Er komen nieuwe verkenningsprojecten aan


Tijdens de meest recente Ideation-sessies in oktober werden nieuwe ideeën geboren en een aantal daarvan werd door de Dragon's Den geselecteerd om verder te worden ontwikkeld in de komende verkenningsfase van het PCSI.

In de verkenningsfase gaan de projectgroepen van ABN AMRO, Achmea, ING, de Volksbank en TNO dieper in op de onderwerpen en onderzoeken ze waar de mogelijkheden en onmogelijkheden liggen om het idee van innovatie een stap verder te brengen. Een agile manier van werken zorgt ervoor dat groepen wekelijks aan hun projecten werken en de verkenningsfase op een gestructureerde manier doorlopen. Deze fase start begin december en loopt tot maart 2021. 

Welke ideeën worden opgepakt in de verkenningsfase en welke doelen worden hier nagestreefd?

1. Gegevens classificeren en labelen

Er gaan veel gegevens rond binnen grote organisaties, waarvan een groot deel ongestructureerd is, zoals e-mails, documenten en multimedia. Deze gegevens zijn vaak niet geclassificeerd, maar kunnen vertrouwelijke informatie bevatten. Het beveiligingsbeleid omvat altijd maatregelen om gegevens te beschermen, maar deze maatregelen worden toegepast op basis van de classificatie van de gegevens. Om ongestructureerde gegevens te beschermen, moeten ze dus worden geclassificeerd en dit gebeurt door middel van 'datalabels' die aangeven wat voor soort informatie de gegevens bevatten. Het 'labelen' van ongestructureerde gegevens is echter erg complex en tijdrovend en wordt daarom vaak niet gedaan, met als gevolg dat allerlei soorten gegevens niet goed beveiligd zijn. 
Dit project heeft als doel een methodologie te ontwikkelen die gebruik maakt van 'semi-supervised learning' om ongestructureerde gegevens automatisch te labelen. De betrouwbaarheid van deze labels wordt ook geverifieerd door analyse van de inhoud.

2. Gezamenlijke praktijken voor agile beveiliging

Ontwikkeling, vooral van software, vindt steeds vaker op een agile wijze plaats, in ontwikkellijnen met CI/CD (Continuous Innovation, Continuous Development). Hierdoor zijn nieuwe updates altijd snel beschikbaar, maar is het wel moeilijk om het beveiligingsniveau van het eindresultaat te garanderen (security by design). Naast de hoge releasefrequentie maken ook zaken als continu veranderende eisen, snelle introductie van nieuwe technologieën en onvoldoende beveiligingsexpertise in ontwikkelteams het moeilijk om security by design te garanderen. Daarom zou 'Continuous Vulnerabilities (CV)' een betere term voor CI/CD kunnen zijn. 

Dit project is gericht op het ontwikkelen van gezamenlijke best practices op het gebied van beveiliging voor CI/CD-ketens. Een voorbeeld hiervan zou de ontwikkeling van patronen voor Statische en Dynamische Beveiligingstesten (SAST en DAST) kunnen zijn, wat de prestaties verbetert en de doorlooptijd verkort. Hierdoor kunnen alle releases grondig worden getest op veiligheid. Het idee is om een uitwisselingsplatform op te zetten voor de gezamenlijke ontwikkeling van best practices op het gebied van beveiliging, te beginnen bij de PCSI-partners, en dit vervolgens uit te breiden naar nationaal of zelfs internationaal niveau.

3. Leveranciers van Metrics2Trust

Bijna elke organisatie maakt gebruik van derden (leveranciers) die diensten en producten leveren, variërend van schoonmaakbedrijven tot leveranciers van cloud-gebaseerde IT-diensten. De afhankelijkheid van deze leveranciers is de afgelopen jaren toegenomen. Het uiteindelijke beveiligingsniveau van een organisatie en haar diensten hangt deels af van het beveiligingsniveau van de diensten die een leverancier aan hen levert en het beveiligingsniveau van die leverancier zelf. Daarom is het heel belangrijk om een goed inzicht te hebben in het beveiligingsniveau van alle leveranciers. Er worden al beveiligingsbeoordelingen gebruikt om leveranciers te classificeren, maar er zijn verschillende methoden en er is geen standaardisatie. Het grote aantal leveranciers, met veel verschillende diensten, maakt dit een moeilijk proces. 

4. Samenwerkende vloot

Dit project heeft al een eerste verkenningsfase achter de rug, maar heeft meer tijd nodig om meer zicht te krijgen op informatie op het gebied van misleiding en dreiging. Deze keer zullen ook de mogelijkheden om een externe partij in te schakelen expliciet worden onderzocht. 
Betrokkenheid van partners

Cybersecuritytalent is schaars

Binnen het PCSI levert elke PCSI-partner middelen aan de verschillende projecten. De expertise van de partners wordt gebundeld in projectgroepen die effectief aan de slag gaan met een idee voor innovatie.  
Binnen de projectgroepen heerst een innovatieve werksfeer waarin alle leden hun kennis en expertise gebruiken en delen om tot nieuwe innovatie te komen. Ze worden uitgedaagd om aan ongebruikelijke onderwerpen te werken en zijn gemotiveerd om een waardevolle bijdrage te leveren aan innovatie op het gebied van cybersecurity.

Beeldmerk PCSI
PCSI is een samenwerking van
    ABN-AMRO Achmea ASML Belastingdienst ING TNO