SBIR Oproep 1: Cybersecurity – 2012

Veiligheidsuitdagingen voor overheid, wetenschap en bedrijfsleven

Cybercrime, -spionage en verstoringen door technisch of menselijk (bewust of onbewust) handelen kunnen grote schade aanbrengen. In het ergste geval zorgt het voor maatschappelijke ontwrichting. Om deze veiligheidsuitdagingen het hoofd te bieden, was een volledige aanpak nodig waarbij overheid, wetenschap en bedrijfsleven nauw samenwerken. Een aanpak die voorzag in tools om cyberdreigingen aan te pakken, maar ook in kennis, kunde en een sterke Nederlandse cybersecurity-economie. De gewenste resultaten van deze aanpak: het juist toerusten van veiligheidsprofessionals en veilige ICT-infrastructuur en -diensten bij zowel de overheid als het bedrijfsleven in Nederland.

Uitdaging van de oproep

Het ministerie van Economische Zaken, Landbouw & Innovatie daagde ondernemers uit om bij te dragen aan het vergroten van cybersecurity, aan de volgende drie hoofddoelen van de Rijksoverheid uit de Nationale Cybersecurity Strategie en het Topsectorenbeleid:

• Verbeteren van de veiligheid van en het vertrouwen in ICT-infrastructuur en diensten.
• Nederland voorbereiden op de veiligheidsuitdagingen op het gebied van cybersecurity in de nabije toekomst door een aantoonbare bijdrage te leveren aan innovatie op cybersecurity. Daarnaast het ontwikkelen van tools die (overheids)organisaties in staat stellen dergelijke uitdagingen tijdig aan te pakken.
• Versterken van de Nederlandse cybersecurity-economie.

De Software Improvement Group (SIG) gaf gehoor aan de oproep.

Project Software Improvement Group (SIG)

Cybersecurity: door toeval of door design?

In het kader van de Nationale Cyber Security Research Agenda verstrekte RVO de opdracht aan SIG om haar toetsingsmethode voor de ingebouwde veiligheid van softwaresystemen door te ontwikkelen. De methode is inmiddels succesvol toegepast op vele honderden softwaresystemen van overheden, telecombedrijven en financiële instellingen. SIG ontwikkelde een methode om de kwaliteit van security in software te bepalen, tijdens en na het ontwikkelen. Systematische analyse van de broncode en het daarin aangeduide ontwerp staan centraal in de methode, gebruikmakend van een slimme mix van middelen en handmatige review. Daarnaast worden resultaten van securitytesten betrokken en analyseert de methode de situatie om zo:

• zwakheden te vinden;
• risico’s en daarmee prioriteiten te bepalen;
• te adviseren over verbetering: in het ontwikkelproces, technologiekeuze en instelling.

De methode omvat de volgende zaken: het op ISO 25010 gebaseerde securitymodel, een analyse-aanpak, middelen, opleiding voor consultants en een kennisbank met best practices voor software security.

Cyber Security – door design!

SIG slaagde erin om bestaande kennisbronnen en standaarden te bundelen om herhaalbaar, stelselmatig, samenhangend en meetbaar te beoordelen of software veilig is gebouwd en daarover te adviseren. Door security inzichtelijk te maken wordt het geen toeval meer, maar ‘security by design’. Bij voorkeur vanaf het begin van de ontwikkeling. Gebaseerd op het onderzoek en de opgedane contacten in het vakgebied, verwachtte SIG een grotere bewustwording. Dit ging vooral om bewustwording van: een steeds grotere rol van software, het belang van security en van hoe je daarvoor zorgt.

SIG en SBIR

Door de ondersteuning van SBIR kon SIG het securitymodel sneller en met meer diepgang ontwikkelen en op de markt brengen. Het SBIR traject stelde SIG in staat tot een grondig en gericht project voor een toepassing die weliswaar veelbelovend was, maar nog met een onbekende kans van slagen. De duidelijke scheiding tussen haalbaarheid en verdere uitvoering van SBIR projecten dwingt om eerst goed na te denken. Daarnaast bestaat er binnen SIG veel waardering voor de pragmatische vorm waarmee het team achter SBIR een vinger aan de pols hield en voor reflectie zorgde zonder al te veel onnodige administratie en formulieren.