Controlling Document Programma: P3 Betrouwbare en veilige omgeving

Transcriptie

1 Controlling Document 2017 Programma: P3 Betrouwbare en veilige omgeving Versie oktober 2016

2 Inhoudsopgave 1. Management samenvatting 3 2. Inleiding 4 3. Programmabeschrijving op hoofdlijnen Ambitie Projecten Programma toleranties Relatie met andere programma s/projecten 8 4. Programma Management Organisatie en resourceplanning Onderlinge verrekeningen Rapportages en intern overleg Risicomanagement en escalatie De Projecten Beveiliging & Privacy Trust & Identity Programmamanagement 16 Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 2

3 1. Management samenvatting In het nieuwe programma P3 - Betrouwbare en veilige omgeving komen de innovatieactiviteiten op het gebied van Beveiliging & Privacy (voorheen P8 Betrouwbare en veilige omgeving) en Trust & Identity (voorheen P3 Project Trust & Identity) samen. Beide terreinen kennen vele raakvlakken zoals bijvoorbeeld de bescherming van de privacy van gebruikers, sterke/biometrische authenticatie en het zorgen voor voldoende waarborgen voor betrouwbaarheid en veiligheid wanneer diensten, al dan niet (deels) van of via derden, aan de doelgroep worden aangeboden. Overkoepelende ambitie is het realiseren en duurzaam borgen van een vertrouwde, betrouwbare en veilige omgeving, waarin eindgebruikers en instellingen nationaal en internationaal eenvoudig, veilig en vertrouwd toegang hebben tot diensten, data en instrumenten, met elkaar kunnen samenwerken en weerbaar zijn tegen beveiligingsincidenten en cyberaanvallen. Binnen het programma P3 - Betrouwbare en veilige omgeving wordt in twee projecten gewerkt aan de volgende meerjarige hoofddoelstellingen: Project 1: Beveiliging & Privacy Het opzetten, faciliteren en versterken van communities rondom beveiliging en privacy. Het verhogen van bewustzijn met betrekking tot beveiliging en privacy. Het zorgen dat de SURF-dienstverlening duurzaam voldoet aan de hoogste securityeisen en standaarden, in lijn met geïdentificeerde risico s. Het ontwikkelen van first class security-diensten die instellingen ondersteunen bij het uitvoeren van hun kerntaken. Het samen met de doelgroep vaststellen en actualiseren van beveiligings- en privacy standaarden, kaders en gedragsregels voor het leveren of afnemen van (cloud)diensten, inclusief bestuurlijke borging. Het actief deelnemen aan het debat met betrekking tot een open en vrij internet als basisvoorwaarde voor een betrouwbare en veilige omgeving. Project 2: Trust & Identity Het doorontwikkelen en aanbieden van een flexibele Trust & Identity-infrastructuur, om te zorgen voor: Eenvoudige en veilige toegang tot (gedeelde) onderwijs- en onderzoeksbronnen Eenvoudig, veilig en flexibel samenwerken Binnen het vierjarige programma zijn de belangrijkste doelstellingen voor 2017: Betrekken van kleinere instellingen bij de communities rondom Beveiliging & Privacy Instellingen ondersteunen bij Security Awareness programma s Uitbreiden van dienstverlening op het gebied van security en privacy Verbeteren van (het acteren op basis van) Threat Intelligence Voldoen aan normenkaders van SURF-dienstverlening Ondersteunen mobiliteit studenten Uitbreiden van de dienstverlening op het gebied van Sterke Authenticatie Koppelen van geavanceerde/non-web diensten aan SURFconext Ondersteunen van advanced use cases Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 3

