column

Cybersecurity, voorlopig nog dweilen met de kraan open?

BLOGGER: ANDRÉ SMULDERS

16 februari 2018 • 4 min leestijd

Of het nu gaat om kwetsbaarheid van de vitale infrastructuur voor buitenlandse hackers of om sluizen die digitaal worden gemonitord, de boodschap blijft hetzelfde: de cybersecurity in Nederland is niet op orde. De media-aandacht is dan ook groot. Omdat we nog steeds niet beseffen dat systemen eindeloos met elkaar zijn verweven, blijft het dweilen met de kraan open. TNO ontwikkelde diverse methodes om de kraan te sluiten.

Waar begint het systeem en waar houdt het op? Bij cybersecurity van systemen denken we al snel aan het beveiligen van een afgebakend object zoals een sluis, een slimme koelkast of een zelfrijdende auto. Maar de grens van een digitaal systeem eindigt niet bij de fysieke grenzen van het object. Als de sluis, koelkast of auto op afstand wordt gecontroleerd en onderhouden, dan worden ook de systemen die daarvoor nodig zijn onderdeel van de digitale infrastructuur.

Aanvullende aanpak voor digitale veiligheid

Een benadering vanuit zo’n opzichzelfstaand apparaat is dus niet voldoende om de digitale veiligheidsrisico’s te overzien. Om te voorkomen dat we door dit inzicht verzanden in een oneindig uitdijend samenstel van verbonden apparaten, is een aanvullende aanpak nodig voor digitale veiligheid.

“Een moderne cybersecurityaanpak vraagt om een geïntegreerde benadering. TNO ontwikkelde daartoe diverse methodes, zoals Networked Risk Management”

Ieder zijn eigen verantwoordelijkheid

De verbonden onderdelen vallen in de praktijk vaak onder de controle van verschillende stakeholders, van Rijkswaterstaat tot het ministerie van Justitie en Veiligheid en van autodealer tot energieleverancier. Elke partij heeft hierin zijn eigen verantwoordelijkheid – of dat nu een bedrijf, een consument of de overheid is. We moeten digitale veiligheid dus niet alleen bekijken vanuit het perspectief van de technologie, maar ook vanuit de organisatorische blik van de diverse stakeholders. Alleen een dergelijke aanpak biedt handvatten om het steeds complexer en dynamischer wordende vraagstuk beheersbaar en bestuurbaar te houden.

Controle krijgen over risico’s

Omdat technische onderdelen steeds meer belegd zijn bij verschillende organisaties, vraagt een moderne cybersecurityaanpak om een geïntegreerde benadering. TNO ontwikkelde daartoe diverse methodes. Denk aan Networked Risk Management: een methode waarmee we bedrijven helpen om weer controle te krijgen over hun taken en risico’s. Of aan ketenweerbaarheid: een stappenplan dat ketenorganisaties helpt om hun cybersecurity te versterken.

Veilig uit het digitale domein verwijderen

Waar we zeker nog te weinig over horen, is de mogelijkheid om producten en diensten die niet meer veilig zijn te houden, uit het digitale domein te verwijderen. De oplossing is ‘security by design’, ofwel direct veilig ontwerpen in plaats van naderhand veiligheidskwesties oplossen. Maar dat vraagt wel om een inspanning van de betrokken partijen. Het is een taak van de overheid om dat in haar cybersecuritybeleid te faciliteren, omdat het hier een overkoepelend probleem betreft dat niet door individuele partijen of een sector alleen kan worden opgelost.

“Samen met organisaties in de vitale sector helpt TNO de risico’s in ketenverband graag te identificeren en beheersen – ook wanneer de complexiteit van deze ketens toeneemt”

Systemen veilig aanpassen

En hoe kunnen systemen veilig worden getest en aangepast? Verschillende toepassingsgebieden vragen om een verschillende aanpak. Wat in één omgeving een no‑brainer is, zorgt in een andere voor de nodige hoofdpijn. Het uitgangspunt dat systemen moeten zijn voorzien van de meest recente updates is bijvoorbeeld eenvoudig toepasbaar in een thuisomgeving, waar de beschikbaarheidseisen te verwaarlozen zijn. Maar voor een systeem dat continu beschikbaar moet zijn, is de afweging om het systeem met een security-update te veranderen vaak een duivels dilemma.

