ONGERUBRICEERD
Cyber Analysis Information Tool (CAIT) Eindrapportage Versie 1.0
Datum Status
25 juni 2015 Definitief
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
Colofon
Afzendgegevens
Projectnaam
Ons kenmerk
Nationaal Cyber Security Centrum Expertise & Advies Turfmarkt 147 2511 DP Den Haag Postbus 117 2501 CC Den Haag www.nctv.nl Eindrapportage Cyber Analysis Information Tool Eindrapportage 150528 CAIT
Pagina 3 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
Inhoud
Colofon 3 1 1.1 1.2
Inleiding 7 Achtergrond 7 Structuur 7
2
Probleembeschrijving 9
3 3.1 3.2
Aanpak 11 Structurering project 11 Manier van werken 12
4 4.1 4.2 4.2.1 4.2.2 4.2.3 4.3 4.4
Projectresultaten 13 Marktverkenning 13 Proof of Concept 13 Relevantiebepaling 14 Dossiervoorstellen 14 Conclusie 15 Mid-level requirements 15 Conceptueel model 16
5
Vervolgstappen 17
Pagina 5 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
1
Inleiding
1.1
Achtergrond Het Nationaal Cyber Security Centrum heeft sinds haar oprichting een steeds zichtbaarder profiel in de bestrijding van de gevolgen van cyberdreigingen. Dit profiel gaat gepaard met hogere verwachtingen ten aanzien van bijvoorbeeld de duiding van dreigingen, risico analyses en dataonderzoeken. Daarnaast wordt de hoeveelheid te analyseren data die bij het NCSC binnenkomt steeds groter. Dit is enerzijds het gevolg van het ambitieniveau van het centrum, anderzijds het logische resultaat van interne en externe ontwikkelingen. Hierbij kan worden gedacht aan de toegenomen detectiemogelijkheden, alsook aan de versterking van de publiekprivate en internationale samenwerking. Medio 2013 heeft het NCSC een aanvraag ingediend bij de Directie Strategie en Bedrijfsvoering voor het innovatieproject “Cyber Analysis Cell” . Op 11 juni is hier positief op gereageerd en heeft de Directie onder het programma “Veilig door Innovatie” budget toegekend aan het project. Op basis van het projectplan is een plan van aanpak opgesteld, waarin de verschillende fases van het project verder zijn geoperationaliseerd. In het plan van aanpak is het project omgedoopt van de oorspronkelijke titel “Cyber Analysis Cell” naar “Cyber Analysis Innovation Tool”, of kortweg CAIT, waarmee wordt benadrukt dat geautomatiseerde ondersteuning van het analyseproces de kern van het project vormt. Het doel van CAIT is het verkennen van de mogelijkheden van deze geautomatiseerde ondersteuning gericht op de schaalvergroting en katalyse van bestaande analysecapaciteiten teneinde de effectiviteit en efficiëntie van de analysefunctie van het NCSC te vergroten.
1.2
Structuur Dit document is als volgt gestructureerd. In het volgende hoofdstuk komt de probleembeschrijving aan de orde. Hoofdstuk 3 staat stil bij de aanpak van het project, waarna hoofdstuk 4 de verschillende deelresultaten van het project presenteert. Deze eindrapportage sluit af met een voorschot op eventuele vervolgstappen in hoofdstuk 5.
