Backup in de cloud: een groot risico?

Steve Wozniak voorziet grote problemen met opslag in de cloud (foto door Stephen Brashear)

Veel mensen slaan hun data niet meer thuis op, maar gebruiken opslagdiensten via het internet: zogeheten opslag in de cloud. Er zijn echter goede redenen om het gebruik van dit soort diensten te heroverwegen. Bijvoorbeeld de kritiek van Steve Wozniak, de man die samen met Steve Jobs het bedrijf Apple oprichtte, maar ook de problemen van de bekende blogger Mat Honan, wiens accounts gehackt werden. Hij is zijn in de cloud opgeslagen data nu voorgoed kwijt. 

Steeds meer mensen maken gebruik van opslag in de cloud. Bekende namen opslagdiensten als Dropbox, fotodiensten als Flickr, maar ook het nieuwe Google Drive van Google (de vervanger van Google Docs) en iCloud van Apple.

Het grote voordeel van deze diensten is gemak: de dienst groeit mee met je behoefte (‘elasticiteit’, in cloudtermen). Daarnaast hoef je zelf geen apparatuur te kopen en aan te sluiten en je kunt overal bij je data of data eenvoudig met anderen delen. Ook zijn veel diensten gratis voor het eerste gebruik. De meeste diensten hebben een instapproduct met een aantal gigabytes aan gratis opslag, goed voor honderden foto’s. De verschillende clouddiensten zijn hierdoor in enkele jaren zeer populair geworden.

Data in de cloud: wie is de eigenaar?

Steve Wozniak

Niet iedereen is echter enthousiast over de nieuwe diensten. Een van de meest opvallende critici is Steve Wozniak: de man die samen met Steve Jobs het bedrijf Apple oprichtte. In een recente discussie na afloop van een toneelvoorstelling in Washington vertelde Steve dat hij cloudopslag als een groot risico ziet: “in de cloud ben je nergens meer eigenaar van. Je hebt je data al weggegeven door de voorwaarden van de clouddiensten te accepteren.” Volgens hem ontstaan er grote risico’s: “binnen vijf jaar zullen we een aantal ontzettend grote problemen zien.” Steve Wozniak zal dus zelf zijn data blijven beheren.

Juridisch gezien maakt Steve Wozniak een goed punt. Alle clouddiensten hebben uitgebreide voorwaarden. Deze zijn geschreven door juristen van de clouddienst en de meeste gebruikers zullen deze niet compleet gelezen hebben (zeker niet de vaak maandelijkse wijzigingen: wie alle wijzigingen in de voorwaarden van Apple wil begrijpen komt niet meer aan werken toe). Gebruikers weten dus niet waar ze juridisch aan toe zijn tot er iets aan de hand is. En zelfs al ben je juridisch eigenaar van je data, daar heb je weinig aan als je niet bij je data komt.

Er is een interessante vergelijking te maken met het portretrecht op foto’s: Als een fotograaf foto’s heeft gemaakt, dan heb jij als geportretteerde bepaalde rechten zoals het mogen verspreiden van de foto. De fotograaf hoeft echter niet mee te werken door negatieven of digitale bestanden te geven. In de praktijk kun je weinig met dit recht en zal je de fotograaf toch moeten betalen voor extra afdrukken. Hetzelfde kan gebeuren met cloudopslag.

Mat Honan: slachtoffer van cloudopslag

De waarschuwing van Steve Wozniak klinkt nog als toekomstmuziek, maar er zijn echter nu al slachtoffers van cloudopslag. Begin augustus werd het Twitteraccount van Wired-journalist Mat Honan gehackt. De hackers wisten niet wie Mat was, maar hadden hem uitgekozen als doelwit vanwege zijn aantrekkelijke korte twitternaam (@Mat).

Om zijn accounts te hacken werd eerst zijn adres op een slimme manier achterhaald via Amazon: door eerst een nieuw adres toe te voegen en daar later accountinformatie naar toe te voegen, kreeg men zijn adres en laatste cijfers van zijn creditcard in handen. Met deze gegevens konden de hackers toegang krijgen tot Mat’s iCloudaccount. Hierin konden de hackers vervolgens veel schade aanrichten: binnen een uur had Mat geen toegang tot zijn laptop, zijn iPad en zijn mobiele telefoon. Ook zijn Twitteraccount werd gehackt en de hackers stuurden vervolgens onzinberichten naar al zijn volgers.

