13-NROI-093 LinkedIn discussie tijdens NCSRA-II Workshop Business & Social life op 3 juli 2013 Joost Visser: Cyber Security: door toeval of door design?
Niet dweilen met de kraan open, pak security aan bij de bron van software (source code)
ISO 25010 is normering van software product kwaliteit, waar maintainability & security een onderdeel van is.
Hoe beoordeel je security van softwareproducten, bijvoorbeeld objectiviteit vs. "de menselijke factor"?
(commented:) Hoe beoordeel je security van softwareproducten, bijvoorbeeld objectiviteit vs. "de menselijke factor"?: Een van de conclusies. Huidige tools zijn vooral gericht op ontwikkelaars en minder op de beoordelaars van de kwaliteit
SBIR is in vergelijking met andere instrumenten zeer toegankelijk, weinig bureaucratisch
Klein consortium tijdens fase 1 is prettig voor focus en snelheid
Uitvoering haalbaarheidsstudies dwingt tot in vroeg stadium aandacht schenken aan alle aspecten (natuurlijke neiging is focus vooral op korte termijn en technische zaken)
Idee: security in de keten: op welke manier kunnen software ecosystemen (waar vele applicaties samenhangende functionaliteit realiseren) veiliger gemaakt worden?
Mw. P. van Schayik (Petra) - Secure Bring Your Own Device.
Hoe maak je dit secure, het gebruik is vaak zowel zakelijk, inclusief gevoelige informatie, als privé waaronder ook bijvoorbeeld gamende kinderen...
Kan er een veilige en gebruikersvriendelijke oplossing ontwikkeld worden die zowel de gebruikers als de beheerders vertrouwen geeft?
Hoe veilig is data op uw smartphone of tablet? Wie kan er allemaal bij uw data (bv na diefstal, reparatie, door de lucht, door provider? Hoe los je dit op?
Door SBIR hebben we een uitgebreider haalbaarheidsonderzoek kunnen doen dan standaard, templates voor rapporten geven duidelijk alle verwachtingen aan.
Prof. dr. R.J. Wieringa (Roel) - The personal information security assistant (PISA).
Risico-analyse komt vaak als het al te laat is....
Cyber Security Matchmaking vorig jaar was zeer nuttig voor het project; speeddating met persoonlijke klik! Aantrekkelijk voor bedrijf als KPN om hieraan mee te doen.
Prof. dr. ir. W.M.P. van der Aalst (Wil) - Privacy Compliance and Enforcement (PriCE).
Wordt data rechtmatig gebruikt, is het functioneel in het kader van een bepaald proces?: Wat doen mensen nou écht? "Olifantenpaden" zoeken in de datamodellen, vanuit datamodellen kun je zien hoe mensen met security omgaan. Laten...
Process Mining Movie
Zoals vandaag gepresenteerd tijdens de NCSRA-II veldraadpleging kan process mining ingezet worden om security, privacy, en compliance vraagstukken aan te pakken. Heb je twee minuten en wil je meer over process mining weten? Zie http://www.youtube.com/watch?v=7oat7MatU_U. play video Introduction to Process Mining: Turning (Big) Data into Real Value youtube.com With process mining, you can make your process visible in less than 5 minutes, based on log data you already have in your IT systems. Learn what process mining is, and how it works, in less than 2 minutes! (Animation work by...
Nu uitleg door Erik Poll/ schrijvers NCSRA-II, over NCSRA-II en hoe deze tot stand is gekomen en waarom er multidisciplinaire benadering nodig is, want "Cyber Security is veelkoppig monster"... Terugkoppeling discussie eerste uur
Als het technisch commercieel kan, gaat het toch gebeuren, een discussie over EPD, DigID, OVchip, SmartGrid "before the facts" criteria voor privacy & security (i.p.v. achteraf repareren).
Wat zijn relaties van software onderhoudbaarheid en beveiligingsniveau, hoe bepaal je dat?
Er is nu geen global trust model. Onze https oplossingen worden nu aangeleverd door bedrijven. Er zijn wel een aantal transglobal oplossingen, zoals bijvoorbeeld in de luchtvaartindustrie TGSP, contact Fekke Bakker (Def). Deze zouden als uitgangpunten kunnen worden omgevormd tot global trust model. Bouw een global chain/network of trust (model). Onderzoek succesvolle federated trust models om daaruit een generiek model te ontwikkelen.
Secure society? Overheid pakt rol als bestuurder niet op. Identity fraude? Jouw probleem! Hoezo, overheid?
Risicomanagement zou het leitmotiv van de NCSRA-II moeten zijn. Bij álle projecten moet risicoreductie centraal staan; wat zijn accepteerbare risico's, tot welke risicoreductie geeft dit aanleiding? Risk analysis framework Wat zijn de risico‟s van een DDOS? Voor welk van je risico‟s is afdekking gewenst? Bepaling risico‟s gaat vooraf aan ALLE security vraagstukken.
Password problematiek, worstelt iedereen mee, welke oplossingen zijn er?
Er zijn al twee verzekeraars die een CyberSecurity verzekering bieden!!
Identity vs. accessability: je wilt makkelijk toegang maar ook goede beveiliging en daar moet je wat voor doen en voor over hebben, dat wringt!
Aanbeveling: investeer het onderzoeksgeld voor 20 procent in maatschappelijke relevantie en 80 procent in diepte onderzoek
Terugkoppeling discussie tweede uur
Het hebben van open vs. gesloten netwerken: beiden hebben een keerzijde, wat is the trade off?
Bij het melden van datalekken is gezegd dat het niet nodig is als het encrypted is (...) Wat zijn de encryptie technieken? Welke randvoorwaarden zijn daarvoor dan uitgangspunt?
