column

Cybersecurity, voorlopig nog dweilen met de kraan open?

BLOGGER: ANDRÉ SMULDERS

16 februari 2018 • 4 min leestijd

Of het nu gaat om kwetsbaarheid van de vitale infrastructuur voor buitenlandse hackers of om sluizen die digitaal worden gemonitord, de boodschap blijft hetzelfde: de cybersecurity in Nederland is niet op orde. De media-aandacht is dan ook groot. Omdat we nog steeds niet beseffen dat systemen eindeloos met elkaar zijn verweven, blijft het dweilen met de kraan open. TNO ontwikkelde diverse methodes om de kraan te sluiten.

Waar begint het systeem en waar houdt het op? Bij cybersecurity van systemen denken we al snel aan het beveiligen van een afgebakend object zoals een sluis, een slimme koelkast of een zelfrijdende auto. Maar de grens van een digitaal systeem eindigt niet bij de fysieke grenzen van het object. Als de sluis, koelkast of auto op afstand wordt gecontroleerd en onderhouden, dan worden ook de systemen die daarvoor nodig zijn onderdeel van de digitale infrastructuur.

Aanvullende aanpak voor digitale veiligheid

Een benadering vanuit zo’n opzichzelfstaand apparaat is dus niet voldoende om de digitale veiligheidsrisico’s te overzien. Om te voorkomen dat we door dit inzicht verzanden in een oneindig uitdijend samenstel van verbonden apparaten, is een aanvullende aanpak nodig voor digitale veiligheid.

“Een moderne cybersecurityaanpak vraagt om een geïntegreerde benadering. TNO ontwikkelde daartoe diverse methodes, zoals Networked Risk Management”

Ieder zijn eigen verantwoordelijkheid

De verbonden onderdelen vallen in de praktijk vaak onder de controle van verschillende stakeholders, van Rijkswaterstaat tot het ministerie van Justitie en Veiligheid en van autodealer tot energieleverancier. Elke partij heeft hierin zijn eigen verantwoordelijkheid – of dat nu een bedrijf, een consument of de overheid is. We moeten digitale veiligheid dus niet alleen bekijken vanuit het perspectief van de technologie, maar ook vanuit de organisatorische blik van de diverse stakeholders. Alleen een dergelijke aanpak biedt handvatten om het steeds complexer en dynamischer wordende vraagstuk beheersbaar en bestuurbaar te houden.

Controle krijgen over risico’s

Omdat technische onderdelen steeds meer belegd zijn bij verschillende organisaties, vraagt een moderne cybersecurityaanpak om een geïntegreerde benadering. TNO ontwikkelde daartoe diverse methodes. Denk aan Networked Risk Management: een methode waarmee we bedrijven helpen om weer controle te krijgen over hun taken en risico’s. Of aan ketenweerbaarheid: een stappenplan dat ketenorganisaties helpt om hun cybersecurity te versterken.

Veilig uit het digitale domein verwijderen

Waar we zeker nog te weinig over horen, is de mogelijkheid om producten en diensten die niet meer veilig zijn te houden, uit het digitale domein te verwijderen. De oplossing is ‘security by design’, ofwel direct veilig ontwerpen in plaats van naderhand veiligheidskwesties oplossen. Maar dat vraagt wel om een inspanning van de betrokken partijen. Het is een taak van de overheid om dat in haar cybersecuritybeleid te faciliteren, omdat het hier een overkoepelend probleem betreft dat niet door individuele partijen of een sector alleen kan worden opgelost.

“Samen met organisaties in de vitale sector helpt TNO de risico’s in ketenverband graag te identificeren en beheersen – ook wanneer de complexiteit van deze ketens toeneemt”

Systemen veilig aanpassen

En hoe kunnen systemen veilig worden getest en aangepast? Verschillende toepassingsgebieden vragen om een verschillende aanpak. Wat in één omgeving een no‑brainer is, zorgt in een andere voor de nodige hoofdpijn. Het uitgangspunt dat systemen moeten zijn voorzien van de meest recente updates is bijvoorbeeld eenvoudig toepasbaar in een thuisomgeving, waar de beschikbaarheidseisen te verwaarlozen zijn. Maar voor een systeem dat continu beschikbaar moet zijn, is de afweging om het systeem met een security-update te veranderen vaak een duivels dilemma.

