaalgrootte korting van een Google) of accepteer het risico dat andere meekijken.
Zelfs al ga je zelf hosten. En zelfs al speelt geld geen rol...

Op welk OS ga je draaien? Red Hat? Open Source met contributies van ik weet niet hoeveel partijen... één daarvan is maar zo de NSA... Ga je dat allemaal checken?

Ok je OS draait. Welke mail server en web server ga je gebruiken? Ga je OpenSSL gebruiken?

Zelfs als je het alu hoedje even af zet en er gewoon blind op vertrouwt dat al die software in principe goed is (er zijn niet bewust achterdeurtjes in ingebouwd), dan nog... Lekken hebben ze allemaal.

Wat we eigenlijk nodig hebben (en ja, in EU verband want dit is veel te duur voor NL alleen en er is duidelijk een gedeeld Europees belang hier) is een soort gecertificeerde open stack van software die volledig gereviewed is op achterdeurtjes en waarvan we dus zeker weten dat die alleen ons belang dient. En dan een hele berg beveiligings procedures en protocollen, want de software kan nog zo veilig zijn, maar als de eerste de beste ambtenaar dan zijn laptop / iPad / USB pen laat slingeren dan heeft het nog geen zin.

Ik vind dit gezeur op een universiteitsbrede e-mail dienst echt nergens over gaan. Neem je veiligheid in eigen hand en encrypt die data voordat je het verstuurt. Zet desnoods een eigen mailserver op dit doe je toch ook in no-time en voor een paar tientjes per maand? Waarom moet de hele uni daarvoor in paranoia modus draaien?
Wat we eigenlijk nodig hebben (en ja, in EU verband want dit is veel te duur voor NL alleen en er is duidelijk een gedeeld Europees belang hier) is een soort gecertificeerde open stack van software die volledig gereviewed is op achterdeurtjes en waarvan we dus zeker weten dat die alleen ons belang dient.
Vanwege je laatste zin kan het niet in EU-verband (of zelfs NL-verband).
VK is in zijn algemeenheid het schoothondje van de VS, maar ook met alleen NL heb je al zaken als de AIVD die schoothondjes zijn van de VS.

Dus stel we bouwen zo'n NL-dienst, we geven 50% van het budget uit om specifiek de NSA buiten te houden, maar de AIVD moet er wel weer bij kunnen om te controleren of er niets fout gaat. Dan zegt de NSA gewoon tegen de AIVD : Zet eens een automatische kopieerdienst op of je verliest je toegang tot Prism.

De realiteit is simpelweg dat NL niets voorstelt omdat het te klein is, maar de EU stelt nog steeds niets voor omdat het slechts x kleine entiteiten zijn (het is geen 1 grote entiteit)
DSM is een enorm bedrijf bij jou wellicht beter bekend als De Nederlandse Staatsmijnen?
http://en.wikipedia.org/wiki/DSM_%28company%29
Je gebruikt wellicht dagelijks producten van hun.
En nee, we zijn niet met zijn allen dyslectisch geworden; DSM is de afkorting van de Engelse naam van deze onderneming: Dutch State Mines
ok DSM mag dus klagen, maar ik blijf erbij IBM heeft geen reden tot klagen, want de VS kan aan alle data raken via IBM zelf.

TENZIJ IBM gevoelige info in Groningen stockeert om ze uit de handen van de VS te houden :D
ik weet niet wie of was DSM is, maar IBM heeft niet te klagen want hun gegevens liggen al op straat als zelfs Amerikaans bedrijf zijnde.
Dat is een internationaal opererend Nederlands bedrijf met een miljardenbegroting. En dat zijn er niet zo veel. ;)
Ik snap niet waar al dit rumoer nu ineens vandaan komt. Al een jaar geleden toen ik nog rondliep op bij de De faculteit Wiskunde en natuurwetenschappen, is de overstap naar naar Google Apps for Education voor studenten al gemaakt. Tenminste volgens een gedeelte uit een mail van de RUG verstuurd naar alle RUG-studenten:
quote: Mail aan studenten-RUG
De Rijksuniversiteit Groningen (RUG) stapt op 2 juli 2013 over op Google Apps for Education, het nieuwe e-mail- en samenwerkingsplatform. Je bent hierover op 05 juni jl. via e-mail op de hoogte gebracht.

