Tweede NWO-ronde cyber security onderzoeksprojecten van start

11 juli 2014

Binnen het lange-termijn-onderzoekprogramma Cyber Security van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) zijn elf onderzoekprojecten gehonoreerd. Het betreft projecten die moeten bijdragen aan vergroting van de veiligheid van onze digitale samenleving, zonder privacy aspecten uit het oog te verliezen.

Cyber Security

Een korte opsomming waar de projecten over gaan laat het maatschappelijk belang van deze onderzoeksprojecten zien: e-Identity, cyber crime fighting, autonome controle van ICT-infrastructuren, secure fingerprints on smartcards, anomalie detectie in smart grids, safety en security risk management en monitoring, gegevensbescherming en privacy by design, incident analyse rapportage met behoud van vertrouwelijkheid, cryptografisch incident management ter bescherming van kritische infrastructuren, security and privacy of serious Apps, en bescherming publieke organisaties tegen DDoS-aanvallen.

Dit onderzoekprogramma maakt deel uit van de tweede investeringsronde in het cyber security onderzoek. Financiers en initiatiefnemers zijn de ministeries van Binnenlandse Zaken & Koninkrijksrelaties, Defensie, Economische Zaken, Financiën, Infrastructuur & Milieu en Veiligheid & Justitie (gecoördineerd door het ministerie van Economische Zaken) het Algemeen Bestuur van NWO en de NWO-gebieden Exacte Wetenschappen (EW), Maatschappij en Gedragswetenschappen (MaGW), en de technologiestichting STW.

Korte en lange termijn onderzoek

Cyber security onderzoek is een deelinvulling van de (inmiddels tweede) Nationale Cyber Security Strategie (NCSS2) van het kabinet. Het kabinet zet met deze strategie in op een integrale aanpak voor de veiligheid van een open en vrije digitale samenleving. Onderwijs en onderzoek zorgen ervoor, via het op peil houden en vergroten van onze kennis op dit terrein, dat het gewenste veiligheidsniveau ook in de toekomst gerealiseerd blijft. In deze tweede investeringsronde konden zowel korte als lange termijn cyber security onderzoeksvoorstellen worden ingediend. De tweede editie van de Nationale Cyber Security Research Agenda (NCSRA-II) vormde daarvoor het kader.

De oproep voor lange termijn onderzoek via het NWO onderzoekprogramma Cyber Security past in het topsectorenbeleid en in het bijzonder de Roadmap ICT. Ook de Security Roadmap onder de topsector HTSM verwijst direct naar de NCSRA-II.
NWO (EW, MaGW, STW) heeft in deze tweede investeringsronde van de tweeëntwintig ingestuurde voorstellen elf onderzoekprojecten gehonoreerd en financiert deze met 3,3 miljoen euro.
De Rijksdienst voor Ondernemend Nederland (RvO) heeft voor deze tweede ronde het bedrijfsleven uitgedaagd om via het SBIR-instrument korte termijn voorstellen in te dienen. Voor de korte termijn projecten hebben bovengenoemde ministeries 2,9 miljoen euro uitgetrokken. Binnen enkele weken zullen de samenvattingen van de 21 SBIR-winnaars gepubliceerd worden op de RvO website.

NWO lange termijn onderzoekprojecten

Van de kennisinstellingen, die projectvoorstellen hebben ingediend, wordt verwacht dat ze samenwerken met het bedrijfsleven en/of maatschappelijke organisaties. Van de organisaties die met de indieners samenwerken wordt ook een eigen bijdrage verwacht. Belangrijke beoordelingscriteria waren de wetenschappelijke kwaliteit van het onderzoekvoorstel, de factor kennisbenutting en de relevantie van het onderzoek voor de  NCSRA-II. Gevraagd werd ook naar multidisciplinaire oplossingen omdat cyber security multidisciplinaire dimensies heeft.
De elf toegekende lange termijn onderzoekprojecten zijn:

Prof. dr. ir. P.H.A.J.M. van Gelder, Technische Universiteit Delft
Secure Our Safety: Building Cyber Security for Flood Management
Stormvloedkeringen, sluizen en gemalen beschermen ons land tegen overstromingen. Modellen van waterstanden, voorspellen wanneer deze installaties in actie moeten komen. Ze zijn zo ontworpen dat de kans op falen minimaal is op cruciale momenten. Aanvallen met explosieven, maar ook cyber attacks kunnen die nauwkeurige voorspellingen verstoren. In dit project staat centraal hoe bij computergestuurde waterwerken de detectie en afhandeling van cyberdreigingen kan worden afgestemd op veiligheidsrisico's. Traditionele beveiliging tegen overstromingen en hedendaagse beveiliging tegen cyberdreigingen worden gecombineerd en meegenomen in het beschermen van de bevolking en de infrastructuur. Zodoende levert dit project een bijdrage aan de integratie en verdere uitbouw van kennisdomeinen waarin Nederland internationaal al een sterke positie heeft: waterwerken en cyber security.

