Kamervragen over risico's Microsoft 365 voor overheid
De VVD heeft minister Plasterk van Binnenlandse Zaken vragen gesteld over het gebruik van Microsoft 365 door overheidsorganisaties en semi-publieke instellingen. Volgens VVD-Kamerleden De Liefde, Moors, Dijkhoff en Litjens wordt in Microsoft 365 gegenereerde data in de Microsoft Cloud bewaard.
Een plek waar de NSA deze gegevens kan inzien, zo stellen de Kamerleden. Ze willen van de minister dan ook weten hoeveel overheidsorganisaties en semi-publieke instellingen van Microsoft 365 gebruik maken en of de minister erbij stilstaat dat Amerikaanse inlichtingendiensten de in de Microsoft Cloud opgeslagen data kunnen opvragen.
Opslaglocatie
De Kamerleden willen ook weten of de dataopslaglocatie bij overheidsorganisaties en semi-publieke instellingen wordt overwogen bij het kiezen van bepaalde software. Ook moet Plasterk aangeven of hij bereid is meer aandacht te geven aan bewustwording bij lokale overheden en semi-publieke instellingen wat betreft de risico’s die de fysieke opslaglocatie van vertrouwelijke data buiten Nederland met zich meebrengt.
Als laatste vragen de Kamerleden zich af of de minister bereid is om de Algemene inlichtingen- en veiligheidsdienst (AIVD) om advies te vragen op welke wijze alle Nederlandse overheidsorganisaties hun vertrouwelijke data het beste kunnen opslaan en beheren.
[...]
De techbedrijven mogen zelfs niet communiceren dat ze dergelijke verzoeken hebben ontvangen.
[...]
Als de FBI aantoont dat de dataopvragingen in het kader van onderzoek naar terrorisme plaatsvinden, is daarnaast geen toestemming van de rechter vereist.
[...]
(2) Op 25 april 2014 heeft een rechter in New York, in een door Microsoft aangespannen rechtzaak, bepaald dat Microsoft alle beschikbare gegevens van een specifiek individu, inclusief e-mails, aan justitie beschikbaar moet stellen, ook al staan die gegevens op een server buiten de USA (in dit geval in de EU, Dublin om precies te zijn). De uitspraak (aardig leesvoer, niet alleen voor juristen) vind je hier: http://www.nysd.uscourts.gov/cases/show.php?db=special&id=398 (let op: het is een PDF file die zonder extensie .pdf wordt aangeboden, je moet deze opslaan bijv. als In.pdf, dan kun je hem openen).
P.S. op pagina 16 staat een prachtige typo: "Untied States" :)
Bron (Duitstalig): http://www.heise.de/ix/meldung/US-Internetunternehmen-muessen-im-Ausland-gespeicherte-Daten-herausgeben-2178454.html.
Dat de Patriot-Act wereldwijd geldt voor bedrijven met 1 of meer vestigingen in de USA is hiermee nog eens bevestigd, en niet alleen de NSA kan er gebruik van maken (in elk geval ook de FBI dus). Als de vragende kamerleden dat hadden geweten (lijkt niet zo te zijn) hadden ze wellicht iets andere vragen gesteld...
[...]
De techbedrijven mogen zelfs niet communiceren dat ze dergelijke verzoeken hebben ontvangen.
[...]
Als de FBI aantoont dat de dataopvragingen in het kader van onderzoek naar terrorisme plaatsvinden, is daarnaast geen toestemming van de rechter vereist.
[...]
(2) Op 25 april 2014 heeft een rechter in New York, in een door Microsoft aangespannen rechtzaak, bepaald dat Microsoft alle beschikbare gegevens van een specifiek individu, inclusief e-mails, aan justitie beschikbaar moet stellen, ook al staan die gegevens op een server buiten de USA (in dit geval in de EU, Dublin om precies te zijn). De uitspraak (aardig leesvoer, niet alleen voor juristen) vind je hier: http://www.nysd.uscourts.gov/cases/show.php?db=special&id=398 (let op: het is een PDF file die zonder extensie .pdf wordt aangeboden, je moet deze opslaan bijv. als In.pdf, dan kun je hem openen).
P.S. op pagina 16 staat een prachtige typo: "Untied States" :)
Bron (Duitstalig): http://www.heise.de/ix/meldung/US-Internetunternehmen-muessen-im-Ausland-gespeicherte-Daten-herausgeben-2178454.html.
Dat de Patriot-Act wereldwijd geldt voor bedrijven met 1 of meer vestigingen in de USA is hiermee nog eens bevestigd, en niet alleen de NSA kan er gebruik van maken (in elk geval ook de FBI dus). Als de vragende kamerleden dat hadden geweten (lijkt niet zo te zijn) hadden ze wellicht iets andere vragen gesteld...
