Rosanne Pouw
Ik ben Product Manager van Cybersave Yourself, de awareness toolkit voor… Meer over Rosanne Pouw
Voor organisaties en instituten in de sector onderwijs en onderzoek is er een aannemelijk risico dat waardevolle kennis een doelwit is. Bijvoorbeeld omdat die kennis andere landen een economische voorsprong geeft, of omdat er andere belangen mee gemoeid zijn. Omdat het hier specifiek gaat om het beveiligen van kennis, noemen we dit in Nederland Kennisveiligheid.
Maar wat is het verschil tussen een kennisveiligheid en cybersecurity? En welke verschillen en overlap zijn er als je de awareness hierover wilt verhogen? In dit artikel lees je wat het verschil is tussen kennisveiligheid en informatiebeveiliging en wat het effect is op awarenesscampagnes.
Uit bronnen en artikelen blijkt dat Kennisveiligheid veel genoemd wordt in Den Haag en bij onderzoeksinstellingen. Zo is er het loket Kennisveiligheid, waarin de expertise van de Rijksoverheid gebundeld is op het gebied van kennisveiligheid. Maar wat is kennisveiligheid eigenlijk?
“Bij kennisveiligheid gaat het om het tegengaan van de ongewenste overdracht van gevoelige kennis en technologie. Overdracht is ongewenst als deze de nationale veiligheid van ons land aantast. Daarnaast gaat kennisveiligheid om het tegengaan van heimelijke beïnvloeding van onderwijs en onderzoek door staten/landen. Deze inmenging brengt de academische vrijheid en de sociale veiligheid in gevaar. Ook gaat het om ethische kwesties die kunnen spelen bij samenwerking met landen die geen grondrechten respecteren.” – Definitie kennisveiligheid- Loket Kennisveiligheid
Een iets bondigere definitie is te vinden op de website van het NWO.
“Bij kennisveiligheid gaat het in de eerste plaats om het voorkomen van ongewenste overdracht van sensitieve kennis en technologie. Van ongewenste overdracht is sprake als onze nationale veiligheid in het geding komt.” - NWO
SURF schrijft op de SURF.nl website over het thema cybersecurity:
Goed beveiligen is vanwege de toenemende afhankelijkheid van ict in onderwijs en onderzoek steeds belangijker. SURF's ambitie is het om de instellingen weerbaar te maken tegen cybercriminelen. Continue inzet op bewustwording, organisatie en techniek is nodig om veilig te kunnen blijven werken. Van beheerder tot bestuurder en van onderzoeker tot student: iedereen speelt een rol in het veilig kunnen blijven studeren, werken en onderzoeken.
Vaak worden ook de term informatiebeveiliging gebruikt om aan te duiden dat het gaat om het beveiligen van gegevens, terwijl cybersecurity vaak gerelateerd wordt aan de technische maatregelen om gegevens te beveiligen:
“Informatiebeveiliging, of InfoSec, is gericht op de beveiliging van alle data van een organisatie, zowel digitaal als analoog, ongeacht de locatie waar ze zijn opgeslagen. Bij cybersecurity gaat het daarentegen om de bescherming van digitale data tegen aantasting of aanvallen.”
Voor wil zich wil verdiepen in het verdere onderscheid tussen cybersecurity en informatiebeveiliging raad ik aan om dit artikel te lezen van Prof. Dr. Ir Jan van de Berg. Omdat dit artikel over awareness gaat, is het goed om te vermelden dat de gangbare term cybersecurity awareness is. In onderwijs- en onderzoeksorganisaties kunnen deze onderwerpen apart geadresseerd worden. Zo spreekt het NWO over PKI: Privacy, Kennisveiligheid en Informatiebeveiliging.