4 2. Inleiding Het hoger onderwijs en onderzoek is steeds meer verbonden geraakt met haar omgeving. Studenten, docenten, onderzoekers en medewerkers werken niet alleen met elkaar samen, maar ook over de grenzen van hun instelling, nationaal en internationaal, met andere instellingen en met het bedrijfsleven. De sector heeft de verantwoordelijkheid haar eigen en externe gebruikers te voorzien van een vertrouwde, betrouwbare en veilige samenwerkingsomgeving. Het aanbieden van zo n betrouwbare en veilige omgeving is door de toenemende complexiteit van informatieverwerking en voorziening een grote uitdaging. Enerzijds zijn er ontwikkelingen op het gebied van elektronische identiteiten (zoals Idensys en idin), waar het speelveld erg in beweging is, anderzijds zijn beveiligingslekken en aantasting van privacy aan de orde van de dag. Daar komt bij dat de primaire processen en voorzieningen van de instellingen steeds vaker afhankelijk zijn van de beschikbaarheid en kwaliteit van voorzieningen van derden, waaronder die van SURF. Met het toenemend gebruik van cloud-diensten neemt de kwetsbaarheid op het gebied van vertrouwen, beveiliging en privacy toe. Het bieden van een vertrouwde, betrouwbare en veilige omgeving is dan ook een continue zoektocht naar de juiste balancering tussen kosten, functionaliteit, samenwerkingsmogelijkheden, gebruiksgemak, veiligheid en privacy. Om in te spelen op deze trends en uitdagingen is een instellingsoverstijgende inspanning van en voor het hoger onderwijs en onderzoek noodzakelijk. Alleen een collectieve aanpak leidt tot impact en effectiviteit. SURF streeft naar een vrij toegankelijk en open internet, als fundament van een vertrouwde, betrouwbare en veilige omgeving waarop gebruikers en instellingen kunnen bouwen. Het programma Betrouwbare en Veilige Omgeving heeft als ambitie het realiseren en duurzaam borgen van een vertrouwde, betrouwbare en veilige omgeving, waarin eindgebruikers en instellingen nationaal en internationaal eenvoudig, veilig en vertrouwd toegang hebben tot diensten, data en instrumenten, met elkaar kunnen samenwerken en weerbaar zijn tegen beveiligingsincidenten en cyberaanvallen. De ambitie wordt gerealiseerd door een combinatie van het voorliggende programma en de bijbehorende exploitatieactiviteiten. De ambitie wordt ondersteund door de juiste mix vanuit de vier pijlers bewustwording (awareness), communities, diensten en normen/afsprakenstelsels waar de interne organisatie van SURF en haar werkmaatschappijen naadloos op aansluit. Er wordt in dit programma niet naar volledig vertrouwen of absolute beveiliging en privacy gezocht, maar er wordt gestreefd naar het realiseren van het juiste vertrouwensniveau in een bepaalde context, en het vergroten van de weerbaarheid en versterking van de preventie. Dit project vereist nauwe samenwerking tussen de drie werkmaatschappijen en met de aangesloten instellingen en samenwerkingspartijen nationaal en internationaal. Intensief zal worden samengewerkt met de communities (rondom) SCIPR, SCIRT en SURFconext, NCSC, DUO, Studielink, andere NRENs, GÉANT en het AARC-project. Omdat Trust & Identity en Beveiliging & Privacy enablers en randvoorwaarden zijn voor veilige en vertrouwde samenwerking raakt dit programma een groot deel van de andere programma s en de operationele dienstverlening bij de werkmaatschappijen. Scoping, planvorming en (re)sourcing bepalen welke werkmaatschappij wat doet en of een activiteit vanuit innovatie of exploitatie wordt bekostigd. Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 4

5 3. Programmabeschrijving op hoofdlijnen 3.1. Ambitie De overkoepelende ambitie voor het programma is: het realiseren en duurzaam borgen van een vertrouwde, betrouwbare en veilige omgeving, waarin eindgebruikers en instellingen nationaal en internationaal eenvoudig, veilig en vertrouwd toegang hebben tot diensten, data en instrumenten, met elkaar kunnen samenwerken en weerbaar zijn tegen beveiligingsincidenten en cyberaanvallen. Deze ambitie wordt nader uitgewerkt in de ambities van de twee deelprojecten van het programma: Beveiliging & Privacy enerzijds en Trust & Identity anderzijds. Ambitie voor Beveiliging & Privacy Het project Beveiliging & Privacy heeft de ambitie om SURF met haar aangesloten instellingen in 2018 weerbaar te zijn tegen beveiligingsincidenten en cyberaanvallen. Weerbaar betekent ondanks dat er incidenten optreden, de beschikbaarheid en betrouwbaarheid van informatie en systemen op hoog niveau gegarandeerd blijft en de herstel- en schadekosten laag met als gevolg een snelle recuperatie en veerkracht. De ambitie wordt ondersteund door de juiste mix vanuit de vier pijlers bewustwording, communities, normenkaders en diensten. Ambitie voor Trust & Identity Het project Trust & Identity heeft de ambitie dat het in 2018 voor iedere Nederlandse onderzoeker, student, docent en medewerker mogelijk is om via de flexibele Trust & Identity infrastructuur om met eigen account, op veilige wijze toegang te hebben tot informatie en functionaliteit anytime, anyplace, any device. Dit maakt het mogelijk om optimaal samen te werken in welke samenstelling dan ook. Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 5