Bitwiper:
Mail die kamerleden eens je inzichten... En geef dan ook gelijk aan dat door het outsourcen van allerlei bedrijven in Nederland aan buitenlandse bedrijven ongeveer ALLE Nederlandse data eigenlijk al in handen is van de Amerikanen, Russen, Chinesen, India, etc, etc.
Mijn mening:
Het blijft lachwekkend om te zien hoe naïef mensen denken over cloud en outsourcing naar verre oorden. Want ook al staat de data hier en is er niks outsourced dan nog zijn er wel leveranciers die diensten, hardware en software betrekken uit verwegistan waardoor de data alsnog compromiteerbaar is. Alleen crypto met eigen sleutelbeheer kan het enigszins bemoeilijken dat alle data direct straat komt te liggen. Als je tenminste de moeite hebt genomen om de overige security op orde te brengen...
De (belangrijke/gevoelige) data moet beveiligd worden, met eigen sleutels.
Even los daarvan: zouden de kamerleden weten hoe ontzettend slecht IT (beveiliging) bij de overheid zelf is geregeld? Of maken ze liever stennis over een probleem elders in de hoop dat we vergeten hoe slecht het hier gesteld is?
/dance
Zijn plenty tooltjes voor om dat te doen tegenwoordig.
Encryptie is niet heilig en wordt ooit gekraakt, maar tegen die tijd is het oud nieuws en geen nieuws meer.
Voor overig zeer gevoelige data...pen en papier en de ouderwetse kluis...
Ik zie in de decentralisatie van de jeugdzorg en participatie gemeenten grijpen naar cloud oplossingen als Office 365. Onlangs is Office 365 voor gebruik van medische gegevens geautoriseerd dus gaan veel zorgverleners er vanuit dat het dan we goed zit.
Laten we wel zijn, of nu alles bij een NL provider draait en de gegevens staan bij gemeenten lokaal, onze eigen AIVD/MIVD hebben daar toegang toe, en dat zijn ook de partijen die data voor andere diensten verzamelen. Gemeenten zijn namelijk "verplicht" om de basis registraties toegankelijk te maken voor o.a. de AIVD. Dus tja, waar gaat het dan nog over?
Bedrijven zou ik adviseren om toch alles in eigen hand te houden en de hogere kosten dan maar voor lief te nemen. Als ze dat niet willen moeten ze ook niet zeuren.
Ik stop nooit en never iets in de wolken, maar dat is logisch.
Gevoelige data opslaan in een cloud die niet je eigen is? Ik zeg er ff niks over. Gelukkig zijn we goede vrienden met de VS en zullen ze niet zo maar door onze gevoelige data gaan gras duimen om informatie van bepaalde personen te achter halen.
Beveiliging persoonsgegevens is dat niet een wet waar iedereen zich aan dient te houden?
Echt MS heeft meer malen laten zien een onbetrouwbare partner te zijn. Die vertrouw je dus niet blindelings alles toe. Wanneer gaat onze overheid eens over op open source. Dan heb je zelf veel meer onder controle.
Regels en beloftes worden nu eenmaal gebroken.
De vraag is dan nog steeds of je data intern veiliger is dan in O365. Voor beide valt wat te zeggen.
Misschien moet men het O365 trust center eerst nog even doornemen.
1 belangrijk punt wat hier in genoemd wordt is dat de 'data eigenaar' altijd kan inzien waar zijn/haar data is opgeslagen en kan hier ook keuzes in maken. De Microsoft data centers voor EU(heel EMEA) staan in Nederland en Ierland! (behalve de AD informatie wordt in de US opgeslagen. vanwege performance zeggen ze)
Zeer opmerkelijk: 'OVerheids O365 abonnementen' worden wel volledig in/vanuit de US gehost!
Florisz
bij de Overheid dit (oh zo handig) wel mogelijk heeft gemaakt, dan dient deze persoon per onmiddellijk te worden ontslagen met terugbetaling van zijn volledige genoten salaris.
Moeten betalen om je bestanden te unlocken.
Wat gebeurt er als de overheid van deze soft'..ware' naar een andere meer open office variant zou willen?
Moet er dan een gigantische kostbare conversie operatie gaan plaatsvinden naar andere bestandsformaten die niet vendor locked zijn?
Trekt die overheid dan wederom een extra geldlade open voor extra 'support per pc'?
Is iedereen binnen de overheid al opgeleid en geïnstrueerd om documenten in een verdor lock vrij en voor langere termijn houdbaar bestandsformaat te bewaren?
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.