Pagina 7 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
2
Probleembeschrijving
Het Nationaal Cyber Security Centrum (NCSC) geeft invulling aan de integrale aanpak van cybersecurity en brengt bestaande initiatieven bij elkaar. Als onderdeel van haar taakstelling houdt het NCSC continu zicht op actuele digitale dreigingen, kwetsbaarheden en ontwikkelingen op het gebied van ICT veiligheid. Hierbij wordt geput uit zowel openbare als vertrouwelijke bronnen. Deze bronnen genereren een groot aantal (nieuws)berichten, die worden geanalyseerd met het oog op operationele dreigingen alsmede op tactische en strategische ontwikkelingen en trends. Voor het operationele proces beschikt het NCSC over een technische oplossing die in staat is om de individuele nieuwsberichten te verzamelen, te registreren en te clusteren. Deze oplossing (genaamd Taranis) is in het verleden door het NCSC ontwikkeld. Tegenwoordig is Taranis als open source software beschikbaar gesteld, waardoor ook andere partijen kosteloos gebruik kunnen maken van de oplossing. Taranis is echter minder geschikt voor analyse op tactisch en strategisch niveau. Deze activiteiten worden verricht door analisten, die de beschikbare data grotendeels handmatig verwerken. Gezien de grote hoeveelheid informatie en de diversiteit van de bronnen wordt er relatief veel tijd besteed aan het opsporen en selecteren van de juiste berichten, waardoor er minder tijd beschikbaar is voor het verrichten van analyses op de geselecteerde informatie. In het licht van de continu groeiende informatiestroom is deze gang van zaken op de lange termijn niet houdbaar. Dit is dan ook de aanleiding voor het verrichten van onderzoek naar de mogelijkheid om de analisten te ondersteunen met geautomatiseerde hulpmiddelen, die ertoe bijdragen dat hun taak effectiever en efficiënter kan worden ingevuld.
Pagina 9 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
3
Aanpak
3.1
Structurering project Het project is gestructureerd aan de hand van een drietal fases. In iedere fase is een aantal producten opgeleverd. In de onderstaande tabel staan deze weergegeven. Fase 1
2
3
Producten 1. Marktverkenning/marktanalyse - De analysefase wordt afgesloten met een gedegen analyse van de eigen wensen, de reeds in gebruik zijnde methodieken en systemen en een advies hoe deze systemen zouden kunnen worden ingepast in een cyber context 2. Functioneel eisenpakket - De selectiefase sluit af met een functioneel eisenpakket en een advies met daarin een gedragen keuze (op basis van het eisenpakket) voor het te gebruiken systeem of platform 3. Proof of Concept - Het opzetten en inrichten van een technische omgeving, waarin gebruikmakend van bestaande systeemelementen wordt onderzocht wat de mogelijkheden en beperkingen van mogelijke technische invulling van CAIT zijn 4. Mid-level requirements - De Proof of Concept sluit af met een functioneel eisenpakket dat specifieker van aard is dan de requirements die in fase 1 zijn opgeleverd 5. Conceptueel model - Parallel aan het uitvoeren van de Proof of Concept wordt aan een vormgeving gewerkt van het methodologisch model dat ten grondslag ligt aan CAIT. 6. Eindevaluatie - Het uitvoeren en evalueren van de Proof of Concept wordt afgesloten met een eindrapport met daarin de conclusies en bevindingen van de Proof of Concept. Tevens wordt gedurende deze fase een voorstel gedaan welke elementen uit de Proof of Concept op welke wijze ingang zouden kunnen vinden in het operationele processen binnen het NCSC.
De eerste fase verkende de markt van de producten, die in principe gebruikt zouden kunnen worden om aan de analysebehoefte van het NCSC tegemoet te komen. Naast een analyse van de markt van commerciële producten is eveneens een inventarisatie gemaakt van de gebruikte oplossingen bij een aantal samenwerkingspartners binnen het Rijk. Tijdens deze fase is eveneens nader onderzocht welke eisen er door de gebruikers binnen het NCSC aan een dergelijke oplossing gesteld zouden worden. Fase 2 valt uiteen in de oplevering van een tweetal complementaire producten. Als eerste wordt er gesproken van een proof of concept, wat ruimte biedt voor een interactiever proces met een samenwerkingspartner. Een proof of concept heeft ook een verkennender karakter dan een pilot. Ten tweede is er sprake van Mid-level requirements. Deze worden opgesteld tijdens het uitvoeren van de proof of concept, omdat de kennisneming van een daadwerkelijke praktische omgeving aanleiding geeft om de eigen eisen en behoeften scherper te formuleren.
