Eindsprint van de nieuwe onderzoeksagenda digitale veiligheid

16-04-2018

Op 5 juni wordt de derde editie van de National Cyber Security Research Agenda (NCSRA-III) gepresenteerd. Op donderdag 12 april discussieerden cybersecurity-onderzoekers en experts van universiteiten, overheidsinstellingen en bedrijven over de laatste fijnafstemming van deze nieuwe onderzoeksagenda op het terrein van digitale veiligheid. 

Computervirussen, gegijzelde computers, hacking, DDOS-aanvallen, phishing, digitale spionage ‑ allemaal bedreigingen van de digitale veiligheid van burgers, bedrijven en overheden die bijna wekelijks het nieuws halen. Omdat we in ons dagelijks leven in de afgelopen twee decennia steeds afhankelijker zijn geworden van digitale diensten, zijn we ook kwetsbaarder geworden voor dit soort bedreigingen.

Om de Nederlandse digitale samenleving te beschermen, ontwikkelen cybersecurity-onderzoekers nieuwe beveiligingen. De National Cyber Security Research Agenda (NCSRA) is bedoeld als leidraad voor publiek-private samenwerking binnen het nationale onderzoek naar digitale veiligheid. In 2011 werd de agenda voor het eerst opgesteld, in 2013 gevolgd door de NCSRA-II. 

Vijf jaar na de tweede editie wordt er hard gewerkt aan een opvolger, de NCSRA-III. Op donderdag 12 april discussieerden stakeholders over de eerder dit jaar opgestelde conceptteksten van de agenda. Onder de 90 deelnemers waren veel academische onderzoekers, maar ook deskundigen uit het bedrijfsleven (o.a. Philips, KPN, NXP, Secura, Rabobank) en vertegenwoordigers van ministeries, TNO, VNO-NCW, de politie en de rechterlijke macht.

De NCSRA-III is onderverdeeld in vijf onderzoekspijlers: beter ontwerp, betere verdediging, betere organisatie, beter begrijpen van aanvallen en meer privacy. Bij elke pijler geeft de agenda uitdrukkelijk aan wat de verbanden zijn met de andere pijlers. “De agenda van vijf jaar geleden was meer verkokerd”, vertelt dagvoorzitter Wim Hafkamp, chief information security officer bij de Rabobank (en voorzitter dcypher adviesraad). “Toen hadden we negen thema’s die grotendeels onafhankelijk van elkaar werden bestudeerd. De wereld ziet er nu anders uit en wij proberen daar op in te spelen door nadrukkelijk te kijken naar de verbanden tussen de vijf pijlers. Een voorbeeld van een verschil tussen de nieuwe agenda en de vorige is dat we nu meer oog hebben voor de psychologische kant van cybersecurity, het veranderen van gedrag bijvoorbeeld, en niet meer alleen naar de technische kant kijken.”

Jaap-Henk Hoepman, principle scientist van het Privacy & Identity Lab, noemt twee manieren waarop het speelveld van digitale veiligheid in de afgelopen vijf jaar is veranderd: “Allereerst is onze samenleving veel afhankelijker geworden van ICT dan vijf jaar geleden. Ten tweede kunnen we er tegenwoordig maar beter van uit gaan dat er geen honderd procent veilige digitale infrastructuur bestaat. Ga er maar vanuit dat systemen zijn aangevallen en dat de aanvaller binnen is. Als dat een gegeven is, hoe kunnen we ons dan het beste beschermen?”

Na een plenaire sessie waarin de vijf onderzoekspijlers kort worden ingeleid door een universitaire onderzoeker, staat de middag in het teken van discussie. Bij elke pijler worden twee opeenvolgende discussierondes georganiseerd, zodat elke deelnemer zijn of haar commentaar op twee pijlers kan geven. Aan het eind van de middag doen de discussievoorzitters verslag van de voornaamste op- en aanmerkingen.

De pijler ‘Beter ontwerp’ gaat uit van het idee dat veel veiligheidsproblemen te voorkomen zijn door systemen en diensten van begin af aan te ontwerpen met veiligheid als een van de prioriteiten: security by design heet dat. Bij de aftrap merkt Erik Poll van de Radboud Universiteit Nijmegen op dat iedereen de afgelopen jaren wel heeft gesproken over security by design, maar dat daar in de praktijk vaak nog te weinig van terecht komt. Een belangrijk punt dat in de discussieronde naar voren komt, is dat toch vooral de eindgebruiker niet vergeten moet worden. 

