Dit keer geen Wetenschapswaardigheden maar een verslag van de lezingenavond van 31 augustus 2011.
Verslag door Ronny van den Heuvel en Ruben Jongejan
De lezingenavond van 31-08-2011 stond in het teken van Sofware. Vanuit twee zeer verschillende invalshoeken werd ingegaan op de risico’s die het gebruik van software met zich mee kan brengen. Specifiek werd ingegaan op de onderwerpen Sofwarebetrouwbaarheid en Software Security (Risico’s voor de procesautomatisering). De grote opkomst en de boeiende lezingen en discussies lieten zien dat Sofware in relatie tot Risicomanagement en Bedrijfzekerheid een onderwerp is wat leeft.
Sofwarebetrouwbaarheid – Wat is de kans dat software faalt?
Door Sipke van Manen
Sipke van Manen is adviseur veiligheid bij Rijkswaterstaat. Hij is afgestudeerd bij de faculteit Civiele Techniek in Delft, met als specialisatie constructieleer. Daarna heeft hij zich bij TNO ontwikkeld op het gebied van probabilistisch ontwerpen, bouwinformatica en het ontwikkelen en toepassen van de eindige elementenmethode. Vanaf 1993 is hij werkzaam bij Rijkswaterstaat en heeft hij zich met vrijwel alle facetten van kwantitatieve risicoanalyse van het Ministerie van Verkeer en Waterstaat (nu Infrastructuur en Milieu) beziggehouden. En de laatste tijd met name op het gebied van normering, waterveiligheid en constructieve veiligheid.
Hij is lid van het ENW, werkgroep veiligheid en van de Commissie “Compendium Constructieve Veiligheid”. Hij heeft diverse aanzetten gegeven voor het kwantitatief beoordelen van veiligheid, zoals VNK (Veiligheid Nederland in Kaart, het kwantificeren van overstromingsrisico’s), ProBO (risicogestuurd beheer en onderhoud: een nieuwe strategie bij RWS) en RWSQRA (het kwantificeren van tunnelveiligheid).
In zijn lezing licht Sipke van Manen de nieuwe methode voor het kwantificeren van de betrouwbaarheid van software (TOPAAS) toe.
De problemen rondom het aantonen van het voldoende betrouwbaar functioneren van de software van de Maeslantkering waren onder andere aanleiding om de betrouwbaarheid van sofware op een zo volledig mogelijke en kwantitatieve manier in kaart te willen brengen. Hoewel hiervoor eerder het TDT-model beschikbaar was, bleek deze methode niet volledig genoeg. Hierdoor ontstond de vraag voor de ontwikkeling van een nieuwe methode.
Bij de ontwikkeling van de nieuwe methode TOPAAS zijn veel bekende organisaties en experts op het gebied van software en betrouwbaarheid betrokken. Gezamenlijk hebben deze een lijst van criteria opgesteld waaraan de nieuwe methode moest voldoen om ten opzichte van de voorgaande methode te verbeteren.
Onder andere moest de nieuwe methode alle belangrijke parameters die van invloed zijn op de betrouwbaarheid van software omvatten en zou de methode ook vrij (zonder belemmerende eigendomsrechten) toegepast kunnen worden.
Het resultaat van een daaropvolgende gezamenlijke ontwikkeling was TOPAAS wat staat voor Task Oriented Probability of Abnormalities Analysis for Software. De essentie van TOPAAS is dat de methode een schatting maakt van de faalkans van één module, op basis van vastgelegde, gekalibreerde expertmening.
De faalkans van een module wordt in kaart gebracht aan de hand van 15 aspecten van de software, waarbij elk aspect de faalkans kan reduceren dan wel vergroten. Dit betreffen aspecten onder andere met betrekking tot het totstandkomingsproces, het product/de producteigenschappen, de executie/gebruiksomgeving e.d.
Ter validatie worden de uitkomsten van TOPAAS langs een expertinschatting gelegd. Hoewel de methode hiermee inzicht geeft in de betrouwbaarheid van de software, zijn er ook nog wat verbetermogelijkheden onderkend. Een van deze verbetermogelijkheden is een objectieve statistische validatie van de methode.
