Auteur: Dalila Dizdar

dcypher symposium 2019

Op donderdag 3 december 2019 vond het tweejaarlijkse symposium van dcypher plaats,  een symposium met ruim driehonderd deelnemers en inspirerende sessies en demo’s. Een plek waar onderwijs en onderzoek op het gebied van cybersecurity samen komen. Het symposium is georganiseerd door dcypher in nauwe samenwerking met diverse organisaties waaronder de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), het Nationaal Cyber Security Centrum (NCSC) en het Dutch Institue for Vulnerability Disclosure. Consignium was aanwezig en luisterde aandachtig naar de actuele ontwikkeldingen en ervaringen.  

dcypher

Voor diegene onder ons die niet bekend zijn met dcypher een korte introductie. Allereerst de naam: er is bewust gekozen voor een naam welke wordt geschreven zonder hoofdletters. De horizontale lijn in het beeldmerk symboliseert de platform gedachte, en benadrukt dat het om de cybersecuritygemeenschap gaat.

 Nederland is namelijk een land dat, op het terrein van cybersecurity, zeer actief is en goed academisch werk levert. Met de wetenschap en hoger onderwijs zorgen we ervoor dat de (academisch) verkregen kennis positief bijdraagt aan het innovatieve vermogen van de publieke- en private sector. Dit is dan ook de visie van dcypher, een organisatie die ervoor zorgt dat onderzoekers, hackers, docenten, studenten, producenten, gebruikers en beleidsmakers in Nederland de kennis en kunde over cyberveiligheid verbeteren. Het Ministerie van Justitie en Veiligheid, Economische Zaken, Defensie, Onderwijs, Cultuur en Wetenschap participeren tevens actief in dcypher.

NWO Programma Cybersecurity – Digital Security & Privacy

Het tweejaarlijkse symposium was een succes. NWO – voorzitter Stan Gielen maakte in zijn openingsspeech bekend dat 10 projecten financiering zouden ontvangen uit het NWO programma Cybersecurity – Digital Security & Privacy. Met deze financiering zullen de onderzoekers de komende 4 jaar aan de slag gaan met onderzoek naar o.a. onderwerpen zoals het veilig delen van data en encryptie.

Het NWO heeft meerdere soorten financieringsinstrumenten waarmee ze wetenschappelijk onderzoek van Nederlandse universiteiten en onderzoeksinstituten kan financieren. Eerder dit jaar vroeg de NWO onderzoekers een voorstel voor onderzoek in te dienen welke zal bijdragen aan de kennis op het gebied van cybersecurity, maar daarnaast ook op relatief korte termijn toepasbaar zijn bij maatschappelijke en private partners. De uitkomst hiervan is gepresenteerd tijdens dcypher.

Challenge the Cyber en European Cyber Security Challenge (ECSC)

dcypher heeft samen met het Nationaal Cyber Security Centrum (NCSC) een ‘capture the flag’ event georganiseerd: Challenge the Cyber. Studenten van Nederlandse onderwijsinistellingen konden het op 7 september 2019 tegen elkaar op nemen om 3 opgaven te kraken uit 5 categorieën: web, crypto, server, netwerk en osint). Dagvoorzitter Chris van ’t Hof stelde het team dat mee heeft gedaan verschillende vragen over hun deelname. Ze vertelden dat het erg belangrijk was dat de teamleden over zowel de ‘technical skills’ als de ‘social skills’ beschikten, daarin blonken ze namelijk uit ten opzichte van de andere Europese teams tijdens the European Cyber Security Challenge.

Kwetsbaarheden in hardware

Na de presentatie van de studenten nam Herbert Bos van de Vrije Universiteit het woord over kwetsbaarheden in hardware. Hij nam ons mee in zijn verhaal waarbij hij toelichtte hoe het wetenschappelijk onderzoek verliep en de wijze waarop de frustratie meermaals aanwezig was. Herbert Bos ontdekte samen met zijn team (de Systeem- en netwerkbeveiligingsgroep) een lek in chips van Intel, maar het gevoel voor urgentie was (en is nog steeds) afwezig bij Intel. Eerder dit jaar werd al bekend gemaakt dat er een ernstige kwetsbaarheid aanwezig is in de Intel-chips, waarmee het mogelijk is om details uit te lezen die door de processors verwerkt worden zoals wachtwoorden. Deze kwetsbaarheden zijn nog steeds niet gedicht, wat duidelijk laat zien dat het samenspel tussen wetenschappelijk onderzoek en maatschappelijke relevantie tot onmogelijke situaties en verzoeken kan leiden van grote bedrijven. Intel zou op enig moment namelijk een verzoek hebben ingediend tot het niet publiceren van deze kwetsbaarheden.