Pagina 11 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
Fase 3 richt zich op de vastlegging van de lessen en ervaringen die werden opgedaan tijdens de vormgeving van de proof of concept. Er werd aangenomen dat - juist dankzij de interactieve ontwikkelmethode - op veel vlakken veel kennis zou worden gegenereerd. Door het vastleggen van deze kennis expliciet als projectresultaat op te nemen wordt geborgd dat de kennis aan het eind van het project beschikbaar is. Hiervoor is de term Conceptueel model gekozen. De eindevaluatie in de vorm van een schriftelijk verslag sluit het project af. 3.2
Manier van werken Voor de uitvoering van de vormgeving van de proof of concept is gekozen voor Agile/Scrum. Agile/Scrum is een projectmanagementaanpak waarbij het minimum wordt gedocumenteerd en er nauw contact is tussen de projectdeelnemers. Dit laatste wordt afgedwongen door korte doorlooptijden (zogenaamde sprints) waarbij de deelnemers op regelmatige basis bij elkaar komen om de resultaten (deliverables) te evalueren en de inhoud (sprint backlog) voor een volgende sprint vast te stellen. Een belangrijk criterium voor deze keuze was de expertinschatting van de projectdeelnemers. In het verleden heeft een aantal van de deelnemers gewerkt in projecten die volgens de principes van Agile/Scrum waren georganiseerd. De positieve ervaring van de deelnemers was in de eerste plaats dat werkende software op tijd en binnen budget met de gewenste functionaliteit werd opgeleverd. Tevens leerde de ervaring dat vooral in innovatietrajecten - waarbij van tevoren nog weinig zicht is op wat het eindresultaat precies zal inhouden- de Agile/Scrum aanpak goed werkt, omdat deze aanpak enerzijds de benodigde flexibiliteit en anderzijds voldoende grip biedt. Om de hiervoor beschreven redenen is gekozen om de Agile/Scrum aanpak voor het CAIT innovatietraject in te zetten. Aan het begin is een projectworkshop gehouden waarin ideeën zijn gegenereerd en geselecteerd om tijdens het vervolg verder uit te werken. Uiteindelijk zijn de ideeën Relevantiebepaling en Top X dossiervoorstellen geselecteerd voor verder uitwerking. In de praktijk is gebruik gemaakt van een viertal iteraties, die zich in een tweewekelijkse cyclus hebben afgespeeld in de maanden september en oktober van 2014. Aan de zijde van het NFI was voldoende ontwikkelcapaciteit gereserveerd om in de beschikbare tijd van de sprint significante stappen te kunnen zetten, die zich leenden voor een grondige evaluatie door de experts van de kant van het NCSC. Aan het einde van iedere sprint werd een evaluatiesessie gehouden om de resultaten te bespreken en de inhoud van de volgende sprint te bepalen. Ook tijdens de sprint zelf bestond intensief contact tussen de medewerkers van beide organisaties, zodat voorkomende (kleine) vragen en onduidelijk geen blokkerende issues zouden vormen.
