Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hoogleraren: gebrek aan onderzoeksgeld leidt tot vertrek cybersecurity-academici

Nederlandse academici die zich specialiseren in cybersecurity dreigen massaal te vertrekken naar buurlanden als Duitsland, omdat Nederland niet of nauwelijks investeert in academisch onderzoek naar digitale beveiliging. Duitsland besteedt daar tientallen miljoenen euro's aan, zeggen zij.

Zo is informaticus Wil van der Aalst dit jaar begonnen in de Duitse stad Aken met een startinvestering van vijf miljoen euro voor onderzoek, zeggen drie hoogleraren in een open brief. Andere hoogleraren krijgen eveneens lucratieve aanbiedingen voor onderzoek in het buitenland. De brief is geschreven door Herbert Bos, Michel van Eeten en Bart Jacobs, drie bekende hoogleraren op het gebied van digitale beveiliging.

Dat bedreigt de digitale beveiliging van Nederland, aldus de hoogleraren. "In het algemeen geldt: de eigen beveiliging moet je vooral zelf doen. Natuurlijk zijn coalities belangrijk, maar juist op het gebied van beveiliging is soevereiniteit en autonome belangenafweging, gebaseerd op kennis van zaken, van groot belang", aldus de academici. "Moderne gedigitaliseerde samenlevingen zijn kwetsbaar door hun grootschalige gebruik van ICT, voor de meest essentiële processen, waaronder communicatie, vervoer, aansturing en bestuur, zoals de afgelopen jaren herhaaldelijk gebleken is. Het is daarom van strategisch belang dat Nederland een eigen kennispositie heeft en behoudt op het hoogste niveau, en zelf in staat is, en ook de capaciteit heeft, om nieuwe generaties van cybersecurityexperts op te leiden."

De brief is een reactie op de kabinetsplannen van het nieuwe kabinet-Rutte III. In het regeerakkoord staat dat er tientallen miljoenen euro's beschikbaar komen voor digitale beveiliging, maar die gaan alleen maar naar bijvoorbeeld inlichtingen- en opsporingsdiensten. Voor onderzoek aan universiteiten komt geen extra geld beschikbaar.

De academici komen met diverse oplossingen. De eerste is een structurele investering om universiteiten meer vast personeel voor onderzoek te kunnen laten aannemen. De tweede moet zorgen voor een pool van experts die circuleren tussen overheid, bedrijfsleven en universiteiten. Een andere oplossing zou het organiseren van competities zijn om onderzoek op dit gebied te bevorderen.

Door

Redacteur mobile

104 Linkedin Google+

Reacties (104)

Wijzig sortering
Qua incidenten (en zelfs rampen) zijn overheden veelal reactief i.p.v. pro-actief. Als het nog niet is misgegaan, waarom zou men er dan geld voor vrijmaken? Er is immers geen draagvlak voor. Snowden, naaktfoto's van celebrities, wannacry, Petya - allemaal van onvoldoende betekenis om IT veiligheid op een waardige manier te agenderen. Criminelen opsporen is iets anders dan je eigen achterdeur beveiligen, dat eerste is wat we terugzien met de plannen van het kabinet. Dat laatste doet Duitsland.

Zo lang er geen Nederlandse slachtoffers in Nederland zijn waarvan aantoonbaar is dat zij door een IT-veiligheidsprobleem zijn omgekomen gebeurd er weinig. We hebben straks een raadgevend referendum over opsporingsbevoegdheid en wat doet het kabinet? De referendumwet opdoeken. Tuut tuut, ik haak af. Me excusŤ voor de zure toon 8)7

[Reactie gewijzigd door Kuusje op 25 oktober 2017 20:29]

De verdeling van onderzoeksgeld wordt in Nederland voornamelijk niet direct door de overheid gedaan, maar door de universiteiten zelf en het NWO. De inhoudelijke keuzes daarin worden volgens mij voornamelijk door academici bepaald, terwijl de hoogte van het budget door het ministerie besloten wordt. Blijkbaar voelen deze professoren zich niet gehoord binnen de academische wereld en proberen ze nu het kabinet aan te sporen specifiek hen meer geld te geven. Na de incidenten met 'krijg een beurs als je de meeste Facebook-likes weet te krijgen voor je voorstel' lijkt me dit soort iniatieven vooral niet aan te moedigen. Ik vind ook dat het totale budget erg laag is, maar verder overtuig je maar gewoon je collega's dat jouw voorstellen belangrijker zijn dan andere die op tafel liggen, zoals we dat normaal doen.
Na de incidenten met 'krijg een beurs als je de meeste Facebook-likes weet te krijgen voor je voorstel' lijkt me dit soort iniatieven vooral niet aan te moedigen.
Misschien begrijp ik je verkeerd, maar het feit dat NWO onderzoeksgeld uitdeelt op basis van facebook-likes lijkt mij nou juist een hele goede reden om bij de overheid m'n beklag te doen over de manier waarop NWO het onderzoeksgeld verdeelt....
Dat is juist onder druk van de politiek gedaan, in het kader van ‘financier wat het volk wil’.
Als je dan toch een groep wilt aanwijzen die niet geschikt is om te bepalen welk wetenschappelijk onderzoek er gedaan moet worden, dan is het wel "het volk". Als we onderzoeksgeld gaan toewijzen op basis van populariteit dan maken bijvoorbeeld "stoffige" wiskunde of fundamenteel natuurkundig onderzoek geen schijn van kans meer.
@rbr320
Volgens mij is 'het volk' slimmer dan jij denkt. Snappen best dat je moet investeren voor je opbrengsten hebt, begrijpen dat je decennia aan onderzoeksresultaten niet kunt platslaan in 5 minuten leuke analogiŽn opdissen op ted.

