magazinejaargang 1 april 2017

Dubbelinterview Wim Hafkamp en Jan Piet Barthel

‘Bruggen slaan ter beveiliging’

COLOFON Aan dit Magazine werkten mee Andreas Peter Arian Steenbruggen Catrien Bijleveld Feite Hofman Florent Frederix Hans Henseler Herbert Bos Jan Piet Barthel Jaya Baloo Jimmy Troost Louis Spaninks Maarten Bodlaender Nicola Zannone Oscar Delnooz Patricia Zorko Petra van Schayik Pieter Hartel Richard Slotman Rutger LeukfeldtWim Hafkamp Wouter Stol Zeki Erkin

Fotografie vanSimon van der Woude (Foto Rutger Leukfeldt)Jeroen de Bakker (P 14 en 25)Shutterstock (P 10, 13, 19)Reinoud van Leeuwen (P 25)GettyImages (cover)Sjoerd van der Hucht (alle overige foto’s)

InterviewsSonja Knols

EindredactieJuul Brouwers

Ontwerp Haagsblauw

DrukwerkZalsman

dcypher

BezoekadresLaan van Nieuw Oost-Indië 300 2593 CE Den Haag

Postadres Postbus 93460 2509 AL Den Haag 

Telefoon(0)70 344 06 40

E-mailinfo@dcypher.nl

Websitewww.dcypher.nl

Overname van artikelen uit dit magazine is toegestaan mits met volledige bronvermelding. Voor gebruik van de foto’s of andere illustraties is toestemming van de maker nodig. Aan de samen- stelling van dit magazine is de grootst mogelijke zorg besteed. Wij aanvaarden geen aansprakelijkheid voor schade die kan voortvloeien uit gebruik van (gegevens uit) deze publicatie.

2016OKTOBER

Seaside MatchMaking CyberSecurity (SMMCS)

AUGUSTUS National Cyber Security

Summer School (NCS3)APRIL

Lancering dcypher op de NCSC One conferentie

2014 NOVEMBER

Overhandiging Inrichtingsplan Nieuw platform Cyber Security Research

and EducationOKTOBER

Aftrap Alert Online campagne bij NWO (thema kennis)

JUNI Eerste National Cyber Security

Research Agenda (NCSRA) Symposium

2012MEI

MatchMaking CyberSecurity (aankondiging diverse

calls for proposals)

2010FEBRUARI

Goedkeuring meer jaren innovatie-programma Voedselveiligheid

Tijdlijn

2015NOVEMBER Tweede National Cyber Security Research Agenda (NCSRA) SymposiumAPRIL • GCCS (inter-)nationale agendering

PPS cybersecurity• Nieuwspoort/iPoort Ethisch HackenMAART Introductie Dutch Cyber Security Research Best Paper Award

2013NOVEMBER• MatchMaking CyberSecurity

(aankondiging diverse calls for proposals) • Nieuwspoort/iPoort Cyber Security

Onderzoek & Beleid• National Cyber Security Research

Agenda (NCSRA) II

2011JUNI • Aanbieding van de agenda aan

de Cyber Security Raad (CSR)• Eerste National Cyber Security

Research Agenda (NCSRA)

2007MEI • Publicatie Strategic Research Agenda

(met 7 onderzoeksgebieden)• Oprichting IIP-VV, platform voor

information security en privacy ‘Veilig Verbonden’

INHOUD

ONDERZOEKGezamenlijke onderzoeksagendaSamenwerking hogescholen en UniversiteitenBetere aansluiting bij bedrijven

12

Overig4 dcypher in volle omvang 9 De Nederlandse Wetenschapsagenda Onderzoeksagenda 16 Events19 Interdisciplinair cyber security onderzoek Stimulans voor open kennisuitwisseling20 Blik van buiten Nieuwe wereld, nieuwe beveiliging24 Jong talent Nationale verbondenheid bevorderen25 Nieuws

BEDRIJFSBELANG Jaya Baloo enPetra van Schayik

22 INTERNATIONAALEuropese mogelijkheden voor cyber security onderzoek

DUBBELINTERVIEWBruggen slaan ter beveiliging

ONDERWIJSVerbinding, verbreding en verdieping6 10

15

3dcypherapril 2017

dcypher in volle omvang te gast bij V&J

Leden Idod, Beleidsgroep, Adviesraad, Platformbureau

Op 8 maart 2017 kwamen op het Ministerie van Veiligheid en Justitie de verschillende gremia van dcypher (Dutch cybersecurity platform higher education & research) voor het eerst bijeen, om met elkaar kennis te maken, terug te kijken naar wat er sinds de lancering op 5 april 2016 is gebeurd en de blik te werpen op de toekomst.

De bijeenkomst werd geopend door Patricia Zorko, directeur cyber security bij V&J, en een van de initiatiefnemers van dcypher. De vier partijen die dcypher hebben opgericht (de ministeries van V&J, OCW en EZ en NWO) vormen samen het Interdepartementaal directeurenoverleg dcypher, ofwel Idod.

Het op een plek bijeenkomen van alle betrokken, die met elkaar dcypher vormen, was een mijlpaal. Natuurlijk heeft dcypher sinds de lancering op de One Conference in 2016 niet stilgezeten. Het platformbu-reau heeft, in goede afstemming met de Beleidsgroep o.l.v. Michel van Leeuwen (V&J), en geadviseerd door de Adviesraad, onder voorzitterschap van Wim Hafkamp (Rabobank) zich maximaal ingespannen de plannen voor 2016 uit te voeren. In dit Magazine leest u daar meer over.

Op de website van dcypher stellen de leden van de Adviesraad zich voor, en drukken hun motivatie om deel te nemen aan deze raad uit in een kort testimonial. De mensen achter het uitvoerend, flexibele platformbureau stellen zich eveneens voor.Aan de vier leden van het Idod is op 8 maart de vraag gesteld wat hun verwach tingen zijn van dcypher en/of waarom zij zich hieraan verbinden.

4 dcypherapril 2017

en docenten. Ook geeft dcypher zicht op mogelijke knelpunten in de aansluiting van het hoger onderwijs op eisen vanuit de arbeidsmarkt. Tot slot levert dcypher via de nationale onderzoeksagenda cyber security en het lectorennetwerk cyber security een belangrijke bijdrage aan verdere innovatie en onderzoek’.

PATRICIA ZORKO (V&J, plaatsvervangend Nationaal Coördinator Terrorisme-bestrijding en Veiligheid (NCTV) en Directeur Cyber Security):‘Cyber security onderzoek en onderwijs spelen een belangrijke rol in het verster-ken van onze digitale weerbaarheid. Beide zijn nodig om de cyber security vragen van nu en de toekomst te beantwoorden. Voldoende en deskundige cyber security professionals en experts zijn nodig om de uitdagingen die de digitale toekomst ons brengen te kunnen aangaan en de verwachting is dat deze behoefte fors zal groeien de komende jaren gezien de toenemende dreiging en de groeiende aandacht voor cyber security (publiek en privaat). dcypher levert hier een belang-rijke bijdrage aan door te zorgen voor agendering en coördinatie van cyber security onderzoek en -hoger onderwijs.’

OSCAR DELNOOZ (EZ, MT-lid ICT en Economie):‘ICT levert in Nederland een relatief grote bijdrage aan economische groei. ICT is een bron van innovaties, nieuwe bedrijvig-heid en nieuwe toepassingsmogelijkheden. Dankzij ICT ontstaan nieuwe inzichten, nieuwe producten, nieuwe diensten, nieuwe werkprocessen en nieuwe bedrijven. Om ten volle de mogelijkheden van ICT te benutten zijn goed opgeleide mensen, hoogwaardige kennis en cyber security essentieel. Het benutten van economische kansen en het aanpakken van maatschap - pelijke uitdagingen is complex: geen enkele organisatie kan dat meer alleen. Zeker niet op het terrein van cyber security. In dcypher hebben OCW, V&J, NWO en EZ zich verenigd om een impuls te geven aan het versterken van de weerbaarheid op cyber security. dcypher kan dan de spil worden in het realiseren van deze kansen en het bieden van een antwoord op de maatschappelijke uitdagingen. Essentieel is stevige betrokkenheid van het bedrijfs leven in dcypher. Als dcypher er de komende jaren in slaagt een sterke verbinding te leggen met voor Nederland belangrijke sectoren en wetenschaps-gebieden dan zullen wij daar als samen-leving als geheel van kunnen profiteren.’ •

Leden Interdepartementaal directeuren overleg dcypher (Idod) met v.l.n.r.: Arian Steenbruggen (NWO), Feite Hofman (OCW), Patricia Zorko (V&J), Oscar Delnooz (EZ)

ARIAN STEENBRUGGEN (NWO, directeur domein Exacte en Natuurwetenschappen):‘dcypher is een bijzonder, misschien wel uitzonderlijk, samenwerkingsinitiatief. Het is niet alleen een platform waarop partijen samenkomen, het is ook een beweging. Door het multidisciplinaire internationale karakter van cyber security past dit heel goed bij de vernieuwde NWO organisatie. De verbinding met de samenleving is evident. Voor onze samenleving is onder-zoek naar en onderwijs in beveiliging van onze (mondiale) digitale infrastructuur en daarmee soms op gespannen voet staande privacy van essentieel belang. NWO, met haar verschillende betrokken domeinen en regieorganen, levert daaraan graag een bijdrage.’