Twitter Mat Honan

Mat maakte gebruik van iCloud. Zijn telefoon, iPad en laptop waren dus gebackupt in de cloud. Dit is een goede bescherming tegen technische problemen en brand, maar maakte hem kwetsbaar voor digitale aanvallen. Via het iCloudaccount kon de hacker de apparaten onbruikbaar maken en zelfs alle data verwijderen. De grootste schade voor Mat Honan zijn de foto’s van zijn opgroeiende dochter. Deze stonden alleen op zijn laptop en in de cloud en zijn nu voorgoed verloren.

Regel je beveiliging goed

Wat kun je hier nu aan doen? Op zich hoef je de cloud niet te vermijden: een online backup biedt een goede bescherming tegen brand en andere incidenten waarbij een deel van een huis verloren is.  Er is echter geen goede bescherming tegen hacks op afstand, omdat het juist een kenmerk van cloudopslag is dat je er van buiten af bij kunt. Een externe harde schijf is een goede en goedkope maatregel tegen dit risico: als je hierop geregeld backups maakt, zal een hacker op afstand deze nooit kunnen verwijderen.

SlotenHet goed regelen van beveiliging is moeilijker. Het is verstandig om niet dezelfde wachtwoorden of zelfs gebruiksnamen te kiezen voor verschillende diensten: hiermee voorkom je dat hackers nadat ze één account binnengedrongen zijn je hele digitale leven overnemen. Helaas is het ook ondoenlijk om altijd nieuwe en sterke wachtwoorden te kiezen en deze voor alle diensten te onthouden. Je kunt alle wachtwoorden en accountnamen opschrijven op papier, als je dit papier dan vervolgens goed opbergt. Dit biedt geen goede beveiliging tegen huisgenoten, maar wel tegen hackers op afstand.

Je kunt ook gebruik maken van tools als 1password of Lastpass om voor elke website een uniek wachtwoord te onthouden. Als je dit niet doet, kies dan in ieder geval aparte wachtwoorden voor de belangrijkste accounts inclusief de clouddiensten.

Grote bedrijven moeten beveiliging serieuzer nemen

Helaas bieden deze adviezen nog geen complete beveiliging: bij de grote bedrijven, in dit geval Apple en Amazon, moet men beveiliging veel serieuzer nemen. De medewerkers moeten zich bewuster worden van de risico’s van hacken en social engineering. Ook moeten sommige diensten beter worden ontworpen. Mat Honan’s laptop kon onklaar gemaakt worden omdat hij de dienst ‘Find my Mac’ gebruikte. Er zitten op dit moment beveiligingsfouten in de dienst waardoor hackers zonder verdere pincode alle data konden verwijden. We zullen dus moeten hopen dat de aanbieders van cloudbackup ook de uitspraken van Steve Wozniak hebben gelezen en ter harte zullen nemen.

Back-up jij je data in de cloud? Of vormt het volgens jou ook een te groot risico? Laat het weten in de comments hieronder!

Interessant?

Lees dan ook onze andere artikelen over , , , , , , , , , , , , , , , .

Reacties

  1. Goed om maar weer eens met de neus op de (mogelijke) feiten en consequenties gewezen te worden. Algemene voorwaarden van 300 pagina’s zijn idd. geen uitzondering en ik klik vrijwel altijd ‘blind’ akkoord aan. Desondanks maak ik zeker gebruik van cloud data / opslag, juist omdat ik er altijd en overal bij kan. Maar dat is dan ook de enige reden – ik maak lokale backups van al mijn belangrijke data op externe HD’s (en vaak nog ‘redundant’ ook). Voor het genereren en opslaan van mijn wachtwoorden gebruik ik trouwens RoboForm.

  2. Op twitter (@sredlums) vraagt men naar de relevantie van portretrecht. Ik zocht een voorbeeld waarin je content wel mag verspreiden en vermenigvuldigen (want dit mag als je in een portret staat), maar dat iemand anders de digitale bestanden heeft die je nodig hebt om dit te doen. Als auteur komt dit nu nog weinig voor. Met alle Cloud-diensten zal dit veel vaker voorkomen buiten portretten, en dat is wat Steve Wozniak bedoelt: dat je wel in naam rechten hebt maar niet de digitale bestanden om ze uit te oefenen, omdat ze in de Cloud staan.

