Eind vorig jaar zagen we de aftrap van het Nationaal Samenwerkingsverband Security Onderzoek (NVSO). Dit initiatief van Philips Research, de Universiteit Twente en TNO ICT heeft als doel om onderzoeksinstituten en bedrijfsleven meer te laten samenwerken op het onderzoeksgebied informatiebeveiliging. Het blijkt namelijk dat onvoldoende bedrijven en organisaties bij kennisinstituten aankloppen voor onderzoek en analyse.
Over het algemeen geldt dat TNO al jaren samenwerkt met verschillende universiteiten”, legt dr. ir. Geert van Oortmerssen, directeur TNO Telecom uit. Deze organisatie is een aantal jaren geleden ontstaan vanuit het onderzoekslab van KPN Telecom. Van Oortmerssen zelf was lange tijd directeur van het Centrum voor Wiskunde en Informatica (CWI) in Amsterdam en kent de academische wereld dus goed. “Het geeft ons de noodzakelijke voeding vanuit de wetenschappelijke wereld”, legt hij uit. “TNO is namelijk veel meer gericht op het toepassen van nieuwe kennis en innovaties dan op het doen van onderzoek. Het heeft zelf ook niet de middelen om veel aan fundamenteel wetenschappelijk onderzoek te doen. Dat zou ook dom zijn, want er zijn allerlei universitaire onderzoeksgroepen die – zeker op het gebied van security – prima onderzoek doen. Vooral in Twente met het Centre for Telematics and Information Technology (CTIT) hebben we nu een tweetal actuele projecten lopen. Het ene behelst Quality of Service, waar ook het CWI in Amsterdam aan mee doet. Het andere onderwerp is security en daar doet behalve het CWI ook Philips Research aan mee. Dit zijn de eerste projecten die we als NVSO aanpakken, maar er staan er meer op stapel.”
Records breken
Volgens Van Oortmerssen is het terecht dat informatiebeveiliging in grote belangstelling staat en hij verwacht dat dit in de toekomst alleen maar toeneemt. “Op dat vlak zijn we in Nederland bijzonder innovatief bezig. Zeker als je door de jaren heen naar de projecten van het CWI kijkt, heeft Nederland altijd al een goede naam gehad als het gaat om encryptie. We zijn daar de afgelopen jaren constant bezig geweest met het kraken van het befaamde RSA-algoritme. Daar werd ieder jaar toch weer een record gebroken en dat zegt toch wel iets over de ontwikkelingen die daar gaande zijn. Verder is er in Twente een grote groep van ruim vierhonderd onderzoekers en ook Eindhoven, Nijmegen en Leiden kunnen daar op onderzoeksgebied goed in meekomen. TNO telt zelf ruim dertig fte’ers (fulltimers) die met toepassingen rond security bezig zijn. Kortom, Nederland telt op dat vlak dus zeker mee bij de wereldtop en dat wordt internationaal erkend. Het is alleen jammer dat het bedrijfsleven daar zo weinig gebruik van maakt.”
Moeizaam
Het NVSO is voornamelijk opgericht om de kloof tussen universitaire kenniscentra en het bedrijfsleven te dichten. Van Oortmerssen ziet dat er in Nederland voldoende fondsen zijn om onderzoek op dit vlak te financieren, maar dat het animo van het bedrijfsleven daar ver op achterloopt. “Neem nu het Sentinels-programma. Daar is voor onderzoek flink wat geld beschikbaar, maar bij dit soort programma’s geldt vrijwel altijd de voorwaarde dat ook het bedrijfsleven participeert. Aan de kant van de kennisinstituten zijn nieuwe onderzoeksprojecten gemakkelijk te organiseren, maar de markt er vervolgens actief bij betrekken gaat uiterst moeizaam.” Volgens Van Oortmerssen komt dat deels omdat het bedrijfsleven nog onvoldoende belang lijkt te hechten aan goede beveiliging van de ict-infrastructuur. “Het wordt nog niet aan de grote klok gehangen als er iets misgaat”. “Dus lijkt het misschien of we het allemaal wel goed voor elkaar hebben en verder onderzoek overbodig is. Anderzijds zien we dat grote financiële instellingen die wél het belang van informatiebeveiliging inzien, vaak zelf naar oplossingen gaan zoeken. Daarbij laten ze de beschikbare onderzoeksfaciliteiten binnen Nederland links liggen. Dat is jammer omdat de academische wereld het bedrijfsleven op dit vlak juist zoveel te bieden heeft. Ik zie het dan ook als een belangrijke taak van het NVSO om daar meer aandacht voor te vragen.”