FEITE HOFMAN (OCW, directeur Hoger Onderwijs en Studiefinanciering): ‘dcypher is voor OCW hét nationale ken-nisplatform cyber security voor het hoger onderwijs. dcypher verbindt mensen en initiatieven, geeft overzicht en stimuleert waar nodig. Hierdoor draagt dcypher bij aan het creëren van awareness rondom cyber security, onder meer bij bestuurders

5dcypherapril 2017

ders en programmeurs die begrijpen wat je moet doen om ervoor te zorgen dat systemen veilig zijn en blijven.’ JPB: ‘Er zijn al veel goede initiatieven voor het lagere onderwijs op terreinen als computer- en internetveiligheid, en er zijn ook veel andere partijen in dit veld met hun eigen expertise en achterban. Wij richten ons dan ook met name op het onderwijs aan hogescholen en universitei-ten, zonder overigens de verbinding tussen MBO en HBO uit het oog te verliezen.’ WH: ‘We gaan eerst eens kritisch kijken naar de verschillende curricula die er nu zijn, en hoe security daarin vertegenwoor-

Wat zou de rol van dcypher moeten zijn in het cyber security veld? Wim Hafkamp (WH): ‘Wat mij betreft vervult dcypher vooral een verbindende rol tussen alle bij cyber security onderzoek en onderwijs betrokken gremia. Dat loopt uiteen van ministeries, organisaties als NWO en SIA, onderwijsinstellingen en bedrijven tot aan het TKI ICT en het Nationaal Cyber Security Centrum. We hebben een aanjaagfunctie om nieuwe initiatieven en samenwerkingsverbanden op het terrein van onderzoek en onderwijs te stimuleren.’

Vanwaar ook expliciet die betrokken-heid bij onderwijs? Jan Piet Barthel (JPB): ‘dcypher komt voort uit het ICT Innovatieplatform Veilig Verbonden, dat een sterke focus had op onderzoek. Vanuit onze opdrachtgevers,

de ministeries van Veiligheid en Justitie, Economische Zaken en Onderwijs, Cultuur en Wetenschap en NWO, hebben we voor dcypher de expliciete taak gekregen ook het onderwijs erbij te betrekken.’

Wat gaat dcypher doen op het gebied van onderwijs? WH: ‘We willen met name stimuleren dat er voldoende goed gekwalificeerde security specialisten worden opgeleid, en dat security kennisoverdracht deel uitmaakt van het brede ICT-onderwijs. We hebben namelijk niet alleen cyber security experts nodig, maar ook systeembeheer-

DUBBELINTERVIEW

6 dcypherapril 2017

Wat mij betreft vervult dcypher vooral een verbindende rol tussen alle bij cyber security onderzoek en onderwijs betrokken gremia

digd is. Ook willen we steun geven aan een certificeringssysteem voor cyber security opleidingen, zodat bedrijven weten welke kwalificaties sollicitanten die een cyber security opleiding hebben gevolgd, nu eigenlijk precies hebben.’ JPB: ‘Daarnaast organiseren we zelf concrete activiteiten, zoals de jaarlijkse summer school op speciaal verzoek van de Cyber Security Raad. Deze zomercursus is gericht op studenten met belangstelling voor cyber security, die dat nog niet als richting hebben gekozen. We geven hen een inleiding in het werkveld, en proberen ze te enthousiasmeren.’

WH: ‘In al die onderwijsactiviteiten pro-beren we zoveel mogelijk de link te leggen met de praktijk. Zo hebben we tijdens die summer school gastlezingen laten geven door mensen vanuit verschillende bedrij-ven en organisaties, die vertelden over de uitdagingen waarvoor zij zich gesteld zien op het terrein van cyber security.’

Met wat voor soort problemen worstelen bedrijven dan zoal? WH: ‘We hebben bijvoorbeeld nog steeds veel last van phishing. Criminelen sturen nepmails alsof ze van de bank afkomen, met de vraag om wachtwoorden

te wijzigen, bankpassen op te sturen, of pincodes door te geven via nepwebsites. Wij willen achterhalen hoe ze dat doen, hoe we erop moeten reageren en vooral natuurlijk hoe we moeten voorkomen dat onze klanten er door gedupeerd raken.’

En wat is dcypher van plan op het terrein van onderzoek? JPB: ‘Door goed te luisteren naar alle partijen die een rol spelen in het cyber security veld, willen we prioriteiten stellen voor het Nederlandse onderzoek op dit terrein voor de komende jaren. Cyber security is een doorsnijdend thema voor veel verschillende onderzoeksagenda’s en roadmaps. Wij kunnen verbindend optre-den en een toegevoegde waarde hebben op de kruispunten tussen bijvoorbeeld de topsectoren en cyber security. Met de twee edities van de Nationale Cyber Security Research Agenda hebben we al laten zien dat het mogelijk is om één gezamenlijke onderzoeksagenda op te stellen voor cyber security die alle topsectoren afdekt. Onze boodschap is: als je een paragraaf over cyber security opneemt, doe dat dan samen met ons. Zo kunnen we ervoor zorgen dat de NCSRA III die we komend jaar hopen uit te brengen van waarde kan zijn voor al die gremia.’

V.l.n.r.: Jan Piet Barthel en Wim Hafkamp

>

7dcypherapril 2017

Is cyber security meer multi disciplinair van karakter geworden de afgelopen jaren? JPB: ‘Jazeker, die multidisciplinariteit wordt steeds nadrukkelijker zichtbaar. We zien bijvoorbeeld steeds meer crimino-logen als hoofdonderzoekers op cyber security projecten, maar ook psychologen en juristen raken steeds meer betrokken.’ WH: ‘En voor het bedrijfsleven worden juridische en ethische aspecten steeds belangrijker. Wat kun je, wat wil je, en wat mag je doen om gegevens te beveiligen? Ik zeg altijd dat wij als informatiebeveili-gers in een soort ruit opereren: bovenin heb je bescherming, dat vaak beperkende maatregelen oplegt. Links en rechts daaronder staan gebruiksvriendelijkheid en beheer: hoe voorkom je dat als gevolg van beveiligingsmaatregelen er onhandige, onhandelbare of veel te dure producten ontwikkeld worden? En onderaan staat vernieuwing. Want je kunt je producten wel helemaal dichttimmeren, maar je wilt ook af en toe iets nieuws kunnen introduceren. In deze ruit zijn heel uiteenlopende zaken als techniek, security, privacy, ethische aspecten, en menselijk gedrag allemaal van belang om procedures te kunnen maken waarmee je de maatschappij op een werkbare en aanvaardbare manier kunt beveiligen.’

Wanneer is dcypher een succes? JPB: ‘Als we weten welke expertise er nodig is en we die ook in de juiste hoeveel-heid kunnen leveren aan al die verschil-lende sectoren die nu tekorten signaleren. Nu moeten ondernemingen vaak zelf hun mensen nog opleiden. We gaan de onderwijsbehoefte in kaart brengen, en kijken wat er al aanwezig is en waar we gaten moeten vullen. Daarnaast willen we het aantal experts in absolute zin laten groeien, onderzoeksgroepen versterken, innovaties voortkomend uit onderzoek bevorderen, en vooral meer docenten opleiden. Geld voor fundamenteel en toegepast onderzoek vormt daarvoor de basis.’ WH: ‘Met de NCSRA is er een gezamen-lijke agenda voor onderzoek, maar op dit moment is er nog niet iets vergelijkbaars voor het hoger onderwijs. Daar ligt wat mij betreft een schone taak voor ons.’ •

WH: ‘Wij positioneren ons daarin nadrukkelijk niet in een opdrachtgeversrol, maar in die van verbinder. Wij kunnen discussies aanjagen, en terug rapporteren over de behoeftes die leven aan de betrok-ken ministeries.’

Hebben beleidsmakers en de maat-schappij op dit moment een realis-tisch beeld van cybercriminaliteit? WH: ‘Het heersende beeld is dat cyber security vooral een technisch probleem is, maar dat is allang niet meer zo. Je hebt het feitelijk gewoon over ouderwetse oplichters, die nu andere manieren hebben gevonden om hun (babbel)trucs uit te halen.’ JPB: ‘En aanvallen richten zich allang niet meer alleen op computers, zoals veel mensen denken. Er zijn tegenwoordig heel veel alledaagse apparaten die aan het internet hangen, en die je dus kunt hacken. De consequentie daarvan is dat ook bedrijven die slimme thermostaten of koelkasten maken, bewust gemaakt moe-ten worden van de gevaren, zodat zij hun producten daartegen kunnen beschermen.’

dcypherHet op 5 april 2016 door Patricia Zorko

tijdens de NCSC One conferentie

gelanceerde dcypher is een samen­

werkingsverband van het voormalige

NWO Exacte Wetenschappen (thans

NWO Exacte en Natuurwetenschappen)

en de ministeries van Veiligheid en

Justitie, Economische Zaken en

Onderwijs, Cultuur en Wetenschap.