Pagina 12 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
4
Projectresultaten
Het project heeft een aantal verschillende resultaten opgeleverd, die in dit hoofdstuk aan de orde komen. 4.1
Marktverkenning De marktverkenning is uitgevoerd en heeft als een van de resultaten een overzicht opgeleverd van de relevante partijen die zich op deze markt bevinden. Dit overzicht is tot stand gekomen op basis van desk research en de beschikbare kennis binnen Capgemini over de stand van zaken in deze specifieke applicatiemarkt. Tevens is een aantal praktijkoplossingen geïnventariseerd in gesprekken met bevriende organisaties binnen de Rijksoverheid en het bedrijfsleven. In het overzicht worden verschillende producten gewaardeerd, waarbij hun sterke en zwakke punten worden onderscheiden, aan de hand waarvan het mogelijk zou moeten zijn een goed gefundeerde keuze voor een pilotpartner te maken. De marktverkenning leidde echter tot een aantal inzichten met betrekking tot de rol en positie die een eventuele IT oplossing in de processen van het NCSC zou innemen. Een belangrijke conclusie was dat een - relatief duur - integraal informatieanalyse-platform niet leek te passen bij de huidige volwassenheid van de analyse binnen het NCSC. De hoge innovatieve karakter van het cybersecuritydomein, de ervaren inflexibiliteit van een integraal product en hoge initiële kosten leken een effectieve inzet van een integraal informatieanalyse platform in de weg te staan. In het verlengde van deze conclusie werd gesteld dat de high level functionele wensen die in aanloop van het project aan CAIT gesteld waren niet voldoende concreet waren om in dit stadium al tot een goed gefundeerde productselectie over te gaan. Het rapport van de marktverkenning vormt een waardevol (tussen)product van het innovatieproject CAIT. Als op zichzelf staand product beschikt het NCSC nu over een overzicht van de producten die op de markt beschikbaar zijn om uitdagingen, die vergelijkbaar zijn met degene waarmee het NCSC zich geconfronteerd ziet, het hoofd te bieden.
4.2
Proof of Concept De kern van het innovatietraject bestond uit het opzetten en inrichten van een technische omgeving, waarin gebruikmakend van bestaande systeemelementen werd onderzocht wat de mogelijkheden en beperkingen van mogelijke technische invulling van CAIT zijn. Deze activiteit heeft als titel Proof of Concept meegekregen, omdat aan de hand van de hier opgedane ervaringen vastgesteld zou kunnen worden of het concept, zoals dat het NCSC bij aanvang voor ogen stond, daadwerkelijk in de praktijk gerealiseerd zou kunnen worden. De gedetailleerde bevindingen van de proof of concept zijn vastgelegd in een conceptpublicatie, waarin naast de resultaten van het onderzoek ook uitgebreid wordt stilgestaan bij de toegepaste technieken. Technische details zullen in deze eindrapportage dan ook niet aan de orde komen. Hier zullen wij de geschetste aanpak en de resultaten op hoofdlijnen toelichten.
Pagina 13 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
De manier van werken tijdens de proof of concept is hierboven in algemene zin reeds besproken. Zoals gezegd is de proof of concept-fase gestart met een brainstormsessie, die erop was gericht uit de talloze mogelijkheden die we in de samenwerking tussen NFI en NCSC zouden kunnen bereiken een beperkt aantal zaken te kiezen, die aan zouden sluiten bij de specifieke (ontwikkel)kennis van het NFI. Een belangrijk ingrediënt voor de succesvolle brainstorm was een aantal user stories. Deze user stories beschreven op praktisch niveau de dagelijkse werkzaamheden van de analisten bij het NCSC, waarbij de uitdagingen in het verwerken van grote hoeveelheden informatie duidelijk werden belicht. De user stories gaven in korte tijd de NFI’ers in het projectteam goed inzicht in de problematiek, waarna zij in staat waren om de potentieel meest veelbelovende ontwikkeltrajecten voor te stellen als focus voor de proof of concept. Tijdens de brainstormsessie is gekozen voor een tweetal onderwerpen om verder uit te werken: relevantiebepaling en dossiervoorstellen. 4.2.1
Relevantiebepaling In de enorme toevloed van informatie, die de analisten op dagelijkse basis moeten zien te verwerken, is het een uitdaging om snel de nieuwsfeiten te selecteren die relevant zijn. Relevant houdt hier in: van belang voor het geven van inzicht en duiding op het gebied van cybersecurity, toegespitst op de Rijksoverheid en de vitale sectoren in Nederland. De relevantiebepaling waar het onderzoek zich op richtte, waren natuurlijk gericht op technieken die gebruikt kunnen worden om (semi)automatisch de relevantie van gebeurtenissen vast te stellen. Dit eerste onderdeel van het onderzoek heeft geresulteerd in een prototype van een systeem, waarbij op basis van de verzamelde nieuwsfeiten in een bepaalde periode een aantal verhalen werd voorgesteld. De verhalen waren gerangschikt naar gepercipieerde relevantie. Op basis van de beoordeling van de analisten is dit een passende aanpak: de verhalen die worden voorgesteld zijn herkenbaar. Deze herkenbaarheid geldt in eerste instantie voor de herkenbaarheid als verhaal: het was namelijk nog maar de vraag of de gebruikte clusteringtechnieken in staat zouden zijn om verhaallijnen te detecteren. In de tweede plaats konden de experts ook bevestigen dat de verhalen relevant waren. De testdata voor het systeem bestond namelijk uit (geschoonde1) historische data. Op basis van hun praktijkkennis van het afgelopen half jaar konden de analisten eenvoudigweg bevestigen dat de verhalen die door het systeem werden voorgesteld inderdaad de verhalen waren waaraan het afgelopen jaar aandacht was besteed tijdens hun dagelijkse werkzaamheden.
