Er is meer samenwerking en onderzoek nodig om cybersecurity incident response naar een hoger niveau te tillen. Daarom organiseerde het NCSC afgelopen oktober met trots het onderzoekssymposium: Let’s do Cybersecurity Research Together. Dit symposium draait om het verbinden van multidisciplinair academisch en toegepast onderzoek(ers) met de professionals die dagelijks bezig zijn met het voorkomen en afhandelen van cybersecurity incidenten. Het evenement was voor ons een groot succes met op het hoogtepunt meer dan 120 kijkers, enthousiaste sprekers en mooie reacties van deelnemers, zoals ‘inspiring, thought-provoking, awesome en innovative’. Hieronder treft u een terugblik op beide dagen. Het is ook mogelijk de opnames terug te kijken. Mocht u de opnames willen ontvangen of met ons willen samenwerken, mail ons dan op research@ncsc.nl.
Dag 1
Hans de Vries, directeur NCSC, opende het symposium en benadrukte hoe belangrijk meer samenwerking en gezamenlijk onderzoek is voor het verbeteren van cybersecurity incident response. Het NCSC houdt zich dagelijks bezig met het digitaal veiliger maken van Nederland. Daarvoor begrijpen wij de kwetsbaarheden en dreigingen in het digitale domein, verbinden wij partijen, kennis en informatie en voorkomen wij maatschappelijke schade. Multidisciplinair onderzoek en de verbinding tussen de wetenschap en de professionals die dagelijks met cybersecurity bezig zijn, is hierbij van cruciaal belang.
In de keynote ging Dr. Jeroen van der Ham, senior onderzoek bij het NCSC en Associate Professor aan de Universiteit Twente, in op de NCSC onderzoeksagenda en hoe wij de toekomst van cybersecurityonderzoek bij het NCSC voor ons zien. De afgelopen twee jaar hebben wij gewerkt met een thematische onderzoeksagenda met een focus op crisismanagement, risicomanagement, technologie en de strategische en sociale aspecten van cybersecurity. Dit heeft geleid tot diverse onderzoeksresultaten die u hier kunt vinden. De komende tijd zullen wij werken aan de opvolger van onze huidige onderzoeksagenda die een focus zal hebben op het thema ‘incident response’ in den brede zin. Kijk vooral de opname terug als u hier alvast een preview van wilt horen.
Vervolgens was het de beurt aan Dr. Tommy van Steen en Dr. Els De Busser van de Universiteit Leiden. Zij hebben namens het NCSC een literatuurstudie gedaan naar security by behavioural design en hoe dit toegepast wordt in de ontwikkeling van soft- en hardware. “The aim of security by (behavioural) design is to design systems in such a way that the user of the system is more likely to behave in a secure manner”. Hierbij speelt nudging een belangrijke rol door keuzes te herstructureren in hoe ze gepresenteerd worden aan de gebruiker. Een voorbeeld uit de praktijk laat zien dat 37% van de gebruikers voor de veiligere optie kozen als ze zagen dat hun vrienden dat ook deden. Veel organisaties die cookies op hun website gebruiken, nudgen gebruikers juist vaak de onveiligere kant op (alle cookies accepteren vs. alleen functionele cookies accepteren) zodat ze een volledige functionerende website kunnen tonen. Wij zullen de komende tijd een vervolg geven aan dit literatuuronderzoek middels een ethnografische studie naar het gebruik van security by behavioural design in de praktijk.
Belangrijk om te onthouden is dat “security at the starting line, no guarantee is for security in the race”. Een holistische benadering van cybersecurity by integrated design is nodig om zowel technische als niet-technische aspecten mee te nemen in het ontwikkelen van hard- en software. Het project C-SIDe geleid door Dr. Els De Busser zal hier de komende jaren onderzoek naar doen. Voor meer informatie kunt u contact opnemen via e.de.busser@fgga.leidenuniv.nl.