De directeuren van het NWO domein

Exacte en Natuurwetenschappen en

de directies Cyber Security, Regeldruk

en ICT­beleid, Hoger Onderwijs en

Studiefinancieringsbeleid vormen

tezamen het interdepartementaal

directeurenoverleg dcypher. De onaf­

hankelijke Adviesraad bestaat uit cyber

security wetenschappers, HBO­lectoren,

vertegenwoordigers van publieke

en maatschappelijke bedrijven en

organisaties. Het projectbureau is bij

NWO gevestigd.

➜ Voor meer informatie, zie

www.dcypher.nl

WIM HAFKAMP

JAN PIET BARTHEL

DUBBELINTERVIEW

8 dcypherapril 2017

Onderzoeksagenda: The Human Factor in Cybercrime and Cybersecurity

Het doel van deze onderzoeks-agenda is om onderzoek naar de menselijke aspecten van cybercrime en cyber security te stimuleren. Veel is namelijk nog onbekend. Hebben we te maken met ‘oude’ daders op een nieuw werkterrein, of gaat het om een nieuw type dader met dito kenmerken en motieven? Welke persoonlijke kenmerken of online activiteiten zorgen voor een verhoogde of verlaagde kans op slachtofferschap? En welke rol hebben politie, commerciële beveiligingsbedrijven en hosting providers bij de bestrijding van cybercrime?

In deze onderzoeksagenda schetsen onderzoekers op het gebied van niet-technologisch onderzoek naar cybercrime en cyber security de state-of-the art van onderzoek naar de rol van menselijke aspecten op dit onderzoeksterrein. Daarnaast worden de belangrijkste onder- zoeksvragen en innova tieve onderzoeksmethoden en data - sets die nodig zijn bij toekom- stig onderzoek in kaart gebracht. De onderzoeksagenda is een initiatief van het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR). Bij de totstandkoming van de

agenda is samengewerkt met onderzoekers verbonden aan onderzoeksgroepen van negen universiteiten, vier hogescholen en organisaties zoals het Wetenschappelijk Onderzoeks- en Documentatiecentrum (WODC) van het Ministerie van Veiligheid en Justitie, Centraal Bureau voor de Statistiek (CBS), TNO, Nationaal Cyber Security Center (NCSC) en de Nationale Politie. •

Op 16 mei 2017 wordt de onderzoeksagenda gepresenteerd tijdens de One conference in Den Haag.

Dr. Rutger Leukfeldt

De Nederlandse Wetenschapsagenda (NWA) De Nederlandse Nationale Wetenschapsagenda bestaat uit onderzoeksvragen waar de weten-schap zich de komende jaren op gaat richten. De agenda bevat 140 overkoepelende wetenschap-pelijke vragen en is het resultaat van een uniek bottom-up initiatief waarbij iedereen in Nederland vragen aan de wetenschap kon indienen. De Nationale Weten-schapsagenda bundelt de krach-ten van verschillende partijen en stimuleert daarmee samenwer-king tussen wetenschappers, het bedrijfsleven en maatschappelijke organisaties.

Cyberveiligheid is interdiscipli-nair van aard en relevant voor een groot aantal van de routes, zoals bijvoorbeeld “Tussen Conflict en Coöperatie”, “Verantwoord gebruik van Big Data”, “Smart Industry”, “Hersenen, cognitie en gedrag”.

Tussen Conflict en Coöperatie Het thema van de route “Tussen Conflict en Coöperatie” stelt twee uitersten tegenover elkaar. Conflicten, die splijten en wanorde scheppen, en coöpe-ratie, dat juist samenwerking en orde impliceert. Om conflicten te vermijden en om ze op te lossen kunnen instituties nood-zakelijk zijn, en institutionele arrangementen bevorderen in veel gevallen weer coöpe-ratie. In veel gevallen zien we externe beïnvloeding of regu-lering van die arrangementen door de staat, maar niet zelden ook door interventie van nsa’s (non state actors). Nieuwe politieke, sociale, economische en technologische ontwik-kelingen (digitalisering) leiden tot nieuwe conflicten – maar scheppen tegelijkertijd nieuwe

mogelijkheden om samen te werken, of reiken zelfs (uitzicht op) oplossingen aan.

Cyberveiligheid is bij uitstek een onderwerp dat zich leent om vanuit verschillende wetenschapsgebieden bestudeerd te worden. Cyber-conflicten verlopen mogelijk anders dan ‘klassieke’ conflic-ten in de niet-digitale ruimte. Cyberconflicten zijn grenze-loos, hebben deels een andere etiologie en dynamiek, en zijn anders en vooral lastiger traceerbaar. Het is daarbij essentieel om niet alleen vanuit technologisch oogpunt te kijken, maar juist ook rekening te houden met de menselijke en maatschap-pelijke factor. •

CRIMINOLOGIE

Prof.dr.mr. Catrien Bijleveld

In 2016 is tijdens de One Conferentie van het Nationaal Cyber Security Centrum aandacht besteed aan ‘Cyberveiligheid en de Nederlandse Wetenschaps-agenda’ in een sessie onder leiding van hoogleraar Catrien Bijleveld (directeur NSCR). De centrale vraag was ‘Welke cyberveiligheid-kwesties zijn onderdeel van de Nationale Wetenschapsagenda en hoe gaan we deze in verband brengen met andere wetenschapsgebieden?’

9dcypherapril 2017

Verbinding, verbreding en verdiepingHet hoger onderwijs is een nadrukkelijk aandachts-punt van dcypher. Louis Spaninks, nationaal coördinator van de Human Capital Agenda ICT van het Top Team ICT en Hans Henseler, lector Forensische ICT aan de Universiteit Leiden, geven aan waar dcypher zich volgens hen vooral voor zou moeten inzetten.

Louis Spaninks valt meteen met de deur in huis: ‘De rol van dycpher moet zijn om maatschappijbreed te zorgen dat het belang van cyber security duidelijk wordt, en dat men weet welke taken en rollen mensen op dit terrein kunnen vervullen.’

De maatschappij heeft nog te weinig door hoe essentieel cyber security is, zegt hij. ‘Het heeft weinig zin om high level beveiligings-experts op te leiden, als het merendeel van de burgers alle deuren wagenwijd openzet.’ De meeste mensen staan niet stil bij de mogelijk-heden die ICT nu al biedt, en op welke manie-ren die misbruikt kunnen worden, vindt hij. ‘Er bestaan bijvoorbeeld verschillende apps die

10 dcypherapril 2017

werken meer ICT’ers buiten de traditionele ICT-sector dan erbinnen. Dat betekent dat dcypher zich vooral moet opstellen als verbinder. Tussen bedrijfsleven en onderwijs, en tussen alle vakgebieden die geraakt worden door verdergaande digitalisering. Trek het netwerk aan en identificeer kansen. En maak daarin vooral gebruik van het feit dat je nieuw bent: nu heb je de kans om deuren te openen.’

Nieuwe opsporingsmethodenCyber security gaat overigens verder dan alleen jezelf beveiligen tegen aanvallen van buitenaf, benadrukt Hans Henseler. ‘Mijn lectoraat in Leiden richt zich op forensische ICT, het zoeken naar digitale sporen om criminelen mee te pakken. En dat hoeven helemaal geen cybercrimine-

len te zijn, dat kan ook om conventionele criminaliteit gaan zoals een winkeldiefstal of een moord.’ Naast traditionele forensi-sche bewijzen zoals DNA, bandensporen of de spreekwoordelijke uitgetrapte sigaret-tenpeuk, laten criminelen ook steeds meer digitale sporen na. ‘Denk aan emails, gegevens van gps trackers van telefoons, of ingevoerde adressen in navigatiesyste-men. Ons onderzoek draait om de vraag hoe je dit bewijs moet veiligstellen zodat je aan de rechter kunt laten zien dat er niet mee geknoeid is, hoe je in dit soort bewijs kunt zoeken, en hoe je erover kunt rap-porteren. Je zoekt de smoking gun, maar hebt geen idee hoe die eruit moet zien. Hoe zoek je iets in tien miljoen emails, terwijl je niet weet wat je zoekt? Daar heb je slimme zoektechnieken voor nodig die gebruik maken van patroonherkenning, kunstmatige intelligentie, taaltechnologie, deep learning.’

ONDERWIJS

gezichten herkennen op foto’s. Leuk dat je op een Instagramfoto automatisch namen kunt laten zetten bij de mensen die erop staan. Maar je kunt zo’n app makkelijk gebruiken voor minder wenselijke zaken. Het is helemaal niet ondenkbaar dat je in het huidige homofobe klimaat in Rusland aan de grens wordt geweigerd, omdat een zoekopdracht naar je pasfoto een foto van jou bij de GayPride oplevert.’

