Risicomanagement is tijdens de uitvoering van het plan een doorlopende activi-teit. De externe risico’s (dat wil zeggen de risico’s buiten het practoraat) en de interne risico’s op het niveau van de organisatie, projecten en activiteiten van het practoraat worden systematisch in kaart gebracht. Hierbij worden risico’s geïden-tificeerd, geanalyseerd en geëvalueerd. De kans en de impact van relevante ge-beurtenissen worden bepaald. Op basis hiervan worden mitigerende maatregelen voorgesteld en ingevoerd. In tabel 3 is de eerste opzet van het risicoregister uitgewerkt.
id Gebeurtenis K I Maatregel
01 Capaciteit docent-onderzoekers H M Externe financiering/escalatie directeur
02 Resultaten sluiten niet aan op
behoefte M H Kenniskringen en
klankbordgroe-pen 03 Onvoldoende kennis en kunde
practor L L Strenge selectie en kennisnetwerk
04 Snelheid blijft achter bij
ontwik-kelingen M H Publiek-private samenwerking
05 Onvoldoende middelen M H Externe financiering Tabel 3: Risicoregister
Aanval
Actie waarbij iemand met opzet de beveiliging probeert uit te schakelen of te omzeilen om in een digitaal systeem te komen.
Kunstmatige intelligentie (ook wel artificial intelligence (ai) genoemd) Technologie waarbij digitale systemen reageren op data, bijvoorbeeld afkomstig uit sensoren, en op basis daarvan zelfstandig acties ondernemen.
Algemene verordening gegevensbescherming
Dit is een privacywet die geldt in de hele Europese Unie (EU). Dankzij de AVG gelden in alle landen van de EU dezelfde basis-/minimumregels voor de bescher-ming van persoonsgegevens. De AVG is in Nederland de opvolger van de Wet bescherming persoonsgegevens.
Bedrijfsrisico
Risico dat er iets gebeurt wat negatieve gevolgen heeft voor de doelstellingen en resultaten van een bedrijf.
Beveiliging, ook wel security genoemd
Alle maatregelen die nodig zijn om een digitaal systeem te beschermen tegen schadelijke invloeden.
Beveiligingsmaatregel
Iets wat men doet om risico’s voor de veiligheid van informatie te verkleinen of weg te nemen.
Blockchain
Een digitaal overzicht waarin transacties worden gecontroleerd en opgeslagen als ze in orde zijn. Dat gebeurt via een netwerk van computers. Iedere nieuwe waarde die in het overzicht komt te staan, wordt berekend op basis van de vori-ge waarde. Vandaar de naam ‘chain’ (ketting). Het voordeel van een blockchain is dat er geen onafhankelijke persoon bij nodig is voor het valideren van de trans-acties, zoals een notaris. Men gebruikt blockchain voor verschillende doelen, onder meer voor cryptovaluta, zoals de bitcoin.
Broncode, ook wel source code genoemd
De leesbare tekst die een programmeur heeft geschreven in een programmeer-taal. Er bestaan verschillende programmeertalen, zoals C, C++, Pascal. De bron-code wordt door een compiler omgezet naar een voor computer uitvoerbare machinecode.
Cloud of cloudcomputing
Een model waarbij op aanvraag computercapaciteit van anderen wordt gebruikt.
De capaciteit deelt men bijvoorbeeld voor servers, opslag, applicaties en dien-sten.
Cybercriminaliteit
Criminaliteit waarbij men een computersysteem aanvalt of misbruikt voor crimi-nele activiteiten. Er zijn twee typen:
1 Cybercriminaliteit in brede zin. Dit zijn alle strafbare activiteiten waarbij ie-mand een informatiesysteem of computer gebruikt. Denk aan diefstal en ver-valsing van betaalpassen, oplichting, afpersing, kinderporno, racisme en be-lediging.
2 Cybercriminaliteit in enge zin. Hierbij gebruikt men informatiesystemen en computers niet alleen als middel, maar zijn ze ook een doel. Bijvoorbeeld:
computers beschadigen, spamaanvallen, DDoS-aanvallen, virussen versprei-den.
Cybersecurity
Alle beveiligingsmaatregelen die men neemt om schade te voorkomen door een storing, uitval of misbruik van een informatiesysteem of computer. Ook worden maatregelen genomen om schade te beperken en/of te herstellen als die toch is ontstaan. Voorbeelden van schade zijn dat men niet meer in een computersys-teem kan komen wanneer men dat wil. Of dat de opgeslagen informatie bij an-deren terechtkomt of niet meer klopt. De maatregelen hebben te maken met processen in de organisatie, technologie en gedrag van mensen.