6 3.2. Projecten De projecten met hun key deliverables worden in de volgende secties kort toegelicht. Een verdere uitwerking van de projecten is te vinden in hoofdstuk 5. Beveiliging & Privacy In het meerjarenplan van SURF is de ambitie ten aanzien van Beveiliging & Privacy uitgewerkt in een aantal hoofddoelen: 90% van de instellingen draaien actief mee in de communities rondom beveiliging en privacy. 90% van onze instellingen is bekwaam op het gebied van beveiliging en privacy. 100% van de SURF-familie is bekwaam op het gebied van beveiliging en privacy. Ontwikkelen van first class securitydiensten die de instellingen ondersteunen bij het uitvoeren van hun kerntaken. SURF stelt samen met de instellingen de beveiligings- en privacy-standaarden, kaders en gedragsregels vast voor het leveren of afnemen van (cloud)diensten en actualiseert deze richtlijnen. SURF zorgt voor de bestuurlijke borging van haar beveiligings- en privacy-activiteiten. SURF neemt actief deel aan (inter)nationale discussies om een open en vrij internet als basisvoorwaarde voor een betrouwbare en veilige omgeving voor de toekomst te borgen. In de onderstaande tabel is dit verder uitgewerkt tot een aantal key deliverables. Tabel 1: Key deliverables Beveiliging en Privacy. Let wel: Verwachting is dat de haalbaarheidsstudies uit 2016 voor de onderwerpen SOC en ISO2700x certificering gevolgen zullen hebben voor deze tabel (onderdeel normen ). Met het opleveren van de deliverables in 2016-Q4 over (de haalbaarheid van) deze onderwerpen wordt helder wat de gevolgen zijn en zal een Change Request worden opgesteld. Bij de beschrijving in hoofdstuk 5 is hier al - zoveel als nu mogelijk - rekening mee gehouden, binnen de huidige financiële kaders. Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 6

7 Trust & Identity SURFnet levert en ontwikkelt een flexibele Trust & Identity Infrastructuur (SURFconext en daaraan gerelateerde diensten) waarmee op transparante wijze vertrouwen tussen gebruikers, instellingen en (commerciële) dienstaanbieders wordt gecreëerd. De privacy en zelfbeschikking van de gebruiker zijn hierbij een essentiële voorwaarde. De infrastructuur wordt in de periode verder (door)ontwikkeld en biedt vertrouwde en betrouwbare toegang tot een groeiend aantal diensten voor onderwijs, onderzoek en bedrijfsvoering, zowel webbased als non-webbased, en op basis van verschillende Levels of Assurance. Daarnaast faciliteert het voor de doelgroep relevante samenwerking die zich uitstrekt over landsgrenzen en sectoren onder andere door het ondersteunen van de uitwisseling van identificerende kenmerken over instellingen heen. Op termijn voorzien we dat identiteiten (authenticatie) binnen het stelsel ook door andere partijen geleverd kunnen worden waarbij onderwijs- en onderzoeksinstellingen en daaraan gerelateerde partijen middels attributen de relevante context zullen toevoegen die noodzakelijk is voor autorisatie-beslissingen binnen de sector. Meerjarige doelen ( ): Een robuuste en efficiënte authenticatie en autorisatie infrastructuur waar gebruikers blind op kunnen vertrouwen (aanvullend op de exploitatie van de AAI-infrastructuur; project T&I houdt zich bezig met de vernieuwende aspecten en doorontwikkeling van de authenticatie en autorisatie infrastructuur) Eenvoudige en veilige toegang tot (gedeelde) onderwijs- en onderzoeksbronnen en - diensten, met speciale aandacht voor: o De mobiliteit van studenten/medewerkers over instellingen en sectoren heen, o Simpele authenticatiemogelijkheden, voor diensten die slechts beperkte gegevens nodig hebben, o Toegankelijkheid van ook niet-webgebaseerde diensten, o Privacy van gebruikers en eigendom van data, o Eenvoudige mogelijkheden om gastgebruik voor bijvoorbeeld voorinschrijvers en alumni te faciliteren. Eenvoudig, veilig en flexibel samenwerken, met speciale aandacht voor: o Instellingsoverstijgende samenwerking, o Internationale samenwerking, o Cross-sectorale samenwerking. In onderstaande tabel zijn de key deliverables voor het project Trust & Identity weergegeven. Tabel 2: Key deliverables Project 2 - Trust & Identity per jaar Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 7