De pijler ‘Betere verdediging’ gaat over het voorkomen en detecteren van aanvallen, maar ook over het reageren op en het herstellen van aanvallen. De grote uitdaging is hier om de efficiëntie en effectiviteit van alle defensieve middelen sterk te vergroten, vertelt Luca Allodi van de TU Eindhoven. 

‘Betere organisatie’ is de derde pijler. Deze pijler richt zich op de eigenaren van systemen en diensten, te weten burgers, bedrijven en overheden. Hoe gaan zij om met de beschikbare technische mogelijkheden om digitale veiligheid te verbeteren? Deze pijler trekt verreweg de meeste discussiedeelnemers, waaronder mensen van TNO, VNO-NCW, de politie en justitie.

Enkele opmerkingen gaan over het concept van ‘veiligheid’. Veiligheid heeft een subjectieve component, die per definitie niet objectief meetbaar is. Maar daarnaast zijn er relatief weinig harde gegevens over de component van veiligheid die wel meetbaar is. 

Kees Neggers, voormalig directeur van Surfnet en een van de vier Nederlanders die is opgenomen in de Internet Hall of Fame, uit zijn zorgen over het feit dat dieper liggende oorzaken van digitale bedreigingen te weinig aangepakt worden. Zo bevat het huidige ontwerp van het internet lekken die volgens hem gedicht zouden moeten worden. Technisch kan dat, maar daar wordt nauwelijks in geïnvesteerd.

Vanuit het bedrijfsleven klinkt de zorg dat het lastig is om vooral MKB-ers ‑ en die vormen samen 95% van het Nederlandse bedrijfsleven ‑ in beweging te krijgen: het bewustzijn van digitale veiligheid is er wel, maar het ontbreekt aan concrete actie. Als adviseur wetenschap en onderwijs bij de politie merkt Theo Jochoms ten slotte nog op dat er veel aandacht uit gaat naar het verdedigen tegen cyberaanvallen, maar dat er weinig aandacht uitgaat naar opsporing. 

De vierde pijler, ‘Beter begrijpen vanaanvallen’, bestudeert zwakheden in ontwerpen, protocollen, systemen, verdedigingsmaatregelen, enz.. Zonder kennis van zwakheden kunnen wij ons niet verdedigen. Ook de menselijke factor krijgt aandacht. Door het blootleggen van de psychologie van de aanvaller kan ook de verdediging weer worden verbeterd. Zo zouden bijvoorbeeld botnets voortijdig kunnen worden uitgeschakeld. 

De vijfde en laatste pijler ‑ ‘Meer privacy’ ‑ sluit aan bij het feit dat privacy in de EU een fundamenteel recht is dat bij wet beschermd is. En net als bij het streven naar security by design zou ook gestreefd moeten worden naar het ontwerpen van ICT-toepassingen waarbij vanaf het begin privacy een prioriteit moet krijgen: privacy by design. De discussieronde brengt onder andere naar boven dat bij privacy ook identiteitsmanagement hoort: het bewijzen dat iemand is wie hij zegt te zijn. Een tweede interessant discussiepunt, zo brengt hoogleraar cybersecurity governance Bibi van den Berg van de Universiteit Leiden in, is dat het begrip privacy niet alleen in de enge zin van het individu bekeken moet worden, maar in de bredere zin van een gemeenschap of een organisatie. Sommige zaken willen mensen heel graag delen, andere zaken juist helemaal niet of slechts met enkelingen. En de ideeën over privacy zijn in de loop van de tijd ook veranderd, maar daar is nog weinig studie naar verricht.

Alle op- en aanmerkingen die in de discussiemiddag ter sprake zijn gebracht, worden zorgvuldig gewogen, besluit Jan Piet Barthel, directeur van dcypher (het Dutch Cybersecurity Platform Higher Education and Research), de organisator van de discussiemiddag. Voorstellen voor wijzigingen kunnen nog tot 23 april worden ingediend. Waar nodig worden de conceptteksten van de NCSRA-III daarna nog aangepast. Op 5 juni wordt de derde editie van de National Cyber Security Research Agenda gepresenteerd in perscentrum Nieuwspoort in Den Haag.

Tekst: Bennie Mols, wetenschapsjournalist
Foto's: Thijs ter Hart