Wat zijn de gevaren van de cloud?

© PXimport

Wat zijn de gevaren van de cloud?

Geplaatst: 28 mei 2013 - 09:06

Aangepast: 16 november 2022 - 09:22

Jeroen Horlings

Publieke clouddiensten, zoals Dropbox, SkyDrive, Google Drive en iCloud, zijn zo ingeburgerd dat iedereen het gebruikt. Handig, want je kan hiermee eenvoudig bestanden delen met anderen en je eigen data online beschikbaar maken. Maar waar consumenten over het algemeen weinig weet van hebben, is dat (met name Amerikaanse) clouddiensten een serieus risico kunnen zijn voor je privacy. Hoe zit dit precies?

Mappen delen via Dropbox, bestanden die te groot zijn om te mailen versturen via WeTransfer, Office-documenten opslaan in Microsoft SkyDrive of Google Docs, en gegevens synchroniseren via iCloud. Vijf jaar geleden was dat nog toekomstmuziek, maar tegenwoordig kunnen we bijna niet meer zonder. Met een muisklik beschik je gratis over gigabytes aan extra opslagcapaciteit die je bovendien overal ter wereld kan inzien en delen met anderen. Maar pas op, want hoewel deze diensten uitermate praktisch zijn, is het wel belangrijk dat je je bewust bent van mogelijke consequenties voor je privacy.

 

© PXimport

Cloudopslagdiensten zijn handig, maar je verliest de controle wie de bestanden kunnen inzien.

Amerikaanse clouddiensten

De Verenigde Staten lopen ver voorop met cloud-computing, dus het is ook geen wonder dat het overgrote deel van de clouddiensten afkomstig is van Amerikaanse bedrijven. Denk dan aan Google, Microsoft en Apple en het eveneens Amerikaanse Dropbox. Een andere grote speler is Amazon.com die clouddiensten verhuurt aan andere bedrijven (onder andere aan Twitter, Spotify, Dropbox, WeTransfer, FourSquare en Shazam). De meeste Amerikaanse bedrijven hebben hun datacenters ook in de VS staan, oftewel jouw gegevens staan niet in Europa, maar in Amerika. Daardoor vallen jouw data onder het Amerikaanse rechtssysteem.

Patriot Act

Amerikaanse bedrijven en datacenters op Amerikaans grondgebied vallen dus onder het Amerikaanse rechtssysteem. Sinds 2001 (formeel bekrachtigd in 2003) is daar de Patriot Act actief. Dit is een omstreden wet die door George W. Bush werd ingevoerd naar aanleiding van de aanslagen op 11 september 2001. De Patriot Act geeft Amerikaanse opsporingsdiensten (zoals de FBI) verregaande bevoegdheden om gegevens van burgers op te vragen. Dat kan zelfs zonder tussenkomst van de rechter. Een opsporingsdienst moet alleen een zogenaamde ‘National Security Letter’ afgeven, die de Federale overheid wettelijk toestaat om direct gegevens op te eisen.

Minstens zo schokkend is dat de personen om wie het gaat niet op de hoogte hoeven worden gebracht. Oftewel, het is bij wijze van spreken een vrijbrief voor de overheid om iemands huis te doorzoeken terwijl de bewoners weg zijn, zonder hen voor- of achteraf hiervan op de hoogte te stellen. Het is daarom niet voor niets dat het (Amerikaanse) onderzoeksbureau Forrester de VS op dit vlak op hetzelfde niveau positioneert als China en Rusland (potentieel gevaar voor de privacy).

De Patriot Act geldt niet alleen voor Amerikaanse burgers, maar ook voor immigranten, buitenlandse toeristen en internationale ‘klanten’ van Amerikaanse bedrijven. Het doel van de Patriot Act is het tegengaan van terrorisme, maar in de praktijk lijkt daar weinig van terecht te komen. Uit openbare gegevens blijkt dat er tussen 2003 en 2005 143.074 van dergelijke ‘Letters’ door de FBI zijn uitgegeven, die resulteerden slechts in 53 veroordelingen (waarvan nul gerelateerd aan terrorisme).

