Zwitserse FG's: opslag overheidsdata in Amerikaanse cloud vaak onacceptabel
Het gebruik van Amerikaanse clouddiensten voor de opslag van gevoelige overheidsdata is vaak onacceptabel, zo stelt Privatim, de vereniging van Zwitserse Functionarissen Gegevensbescherming (FG's). Een FG houdt binnen organisaties toezicht op de toepassing en naleving van de AVG. Privatim publiceerde deze week een resolutie over gegevensverwerking in de cloud door overheidsinstanties. "Publieke organen hebben een speciale verantwoordelijkheid naar hun burgers toe. Hoewel ze hun gegevensverwerking mogen uitbesteden aan derde partijen, moeten ze ervoor zorgen dat databescherming en informatiebeveiliging behouden blijven."
De meeste cloudoplossingen bieden echter geen echte end-to-end encryptie die voorkomt dat de aanbieder toegang tot de data heeft, aldus Privatim. Daarnaast kunnen Zwitserse autoriteiten door een gebrek aan transparantie bij grote techbedrijven onvoldoende controleren of die zich aan hun contractuele verplichtingen met betrekking tot databescherming en security houden. Zo kunnen cloudproviders periodiek eenzijdig contractsvoorwaarden aanpassen, aldus de FG's
Het gebruik van clouddiensten leidt dan ook tot een groot verlies van controle, gaat de resolutie verder. Overheidsinstanties hebben daardoor ook geen invloed op een mogelijke schending van fundamentele rechten. Instanties kunnen alleen de impact van dergelijk overtredingen beperken door geen gevoelige data met de clouddienst te delen. De FG's wijzen ook naar de Amerikaanse CLOUD Act, die Amerikaanse techbedrijven kan dwingen om klantgegevens te verstrekken, ook als die gegevens in Zwitserse datacenters zijn opgeslagen.
Voor deze redenen is het volgens Privatim in de meeste gevallen onacceptabel dat overheidsinstanties gevoelige persoonlijke data van burgers of data waarvoor wettelijke verplichtingen gelden, bij Amerikaanse clouddiensten opslaan. De enige mogelijkheid volgens de FG's voor overheidsdiensten om toch Amerikaanse clouddiensten voor de opslag van gevoelige persoonlijke data te gebruiken is wanneer de data is versleuteld door de instantie zelf en de cloudprovider geen toegang tot de encryptiesleutel heeft.
Bij een 'cloud' ben je hoe dan ook niet meer 'baas over eigen data'. Ingewikkelder is het niet.
Bij een 'cloud' ben je hoe dan ook niet meer 'baas over eigen data'. Ingewikkelder is het niet.
Genoeg mensen die het verzonnen hebben, maar niet degene die het beleid bepalen en de investeringen mogen doen. Als de EU enigzins nuttig was geweest had die al jaren geïnvesteerd in tech binnen de unie, maar sinds het een corrupte boel in Brussel is worden liever de burgers uitgeknepen.
Voor bepaalde informatie helemaal GEEN cloud oplossing. En als het dan toch echt moet, alleen in eigen land! Fysiek en digitaal. Ook geen ander Europees land.
Neem even als voorbeeld Engeland, stel je had destijds over gegaan naar hun cloud oplossing (als ze die hadden gehad) en je krijgt dan een brexit heb je je onderaan de streep een uitdaging en ben je niet meer de baas over eigen data.
Met de huidige ontwikkelingen (lees onrust in de gehele wereld) ben je nergens zeker van behalve je eigen land en zelfs dat is soms ingewikkeld.
#1 data is onderdeel van je kroonjuwelen. We hebben gezien wat er kan gebeuren met je gouden kroon/helm wanneer je de beveiliging overlaat aan prutsers. Dat hoort in een kluis in een beveiligde omgeving, of een EIGEN datacenter met camera toezicht, pasjes, taps, glasvezel monitoring
#2 encryptie is geen beveiliging. De meeste encryptie is gemaakt met hulp van 3 en 4 letter afkortingen die willen afluisteren en meekijken. Het is ook al gebleken dat in het verleden zelfs gerenomeerde bedrijven hier welwillend aan meewerkten. Sommigen zelfs onwetend. Punt blijft, alle encryptie die je gebruikt is per definitie niet te vertrouwen. En de meeste van ons hebben niet voldoende wiskunde gehad om zelf een encryptiestandaard te bouwen. En wiskunde zelf is natuurlijk ook al mwa.
Zelfs wanneer encryptie doet wat het belooft (wat ik persoonlijk dus niet geloof op basis van onderbuik en ervaringen uit het verleden) kun je het dus niet gebruiken als beveiliging voor je data ergens op te slaan op het grote boze sprookjesbos genaamd cloud.
De meeste externe (cloud) oplossingen zijn zelfs vaak ingericht als 'open naar de wereld'-tenzij.
Wat natuurlijk absurd is voor opslag van data.
Daarom hoort data NOOIT extern of in een cloud te staan.. NOOIT, geen excuus mogelijk.
https://www.security.nl/posting/915387/Heijnen%3A+overstap+Belastingdienst+naar+M365+maakt+overheid+afhankelijker+van+VS
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?