Wat verandert er na 2 juli?
Na 2 juli a.s. ontvang je e-mail, gericht aan @student.rug.nl, niet meer in je huidige RUG-mailbox maar in je Google-mailbox. Je e-mailadres blijft hetzelfde!
Om je nieuwe mail te checken ga je naar http://googleapps.rug.nl en log je in met je RUG-account, je studentnummer en wachtwoord. Je hebt via deze e-mailomgeving toegang tot de overige Google Apps.
en uiteindelijk op 1 Juli 2013:
quote: Mail aan studenten-RUG
Welkom in je Google Apps for Education mailbox!
Dit is je eerste RUG-mail in je nieuwe werkomgeving.
Vanaf dit moment wordt al je mail in je Google-mailbox afgeleverd. Je e-mailadres is hetzelfde gebleven en via deze e-mailomgeving heb je toegang tot de andere Google Apps. Bekijk dit filmpje voor een korte inleiding op Google Apps.

Zelf oude e-mail migreren
Als je de oude e-mail (webmail.rug.nl) wilt bewaren, dan moet je deze zelf migreren. Migreren kan eenvoudig met de migratietool. Je hebt hier tot 31 december 2013 de tijd voor.
Let op! Daarna vervalt de toegang tot webmail.rug.nl.

Voor meer informatie kan je terecht op rug.nl/mu/google-apps of bekijk dit filmpje over de mogelijkheden die Google Apps for Education biedt!
Voor hulp en vragen kun je contact opnemen met de CIT Servicedesk.
Toen snapte ik al niet waarom ze deze stap gemaakt hebben. Waarom geen opstand een jaar geleden en nu wel? De overstap is volgens mij al (voor een deel wellicht) gemaakt of mis ik iets? Ook studenten werken mee aan veel van de onderzoeken...

[Reactie gewijzigd door Steffannnn op 11 juni 2014 17:43]

Die opstand is eigenlijk pas recentelijk gekomen omdat het tamelijk groot in het nieuws kwam dat Google o.a. e-mails van studenten en docenten aan het scannen was (d.m.v. bots) om zodoende gerichte advertenties aan te kunnen bieden:

California students sue Google for violating Educational Privacy

Lawsuit slamming Google for scanning student emails

(etc...)

Dit was niet bekend (althans niet bij het grote publiek), toen de overstap initieel door de RUG werd aangekondigd. Nadat Google werd aangeklaagd en deze praktijken uitgebreid in het nieuws besproken werden, was de meerderheid van de studenten/docenten uiteraard tegen de migratie.

[Reactie gewijzigd door Fixer op 11 juni 2014 17:59]

De opstand komt nu omdat de medewerkers van de RUG tot op heden nog op het oude mailsysteem werkten. Alleen de studenten waren al geruime tijd overgezet naar Google Apps.
Hoe moeilijk kan het zijn om voor een grote organisatie als een universiteit een eigen mailfaciliteit op te tuigen?

Bovendien, krijgt iedereen dan een @gmail.com adres? Zou ik niet willen, vind ik niet professioneel overkomen.
Ze stappen niet alleen over op Gmail maar de hele app suite van Google. Bedrijven/scholen kunnen gewoon gebruik blijven maken van eigen e-mailadressen (dus niet @gmail.com).

Gaat waarschijnlijk om een redelijke kostenbesparing om de Microsoft Office en Exchange licenties te kunnen vervangen met die van Google (de ¤ 150.000 per jaar die in het artikel genoemd wordt waarschijnlijk).

[Reactie gewijzigd door arjen82 op 11 juni 2014 17:37]

Google business apps is 4euro per gebruiker, Office 365 is ook 4 euro per gebruiker.
Zou voor kostenbesparing niets uitmaken.
Sterker nog office 365 is gratis te gebruiken voor onderwijsinstellingen. Hoofd reden dat we bij mijn werkgever deze overstap overwegen.
voor scholen is het gratis; google vind het prachtig als studenten hun producten leren kennen. Als ze deze prettig vinden, is er een goede kans dat de later door hen gestarte bedrijfjes (of plaatsen waar ze mogen adviseren) ook gebruik gaan maken van google apps.

Dat lijkt een makkelijke 150k om terug te verdienen.
Hoe moeilijk kan het zijn om voor een grote organisatie als een universiteit een eigen mailfaciliteit op te tuigen?
Je hebt mensen nodig die te vertrouwen zijn en kennis hebben van mailservers. Doorgaans sowieso al ruimschoots aanwezig op iedere universiiteit waar ze aan informatica doen.