 

© PXimport

Onderzoeksbureau Forrester plaatst een uitroepteken bij de VS vanwege een potentieel gevaar voor de privacy, net als bij China en Rusland.

Gevolgen voor Europese gebruikers

De Patriot Act is een directe bedreiging voor cloudgebaseerde diensten, ook voor Europese gebruikers. Alle gegevens die op servers in Amerikaanse datacenters staan, vallen onder de Amerikaanse wet. Oftewel, om het concreet te maken: dat geldt voor alle data die je in Dropbox, Google Drive, Microsoft SkyDrive en Apple iCloud bewaart.

De Patriot Act gaat zelfs nog verder: ook data buiten Amerikaans grondgebied, in beheer van Amerikaanse bedrijven, vallen onder de Patriot Act. Amerikaanse bedrijven zijn namelijk verplicht om data aan te leveren, ongeacht de locatie. Microsoft en Amazon hebben ook Europese datacenters, maar dat biedt dus geen garanties. Er zijn wel afspraken gemaakt de VS en de EU, waaronder een zogenaamde ‘Safe Harbor’ om de privacy van burgers te waarborgen, maar er zijn zoveel uitzonderingen en vaagheden dat dit compromis weinig voorstelt.

In praktijk

Nu zal je je wellicht afvragen of het in de praktijk allemaal zo’n vaart zal lopen. Wat moet de Amerikaanse overheid immers met jouw persoonlijke data? Maar dat de Patriot Act in de praktijk een bedreiging kan zijn, bleek begin 2011. Naar aanleiding van de WikiLeaks-affaire gaf de Amerikaanse federale overheid Twitter de opdracht om alle persoonlijke data (zoals ip-adressen, privéberichten en andere gegevens) van drie personen over te dragen. Het betrof een IJslandse parlementariër Birgitta Jónsdóttir, de Amerikaanse hacker Jacob Applebaum en de Nederlandse XS4ALL-oprichter en hacker Rop Gonggrijp.

De Amerikanen wilden in eerste instantie verhinderen dat de betrokkenen op de hoogte werden gebracht van het verzoek, maar Twitter ging hier succesvol tegen in beroep, waardoor de aanvraag toch openbaar werd gemaakt. Los van deze aanvraag is het waarschijnlijk dat de Amerikaanse douane deze personen uitgebreid zal willen ondervragen wanneer ze voet op Amerikaanse bodem zouden zetten.

 

© PXimport

Ook WikiLeaks heeft zo zijn twijfels over de Patriot Act.

Dat overkwam Applebaum, meerdere malen. Na een bezoek aan Nederland op 29 juli 2010 keerde hij terug naar de VS en werd na aankomst vervolgens drie uur ondervraagd, waarbij zijn tas en laptop werden doorzocht, kopieën werden gemaakt van bonnetjes en zijn drie mobiele telefoons werden afgepakt. In een interview stelde Applebaum later dat personen die in de adresboeken van zijn telefoons voorkwamen, vervolgens ook problemen kregen bij de douane. Het voorval bleek geen incident te zijn: in januari 2011 ging Applebaum opnieuw door de mangel bij de douane, evenals in april, juni en oktober van datzelfde jaar.

Europese cloud

Je kan best gebruik maken van Amerikaanse clouddiensten, zolang je je maar bewust bent van de mogelijke risico’s. Ondanks protesten tegen de Patriot Act, heeft de Amerikaanse president Barack Obama de wet diverse keren verlengd en is het niet aannemelijk dat er op korte termijn iets gaat veranderen. Dat roept de vraag op of er geen Europese alternatieven zijn voor de Amerikaanse clouddiensten, die onder de Europese wetgeving vallen en hun gegevens alleen in de EU opslaan. Ja, die zijn er, al zijn de diensten niet zo uitgebreid als hun Amerikaanse concurrenten.

 

© PXimport

Ondanks verzet van de ACLU (Amerikaanse organisatie vergelijkbaar met Bits of Freedom) wordt de Patriot Act nog steeds in stand gehouden.