Prof. dr. P.H. Hartel, Universiteit Twente
Security RequIrements for SERIOUS apps
Veel mensen gebruiken allerlei Apps op hun smartphone en tablet. Maar lang niet iedereen heeft een goed inzicht in wat die Apps eigenlijk doen. Sommige mensen denken ten onrechte dat alle Apps bij de App-store worden gecheckt. Mensen weten vaak niet dat een App stiekem dure SMSjes kan gaan sturen. En wat moet je antwoorden als je gevraagd wordt of een App het Internet op mag? Waarom wil die App dat eigenlijk? Om je reclame te sturen soms? Het doel van het SERIOUS project is om de gebruiker te helpen verstandig om te gaan met de veiligheids- en privacy-risico’s die verbonden zijn aan het gebruik van Apps. Het project richt zich daarbij vooral op Apps die voor serieuze doeleinden worden gebruikt, zoals advies van de overheid aan burgers of advies van zorgverleners aan patiënten. In dit project werken sociale wetenschappers en ingenieurs samen om kennis over menselijk gedrag te vergaren, en om die kennis te verwerken in slimme software.

Prof. dr. ir. B.R.H.M. Haverkort, Universiteit Twente
Supervisory Control And Data Acquisition Systems (SCADA)
Netwerken worden gebruikt om fysieke processen, zoals waterzuiveringen en elektriciteitsnetwerken te besturen. Voor de industrie en de samenleving is het van belang dat de door de SCADA-systemen gecontroleerde industriële processen foutloos verlopen. Deze zijn echter kwetsbaar voor cyberaanvallen, onder andere vanwege te kort schietende authenticatie. In dit project worden nieuwe methoden ontwikkeld om de veiligheid (security) van SCADA-systemen te vergroten. Een nieuwe aanpak, een self-awareness monitoring techniek, vergelijkt data of controle commando’s uit het fysieke systeem met een modelgebaseerde beschrijving van het echte systeem, zodat de security-component ook beter "weet" wat de werkelijke situatie is. Hiermee kan het effect van maatregelen tegen aanvallen, snel worden doorgerekend, zodat kosten en effecten tegen elkaar kunnen worden afgewogen.

Dr. J.H. Hoepman, Radboud Universiteit Nijmegen
Patterns for Privacy (P4P)
Privacy is een significante economische en juridische factor in de informatiesamenleving waarin IT-systemen geen groot vertrouwen genieten. Privacy by design is een ontwerpfilosofie die als doel heeft IT-systemen respectvol met privacy om te laten gaan. Uitgangspunt is dat privacy een kerneigenschap van een IT-systeem is, die in hoge mate bepaald wordt door het onderliggende systeemontwerp. Je kunt privacybescherming niet naderhand aan een bestaand systeem toevoegen. Privacy design patterns kunnen systeem ontwerpers helpen om privacy eisen al vroeg tijdens het ontwerpproces mee te nemen en hen in het ontwikkeltraject steunen met de juiste richtlijnen en hulpmiddelen. TNO is de industriële partner in dit project.

Prof. dr. B.P.F. Jacobs, Radboud Universiteit Nijmegen
Own Your Own Identity
Een nieuwe ontwikkeling in de elektronische wereld is het gebruik van attributen in plaats van identiteiten. Daarmee kun je bijvoorbeeld laten zien dat je boven de 18 jaar of Nederlander bent, zonder iets anders van jezelf te onthullen. Nu al bestaat er een prototype chipkaart systeem, de IRMA kaart, waarmee je dit soort attributen van jezelf op een veilige en privacy-vriendelijke wijze kunt tonen. Binnen dit project worden deze technieken uitgebreid naar mobiele telefoons, door de benodigde cryptografische berekeningen op de SIM-kaart ofwel in een beveiligde omgeving (Trusted Execution Environment) op de telefoon te zetten.

Prof. dr. B.J. Koops, Universiteit van Tilburg
Public-private actions against botnets: establishing the legal boundaries
Botnets zijn netwerken van geïnfecteerde computers (‘bots’). Het bestrijden van botnets is een van de grootste uitdagingen in cyberveiligheid. Terwijl er wel onderzoek plaatsvindt naar technische, organisatorische en economische aspecten van botnetbestrijding, is de juridische kant nog nauwelijks onderzocht. Dit onderzoek beoogt helderheid te scheppen over de juridische grenzen en deze grenzen te vertalen in praktische gedragscodes. Omdat de grenzen van wat mag en niet mag in botnetbestrijding nog volop in ontwikkeling zijn, helpt het onderzoek tegelijkertijd ook op een innovatieve manier om de rechtmatigheid en legitimiteit van antibotnet acties verder vorm te geven en nader uit te kristalliseren.

