Sentinels is een diepte-investering

25 augustus 2012

Elke dag is er wel nieuws over security. Beveiliging van persoonsgegevens in biometrische paspoorten, aanvallen op servers van banken waardoor internetbankieren tijdelijk onmogelijk is, privacyvraagstukken rondom het elektronisch patiëntendossier. ‘De initiatiefnemers van Sentinels hadden de juiste intuïtie en visie over het belang van het opbouwen van kennis op dit gebied’, zegt voorzitter van de programmacommissie prof. dr. Willem Jonker. ‘ICT dringt steeds meer door tot in de haarvaten van de samenleving. En daarmee zijn vragen over wie wanneer op welke manier toegang moet kunnen krijgen tot informatie zeer actueel.’

‘Het initiatief voor het Sentinels-programma is rond 2003 genomen door Bart Jacobs van de Radboud Universiteit Nijmegen, Pieter Hartel van de Universiteit Twente en Rik Janssen van Technologiestichting STW. Zij wilden het security-onderzoek in Nederland een impuls geven. Achteraf kun je zeggen dat ze in een heel vroeg stadium de huidige uitdagingen en het belang van dit veld hebben onderkend.’


Prof. dr. Willem Jonker, CEO van EIT ICT Labs, deeltijd hoogleraar aan de universiteit Twente, en voorzitter van Sentinels  

Security is nu een veelomvattend veld. Bedrijven en academia buigen zich over vragen als: Hoe bescherm je privacy van mensen? Hoe voorkom je spionage bij bedrijfsnetwerken? En hoe kun je ervoor zorgen dat mensen vertrouwen (blijven) hebben in online omgevingen? In een onlangs gestart onderzoeksprogramma Cyber Security worden dit soort vragen voor de lange termijn bestudeerd.

Jonker ziet een duidelijke relatie tussen Sentinels en dit nieuwe programma: ‘Mede door Sentinels hebben we nu het netwerk en de hoogopgeleide mensen om nieuwe initiatieven zoals het Cyber Security programma te kunnen definieren en bemensen.’ Want Jonker laat er geen twijfel over bestaan: de belangrijkste opbrengst van Sentinels zijn de aio’s die binnen het programma gepromoveerd zijn. ‘Een van onze doelen was om goed opgeleide security mensen af te leveren. En die zijn nu heel hard nodig. Je ziet dat ICT steeds verder in alle facetten van de maatschappij doordringt. We zijn in zo’n veertig jaar van een centralistisch mainframe, via een pc in de huiskamer, naar computers in onze broekzak gegaan. En de laatste smartphones zijn inmiddels even krachtig als die gekoelde monsters van weleer.’

Groeiende behoefte aan experts

Die ontwikkeling zorgt voor een groeiende behoefte aan security-experts, stelt hij. ‘Overal is computerkracht, in de kleinste dingen. Denk maar aan RFID tags. Ook netwerken nemen toe in kracht en verspreiding. Als je onderweg bent heb je vrijwel overal toegang tot Wifi, en met een data-abonnement ben je helemaal overal en altijd aangesloten op het internet. Met een omgeving die er zo uitziet, circuleert informatie vrijwel onbeperkt en zijn er talloze mogelijkheden om gedrag van mensen te monitoren en te analyseren. Dit vraagt om experts die nadenken over en werken aan oplossingen hoe je zorgvuldig om moet gaan met deze enorme hoeveelheid informatie.’
Dit betekent nadenken over heel uiteenlopende aspecten. ‘Je krijgt te maken met vertrouwen, privacy en monitoring. Wat mag wel, en wat mag niet? Wie bepaalt wie toegang heeft tot welke informatie? En hoe verifieer je dat deze afspraken ook worden nagekomen?’ Dat is de hoofdmoot van het security-veld, benadrukt Jonker. ‘Tsja, en dan heb je nog het spannende jongensboekverhaal, het rode oortjesdomein: het dievengilde. Dat is binnen de security absoluut niet de hoofdmoot, maar daar gaat vaak wel de meeste aandacht naar uit in de media.’
Jonker ziet daar wel grote verbeteringsmogelijkheden voor de toekomst. ‘Er is een soms schokkend gebrek aan kennis binnen organisaties. Binnen de ICT laten mensen de deuren vaak wagenwijd open staan. Als je dat in de fysieke wereld zou doen, weet iedereen dat dat niet handig is. Maar in de elektronische wereld heeft lang niet iedereen dat in de gaten. Er is veel te winnen door mensen te leren hoe ze daar mee om moeten gaan. Maar dan hebben we eerst experts nodig die kunnen laten zien hoe je netjes die deur dicht moet doen.’ Jonker noemt een simpel voorbeeld. ‘Hoe vaak zijn er wel niet hacks op wachtwoorden? Dan beveiligt een organisatie netjes alles met wachtwoorden, maar zet die wachtwoorden vervolgens onversleuteld in een document op een server. Dat kan slimmer.’