Cyberweerbaarheid of digitale weerbaarheid
De veerkracht van een organisatie en haar digitale systemen en processen. Cy-berweerbaarheid wordt uitgedrukt in de snelheid en effectiviteit waarmee een organisatie zich weet te herstellen na een incident.
Dreiging
Iets wat gevaar of schade kan opleveren voor een organisatie, bijvoorbeeld een storing, reputatieschade of financieel verlies.
Firmware
Software in een apparaat of onderdeel van hardware in een apparaat die ervoor zorgt dat de hardware zijn werk doet. Vaak kan men firmware updaten.
Gijzelsoftware, ook wel ransomware genoemd (zie ook ‘malware’)
Kwaadaardige software waarbij een slachtoffer afgeperst wordt nadat zijn digi-tale systeem of de bestanden erop met een code op slot is of zijn gezet. De aanvaller biedt de code tegen betaling aan zodat het slachtoffer weer in zijn systeem of bij zijn bestanden kan. Maar of dat dan ook echt zo is, is niet zeker.
Hacker
Iemand die systemen wil proberen te doorgronden puur en alleen om zijn of haar nieuwsgierigheid te bevredigen. Hackers willen graag weten hoe bepaalde zaken werken. Soms is het twijfelachtig hoe legaal bepaalde zaken zijn die een hacker
uitvoert, zoals het inbreken in een computersysteem. ‘Hacker’ is van oorsprong een neutrale term maar veel mensen gebruiken het woord hacker tegenwoordig om iemand mee aan te duiden die kwade bedoelingen heeft, zoals een crimineel.
Informatiebeveiliging
Alles wat men doet om ervoor te zorgen dat men bij informatie kan komen wan-neer men dat wil, dat de informatie klopt en dat de informatie niet bij anderen terechtkomt. Het gaat daarbij vaak om een computersysteem, maar dat hoeft niet.
Het gaat om maatregelen, procedures en processen die beveiligingsproblemen voorkomen, opsporen, onderdrukken en oplossen. Ontstaat er wel een probleem met de informatie? Dan zorgt informatiebeveiliging ervoor dat de gevolgen zo veel mogelijk beperkt worden.
Internet of Things (IoT)
Apparaten die via het internet verbonden zijn en informatie kunnen uitwisselen, bijvoorbeeld thermostaten, koelkasten en auto’s.
Kritieke infrastructuur
Die diensten, producten of onderdelen van de infrastructuur van een land die essentieel zijn. Worden deze onderdelen uitgeschakeld of vallen ze uit? Dan is de kans op economische en/of maatschappelijke ontwrichting groot.
Machine learning
Ontwikkeling van technieken waarmee computers kunnen leren.
Malware
Kwaadaardige software die aanvallers op een digitaal systeem zetten om er op afstand bij te kunnen, het te vernielen of informatie te stelen. Malware is een samentrekking van het Engelse ‘malicious software’. Gijzelsoftware is een vorm van malware.
Monitoring
Continu bewaken van een computer of digitaal netwerk, bijvoorbeeld om te zien of het nog helemaal goed werkt, of er fouten voorkomen, enzovoort.
Patch (zie ook ‘update’)
Nieuwe versie van software. In deze nieuwe versie heeft de leverancier kwets-baarheden in het systeem hersteld. Hij heeft geen nieuwe functies toegevoegd.
Persoonsgegevens
Gegevens die verwijzen naar een persoon. Met deze gegevens kan men vaststel-len wie iemand is. Bijvoorbeeld: naam, adres, nummer van het paspoort.
Privacy by design
Eigenschap van een product, dienst of systeem. Bij de ontwikkeling en het ont-werp ervan heeft men zo veel mogelijk rekening gehouden met privacy.
Risico
Kans op schade of verlies in een computersysteem, gecombineerd met de gevol-gen die deze schade heeft voor de organisatie. Een voorbeeld van schade kan bijvoorbeeld zijn dat mensen informatie zien die ze niet hadden mogen zien. Of dat men niet meer zeker weet of gegevens nog kloppen. Bij gevolgen voor de organisatie kan men denken aan financiële schade of het verlies van de goede naam van de organisatie.
Security by design
Een product, dienst of systeem ontwerpen en vanaf het begin ook de beveiliging mee ontwikkelen en testen.
Update (zie ook ‘patch’)
Nieuwe versie van software of firmware door de producent. Deze repareert be-kende zwakke plekken en zorgt eventueel voor nieuwe beveiliging en extra func-ties.
Ali, S., Bosche, A., & Ford, F. (2018).
Cybersecurity Is the Key to Unlocking Demand in the Internet of Things (Bain Insights).
Bain & Company, Inc. Gedownload van http://www.bain.com/Im- ages/BAIN_BRIEF_
Cybersecurity_Is_the_Key_to_Unlocking_Demand_in_the_IoT.pdf Bakker, A., & Akkerman, S. F. (2014).