8 3.3. Programma toleranties Toleranties voor dit programma zijn opgenomen in de door SURF met de toekenning van de programmagelden meegestuurde subsidievoorwaarden. En, indien van toepassing, aanvullende subsidievoorwaarden vanuit de externe subsidiegever, zoals vermeld in de SURFsubsidievoorwaarden. Indien geld (budget) en planning buiten de toleranties komen, zal conform de subsidievoorwaarden, contact worden opgenomen met SURF Relatie met andere programma s/projecten Alle drie de werkmaatschappijen zijn betrokken bij dit programma. SURFsara via directe betrokkenheid in de projecten Beveiliging & Privacy en Trust & Identity. SURFmarket participeert via SURFnet in het Europese GN4-2 project (onderdeel Trust & Identity) en is ook betrokken als een belangrijke afnemer van producten/diensten die in het programma worden ontwikkeld zoals bijvoorbeeld normenkaders voor afspraken met commerciële dienstaanbieders en (nieuwe ontwikkelde) authenticatie en autorisatie-voorzieningen. Hieronder worden voor de twee projecten binnen het programma de belangrijkste samenwerkings(mogelijkheden) nader beschreven. In 2017 liggen de grootste raakvlakken tussen het project Beveiliging & Privacy en andere programma s op het gebied van netwerken. De meeste samenwerking wordt hier dan ook voorzien met P1: Verbindende Infrastructuren. De ontwikkeling van eduvpn is al doorgegeven aan exploitatie, maar er liggen nog meer ideeën op het gebied van VPN en VPN-achtige functionaliteit die input kunnen geven aan dienstontwikkeling. Afstemming met P1 is dan ook noodzakelijk om een gezamenlijke lijst op te kunnen stellen, te voorkomen dat er overlappende of met elkaar botsende ontwikkelingen worden gestart en om mogelijkheden die de nieuwe innovatieve netwerkinfrastructuur kan bieden ten volste te benutten. Ook liggen er raakvlakken tussen netwerk monitoring en IDS/Honeypot ontwikkelingen (Anansi) die een vergelijkbare check en afstemming kunnen gebruiken. Tenslotte zullen nieuwe mogelijkheden op het gebied van Network Function Virtualisation en Software Defined Networking ook interessant zijn voor security-diensten zoals Filtering-on-Demand. De plannen om encryptie overal waar mogelijk toe te passen zoals bij (cloud)opslag en het toepassen van VPN-functionaliteiten sluit mooi aan bij doelen van P4: Open Science en mogelijk ook op onderdelen van P5: Onderwijs op maat. Verder zal er in het project Beveiliging & Privacy worden samengewerkt met andere NREN s (al dan niet in GÉANT verband) en andere projecten en partijen. Zo liggen er plannen om indien het bijdraagt aan de projectdoelen samen met geschikte instellingen mee te doen aan de NCSRA-III 1 call. In het project Trust & Identity zal worden samengewerkt met twee andere innovatieprogramma s: Programma 5: Op twee plekken zijn er raakvlakken met het programma Onderwijs op Maat. Het faciliteren van de mobiliteit van studenten door de Trust & Identity infrastructuur is ondersteunend aan het concept van het flexibiliseren van onderwijs zoals dat binnen P5 beproefd wordt. Ook raakt deze flexibilisering de bestaande onderwijslogistieke processen binnen de doelgroep. Voor ondersteunen van concrete use-cases van instellingen wordt hier 1 National Cyber Security Research Agenda, gefinancierd door NWO en diverse ministeries. Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 8

9 samengewerkt. Verder zal het project vanuit technisch perspectief bijdragen aan het concept Personal Data Lockers die naar verwachting ingezet zal worden binnen P5 om gegevens van learning analytics op te slaan. Programma 4: De Trust & Identity infrastructuur maakt in veel gevallen een belangrijk onderdeel uit van de e-infrastructuur die voor samenwerkingsorganisaties door SURF wordt gefaciliteerd. Vanuit het programma Open Science zullen advanced usecases aangedragen worden die door het project T&I gefaciliteerd worden. Binnen dit programma zal nauw worden samen gewerkt met de instellingen en gebruikers. Voor Trust & Identity zien we dat studenten, docenten en onderzoekers steeds meer onafhankelijk van de instelling werken en samenwerken. Dit heeft gevolgen voor het instellingsaccount. Alternatieven voor het instellingsaccount en daarmee toegang tot diensten die instellingen bieden, zullen samen met de instellingen en gebruikers verkend worden. Daarnaast liggen er mogelijkheden voor samenwerking met de Radboud Universiteit op het gebied van polymorfe encryptie en pseudonimisatie (PEP). Binnen Nederland wordt naast de samenwerking met de aangesloten HO-instellingen op het gebied van T&I samengewerkt met Kennisnet, MinOCW, DUO, Studielink, VSNU en VH. Belangrijke samenwerkingspartners zijn daarnaast aanbieders van diensten en resources, zoals commerciële marktpartijen, maar ook DANS, 3TU, RDNL etc. Op het gebied van Trust & Identity gebeurt er veel in Europese (en wereldwijde) samenwerking. Dit programma is nauw bij deze ontwikkelingen betrokken. Een deel van de activiteiten wordt (mede) gefinancierd met behulp van EU Horizon 2020 funding, met name GÉANT4, AARC, AARC-2 en einfra7-aai. Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 9