Prof. Cees de Laat, Universiteit van Amsterdam
Security Autonomous Response NETworks (SARNET)
Het project onderzoekt wat er bedrijfsoverstijgend nodig is om op zelforganiserende wijze Internet veiligheid te bieden. Het onderzoek past via software definieerbare netwerk technologieën toe, waarbij Internet provider- en bedrijfsnetwerken samenwerken bij detectie en verdediging. Hiermee staan bedrijven niet meer alleen in hun strijd tegen cybercriminelen. Bij een aanval, gedetecteerd door een provider en/of bedrijf, wordt verdediging ook bij andere bedrijven en providers geprogrammeerd. SARNET legt zo de fundamenten voor een nieuwe cybersecurity industrie. Het onderzoek wordt uitgevoerd aan de UVA, waarbij TNO en netwerkfabrikant Ciena zorgen dat het in de praktijk van Air France - KLM toegepast kan worden.

Dr. A. Peter, Universiteit Twente
Critical Infrastructure Protection through Cryptographic Incident Management (CRIPTIM)
Moderne methoden voor het beschermen van onze kritieke infrastructuur leunen steeds meer op het delen van incident-informatie tussen betrokken partijen (bijvoorbeeld in de context van cyber-dreigingen). Echter, de hoge mate van gevoeligheid van incident-informatie weerhoudt deze partijen van het daadwerkelijk delen ervan. Met het CRIPTIM-project wordt het nieuwe paradigma van ‘cryptografisch incident management’ geïntroduceerd, dat met behulp van nieuwe cryptografische technieken ervoor zorgt dat bij delen van incidentinformatie de vertrouwelijkheid altijd gewaarborgd blijft. Het onderliggende idee is om incidentinformatie te monitoren en te analyseren in het vercijferde domein, waarbij een alarm afgaat wanneer een alarmtoestand of dreiging is geconstateerd.

Dr. ir. A. Pras, Universiteit Twente
D3 - Distributed Denial-of-Service Defense: protecting schools and other public organizations
Het D3 project richt zich op gedistribueerde ‘Denial of Service’ (DDoS) aanvallen op openbare voorzieningen, zoals scholen. Het aantal aanvallen neemt snel toe door de beschikbaarheid van “booters”. Booters zijn web gebaseerde ’diensten’ die DDoS aanvallen aanbieden. DDoS aanvallen kunnen nu ook uitgevoerd worden door personen zonder grondige kennis van het Internet. In het D3 project wordt gewerkt aan de architectuur van een nationaal DDoS protectie systeem. In dit project worden ’Software Defined Networking’ (SDN) concepten gebruikt om het aanvalsverkeer in een vroeg stadium te isoleren en worden nieuwe algoritmen ontwikkeld voor het filteren van aanvallen. Tevens levert D3 bijdragen op het terrein van bedrijfsmodellering, inclusief economische en ethische aspecten en regelgeving.

Dr. B. Skoric, Technische Universiteit Eindhoven
ESPRESSO
Het opslaan van persoonlijke informatie, zoals vingerafdrukken, moet voldoen aan stringente veiligheidseisen. Databases met biometrische gegevens moeten goed zijn beveiligd. Hiervoor kunnen Helper Data Systemen (HDS’en) een oplossing bieden. Een alternatief is om deze gegevens op te slaan op persoonlijke smartcards. Beveiliging van smartcards zonder HDS heeft nadelen die hoge kosten met zich meebrengen. In de afgelopen jaren is onderzoek gedaan naar drie aspecten van HDS'en: reductie van informatie om kans op lekken te verkleinen, efficiënte implementatie en aangepaste signaalbewerking. Ondanks alle vooruitgang, is het nog niet gelukt om HDS voor vingerafdrukken op een goedkope smartcard te implementeren. Het doel van ESPRESSO is om HDS'en zo te verbeteren dat dit wel mogelijk wordt.

Prof. Dr. Roel J. Wieringa, Universiteit Twente
Learning from Incidents (LINC)
Agentschap Telecom (AT) is het onderdeel van het Ministerie van Economische zaken dat verantwoordelijk is voor het waarborgen van de beschikbaarheid van betrouwbare telecommunicatie in Nederland. De wet verplicht aanbieders van openbare telecomdiensten en -netwerken in Nederland om beschikbaarheidsincidenten aan AT te melden. AT verzamelt die meldingen en rapporteert hier jaarlijks over aan ENISA, het Europese Agentschap voor netwerk- en informatiebeveiliging. Doel van het LINC project is de informatie in de incidentendatabase te analyseren om daaruit lessen te trekken hoe de telecommunicatie-infrastructuur nog betrouwbaarder gemaakt kan worden. Belangrijke uitdagingen zijn hoe de vertrouwelijkheid van de informatie in de database gewaarborgd kan blijven , en hoe uit de diversiteit en complexiteit van de incident-informatie toch lessen getrokken kunnen worden die van algemeen belang zijn voor alle telecommunicatie-aanbieders.

Meer informatie over de eerste NWO -investeringsronde cyber security: Negen projecten in cyber security onderzoek van start.
Contactpersonen: Joep van Wijk, Jan Piet Barthel

Bron: NWO