Oproep SBIR cyber security Sluitingsdatum: 17 september 2012 17:00 uur Het digitale domein is essentieel geworden voor het functioneren van de Nederlandse samenleving, zowel voor het economische verkeer als voor het functioneren van de overheid. Voor Nederland, met een open en internationaal georiënteerde economie en een sterke dienstensector, is een veilige en goed functionerende digitale infrastructuur essentieel. De toenemende digitalisering zorgt echter ook voor nieuwe kwetsbaarheden en mogelijkheden tot misbruik. Cybercrime en –spionage maar ook verstoringen als gevolg van technisch of menselijk (bewust of onbewust) handelen kunnen grote schade aanbrengen en in het ergste geval maatschappelijke ontwrichting tot gevolg hebben. Om deze veiligheidsuitdagingen van nu en de nabije toekomst het hoofd te bieden, is een integrale aanpak nodig waarbij overheid, wetenschap en bedrijfsleven nauw samenwerken. Een aanpak die voorziet in tools om cyberdreigingen aan te pakken, maar ook in kennis, kunde en een sterke Nederlandse cyber security-economie. De gewenste resultaten van deze aanpak zijn adequaat geëquipeerde veiligheidsprofessionals en een veilige ICT-infrastructuur en –diensten bij zowel de overheid als het bedrijfsleven in Nederland. Uitdaging De overheid daagt u als ondernemer uit om bij te dragen aan het vergroten van cyber security. Uw voorstel moet bijdragen aan het realiseren van de volgende drie hoofddoelen van de Rijksoverheid uit de Nationale Cybersecurity Strategie en het Topsectorenbeleid:
Verbeteren van de veiligheid van en het vertrouwen in ICT-infrastructuur en diensten.
Nederland voorbereiden op de veiligheidsuitdagingen op het gebied van cyber security in de nabije toekomst door een aantoonbare bijdrage te leveren aan innovatie op cyber security en tools te ontwikkelen die (overheids)organisaties in staat stellen dergelijke uitdagingen tijdig aan te pakken.
Versterken van de Nederlandse cyber security economie.
Op de website van Agentschap NL, Cyber security zijn deze doelstellingen nader omschreven. Uw voorstel moet daarbij passen binnen minstens één van de volgende 8 onderzoeksthema‟s: 1. -
-
Identity, privacy and trust. In dit thema daagt de overheid u uit om producten of diensten te ontwikkelen die bijdragen aan: Veilige, systeemonafhankelijke informatie-uitwisseling zoals certificaten met een beschreven veilige “chain of trust” (betrouwbare ketens van hard- en software waarvan ieder onderdeel gevalideerd is). De borging van privacy en continuïteit in relatie tot cloud computing. De standaardisering van veilige informatie-uitwisseling waarbij een balans is tussen economische belangen, veiligheidsbelangen en privacy.
1
2.
Malware. In dit thema daagt de overheid u uit om innovatieve producten of diensten te ontwikkelen die bijdragen aan detectie, monitoring, analyse en bestrijding van “malware”.
3.
Forensics. In dit thema daagt de overheid u uit om producten of diensten te ontwikkelen die bijdragen aan:
-
4.
Digitaal sporenonderzoek, bruikbaar voor Nederlandse opsporings- en vervolgingsinstanties. Het veilig stellen van sporen, indicaties van processen die plaats hebben gevonden en informatie uit apparatuur of software die nog aan staat/in werking is. Het opstellen van profielkenmerken (onder andere gedrag) van cyber criminelen Het scheiden van nuttige informatie van nutteloze informatie. Het in korte tijd forensisch kunnen onderzoeken van nieuwe devices die op de markt worden geïntroduceerd. Data & policy management. In dit thema daagt de overheid u uit om producten of diensten te ontwikkelen die bijdragen aan:
-
Het in een beveiligde omgeving snel elektronische informatie over dreigingen te verspreiden en te delen met publieke en private partijen om preventie en respons te faciliteren. Producten/diensten kunnen technisch of/en juridisch van aard zijn.
