Privacy-verbeterende technieken gebruiken bij het delen van cybersecurity data

De paradox in informatiedeling

Er leeft een paradox in onze data-gedreven maatschappij. Organisaties willen samenwerken, maar zijn hiertoe niet in staat omdat de data die zij bezitten (privacy-)gevoelig is. TNO heeft vastgesteld dat deze paradox de bereidwilligheid van organisaties aantast om cybersecurity informatie te delen. Bedrijven en organisaties staan wel open om van elkaar te leren, maar het delen van cybersecurity data en inzichten is vaak een brug te ver. Aspecten zoals privacy, financiën, of reputatie zijn barrières die informatiedeling in de weg staan.

Samen rekenen met data

Secure Multi-Party Computation (MPC) is een oplossing. Het stelt grote en kleine organisaties in staat om gezamenlijk te rekenen met data op een manier alsof men samen een database bezit. TNO heeft een Proof of Concept ontwikkelt om een analyse te doen over data van cybersecurity incidenten uit verschillende organisaties. Hiermee worden barrières voor het delen van cybersecurity data weggenomen.

Onderzoek naar de toegevoegde waarde van MPC

TNO heeft gedurende 2020 de toegevoegde waarde van MPC voor cybersecurity informatiedeling onderzocht aan de hand van een use case. De use case gaat over organisatie A, B, C, D en E. Allen slaan informatie op over cybersecurity incidenten die plaatsvinden in hun netwerk (bijvoorbeeld ransomware of DDoS-aanvallen).

Ze vermoeden dat andere organisaties vergelijkbare incidenten registreren, en mocht dat zo zijn zouden ze op de hoogte gesteld willen worden. Organisatie A wil de incidenteninformatie echter niet aan organisatie B, C, D en E sturen. Waarom niet? Het geeft te veel gevoelige informatie prijs, bijvoorbeeld hoe lang het duurde voordat een incident opgelost was, of welke financiële schade geleden is.

MPC-protocol voor gevoelige informatie

De gevoeligheid van dit soort informatie staat het delen in de weg. Een MPC-protocol kan hier een oplossing voor bieden. Een protocol  ziet er als volgt uit:

• Organisaties beantwoorden vragen over ieder geregistreerd incident, bijvoorbeeld over de interne acties die uitgevoerd zijn om het incident op te lossen, de aanvaller en/of de impact.
• Iedere organisatie verwerkt deze informatie in een database (de input), waarna deze veilig beschikbaar gesteld wordt aan het MPC-protocol.
• De data wordt veilig gecombineerd.
• De deelnemende organisaties bepalen welke analyses ze uit willen voeren op de data. Bijvoorbeeld in hoeveel procent van de incidenten malware een rol speelde. Onthoud dat de organisaties slechts de uitkomst te weten komen en dat niemand kan achterhalen dat bijvoorbeeld organisatie A meerdere ransomware aanvallen registreerde.
• Deelnemende organisaties hebben van elkaar geleerd terwijl anonimiteit behouden is gebleven. Een daadwerkelijk ‘gedeelde’ database is het resultaat.

Vertrouwen in informatiedelen Het delen van cybersecurity informatie vindt plaats in communities waarbij de deelnemers elkaar vertrouwen. We hebben geconstateerd dat dit op informele en ongestructureerde wijze gedaan wordt, en dat privacy aspecten en reputatieschade het delen van kwantitatieve data weerhoudt. De bestaande dynamiek is waardevol maar kan aangevuld worden. Een TNO Secure Incident Analysis kan de stilte doorbreken en het resultaat van een MPC-protocol kan organisaties ondersteunen in het beter beveiligen van de eigen organisatie.

Samenwerking  

MPC is geen totaaloplossing. Organisaties moeten vaak geholpen worden om gestructureerd data te verzamelen. Dit is een belangrijke voorwaarde van een succesvolle werking van een MPC-protocol. Tevens moeten deelnemende organisaties vooraf overeenkomen welke vragen zij beantwoord willen krijgen. Met het invullen van deze randvoorwaarden kan MPC een technische oplossing zijn om barrières die informatiedeling momenteel in de weg staan af te breken.