Nieuwe onderwijsvormenDaarnaast moet de vorm van het onder-wijs aansluiten bij het onderwerp, zegt hij. ‘Traditioneel onderwijs is, zeker voor dit vakgebied, geschiedenis. De ontwikkelingen gaan snel: curricula zijn al verouderd als ze van de drukpers komen. We moeten dus toe naar een flexibeler vorm van onderwijs, waar actuele kennis on the fly kan worden ingebouwd. Ik denk dat we studenten moeten leren hun weg te vinden in de beschikbare informatie, en hen in groepen moeten laten samenwerken aan op-drachten. dcypher moet daarbij scherp zijn op de inhoud en de ontwikkeling van toekomstgericht onderwijs bevorderen. En daarnaast is dcypher wat mij betreft het orgaan dat ervoor zorgt dat het ICT-onderwijs aansluit op de wensen van het bedrijfsleven, qua onderwerpen en capaciteiten.’

Dat laatste betekent ook dat je breder moet kijken dan alleen naar gespecialiseerde studierichtingen, betoogt hij. ‘Binnen de Human Capital Agenda hebben we een arbeidsmarktanalyse laten uitvoeren met gegevens van DUO, CBS, ROA en UWV. Daaruit blijkt dat je eigenlijk niet meer kunt spreken van een ICT-sector. Inmiddels

Ook Henseler pleit voor een brede blik van dcypher op onderwijs. ‘Laten we beginnen met het optimaal gebruiken en delen van de huidige kennis en voorzieningen. Zelf heb ik na mijn verhuizing van de Hogeschool van Amsterdam naar Leiden vorige zomer meteen een vestiging geopend op de Haagse Security Delta campus. Hier doen we digitaal forensisch onderzoek samen met studenten en bedrijven. Dat lab wil ik meer gaan delen

met anderen. Daar ligt wat mij betreft een ondersteu-nende rol voor dcypher.’

School zowel experts als lekenHet platform zou zich ook moeten inzetten voor een fatsoenlijk na- en bijscholingstraject voor experts, zegt Henseler.

‘Een forensisch ICT-specialist heeft nu vijf dagen per jaar te besteden aan opleiding en bijscholing. Dat is veel te weinig voor een veld dat zo snel verandert. Er is een behoefte vanuit de beroepspraktijk voor duaal post-HBO onderwijs, daar zou dcypher zich druk over kunnen maken.’

En tot slot komt ook Henseler terug op de rol van dcypher in het opleiden van juist de niet-experts, de gebruikers van ICT-oplossingen. ‘Om op mijn eigen terrein te blijven: ‘gewone’ rechercheurs onttrek-ken zich aan digitale vraagstukken, en laten die over aan hun ICT-specialisten. Maar met de juiste tools kun je ook als ‘gewoon’ rechercheur zoeken in plaatjes. dcypher moet niet alleen experts opleiden, maar moet ook een brug slaan naar de niet-experts, en hen noodzakelijke tools meegeven om te werken met de digitalise-rende werkelijkheid.’ •

We moeten dus toe naar een flexibeler vorm van onderwijs, waar actuele kennis on the fly kan worden ingebouwd

LOUIS SPANINKS

HANS HENSELER

11dcypherapril 2017

Na de twee eerdere succesvolle edities van de Nationale Cyber Security Research

Agenda (NCSRA), wordt het tijd voor een nieuwe onderzoeksagenda. Herbert Bos,

hoogleraar Systems and Network Security aan de Vrije Universiteit Amsterdam, is

betrokken bij de voorbereidingen hiervan.

ONDERZOEK

‘De urgentie van onderzoek naar cyber security neemt toe. Kijk

naar de meest recente dreigingen en hun impact: het hacken van de democrati-sche partij in de Verenigde Staten en de invloed daarvan op de verkiezingen, de kwetsbaarheden in geheugenchips, het inbreken in beveiligingscamera’s waarmee je vervolgens ddos-aanvallen kunt doen... Het Internet-of-Things biedt veel moois, maar creëert ook veel mogelijkheden om in te breken in vitale infrastructuur.

Er moeten partijen zijn die dit fundament van de samenleving onderzoeken. En we moeten in dat onderzoek verschillende velden verenigen, zoals criminologie, beleid, economie, rechten en informatica. De nieuwe onderzoeksagenda moet in beeld brengen wat er komt kijken bij het beveiligen van onze digitale samenleving, en welke onderwerpen nader onderzoek behoeven. Omdat we niet goed kunnen voorspellen waar deze ontwikkelingen

heen gaan, stellen we een brede agenda op met wat de securitygemeenschap ziet als de belangrijkste onderzoeksthema’s, waaruit vervolgens financiers kunnen kiezen in welke terreinen ze op welk moment willen investeren.

De eerste NCSRA dateert uit 2011. In 2013 is daar de update van uitgekomen. Deze agenda’s en de bijeenkomsten daarom-heen hebben het Nederlandse securityveld dichter bij elkaar gebracht, en ze hebben geresulteerd in een aantal onderzoeks-programma’s. Inmiddels zijn er zoveel incidenten geweest dat prioriteit en rele-vantie van de verschillende thema’s een update verdienen. Ook om het belang van dit onderzoek nog eens te benadrukken.

Het vertrouwen in de digitale infrastructuur is essentieel voor het functioneren van de maatschappij. We moeten zo’n belangrijk veld niet laten liggen. En met de ontlui-kende cyber security industrie, hebben we nu een mooie kans om een concurrentie-voordeel op te bouwen. Vandaar dat ik hoop dat zowel onderzoekers als mensen die vanuit het bedrijfsleven betrokken zijn bij dit veld gehoor willen geven aan oproepen om mee te denken over de invulling van de agenda. Hoe meer men-sen betrokken zijn, des te groter wordt de kans dat onze stem gehoord wordt door de financierende ministeries en NWO.’ •

>

‘Het Internet-of-Things biedt veel moois, maar creëert ook veel mogelijkheden om in te breken in vitale infrastructuur.’

12 dcypherapril 2017

‘Het Nationaal Regieorgaan voor Praktijkgericht Onderzoek SIA probeert de afstand tussen het

onderzoek en de praktijk te overbruggen. Dat is zeker voor een maatschappelijk zo belangrijk

onderwerp als cyber security van essentieel belang,’ betoogt SIA­directeur Richard Slotman.

van vandaag en morgen te onderzoe-ken. Bedrijven hebben nu vragen die een antwoord behoeven. De rol van de lector daarin is om de vragen te vertalen naar de beschikbare wetenschappelijke kennis, en waar nodig aanvullend onderzoek te doen.

In het HBO is ook een directe link tussen onderzoek en onderwijs: de docent moet onderzoekers en studenten betrekken, zodat ze in uitvoerende zin een rol kunnen spelen in het onderzoek. Op die manier komen studenten in contact met onder-nemingen en regionale publieke instel-lingen, en begrijpen ze wat daar leeft. En na afloop van zo’n project kan de betref-fende lector de opgedane kennis breder

verspreiden binnen het onderwijs van de hogeschool. Om criminelen bij te kunnen houden en zelfs voor te blijven, hebben we meer praktisch ingestelde HBO’ers nodig met een snelheid van handelen.

dcypher moet er voor zorgen dat er aandacht is en blijft voor dit onderwerp, en moet de juiste partijen samenbrengen om slagvaardige agendasetting voor elkaar te krijgen. De wetenschap kan oplossingen bieden voor urgente maatschappelijke problemen. Om dat goed te kunnen doen, moeten we de kennisketen van HBO tot universiteit zo goed mogelijk sluiten.’ •

Om criminelen bij te kunnen houden en zelfs voor te blijven, hebben we meer praktisch ingestelde HBO’ers nodig met een snelheid van handelen‘Ik ben heel blij dat dit thema

op de agenda is gezet, en dat dcypher hier de schouders onder wil zet-ten. Stap twee is nu dat we lectoren vanuit hun eigen agenda’s hieraan verbinden. Ik hoop dat we in de loop van 2017 of 2018 met middelen van onszelf, NWO en het ministerie van Veiligheid en Justitie een gezamenlijk onderzoeksprogramma kunnen aanbieden, waarin lectoren vanuit praktijkgericht onderzoek kunnen samen-werken met universitaire onderzoekers.

We zijn als Regieorgaan SIA nu ruim drie jaar onderdeel van NWO, en hebben op meerdere thema’s dit soort samen-werkingsprogramma’s opgezet. Met name voor een acute uitdaging als cyber security is het van belang niet alleen te investeren in de lange termijn, maar ook de vragen

>

13dcypherapril 2017

‘Cyber security is een snel veld. Daar moet je je instrumenten ook op afstemmen.

Zeker voor bedrijven die nu een onderzoeksvraag hebben, past een promotie­

traject van vier jaar vaak niet.’ Jimmy Troost, director bij Thales Research &

Technology en trekker van de HTSM security roadmap is er duidelijk in:

als je wilt dat bedrijven meebetalen aan onderzoek, dan moet je de financierings­

instrumenten beter bij hun behoeftes laten passen.

ONDERZOEK

‘Bedrijven worden heel kritisch op de investeringen die ze

moeten doen. Vroeger kon je als bedrijf nog subsidie krijgen, nu bestaat voor veel universitair onderzoek de eis dat je in kind en in cash bijdraagt. Kleine bedrijven worden geconfronteerd met subsidie-programma’s waarvoor ze een oneven-

programma’s zijn gericht op promotie-trajecten van vier jaar. Een bedrijf is vaak niet geïnteresseerd in een boekje, en wil niet vier jaar wachten op een oplossing van een onderzoeksvraag van vandaag. Een ondernemer wil zeggenschap hebben over hoe iets verloopt. Als je betaalt, wil je ook dat onderzoekers aan thema’s werken die voor jou relevant zijn.