4.2.2
Dossiervoorstellen Een tweede onderwerp dat werd gekozen voor nadere ontwikkeling na afloop van de brainstorm draagt de titel Dossiervoorstellen. Onder deze noemer valt de behoefte van de analisten van het NCSC om ontwikkelingen die zich vooralsnog onder de radar bevinden expliciet te maken. Dit streven verdient wat achtergrondinformatie. Binnen het NCSC is het brede kennisveld van cybersecurity momenteel onderverdeeld in een aantal dossiers. Deze dossiers zijn toebedeeld aan de individuele medewerkers, die verantwoordelijkheid dragen voor het bijhouden van
1
Geschoond betekent hier dat de woorden in de dataset op uniforme wijze zijn behandeld om clustering mogelijk te maken. Pagina 14 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
het dossier, zodat er minimaal één medewerker (de dossierhouder) op de hoogte is van de laatste stand van zaken op het specifieke kennisgebied. De manier van werken waarborgt tot op zekere hoogte de kennispositie van het NCSC, maar het draagt als risico in zich, dat er te lang aandacht wordt besteed aan zaken die in het verleden belangrijk waren maar aan relevantie hebben verloren. Dit zou ten koste kunnen gaan van de tijd en energie die besteed zou kunnen worden aan nieuwe dossiers. Het onderwerp Dossiervoorstellen poogt geautomatiseerde ondersteuning te bieden om nieuwe dossiers te identificeren, zodat deze op geschiktheid kunnen worden geëvalueerd en om eventueel aan een dossierhouder te kunnen worden toegewezen. Het achterliggende doel van deze inspanning is om het NCSC de mogelijkheid te geven meer naar toekomstige opkomende ontwikkelingen te kijken om zodoende een proactievere rol te kunnen spelen. De aanpak van dit onderdeel van het onderzoek verloopt in eerste instantie identiek aan de wijze waarop het vorige onderwerp - Relevantiebepaling - ter hand is genomen. De periode met nieuwsfeiten die aan de analyse wordt onderworpen is echter langer dan in het vorige geval. De gedachte hierachter is dat nieuwe dossiers zich waarschijnlijk over een langere termijn ontwikkelen, waarbij naar verwachting minder losse nieuwsfeiten beschikbaar zijn. Een langere periode dient ook om voldoende inputgegevens te verzamelen om betekenisvolle analyses op uit te kunnen voeren. De resultaten voor het onderdeel Dossiervoorstellen zijn wisselend. De gebruikte technieken resulteerden wel in een aantal dossiervoorstellen, maar dat waren wel de dossiers die op dit moment al onderkend werden. Het is natuurlijk mogelijk om deze bestaande dossiers uit de lijst van dossiervoorstellen te verwijderen. Als dat gebeurt blijkt dat de kwaliteit van de voorstellen achterblijft: zo is de formulering van de voorstellen moeilijk als concreet dossier op te vatten. Het heeft er de schijn van dat er te weinig ‘clusterend vermogen’ in de gebruikte aanpak schuilt om met geschikte dossiervoorstellen te komen. Overigens heeft het onderdeel Dossiervoorstellen gedurende het onderzoek minder prioriteit gekregen dan het onderwerp Relevantiebepaling. Dit heeft tot gevolg dat de mogelijke verdiepingsslagen minder ver zijn uitgewerkt, aangezien de gekozen aanpak (Agile/Scrum) een bovengrens oplegde aan de inspanning die aan de gehele proof of concept kon worden besteed. 4.2.3
Conclusie De algemene conclusie die uit de proof of concept kan worden getrokken is dat de uitkomsten hoopgevend zijn. Bij het eerste deel - Relevantiebepaling - is duidelijk de haalbaarheid van de gevolgde aanpak gebleken. Op dit punt is de proof of concept dan ook zeker geslaagd. Het tweede deel - Dossiervoorstellen - is minder uitgesproken, wat deels te verklaren valt door de capaciteitsbeperkingen die ertoe hebben geleid dat voor de hand liggende verbeterstappen niet meer in het kader van CAIT verricht konden worden.
