Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Patriot Act: het wordt nog erger

 

Computable Expert

Theo Loth
Dir, LOTH CONTENT CREATION. Expert van Computable voor het topic Cloud Computing.

Na de Patriot Act brengt de FISAA de gemoederen in beweging. Zetten de VS met de FISAA een extra stap in de richting van de Surveillance State?

Al geruime tijd maken we ons met zijn allen druk over de werking en de effecten van de Amerikaanse Patriot Act: de wetgeving die specifieke Amerikaanse overheidsinstellingen in staat stelt gegevens op te vragen, zelfs als deze zich bevinden buiten de VS. Ook niet-Amerikaanse organisaties met een operatie in de VS vallen onder de werking van de Act. Er zijn twee kanttekeningen te maken: de toepassing van de Patriot Act is met strikte juridische waarborgen omkleed; en de schijnwerpers zijn gericht op de VS, maar de Europese (nationale) overheden hebben op hun beurt ook uitgebreide bevoegdheden om zich toegang te verschaffen tot data.

Intussen is er een nieuwe ontwikkeling gaande die de vertrouwelijkheid van data nog verder bedreigt. De werking van de in 2008 ingevoerde Foreign Intelligence and Surveillance Amendments Act (FISAA)  wordt verlengd.

Artikel 1881a van de FISAA heeft de mogelijkheid geschapen voor grootschalige surveillance die specifiek is gericht op data binnen het Amerikaanse rechtsgebied van niet-Amerikaanse burgers. De Fourth Amendment beschermt Amerikaanse staatburgers tegen de FISAA, in die zin dat voor het monitoren van Amerikanen specifieke warrants nodig zijn. Niet-Amerikanen zijn niet beschermd. De scope van de surveillance strekt zich uit tot  communicatie en tot data in de publieke cloud. Informatie die het voorwerp van onderzoek kan zijn, is ‘foreign intelligence information’, waaronder informatie van - vanuit de Amerikaanse optiek - buitenlandse politieke organisaties en entiteiten die de belangen van de VS in het buitenland raken.

De makers van het eind 2012 uitgebrachte rapport ‘Fighting Cybercrime and protecting privacy in the Cloud’ van het Europarlement stellen: 'Het is de VS toegestaan om puur politieke surveillance uit te voeren van data van buitenlanders die in Amerikaanse clouds toegankelijk zijn.' En: 'FISAA kan worden opgevat als een veel groter risico voor de soevereiniteit van EU-data dan andere wetgeving  die tot nu door EU-beleidsmakers is bekeken.'

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4635150). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 

Reacties

Daarom zijn er nog steeds bedrijven die hun cloud zelf doen, in eigen datacentra, of deze in datacentra zonder US eigenaarschap of footrpint.

Theo,

eigenlijk zeg je: foreign cloud is out......! Want je schrijft: "grootschalige surveillance die specifiek is gericht op data binnen het Amerikaanse rechtsgebied van niet-Amerikaanse burgers."

Hallo Theo,

Gezien de genoemde functies in je profiel neem ik aan dat jij degene bent die voor de muziek zorgt;-)

Dan betreffende de Amerikaanse wetgeving: wat doet de Nederlandse/EU overheid?

Ik stel deze vraag omdat er natuurlijk veel meer is dan Patriot Act en FISAA nu er strijd gevoerd wordt over de controle van Internet. En onze opsporingsdiensten zijn er ook niet vies van om te tappen zoals uit andere rapporten opgemaakt kan worden. En ik denk dat 'sectie stiekem' dat ook lang niet altijd volgens de regels doet.

Dan is backuppen ook niet meer nodig. Alleen maar even een verzoekje naar de US en ze sturen de data wel even.

Theo,

Bedankt voor je artikel. Net als Ewout ben ik ook erg benieuwd wat de EU gaat doen? Gaan zij het ook zo strikt spelen of blijven we hier van af wijken?

