Home > ICT-onderzoek NL > NOAG-ict > Themas > Digitale veiligheid

Digitale veiligheid

Themabeschrijving
In vrijwel alle aspecten van het dagelijks leven spelen computers en netwerken een prominente rol. Het is belangrijk dat de veiligheid hiervan gegarandeerd is, ook als er per ongeluk of bij toeval bijzondere situaties optreden. Misbruik van systemen door kwaadwillenden (varirend van hackers tot terroristen) is zelfs mogelijk als een systeem volgens specificaties functioneert. Voorbeelden van misbruik zijn het buiten bedrijf stellen van systemen, het stelen van informatie en het schenden van privacy.

Het thema ?Digitale veiligheid? houdt zich bezig met maatregelen die misbruik van computers en netwerken en de daarin opgeslagen informatie voorkmen of in ieder geval vermijden, eventuele misbruikers opsporen, en schade herstellen.

Er bestaat een principile spanning tussen enerzijds de eisen die aan moderne ICT-toepassingen gesteld worden, zoals enerzijds openheid, verbindingsgraad en flexibiliteit, en anderzijds beveiliging en betrouwbaarheid. Het aantal apparaten dat toegankelijk is via allerlei netwerken, neemt voortdurend toe. Daarnaast wordt steeds vaker software ingezet om hardware te besturen, omdat hiermee de flexibiliteit vergroot kan worden. Door de toenemende complexiteit die hiermee gepaard gaat, groeit de kwetsbaarheid van de systemen. Het onderzoek in dit thema richt zich op aspecten van deze kwetsbaarheid, zoals vertrouwelijkheid van data en privacy, integriteit van data, authenticatie en cryptografie. Ook richt het onderzoek zich op communicatie waarbij beide partijen weten dat ze van elkaar op aan kunnen (non-repudiation) en die vastgelegd kan worden (auditability).
Van oorsprong is digitale veiligheid vooral een technische aangelegenheid, met een disciplinaire aanpak vanuit de wiskunde, elektrotechniek en informatica. In de moderne benadering spelen ook niet-technische disciplines zoals recht en de sociale wetenschappen een belangrijke rol. Daarnaast is de moderne benadering veel meer integratiegericht dan vroeger, omdat digitale veiligheid overal in de informatiemaatschappij is terug te vinden.
Onderzoeksuitdagingen
Uitdagingen op lange termijn
De uitdagingen op lange termijn zijn: (1) secure information management, (2) hoe te komen van veiligheid naar vertrouwen, (3) integrale certificatie en (4) secure systems engineering.
De eerste uitdaging is secure information management. Beveiliging van data en informatie in de digitale wereld is van cruciaal belang. Belangrijke deelonderwerpen zijn onder andere digital rights management, privacy en secure identity management.

De tweede uitdaging is het vinden van manieren om te komen van veiligheid naar vertrouwen en hoe dat vertrouwen te meten en te beheersen, en zo te komen tot een methode voor ?trust management?. Digitale veiligheid is geen absoluut concept. Wat de een veilig vindt, is voor de ander onveilig. Het verschil in benadering wordt veroorzaakt door mate waarin verschillende partijen vertrouwen (trust) hebben in elkaar en/of het systeem.

Zelfs een goed ontworpen systeem, gebaseerd op een wetenschappelijk onderbouwd begrip van vertrouwen kan niet zomaar worden gebruikt. De derde uitdaging is het bieden van garanties dat de ontwerpers werkelijk overal aan hebben gedacht. Daartoe zijn nieuwe methoden en technieken nodig waarmee een systeem integraal kan worden gecertificeerd.

De vierde uitdaging is te komen tot een nieuw vakgebied ?secure systems engineering?. Dit vakgebied helpt security engineers in het ontwerpen en bouwen van veilige systemen.