4.3
Mid-level requirements Parallel aan het vormgeven van de proof of concept liep een traject met als titel ‘Mid-level requirements’. Tijdens het uitvoeren van de proof of concept heeft met elke iteratieslag die inherent is aan de gevolgde Agile/Scrum-methodiek een uitbreiding en verfijning van de requirements plaatsgevonden. Op het moment dat de gebruikers geconfronteerd werden met een nieuw (tussen)resultaat tijdens het Pagina 15 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
ontwikkelproces, waren zij in staat om duidelijk te omschrijven op welke punten het geboden product aan hun wensen tegemoet kwam en op welke punten het nog tekort schoot. Door deze punten continu te inventariseren, te toetsen en vast te leggen werd op een natuurlijke wijze een set meer gedetailleerde requirements vastgesteld. De mid-level requirements zijn voor twee doelen aan te wenden. In de eerste plaats zijn zij reeds betrokken in de ontwikkeling van de proof of concept, omdat zij als het ware de documentatie vormden van het voortschrijdend inzicht zoals dat tot stand kwam onder de toekomstige gebruikers van een werkend systeem. Hiermee boden de requirements houvast in de discussie tussen de analisten van het NCSC en de ontwikkelaars van het NFI. In de tweede plaats vormen de mid-level requirements een uitstekende basis voor de toekomstige ontwikkeling of aanschaf van een systeem dat kan worden ingezet om de analysefunctie van het NCSC op geautomatiseerd wijze te ondersteunen. Het probleem zoals dat tijdens de marktverkenning was onderkend - te weten: een behoeftenformulering op een te abstract niveau om praktische waarde te hebben bij een leveranciersselectie - wordt hierdoor effectief ondervangen. 4.4
Conceptueel model In aanloop van het project werd aangenomen dat - juist dankzij de interactieve ontwikkelmethode - op veel vlakken kennis zou worden gegenereerd. Door het vastleggen van deze kennis expliciet als projectresultaat op te nemen wordt geborgd dat de kennis aan het eind van het project beschikbaar is. Hiervoor is de term Conceptueel model gekozen. Tijdens het project bleek dat de resultaten van het onderzoek meer dan de moeite waard waren. Dit reikte verder dan slechts het vastleggen van de manier van werken en deed dus minder recht aan de oorspronkelijk titel Conceptueel model. Als eindresultaat van deze fase van CAIT hebben we in gezamenlijkheid een conceptpublicatie tot stand gebracht, waarin de belangrijkste elementen en resultaten van het project zijn vastgelegd. Hierbij is ruimte gemaakt voor respectievelijk de innovatieve aanpak, voor de resultaten en voor de technieken die ten grondslag liggen aan de behaalde resultaten. Hiermee zijn we aan het eind van het project verzekerd van een centrale vastlegging van het resultaat van onze inspanningen, waarbij we vooral aandacht hebben besteed aan de compleetheid van de documentatie van het project en minder aan de gedetailleerde invulling. De conceptpublicatie kan worden gebruikt als startpunt voor vervolgstappen zodra wordt besloten op welke wijze de projectresultaten eventueel met een breder publiek gedeeld worden. Hierbij kan worden gedacht aan een geschreven publicatie in hetzij een vakblad of in een academisch getinte uitgave. Een ander aansprekend alternatief is een presentatie van (een aspect van) het onderzoek op een conferentie die aandacht besteed aan de onderwerpen die in CAIT aan de orde zijn gekomen. Wat het podium ook mag zijn: door het vastleggen van de projectresultaten in een conceptpublicatie beschikken we over een gedocumenteerde verslaglegging van onze inspanning, die vervolgens kan worden gebruikt om de gekozen verschijningsvorm te ontwikkelen. Tegelijkertijd kan de keuze voor een “officiële” publicatie verder invulling krijgen door deze als apart project te voorzien van de bijbehorende resources in de vorm van tijd en menskracht.