Meer Europese samenwerking

Namens het Code Institut Munchen was Gabi Dreo Rodosek aan het woord, en ze hield een pleidooi voor meer Europese samenwerking. Europa wordt op dit moment namelijk als ‘hamburger’ tussen de Verenigde Staten van Amerika en China ‘gesandwitcht’. In de top 15 bedrijven vinden we op dit moment alleen maar Amerikaanse en Chinese bedrijven, welke ook nog eens alle ‘unicorns’ (startups met een waarde van 1 miljard of meer) opkopen en/of overnemen. Hier moet volgens Gabi Dreo Rodosek iets veranderen, we hebben een Europese ‘IT-boeing’ nodig: een Cyber Airbus! Ze pleit voor een Ecosysteem waarin bedrijven, overheden en het onderzoekers participeren. Hiermee voorkomen we dat we straks enkel in een museum Europese ICT uitvindingen kunnen bekijken.

Parallelsessies

Na de plenaire sessies was het tijd voor de verschillende parallelsessies. Een ervan ging over het melden van gevonden kwetsbaarheden en de oprichting van DIVD (Dutch Institute for Vulnerability Disclosure). Op dit moment zijn er al security researchers actief welke vrijwillig werken aan het beschermen van de systemen. Dit doen zij door zwakke plekken te zoeken in systemen en deze te melden bij de desbetreffende partijen. Daar waar de responsietijd in 1998 31 dagen was, zitten we op dit moment op 5 dagen. Het gaat hierbij om de tijd die een organisatie neemt om een reactie te sturen als antwoord op de melding.

Secure Multi-Party Computation and Data Sharing

Tijdens deze sessie stond de vraag centraal hoe organisaties informatie veilig kunnen delen zonder onderliggende gevoelige gegevens prijs te geven. Voorkomen moet worden dat privacywetgeving in het geding komt, maar ook de commerciële gevoeligheid kan op het spel komen te staan. Door gegevens veilig te combineren en te ordenen kunnen organisaties efficiënter en effectiever worden, waarmee partijen ook geld kunnen besparen. Hierdoor wordt het mogelijk om risico’s beter te managen in bijvoorbeeld de gezondheidszorg, maar ook financieel-economische misdaden beter te traceren. Als oplossing zijn IT oplossingen gepresenteerd welke een antwoord zouden kunnen zijn op deze uitdagingen. Een ervan is de Secure Multi-Party Computation (MPC), een toolbox met cryptografische technieken waarmee partijen gezamenlijk gegevens kunnen analyseren, alsof ze een gezamenlijke database hebben. De gevoelige gegevens blijven echter veilig want alleen de output of de analyse wordt gepresenteerd. De MPC techniek is gebruikt tijdens een onderzoeksproject tussen de ABN AMRO, ING en Rabobank samen met TNO met positieve resultaten.

Afsluitende paneldiscussie

Tijdens de afsluitende paneldiscussie stond de Europese digitale soevereiniteit centraal. Het moet mogelijk worden voor burgers om vrije keuzes te maken en op een redelijke manier tot die keuze te komen zonder dat zij of hun gegevens bedreigd worden. Maar hiervoor is wel een cultuuromslag nodig. Anders wordt het lastig om een Europees alternatief voor de Amerikaanse of Chinese technologie te kiezen. Er was een mooie discussie ontstaan waarbij ook de zaal op diverse momenten applaudisseerde. Consignium kijkt terug op een leerzame dag tijdens het dcypher symposium 2019 en zal de ontwikkelingen blijven volgen.

Meer informatie is terug te lezen op de website van dcypher. Alle presentaties zijn te bekijken via deze link.

Foto: Sjoerd van der Hught (link)