Bedrijfsleven en academia

Een tweede doel van Sentinels was het bevorderen van samenwerking tussen bedrijfsleven en universiteiten op het terrein van security. In hoeverre is dat gehaald? ‘In het begin ging dat moeizaam, maar in de tweede fase van het programma hebben we belangrijke stappen gezet om die betrokkenheid vanuit het bedrijfsleven te vergroten. Met name kleinere bedrijven bleken minder makkelijk in staat mee te doen. Het kost hen veel tijd en geld, en ze krijgen er in verhouding niet zoveel voor terug.’

Om dat gat te dichten, besloot de programmacommissie om deelnemende bedrijven in beperkte mate financieel tegemoet te komen. ‘We gooiden als het ware een spierinkje uit om een haring te vangen. Dit soort programma’s zit voor bedrijven toch vooral in de lange termijn van de bedrijfsstrategie. Een goede aansluiting met het veld is essentieel voor hun core business op termijn, maar de betreffende projecten zijn nooit precies wat ze vandaag zelf zouden willen onderzoeken. Bedrijven moeten meestal flink in de buidel tasten, met weinig zekerheid over wat het gaat opleveren. Door hen beperkt te compenseren voor hun investering, kun je ze makkelijker over de streep trekken.’ Jonker is achteraf zeer tevreden met dit model. ‘Het was heel succesvol, de bedrijfsparticipatie nam sterk toe. En uiteindelijk zie je dat die investering zich ruimschoots heeft terugbetaald.’

Als de voorman moet samenvatten wat de belangrijkste resultaten van Sentinels waren, hoeft hij niet lang na te denken. ‘We hebben hoogopgeleide mensen afgeleverd, kennis gegenereerd en bijgedragen aan het opbouwen van de huidige sterke security community in Nederland. Zeer recent heeft dat bijvoorbeeld geleid tot de Nationale Cyber Security Research Agenda en het huidige Cyber Security onderzoeksprogramma.’

‘Maar’, zegt hij, ‘succes heeft vele vaders. De huidige sterke security community en kennisopbouw in Nederland is ook voor een groot deel te danken aan het ICT-Innovatieplatform Veilig Verbonden, een van de meest succesvolle IIPs van ICTRegie. ICTRegie heeft bijvoorbeeld via het IIP Veilig Verbonden financieel bijgedragen aan de derde fase van Sentinels.’
‘Sentinels was vooral een diepte-investering in de kenniseconomie op dit gebied. Als je toppers wilt hebben, moet je ook zorgen voor een brede basis.’ Met name over dat laatste heeft Jonker wel wat zorgen. ‘Het is niet zo dat het ecosysteem dat nu gebouwd is zichzelf zomaar in stand houdt. Het moet gevoed blijven worden, ook door de overheid. In Nederland kunnen we nog veel leren van de landen om ons heen waar meer stabiele en consistente publiek-private R&D investeringen zijn, zeker waar het gaat om ICT. Het is van groot belang voor onze concurrentiepositie op langere termijn te blijven investeren in R&D in gebieden als security en ICT. Deze vakgebieden zijn zeer toekomstgericht, ontwikkelen zich snel en hebben een groot maatschappelijk belang.’

 

Foto: Sjoerd van der Hucht Fotografie
Tekst: Sonja Knols, IngenieuSe