National Cyber Security Summer School NCS3 in vogelvlucht
De eerste Nationale Cyber Security Summer School (NCS3) wordt op 22 augustus 2016 geopend door Dick Schoof, co-voorzitter van de Cyber Security Raad. Daarna verkennen de 65 deelnemende studenten het cybersecurity landschap aan de hand van verschillende lezingen en gaan ze in groepjes uiteen voor de CSR-Challenge: het formuleren van het beste beleidsadvies voor de Cyber Security Raad (CSR).
Dag 5: CSR Challenge
Het beleidsadvies over cybersecurity en smart cities wint de CSR Challenge 2016. Op de tweede plaats is het beleidsadvies over smart homes geëindigd.
De andere adviezen hebben betrekking op Smart Transportation, Smart Industry, Wearables, E-Health, Augmented and Virtual Reality. Tijdens de National Cyber Security Summer School hebben studentengroepen gewerkt aan een beleidsadvies voor de Cyber Security Raad. De groep 'smart cities' mag het advies presenteren in de vergadering van de CSR op 29 september 2016.
Dag 4: Cyber Security Innovation (25-08-2016)
Wilma van Dijk, Directeur Safety, Security & Environment van de Schiphol Group, opende de 4e dag van NCS3, die vandaag werd gehost door de Schiphol Group. Wilma geeft aan dat de ambitie van Schiphol is om in 2018 ‘World’s best Digital airport’ te zijn. Dat gaat niet vanzelf, daartoe hebben ze een Digital Airport Plan (DAP) ontwikkeld. Van Dijk geeft aan dat het belangrijk is om toekomstgericht te denken, zij stelt zich dan ook de vraag of er over 50 jaar nog wel luchthavens zijn. Ze gaat er wel vanuit, maar geeft aan dat het een andere vorm gaat krijgen, niet alleen het luchtverkeer zelf, maar de hele transportsector is aan verandering onderhevig. Als voorbeeld noemde zij de ‘tubes’ die het verkeer van en naar de luchthaven weleens totaal zouden kunnen veranderen. Alle werknemers die werken op Schiphol, moeten weten hoe cyber security hun werk beïnvloedt en hoe ze veilig te werk kunnen gaan, van de werkvloer tot de boardroom is er aandacht voor cyber security nodig. Schiphol is op zoek naar nieuw jong talent met diverse achtergronden.
Jos Nijhuis, CEO en bestuursvoorzitter van Schiphol kwam poolshoogte nemen en benadrukte de toegevoegde waarde van de Summerschool.
Behoefte aan strategische denkkracht
Max Smeets gaf een inleiding over ‘cyber strategic thinking’, basisconcepten en cyberdilemma’s. Hij sprak ook over ‘Cyber warfare’. Eén van zijn conclusies is dat beleidsmakers te langzaam inspelen op de dreigingen. Er is dus nog heel veel behoefte aan strategische denkkracht met betrekking tot cyber. In zijn beleving is debat over cybersecurity te vergelijken met de Rio Grande River; 1 km breed en maar 1 cm diep. Hij eindigde zijn presentatie met de cyberdilemma’s:
- Het cybersecurity dilemma.
- De mate waarin je reactie in verhouding is tot het probleem. Baseer je dat op de geleden schade of op de mate van dreiging?
- ‘Naming and shaming’. Er zitten voor- en nadelen aan. Het kan verstandig zijn om het wel te doen, maar zeker ook verstandig om het niet te doen.
- Bewapeningswedloop. Wanneer ben je voldoende bewapend? Dit is een structureel vraagstuk. ‘For each baby born in the world, more than two pieces of malware are developed’.
- Return on investment dilemma. Dit betreft het dilemma winst op korte termijn ten opzichte van lange termijn voordelen.
Ontdek sneller de hack
Erno Doorenspleet van IBM Security geeft de studenten mee dat iedereen zich bewust moet zijn van de risico’s en dat iedereen te maken kan krijgen met een cyberaanval. IBM heeft een test gedaan in een organisatie met het sturen van phising-mails om te kijken welke werknemers deze mail openen. Het management stond met het openen van de mail bovenaan de lijst. Erno schetst de belangrijkste trends op malware gebied en laat weten dat het gemiddeld 150 dagen duurt voordat een organisatie ontdekt dat er een hacker binnen is. Dit moet volgens hem worden teruggebracht. Hij onderstreept het belang van samenwerking tussen organisaties om cybersecurity te verhogen.
