THESEUS: Patching stimuleren in organisaties

De uitdaging

We leven in een tijdperk waarin kwetsbaarheden in IT-organisaties worden uitgebuit, voor diefstal van klantgegevens of injectie van malware en ransomware. De kosten van beveiliging nemen toe, maar toch lijken organisaties hun IT-systemen niet te patchen en software niet up-to-date te houden. De realiteit is dat organisaties voor een lastig dilemma staan: te vroeg patchen en potentiële downtime en storingen oplopen; of te laat patchen en gecompromitteerd worden door aanvallen. Het gevolg is dat organisaties er lang over doen om zelfs kritieke veiligheidslekken te dichten. De manier om uit deze catch-22 te komen is het risicobeheer van patching radicaal te veranderen.

Het onderzoeksproject 

Het doel van het THESEUS onderzoeksproject (Engelstalig) is organisaties in staat te stellen beveiligingsproblemen veel sneller, efficiënter en met minder risico te patchen. Het project brengt innovaties vanuit het laboratorium naar de praktijk door samen te werken met een consortium van zowel academische als maatschappelijke partners die mensen, data en pilots bijdragen aan het project. Het onderzoek loopt van 2021 tot 2027.

Het onderzoek richt zich op drie verschillende niveaus: 

• Systemen: risicovermindering van patching via nieuwe technieken in automatische kwetsbaarheid en patch triaging, alsook automatische patchgeneratie met live update voor gevallen waarin kritieke patches onaanvaardbare beschikbaarheidsrisico’s met zich meebrengen. 
• Ondernemingen: het risico van patching beter kwantificeren door de resultaten van patch triaging te beoordelen en samen te voegen, om zo de kans op misbruik beter in te schatten, rekening houdend met verschillende aanvalsmodellen en functionele impact. 
• Governance: risico's van patching effectiever beheren door stimuleringsmechanismen in te voeren via notificaties en informatie-uitwisseling, sectorbrede benchmarks voor patch-snelheid en mogelijk wettelijke instrumenten.

Het Governance onderzoek

TILT-onderzoekers voeren samen met onderzoekers van de TU Delft en de VU Amsterdam het Governance-onderzoek uit om concrete aanbevelingen te doen aan wetgevers, zowel op nationaal als op Europees niveau. Zij werken nauw samen met technologische en bedrijfskundige experts om de governance van patchingpraktijken van bedrijven in kaart te brengen, wat zal uitmonden in een algemeen portfolio van governance-opties. 

Het onderzoek richt zich op:

• bestaande wettelijke kaders en bestuursmechanismen die cyberbeveiliging regelen;
• de omgang met potentiële aansprakelijkheid jegens derden als gevolg van beveiligingsincidenten die voortvloeien uit niet-gepatchte systemen; en 
• de rol van verzekering bij patching en bestrijding van cyberkwetsbaarheid. 

Het doel is te bepalen op welk niveau welk(e) type(n) regelgeving kan worden ingezet om de patchingpraktijken van bedrijven te verbeteren en potentiële schade aan derden te voorkomen in plaats van aansprakelijkheid achteraf te reguleren.

Het consortium

Het THESEUS-project wordt uitgevoerd door een meer dan 20 wetenschappers uit verschillende disciplines, landen en met diverse achtergronden. Partnerorganisaties zijn onder meer KLM-AirFrance, Philips, Rijkswaterstaat, de gemeente Amsterdam, de gemeente Den Haag, KPN, CyberSprint en het Nationaal Cyber Security Centrum. Dit biedt de unieke kans om nauw samen te werken met security managers en IT-managementteams uit de praktijk en met toonaangevende leveranciers van oplossingen voor organisaties.

Nieuwsbrief: inzicht in wetswijzigingen rond cyberbeveiliging

De TILT onderzoekers produceren ook een maandelijkse THESEUS-nieuwsbrief met inzichten in de laatste juridische ontwikkelingen op het gebied van cyberbeveiliging. U kunt zich hier aanmelden.

Meer informatie

THESEUS website