De bekendste Dropbox-alternatieven zijn Strato HiDrive en Wuala (die beiden gratis 5 GB opslag bieden). Laatstgenoemde is een Zwitsers bedrijf met datacenters in Frankrijk, Zwitserland en Duitsland. Wuala is inmiddels grotendeels in handen van Seagate, een harddiskmaker uit de VS, wat de deur in principe open zou moeten zetten voor overheidsgluurders. Gelukkig versleutelt de dienst de bestanden aan de gebruikerskant, waardoor anderen (zelfs Wuala-medewerkers) geen toegang kunnen krijgen.

 

© PXimport

Wuala maakt gebruik van versleuteling om pottenkijkers buiten te houden.

CloudMe

Een cloudprovider die nog steeds honderd procent Europees is, is het Zweedse CloudMe (voorheen iCloud geheten, tot Apple die naam overkocht). CloudMe gebruikt een eigen datacenter in Zweden en is net als Wuala een (uitgebreider) alternatief voor Dropbox. CloudMe bevestigt de negatieve gevolgen van de Patriot Act. Zij adviseren, uiteraard ook in eigen belang, om persoonlijke data alleen op te slaan op Europese servers. Uiteraard moet CloudMe zich wel houden aan de Europese wetgeving, dus als er sprake is van een gerechtelijk bevel, bijvoorbeeld in verband met criminele activiteiten, zal ook CloudMe gegevens aan de overheid moeten overdragen. Het verschil met de VS is dat de gebruiker hier wel over geïnformeerd wordt.

 

© PXimport

Voor cloudopslag-aanbieder Strato zijn Duitse datacenters juist een marketingproduct geworden.

Encryptie

Een gedeeltelijk oplossing voor het probleem is encryptie. Of je nu gebruikmaakt van Amerikaanse of Europese clouddiensten, het kan geen kwaad om je persoonlijke data te beveiligen met encryptie. Veel clouddiensten, zoals Wuala, Backblaze en CloudMe, bieden standaard al encryptie aan. Je maakt dan een ‘persoonlijke sleutel’, oftewel een soort wachtwoord, waarmee alle gegevens versleuteld worden. Zonder dit wachtwoord zijn de gegevens niet te lezen, ook niet door de cloudprovider zelf.

Dropbox maakt ook gebruik van encryptie, maar heeft zelf de ‘sleutel’ in beheer en kan dus in theorie overal bij. Dit bleek recentelijk toen bekend werd dat Dropbox ruimte bespaart door identieke bestanden (van verschillende gebruikers) maar één keer op te slaan. Dat is alleen mogelijk wanneer de inhoud van een bestand wordt vergeleken. Er bestaan wel verschillende plug-ins voor Dropbox, waar je zelf je eigen encryptie kan toepassen (zoals BoxCryptor, Viivo en Cloudfogger).

 

© PXimport

Met BoxCryptor versleutel je jouw online opgeslagen bestanden.

De meest gebruikte encryptievorm van dit moment is AES-256 (Advanced Encryption Standard). AES heeft een blokgrootte van 128 bit en een sleutel van 128, 192 of 256 bit. Hoe langer de sleutel en hoe groter het aantal bit, des te lastiger de encryptie te kraken is. De kanttekening die hierbij gemaakt moet worden, is dat geen enkele encryptiemethode onkraakbaar is. Alle encryptie is te ontsleutelen als daar aanzienlijke moeite voor wordt gedaan. Dat kan bijvoorbeeld met behulp van clusters van supercomputers, al kan dat dagen, weken, maanden of zelfs jaren duren.

Gebruiksvoorwaarden

Een ander aandachtspunt als je van clouddiensten gebruik maakt, zijn de gebruiksvoorwaarden (oftewel de ‘Terms of Use’). Hier staan jouw rechten met betrekking tot de data, wat de aanbieder er mee mag doen en welke aansprakelijkheid er geldt. Stel dat een clouddienst niet bereikbaar is vanwege een storing, terwijl je dringend bij je bestanden moet? In het geval van gratis clouddiensten is het vrijwel altijd zo dat je dan geen rechten hebt en de aanbieder niet juridisch aansprakelijk kan stellen. De dienst is immers kosteloos.