-
Het managen en analyseren van dataverkeer om de netwerkperformance te verbeteren.
5.
Cybercrime/underground economy. In dit thema daagt de overheid u uit om producten of diensten te ontwikkelen die bijdragen aan:
-
De beveiliging van overheden en private organisaties tegen zeer geavanceerde digitale spionage, sabotage en nieuwe vormen van criminaliteit als gevolg van digitalisering, bijv. digital piracy, diefstal van virtuele goederen.
-
Het snel kunnen vaststellen van de attributie (het identificeren van dader(s) van cyberaanvallen zowel technisch als niet technisch).
-
Het in kaart kunnen brengen van de omvang van cybercrime (ook financieel) en damage en impact assessments.
-
De evaluatie van de sociale aanvaarding en effectiviteit van (overheids)interventies gericht op preventie / reductie van cybercriminaliteit.
-
Het achterhalen van de financiering van de georganiseerde (cyber)criminaliteit, hoe deze internationaal georganiseerd is, waar deze zich op richt en hoe daar op ingespeeld kan worden door beveiligers en rechtshandhaving
-
Het kunnen bepalen van “critical assets” in cyberspace.
-
Het versterken en institutionaliseren van kennis en kunde in de justitiële keten ten aanzien van techniek en de relevantie daarvan voor strafzaken in dit kennisdomein.
-
De snelle integratie van nieuwe technologische ontwikkelingen in justitiële processen en organisaties.
6.
Riskmanagement. In dit thema daagt de overheid u uit om producten of diensten te ontwikkelen die bijdragen aan:
2
-
Awareness, opleiding en training van overheid en bedrijven die ICT inzetten in hun technische producten met het doel cybersecurity onderdeel te laten zijn van het ontwikkel- en productieproces van nieuwe producten.
-
De beheersbaarheid van veiligheidsrisico‟s rondom ICT.
7
Secure design & engineering. In dit thema daagt de overheid u uit om producten of diensten te ontwikkelen die bijdragen aan secure design & engineeringoplossingen voor:
-
Weerbaarheid in relatie tot inbreuk op ICT-netwerkdiensten.
-
Parametrisering voor optimale netwerkbelasting ter voorkoming van uitval dan wel realiseren van snel herstel van de netwerken.
8
Operationele cybercapaciteiten. In dit thema daagt de overheid u uit om praktische producten of diensten te ontwikkelen die een creatieve en innovatieve bijdrage leveren bij het versterken van het militaire cybervermogen (inlichtingen, defensief en offensief). Het militaire cybervermogen stelt Defensie in staat om militaire cyber operaties uit te voeren. Cyber operations zijn operaties, of de verdediging daartegen, waarbij bewust wordt gestreefd om door infiltratie van computers, computernetwerken, software en het internet, informatie en inlichtingen te vergaren en systemen te beïnvloeden of uit te schakelen om daarmee het handelen van opponenten te voorspellen, beïnvloeden of onmogelijk te maken.
Uw voorstel moet het algemeen belang dienen van minstens één van de volgende doelgroepen: -
de Nederlandse vitale ICT-infrastructuur;
-
het Nederlandse bedrijfsleven;
-
overheidsorganisaties.
Opdrachtgever De uitvoering van de SBIR cyber security is in handen van Agentschap NL. NWO is samenwerkingspartner voor de matchmaking van bedrijfsleven en wetenschap. Opdrachtgever is het ministerie van Economische Zaken, Landbouw & Innovatie, dat samen met de ministeries van Veiligheid & Justitie, Binnenlandse Zaken en Defensie aan cyber security werkt. NWO is financier en uitvoerder van een lange termijn onderzoeksprogramma dat hierop aansluit en dezelfde acht onderzoeksthema‟s als uitgangspunt heeft.