10 4. Programma Management 4.1. Organisatie en resourceplanning Het programma Betrouwbare en Veilige omgeving wordt door SURFnet uitgevoerd. De programmastructuur is als volgt: CTO SURFnet Programmamanager Projectmanager Projectteam Projectmedewerkers CTO SURFnet (CTO) Eindverantwoordelijk voor het programma; Actief en zichtbaar boegbeeld van programma en veranderdoelstellingen; Verantwoordelijk voor het verbinden van belangen; Vertegenwoordiger van de SURFnet programma s in het Directieteam; Voorzitter van de Programmaboard (met daarin de programmamanagers binnen SURFnet en de technisch beleidsadviseur). CTO delegeert dagelijkse verantwoordelijkheid voor het programma aan Programmamanager. De CTO is verantwoordelijk voor: Beoordelen van het jaarlijkse Controlling document Beoordelen en instemmen met de door de programmamanager aangeleverde wijzigingen die buiten de kaders/toleranties van het Controlling document vallen Goedkeuren van vooraf bepaalde deliverables Goedkeuren van kwartaalrapportages Programmamanager De programmamanager is, op basis van het door de algemeen directeur SURFnet en subsidiegever vastgestelde Controlling document, (gedelegeerd) verantwoordelijk voor het programma (inclusief budget) en de levering van de resultaten waar de organisatie de veranderdoelstellingen van het programma mee kan realiseren; De programmamanager geeft mede vorm aan het programma, zorgt voor de optimale aansluiting van de doelen binnen het programma bij die missie, visie en doelen van SURF(net) en oefent invloed uit op de omgeving van het programma en reageert op de invloeden uit de omgeving; De programmamanager is opdrachtnemer voor het programma en fungeert als (gedelegeerd) opdrachtgever en eindverantwoordelijke voor de projecten. De programmamanager is verantwoordelijk voor: Het opstellen van het jaarlijkse Controlling document; Beoordelen en instemmen met de door de projectmanager aangeleverde projectvoorstellen; Verzoeken aan de CTO tot wijzigingen die buiten de kaders/toleranties van het Controlling document vallen; Voorbereiden van de besluitvorming over go/no-go beslissingen die expliciet in het programma aan de directie zijn voorbehouden; Aanleveren van de kwartaal- en jaarrapportages (zowel inhoudelijk als financieel). De programmanager is budgethouder en spreekt met de projectmanagers de toleranties af wat betreft tijd, kosten, kwaliteit, scope, risico s en benefits Projectmanager De projectmanager draagt zorg voor de opzet en uitvoering van projecten en de daaraan gekoppelde doelen en deliverables; De projectmanager maakt de jaarplannen voor het project (cq. update van controlling documents), schrijft de kwartaalrapportages en coördineert de projectactiviteiten; De projectmanager is verantwoordelijk voor de inzet van middelen (menskracht en andere middelen) die aan het project zijn toegekend; De projectmanager opereert binnen de met de programmamanager afgesproken toleranties. Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 10

11 4.2. Onderlinge verrekeningen In programma s waarin meerdere werkmaatschappijen participeren vinden mogelijk onderlinge verrekeningen plaats. De penvoerder van het programma is leidend in de totstandkoming van deze onderlinge verrekeningen. De deelnemende werkmaatschappijen in het programma committeren zich aan deze onderlinge verrekening, die in de toekenning definitief wordt vastgelegd. Tussentijds aanpassen van uurtarieven wordt derhalve niet voorzien. Voorts is de afspraak dat de penvoerder van het programma alle externe inhuur coördineert, ook als de oorzaak ligt in verminderde beschikbaarheid van de voorziene inzet van andere werkmaatschappijen in het programma Rapportages en intern overleg Richting SURF wordt per kwartaal een inhoudelijke en financiële rapportage gestuurd met aan het einde van het jaar een jaarverslag. De procedure voor het opleveren van deze rapportages zijn opgenomen in de door SURF met de toekenning van de innovatiegelden meegestuurde subsidievoorwaarden. Maandelijks vindt overleg plaats tussen de programmamanager en elk van de projectleiders. Eens per kwartaal vindt er over de kwartaalrapportage naar SURF overleg plaats tussen programma-manager en de projectleiders. Programmamanager en CTO overleggen maandelijks en eens per kwartaal met alle SURFnet programmamanagers Risicomanagement en escalatie Risicomanagement binnen het programma Voor risicomanagement wordt een scheiding toegepast tussen programma- en project niveau. Risico s die van toepassing zijn op het gehele programma worden bij project 0 (programmamanagement) vermeld. Risico s die van toepassing zijn op een individueel project worden bij het desbetreffende project vermeld. In hoofdstuk 5 worden de diverse risico s uitgesplitst naar project vermeld, dus ook die op programmaniveau (bij project 0) Escalatie Een projectmanager escaleert (indien buiten de gegeven toleranties) naar de programmamanager. De programmamanager naar de CTO, die het binnen de directie bespreekt. Als intern niet voldoende kan worden opgelost, dan volgt escalatie naar de SURF Directieraad. Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 11