Na de pauze volgde een presentatie van TNO en Sander Zeijlemaker over het kwantificeren van cybersecurityrisico’s en hoe dat mogelijk is. TNO heeft de afgelopen twee jaar onderzoek gedaan naar hoe cybersecurityrisico’s mogelijk te kwantificeren zijn met behulp van de methode Bayesian Belief Networks (BBN). Er is een basismodel ontwikkeld waarmee organisaties op basis van dreigingen en hun weerbaarheid tegen die dreigingen een kwantitatieve risico inschatting te kunnen maken. In een aantal case studies met doelgroeporganisaties is dit model gebruikt om de bruikbaarheid te testen en te kijken of kwantificering van risico’s mogelijk was. Dit blijkt in de praktijk best lastig vanwege het ontbreken van gegevens en concrete incidenten. Het onderzoek loopt door tot in 2022 en zal middels een factsheet een handreiking bieden voor organisaties om zelf te kijken naar het kwantificeren van hun cybersecurityrisico’s.
De dag eindigde met een discussie georganiseerd door iPartnerschap over het belang van promovendi bij de Rijksoverheid. Ervaringsdeskundigen Tom Meurs en Kris Oosthoek gingen onder leiding van moderator Frits Bussemaker in gesprek met Alexander Hielkema, programmanager en Prof. Dr. Sjaak Brinkkemper. Er werden interessante tips en tricks gedeeld, zoals dat een PhD eigenlijk een uit de hand gelopen hobby is. Het rijksbrede Rijks I-Doctoraatsprogramma cybersecurity van I-Partnerschap helpt bij het opleiden en werven van hooggeschoold cybersecuritytalent. Meer informatie over het programma en hoe u kunt bijdragen, vindt u hier.
Dag 2
In de keynote op dag 2 bood Dr. Corinne Cath in haar presentatie ‘We have met the enemy’ een inkijkje in haar antropologische PhD-onderzoek over cybersecurityculturen en in het specifiek bij de Internet Engineering Task Force (IETF). Haar conclusies leverde een aantal controversiële uitspraken op, waaronder “in many ways, the IETF is homogonist, somewhat insular, conservative, and committed to a narrow set of liberal values”, “an unofficial mantra of loud men talking loudly” en “just because an organisation is technically accessible does not mean it is culturally open”. Haar oproep is om meer bewust te zijn over wie uitgesloten is/wordt van deelname. Het is aan iedereen die in cybersecurity werkt om te werken aan diversiteit en inclusiviteit in dergelijke organisaties en op de werkvloer. Stel jezelf de vraag: “are you open or obnoxious?”. Meer weten? U kunt contact met Dr. Corinne Cath opnemen via haar website.
Het eerste panel op dag 1 georganiseerd door dcypher bood een inzicht in de eerste twee roadmaps Cryptocommunicatie en Automated Vulnerability Research (AVR) waarmee het nieuwe platform aan de slag is gegaan. Hierbij benadrukten de panelleden meermaals dat samenwerking in het publiek-private domein essentieel is om de meeste toegevoegde waarden te bieden. Meer weten over dcypher of contact opnemen? Dat kan via de website.
Het laatste panel van dit symposium beargumenteerde de kracht van internet standaarden. Het panel onder leiding van moderator Gerben Klein Baltink had een aantal pittige stellingen voorbereid voor de discussanten en het publiek. Zo was maar liefst 100% van het publiek het eens met de stelling ‘the influence of commercial and geopolitical interests in the development of internet standards poses a threat to the Internet’. De panelleden concludeerde onder andere dat “standards are a wild mix of politics and economics”. Daarbij riepen zij op om niet nostalgisch te zijn over het internet (en standaarden) in het verleden en om realistisch te zijn over het huidige internet en het zo ook te organiseren. Het internet is namelijk niet “value neutral” waarbij ze mooi aansluiten bij de keynote eerder op de dag. Het blijft moeilijk om de vraag te beantwoorden “how can we build a netwerk/internet that does serve everyone”.
Raymond Doijen, unithoofd Kennisuitwisseling bij het NCSC, sloot de dag af met de oproep om kennis en informatie te delen. Immers twee weten meer dan een. Het NCSC doet niet alleen aan incident response, maar we helpen middels onderzoek en advisering ook aan het verbeteren ervan en het liefst natuurlijk voorkomen van incidenten.
And remember, Let’s Do Cybersecurity Together!