Pagina 16 van 17
ONGERUBRICEERD| DEFINITIEF | Cyber Analysis Information Tool (CAIT) | 25 juni 2015
5
Vervolgstappen
Op basis van de resultaten van het project is de conclusie gerechtvaardigd dat de gekozen oplossing toegevoegde waarde biedt aan de huidige manier van werken binnen de analistenfunctie. Het concept heeft zich bewezen en een vervolg van het project is op basis van de inhoudelijke resultaten te rechtvaardigen. Of een vervolgtraject past binnen de budgettaire mogelijkheden en de beschikbaarheid van voldoende tijd van het personeel is een relevante vraag, die echter buiten de scope van dit onderzoek valt en derhalve niet verder uitgewerkt zal worden. De vraag staat open of een eventueel vervolg de vorm van een innovatietraject of een regulier implementatietraject moet krijgen. Onafhankelijk van de uiteindelijk gekozen richting kan er wel het een en ander gezegd worden over een aantal relevante designkeuzes, die in beide vervolgscenario’s van toepassing zijn. De vorm: loosely coupled of geïntegreerd? De proof of concept is vormgegeven als een losse applicatie, die wordt gevoed met data uit Taranis. Dezelfde aanpak kan ook worden gehanteerd voor de productieomgeving, waarbij we de benodigde gegevens uit Taranis halen en deze verwerken door de applicatie die specifiek voor dit doel wordt ontwikkeld. Een alternatief is dat de oplossing geïntegreerd wordt in Taranis. Dit betekent dat Taranis wordt uitgebreid met de functionaliteit zoals gedemonstreerd in de proof of concept. In hoeverre dit haalbaar en wenselijk is, zal nader moeten worden onderzocht, waarbij aspecten als beheersbaarheid en compatibiliteit met voorgaande versies van Taranis een rol zullen spelen. De juridische basis: open source? Taranis wordt op dit moment als open source software ter beschikking wordt gesteld aan de community. Het is mogelijk om de te implementeren oplossing eveneens als open source software ter beschikking te stellen, al dan niet geïntegreerd als onderdeel van de huidige Taranis-suite (zie boven). Het voordeel van een dergelijke beslissing is dat het in lijn is met de opdracht zoals gedefinieerd in de Nationale Cyber Security Strategie 2, want door het verspreiden van relevante kennis, expertise en tools wordt een bijdrage geleverd aan een open en veilig cyberdomein. Door de oplossing kosteloos ter beschikking te stellen is de drempel voor adoptie in de praktijk een stuk lager, waardoor ook minder kapitaalkrachtige partijen gebruik kunnen maken van de ontwikkelde technologie. Als potentieel nadeel geldt dat de vrijgave van de oplossing inzicht kan geven in de modus operandi van het NCSC. Gezien het toepassingsgebied (te weten: het analyseren en clusteren van nieuwsberichten) is dit risico waarschijnlijk beperkt, maar het is wel een punt dat in de overweging meegenomen dient te worden.
Pagina 17 van 17