Koudwatervrees
Vergeleken met de Angelsaksische landen ontbreekt het ons volgens velen aan een cultuur waar de relatie tussen universiteiten en bedrijfsleven per definitie heel close is. Naast TNO is Philips Research binnen de NVSO een belangrijke partner. Prof. dr. Willem Jonker, groepsleider Information & System Security bij Philips Research, hoogleraar aan de Universiteit Twente én voorzitter van Sentinels, onderkent dit probleem, maar ziet wel een verschuiving richting het Angelsaksische model: “Er zijn zeker goede initiatieven, maar het is inderdaad niet op een schaal zoals we dat in de Verenigde Staten zien. Tijdens de internetbubbel was men ook hier nog erg enthousiast over dit soort projecten en zag je incubators zich storten op studenten die een spin-out op wilden zetten. Toen de internetbel echter klapte, hebben we een terugslag gehad en kreeg iedereen spontaan koudwatervrees. Bij Philips Research hebben we nog steeds een technology incubator waar we wél voor de funding zorgen, maar ons niet bezig houden met de bestuurlijke kanten van zo’n onderneming. Daar komen vervolgens interessante initiatieven uit die we ook vermarkten. Dit jaar is dus besloten om naast technologie ook incubators op te zetten voor lifestyle en gezondheidszorg, en we verwachten daar op termijn dezelfde positieve resultaten als bij technologie.” Jonker ziet wel dat het in Nederland lastig is om het midden- en kleinbedrijf de weg te laten vinden naar de universitaire wereld. “De Sentinels kennisvouchers van 7.500 euro zijn een goed initiatief, maar als je met dat bedrag bij TNO aanklopt, verbranden ze dat binnen een week. Ik geloof dat we om het bedrijfsleven mee te krijgen, ons financieringsmodel in Nederland aan moeten gaan passen. Er zijn veel modellen waarvan ze zeggen dat het bedrijfsleven mee moet betalen. Want als ze er niet voor willen betalen, vinden ze het kennelijk niet belangrijk genoeg, denkt de overheid. De markt is echter best bereid te betalen, mits het kortlopende projecten betreft en dat is niet het enige wat we willen stimuleren. Ook het onderzoek op de middellange en lange termijn verdient aandacht. Bij dit soort projecten haakt het mkb dan af, omdat ze het financieel niet kunnen dragen. Dat zie ik ook in de discussies die ik zelf met onze incubators voer. Die mensen moeten kiezen of ze een manjaar in research steken of er een programmeur voor inhuren. Dat is het soort keuze waar die kleinere bedrijven voor komen te staan. Het is begrijpelijk dat ze dan dat laatste kiezen.”
Financieringsmodellen
Het Sentinels-programma had daar verandering in moeten brengen, maar ook Jonker erkent dat dit programma nu nog grotendeels wordt gedragen door TNO en Philips Research. “We doen dat overigens met plezier; maar dat was niet het doel. Als voorzitter zie ik dat als we een Sentinels-dag organiseren, er veel partijen op afkomen. Als we met elkaar praten, is er altijd veel interesse in samenwerking tussen de kennisinstituten en het bedrijfsleven. Als puntje bij paaltje komt, zeggen de marktpartijen echter dat het niet op te brengen is voor researchprojecten die drie of vier jaar gaan lopen. Dat soort tijdprognoses is voor hen gewoon te lang, omdat samenwerken een forse investering in geld en mankracht vraagt. Juist in deze tijd kan ik me goed voorstellen dat bedrijven dat vet nog niet op hun botten hebben. Ik denk dus dat we naar andere financieringsmodellen moeten kijken om de samenwerking tussen wetenschap en het bedrijfsleven meer kans te geven.”
Volgens Jonker hebben overheid, universiteiten en het bedrijfsleven uiteindelijk hetzelfde doel. “De kunst is alleen dat je samen wel hetzelfde wilt, maar hoe vind je een modus operandi waarin je dat ook inderdaad bereikt? Volgens de overheid betekent die instelling dat bedrijven moeten betalen. Bij de grote ondernemingen lukt dat prima, maar de kleine bedrijven vallen uit de boot. De overheid onderkent dit en probeert daar, onder andere met de vouchers, wat aan te doen. Ze zijn een goede aanzet geweest, maar hebben niet het beoogde effect gehad; dus moeten we verder zoeken. Het is vooral een kwestie van er samen de schouders onder zetten en zoeken naar een concept dat voor alle partijen werkbaar is.”