Huidig beveiligingsconcept beperkt
Maarten Bodlaender van Philips Security Technologies neemt de studenten mee in ‘security in the new digital world’ in relatie tot de Health Care Division van Philips. Tegenwoordig zijn bijna alle producten van Philips digitaal. Er zijn bijvoorbeeld elektrische tandenborstels die verbonden zijn met het internet en de dagelijkse poetsgewoonten bijhouden. Door deze digitale/online ontwikkelingen loopt men aan tegen de beperkingen van het huidige veiligheidsconcept, dat niet ontworpen is voor ‘internet of things’ en ‘dark cloud computing’. Bodlaender: “‘The ‘Crypto’ game has changed’. Dit vraagt dus ook om verbeteringen en innovaties op het terrein van cyber security. Hacks in de nieuwe digitale wereld kunnen leiden tot dataverlies op grote schaal. Een voorbeeld hiervan is het lekken van Amerikaanse patiëntendossiers, dat grote beroering veroorzaakte in de VS. Het is van groot belang om hacks niet alleen te detecteren (re-actief), maar ook te voorkomen (preventie). Maarten legt uit hoe Philips de interne beveiliging aanpakt.
Er zijn nieuwe oplossingen nodig in de nieuwe digitale wereld. De inzet van computers en het ontwikkelen van speciale software zal een belangrijk middel worden in de strijd tegen cybercrime. Computers werken nu eenmaal sneller dan mensen.
Dark Web training
TNO geeft een ‘Dark Web Experience’ training aan de studenten. Deze training is ontwikkeld voor law-enforcement professionals (en duurt normaalgesproken 5 dagen). De term ‘dark web’ verwijst naar criminele activiteiten op het internet. In deze training wordt gekeken hoe internet kan worden gebruikt om drugs te kopen en te verkopen. Studenten krijgen in deze interactieve sessie de opdracht om TOR (anoniem surfen) te gebruiken, te kijken wat er allemaal online verkrijgbaar is en een ‘real dark net market’ met bitcoins te gebruiken. Vervolgens spelen zij het spel ‘Greed and speed’ waarin zij drugs kopen en verkopen.
Privacy Preserving Machine Learning
Mijung Park van de Universiteit van Amsterdam geeft een gedetailleerde uitleg over het gebruik van algoritmen bij de bescherming van privacy. Deze wiskundige benadering is een interessante invalshoek voor een cybersecurity aanpak.
Robots en ethiek
Aimee van Wijnsberghe (Universiteit Twente) geeft een toelichting op ethiek en privacy in relatie tot robots. Technologie is een onderdeel van ons dagelijks leven en heeft impact op het hebben van een goed leven in ethisch opzicht. Robots gaan impact hebben op ons leven: ze kunnen worden ingezet om bijvoorbeeld ons werk te doen, verzorgende taken uit te voeren, eten te geven en te bespioneren. Er dienen zich vele vragen aan, zoals: hoe programmeren we deze robots als er geen overeenstemming is over wat ethisch is wel of niet verantwoord is? Wie is eigenaar van de informatie die de robot verzameld? Hoe gaan we om met 'codes of conduct'? Kunnen we een robot in zetten om te doden (in oorlog of in geval van euthanasie)? Bovendien dienen zich vragen aan in relatie tot privacy: een robot kan gehackt worden en zo kan men gemakkelijk toegang verkrijgen tot persoonlijke informatie. Het is nu het moment om na te denken over deze dingen en na te denken over beleid, regelgeving en wetgeving op dit terrein dat 'reflects a societal view and value of privacy’.
Dag 3: Data and Privacy (24-08-2016)
Oscar Koeroo van KPN vertelt over het belang van telecom providers om cybersecure te werk te gaan. Niet alleen de telecomorganisatie zelf moet cybersecure zijn, maar ook haar klanten. KPN is in het verleden gehackt door een 17 –jarige jongen. Dit heeft KPN ertoe gebracht nog eens kritisch naar de organisatie van cybersecurity binnen de organisatie te kijken en heeft vervolgens een modern control centrum en cybersecurity afdeling ingericht. Koeroo vertelt hoe KPN inspeelt op nieuwe technologische ontwikkelingen. Zo werkt KPN onder andere samen met andere partijen aan een antwoord op het feit dat quantum computing de bestaande cryptographpy kan kraken.
Cybercrime
Cybercrime is de wereld van Catrien Bijleveld, NSCR Institute for the Study of Crime and Law Enforcement, VU Amsterdam. Zij bespreekt welke vormen van cybercrime er zijn. Ze onderscheidt twee vormen: de bestaande vormen van criminaliteit die steeds meer gebruikmaken van ICT en de echt nieuwe vormen die zich online afspelen. Ze geeft aan dat naar schatting slechts een derde van alle delicten wordt aangegeven door de slachtoffers. Als het om cybercrime gaat ontbreekt er momenteel heel veel data. Dat betekent onder andere dat de data waarmee onderzoek wordt gedaan slechts een topje van de ijsberg is. Bijleveld stelt dat cybercrime een complex vraagstuk is dat niet alleen door criminologen onderzocht zou moeten worden. Multidisciplinair onderzoek en aanpak is gewenst.
