De Hydra van Lerna en informatie beveiliging

6 april 2014

Informatie Beveiligers bevechten een veelkoppig monster (de Hydra van Lerna uit de Griekse mythologie), dat alleen verslagen kan worden als specialisten en experts van alle noodzakelijk disciplines samenwerken en samen aanvallen ... en vooral nadat ze de moeite namen elkaars taal te verstaan. Ik wil u vandaag een beetje mee terug nemen in de tijd, om duidelijk te maken dat samenwerking, elkaars taal leren spreken en vertrouwen opbouwen tijd kost. Ik wil hier nadrukkelijk wijzen op het belang daarin tijd te investeren, ook al wil je vaak sneller vooruit.

Het IIP-VV, het ICT-Innovatie Platform “Veilig Verbonden” is een publiek - private samenwerking en had bij de oprichting als primaire doel --en nog steeds--:

  • het versterken, uitbouwen van security onderzoek in Nederland
  • en dit onderzoek meer aan laten sluiten bij vragen vanuit industrie, marktpartijen en eindgebruikers.
     

De ambitie was en is om *als* IIP die publiek-private samenwerking meer te benadrukken en het platform als een open community te positioneren.

Wij geloven dat de complexer wordende problemen, die we op het gebied van de Informatie Beveiliging vandaag de dag ervaren EN de komende jaren nog zullen
Ontdekken, alleen opgelost kunnen worden door een brede samenwerking. Er is geen plaats meer voor eiland denken. In een wereld die veranderd zullen wij ook mee moeten veranderen.

Historisch gezien werd het fundament gelegd van onze huidige activiteiten door het Sentinels programma waarin vanaf 2004 (10 jaar geleden!) fundamenteel onderzoek gedaan werd op de meer technische onderwerpen van de Informatie Beveiliging. Hier werd met €8,4M (2005, 2007, 2009) uit bijdragen van EZ, STW, NWO Exacte Wetenschappen en ICTRegie 16 projecten uitgevoerd tussen 2004 en nu. Daaraan namen zo'n 7 universiteiten en andere kennisinstellingen, zeker 18 bedrijven en diverse overheidsinstellingen deel. En zo ontstond het begin van een community. Nog voor dat dat hip en in de mode was.

Vanuit die community ontstond ook het besef dat voor het oplossen van de toekomstige problemen een bredere aanpak noodzakelijk was. Dat resulteerde in 2007 (aangemoedigd door het tijdelijk ICT regieorgaan) in de oprichting van het IIP-VV. Een gezamenlijk initiatief van mensen van onderzoeksinstellingen, bedrijven en de overheid. Samen schreven ze dat jaar de eerste strategische research agenda (SRA2007). Binnen deze community groeide ook het besef dat met het wegvallen van de financiering vanuit Sentinels eind 2009, de net prille samenwerking tussen diverse universiteiten en bedrijven uiteen dreigde te vallen. Terwijl de problemen niet kleiner werden, maar zich eerder verbreden buiten het technische domein en een grotere maatschappelijke impact begonnen te krijgen. Dit soort publiek - private (onderzoeks)samenwerking kan --zeker in het begin-- niet overleven zonder financiële steun van de overheid.

Om een lang verhaal kort te maken, er werd besloten om een nieuwe, en dan vooral op CYBER SECURITY gerichte research agenda op te stellen, die wat onderwerpkeuze betreft breder was (niet puur technisch) en daarbij aan te sluiten op de Nationale Cyber Security Strategie, waarvan op dat moment de eerste versie werd geschreven.

De hoofd thema's van deze eerste NCSRA waren:
 1. Identity, privacy & trust
 2. Malware
 3. Forensics
 4. Data & Policy management
 5. Cybercrime/ underground economy
 6. Risk management
 7. Secure design & engineering
 8. Operationele cyber capaciteit
Dus duidelijk ook een aantal niet-technische thema's.

Deze agenda vond brede steun in het veld; veel bedrijven, de CSR en VNO/NCW steunden de aanpak. En dat was voor 4 ministeries, STW en NWO Exacte Wetenschappen aanleiding om op basis van deze agenda in 2012 een call for proposals te organiseren voor korte en langere termijn onderzoek. Belangrijke randvoorwaarde daarbij was de samenwerking in elk voorstel tussen academische onderzoekers en bedrijven. Er moest een duidelijk gedefinieerde bijdrage vanuit die bedrijven zijn om te kwalificeren.