Leren door boundary crossing tussen school en werk. Pedagogische Studien, 91(1), 8–23.
BIT (2017).
Internet Eigenwijs
Center for Cyber Safety and Education, & (ISC)2 (2017).
2017 Global Information Security Workforce Study: Benchmarking Workforce Capacity and Response to Cyber Risk (A Frost & Sullivan Executive Briefing). Center for Cyber Safety and Education. Gedownload van https://iamcyber- safe.org/wp-content/up-loads/2017/06/Europe-GISWS-Report.pdf
Cisco and Cybersecurity Ventures (2019).
Cybersecurity Almanac: 100 Facts, Figures, Predictions And Statistics. Gedownload van https://cybersecurityventures.com/cybersecurity-almanac-2019/
Cornell University, INSEAD, & WIPO (2018).
Global Innovation Index 2018: Energizing the World with Innovation. Ithaca, Fontaine-bleau, and Geneva. Gedownload van http://www.wipo.int/edocs/pub- docs/en/wipo_
pub_gii_2018.pdf Leeuw, A.C.J. de (1996).
Bedrijfskundige methodologie: management van onderzoek. Van Gorcum.
ENISA (2017).
Baseline Security Recommendations for IoT. Gedownload van https://www.enisa.euro- pa.eu/publications/baseline-security-recommendations-for-iot/at_download/fullRe-port
European Commission (2018).
Digital Economy and Society Index. Gedownload van
https://ec.europa.eu/digital-sin-Gheorge, A. (2016).
How to Hack a Home through the Internet of Things. Gedownload van https://www.
macworld.com/article/3058836/internet-of-things/how-to-hack-a-home-through-the-internet-of-things.html
Holman, C. (2016).
Burgerschap in het mbo. Gedownload van https://www.practoraten.nl/wp-content/up-loads/2017/02/noorderpoort_burgerschap_in_het_mbo_chris_holman_spreads.pdf IMD (2018).
IMD World Competitiveness Ranking 2018. Gedownload van https://www.imd.org/wcc/
world-competitiveness-center-rankings/world-competitiveness-ranking-2018/
INTERSECT (2018).
An Internet of Secure Things. Full research proposal for NWO. Zie ook https://intersct.nl/
the_project/
ISO (2018a).
ISO 22300 Security and resilience – Vocabulary. International Organization for Standar-dization (ISO).
ISO (2018b).
ISO 31000 Risk management – Guidelines. Geneva, Switzerland: International Organiza-tion for StandardizaOrganiza-tion (ISO). Gedownload van https://www.iso.org/obp/ui/#iso:st-d:iso:31000:ed-2:v1:en
ISO/IEC (2011).
ISO/IEC 27034-1 Information technology – Security techniques – Application security – Part 1: Overview and concepts.
ISO/IEC (2015).
ISO/IEC 27033-1 Information technology – Security techniques – Network security – Part 1: Overview and concepts.
ISO/IEC (2018).
ISO/IEC 27000 Information technology – Security techniques – Information security ma-nagement systems – Overview and vocabulary. International Organization for Standardi-zation (ISO). Gedownload van https://standards.iso.org/ittf/PubliclyAvailableStand- ards/
c073906_ISO_IEC_27000_2018_E.zip KPN (2018).
2018 European Cyber Security Perspectives. Gedownload van https://overons.kpn/con- tent/downloads/news/Brochure_Cyber_security_2018_web.pdf
Krebs, B. (2017).
KrebsOnSecurity Hit With Record DDoS. Gedownload van https://krebsonsecurity.
com/2016/09/krebsonsecurity-hit-with-record-ddos/
National Academies of Sciences, Engineering, & Medicine (2018a).
Recoverability as a First-Class Security Objective: Proceedings of a Workshop (A. F. John-son & L. I. Millett, Eds.). Washington, DC: The National Academies Press. Gedownload van https://doi.org/10.17226/25240
National Academy of Sciences, Engineering, and Medicine (2018b).
Learning Through Citizen Science: Enhancing Opportunities by Design. Gedownload van http://nap.edu/25183
Pankja Ghemawat, & Altman, S. A. (2016).
DHL Global Connectedness Index 2016: The State of Globalization in an Age of Ambigui-ty. Bonn: Deutsche Post DHL Group. Gedownload van http://www.dhl.com/content/
dam/downloads/g0/about_us/logistics_insights/gci_2016/DHL_GCI_2016_full_study.pdf Qbit (2020).
Qbit Cyber Security. Essential Requirements for security IoT consumer devices. Gedownload van https://www.agentschaptelecom.nl/documenten/rapporten/2020/08/26/onder-zoeksrapport-essential-requirements-for-securing-iot-consumer-devices
Rijksoverheid (2018a).