Financiële sector onder vuur
Paul Samwell, Rabobank, vertelt dat de financiële sector in trek is bij cybercriminelen. Op allerlei verschillende manieren liggen de banken digitaal onder vuur. De financiële sector moet zich dus goed kunnen wapenen tegen deze aanvallen. Daarbij spelen de gebruikers ook een belangrijke rol. Cyberhygiëne is belangrijk. Samwell geeft een overzicht van de maatregelen die de Rabobank neemt om resillant te zijn. Hij vertelt dat er een goede samenwerking is tussen de Nederlandse banken. In de ISAC voor Financiële Instellingen (FI-ISAC) wordt onderling relevante informatie gedeeld. Het feit dat de Nederlandse banken niet concurreren op het thema cybersecurity helpt hierbij.
Risico’s voor betaalsystemen
Erik Poll van de Radboud Universiteit Nijmegen loopt de geschiedenis van betaalsystemen door en de mogelijkheden die er zijn om deze systemen en bijbehorende protocollen te hacken. Skimming komt uitgebreid aan de orde. Als reactie op de acties van cybercriminelen wordt de cybersecurity van de betaalkaarten steeds verder verbeterd. Poll laat zien dat het betalingsverkeer steeds complexer wordt en dat er niet één, maar vele protocollen zijn om betaalverkeer mogelijk te maken. Dit verhoogt de kans op fouten in de protocollen, die vervolgens uitgebuit kunnen worden door criminelen. Cybercriminelen zijn in staat professionele tools te ontwerpen die regelmatig beter zijn dan de tools van de good guys. Ook ziet hij dat cybercrime-as-a-service groeit in populariteit.
Ruben Niederhagen, Eindhoven University of Technology, geeft een gedetailleerde uitleg over cryptography. Crisisplan laat studenten via een workshop ervaren wat crisismanagement op strategisch niveau inhoudt.
Dag 2: Vitale infrastructuur en cyberdreigingen (23-08-2016)
“Skate to where the puck is going to be, not where it has been.” Dit citaat van ijshockeyer Wayne Gretzky wordt aangehaald door Sander van den Born, Vice-President Marketing, Communications & Portfolio bij CGI. Tijdens zijn openingsspeech geeft hij de studenten het advies om vooruit te kijken en niet alleen stil te staan bij wat er nu gebeurt, want dan kom je uiteindelijk op de verkeerde plek uit.
Smart grid
Het elektriciteitsnetwerk staat voor een grote verandering, vertelt Erwin Kooi van Alliander. Voorheen konden netwerkbeheerders voorspellen wanneer een piekvraag naar energie zou ontstaan, omdat mensen een vast patroon van wakker worden, werken en slapen hebben. Er komen echter steeds meer elektrische voertuigen die onverwacht stroom vragen en dat op onvoorspelbare plaatsen doen. Wind- en zonne-energie worden opgewerkt op onvoorspelbare momenten. Daardoor staat de balans tussen vraag en aanbod in het netwerk onder druk. Te veel van het een of van het ander levert risico’s op voor de stabiliteit. Daarom zetten de netwerkbeheerders in op een slim netwerk (‘smart grid’) om vraag en aanbod beter op elkaar af te stemmen, bijvoorbeeld door elektriciteit op te slaan of voorraden aan te spreken. Erwin geeft aan dat steeds meer industriële systemen (SCADA) van Alliander een online verbinding krijgen, zodat ze op afstand aan te sturen zijn. Dat levert cybersecurity risico’s op. Daarom maakt Alliander gebruik van diverse beveiligingslagen om ongenode gasten buiten de deur te houden. En mochten ze toch binnen weten te komen, dan staat er een IT Security Response Team klaar.