    Om nog een voorbeeld te geven: Bij Flickr kun je upgraden naar Pro, om toegang te krijgen tot je originele ge-uploade bestanden. ik snap dat ze dit doen want een gratis dienst moet ergens van betaald worden, maar betalen voor toegang tot je eigen data voelt toch vreemd.

  3. @Sieuwert van Otterloo: bedankt voor de toelichting, maakt het helderder waarom je juist dit voorbeeld gebruikt. De reden waarom ik het desondanks geen goede vergelijking vind is echter dat in het ene geval (portretrecht) een ander (de fotograaf) de bestanden heeft, maar in het andere geval heb je die bestanden gewoon zelf in bezit. We praten immers over een BACKUP van je bestanden in de cloud, dus de originelen heb je gewoon nog zelf in eigen beheer. Het wordt een ander verhaal wanneer je je bestanden daadwerkelijk OPSLAAT in de cloud, iets wat ik om meerdere redenen dan alleen je rechtspositie zou afraden. Dat er, zoals in het geval van Mat Honan, sprake van kan zijn dat kwaadwillenden van afstand ook jouw eigen lokale bestanden kunnen wissen is een probleem op zich, wat los staat van de gevaren van opslag/backup in de cloud. Dat het hier lijkt of er wel een connectie is komt slechts omdat iCloud een product is wat bestaat uit meerdere onderdelen, waaronder opslag/backup èn een mogelijkheid om van afstand je eigen gegevens te wissen (bijvoorbeeld wanneer een ander je iPhone/iPad/Mac computer gestolen heeft). Het heeft dus slechts in naam met elkaar te maken.

  4. Ik was nogal verbaasd over wat Mat Honan was overkomen. Had voor dat verhaal al al mijn belangrijkste passwords aangepast. Na het lezen van Mat z’n verhaal heb ik extra maatregelen getroffen;

    Twee belangrijke learnings:

    – Zet de dubbele verificatie aan bij o.a. Gmail en Dropbox, zie http://www.readwriteweb.com/archives/how-to-enable-2-factor-verification-on-gmail-and-avoid-getting-hacked.php

    – Maak gebruik van -automatische- backups. Naast externe HD’s ook in de Cloud, bijvoorbeeld Backblaze (voor 4 á 5$ per maand onbeperkt backuppen http://www.backblaze.com/partner/af3729 = affiliate link)

    Gelukkig heeft hij een gedeelte van zijn data terug; hoe? Dat heeft hij hier beschreven: http://www.wired.com/gadgetlab/2012/08/mat-honan-data-recovery/

  5. @sredlums: Je opmerking “iCloud is een product wat bestaat uit meerdere onderdelen” geeft denk ik goed aan waar de discussie zit. Dit maakt het moeilijk om in een keer de mogelijkheden en problemen te zien, en de diensten rond de apple-ID die worden ook steeds verder uitgebreid.

    Ik neem aan dat de meeste mensen belangrijke bestanden maken en bewerken op een echte computer en dan heb je alles in ieder geval lokaal en kun je makkelijk lokaal een backup maken. In de toekomst hebben mensen misschien alleen een iPad en geen ‘echte’ computer. Dan wordt het moeilijk om nog op andere manieren te backuppen.

    We zullen zien of de problemen die Steve Wozniak verwacht zich voor tablets gaan voordoen, en of Apple het dan makkelijker gaat maken om lokaal je data op te slaan. In ieder geval dank voor je reactie.

  6. Beste Sieuwert,

    Ben erg benieuwd wat volgens jou een goedkoop, veilig en serieus alternatief is van backups in de cloud over 5 jaar?

  7. @Bob van der Plas,
    Voorspellen is altijd gevaarlijk, maar bij deze een mogelijk scenario: Ik verwacht dat veel mensen en bedrijven ervoor zullen kiezen om te werken in de Cloud, om thuis te backuppen. Precies andersom dan backuppen in de Cloud.
    Op sommige gebieden doe ik dit nu al: hier bij mijn bedrijf Slideshots staan bepaalde werkdocumenten (marketingmateriaal bijvoorbeeld) in een dropbox. Deze wordt een paar keer per week gebackupt op een harde schijf bij mij thuis.
    Het voordeel van deze manier van werken is dat je wel het gemak en de flexibiliteit van werken in de Cloud hebt, maar toch de zekerheid dat je bij je data kan als de Cloud het niet meer doet.