@ Sjoerd,

Leuke toevoeging. Laten we hopen dat dat niet gaat gebeuren :-)

Allereerst, niet VS staatsburgers hebben geen recht op privacy. VS kan toegang vragen tot inzage in informatie over burgers *zonder* hiervoor naar de rechter te hoeven, o.a. dmv FISA (in mijn ogen 1 A).

Waar ik vooral benieuwd naar ben is hoe de diverse providers zoals Amazon en Microsoft omgaan met zo'n aanvraag en met name als het gaat om data in Europese data centers. Hoe veel, hoe vaak, met welke strekking. Zijn ze gericht tegen ondernemingen of burgers of beide? En welke middelen hebben providers om dit te weigeren of te toetsen een EU danwel NL recht?

Zonder goede heldere antwoorden van deze providers blijft het risico op het gebruik van VS public cloud providers een moeilijk in te schatten risico.

Het *zeer'*grote voordeel is dat EU bedrijven een kans krijgen markt te veroveren op de EU markt voor cloud computing. Als dit succesvol blijkt (maar dat is nu nog de vraag), dan zal VS veel meer bereidheid tonen om in te schikken omdat het anders teveel centjes kost.

Of partijen in EU deze kans pakken is nog maar de vraag, vooralsnog heb ik er niet zoveel vertrouwen in vooral als je ziet met welke snelheid de diensten zich ontwikkelen en hierin geen 'short-cuts' genomen kunnen worden.

Goed punt Henri! Patriot Act biedt ons Europeanen natuurlijk veel kansen.

Aha, ik zie dat Theo zijn functie van bestuursliEd aangepast heeft naar bestuurslid.

In maart en oktober 2012 heb ik daar al eens op gewezen in een reactie op het onderzoek van IVIR, dus is m.i. geen nieuw inzicht:

"Het rapport van de IVIR stelt als eerste vast dat “de Patriot Act een symboolfunctie is gaan spelen in het debat.” Ze doelen dan op het feit dat de Patriot Act geen echte wet is, maar een raamwerk voor bestaande wetten naar aanleiding van 9/11 en aanpassingen doet aan deze wetten. Met betrekking tot de cloud stelt het IVIR de hoofdvraag: “Gezien de inhoud van de Patriot Act gaat het om de vraag naar de bevoegdheden van overheidsinstanties (in het bijzonder Amerikaanse) om toegang te krijgen tot gegevens in de cloud in verband met de strafrechtelijke handhaving en de nationale veiligheid.”

Kort wordt stilgestaan bij het zogenaamde Fourth Amendment, maar deze biedt geen bescherming voor niet-Amerikanen. Wel zijn de Foreign Intelligence Surveillance Act (FISA) en de Electronic Communications Privacy Act (ECPA) van belang. “De FISA gaat over de verkrijging van buitenlandse inlichtingen (foreign intelligence) door middel van aftappen, doorzoekingen en bevragingen van gegevens in het kader van de bescherming van de nationale veiligheid. De ECPA gaat over op het aftappen en verkrijgen van gegevens bij elektronische communicatiediensten in het kader van de strafrechtelijke handhaving.”

Dan komt het rapport op de belangrijkste boodschap, namelijk dat van alle niet-Amerikanen buiten de VS inlichtingen ingewonnen kunnen worden binnen de bepalingen van de Amerikaanse wet. Met name “Artikel 50 USC 1881a is het geëigende middel voor Amerikaanse inlichtingen- en veiligheidsdiensten om inlichtingen over niet-Amerikaanse personen verblijvend in het buitenland te vergaren.” Eigenlijk bestaat er nauwelijks een drempel om deze informatie te vergaren en de VS doet dat ook op een manier die door de Amerikaanse wetenschapper Banks als ‘stofzuigerbenadering’ wordt getypeerd: veel verzamelen en later analyseren."