Industry 4.0
Joost Willems van Siemens Nederland ziet dat de industrie in het algemeen steeds vaker aangevallen wordt door cyber attackers, die bijvoorbeeld uit zijn op data, het verstoren van productieprocessen en het overnemen van systemen. De verschuiving naar een Industrial Internet of Things (IIoT), Industry 4.0 of Smart Industry zorgt ervoor dat steeds meer systemen kwetsbaar raken via draadloze technologieën. De vraag naar op afstand bestuurbare systemen is groot, omdat het efficiënter en effectiever is. Ook constateert Willems dat er door de industriële automatisering steeds meer data over de processen en ‘kroonjuwelen’ van bedrijven beschikbaar is en dat die worden opgeslagen in de cloud. Bij dat laatste is het maar de vraag waar de data precies staat en wie er toegang toe heeft. De toenemende onderlinge verbondenheid van industriële systemen en de verbinding met het internet levert risico’s op. Willems adviseert het ‘in depth concept’ als verdediging te gebruiken, waarbij verschillende beveiligingslagen de bedrijfsprocessen beschermen. Denk aan fysieke beveiliging, netwerkbeveiliging, systeembeveiliging, en beveiliging in hardware en software. Willems legt uit hoe die verschillende beveiligingslagen er in de praktijk uit kunnen zien.
Menselijk gedrag
Uit onderzoek van de TU Delft blijk dat 74 procent van de ondervraagde personen altijd hun WiFi-verbinding op hun smartphone aanheeft. Daardoor valt eenvoudig uit te lezen waar iemand is geweest en welke routes hij heeft afgelegd. “Als bedrijf kun je dat ook uitlezen en in je beveiligingsbeleid opnemen, zodat devices worden geblokkeerd die op een bepaalde plaats zijn geweest”, geeft Christian Doerr van de TU Delft als tip. Het is volgens hem enorm belangrijk dat bij beveiligingsmaatregelen rekening wordt gehouden met menselijk gedrag. Als het te moeilijk wordt, gaan mensen work arounds verzinnen. Door te onderzoeken wat de impact van bepaalde maatregelen is op het beveiligingsniveau en op het werk van de medewerkers, kun je heldere afwegingen gaan maken. Uit zijn onderzoek blijkt dat er geen grote ‘hubs’ van mensen zijn binnen de eigen universiteit (plekken waar veel mensen en computers samen zijn, zoals een bibliotheek) waar zich besmettingen van het netwerk voordoen, maar dat iedere medewerker een risico is. Het meest effectief volgens Doerr is het verplicht (automatisch) wissen van mobiele opslagapparaten na gebruik en het verplicht (automatisch) wissen van workstations in de nacht. Dat overleeft 85 procent van de virussen niet.
Quantum computing
De AIVD geeft een lezing over quantum computers, de werking ervan en de beveiligingsproblemen die dat met zich meebrengt. Deze computers zijn in staat om encryptiesleutels te kraken, waardoor beveiligde verbindingen niet langer beveiligd zijn. Rond 2030 wordt grootschalige toepassing van quantum computing verwacht. Daardoor moet er nu geïnvesteerd worden om tijdig een oplossing te kunnen ontwikkelen. Er zijn al oplossingsrichtingen waaraan wordt gewerkt, maar meer urgentie en budget is nodig om een goed antwoord te hebben om zo informatie geheim of beveiligd te kunnen houden. Generaal Hans Folmer van het Cyber Commando van het ministerie van Defensie geeft een lezing over hoe cyber een extra dimensie toevoegt aan het militair optreden. Twee militairen demonstreren vervolgens hoe de controle over een commerciële, veel verkochte drone kan worden overgenomen. Daardoor zijn zij in staat de drone van een bepaalde plaats te verwijderen of het apparaat ergens te laten landen waar zij dat willen.
Dag 1: introductie digitale veiligheid (22-08-2016)
Dick Schoof haalt in zijn openingsspeech aan dat uit onderzoek blijkt dat er een tekort dreigt aan cybersecurity specialisten. Er moet nu actie ondernomen worden om dat te voorkomen. De raad heeft hierover eind vorig jaar advies gegeven, maar voegt ook zelf de daad bij het woord. Door studenten voor te lichten over cybersecurity en cyberontwikkelingen, hoopt de raad dat zij de opgedane kennis meenemen naar het bedrijf waar ze zullen gaan werken of zich gaan specialiseren op dit onderwerp. “Welke richting je ook opgaat, je krijgt te maken met cybersecurity. Digitaal is de norm in onze maatschappij. Wees je bewust van de digitale dreigingen die er zijn, maar ook van de kansen die de digitale ontwikkelingen met zich meebrengen.” De raad is blij met de stageplaatsen die door verschillende organisaties worden aangeboden en de raad kijkt uit naar de presentatie van de winnaars van de CSR-Challenge.