Roadmap. Digitaal Veilige Hard- en Software. Ministerie van Economische Zaken en Klimaat en Ministerie van Justitie en Veiligheid. Gedownload van https://www.rijks- overheid.nl/documenten/rapporten/2018/04/02/roadmap-digitaal-veili-ge-hard-en-software
Rijksoverheid (2018b).
Nederlandse Cybersecurity Agenda: Nederland digitaal veilig. Gedownload van https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rappor-ten/2018/04/21/neder- landse-cybersecurity-agenda-nederland-digitaal-veilig/CSA-genda_def_web.pdf
Rijksuniversiteit Groningen (2019).
Projectvoorstel Cybersecurity Noord-Nederland. Gedownload van https://www.provin-ciegroningen.nl
Sethi, A. (2018, October 16).
Spies Among Us: Tracking, IoT & the Truly Inside Threat. Retrieved 30 January 2019.
Gedownload van https://www.darkreading.com/iot/spies-among-us-tracking-iot-and-the-truly-inside-threat/a/d-id/1333015
Stichting ieder mbo een practoraat (2015).
Bezig met de vragen van morgen. Manifest over onderzoek in de context van het mbo.
Gedownload van https://www.practoraten.nl/wp-content/uploads/2017/04/bezig-met-de-vragen-van-morgen_online.pdf
Stichting Toekomstbeeld der Techniek (2018a).
Technologiemonitor 2018: Een nieuw perspectief op technologische doorbraken (No.
NUR 950) (p. 56). The Hague. Gedownload van https://stt.nl/pub- licatie/technologie-monitor-2018-een-nieuw-perspectief-op-technologische-doorbraken/
Stichting Toekomstbeeld der Techniek (2018b).
Veiligheid in de toekomst: Schetsen voor een nieuwe context. The Hague. Gedownload van https://stt.nl/nieuws/veiligheid-raakt-ons-allemaal/
Stichting Toekomstbeeld der Techniek (2018c).
Vooruitkijken naar 2050: Trends die de toekomst van de Nederlandse economie beïnvloe-den (No. NUR-nr. 950). The Hague. Gedownload van https://stt.nl/publicatie/vooruitkij-ken-naar-2050/
Taylor, P., Allpress, S., Carr, M., Lupu, E., Norton, J., Smith, L.,... Westbury, P. S. (2018).
Internet of Things: realising the potential of a trusted smart world. London: Royal Aca-demy of Engineering. Gedownload van https://www.raeng.org.uk/publications/reports/
internet-of-things-realising-the- potential-of-a-tr Vlek, C. (2013).
How solid is the Dutch (and the British) national risk assessment? Overview and deci-sion-theoretic evaluation. Risk Analysis : An Official Publication of the Society for Risk Analysis, 33(6), 948–971. Gedownload van https://doi.org/10.1111/risa.12052
Voogt, J., & Pareja Roblin, N. (2010).
21st Century Skills. Discussienota. Enschede: Universiteit Twente.
Watson, S. M. (2014).
If Customers Knew How You Use Their Data, Would They Call It Creepy? Harvard Busi-ness Review.
World Economic Forum (2017).
The Global Gender Gap Report 2017. Geneva, Switzerland. Gedownload van https://www.weforum.org/reports/the-global-gender-gap-report-2017
World Economic Forum (2018a).
Cyber Resilience: Playbook for Public-Private Collaboration. Future of Digital Economy and Society System Initiative. Gedownload van https://www.weforum.org/reports/cy-ber-resilience-playbook-for-public-private-collaboration
World Economic Forum (2018b).
Our Shared Digital Future Building an Inclusive, Trustworthy and Sustainable Digital So-ciety. Geneva, Switzerland. Gedownload van http://www3.weforum.org/docs/WEF_
Our_Shared_Digital_Future_Report_2018.pdf World Economic Forum (2018c).
Regional Risks for Doing Business 2018 (Insight Report). Geneva, Switzerland. Gedown-load van http://www3.weforum.org/docs/WEF_Regional_Risks_Doing_Business_re-port_2018.pdf
World Economic Forum (2018d).
The Global Risks Report 2018: 13th Edition (Insight Report). Geneva, Switzerland. Ge-download van http://wef.ch/risks2018
World Economic Forum (2019).
The Global Risks Report 2019: 14th Edition. Gedownload van http://www3.weforum.org/
docs/WEF_Global_Risks_Report_2019.pdf Zuboff, S. (2019).
The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. PublicAffairs.
mede mogelijk gemaakt door bijdragen van provincie Groningen (RSP-middelen) en gemeente Groningen.