Het geeft dus nog steeds veel kansen voor Europese clouddiensten!

zie: http://tinyurl.com/c5dehea

Mooi artikel Theo en ook waardevolle informatie/aanvulling van Leen, dank heren.

Amerikaanse Cloudproviders hebben inmiddels veel kennis en ervaring opgedaan op het gebied van Cloud Computing. Ik kan me voorstellen dat ze deze kennis niet met hun Europese concurrenten willen delen. Dit betekent enorme achterstand op allerlei fronten bij Europese Cloudleveranciers. Ze moeten eigenlijk het wiel opnieuw uitvinden, iets wat al lang geleden in Amerika uitgevonden is.
Het is waar dat de Europese bedrijven hierdoor nieuwe kansen krijgen maar de vraag is of de consumenten hier iets aan hebben! Ik zou nog even wachten met het afnemen van een cloud dienst bij een Europees bedrijf als ik nu al weet dat ze een (enorme)achterstand hebben!

@Reza
Jouw argument klinkt meer als een drogreden. Aangezien er afgelopen tijd nogal wat problemen her en der met Amerikaanse clouds waren zijn ze blijkbaar nog lang niet zo volwassen als jij denkt.
Maar los daarvan heb je als bedrijf geen keuze als je ervoor kiest je cloud bij een Amerikaans gelieerd bedrijf te zetten. Dan is al je data in die cloud simpelweg 'fair game'. Of je moet je eigen bedrijf ook Amerikaniseren omdat je dan meer rechten hebt.

Bij de introductie van de nieuwe cloudstorage provider Mega legde de CEO van het bedrijf ook uit dat er dankzij de informatiezucht van de US er een nieuw businessmodel is onstaan om alle cloud data encrypted op te slaan. Nu is maar de vraag in hoeverre deze encryptie is voorzien van goed verborgen backdoors maar het is wel een playfield leveler als een cloud provider de data alleen opslaat en niet kan inzien.

@Sjoerd: Dat een clouddienst issues heeft betekent niet dat het niet volwassen is, dat er issues zijn is niet gek op zo'n schaalgrootte en publieke spotlight. Ik denk dat de diensten het erg goed doen.

Daarnaast kun je ook wel degelijk van alles doen om data tegen overheid van de VS te beschermen. Zelf heb ik een POC opgezet om aan te tonen dat je de Service Bus van Amazon AWS (SQS) en Windows Azure al van end-to-end kunt beveiligen. Zo'n POC ben ik ook aan het maken voor Amazon S3 en Azure Blob storage.

Maar hoe zit het als je een private cloud in NL afneemt van Terremark? Dat is IAAS, maar wel bij een VS provider.

Het vraagstuk is niet simpel en de VS cloud computing providers zijn zeer veel geavanceerder dan elders in de wereld.

Maar wat inzicht als is het maar op geaggregeerd niveau zou al welkom zijn en een (anoniem) voorbeeld hoe zo'n verzoek eruit ziet.

Of anders gezegd, ik zou wel eens de Safe Harbour Principles in actie willen zien. Een zaak waarin een provider hierop een beroep doet en de uitkomst daarvan.

Sjoerd,
Ik ben het met je eens dat zelfs de Amerikaanse provider niet volwassen zijn. Sterker nog als je mijn reacties op cloudartikelen op deze site leest dan zou je zien dat ik dit al lang roep! Ondanks dit gebrek ben ik van mening dat de Amerikaanse providers verder zijn dan Europese cloudleveranciers, we hebben in Europa geen leverancier die zo krachtig is als Google, MS Azure, Salesforce etc. Het gaat ook wat tijd kosten om het niveau van deze jongens in Europa te behalen.

@Henri,
Deze vraag heb ik al eerder in een cloudsessie aan een advocaat die ook de spreker was gesteld. Het antwoord was: Als zij een Amerikaanse bedrijf zijn dan moeten ze zich ook aan de Amerikaanse wetgeving in NL houden. Dus doorgeven van data indien erom gevraagd wordt!