  8. encrypted backup in de cloud?
    had nog een vraag. Heeft de us regering toegang tot datandie door een amerikaans bedrijf (microsoft) gehost worden in europa? nu met die diensten is het erg gemakkelijk om even wat te sharen, storen. Denk aan 365, sharepoint, skydrive, en alles wat hierbiven wordt genoemd. zelfde case als met Yammer, Google calendar.

    Het werkt allemaal super, en is nodig in je bedrijf, dus je moet wel als je je bedrijf het niet kan bijbenen.

  9. @yzibit. De vraag die je stelt, waar kan de US regering allemaal bij, is moeilijk te beantwoorden. Het probleem is dat de Amerikaanse regering, met name de NSA, erg goed is in het doorbreken van encryptie en het aan de achterkant meeluisteren. Ik heb hier in 2001 uitgebreid naar gekeken omdat ik onderzoek deed naar PGP, en heb me toen ook de boeken van Bruce Schneier (met name “Applied Cryptography”) gelezen. Conclusie toen al was: er is geen manier om erachter te komen of zie iets kunnen, en ze lopen een paar jaar voor op de rest van de wereld. Ik kan je vraag dus eigenlijk niet beantwoorden, en ik denk andere mensen ook niet. Wellicht kan een jurist vertellen of ze erbij mogen.
    Encryptie is overigens een goed idee: er zijn ook anderen dan de US government, en daartegen helpt encryptie goed.

  10. Het enige waar het veilig voor is, is voor de opslag van documenten die je al verstuurd heb. Dan heb je bij het niet aankomen of verlies hiervan altijd een kopie online staan waar je altijd en overal bij kunt om het opnieuw te versturen. Maar bedrijfs- of persoonsgevoelige informatie is hier nooit veilig. Hoe goed je iets ook beveiligd, het is altijd te hacken. Het is niet voor niets dat google miljoenen aan hackers uitlooft om hun nieuw systemen te hacken. En dit zal nooit een cirkel worden maar altijd een spiraal blijven.

  11. 1 backup is geen backup :-) cloud kan je als handig systeem gebruiken maar iedereen die al zijn belangrijke data op een cloud server zet zal het toch ook nog minimaal op 1 andere plek moeten hebben.

    Ik gebruik het voor erbij maar indien mijn cloud crashed heb ik vrijwel alles ook ergens anders.
    Cloud is ontzettend handig maar ik snap niet dat veel mensen er zoveel op vertrouwen.

    En van icloud is het wel erg slecht dat ze niet even een backup voor Mat terug zetten :-P Mag aannemen dat icloud goede backups draait.

  12. Petra Vanwersch |

    Ik wordt steeds lastig gevallen met mails van een zogenaamde My-backup. Ze bestoken niet alleen mijn mailbox, maar ook mijn pc-scherm bij het opstarten. Ik heb ze al verschillende keren vriendelijk verzocht om mij met rust te laten, maar zonder resultaat. Zelfs heb ik al behoorlijk boos gegromd en gedreigd met een rechtszaak, als ze me niet vliegensvlug met rust zouden laten. Toch blijven ze mij mailen en mijn scherm bestormen. Wat kan ik doen om ze kwijt te worden? Kan ik ze voor de rechter dagen? Ik ervaar dit als een ernstige provocatie en privacy verstoring.

  13. Zo lang het mogelijk is zul je mij niet in de cloud zien. Ik wil mijn data lokaal opslaan, zodat ik zelf zo veel mogelijk de controle er over heb. Als je iets in de cloud zet, geef je het uit handen. Als ik thuis/op de zaak de internetkabel uti de pc haal, komt niemand meer bij mijn data van buitenaf, en dat vind ik wel zo’n prettig gevoel.

    1. Uiteraard is het prettig dat alleen jij bij de data kunt, maar als er brand uitbreekt ben je alles kwijt. Als je een bedrijf bent met erg gevoelige data is het zeker belangrijk om over de veiligheid na te denken. Gaat het je om al je prive-fotos en filmpjes is dat natuurlijk veel minder erg.
      bij http://www.backupmypc.nl kun je al je fotos en filmpjes al kwijt voor 25 euro per jaar. Het wordt dan gecrypt opgeslagen bij Livedrive in Engeland.

Plaats een reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn met een * aangegeven.

Verschijnt je reactie niet, dan is deze mogelijk in de spam terechtgekomen. Mail ons dan even!