In de HTSM security roadmap drukken we ambities uit over investeringsniveaus die dcypher overstijgen. Er zijn op dit moment al wel calls en activiteiten, maar als je het afzet tegen de ambities, is het allemaal nog mager. Vanuit het security roadmap team proberen we de overheid erop te attenderen dat voor een domein als security binnen High Tech Systemen & Materialen (HTSM), de overheid niet alleen via EZ faciliterend zou moeten zijn. De overheid is via de vakministeries immers ook afnemer en launching customer van innovatieve oplossingen uit dit domein. Als de overheid de economi-sche activiteit in een bepaald gebied wil stimuleren, moet men zich ook als goede klant opstellen. Security is een belangrijk onderwerp voor zowel de maatschappij als de industrie. Daar zouden we met zijn allen meer in moeten investeren.’ •

redige hoeveelheid informatie over hun bedrijf moeten aanleveren. De wervings-inspanning weegt vaak niet op tegen de opbrengsten. Regelingen zouden simpeler moeten en kunnen. Er is behoefte aan instrumenten waarin de looptijden van het onderzoek beter aansluiten bij de horizon van het bedrijfsleven. Veel onderzoeks-

Als je betaalt, wil je ook dat onderzoekers aan thema’s werken die voor jou relevant zijn

>

14 dcypherapril 2017

Jaya Baloo is als Chief Information Security Officer KPN verantwoordelijk voor de interne cyber security bij KPN: de digitale veiligheid van de KPN-diensten en de bescherming van klantgegevens. Baloo hoefde over haar deelname in de adviesraad van dcypher niet lang na te denken.

Veel cyb er security specialisten, zoals bijvoorbeeld hackers, zijn autodidact en van nature wantrouwend, nieuwsgierig en creatief oplossingsgericht. Dat zijn voor cyber security onderzoekers uitstekende kwaliteiten. Baloo maakt zich hard om ook voor deze mensen een goede plek te creëren in regulier organisaties zoals bij KPN. Dit kan onder meer door speciale training in vaardigheden die vaak wat minder ontwikkeld zijn, zoals het opbouwen van een juiste context en interactie in groepen.

Petra van Schayik, directeur-eigenaar van Compumatica, een cyber security bedrijf dat onder andere hoogwaardige oplos singen voor het beveiligen van e-mail, kritische infra structuur, smart industry biedt. Compumatica is de enige Nederlandse fabrikant van overheidscrypto. Petra maakt deel uit van de dcypher adviesraad.

Van Schayik versterkt de adviesraad van dcypher om behoeftes vanuit het bedrijfsleven in te brengen, vooral op het gebied van het hoger en ook middelbaar onderwijs. Verder vindt zij het van belang dat de overheid wordt aangesproken om kaders, wetgeving en financiële middelen te regelen. En het verbeteren van bewustwording om cybercriminaliteit te voorkomen staat ook hoog op haar prioriteitenlijst.

PETRA VAN SCHAYIKCEO Compumatica

“dcypher is de spin in het web bij de zogenaamde triple helix en moet verbindend zijn. Nauwe samenwerking tussen kennisinstellingen, overheid en bedrijfsleven is voor het cyber security veld onmisbaar.”

“Cyber security onderzoek is van onschatbare waarde en een unieke kans om de toekomst van Nederland te helpen verbeteren. Door gedegen onderzoek kunnen belangrijke onderwerpen positief worden gestimuleerd.”

JAYA BALOOCISO KPN

BEDRIJFSBELANG

15dcypherapril 2017

EVENTS

Cyber Security op ICT.OPEN 2017 21 MAART IN THEATER DE FLINT, AMERSFOORT

Prof.dr. Bart Jacobs (RUN) deelt als invited speaker zijn visie op de relatie tussen privacy en politiek in de Theaterzaal. Vanuit het publiek wordt met aandacht geluisterd en gereageerd.

Dr. Zeki Erkin, voorzitter van het cyber- security middagprogramma, introcudeert dr. Maria Dubovitskaya. Zij is als researcher werkzaam bij IBM Research in Zurich en in formeert over recente ontwikkelingen op haar vakgebied; privacybescherming.

De poster ‘Determining the effectivenessof countermeasures against cyber attacks’van Ralph Koning wordt uit 15 inzendingengeselecteerd. Joep van Wijk (NWO) coördinatorvan de Cybersecurity Poster Award Jury kondigtde Cybersecurity Poster Award nominatie aan.

Dutch Cyber Security Research Paper Award (DCSRP) 2017

Namens de internationale jury kondigt dr. Nele Mertens (KUL) de winnaar van de DCSRP Award 2017 aan. Het beste research paper is: ‘Drammer: Deterministic Rowhammer Attacks on Mobile Platforms’ geschreven door Victor van der Veen (et al.)Samen met Jan Piet Barthel (dcypher), genomineerde Joost Renes (RUN) en Erno Doorenspleet (IBM), die de IBM bonus cheque overhandigt, poseren Nele Mentens en Victor van der Veen (VU) voor de DCSRP groepsfoto.

V.l.n.r.: Nele, Joost, Victor, Erno, Jan Piet

Alle ICT.OPEN cyber security presentaties zijn te vinden op dcypher.nl

Privacy-preserving identity management and authentication Privacy & Politics

Cybersecurity ICT.OPEN 2017 Poster Award nominatie

16 dcypherapril 2017

Dick Schoof, Nationaal Coördinator Terrorismebestrijding en Veiligheid, adresseerde in deze sessie het belang van cyber security: ‘We zien dat de dreiging toeneemt, maar dit besef is

er niet. Dat begint met meer aandacht: in de Tweede Kamer, de bestuurs-kamer en in de huiskamer. Alleen als de overheid en het bedrijfsleven goed samenwerken, kunnen we ons digitale leven beschermen tegen criminaliteit en spionage.’ •

Voor 64 master studenten of studenten in het laatste jaar van hun bachelor in exacte of sociale wetenschappen, organiseerde dcypher op initiatief van de Cyber Security Raad en samen met

een aantal partners in de zomer van 2016 de eerste Nationale Cyber Security Summer School, NCS3. Tijdens de summer school waren er lezingen door leidende experts uit de wetenschap, de publieke en de private sector. Daarnaast waren er bezoeken georganiseerd aan bedrijven en maatschappelijke organisaties, was er een Hands on Hack-lab, een Crisis Simulatie, en een Dark-Web training. De studenten kregen de kans om in competitie met elkaar een (beleids)advies te ontwikkelen op verschillende cyber security thema’s. Het avondprogramma bestond uit verschillende borrels, diners en een matchmaking event om elkaar te ontmoeten en ervaringen uit te wisselen. •

iPoort: de staat van digitaal Nederland7 DECEMBER 2016

>

>

De BCMT competitie is een initiatief van Cyber Security Next Gen(eration) (CSNG), een groep jonge scientists gesteund door 4TU\Nirict en dcypher. Prijswinnaar Lars Bade (RUN) neemt een beloning op van 1000 euro in ontvangst voor zijn studie ‘Resilience of the Domain Name System: A case study for .nl’. Andreas Peter (UT), Nicola Zannone (TU/e) en Zeki Erkin (TUD) zijn de oprichters van CSNG.

Nederlandse Prijs voor ICT-Onderzoek 2017Op 22 maart heeft Dr Schwabe op ICT.OPEN de Nederlandse Prijs voor ICT-onderzoek 2017 ontvangen voor zijn bijdrage aan New Hope, het onderzoek in Post-quantum cryptografie.

Best Cyber Security Master Thesis Award (BCMT) 2017

Nationale Cyber Security Summer School22-26 AUGUSTUS 2016

17dcypherapril 2017

EVENTS

Seaside MatchMaking CyberSecurity 201614 OKTOBER 2016

Met ruim 250 deelnemers, 154 speed dates, 40 pitches, 18 presentaties, een aantal panels en plenaire sprekers, was de Seaside MatchMaking CyberSecurity (SMMCS) op 14 oktober 2016 in het Zuiderstrandtheater in Den Haag een groot succes. Dit evenement werd georganiseerd door dcypher in nauwe samenwerking met NWO, NCSC, SIA en RVO.

>Het evenement werd officieel geopend door Patrica Zorko, directeur Cyber Security van het ministerie van Veiligheid en Justitie. Daarna leidde dagvoorzitter Chris van ’t Hof een paneldiscussie met dcypher

directeur Jan Piet Barthel, voorzitter van de dcypher adviesraad Wim Hafkamp, en mede oprichter Patricia Zorko over wat men zou moeten mogen verwachten van dcypher. Via een videoboodschap lichtte Douglas Maughan, Cyber Security Division Director van de US Department of Homeland Security, toe welke plannen er bestaan voor een nieuw gezamenlijk onderzoeksprogramma van Nederland en de Verenigde Staten. Florent Frederix van de Trust and Security Unit van de Europese Commissie presenteerde nieuwe mogelijkheden voor Europees gefinancierd onderzoek.