Ik zou het heel eenvoudig maken: afspreken met je collega's dat gevoelige gegevens dat systeem hoe dan ook niet in gaan. Dan pass je gewoon desnoods wat versleutelde thumbdrives heen en weer, met backups bij vertrouwde personen. Los je alleen nog het probleem niet mee op dat grote bedrijven geen zaken meer met je willen doen.

[Reactie gewijzigd door Sfynx op 11 juni 2014 17:36]

Ik geloof dat je het gemiddelde staflid verkeerd inschat. Universitaire onderzoekers informatica hebben, tenzij ze iets met de betreffende techniek doen, over het algemeen niet bijzonder veel concrete, toepasbare IT kennis. Een mailserver inrichten zou ik 90% niet toevertrouwen.

Het hele encrypted data rondsturen is een leuk idee, maar tenzij je met mensen van een security groep praat totaal niet aan de orde. Men gebruikt liever Dropbox.
Dropbox is dan ook een erg gemakkelijke en toegankelijke manier om data te delen, zonde dat er aan zulke gebruiksvriendelijke diensten (zo ook Gmail) eigenlijk altijd zulke grote ogen zitten :c
Dropbox heeft net zo goed last van het feit dat de Amerikaanse overheid data kan opvragen als Gmail..
Vanzelfsprekend. Het is dus jammer dat er weinig/geen echte goede Europese/niet-door-de-Amerikaanse-overheid-informatie-op-te-vragen alternatieven zijn van deze zeer gebruiksvriendelijke diensten. Maar inderdaad, dat is ook een van de redenen dat ik dropbox alleen nog maar voor "onbelangrijke" gegevens gebruik.
Kijk eens naar Younited by F-Secure (younited.com).
F-Secure Offices
North America
USA

F-Secure Inc. North America
1735 Technology Drive, Suite 850
San Jose, CA 95110 USA
USA

Dus kunnen ze alsnog door een FISA/Patriot Act verzoek gedwongen kunnen worden door de overheid van de Verenigde Staten om hun data te overhandigen.
Ik zou het heel eenvoudig maken: afspreken met je collega's dat gevoelige gegevens dat systeem hoe dan ook niet in gaan. Dan pass je gewoon desnoods wat versleutelde thumbdrives heen en weer, met backups bij vertrouwde personen. Los je alleen nog het probleem niet mee op dat grote bedrijven geen zaken meer met je willen doen.
Ik zou er als bedrijf inderdaad een bezwaar tegen hebben als de universiteit door mij betaald vertrouwelijk onderzoek zou doen en de beveiliging niet goed geregeld maar via 'vertrouwde personen en versleutelde thumbdrives' zou gaan! Ik zou verwachten dat dat door de IT afdeling afdoende geregeld zou zijn.

Overigens heb ik niet veel meer vertrouwen in een eigen beheer mailserver dan een door Google gehoste mail service. Google staat bekend als een firma die in elk geval zijn bescherming serieus neemt en heeft een uitstekende staat van dienst. Als de NSA nu echt de mails van een student aan zijn vriendinnetje wil meelezen dan lukt ze dat echt wel. Ik maak me echter niet serieus zorgen dat een universiteit in Groningen hoog in hun target list staat.
Ik maak me echter niet serieus zorgen dat een universiteit in Groningen hoog in hun target list staat.
Volgens mij zit je er helemaal naast. De NSA en CIA zijn er om de belangen van het Amerikaanse bedrijfsleven te behartigen. Die zijn dus juist geinteresseerd in wat ze van de RUG aan informatie kunnen wegplukken.

Zie bijv. het verband tussen CIA en de AIC (American Industrial Corporation).
De NSA en CIA zijn er om de belangen van het Amerikaanse bedrijfsleven te behartigen
Dat zijn leuke verzinsels maar nergens op gebaseerd.
Dergelijke inlichtingendiensten houden zich helemaal niet bezig met het bedrijfsleven tenzij het gaat om strategische goederen (bv olie of uranium) of de wapenindustrie.
Je hebt mensen nodig die te vertrouwen zijn en kennis hebben van mailservers
Uh, wel eens gehoord van Office 365?
Ik zie niet in hoe afhankelijkheid van Microsoft beter is dan afhankelijkheid van Google.
Zo lijkt het misschien niet direct, maar een mailserver is een complex systeem.
Wat is er zo complex aan dan?
Ik moest toch even denken aan mijn dedicated server van 4 euro per maand die waarschijnlijk ook heel veel mailverkeer tegelijk kan afhandelen.
Goed, dan heb je geen failsafe en dergelijke, maar voor 150.000 euro moet je meer kunnen krijgen dan alleen een mailserver.
Jij denkt dat je voor een paar tientjes een mailsysteem voor vele duizenden mensen kan hosten? En hoeveel mail mag iedereen dan bewaren?