Effecten testen

Het dilemma wordt nog sterker wanneer het effect van een verandering niet of beperkt kan worden getest. Voor consumentenproducten die vaak in grote aantallen worden gemaakt, zijn voldoende testexemplaren beschikbaar. Het opzetten van een testsysteem voor een uniek product zoals een sluis is echter niet zo evident. Welke gemeente kan zich een testsluis veroorloven om updates te beproeven? Dat ook leveranciers hiermee worstelen is te zien aan het instabiel worden van systemen van leveranciers in de procesindustrie. Deze instabiliteit ontstond na het patchen van systemen tegen kwetsbaarheden voor Meltdown en Spectre.

De focus op voor de hand liggende maatregelen is goed. Veel zwakheden worden proactief opgelost. Maar we moeten ervoor waken dat daarmee geen blinde vlek ontstaat voor de vaak specifieke randvoorwaarden waarmee systeemeigenaren te maken hebben.

“In elke stap van de levenscyclus van systemen speelt cybersecurity een rol, waarbij het veilig kunnen verwijderen van systemen aan het einde van hun levensduur een urgent probleem is”

Gedifferentieerde cybersecurityaanpak

Om Nederland digitaal veilig te houden timmert een grote groep experts stevig aan de weg. Maar het is hard nodig om die kennis en kunde breder toegepast te krijgen, zodat we voorkomen dat deze experts al dweilend ten onder gaan. Dat vraagt om een gedifferentieerde cybersecurityaanpak, die rekening houdt met de toenemende verbondenheid van technologie en een groeiend aantal stakeholders. In elke stap van de levenscyclus van systemen speelt cybersecurity een rol, waarbij het veilig kunnen verwijderen van systemen aan het einde van hun levensduur een urgent probleem is.

TNO helpt risico’s beheersen

In alle levensfases van digitale apparaten – van ontwerp, gebruik tot en met afstoting – zijn aangrijpingspunten te vinden die helpen om de veiligheid te verbeteren. Besteden we daaraan onvoldoende aandacht, dan zitten we straks opgescheept met een grote hoeveelheid onveilige, digitale infrastructuur en blijven we kwetsbaar tot in de haarvaten. Samen met organisaties in de vitale sector helpt TNO de risico’s in ketenverband graag te identificeren en beheersen – ook wanneer de complexiteit van deze ketens toeneemt.

Auteur

Andre Smulders, Senior Consultant Security

Meer informatie?

Neem voor meer informatie contact op met Andre Smulders

Neem contact op
column

Cybersecurity, voorlopig nog dweilen met de kraan open?

16 feb '18 - 4 min
Of het nu gaat om kwetsbaarheid van de vitale infrastructuur voor buitenlandse hackers of om sluizen die digitaal worden gemonitord, de boodschap blijft hetzelfde:... Lees meer
blik op de toekomst

Maatwerk 5G-netwerken bouwen voor sectoren

25 okt '18 - 4 min
5G belooft meer data met hogere snelheden en zal de snel digitaliserende samenleving voorzien van waardevolle mobiele toepassingen en diensten. Om die belofte van... Lees meer
blik op de toekomst

Hoe komt je leven in 5G eruit te zien?

8 okt '18 - 2 min
Een kleine technologische revolutie – dat belooft de implementatie van 5G. Het netwerk van de jaren 2020-2030 zal onder meer effect hebben op hoe ons eten wordt... Lees meer
verhaal van de klant

Data delen voor de verduurzaming van de agrarische sector

30 aug '18 - 3 min
Het programma SmartDairyFarming, dat zich bezighoudt met de digitalisering van de melkveehouderij, heeft zich doorontwikkeld tot een innovatieve coöperatie: JoinData.... Lees meer
blik op de toekomst

ICT belangrijk voor slagen zelfrijdende auto

26 jul '18 - 5 min
Hoe zorg je dat zelfrijdende voertuigen op tijd over de juiste informatie beschikken, dat netwerken daardoor niet overbelast raken en dat de informatie-uitwisseling... Lees meer
blik op de toekomst

AVG geregeld? Mooi, maar kan het in de toekomst efficiënter?

25 mei '18 - 3 min
Nu de nieuwe Europese privacywetgeving (AVG) van kracht is geworden, moeten organisaties uitgebreid verantwoording afleggen over hun gebruik van persoonsgegevens.... Lees meer

VOLG TNO OP SOCIAL MEDIA

blijf op de hoogte van ons laatste nieuws, vacatures en activiteiten

Wij gebruiken anonieme cookies om het gebruik van onze site te verbeteren. Ons privacystatement is aangepast aan de nieuwe privacywetgeving in de EU.