Welke data niet in de cloud?

Voor zakelijke gegevens zijn er duidelijke richtlijnen wat wel en niet in de cloud mag worden bewaard. Zo mogen persoonlijke gegevens, van bijvoorbeeld een gemeente, niet bij een Amerikaanse cloudaanbieder worden opgeslagen omdat deze gegevens de landsgrenzen niet mogen verlaten. Dat is ook een handige richtlijn voor persoonlijk gebruik. Wat voor gegevens kan jij beter niet (zonder encryptie) bij een Amerikaanse cloudprovider opslaan?

* Dagboeken

* Medische gegevens

* Privacygevoelige privéfoto’s

* Illegale software (zonder geldige licentie)

* Illegaal gedownloade films, boeken en muziek

* Adres- en contactgegevens (hoewel dit in de praktijk bijna onvermijdelijk is)

* Bankgegevens en andere financiële informatie

* Wachtwoorden

Als je betaalt voor diensten geldt een zogenaamde Service Level Agreement (SLA). Cloudproviders claimen vaak 99% uptime, maar tegelijkertijd gelden er allerlei uitzonderingen voor ‘downtime’, zoals onderhoud. Bovendien staat 1% op jaarbasis gelijk aan bijna vier volledige dagen, dus ook bij een serieuze storing valt dat binnen de voorwaarden. Mocht de limiet toch overschreden worden, dan staat er in de SLA een bepaalde vergoeding. Maar deze is vrijwel altijd ‘virtueel’ (gratis verlenging van het abonnement) en nooit financieel. Zelfs als persoonlijke data per ongeluk gewist wordt, kan de aanbieder zelden financieel aansprakelijk worden gesteld (met name bij gratis consumentendiensten). Er hebben zich de afgelopen jaren verschillende incidenten voorgedaan, onder andere met Hotmail en Google Docs.

Een laatste aandachtspunt betreft de rechten van jouw data. Aanbieders hebben de vrijheid om hun voorwaarden op ieder moment aan te passen. Zo haalde Dropbox in 2011 de woede van gebruikers op de hals door in de gebruiksvoorwaarden te stellen dat Dropbox royalty-vrij zou mogen beschikken over de data op zijn servers en deze wereldwijd te mogen gebruiken, kopiëren en distribueren. Dit impliceerde dat Dropbox bijvoorbeeld foto’s van gebruikers ongevraagd mocht doorverkopen. Dit is later weer rechtgezet, maar het geeft aan dat je alert moet blijven. Fotodienst Instagram maakte eind 2012 dezelfde misstap, maar kwam hier eveneens op terug na forse kritiek. Gebruiksvoorwaarden bestaan uit juridische taal en zijn daardoor vaak voor meerdere uitleg vatbaar.

 

© PXimport

Microsoft-medewerkers mogen door jouw SkyDrive-bestanden snuffelen en zonder opgaaf van reden je account opheffen.

Conclusie

Voor de meeste consumenten is cloud-computing een ‘ver van m’n bed show’. Data in de cloud lijken gevoelsmatig niet anders dan lokale data. Bovendien is het gebruik van de diverse clouddiensten enorm praktisch en nog gratis ook. Allemaal terecht, maar wees je bewust van de risico’s van de cloud, hoe klein deze ook mogen lijken. We leven in een tijdperk waarbij leveranciers verplicht zijn om klantgegevens jarenlang te bewaren. Wat vandaag de dag geen probleem lijkt te zijn, kan in de toekomst wel een probleem worden. En omstreden wetten als de Patriot Act helpen niet om het vertrouwen in clouddiensten te vergroten. Je beperkt het risico in ieder geval door bewust te zijn welke gegevens beter wel en niet in een publieke cloud thuishoren en door encryptie te gebruiken.

Deel dit artikel
Voeg toe aan favorieten