12 5. De Projecten In dit hoofdstuk worden de twee projecten Beveiliging & Privacy en Trust & Identity binnen het programma Betrouwbare en Veilige Omgeving in meer detail uitgewerkt. Werkpakketten 5.1. Beveiliging & Privacy Om de hoofddoelen te bereiken van beveiliging en privacy zoals die in hoofdstuk 2 zijn beschreven, wordt het project opgedeeld in een aantal werkpakketten (WP s). In de volgende paragrafen zullen per werkpakket de doelen en bijbehorende deliverables op hoofdlijnen worden toegelicht. De complete deliverable lijst is aan het eind van het hoofdstuk terug te vinden. WP1 Communities en Awareness In de periode wordt gewerkt aan het in kaart brengen en uitbreiden van (relaties met) communities. In 2016 zijn banden met externe communicaties uitgebreid (o.a. richting communities rondom het OCW programma Integraal Veilig Hoger Onderwijs (IV-HO), Nationaal Cyber Security Centrum en GÉANT). Uit een inventarisatie in 2016 is gebleken dat de delling van de communities onder grote instellingen goed is, met de universiteiten beter vertegenwoordigd dan hogescholen. Zo zijn alle universiteiten aangesloten bij SCIRT, bij hogescholen is dit ongeveer een derde. Vooral kleine instellingen hebben moeite om goed vorm te geven aan deelname in de communities, in 2016 is gekeken op welke manieren deze instellingen ondersteund kunnen worden zodat ze op een goede en effectieve manier kunnen aansluiten. In 2017 ligt de focus dan ook op het faciliteren van bestaande communities en het uitbouwen van deze communities met name richting hogescholen en kleine en ondervertegenwoordigde instellingen. Omdat er ook behoefte bleek om speciaal aandacht te geven aan privacy wordt hiervoor een speciaal overleg opgestart (onder de vlag van SCIPR) om zo de privacy community te versterken. Om de awareness binnen de doelgroep te vergroten wordt in de periode ingezet op het verder ontwikkelen van Cyber Save Yourself, bedenken van innovatieve campagnes, trainingsstrategieën en security games. In 2017 wordt het in 2016 geheel vernieuwde CSYcampagnemateriaal verder aangevuld en aangeboden aan instellingen voor uitvoering van hun campagnes. Ook zal er worden gekeken naar security games om de bewustwording op securitygebied te vergroten, waarbij minimaal één security game aangeboden zal worden aan de doelgroep. De ervaringen opgedaan uit de doelgroep-brede OZON-cybercrisisoefening in oktober 2016 zullen worden gebruikt voor het bepalen van de juiste trainingsstrategieën en de inzet van security games. Het cyberdreigingsbeeld zal net als in 2016 worden ge-update naar de laatste inzichten en bedreigingen en uitgedragen worden richting instellingen. WP2 Diensten In de periode wordt gericht op het realiseren van Security Suites waarbij innovatieve DDoS mitigation en Software Defined Security en Protection technieken worden ontwikkeld. De eerste bevindingen uit een verkenning naar een SURF Security Operations Center (inclusief het tijdelijk in detail monitoren van bedreigingen) wijzen uit dat, mede gezien de kosten die dit met zich mee zou brengen versus de te verwachten baten, een dedicated SURF SOC op dit moment niet de meest voor de hand liggende route is voor het verbeteren van de cybersecurity bij SURF en aangesloten instellingen. Wel de verbetering van de informatiepositie en het slim combineren om pro-actief op cyberdreigingen te kunnen Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 12