Op basis van de eerste ervaringen met de methode is een dan ook al een tweede versie uitgebracht. In de nabije toekomst zal daarnaast een handleiding voor de methode worden geschreven zodat de methode breed verspreid en toegepast kan worden. Ook is onderzoek naar een objectieve statistische onderbouwing in de nabije toekomst gewenst.
Risico’s voor procesautomatisering
Door prof. Ronald Paans
Ronald Paans is hoofd van de IT-audit opleiding aan de Vrije Universiteit en directeur van Noordbeek, een kantoor voor IT-audit en IT-consultancy. Hij is afgestudeerd bij de faculteit Elektrotechniek in Delft en, eveneens in Delft, gepromoveerd op beveiliging van computers. Hij heeft 10 jaar bij IBM gewerkt aan internationale standaardisatie van beveiliging en 12 jaar als partner bij een van de Big-4 accountantskantoren. Hij is voorzitter van de Raad van Toezicht voor de Stichting OpenTicketing, die de nieuwe OV-chipkaart ontwikkelt voor Trans Link Systems, en stuurt een aantal onderzoeken aan bij de overheid, sociale zekerheid, politie, IT dienstverleners etc.
In zijn lezing gaat professor Paans aan de hand van voorbeelden in op de risico’s bij procesautomatisering.
Het eerste voorbeeld is de OV-chipkaart. Voorafgaand aan de invoering van de OV-chipkaart voorspelden alle experts dat de kaart voldoende lang betrouwbaar zou zijn voor de beoogde toepassing, nl. het efficiënt betalen voor openbaar vervoerskosten. Er was veel aandacht voor encryptie, beveiliging, monitoring en risico’s. Ook werd de chip van het type Mifare Classic al jaren naar tevredenheid gebruikt in Boston en Londen. Toch werd de kaart in Nederland al vrij snel gekraakt en ontstond er veel ophef in de media.
De voornaamste oorzaken van de problemen in Nederland waren de zichtbaarheid van de kaart en het feit dat de kaart door politici werd gepresenteerd als technisch volkomen zichtbaar. Deze zaken maakten de OV-chipkaart voor hackers een interessant doelwit. De eerst hackers schaafden de chip af om de structuur bloot te leggen. Een onderzoeksgroep van een Nederlandse universiteit hackte de kaart vervolgens door data-verkeer te analyseren en zo de code te ontcijferen. Later verschenen zelfs programma’s op internet waarmee mensen hun kaart gratis konden opladen.
De oplossing voor de problemen is gezocht in het uitbreiden van de detectieve en repressieve maatregelen. De opsporing van fraudeurs gebeurt door analyses van het dataverkeer in het Trans Link System, het centrale clearinghouse van de OV-chipkaart. In dit systeem, dat dient om de deelnemende vervoersbedrijven te betalen voor geleverde diensten, worden allerlei reizigersgegevens bijgehouden die kunnen verraden of er wordt gefraudeerd of niet.
Een tweede voorbeeld van prof. Paans over de risico’s bij procesautomatisering betreft Stuxnet, een zeer professioneel opgezet virus dat zich richtte op de kerncentrale in Bushehr en de nucleaire faciliteiten in Natanz, Iran. Door centrifuges afwisselend sneller en langzamer te laten lopen, vergrootte het de slijtage. Het virus richtte grote schade op aan centrifuges en vertraagde zo het Iraanse nucleaire programma. Stuxnet is een voorbeeld van de risico’s die gepaard gaan als PLC’s (programmable logic controlers) die vroeger stand-alone draaiden, worden gekoppeld aan een local area network (LAN). De PLC’s kunnen dan in het bereik van hackers komen die grote schade kunnen aanrichten.
Belangrijke lessen voor de procesautomatisering zijn dan ook: houdt de actuele dreigingen (virussen en hackers) in de gaten en let op elektronische dreigingen vanuit omringende computers en netwerken.
De presentaties van de lezingenavond zijn inmiddels gepubliceerd op de website (archief). Ook is het rapport aangaande de theorie van Topaas in het archief geplaatst. Log in en klik vervolgens hier om de bestanden te bekijken.