Kennisveiligheid en cybersecurity: verschillen en overlap in awareness

Wat is kennisveiligheid

Uit bronnen en artikelen blijkt dat Kennisveiligheid veel genoemd wordt in Den Haag en bij onderzoeksinstellingen. Zo is er het loket Kennisveiligheid, waarin de expertise van de Rijksoverheid gebundeld is op het gebied van kennisveiligheid. Maar wat is kennisveiligheid eigenlijk?

“Bij kennisveiligheid gaat het om het tegengaan van de ongewenste overdracht van gevoelige kennis en technologie. Overdracht is ongewenst als deze de nationale veiligheid van ons land aantast. Daarnaast gaat kennisveiligheid om het tegengaan van heimelijke beïnvloeding van onderwijs en onderzoek door staten/landen. Deze inmenging brengt de academische vrijheid en de sociale veiligheid in gevaar. Ook gaat het om ethische kwesties die kunnen spelen bij samenwerking met landen die geen grondrechten respecteren.” – Definitie kennisveiligheid-  Loket Kennisveiligheid

Een iets bondigere definitie is te vinden op de website van het NWO.

“Bij kennisveiligheid gaat het in de eerste plaats om het voorkomen van ongewenste overdracht van sensitieve kennis en technologie. Van ongewenste overdracht is sprake als onze nationale veiligheid in het geding komt.” - NWO

Wat is cybersecurity

SURF schrijft op de SURF.nl website over het thema cybersecurity:

Goed beveiligen is vanwege de toenemende afhankelijkheid van ict in onderwijs en onderzoek steeds belangijker. SURF's ambitie is het om de instellingen weerbaar te maken tegen cybercriminelen. Continue inzet op bewustwording, organisatie en techniek is nodig om veilig te kunnen blijven werken. Van beheerder tot bestuurder en van onderzoeker tot student: iedereen speelt een rol in het veilig kunnen blijven studeren, werken en onderzoeken.

Vaak worden ook de term informatiebeveiliging gebruikt om aan te duiden dat het gaat om het beveiligen van gegevens, terwijl cybersecurity vaak gerelateerd wordt aan de technische maatregelen om gegevens te beveiligen:

“Informatiebeveiliging, of InfoSec, is gericht op de beveiliging van alle data van een organisatie, zowel digitaal als analoog, ongeacht de locatie waar ze zijn opgeslagen. Bij cybersecurity gaat het daarentegen om de bescherming van digitale data tegen aantasting of aanvallen.”

Voor wil zich wil verdiepen in het verdere onderscheid tussen cybersecurity en informatiebeveiliging raad ik aan om dit artikel te lezen van Prof. Dr. Ir Jan van de Berg. Omdat dit artikel over awareness gaat, is het goed om te vermelden dat de gangbare term cybersecurity awareness is. In onderwijs- en onderzoeksorganisaties kunnen deze onderwerpen apart geadresseerd worden. Zo spreekt het NWO over PKI: Privacy, Kennisveiligheid en Informatiebeveiliging.

Verschil in inhoud

Informatiebeveiliging gaat over het beschermen van informatie in een veel bredere zin. In het Informatiebeveiligingsbeleid van SURF is een onderverdeling gemaakt tussen kennisveiligheid en cybersecurityonderwerpen. Hieronder een overzicht van onderwerpen verdeeld over kennisveiligheid en de veiligheid van informatiesystemen. Als het gaat om het verhogen van bewustzijn, dan komen er regelmatig onderwerpen uit beide kanten terug in awareness campagnes. Dit overzicht is afkomstig uit het Informatieveiligheidsbeleid van SURF (vastgesteld 2021)

Kennisveiligheid en awareness

Wat is het verschil tussen een awareness campagne gericht op kennisveiligheid, versus een awareness campagne over cybersecurity? In de lijst hierboven zie je dat veel van de onderwerpen relevant zijn voor informatiebeveiliging én kennisveiligheid. Het grote verschil zit in de risico’s die voor jouw instelling van toepassing zijn. Als er nooit sprake is van risico’s rondom kennisveiligheid, dan zul je die thema’s ook niet in je campagne meenemen. En als er wél sprake is van risico’s op het gebied van kennisveiligheid, dan is het goed om awareness campagnes en activiteiten daarop toe te spitsen.