13 acteren, en het stroomlijnen en automatiseren van processen om ook naar die informatie te kunnen handelen. In 2017 zal dan ook gewerkt worden aan inventariseren en selecteren van nuttige informatiebronnen ( Threat Intelligence ) en onderzocht worden hoe deze het best verspreid en benut kunnen worden binnen de community, in samenwerking met SURFcert. Net als in 2016 zullen ook instellingen geïnformeerd worden over ontwikkelingen met betrekking tot de mogelijkheden voor het opzetten van een eigen SOC. Bij het ontwikkelen van securitydiensten wordt de focus verdeeld tussen onderzoek op de korte, middellange en lange termijn: Onderzoek op korte termijn richt zich op diensten die vrijwel direct in te zetten zijn, zoals breed beschikbaar stellen van passwordmanagers voor de doelgroep waarbij gegevens veilig (Europees) worden opgeslagen en het breed toepassen van encryptie in/voor diensten zoals cloudopslag. Middellange termijn richt zich op diensten die in 1 tot 2 jaar tot daadwerkelijke (verbetering van) diensten kunnen leiden, hieronder valt het vertalen van early warnings uit DNS-monitoring naar automatische filter rules voor SURFmailfilter. Voor de lange termijn wordt er gekeken naar ontwikkelingen verder dan 3 jaar en welke invloed deze hebben op de security van de SURF doelgroep, zoals invloed en gevolgen van het beschikbaar komen van quantum computing voor encryptie. De bestaande samenwerkingen worden ook in 2017 voortgezet met de nadruk op toepasbaarheid voor de SURF doelgroep. Zo krijgt het Anansi-project (in samenwerking met o.a. NLnet en NCSC), dat zich richt op ontwikkeling van een open source Honeypot framework voor geavanceerde detectie van indringers op een netwerk en op netwerksystemen, in 2017 een vervolg. Er zal ook worden samengewerkt met andere NREN s (bijvoorbeeld in GÉANTverband) of met andere instellingen en partijen (bijvoorbeeld via NCSRA 2 of andere project calls). Het uiteindelijke doel voor al deze activiteiten is het leveren van (security) diensten die de algehele cybersecurity van de doelgroep vergroot: door betere preventie, effectievere mitigatie of efficiëntere bedrijfsvoering/processen op dit gebied. Voor diensten zal wederom aan de hand van concrete businessmodellen gestreefd worden naar een goede afweging tussen inkopen, opzetten danwel zelf ontwikkelen aan de hand van de behoefte van de doelgroep; in samenwerking met SURFmarket en SURFsara. WP3 Normen, richtlijnen en Vrij Internet Dit werkpakket richt zich op een intensivering van de samenwerking binnen de sector, met andere sectoren en organisaties binnen Nederland en internationaal met andere NRENs. Daarnaast richt dit werkpakket zich ook op het versterken van het Normenkader Informatiebeveiliging en Juridisch Normenkader Cloudservices Hoger Onderwijs. Tevens wordt er gekeken naar nieuwe tools om aan normen en standaarden rondom privacy te voldoen, zoals privacy by design en de PIA tool. Ook in 2017 zal dit werkpakket zich richten op verdere adoptie van de normenkaders en aanpassing aan Europese regelgeving en privacy-verordening, en wetgeving rondom datalekken. Met het verbeteren van de volwassenheidsniveaus van diensten binnen SURF is in 2015 en 2016 een begin gemaakt met onder andere risico-workshops en een (uit exploitatie gefinancierd) traject om de core-dienstverlening van SURFnet aan het Juridisch Normenkader en het Normenkader Informatiebeveiliging te laten voldoen. Ook is een gap-analyse gemaakt van het Normenkader Informatiebeveiliging Hoger Onderwijs en ISO2700x. In 2017 zal het werken aan het voldoen aan de HO-normenkaders een vervolg krijgen en gekeken worden 2 National Cyber Security Research Agenda, gefinancierd door NWO en diverse ministeries. Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 13

14 hoe ver we nog af staan van (mogelijke) ISO certificering voor bepaalde diensten. In 2016 is een SURF position paper op het gebied van Internet Governance ( Een open toegankelijk en betrouwbaar Internet ) goedgekeurd door de ledenraad. Kernpunten hieruit zijn het werken aan een veilig en betrouwbaar internet waar de privacy van de gebruiker gerespecteerd wordt en het beschermen van de publieke kern tegen politieke en commerciële invloeden. Om dit te bereiken zal SURF ook in 2017 deelnemen aan het publieke debat en consultaties namens de leden (in debatten met overheden en andere partijen). Ook zal SURF deelnemen in samenwerkingsverbanden die bijdragen aan een open, toegankelijk en betrouwbaar internet. Hiertoe behoort ook meewerken aan bescherming tegen cybercriminaliteit en cyberterrorisme mits in balans met respect voor grondrechten voor gebruikers. Geschikte samenwerkingsverbanden hiervoor zijn DINL (Digitale Infrastructuren Nederland), ISOC (Internet Society), ICANN (Internet Cooperation for Assigned Names and Numbers), NCSC Stakeholders overleg, et cetera. Deliverables Samengevat weergegeven in een tabel zien de deliverables er per kwartaal als volgt uit: Tabel 3: Samenvatting van de deliverables van Project 1: Beveiliging & Privacy Risico s project Onderstaande tabel geeft de belangrijkste risico s voor het project Beveiliging & Privacy weer. Tabel 4: Risicomanagement van Project 1: Beveiliging & Privacy Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 14