Gebrek aan flexibiliteit en sbelheid
Hoewel prof. dr. Willem Jonker van Sentinels aangeeft dat er maar weinig bedrijven uit het mkb zijn die in dit soort onderzoeksprojecten meedoen, participeren ze bij Chess IT met de Radboud Universiteit in Nijmegen. Dr. ing. Bert Bos van Chess legt uit dat zij regelmatig gaan kijken bij presentaties van aio’s (assistenten in opleiding). Volgens hem zitten daar vaak interessante projecten tussen die meer aandacht verdienen. Chess besloot een jaar geleden om bij het JASON-project in te stappen. Hierbij wordt gekeken naar de beveiligingsaspecten van de digitale toegang tot huis en bijbehorende installaties. “We zien dat er in en om het huis veel aan het veranderen is”, vertelt Bos. “Zo kan je eraan denken dat de buitendeur via een mobiele telefoon is te openen of dat het energiebedrijf de gasmeter via de bestaande internetverbinding uit kan lezen. Daarbij moet streng worden gelet op de beveiligingsaspecten, want je wilt niet dat Essent behalve dat zij de meter kunnen uitlezen ook je woning binnentreedt. Toen wij de presentatie van de betreffende aio zagen, vonden we dat dit paste binnen onze eigen bedrijfsvoering en zijn we via Sentinels de samenwerking aangegaan.” Bos legt verder uit dat het onderzoek op zich naar tevredenheid verloopt, maar dat ze zich op een aantal punten hebben verkeken. “Werken met aio’s heeft een aantal nadelen. Vanaf het moment dat er interesse is, kost het bijna een jaar om daar een project voor op papier te zetten. Vervolgens is het de bedoeling dat de aio daar vier jaar mee bezig is. De rekensom leert dus dat de totale termijn van een project tenminste vijf jaar bedraagt. Dat is ontzettend lang. Na vijf jaar kan het hele probleem dat je aan wilde pakken allang de wereld uit zijn. Verder is de communicatie ons tegengevallen. Alles wordt vanuit de universiteit gestuurd dus elke wijziging in het project kost ontzettend veel extra tijd aan overleg. Je moet zelfs oppassen dat het niet een heel nieuw project wordt, waardoor je weer van voor af aan begint. Die academische methodiek sluit slecht aan bij de moderne bedrijfsvoering waar je in de markt soms snel moet bewegen. Wij ervaren dan ook niet de financiële druk als het grootste probleem, maar het gebrek aan snelheid en flexibiliteit.” Bos moet er lang over nadenken wanneer hem gevraagd wordt of Chess nogmaals in zo’n onderzoeksproject zal participeren. “Ik weet het niet”, zegt hij weifelend. “Voor kortlopende projecten is het handiger om iemand van een universiteit of hbo-instelling een afstudeeropdracht te geven. Dan heb je simpelweg meer controle over de gang van zaken.”
Het programma
JASON
Binnen dit project, dat loopt bij de Radboud Universiteit Nijmegen en Chess IT, willen de onderzoekers een beveiligde architectuur ontwerpen met een bijbehorend programmeerparadigma. JASON richt zich op applicaties waarbij een grote hoeveelheid smartcards en embedded systemen betrokken zijn.
IPID
Aan de Universiteit Twente ontwikkelt men een methode om wormen en hackers in netwerken te detecteren. De onderzoekers kijken hierbij naar andere manieren van intrusion detection. In dit project nemen tevens Rabobank Nederland en TNO-ICT deel.
Practical Approaches to Secure Cooperation
Het Centrum voor Wiskunde en Informatica werkt hier nauw samen met Philips Research om een brug te slaan tussen het cryptografisch onderzoek en de dagelijkse praktijk. Het ontwikkelen van cryptografische methoden en technieken die nog niet tot de standaardgereedschapskist van de security engineer behoren, vormen een belangrijk onderdeel van dit onderzoek.
ProBiTe
Philips Research vormt binnen dit project een team met de Universiteit Twente. Het onderzoek richt zich op het beschermen van biometrische templates. De nadruk bij dit project ligt op thuisnetwerken en in huis gebruikte multimediale apparatuur, zoals dvd-spelers.
DeWorm
Herbert Bos van de Vrije Universiteit in Amsterdam onderzoekt hier samen met TNO-ICT manieren om computers te beschermen tegen wormen die zich razendsnel verspreiden. Ze richten zich hierbij niet alleen op detectie, maar ook op vernietiging van deze malware. Vanuit dit project is tevens de Argos-honeypot ontstaan die door Surfnet in hun IDS wordt gebruikt.
PINPAS JC
JavaCard lijkt een de-facto standaard te worden voor smartcards. De onderzoekers willen een methode ontwikkelen die bescherming biedt tegen side channel attacks op dit soort kaarten. Binnen dit project werken STMicroElectronics, TNO-ITSEF en de Technische Universiteit Eindhoven samen.