Met deze nieuwe bredere agenda kon verder gewerkt worden aan het uitbouwen van deze publiek - private samenwerking. Dat er behoefte was en belangstelling vanuit zowel de universitaire wereld als vanuit het bedrijfsleven blijkt uit de totaal 69 project voorstellen die, voor de €6,5M die beschikbaar was, werden ingediend. Kijken we naar de cijfers dan zien we:

  • korte termijn voorstellen (SBIR); 1e fase (haalbaarheidsstudie) 19 goedgekeurd (en voor de tweede fase daarvan 8 uiteindelijk over gebleven). hierbij waren 70 bedrijven betrokken, 42 onderzoekers en 50 eindgebruikers.
  • lange termijn voorstellen (NWO); dit soort voorstellen lopen over een periode van 4 jaar. Daar werden 9 van de 23 voorstellen gehonoreerd.

Zowel in het korte als in het lange termijn onderzoek zijn voorstellen in alle categorieën gehonoreerd. Bij de korte termijn zagen we als uitschieters thema's 1 (Identity, privacy & trust) en 6 (Risk management) en bij de lange termijn 2 (Malware) en 7 (Secure design & engineering). Het werkt dus en was een groter succes dan verwacht. Inmiddels is er een tweede versie van de NCSRA geschreven (NCSRA-II genoemd), verrijkt met ervaringen naar aanleiding van de eerste versie en wederom aangesloten bij de tweede versie van de NCSS.
 

Opnieuw zijn door NWO (EW, MaGW, STW) en nu 6 ministeries middelen beschikbaar gesteld voor een call/tender. Het bedrag is ongeveer gelijk gebleven met €6,5M, maar het aantal indieners is toegenomen. Ook zien we meer disciplines en meer bedrijven deelnemen.  Dit past enerzijds in het tijdsbeeld dat er meer belangstelling is voor beveiliging in het cyber domein, maar anderzijds ook dat de bewustwording breder is geworden dat we samen aan het probleem moeten werken om oplossingen voor de problemen van de toekomst te blijven vinden.
Als IIP-VV streven we er naar om dit verder te bevorderen, onder meer door een symposium te organiseren op 2 juni aanstaande voorafgaand aan de twee-daagse NCSC conferentie om de community, die zich aan het vormen is, bij elkaar te laten komen en kennis te laten nemen van elkaars resultaten. Het is een open community, dus U bent daar allen ook van harte welkom. Naast de resultaten van de twee eerdergenoemde calls en van het Sentinels programma zal er ook aandacht zijn voor de projecten die samen met DHS worden georganiseerd waarin in onderzoekers aan twee kanten van de Atlantisch Oceaan met elkaar samenwerken.

We zijn vanuit het IIP dus voornamelijk bruggenbouwers.

  1. Bruggen tussen de verschillende financiers die zich allen achter één agenda hebben geschaard: Min EZ, VenJ, Defensie, BZK, IenM, Financiën; en NWO. Verspilling van geld door concurrerende programma's zou in deze tijd van schaarse middelen immers zonde zijn.
  2. Bruggen tussen wetenschappers van verschillende disciplines (er zijn er nog niet genoeg, maar het begin is er).
  3. Bruggen tussen universiteiten en overige kennisinstellingen zoals TNO en NCSC, bruggen tussen onderzoekers en ondernemers (zowel privaat als publiek).
  4. Bruggen tussen lange en korte termijn onderzoek en de toepassing ervan om een veiliger samenleving te realiseren.

We gaan samen het veelkoppige monster te lijf.

We realiseren ons allemaal dat beveiliging achter loopt op de technologische ontwikkelingen van dit moment, maar we moeten er vooral voor zorgen DAT WAT TECHNOLOGISCH KAN, NIET GAAT BEPALEN WAT MOREEL AANVAARDBAAR IS. Veel techniek komt tot ons uit andere delen van de wereld waar andere morele normen en ethische uitgangspunten gelden, we zullen zelf moeten blijven ontwikkelen en onderzoeken om het passend te krijgen en te houden voor ONZE samenleving.

Dank u wel voor uw aandacht.

 

Dick Brandt, voorzitter IIPVV @ Side Event TedX Binnenhof, 31 maart 2014