Organisatie - 28 maart 2014

Gmail komt er niet in

tekst:
Roelof Kleis
3

Groningse toestanden met Gmail blijven bij Wageningen UR buiten de deur. Wageningen blijft baas over de eigen mail. Veiligheid speelt daarbij een voorname rol.

Dat zegt security-manager Raoul Vernede. De Rijksuniversiteit Groningen wil de e-mail van alle wetenschappers en studenten bij Gmail onderbrengen. Tegen de zin van een deel van de onderzoekers die vreest dat Google mogelijk gevoelige informatie in handen krijgt. De Volkskrant schrijft daar vandaag over.

De universiteit in Groningen wil tonnen besparen door alle e-mail over te zetten. Vier onderzoeksgroepen van de faculteit wiskunde en natuurwetenschappen eisen een alternatief. Ze zijn bang dat patenteerbaar onderzoek uitlekt, maar hebben ook meer algemene privacy bezwaren. Google analyseert op grote schaal mailgegevens om aan adverteerders te verkopen. Bovendien kan de Amerikaanse overheid bekijken wat er op de servers wordt bewaard.

De RUG is niet de enige onderwijsinstelling die voor Google kiest. Volgens de Volkskrant loopt de studentenmail bij elf hogescholen en universiteiten al via Gmail. Wageningen UR is daar niet bij, zegt Vernede. Een belangrijk argument om niet met Google in zee te gaan is de veiligheid. ‘Wij hebben niet alleen met studenten, maar ook met DLO te maken en daar is het belang van geheimhouding en veiligheid veel groter.’

‘Wij hebben bovendien een sterke ict-afdeling en houden de zaken liever in eigen hand’, zegt Vernede. Maar hij voegt er meteen aan toe dat veiligheid relatief is. ‘Als geheime diensten ergens achter willen komen, dan gebeurt dat toch wel. Dat is niet tegen te houden. Lees het nieuws van de afgelopen tijd er maar op na.’ Veel studenten hebben overigens zelf al een Gmail-account, al of niet gekoppeld aan die van Wageningen UR.'

 

 

Re:acties 3

  • Raoul Vernede (security manager)

    De e-mail voorziening van Wageningen UR maakt gebruik van eigen Microsoft Exchange servers die geplaatst zijn in Wageningen. Om te voorkomen dat medewerkers en studenten spam, phishing of computervirussen per e-mail ontvangen maken we gebruik van e-mail filters. Een van deze filters is een cloud dienst van Microsoft genaamd FOPE (zie http://en.wikipedia.org/wiki/Exchange_Online_Protection). Bigfish is één van de virtuele servers die onderdeel is van de FOPE omgeving. Omdat steeds meer medewerkers en studenten gebruik maken van een eigen computer of smartphone neemt de kans toe dat per ongeluk ook virussen worden verstuurd per e-mail. De reputatieschade voor Wageningen UR kan erg groot zijn indien dit gebeurd. Om deze reden controleert FOPE niet alleen inkomende e-mail maar ook uitgaande e-mail op virussen en spam. E-mails die verzonden wordt tussen medewerkers en studenten met een @wur.nl e-mail adres worden niet door FOPE gefilterd.

    FOPE controleert dus alle in- en uitgaande e-mails. E-mails die over het Internet gaan zijn regulier niet encrypt/versleuteld en zijn daardoor relatief makkelijk te onderscheppen door bijvoorbeeld geheime diensten van overheden.
    Het risico dat iemand Internet e–mails onderschept is dus altijd aanwezig. In de afweging van de keuze om spam filtering via FOPE te laten verlopen speelde met name de eis mee dat spam filtering 24 uur x 7 dagen week moet plaats vinden. Voor FB-IT is het zeer kostbaar om dit te realiseren (meerdere beheerders in ploegendiensten). FOPE voegt dus niet het risico op afluisteren toe, dit risico is altijd aanwezig.

    De Microsoft FOPE servers staan in Ierland. Microsoft is een Amerikaans bedrijf en valt zodoende onder de Patriot Act (zie http://nl.wikipedia.org/wiki/USA_PATRIOT_Act). Zie ook de SURF publicatie: http://www.surf.nl/kennis-en-innovatie/kennisbank/2012/onderzoeksrapport-clouddiensten-in-hoger-onderwijs-en-onderzoek-en-de-usa-patriot-act.html

    Indien men het risico op openbaarheid van e-mails (en de bijlagen!) wil reduceren dan kan gebruik gemaakt worden van encryptie/versleuteling van e-mails. Zoals PGP (zie http://nl.wikipedia.org/wiki/Pretty_Good_Privacy) of SMIME. In de praktijk werkt dit echter lastig en wordt het slechts beperkt gebruikt. Als tip wil ik meegeven om zonder extra beveiligingsmaatregelen nooit geheime informatie over het Internet per e-mail te versturen. Stuur dus nooit een wachtwoord of zeer waardevolle onderzoeksresultaten per Internet e-mail zonder dat extra maatregelen genomen zijn om deze informatie te beveiligen.

    Met vriendelijke groet,

    Raoul Vernède

    Reageer
  • Rolf

    Inderdaad wel interessante vraag die Jan oproept,
    waarom gaat dat allemaal via BigFish als vertrouwelijkheid en niet-USA zo belangrijk wordt gevonden?
    Op intranet bij FB-IT is hierover niets terug te vinden.

    Reageer
  • Jan van Haarst

    Eh, maar waarom gaat dan alle in en uitgaande mail wel via een (antispam) server van Microsoft in de VS ?
    Die mail komt dan toch ook gewoon in het bereik van de lokale overheid daar ?

    Dit argument lijkt me dus niet helemaal te kloppen.

    Reageer

Re:ageer