Verder je bent naief als je denkt dat je er achter komt hoevaak dit verzoek door Amerikaanse overheid ingediend wordt. Dit zoals het aantal keren die een Cloudleverancier onder vuur wordt genomen door een DDoS aanval! Onderwerpen die neergang van de betreffende leverancier gaan veroorzaken!

@Reza, @Sjoerd:

Kijk de KPN zijn ook nog niet volwassen! http://www.nu.nl/internet/3009889/internetstoring-kpn-geeft-landelijk-problemen.html

Dat veel in ontwikkeling is kan ik beamen. Dat het nog niet optimaal is ook, maar definieer nu eens onvolwassen en neem dan mee wat er allemaal nog meer onvolwassen is (zie mijn NU.NL link).

Onvolwassen wordt hier gebruikt als kapstok begrip en niet onderbouwd.

Laten we er een definitie bij houden:
http://www.encyclo.nl/begrip/onvolwassen

Wellicht bedoel je dan de onderste van de 3 opsommingen:

- 1) Jong 2) Kinderlijk 3) Klein 4) Nog niet tot volle wasdom komen 5) Niet volgroeid 6) Nog niet rijp 7) Nog niet volgroeid 8) Onvolgroeid 9) Onrijp 10) Onmondig

1) Jong = relatief, is de iPhone jong? AWS is ouder dan de iPhone.
3) Klein = tov wat? Invergelijking tot het aantal on-premise omgevingen?
4) Nog niet tot volle wasdom komen = zeker! Er zit nog heel veel meer in het vat, maar dat geldt ook heel veel technologie! En laggards zouden wel eens spijt krijgen van het "onvolwassen" mantra.

et cetera.










@Henri,
Volwassenheid en betrouwbaarheid waar een cloudleverancier aan hoort te voldoen, moeten in de standaardisatie-eisen en normen die aan de provider gesteld worden, gedefinieerd worden! Ik hoef dat niet te definiëren! En zoals je weet deze standaardisatienormen bestaan er nog niet!
Daarom zien we er veel zogenaamde “cloud-begeleiders” die als paddestoel uit de grond komen!

Dank voor alle reacties. Het is een vraagstuk met veel kanten. De schijnwerpers staan op de Amerikanen gericht, maar er zijn meer overheden op deze aardbol. En die zijn niet altijd even transparant. Eigenlijk is een goede risicoanalyse op zijn plaats: hoe groot is de kans dat overheden gebruik maken van hun wettelijke mogelijkheden? En vervolgens: als ze dat doen, wat is dan de impact of schade?

De wetgeving is van invloed op de kans. Het is dus zaak daar vinger aan de pols te houden. Het Europees Parlement is hierin uitermate belangrijk, net als de nationale parlementen en de Europese Commissie. Ook de gedragingen van het voorwerp van onderzoek bepalen de kans. Gaat het om criminaliteit? Terrorisme? Of om politiek onwenselijke uitingen?

De mate van impact is van veel en uiteenlopende factoren afhankelijk. Wie of wat is het voorwerp van onderzoek? Wat gebeurt er met de verkregen informatie? Tot welke sancties leidt de verkregen informatie? Elke case is anders.

Het is belangrijk dat er goede en werkbare wetgeving komt. We moeten voorkomen dat het cloud gebruik zich gaat opsplitsen in juridische zones: een Amerikaanse zone, een Europese, een Chinese, een Noord-Koreaanse....Met strikte grenzen en beperkingen. Net zo goed als we streven naar interoperabiliteit van cloud infrastructuren, verdient interoperabiliteit van wetgeving alle aandacht.

@Ewout: ik zing graag mijn partijtje mee ;-)



Theo,

Eén vraag beantwoorden met 8 wedervragen is heel symbolisch voor de regelgeving rond privacy in de Europese Cloud;-)

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×