Informatiebeveiliging gaat over het beschermen van informatie in een veel bredere zin. In het Informatiebeveiligingsbeleid van SURF is een onderverdeling gemaakt tussen kennisveiligheid en cybersecurityonderwerpen. Hieronder een overzicht van onderwerpen verdeeld over kennisveiligheid en de veiligheid van informatiesystemen. Als het gaat om het verhogen van bewustzijn, dan komen er regelmatig onderwerpen uit beide kanten terug in awareness campagnes. Dit overzicht is afkomstig uit het Informatieveiligheidsbeleid van SURF (vastgesteld 2021)
Wat is het verschil tussen een awareness campagne gericht op kennisveiligheid, versus een awareness campagne over cybersecurity? In de lijst hierboven zie je dat veel van de onderwerpen relevant zijn voor informatiebeveiliging én kennisveiligheid. Het grote verschil zit in de risico’s die voor jouw instelling van toepassing zijn. Als er nooit sprake is van risico’s rondom kennisveiligheid, dan zul je die thema’s ook niet in je campagne meenemen. En als er wél sprake is van risico’s op het gebied van kennisveiligheid, dan is het goed om awareness campagnes en activiteiten daarop toe te spitsen.
Om gedrag te veranderen is het belangrijk dat de doelgroep van de awareness campagne goed begrijpt wat het risico is en wat zij kunnen doen om incidenten te voorkomen. Een onderwerp als kennisveiligheid ligt dichter bij de belevingswereld van onderzoekers dan het onderwerp cybersecurity.
Voorbeelden van risico’s voor kennisveiligheid volgens het loket Kennisveiligheid:
Voor instellingen in de sector onderwijs en onderzoek zijn risicosituaties voor kennisveiligheid bijvoorbeeld:
Net als bij cybersecurity awareness zijn er onderdelen van bedrijfsvoering die een belangrijke rol spelen. HR speelt een belangrijke rol, bijvoorbeeld met procedures en beleid rondom thuiswerken, indiensttreding en screening van personen. Finance heeft zicht op betaalstromen en belangen die daarbij spelen. En Inkoop kan bepaalde voorwaarden of maatregelen meenemen in inkoop trajecten, bijvoorbeeld bij de aanschaf van nieuwe hardware of software. Ook onderzoekers en ondersteuners moeten zich bewust zijn van de risico’s en handelingsperspectieven, het liefst concreet gemaakt met een aantal voorbeelden.
Een recent incident is vaak de aanleiding om een awareness campagne op te starten. Maar kennisveiligheid is een continue proces. Breng daarom jaarlijks in kaart wat de belangrijkste actoren zijn (staten/landen), wat de dreiging is en hoe dat resulteert in een risico voor jouw organisatie. De awareness activiteiten adresseren deze risico’s. Zo houd je de campagne actueel en blijvende gedragsverandering die je van je medewerkers vraagt relevant.
SURF wordt meerdere malen genoemd op de website van Loket kennisveiligheid, met name als het gaat om het verbeteren van de informatiebeveiliging met behulp van SURFaudit, of hulp bij incidenten door SURFcert. In de Cybersave Yourself Toolkit (gratis voor leden van SURF) vind je materiaal en informatie materiaal om zelf cybersecurity en privacyawareness campagnes te maken. Er zijn een aantal relevante thema’s voor kennisveiligheid terug te vinden in de CSY toolkit, bijvoorbeeld:
Omdat kennisveiligheid een risico is dat niet bij alle leden van SURF speelt, verwijzen we voor specifiek awareness materiaal naar het Loket Kennisveiligheid. Onderdeel van het loket is een Kennisveiligheids netwerk waarbinnen informatie en materialen gedeeld worden. Daar vind je onder andere een aantal e-learning modules, posters en ander materiaal om awareness campagnes mee op te zetten.
Lees meer onderbouwing en achtergrondinformatie het advies Kennis in conflict - veiligheid en vrijheid in balans van de Adviesraad voor Wetenschap, Technologie en Innovatie.
De Universiteiten van Nederland hebben Kennisveiligheid ook als belangrijk thema aangemerkt en een Kader Kennisveiligheid Universiteiten uitgebracht in 2021.
Ik ben Product Manager van Cybersave Yourself, de awareness toolkit voor… Meer over Rosanne Pouw
0 Praat mee