Procedure De ondernemers met de beste voorstellen krijgen een opdracht van de overheid om een haalbaarheidsonderzoek uit te voeren (fase 1). Fase 1 resulteert in een voorstel voor het onderzoeks- en ontwikkelingstraject (fase 2). De ondernemers met het beste voorstel voor fase 2 krijgen vervolgens een opdracht om hun project uit te voeren. Aan het eind van fase 2 moet aan de hand van een demonstratie de werking van het product worden aangetoond.
3
Licenties Het is de doelstelling van de SBIR cyber security om de resultaten uit het onderzoek te delen met relevante partijen op het gebied van cybersecurity. Aan het eind van fase 2 demonstreren de projecten die voor fase 2 zijn gehonoreerd de resultaten van de ontwikkeling. Opdrachtgever is voornemens hier relevante wetenschappers, andere ondernemers en vertegenwoordigers van operationele overheidsdiensten voor uit te nodigen. Bij deze SBIR zijn in beginsel de licentievoorwaarden van kracht die in paragrafen 4.2 en (voor fase 2) 7.2 van de SBIR-handleiding zijn opgenomen. In aanvulling hierop geldt dat in uitzonderlijke gevallen, bijvoorbeeld indien er sprake is van voorstellen die mogelijk conflicteren met de nationale veiligheid, in de contractfase individuele afspraken over intellectueel eigendom met de betreffende indiener kunnen worden gemaakt. Wanneer bij contractering (voor fase 1 of voor fase 2) geen nadere specificatie plaatsvindt van de wijze waarop opdrachtgever gebruik wil maken van de kennis zonder betaling van licentiekosten, dan vervalt dit recht van opdrachtgever. Budget Voor fase 1 is ca. 700.000 euro beschikbaar. Het maximum bedrag per project voor fase 1 is 40.000 incl. BTW. Voor fase 2 is minimaal 2 mln. euro beschikbaar. Het maximum bedrag per project voor fase 2 is 300.000 euro incl. BTW. Het precieze aantal te honoreren projecten voor fase 2 is afhankelijk van de prijs van de best beoordeelde offertes voor fase 1 en fase 2. In totaal stellen de vier ministeries een budget beschikbaar van 2.7 miljoen euro. Mede gelet op de grote deelname van partijen op de matchmaking dag (22 mei 2012) wordt door de Rijksoverheid gezocht naar mogelijkheid om het budget met 1 mln euro te verhogen. Op het moment dat meer duidelijkheid bestaat over deze verruiming zal dit op de website van het Agentschap NL kenbaar gemaakt worden. Beoordeling De beoordeling vindt plaats conform de procedure zoals beschreven in de SBIR handleiding. U vindt er ook de voorwaarden en beoordelingscriteria in die voor SBIR voorstellen in het algemeen gelden. De volgende punten worden toegekend aan de criteria: 1)
impact: 35 punten
2)
ondernemerschap: 15 punten
3)
innovatie: 15 punten
4)
economisch perspectief: 15 punten
5)
ecologische en sociale aspecten: 5 punten
6)
kwaliteit van de offerte en het project: 15 punten
4
Toelichting op de criteria: 1. Impact op de vraagstelling De commissie beoordeelt hoe groot de bijdrage is aan het oplossen van het maatschappelijk vraagstuk waar de uitdaging zich op richt: 1) Verbeteren van de veiligheid van en het vertrouwen in ICT-infrastructuur en diensten 2) Nederland voorbereiden op de veiligheidsuitdagingen in de nabije toekomst. Daarbij wordt nadrukkelijk gekeken naar de namier waarop invulling wordt gegeven aan één of meerdere van de genoemde thema‟s. De commissie weegt daarbij de impact van het project af tegen de kosten van het project. 