Van secure design naar privacy by design. Onderzoek de praktische toepasbaarheid van privacy by design. Privacy management.
Secure design mag niet leiden tot aanzienlijk langere doorlooptijden, dan komt de (MKB) business case niet rond.
Opmerking bij de agenda en de call Na een zeer goed leesbare inleiding komen de thema‟s uit de lucht vallen: Breng een verband aan tussen de research thema‟s en de (vele) dimensies. Hoe scoren thema‟s op die dimensies? Neem ook het aanvalsperspectief mee. Voeg staging toe. Bij disciplines staat nu vaak Computer Security. Ook andere Computer Sciences kunnen van toepassing zijn. Breng structuur aan in de Computer Sciences disciplines. Betere naam voor thema 3 is “situational awareness” Er wordt door wetenschapsgebieden met verschillende methoden ter beoordeling van kwaliteit gewerkt. Hoe zet je een call for proposals op waarbinnen je multidisciplinaire voorstellen toelaat? Risico van interdisciplinair beoordelen: Beta: ontwerp gericht Gamma: empirisch gericht Voorkom spraakverwarring over methodologie, anders kom je met evaluatiecriteria in de knoop. Richt de call zo in met bijv. 20% multidisciplinair onderzoek en 80% ICT (de diepte in)
Losse opmerkingen Welke encryptie techniek neem je als uitgangspunt bij attack detection? Gedistribueerde opslag maakt het gecompliceerd om vertrouwelijke data te ontvreemden. Ontwikkel een cyberweerbericht Interoperable identty management between nations Example project: “Protect my ID” Experian Tot hoever gaat verantwoordelijkheid van de overheid in het digitale domein. Beveiligingsniveau vs software onderhoudbaarheid Beveiliging vs usability Acceptatie beveiligingsrisico‟s Acceptatie privacy risico‟s Koppeling ID-kaart aan bancaire kaart
Risicomanagement aanpak: cyber security verzekering Forensics is een big data probleem: pas patroonherkenning en data - en process mining toe. Intrusion detection op hoog (applicatie niveau); nu vaak op laag (netwerk) niveau goed vastgelegd. Onderzoek naar security requirements Detecteren van vreemd gedrag bij ad-hoc verbanden (contractors) Ondernemingen bestaan steeds meer uit outsiders (ingehuurde ZZP‟ers en tijdelijke krachten) en steeds minder uit insiders (vaste krachten). Gedrag insiders vs outsiders, karakteristieken van een chantabele persoonlijkheid? Feedback formulieren Er zijn 7 feedback formulieren ingeleverd. Deze zijn hieronder uitgewerkt. De laatste was helaas niet leesbaar. 1
Bij transport speelt coöperatieve mobiliteit ook een sterk mee. Hier delen voertuigen informatie via het internet of lokale ad hoc (IEEE 802.11p). De vraag is wanneer data te vertrouwen is en wie welke toegang krijgt.
Voertuigen gaan automatisch rijden, gebruikmaken van gecommuniceerde data, dus verkeerde actuatie is een risico (ongelukken).
Hoe koppel je lokale kortstondige ad-hoc netwerken en centrale internet systemen op veiligheid en trust niveau.
Welke informatie wil en moet je delen om samen te kunnen werken, wat doet dit met de privacy.
Hoe wordt vanuit een centraal systeem de lokale verkeerssituatie bestuurd. Wie deel certificaten uit, overheid of private bedrijven?
2
Inzicht in Psychologie van gebruikers in/buiten organisaties
3
Encryptie (Robert de haan) -> cryptology. Bijv. Melden van datalekken mits data is encrypted. Welke encryptie technieken zijn minimaal randvoorwaardelijk als uitgangspunt
4
Are we missing anything?: Attack prevention zou ik schrijven als early attack prevention omdat het anders te breed is (8 valt daar ook onder) What do you see as research priorities: ehealth, eGovernment Short term research
Wat zijn kritisch acceptatie factoren voor SSO?
Hoe anonimiseer je geaggregeerde overheids gegevens, zoals … data?
Hoe garandeer je privacy-aspecten v. geolocatie van voertuigen?
Hoe richt je een gedistribueerd EPD in?
Hoe detecteer je dat data lekt?
Wat zijn goede manieren van onweerlegbaar loggen en … registreren?
Wat zijn goede technieken om applicatie niveau een attack te herkennen pv op netwerk niveau?
Hoe detecteer je insider attacks?
long term research
5
Wat zijn de verbanden tussen eigenschappen van software-bouwproces, broncode en systeem gedrag?
Wat zijn de relaties tussen software-onderhoudbaarheid & beveiligingsniveau?
Wat bepaalt of vastgestelde risico‟s worden geaccepteerd en hoe lang duurt die acceptatie?
Hoe maak je security requirements smart?
Hoe kan tooling een code review expert ondersteunen?
Hoe doe je secure software engineering betaalbaar?
Are we missing anything?:
Dimensions on page 5 are very useful. The Same holds for the application domains. However, the list of 9
themes sees a bit ad hoc. A better structure of the list seems possible. What is the scope of the themes in terms of the dimensions
Visual analytics
Data/process mining / machine learning is a bit hidden in various themes
Structure the computer science domain.
What do you see as research priorities:
Visual analytics
Link between following areas: development - runtime, product – process for example code analystics versus monitoring/mining versus software repository monitoring
6
Data/process mining
Balancing economic cost, security costs, privacy costs.
Privacy by Design (PbD) PbD wordt door de politiek steeds meer aangehaald / opgevoerd als „de facto‟ standaard. Wat is de toepasbaarheid van PbD?
7
< niet te lezen>