In een aantal parallelsessies werden onderwerpen behandeld die zowel onderwijs als onderzoek raken, zoals kritische infrastructuur, multidisciplinaire samen werking en Internet-of-Things. Tot slot markeerde de bijeenkomst ook het einde van de twee weken durende campagne AlertOnline, waarin burgers attent werden gemaakt op de gevaren van cybercriminaliteit, en aan-bevelingen kregen hoe zichzelf daartegen te beschermen. •

18 dcypherapril 2017

Marianne Junger (Universiteit Twente) en Pieter Hartel (Technische Universiteit Delft) ontvingen een subsidie van NWO

om een interdisciplinair, open access tijdschrift op te zetten voor het security-

onderzoek. Zes jaar later heeft dit Springer tijdschrift Crime Science meer dan zestig

artikelen gepubliceerd, die samen meer dan 30.000 keer gedownload zijn. ‘Je hebt

dit soort financiële stimulansen nodig om interdisciplinair onderzoek open access

te kunnen publiceren.’

Waar het eerste onderzoeksprogramma op het terrein van cyber security nog sterk technisch gericht was, zijn er de afgelopen tien jaar steeds meer andere vakgebieden bij het onderwerp betrokken geraakt, vertelt de hoogleraar Cyber Security Pieter Hartel. ‘Prachtig als je een goede techniek kunt ontwikkelen om hackers buiten de deur te houden, maar als mensen daar verkeerd mee omgaan, schiet je er niets mee op. Je hebt dus psychologen nodig die weten hoe je menselijk gedrag kunt beïnvloeden. Economie is van belang om te kunnen voorspellen of een oplossing ook daadwerkelijk kosteneffectief zal worden. Criminologen zijn onmisbaar als je wilt begrijpen hoe je cybercriminelen kunt oppakken. En technische oplossingen moeten ook in wetgeving passen, daar komen juristen in het spel.’

In monodisciplinaire standaardkanalen krijg je dit soort interdisciplinair onderzoek niet geplaatst, zegt hij. ‘Dat was voor ons de reden om dit tijd-schrift op te richten, en er redactieleden bij te zoeken die dat interdisciplinaire karakter begrijpen.’

Drempels wegZonder die subsidie was het niet gelukt om dit tijdschrift te starten, zegt hij stellig. ‘Van de zestig artikelen die we hebben gepubliceerd, hebben we er ongeveer vijftig betaald uit de NWO-subsidie.’ Het merendeel van die gesubsidieerde artikelen bevatte een sociaalwetenschappelijke component. ‘Je ziet dat in de technische en exacte hoek onderzoekers al meer gewend zijn aan open access publiceren. Zij hebben vaak ook al fondsen om de article processing charges uit te betalen. Maar in de sociale wetenschappen is dit nog allesbehalve gemeengoed. Het was van essentieel belang dat we voor de sociale wetenschappers de drempel van de publicatiekosten konden wegnemen.’

Dat het tijdschrift openbaar toegankelijk is, is van vitaal belang voor een maatschappelijk zo belangrijk terrein als crime science, zegt Hartel. ‘Ga maar eens naar Zuidoost Azië. Zodra je daar een usb-stick in een computer duwt, heb je meteen een virus te pakken. Cybercriminaliteit is een internationaal probleem, waarvoor je dus ook internationaal een oplossing moet zoeken. Als je wetenschappelijke artikelen met de nieuwste kennis dan achter betaal-muren zet, belemmer je de kennisuitwisseling en blijven criminelen je altijd een stap voor.’ •

Stimulans voor open kennisuitwisseling

INTERDISCIPLINAIR CYBER SECURITY ONDERZOEK

19dcypherapril 2017

De wereld digitaliseert. Bankkantoren verdwijnen en worden vervangen door een app. Betalen doe je met een contactloos pasje. En via je computer, telefoon, en zelfs je thermostaat of cv-ketel ben je altijd verbonden met het internet. ‘We moeten goed nadenken over de digitalisering van de maatschappij en de gevolgen daarvan voor security,’ zeggen dcypher adviesraadleden Maarten Bodlaender en Wouter Stol.

BLIK VAN BUITEN

‘Digitale technologie is moeilijk te beveiligen. We missen de basale bouwblokken nog om grote, complexe systemen veilig te construeren. dcypher moet het onderzoek sturen naar de onderwerpen waarop nu nog te weinig wordt gedaan. Daarnaast moet dcypher zich inzetten voor goed onderwijs op dit terrein. Voor een operatie wil je een gediplomeerd chirurg. Maar de Informatica is een

relatief jong vakgebied, de regels voor de kwaliteit van het onder-wijs zijn nog maar ten dele geformuleerd.

Bewust van verantwoordelijkheidDaarnaast moeten we ervoor zorgen dat alle opleidingen in het digitaliseringsdomein een security component krijgen. Informatica-studenten moeten beseffen dat ze terecht gaan komen in banen die aan kritische systemen werken, en dat daar een bepaalde werkwijze bij hoort om de veiligheid te garanderen. En we moeten die studenten het belang van privacy meegeven. Toen ik twaalf jaar was, was ik helemaal vol van James Bond. Ik had op een cassettebandje een MI6 database gemaakt met gegevens over mijn vriendjes, tot aan hun hobby’s aan toe. Daar hebben die jongens muziek overheen opgenomen, omdat ze helemaal niet wilden dat die gegevens ergens opgeslagen waren. Google heeft inmiddels een database waar de hele maatschappij in zit. Misschien wil iemand inmiddels dat tapeje ook wel overschrijven.

Iedereen weet dat hacken een probleem is, maar er wordt vaak gedaan alsof het heel simpel is om jezelf te beschermen. Dat valt tegen. Zelf ben ik meerdere malen met malware in aanraking gekomen, zijn mijn persoonsgegevens gestolen, werd volgens Google door vreemden op mijn gmail ingelogd, en zijn zowel mijn pinpas als mijn creditcard ooit geskimd. Daarnaast creëren we met het Internet-of-Things alleen maar meer ingangen. Vorig jaar heeft Netflix plat gelegen, als gevolg van een aanval door hackers die honderdduizend onveilige videocamera’s gebruikten. We moeten awareness creëren voor wat er allemaal technisch beter beveiligd moet worden. Wat mij betreft: alle producten met een processor en een internetstekker. Cyber security is een lastig probleem. Er moet meer geld naartoe zodat we mensen kunnen aanstellen de kwetsbaarheden op te lossen. De pakkans voor cybercriminelen is veel kleiner dan die voor gewone criminaliteit, en de winst is vergelijkbaar. Geen wonder dat de criminaliteit verschuift.’

‘Cyber security is een lastig probleem.

Er moet meer geld naartoe zodat we mensen kunnen

aanstellen om het op te lossen. De pakkans voor cybercriminelen is veel kleiner dan die

voor gewone criminali-teit, en de winst is

vergelijkbaar. Geen wonder dat de crimina-

liteit verschuift.’

“

Maarten Bodlaender general manager bij Philips Security Technologies

Nieuwe wereld, nieuwe beveiliging

20 dcypherapril 2017

‘In mijn werk richt ik me op digitalise-ring en veiligheid, zowel in onderwijs als in onderzoek. Voor cyber security zijn er wat mij betreft drie terreinen van belang: recht, techniek en criminologie. Vanuit die drie perspectieven moeten we kijken wat er mag, wat er kan en wat er helpt.

Een maatschappelijk probleem dat multidisciplinair is, moet je niet opbre-ken in de afzonderlijke facetten. Dan krijg je oplossingen die uiteindelijk niet gaan werken. Zelf heb ik onder andere

vier promovendi begeleid in hun onderzoek naar de veiligheid van internetbankieren. Ze lieten zien wat er technisch mogelijk was, en vroegen elkaar daarbij dan meteen: ja maar, mag dit wel? Gaat dit helpen? Je moet zorgen dat je geïntegreerd onderzoek doet met verschillende disciplines. Onderzoek moet net zo rijk zijn als het leven complex is.

Als ik het plastisch moet verwoorden: de techniek bouwt een verdedigingsmuur, en als je dan kijkt hoe aanvallers echt werken, zie je bijvoorbeeld dat ze tunnels graven. Dan helpt een nog hogere muur dus niet. Verdiep je in de aanvallers: hoe kiezen ze hun doelwitten, waarom, en hoe gaan ze te werk? Bij onderzoek naar digitale veiligheid komen momenteel vaak het geld en de beoordeling van de onderzoeksvoorstellen uit de technische hoek. Dat is te eenzijdig. We moeten meer ruimte maken voor multi disciplinair onderzoek. Dat begint vooraan: gezamenlijke financiering met verschillende wetenschappen in de programma- en beoordelingscommissies. Daar ligt een rol voor dcypher.