2. Ondernemerschap De commissie beoordeelt in welke mate de aanbieder de juiste partij is om zowel de ontwikkeling als de marktintroductie van de innovatie succesvol te laten verlopen. Aspecten die daarbij een rol kunnen spelen zijn ambitie, kennis, kunde en ervaring. De commissie kijkt hierbij ook naar de projectpartners. Een voorstel scoort beter naarmate a) De verbinding met onderzoeksinitiatieven op het gebied van cybersecurity sterker is. b) Relevante wetenschappelijke onderwijs-/kennisinstellingen betrokken zijn bij de totstandkoming van de innovatie. c) Operationele eindgebruikers (bijv. politie, defensie, vitale ICT-infrastructuur) betrokken zijn bij de totstandkoming van de innovatie. 3. Innovatie De commissie beoordeelt de mate van innovativiteit van het te ontwikkelen product. Aspecten die daarbij een rol spelen zijn originaliteit en inventiviteit. Een doorbraak of grote vernieuwing op één of meerdere van de thema‟s scoort hoger dan een marginale verbetering. Ook wezenlijk nieuwe toepassingen van een bestaand product worden aangemerkt als innovatie. 4. Economisch perspectief De commissie beoordeelt de kans dat het product succesvol op de markt kan worden gebracht. Aspecten die daarbij een rol kunnen spelen zijn: de waarde van het intellectueel eigendom, het probleem waar de innovatie op inspeelt, de waarde die het product oplevert voor klanten, de bereidwilligheid om hiervoor te betalen en de toegang tot de markt. In dit kader wordt de actieve betrokkenheid van eindgebruikers als een belangrijk element gezien. 5. Ecologische en sociale aspecten De commissie beoordeelt de mate waarin het project bijdraagt aan andere maatschappelijke aspecten die niet door het criterium „Impact‟ worden gedekt. Het gaat daarbij met name om ecologische en sociale effecten. Denkt u bij ecologische effecten aan bijvoorbeeld beschikbaarheid van grondstoffen en energie en aan effecten op de omgeving. Denkt u bij sociale effecten bijvoorbeeld aan veiligheid, volksgezondheid, mobiliteit en ruimtelijke ordening. Zowel positieve als negatieve effecten zijn van belang. 6. Kwaliteit van de offerte en het project De commissie beoordeelt hoeveel vertrouwen zij heeft, op basis van de offerte, in de succesvolle realisatie van de beoogde resultaten. De commissie beoordeelt daarbij:
5
De kwaliteit van de offerte. Is de offerte voldoende concreet? Is duidelijk wat de resultaten zullen zijn? Is het voorstel helder geschreven? Is het voorstel to the point en voldoet het aan de richtlijnen uit de voorgeschreven formats? Is duidelijk wat de aanbieder van plan is? Geeft de offerte voldoende houvast voor een opdracht? De kwaliteit van het project. Leidt het project zoals voorgesteld tot de beoogde resultaten? Hierbij zal onder andere worden gekeken naar de opzet van het projectplan en de gekozen methoden en technieken om tot een resultaat te komen. De wetenschappelijke waarde van het voorstel.
-
-
Informatiebijeenkomsten In juni vinden twee informatiebijeenkomsten plaats waar uitleg wordt gegeven over de inhoudelijke kant van en de procedures rondom deze specifieke SBIR-uitdaging. U kunt u zich inschrijven via dit digitale registratieformulier voor één van de twee identieke voorlichtingsbijeenkomsten. De data en locaties zijn:
Maandag 11 juni 13.30u - 15.30u bij Agentschap NL, Croeselaan 15 te Utrecht Dinsdag 12 juni 16-18u Mercure Hotel, Spui 180, Den Haag
Tijdpad Sluiting:17 september 2012, 17.00 uur Bekendmaking uitslag fase 1: vóór 13 november 2012 Opdrachtverstrekking fase 1: medio december 2012 Presentatie aan commissie: begin april 2013 Deadline eindrapport fase 1 tevens deadline offerte fase 2: 10 mei 2013 Bekendmaking uitslag fase 2: 1 juli 2013 Opdrachtverstrekking fase 2: juli 2013 Deadline eindrapport fase 2: december 2014
6