15 5.2. Trust & Identity Op basis van de verkenningen en eerste pilots die in 2015 en 2016 zijn opgestart en afgerond, wordt in 2017 verder gewerkt aan de volgende onderdelen en T&I meerjarendoelen: 1. Leveren van een stabiel, betrouwbaar en efficiënte identificatie, authenticatie en autorisatie infrastructuur (SURFconext) die eenvoudig toegang tot clouddiensten en (gedeelde) onderwijs- en onderzoeksbronnen biedt (dit onderdeel wordt voornamelijk bekostigd vanuit de SURFnet exploitatie) Voor de periode is het doel het (door)ontwikkelen en aanbieden van een stabiele, betrouwbare en flexibele Trust & Identity Infrastructuur (SURFconext) waarmee gebruikers met hun eigen account veilig toegang hebben tot informatie en functionaliteit anytime, anyplace, any device en die het mogelijk maakt om optimaal samen te werken in welke samenstelling dan ook. In 2017 wordt verder gewerkt aan een volgende generatie Trust & Identity Infrastructuur. In 2016 is de betrouwbaarheid van SURFconext verhoogd doordat de infrastructuur is uitgebreid met een extra locatie en de core software meer modulair is opgezet. Om de betrouwbaarheid nog verder te verhogen moet het in 2017 mogelijk worden om releases gefaseerd en met minimaal risico uit te voeren. Daarnaast zal het innovatieproject, attribuut aggregatie, worden opgenomen in de SURFconext dienstverlening. Hiermee zal het mogelijk worden om attributen van externe bronnen toe te voegen aan de inlog van een gebruiker. Het gebruik van SURFconext Sterke authenticatie, rijke autorisatie en OpenID Connect, welke eerder in productie zijn genomen, zal verder gestimuleerd worden. 2. Doorontwikkelen van de Trust & Identity infrastructuur voor veilig en eenvoudig samenwerken over instellingsgrenzen heen Het doorontwikkelen van de Trust & Identity Infrastructuur (SURFconext) wordt mogelijk gemaakt door in de periode een groot aantal verkenningen en pilots uit te voeren. Bij gebleken succes kunnen deze innovaties in de SURFconext dienstverlening opgenomen worden. Op basis van de eerste Proofs of Concept (gestart in 2016) waarin externe authenticatiestelsels (zoals Idensys, idin en eidas) gekoppeld zijn aan SURFconext wordt in afstemming met de doelgroep verkend hoe het verrijken van identiteiten met doelgroep-specifieke kenmerken mogelijk is zodat de identiteit die de gebruiker zelf meeneemt wordt verrijkt met de context die voor onderwijs en onderzoek relevant is. Om studentmobiliteit te faciliteren stellen we een concreet stappenplan op en stemmen dit af met dienstverleners, instellingen, overheid, koepelorganisaties en andere relevante (inter)nationale partners. Hierbij zal tevens een analyse uitgevoerd worden naar de randvoorwaarden waaronder het faciliteren van een combinatie van een instellings-identiteit en een user-centric identiteit mogelijk kan worden. Op basis van onderzoek en ontwikkeling van een POC in 2016 naar de mogelijkheid om sterke authenticatie in te zetten voor specifieke oncampus toepassingen wordt bredere inzetbaarheid van deze technologie beoordeeld. Ook zal ten behoeve van vertrouwde samenwerking over de grenzen van instellingen heen verkend worden op welke manier gasten sterke authenticatie kunnen gebruiken. Voor toegang tot niet-webgebaseerde diensten wordt zowel praktisch gewerkt aan de implementatie van workarounds bij concrete diensten als verder onderzocht hoe structurele oplossingen zouden passen in het hub-and-spoke SURFconext ecosysteem. Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 15

16 3. Faciliteren van eenvoudig, veilig en flexibel (intern)nationaal samenwerken In 2017 wordt verder gewerkt aan het ondersteunen van instellingsoverstijgende, internationale en cross-sectorale use cases, waarbij zowel technische als policyaspecten worden bekeken, alsook gewerkt wordt aan standaarden voor samenwerken (bv Open Onderwijs API). Daarnaast zal worden gewerkt aan het ondersteunen van groepen/virtuele organisaties en het realiseren van eenvoudige validatiemogelijkheden voor service providers en stimulering van het gebruik van OpenConext binnen en buiten de doelgroep. Net als in 2016 worden de internationale use cases zoveel mogelijk in internationaal verband en met behulp van EC Horizon 2020 financiering (GN4, AARC en AARC-2) opgezet. Deliverables Samengevat weergegeven in een tabel zien de deliverables er per kwartaal als volgt uit: Tabel 5: Samenvatting van de deliverables van Project 2 Trust & Identity Risico s project Onderstaande tabel geeft de belangrijkste risico s voor het project Trust & Identity weer. Tabel 6: Risicomanagement van Project 2: Trust & Identity 5.3. Programmamanagement De taken en verantwoordelijkheden van programma-management worden in paragraaf 4.1 beschreven. In deze paragraaf worden ook de hiervoor geplande resources vermeld. Hieronder worden de belangrijkste risico s voor het programma weergegeven. Tabel 7: Risicomanagement op programmaniveau Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 16

17 Controlling Document P3: Betrouwbare en veilige omgeving - SURF 2017 Pagina 17