Security by Design

Security by Design

Samenvatting

Vanuit het Nationaal Cyber Security Centre (NCSC) en ook breder in de cybersecurity community (NCSRA, Cybersecurityraad) wordt er al jaren voor gepleit om security-onderdeel te maken van de ontwerpfase van producten en diensten. Dit zou voorkomen dat aan security pas wordt gedacht als iets misgaat nadat een product of dienst in gebruik is. Desondanks is er weinig concrete toepassing van security by design.
Dit onderzoek moet bijdragen aan meer inzicht in de mogelijkheden die security by design biedt. Er wordt een aantal succesvolle cases geanalyseerd, waarin een bestaand product/proces/dienst is vervangen door een veiligere versie waarin securitymaatregelen zijn meegenomen in de ontwerpfase. Wat zijn de lessen die hieruit kunnen worden getrokken met betrekking tot de voor- en nadelen, knelpunten, of eventuele extra kosten? Voorts is er in het onderzoek aandacht voor ICS/ SCADA-systemen, die veel worden ingezet voor primaire procesbesturing, zoals het aansturen van apparaten bij olieraffinaderijen tot nucleaire installaties of waterzuivering. Daarbinnen bestaan veel verouderde producten en protocollen.
Het onderzoek identificeert good practices of richtlijnen voor het ontwerpen van nieuwe producten en protocollen, waarin security een fundamenteel onderdeel van het ontwerp is. Waar moeten ontwerpers specifiek op letten? Welke data, functies, bevoegdheden zijn strikt noodzakelijk en hoe moeten deze worden beschermd of ingedeeld om security te garanderen?
Het onderzoek bestaat uit 3 delen. In deel A dient een aantal succesvolle cases bestudeerd te worden, waarin een bestaand product/proces/dienst is vervangen door een veiligere versie waarin security maatregelen zijn meegenomen in de ontwerpfase. In deel B dient te worden gezocht naar cases specifiek binnen het Operational Technology (OT)-domein. Voor beide delen geldt dat een deel van de cases middels het Design Thinking principe tot stand is gekomen. In deel C dient een synthese plaats te vinden van de cases, zodat meer in het algemeen kan worden beschreven hoe Design Thinking kan bijdragen aan veiliger OT-systemen.

Onderzoekgegevens

Werktitel:
Security by Design
Organisatie(s):
WODC, Nobis Policy Lab BV
Projectnummer:
3052
Operationele status:
Lopend