Gebruik je brains
“Je zet sloten op je huis om dieven buiten te houden. Wees je ervan bewust dat je in onze maatschappij ook een digitaal huis te bewaken hebt en dat je digitale sloten moet aanbrengen.” Daarmee start Ron de Mos, Senior Vice President CGI, voorzitter Nederland ICT en lid van de Cyber Security Raad zijn toespraak. Belangrijk voor een digitale samenleving is volgens De Mos het vertrouwen dat we stellen in het internet. Maar is het wel veilig? Kan je ervan op aan dat de ander degene is die jij denkt dat hij is? Daaraan moet je zelf aandacht besteden en je verantwoordelijkheid nemen. Of je nu cybersecurity specialist wordt of niet. Je krijgt te maken met cybersecurity uitdagingen in je beroep. De digitale ontwikkelingen hebben niet alleen een donkere kant. Ze bieden ook heel veel mogelijkheden, stimuleren innovatie en disruptieve business modellen. In het kader van cybersecurity geeft De Mos aan dat geen enkel bedrijf, overheid of universiteit dit alleen afkan. Multidisciplinaire samenwerking is noodzakelijk. Hij stimuleert de studenten om hun brains te gebruiken in de werkgroepen in voorbereiding op de CSR-Challenge van vrijdag. “Polderen en overleggen met elkaar is belangrijk. Samen sterk.”
Machine Learning
Sicco Verwer, TU Delft, gaat in op machine learning. Hoe train je een systeem om kwaadaardige software te ontdekken? Niet al het netwerkverkeer valt te analyseren, dat is onmogelijk qua omvang. Maar door niet alles te onderzoeken, maar op hoofdlijnen te analyseren via hash functions en ranking van afwijkende gedragingen van het systeem is machine learning in staat om automatisch schadelijke software te ontdekken. Via N-grams ontdekt het systeem specifieke functionaliteiten of codes die door malicious software wordt gegenereerd. Om dit alles mogelijk te maken, moet het systeem wel getraind worden met realistische data. “Als gevolg van privacy-regels krijgen onderzoekers gaan toegang tot data, waardoor nog steeds met een dataset uit 1998 wordt gewerkt voor machine learning”, vertelt Verwer. “De regels zouden aangepast moeten worden, want zo blijft de kwaliteit van cybersecurity onderzoek achter.”
Botnets
Herbert Bos van de Vrije Universiteit Amsterdam legt uit hoe malware en botnets werken. Volgens hem is software zo complex, dat zelfs als er geen bugs in zitten het toch nog kwetsbaar is als gevolg van de complexiteit. Deze kwetsbaarheden worden misbruikt, waardoor de samenleving risico loopt. Hij legt uit hoe op diverse manieren botnets systemen binnendringen en hoe command and control servers bots aansturen. Een gecentraliseerd botnet met een botmaster valt nog neer te halen, maar nieuwe botnets met peer-to-peer techniek zijn een stuk moeilijker offline te krijgen. En de vraag is of dit überhaupt nog mogelijk is. Aan de hand van een aantal voorbeelden laat hij zien hoe de strijd tegen botnets in zijn werk gaat. Een strijd die nog lang niet gestreden is.
Trends
Rogier van Wanroij van het Nationaal Cyber Security Centre neemt de studenten mee in de laatste trends en ontwikkelingen op basis van het Cyber Security Beeld Nederland. Hij ziet cryptoware en ransomware toenemen als middel voor criminelen om geld te verdienen. “Ze stellen zich zakelijk op en geven je na betaling de decryptiesleutel. In de praktijk blijkt dat veel slachtoffers bereid zijn te betalen. Mijn advies: betaal niet! Werk niet mee aan hun business model.” Ook ziet hij Advanced Persistent Threats toenemen. Criminelen hebben geduld en monitoren hoe processen lopen om uiteindelijk aanzienlijke geldbedragen te verdienen. Phishing wordt steeds moeilijker herkenbaar, geopolitieke spanningen zijn zichtbaar door actieve buitenlandse overheidsorganen die spioneren en analoge alternatieven voor IT-toepassingen verdwijnen. Daarmee wordt de maatschappij kwetsbaar en zijn cybersecurity professionals hard nodig.
Opsporing
Peter Wagenaar van de High-Tech Crime Team HTCT van de Nationale Politie vertelt over cyberoperaties van de politie. Cybercriminaliteit neemt hand over hand toe en ook het cybercomponent in andere vormen van criminaliteit neemt toe. De opsporing en vervolging van daders is een complexe en internationale aangelegenheid. Veel van de grote jongens lopen nog vrij rond. Het HTCT heeft als target het oplossen van 20 grote zaken per jaar. Daarbij zal volgens Peter de mogelijkheid om terug te hacken zeker helpen.
Zeno Geradts van het Nederlands Forensisch Instituut vertelt over digitale forensische bewijsvoering.