Afstemming en samenwerkingOp het terrein van onderwijs is er wat mij betreft vooral afstem-ming nodig. Het wetenschappelijk en het hoger beroepsonderwijs kunnen meer van elkaar leren. Het HBO kan het WO in contact brengen met het werkveld. Binnen HBO’s is meer ruimte voor kortlopend en kleinschalig onderzoek. Universiteiten hebben dan vaak weer een beter internationaal netwerk. Als we de samen-werking tussen universitair docenten en lectoren stimuleren, dan ontstaat er vanzelf een sterk netwerk. En dan kunnen meer studenten digitalisering ontdekken als interessant domein.We moeten ons nu eerst afvragen tot welk soort functies we wil-len opleiden, en welke kennis mensen moeten hebben. dcypher moet daar adviserend en signalerend in zijn. Laten we dus begin-nen met inventariseren waar de prioriteiten moeten liggen, en vervolgens in gezamenlijkheid onderwijs ontwikkelen dat in de behoefte voorziet.’ •

‘Nu komen zowel het geld als de beoorde-ling uit de technische

hoek. We moeten meer ruimte maken voor

sociale wetenschappers. Dat begint vooraan:

gezamenlijke financie-ring met verschillende wetenschappen in de

programma- en beoor-delingscommissies.’

“

Wouter Stollector Cybersafety aan NHL Hogeschool en Politieacademie en bijzonder hoogleraar Politiestudies aan de Open Universiteit

21dcypherapril 2017

INTERNATIONAAL

De komende tijd staan er drie belangrijke Europese programma’s op het terrein van cyber security open voor indiening. Dat kondigde Florent Frederix, European Commission Directorate General for Communications Networks, Content & Technology, aan tijdens de dcypher matchmaking dag op vrijdag 14 oktober 2016. Daarbovenop ligt er vier miljoen euro klaar voor degene die het beste veilige en werkbare alternatief kan verzinnen voor het wachtwoord.

22 dcypherapril 2017

Publiek-private cyber security callsCryptography, open tot juni 2017. Onderwerpen zijn onder andere: ontwikkelen van een lichte

vorm van cryptografie voor Internet-of-Things applicaties, oplossingen voor mobiel betalen, en

nieuwe manieren van versleutelen die bestand zijn tegen quantumcomputers.

Addressing Advanced Cyber security Threats and Threat Actors, open tot juli 2017. Aan bod

komen onder meer: organisaties bewust maken van hun zwakke plekken, detecteren van

aanvallen, en verzamelen van bewijs dat gebruikt kan worden in een rechtszaak.

Privacy, Data Protection, Digital Identities, open tot augustus 2017. Dit thema omvat onder

andere het ontwikkelen van technologie die privacy beschermt, en het ontwikkelen van tools

waarmee mensen inzicht krijgen in de privacy risico’s die ze lopen tijdens het gebruik van

bepaalde applicaties.

In totaal is er ongeveer 450 miljoen euro beschikbaar voor deze programma’s.

Voor complete beschrijvingen en voorwaarden waaraan een voorstel moet voldoen, zie:

➜ http://ec.europa.eu/research/participants/data/ref/h2020/wp/

2016_2017/main/h2020­wp1617­security_en.pdf

Verander de wereld en win vier miljoenDe Horizon Prijzen van de Europese

Commissie zijn bedoeld om doorbraken

te forceren voor een aantal van de

meest prangende problemen waar we

vandaag de dag mee worstelen. Een

eerste Horizon Prize is al uitgereikt

voor een oplossing om vaccins koel te

houden in warme landen, op plaatsen

waar geen elektriciteit beschikbaar is.

Op het gebied van cyber security wordt

een Horizon Prize ter waarde van vier

miljoen euro uitgeloofd voor degene die

het beste alternatief weet te verzinnen

voor het wachtwoord.

➜ Meer informatie: https://ec.europa.eu/

research/horizonprize/index.cfm

Onze maatschappij is steeds meer afhankelijk van ICT. En daarmee zijn we op allerlei terreinen kwetsbaar geworden voor hackers

Florent Frederix

23dcypherapril 2017

JONG TALENT

Hoe is jullie samenwerking ontstaan? ‘Al langere tijd bestond er een samenwerking op het gebied van cyber security tussen de Techni-sche Universiteit Eindhoven, de Technische Universiteit Delft en de Universiteit Twente. Twee jaar geleden hebben we met zijn drieën een voorstel geschreven om deze samenwerking uit te bouwen. Ons doel was om de samenwerking van de onderzoeksgemeenschap rondom cyber security te versterken door evenementen te organiseren met extra aandacht voor educatie en excellentie.’

Wat was de aanleiding daarvoor?‘Er zijn verschillende onderzoeksgroepen op dit terrein in Nederland, maar die zijn onderling niet heel erg verbonden. Met name op de niveaus van universitair docenten, postdocs en aio’s valt er nog veel te winnen. Wij willen ervoor zorgen dat men-sen ook op dat niveau weten wie in Nederland waarmee bezig is. Tegelijkertijd is het belangrijk dat de brug tussen de universiteit en bedrijven wordt geslagen. Onderwijs en studenten zijn hierin een natuurlijk smeermiddel. Denk hierbij aan projecten, gastcolleges, afstudeerders, hackatons. Nederland is klein, door mensen en geld efficiënt in te zetten kan je samen een veel grotere impact bereiken.’

Hoe zorgen jullie daarvoor?‘We hebben inmiddels twee keer een workshop gehouden van een halve dag, met internationale gastsprekers, discussies, en posterpresentaties. Daarnaast hebben we een evenement georgani-seerd gericht op masterstudenten en aio’s, waarbij ze elkaar konden leren kennen en tegelijkertijd iets inhoudelijks konden leren, zoals hacken. En we hebben samen met NWO en dcypher een prijs ingesteld voor de beste cyber security master thesis. Deze prijs is uitgereikt op ICT.OPEN 2017.’

Wanneer is jullie missie geslaagd? ‘Als er over vijf jaar gezamenlijke onderzoeks-projecten op verschillende thema’s rond cyber security en privacy zijn en er ook op het niveau van universitair docenten meer wordt samen-gewerkt in onderzoek en onderwijs. Daarnaast hoop ik dat er dan een brug geslagen is tussen de oudere generatie en de volgende generatie onderzoekers, zodat het cyber security netwerk ook in de komende decennia blijft bestaan. Een sterk netwerk is niet alleen goed voor de kwaliteit van het vakgebied in Nederland, maar ook voor de betrokken onderzoekers zelf.’ •

➜ Meer informatie binnenkort op

Het 4TU Insitute for Research on ICT

(4TU.NIRICT) biedt ondersteuning bij het

bouwen van onder-zoeksgerelateerde

gemeenschappen in het ICT-vakgebied. Op het

gebied van cyber security richtten Nicola Zannone,

Andreas Peter en Zekeriya Erkin zo’n

netwerk op. Dcypher ondersteunt dit initiatief.

Erkin vertelt over het hoe en waarom van

het netwerk.

v.l.n.r. Nicola Zannone, Zekeriya Erkin, Andreas Peter

Wat mij betreft vervult dcypher vooral een verbindende rol tussen alle bij cyber security onderzoek en onderwijs betrokken gremia

24 dcypherapril 2017

NIEUWS

Eerste studenten Executive Master opleiding Cyber Security afgestudeerdFEBRUARI 2017

In onze ‘interconnected world’ domineren cyber-dreigingen en inciden -

ten de agenda’s van politici, beleidsmakers, CIO’s en burgers. De voortschrijdende digitalisering van de samenleving creëert nieuwe kansen, maar kent ook risico’s en dilemma’s. Dit vraagt om gekwalificeerde deskundigen die deze uit dagingen het hoofd kunnen bieden. De Cyber Security Academy is trots daaraan een bijdrage te leveren. In februari 2017 ontvingen de eerste studenten in Nederland hun Master of Science (MSc) diploma in Cyber Security op de HSD Campus. •

>

In 2017 doet fotograaf Jeroen de Bakker met zijn nieuwste fotoproject onderzoek naar de huidige staat van ons internet en de Cyber Security. Vanuit verschillende perspectieven

wordt het onderwerp in beeld gebracht; grote instellingen als het KPN, De Rabobank en het Cyber Leger, maar ook de eenpits hacker die zijn gevon-den bugs probeert te verkopen tot aan de grote datacentra waar alle informatie wordt opgeslagen en bewaakt. ➜ Volg het fotoproject het komende jaar via: www.jdebakker.com

Fotografie Project: Cyber SecurityDECEMBER 2016

>

Op 14 oktober 2016, tijdens het door dcypher en partners georganiseerde Seaside Matchmaking Event in Den Haag, heeft NWO een aankondiging gedaan van drie Cyber Security calls, die in 2017 open gesteld worden. Het betreft de 3e nationale call Cyber Security onderzoek, de 2e Joint US-NL Cyber Security call, en de ‘Scientist on the Job call for temporary positions’.

De Nationale call cyber security onderzoek zal in de loop van 2017 opengesteld worden. Deze call wordt gefinancierd door NWO ENW en het Nationaal Regie-orgaan voor Praktijkgericht Onderzoek SIA. Net als de voorgaande nationale Cyber Security calls betreft dit een oproep gericht op publiek-private (onderzoeks)samenwerking. Nieuw ten opzichte van eerdere cyber security calls is de deelname van Regieorgaan SIA. Hiermee wordt het mogelijk financiering aan te vragen voor een onderzoeksproject dat wordt uitgevoerd door een universiteit in samenwerking met een hogeschool.

