Security Workshops

Het organiseren van een veilige samenwerking tussen robots kent meerdere uitdagingen. Waar bij robots vaak gesproken wordt over de veiligheid van interacties met de fysieke wereld, staat tijdens dit project de communicatie in de digitale wereld centraal. Aan de hand van de EBIOS RM methodologie zijn verschillende partners van dit project met elkaar in gesprek gegaan over welke digitale dreigingen er spelen en welke aangepakt kunnen worden in het verdere onderzoek en ontwerptraject. Lees hier over de resultaten.

De EBIOS RM methodologie, ontwikkeld door de Franse National Cybersecurity Agency (ANSSI), is een "Design Thinking" achtige aanpak voor het identificeren en mitigeren van cyberrisico's. Aan de hand van 5 interactieve en iteratieve workshops worden de deelnemers meegenomen in het identificeren van high-level doelstellingen en richtlijnen, en vervolgens helemaal naar beneden naar de low-level keuzes die gemaakt kunnen worden over het concreet inrichten van de gewenste cyber hygiëne.

Privacy

Tijdens deze workshops zijn er interessante discussies ontstaan over waar nu precies de verschillende stakeholders in de avond van wakker liggen. Tot verrassing van sommige deelnemers bleek het thema privacy wel degelijk een gespreksonderwerp om dieper op in te gaan. Hoewel de interne software en processen van de robot natuurlijk inzicht aan concurrenten kan geven over de precieze werking van de robot, vertelt het gedrag van de robot juist veel over de eigenaar die de robot gebruikt. Maar in het werkveld van informatie beveiliging zijn alle gebruikers ook potentiële misbruikers en zijn gedurende de workshops ook de nodige scenario's besproken waarin er door de gebruiker frauduleuze acties worden ondernomen.

Rollen en rechten

Als resultaat van de security workshops is er een lijst met requirements opgesteld waaraan het reeds gestarte ontwikkelproces nu invulling dient te geven. Naast de nodige richtlijnen met betrekking tot de operationele veiligheid en monitoring van de robots is een duidelijke focus gelegd op het definiëren van rollen en rechten. Een belangrijk aandachtspunt in deze rollen en rechten is de correctheid van authenticatie processen en versleutelde communicatie.

Authenticatie

Om tot een goede cyber hygiëne te komen moet er tijdens iedere stap in het ontwikkelproces gekeken worden naar hoe zaken als authenticatie en monitoring invulling krijgen. Los van gesprekken over welke computerbesturingssystemen als veilig worden beschouwd en gesprekken over versie-beheer van netwerkprotocollen, betekend een goede cyber hygiëne ook dat er op het abstracte niveau van modellen over multi-agent-systemen keuzes over security moeten worden gemaakt.

Anamoly-agent

Als concrete invulling van de aspecten authenticatie en monitoring is één van de eerste security keuzes van de DurableCASE, de implementatie van de anomaly-agent. Het is vooraf lastig te bepalen welke signalen aangeven dat er een digitale aanval plaats vindt, maar wat we wel kunnen detecteren is dat er gedrag van en tussen robots plaats vindt dat anders is dan normaal. Waarom zou opeens een sensor proberen te communiceren over het Internet als deze enkel dient te praten met de fysieke motor? En waarom zou opeens een motor heftig beginnen te fluctueren in snelheden als deze gewoon constant dient te draaien? De anomaly-agent gaat het detecteren van deze abnormaliteiten als taak hebben.

Wilt u meer weten over keuzes qua veiligheid in besturingssystemen en netwerkprotocollen? Of wilt u meer weten over de verdere implementatie van de anomaly-agent, abonneer je op onze nieuwsbrief.

Daniel Meinsma: Technical Security Instructor