Uitdagingen op korte en middellange termijn
De uitdagingen op korte termijn zijn te rangschikken onder (tenminste) drie woorden: confidentialiteit (hoe blijven gegevens vertrouwelijk), integriteit (hoe wordt voorkomen dat gegevens niet door ongeautoriseerden veranderd worden) en beschikbaarheid (hoe wordt gezorgd dat gegevens continu beschikbaar blijven).
Bij confidentialiteit is het reguleren van toegang tot gevoelige gegevens belangrijk. Vooral on-line is het lastig om vast te stellen of iemand ook diegene is voor wie hij/zij zich uitgeeft. Misbruik moet onmogelijk zijn. Voorbeelden van gebieden waar dit speelt zijn het biometrisch paspoort, elektronisch stemmen en de OV-chipkaart.
Als iemands identiteit vaststaat, wordt de volgende stap wat die persoon mag gaan doen. Bijvoorbeeld, wanneer een klant een elektronische winkel bezoekt, mag hij/zij wel het assortiment zien maar niet wijzigen. Dit heeft te maken met integriteit.
Een ander voorbeeld van integriteit in gegevens heeft te maken met fouten in programmatuur. Er zijn twee soorten: gewone programmeerfouten of kwaadaardige, bewust gemaakte, fouten. Hoe moet een systeem ontworpen worden, zodat het altijd ?correct? functioneert, ook wanneer iemand het bewust onderuit probeert te halen? Dit gebied heet secure software.
Bij beschikbaarheid moet een systeem (bijvoorbeeld webservices of webservers) altijd beschikbaar zijn (met uitzondering van gepland onderhoud) en moet het beschermd worden tegen aanvallen. Legitieme requests aan een server moeten onderscheiden worden van de niet-legitieme. Hierdoor kunnen grootschalige aanvallen op websites voorkomen worden.
Voorbeelden van andere soorten uitdagingen zijn securityprotocollen en hoe te garanderen dat ze veilig zijn. Deze protocollen zijn makkelijk in een paar regels in abstracte taal te beschrijven, maar de implementatie in computercode bestaat vaak uit 1000 of meer regels. Hoe is te garanderen dat het protocol nog veilig is, want naar mate meer details (lees: regels code) toegevoegd worden, heeft een aanvaller meer mogelijkheden om het protocol aan te vallen.
Andere gebieden waar digitale veiligheid spelen zijn digital rights management (hoe toegang tot muziek of video te beheren) of bescherming van databases. Beschrijvingen van infrastructuur en beveiligingen daarvan is nodig om te voorkomen dat hackers heel internet platleggen of dat ze specifieke bedrijven aanvallen.
Op forensisch gebied liggen geheel andere uitdagingen: hoe is te traceren wat mensen op internet doen (internetproviders worden geacht verkeersgegevens van hun klanten op te slaan)? Daar hoort natuurlijk ook de vraag bij of dat gewenst is. Hierbij is te zien dat digitale veiligheid niet alleen een technische vraag is, maar ook een maatschappelijke. Het tot in detail kunnen traceren van mensen ligt gevoelig en waarborgen voor anonimiteit zijn noodzakelijk.
Maatschappelijke toepassingen
Veiligheid speelt een steeds grotere rol bij zowel bestaande als bij nieuwe ICT-toepassingen. Voor de burger gaat het bijvoorbeeld om digitale identificatie en privacybescherming voor e-commerce (?Financile dienstverlening en handel?), e-government en e-learning (?Onderwijs?). Voor toepassingen van ICT bij de noodhulpdiensten en in de (thuis)zorg geldt dat ICT zeer grote mogelijkheden biedt, mits de privacy van de betrokkenen beschermd wordt en de systemen veilig en beveiligd zijn (?Zorg?). Openbare en nationale veiligheid is een actueel onderwerp, waarvoor onderzoek in dit thema van grote toegevoegde waarde is. Bij een systeem als rekeningrijden of kilometerheffing zal de privacy van de gebruikers een belangrijk onderwerp zijn (?Mobiliteit?).

ICT-disciplines
Communications
Electronic Commerce
Embedded Systems
Management of Data
Operating Systems
Security, Audit and Control
Software Engineering
?Digitale veiligheid? heeft een duidelijke relatie met het thema ?Methoden voor ontwerpen en bouwen?.

Sleutelreferentie R. J. Anderson. Security Engineering: A guide to building dependable distributed systems, John Wiley & Sons Inc, New York, 2001


Uitgelicht

Evenementen ICT

ICT.OPEN 2012

Stelling

Roadmap ICT

I/O Magazine

Uitgelicht

Evenementen ICT

ICT.OPEN 2012

Stelling

Roadmap ICT

I/O Magazine
01-01-2013
Russische universiteit zoekt Nederlandse partners in IT
17-12-2012
ICT Personality Award 2012
11-11-2012
Sentinels
Meer nieuws

10-04-2013
Sense of Contact 15
Activiteit toevoegen
Volledige kalender

ICT OPEN 2012


Lees verder

Wat is de grootste uitdaging?
Complexiteit
Maatschappelijke innovatie
Wetenschappelijke paradigma's
Voldoende gekwalificeerde wetenschappers

Resultaten stelling

Roadmap ICT topsectoren

Lees verder

I/O -december 2012

Lees verder