• Position papers Nederlands Cyber Security Lab

    Bernold Nieuwesteeg is één van de intiatiefnemers van het Nederlands Cybersecurity Lab. In dit ‘lab’ worden wetenschappers en het bedrijfsleven bijeen gebracht om wetenschappelijke inzichten met best practices vanuit het bedrijfsleven te combineren. De overheid is klankbord. Het lab bestaat uit een bureau dat labsessies organiseert. Het bureau selecteert thema’s en genodigden per labsessie. Na de labsessie wordt een position paper met een kernachtige weergave van de oplossingen openbaar gemaakt en verspreid.

  • Position papers

    broken image
    Labsessie #4

    Ransomware (gijzelsoftware) vormt één van de grootste cyberdreigingen voor organisaties. Het lijkt erop dat het betalen van losgeld bij een ransomware-aanval steeds vaker voorkomt. Recent stelde het Nationaal Cyber Security Center dat het fenomeen ransomware onze nationale veiligheid bedreigt. We kunnen dus wel stellen dat dit een groot maatschappelijk probleem is. Organisaties betalen soms losgeld. Zij denken dat dit voor hen goedkoper is dan het opschonen of vervangen van de hele IT- infrastructuur. Dit laatste zou immers tijd kosten, tijd waarin de organisatie geen producten of diensten levert. En soms heeft een organisatie weinig keuze, omdat er anders essentiële gegevens verloren gaan die het voortbestaan van de organisatie bedreigen. Tijdens een nieuwe editie van het Nederlands Cybersecurity Lab hebben we ons gebogen over de vraag hoe organisaties kunnen worden gestimuleerd om geen losgeld te betalen tijdens een ransomware incident. Onze positie: onderzoek een ‘anti-ransomware fonds’ dat onder voorwaarden organisaties ondersteunt die geen losgeld betalen. Lees hier het hele position paper.

    broken image
    NCSL Labsessie #3: Maak de behoefte aan vanzelfsprekende veiligheid expliciet aan ontwikkelaars van producten en diensten

    Weer een nieuwe mooie editie van het Nederlands Cyber Security Lab. Dit keer boog het lab zich over de vraag: Hoe kan cyberweerbaarheid binnen een keten van bedrijven worden vergroot?

     

    "Het lab ziet [] een aantal specifieke mogelijkheden voor wat betreft het verbeteren van de cyberweerbaarheid in een keten van bedrijven op de kortere termijn, rekening houdend met het gebrek aan cybersecuritykennis binnen deze doelgroep.

    ...

    Onze positie: maak de behoefte aan vanzelfsprekende veiligheid expliciet aan ontwikkelaars van producten en diensten"

    broken image
    NCSL Labsessie #2: Beyond awareness

    Sinds jaar en dag lijken organisaties ‘awareness’ te zien als de sleutel om van gebruikers iets minder de zwakke schakel te maken. De gedachte daar- achter is kortgezegd dat gebruikers zich ‘beter’ gaan gedragen als we ze voeden met informatie over dreigingen, goed en fout gedrag en het cybersecurity-beleid.

    Het is inmiddels echter wel duidelijk dat een beleid dat alleen gericht is op ‘awareness’ niet gaat zorgen voor het gewenste effect. Onderzoek toont bijvoorbeeld aan dat anti-phishingcampagnes, waar nepphishingmails worden verstuurd, niet heel lang beklijven. Cybersecuritybedrijven geven dan ook steeds vaker aan dat het niet alleen gaat om het verhogen van kennis en bewustwording, maar ook om andere aspecten die gedrag lijken te beïnvloeden. Recent wetenschappelijk experimenteel onderzoek laat zelfs zien dat het hebben van meer kennis kan leiden tot onveiliger gedrag: gebruikers die (een beetje) meer weten, gedragen zich nog onveiliger. Mogelijk komt dat doordat die groep zichzelf overschat en daardoor ten onrechte grotere risico’s durft te nemen.

    We moeten dus verder komen dan alleen awareness. Dit is waar het NCSL zich in de tweede labsessie over boog.

    broken image
    NCSL Labsessie #1: op naar een zorgplicht standaard voor cybersecurity

    Cybersecurity is een verantwoordelijkheid van zowel afnemer als leverancier. Idealiter komen beide partijen vooraf tot goede afspraken over cyberrisico’s, diensten en prijzen. En geeft de leverancier informatie en doet de afnemer zelf ook onderzoek. In het geval van de GGD bijvoorbeeld is het aannemelijk om te veronderstellen dat de softwareleverancier de potentie voor datalekken eerder kan voorzien en de GGD dus kan waarschuwen. Die gedeelde verantwoordelijkheid is er in de praktijk vaak niet.