Om gedrag te veranderen is het belangrijk dat de doelgroep van de awareness campagne goed begrijpt wat het risico is en wat zij kunnen doen om incidenten te voorkomen. Een onderwerp als kennisveiligheid ligt dichter bij de belevingswereld van onderzoekers dan het onderwerp cybersecurity.

Voorbeelden van risico’s voor kennisveiligheid volgens het loket Kennisveiligheid:

Voor instellingen in de sector onderwijs en onderzoek zijn risicosituaties voor kennisveiligheid bijvoorbeeld:

• Buitenlandse studenten die in Nederland studeren en bij gevoelige onderzoeksgegevens kunnen
• Internationale samenwerkingen
• Samenwerking met het bedrijfsleven, waarbij een partij afkomstig is uit een ander land
• Financiering van onderzoek, waarbij de onafhankelijkheid in het geding komt
• Gebruikte hardware zoals laptops en surveillancecamera’s geproduceerd door een land met een verhoogd risico
• Software gemaakt of geleverd door een land met een verhoogd risico
• Het uitnodigen van een spreker uit een land met een verhoogd risicoprofiel

Doelgroepen voor awareness binnen je instelling

Net als bij cybersecurity awareness zijn er onderdelen van bedrijfsvoering die een belangrijke rol spelen. HR speelt een belangrijke rol, bijvoorbeeld met procedures en beleid rondom thuiswerken, indiensttreding en screening van personen. Finance heeft zicht op betaalstromen en belangen die daarbij spelen. En Inkoop kan bepaalde voorwaarden of maatregelen meenemen in inkoop trajecten, bijvoorbeeld bij de aanschaf van nieuwe hardware of software. Ook onderzoekers en ondersteuners moeten zich bewust zijn van de risico’s en handelingsperspectieven, het liefst concreet gemaakt met een aantal voorbeelden.

Een recent incident is vaak de aanleiding om een awareness campagne op te starten. Maar kennisveiligheid is een continue proces. Breng daarom jaarlijks in kaart wat de belangrijkste actoren zijn (staten/landen), wat de dreiging is en hoe dat resulteert in een risico voor jouw organisatie. De awareness activiteiten adresseren deze risico’s. Zo houd je de campagne actueel en blijvende gedragsverandering die je van je medewerkers vraagt relevant.

Kennisveiligheid, awareness en SURF

SURF wordt meerdere malen genoemd op de website van Loket kennisveiligheid, met name als het gaat om het verbeteren van de informatiebeveiliging met behulp van SURFaudit, of hulp bij incidenten door SURFcert. In de Cybersave Yourself Toolkit (gratis voor leden van SURF) vind je materiaal en informatie materiaal om zelf cybersecurity en privacyawareness campagnes te maken. Er zijn een aantal relevante thema’s voor kennisveiligheid terug te vinden in de CSY toolkit, bijvoorbeeld:

• Social engineering
• Sluit je scherm af
• Ontfutsellanden

Omdat kennisveiligheid een risico is dat niet bij alle leden van SURF speelt, verwijzen we voor specifiek awareness materiaal naar het Loket Kennisveiligheid. Onderdeel van het loket is een Kennisveiligheids netwerk waarbinnen informatie en materialen gedeeld worden. Daar vind je onder andere een aantal e-learning modules, posters en ander materiaal om awareness campagnes mee op te zetten.

Verder lezen

Lees meer onderbouwing en achtergrondinformatie het advies Kennis in conflict - veiligheid en vrijheid in balans van de Adviesraad voor Wetenschap, Technologie en Innovatie.

De Universiteiten van Nederland hebben Kennisveiligheid ook als belangrijk thema aangemerkt en een Kader Kennisveiligheid Universiteiten uitgebracht in 2021.