Met 30.000 mensen en zeg 5GB aan mailquota praat je al snel over 150TB. Als iedereen gemiddeld 20 mailtjes per dag stuurt zijn dat elke dag 600.000 berichten. Even ervan uitgaand dat je alles dubbel uitvoert praat je al snel over minimaal 4 hele zware servers met heel veel harddisks, maar je moet eerder denken aan een stuk of 10. Tel daar alle licenties bij op (misschien nog wel duurder dan de hardware) en iets van 1,5-2 FTE en je zit al snel op 150k/jaar.
Je zit er al snel aan, met die FTE's. De HW en SW is misschien 50k per jaar. En om nou voor 10 servers die 1.5 FTE in te gaan huren (die hebben dan niet veel te doen). Het klinkt inefficient.

Wij hebben ongeveer 1.5 FTE voor 100 servers. Nu neem ik aan dat er meer serverbeheerders zijn op de universiteit. Dus 0.15 FTE * 100k = 15k per jaar aan beheer. Dan tel je HW/SW er bij op. Kom ik op 65k per jaar. Misschien 75k. Heel veel meer kan ik er niet van maken.
Het was ook geen exacte berekening, eerder om te laten zien dat bedragen voor dit soort systemen snel oplopen en je dit niet zomaar even neerzet.

Enterprise storage zit je al snel rond de $500/TB (in mijn voorbeeld dus al $150k), voor alleen de aanschaf van de Exchange CAL's ga je al richting de ¤2,4M (30k x ¤80). Dan heb je nog geen servers, geen OS en geen Exchange. Misschien zit ik er naast voor wat betreft 'manpower', maar hard- en software voor zulke omgevingen lopen al snel in de papieren.

Ongetwijfeld maak ik ergens een denkfout, maar ik vind die 150k helemaal niet zo raar. Zoals PcDealer hieronder stelt is dat maar iets meer dan ¤4 per gebruiker.

Dit is een oude video van HP die laat zien hoe een server voor 3-4000 man eruit ziet met een mailbox van 1GB. Nu is dat met nieuwere hardware en Exchange versies wel wat veranderd, maar voor het ontwerpen voor 30k users heb je wel degelijk serieuze hardware nodig.

[Reactie gewijzigd door Ethirty op 11 juni 2014 22:40]

Ik snap niet waarom je 500 $ uit moet geven voor een schijf die ergens anders gewoon 50 euro kost. Daarnaast ga ik inderdaad niet uit van Windows (gebruikt Google ook niet iig).
Niet met je oneens, maar ik kan me echter niet voorstellen dat ze direct 5gb per persoon fysiek aanwezig hebben. Die 5gb zal wss maar een klein percentage van gebruikers daadwerkelijk volledig benutten, dus dan zouden ze met extreem veel overhead zitten.
universieteiten betalen nauwelijks licenties
Ooit al geprobeert een geavanceerde MTA als Postfix op te zetten? Dat valt echt niet mee... (tenzij je pakketten als iRedMail gebruikt)
Mail is van oorsprong een heel erg eenvoudig systeem, maar door enorm veel misbruik zijn er altijd maar opties toegevoegd om het verder te beveiligingen tot het (in mijn ogen) een complete puinhoop werd.
Om dan nog maar te zwijgen over de problemen die blocklists in combinatie met wisselende IP's en NAT met zich meebrengen... Kreeg dit opeens terug op mijn VPS die nog niet zo lang bestaat;
host mx4.hotmail.com[65.55.92.184] said: 550
SC-002 (SNT004-MC4F21) Unfortunately, messages from <IP> weren't
sent. Please contact your Internet service provider since part of their
network is on our block list.

Lekker dan. Krijg ik het IP address (of range) van iemand die op de blocklist van Hotmail/Live Mail/Outlook/<hoe het volgende week ook heet> staat.
Nee, klopt niet... Wij hebben ook gewoon @bedrijfsnaam.nl maar gehost @ gmail :-)
Je kan met je eigen domein google Apps gebruiken, dus je krijgt geen @gmail.com adres.
Als student aan de FWN op de RUG kan ik vertellen dat we juist van het "prima werkende" mailsysteem afstappen om te migreren naar Google Apps for Education.

En nee, iedereen behoudt gewoon zijn/haar eigen @rug.nl adres.
Alleen de alias, het gaat namelijk echt naar gmail.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True