De Joint US-NL Cyber Security call is gericht op samenwerking tussen Nederlandse en Amerikaanse

wetenschappers. Deze call zal in het voor-jaar van 2017 opengesteld worden, en zal worden gefinancierd door NWO ENW, het Nationale Cyber Security Center (NCSC) van het ministerie van V&J en het US Department of Homeland Security (DHS).

Het nieuwe ‘Scientist on the Job’ instru-ment biedt jonge onderzoekers de moge-lijkheid om voor een beperkte periode ‘uitgeleend’ te worden aan een publieke of private organisatie om bij te dragen aan onderzoeksvraagstellingen van deze organisatie en zelf meer inzicht te verkrij-gen in de werking en doelstellingen van de organisatie. Meer informatie over deze drie onderzoeksprogramma’s zal in 2017 worden verschaft via de website van NWO.

Tijdens het evenement zijn ook nieuwe onderzoeks- en financieringsmogelijk-heden aangekondigd door de Rijksdienst voor Ondernemend Nederland (RVO) en

het NCSC. De RVO kondigde aan dat de derde ronde Small Business Innovation Research (SBIR) op het gebied van cyber security per direct opengesteld is. Het NCSC heeft aangekondigd dat het met DHS overeen gekomen is dat Nederlandse onderzoekers toegang kunnen krijgen tot de Information Marketplace for Policy and Analysis of Cyber-Trust (IMPACT).

IMPACT is een online platform van DHS waarop onderzoekers en bedrijven datasets kunnen uitwisselen voor cyber security tests en onderzoek. Toegang kan worden aangevraagd via het dcypher IMPACT portaal, en aanvragen zullen worden getoetst door het NCSC. •

Tijdens het SMMCS aangekondigde cyber security programma’s OKTOBER 2016

25dcypherapril 2017

Om geheime informatie veilig te versturen, willen onderzoekers de locatie van de verzender gebruiken, zodat de ontvanger zeker weet dat een boodschap bijvoorbeeld echt

uit het Witte Huis afkomstig is. Op de klassieke manier is deze methode niet veilig gebleken. Quantumversleuteling leek wel kans te hebben. In 2014 werd al aangetoond dat deze methode niet veilig was voor een groep samenwerkende aanval-lers met oneindig veel ‘verstrengelde toestanden’. Dit liet echter de moge lijkheid open dat deze methode voor realistische aanvallen wel veilig zou zijn. Florian Speelman, promovendus van het Centrum Wiskunde & Informatica (CWI), onderzocht quantumaanvallen met teleportatietechnieken en toonde aan dat een deel van de met locatie beveiligde protocollen ook bij gebruik van een realistisch aantal verstrengelde quantumtoestanden niet veilig is. •

Cryptografen Léo Ducas van het Centrum Wiskunde & Informatica (CWI) en Peter Schwabe (Radboud Univer siteit) hebben de internationale Internet Defense Prize 2016 gewonnen. Zij kregen

de prijs samen met hun co-auteurs Erdem Alkim (Ege University, Turkije) en Thomas Pöppelmann (Infineon Technologies AG, Duitsland) voor hun paper ‘Post-Quantum Key Exchange - A New Hope’. De prijs werd uitgereikt op 10 augustus tijdens het 25e USENIX Security Symposium in Austin, Texas. Facebook stelde de Internet Defense Prize in 2014 in, met USENIX als partner. De prijs bestaat uit 100.000 dollar. Het winnende team stelde een verbeterd cryptosysteem voor, ‘NewHope’, dat is ontworpen om aanvallen van toekomstige quantumcomputers te weerstaan. Zulke quantumcomputers zouden een verwoestend effect hebben op de veiligheid van onze huidige protocollen - een komst die soms wordt aangeduid als een ‘Cryptocalypse’. NewHope kan bijvoorbeeld worden geïntegreerd in TLS en HTTPS, twee security protocollen die worden gebruikt door webbrowsers. Dit werd onlangs gedaan door Google, als een experiment voor post-quantum beveiliging. •

>

Zelfs quantum cryptografie blijkt kraakbaarAUGUSTUS 2016

>

‘NewHope’ voor CWI en RUNAUGUSTUS 2016

VU-onderzoekers Erik Bosman, Kaveh Razavi, Cristiano Giuffrida en Herbert Bos ontvingen tijdens de Black Hat Conference in Las Vegas de presti gieuze Pwnie voor for Most Innovative Research. De Pwnie Awards worden gezien als de Oscars voor hackers.

De Pwnie Awards zijn vernoemd naar het woord ‘pwn’, wat hackersjargon is voor het compromitteren en controleren van een

systeem. De VU-informatici werden bekroond voor hun werk ‘Dedup Est Machina: Memory Deduplication as an Advanced Vector Exploitation’. In dit onderzoek wordt een nieuwe aanvalstechniek beschreven waar-mee hackers state-of-the-art software kunnen over-nemen, zoals de nieuwe Edge-browser op Microsoft Windows, zelfs als de software compleet beveiligd is en geen bugs heeft. Bovendien kan dit worden gedaan in de browser vanuit JavaScript, een code die browsers

automatisch uitvoeren als ze een website openen.Dit onderzoek verandert onze kijk op softwareveilig-heid. Voorheen werd gedacht dat informatiesystemen onveilig waren omdat de software veel bugs of errors bevatten. De VU-onderzoekers laten zien dat zelfs systemen met zogenaamd perfecte software kunnen worden gepwnd. •

Internationale prijs voor Nederlandse onderzoekersAUGUSTUS 2016

26 dcypherapril 2017

Dutch Investments in ICT & Cybersecurity The Hague Centre for Strategic Studies, maart 2017

Cybersecurity in the European Digital Single Market EC, Scientific Advice Mechanism, februari 2017

NIEUWS

Rathenau Instituut

Rapport

Een nooit gelopen race

Over cyberdreigingen en versterking

van weerbaarheidMAGAZINE

De economische en maatschappelijke noodzaak van meer cyber-

security • Nederland digitaal droge voeten • Top van Nederland

aan het woord over de digitale veiligheid van Nederland

SPECIALE UITGAVE

Jaargang 3, nummer 1, maart 2017

Rathenau Instituut

Rapport

Opwaarderen

Borgen van publieke waarden

in de digitale samenleving

Vijf PRICE projecten toegekendJUNI 2016

Op 24 juni 2016 heeft het gebieds bestuur Exacte Wetenschappen van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), aangevuld met een vertegenwoordiger van het gebiedsbestuur Maatschappij- en Gedrags wetenschappen een vijftal projecten in de Internationale Privacy Research in Cyber Enviroment (PRICE) ronde toegekend.

In totaal zijn er 44 onderzoeksvoorstellen ingediend bij NWO en de NSF. De PRICE call is ontwikkeld en uitgevoerd door NWO en de Amerikaanse National

Science Foundation (NSF). Nederlandse en Amerikaanse onderzoekers konden gezamenlijke onderzoeksvoorstel-len indienen rondom privacy gerelateerde aspecten in de digitale omgeving. Het gekozen thema nodigde aanvragers

uit om interdisciplinaire samen-werkingsverbanden op te zetten, om zowel de technische, economische als juridische aspecten van online privacy te onderzoeken. Doel van de call is versterking van het onderzoek naar privacy en digitale bescherming van de privacy door samenwerking tussen Amerikaanse en Nederlandse kennisinstellingen die elkaar wederzijds op dit onderzoeksterrein iets te bieden hebben. In het samenwerkingsverband, binnen elk van de projecten, wordt de Nederlandse onderzoeksgroep gefinancierd door NWO en de Amerikaanse onderzoeksgroep door de NSF. NWO en de NSF hebben uiteindelijk vijf voorstellen gehonoreerd, die in de gezamenlijke rangschikking als hoog-ste waren geëindigd. •

The Hague Centre for Strategic Studies SECURITY

DUTCH INVESTMENTS IN

ICT AND CYBERSECURITY

PUTTING IT IN PERSPECTIVE

Research and

Innovation

in the European Digital Single MarketCybersecurity

Scientific Advice

Mechanism (SAM)

High Level Group of Scientific Advisors

Scientific Opinion No. 2/2017

Nederland digitaal droge voeten

De economische en maatschappelijke

noodzaak van meer

cybersecurity

>

UITGAVEN

Een nooit gelopen race Rathenau Instituut, maart 2017

Opwaarderen. Borgen van publieke waarden in de digitale samenleving Rathenau Instituut, februari 2017

Nederland digitaal droge voeten Herna Verhagen, PostNL, oktober 2016

CSR Magazine, Speciale Uitgave Cybersecurity Raad, maart 2017

ADVIES

EthISchE En jurIDISchE ASpEctEn VAn InformAtIcAonDErzoEk

ADVIES knAw

EthISchE En jurIDISchE

ASpEctEn VAn

InformAtIcAonDErzoEk

Ethische en juridische aspecten van informaticaonderzoekKNAW, september 2016

27dcypherapril 2017

symposium04-10-2017

MediaPlaza, Utrecht

21-25 August 2017