Effecten testen

Het dilemma wordt nog sterker wanneer het effect van een verandering niet of beperkt kan worden getest. Voor consumentenproducten die vaak in grote aantallen worden gemaakt, zijn voldoende testexemplaren beschikbaar. Het opzetten van een testsysteem voor een uniek product zoals een sluis is echter niet zo evident. Welke gemeente kan zich een testsluis veroorloven om updates te beproeven? Dat ook leveranciers hiermee worstelen is te zien aan het instabiel worden van systemen van leveranciers in de procesindustrie. Deze instabiliteit ontstond na het patchen van systemen tegen kwetsbaarheden voor Meltdown en Spectre.

De focus op voor de hand liggende maatregelen is goed. Veel zwakheden worden proactief opgelost. Maar we moeten ervoor waken dat daarmee geen blinde vlek ontstaat voor de vaak specifieke randvoorwaarden waarmee systeemeigenaren te maken hebben.

“In elke stap van de levenscyclus van systemen speelt cybersecurity een rol, waarbij het veilig kunnen verwijderen van systemen aan het einde van hun levensduur een urgent probleem is”

Gedifferentieerde cybersecurityaanpak

Om Nederland digitaal veilig te houden timmert een grote groep experts stevig aan de weg. Maar het is hard nodig om die kennis en kunde breder toegepast te krijgen, zodat we voorkomen dat deze experts al dweilend ten onder gaan. Dat vraagt om een gedifferentieerde cybersecurityaanpak, die rekening houdt met de toenemende verbondenheid van technologie en een groeiend aantal stakeholders. In elke stap van de levenscyclus van systemen speelt cybersecurity een rol, waarbij het veilig kunnen verwijderen van systemen aan het einde van hun levensduur een urgent probleem is.

TNO helpt risico’s beheersen

In alle levensfases van digitale apparaten – van ontwerp, gebruik tot en met afstoting – zijn aangrijpingspunten te vinden die helpen om de veiligheid te verbeteren. Besteden we daaraan onvoldoende aandacht, dan zitten we straks opgescheept met een grote hoeveelheid onveilige, digitale infrastructuur en blijven we kwetsbaar tot in de haarvaten. Samen met organisaties in de vitale sector helpt TNO de risico’s in ketenverband graag te identificeren en beheersen – ook wanneer de complexiteit van deze ketens toeneemt.

Auteur

Andre Smulders, Senior Consultant Security

Meer informatie?

Neem voor meer informatie contact op met Andre Smulders

Neem contact op
blik op de toekomst

Koningsnacht op afstand

26 apr '19 - 3 min
Koningsnacht 2035. Met vrienden een rondje vrijmarkt in Utrecht of langs de Haagse pleinen. Genieten van de muziek en proosten op het leven. Eén groot verschil:... Lees meer
innovatie

Een snellere uitrol van flexibele displays dankzij SALDtech

27 mrt '19 - 3 min
Ja, er bestaan al telefoons met flexibele displays. Maar het kost momenteel wel veel tijd en geld om beeldschermen met de gewenste buigbaarheid te produceren. Ondertussen... Lees meer
verhaal van de klant

"Met MPC maken we marketing software privacyvriendelijk"

22 mrt '19 - 3 min
Het Nederlandse bedrijf Flytxt ontwikkelt voor ruim honderd ondernemingen in vijftig landen softwareproducten voor marketing automatisering met machine learning... Lees meer
innovatie

D-score: wereldwijd inzicht in de ontwikkeling van kinderen

20 mrt '19 - 2 min
Wereldwijd zijn er nog altijd veel kinderen die in hun eerste vijf levensjaren een achterstand oplopen, doordat ze te weinig goede voeding, zorg en leermogelijkheden... Lees meer
innovatie

Gemakkelijk en gecontroleerd data delen via IDS

18 mrt '19 - 3 min
Gemakkelijk en gecontroleerd data delen om de concurrentiepositie te versterken – daarvoor kunnen bedrijven terecht bij het Europese ecosysteem International Data... Lees meer

VOLG TNO OP SOCIAL MEDIA

blijf op de hoogte van ons laatste nieuws, vacatures en activiteiten

Op TNO.nl maken we gebruik van cookies. De daarin opgeslagen informatie kan bij een volgend bezoek weer naar onze servers teruggestuurd  worden.