Het probleem zit imo zeker niet in domheid an sich maar in politici die concreet proberen de wetenschap kapot te maken door eenieder met een positieve kijk op de wereld belachelijk te maken ('haha, geldverspilling van stomme nerds': de usa heeft zichzelf daarmee bijv de kans op een eigen cern door de neus geboord)

Het zijn ironisch genoeg vaak juist de slecht-geschoolden die het hele idee van 'hogere wetenschap' op handen dragen, terwijl hooggeschoolden overmatig kritisch zijn
(Zie je bijv in het feit dat hooggeschoolden meer gebruik maken van 'onbewezen dingetjes' /Arjan Lubach)
Nou ja, "hoog" geschoolden in zwetsologische richtingen zullen vaker vallen voor de sprookjes van de anti-vaccinatie lobby of zo. Ik denk dat dat soort onzin onder rmensen met een echte opleiding veel minder aanhang heeft.
Dat zou ik nog niet zo snel zeggen. Dat zijn namelijk wel richtingen waarvan veel mensen denken dat het "echte" wetenschap is. Natuurkunde heeft dan nog het bijkomende voordeel dat ze ingewikkelde lab-opstellingen bouwen - het is zichtbaar waar het geld aan wordt uitgegeven.

Computerveiligheid zit op zich ook in die hoek - genoeg mensen die geloven dat het complex is, en dat je dus professoren erover moet laten nadenken. Sociologen hebben het dan weer lastiger (ook niet bepaald geholpen door het nivo daarvan hier in Nederland, maar goed, vicieuze cirkel)
Heb je daar een bron van want dat lijkt mij uitermate slecht om op basis van likes onderzoeksgelden te verdelen.
Hmm een experiment voor een halve ton. Dat valt mij mee ik zie dit meer als een soort marketing truc van de geldverstrekker.
Klopt vrij weinig van je argumenten.

Als wetenschappers zouden mogen besluiten wat er onderzocht wordt, dan was er geen discussie over hetkweken van embryo's, wat toch echt verboden is door het nieuwe kabinet, ondanks beslissing van vorig jaar die dit juist wel toelaat.

NWO beslist samen met regering, tweede kamer en hele zwik andere partijen over onderzoeksagenda's. Politiek speelt daarbij absoluut een grote rol. Daarnaast zijn er nog andere geldstromen, die ook allemaal een politiek aspect hebben (vb de geldstroom van rijk naar universiteiten is ook echt wel geoormerkt).

Het is dus niet meer dan logisch dat juist ook via de politiek de nut, noodzaak en urgentie van een strategische kennis positie op "cyber" gebied wordt bepleit.
Op de pagina van de Vereniging van Samenwerkende Nederlandse Universiteten (VSNU) vind je wat informatie over hoeveel geld de universiteiten binnen krijgen en uit welke bron.

De eerste geldstroom, geld dat direct naar de universiteiten gaat, is het grootste budget. Grotendeels beslissen universiteiten zelf hoe ze dat geld over de faculteiten verdelen.

De tweede geldstroom (NWO en andere NL overheidsfinanciering op projectbasis) is ongeveer 7 keer zo klein. Projectgeld krijg je voornamelijk doordat je een voorstel schrijft, dat wordt door andere academici gereviewed, gescoord en gerangschikt, en vervolgens krijgen de beste voorstellen geld. Welke soort voorstellen met elkaar concurreren hangt van het specifieke programma af. In ieder geval in het gros van de calls concurreert security als subgebied van informatica met allerlei andere gebieden. Deze profs vragen dus om security daaruit te tillen en specifiek daarin te gaan investeren. Ze mogen dat doen, ik neem aan dat elk vakgebied continu lobbied om direct geld te krijgen, maar het is geen nieuws en steeds meer geld verschuiven vanuit competitie naar geoormerkt per vakgebied vanuit het ministerie is zeker niet aan te moedigen.

Wetenschappers hebben zich natuurlijk gewoon aan de wet te houden, en in tegenstelling tot bedrijven ook aan ethische codes. Zo kunnen bedrijven experimenten op dieren uitvoeren die aan de universiteiten niet gedaan worden omdat we dat ethisch onverantwoord vinden. Embryo's kweken is per wet verboden in Nederland, dat heeft dus helemaal niets met de verdeling van het geld te maken.
"Welke soort voorstellen met elkaar concurreren hangt van het specifieke programma af"

Exact, mede door politieke discussie tussen allerlei organisaties (MKB Nederland en VNO-NCW) ingegeven.

En zoals je zelf aangeeft is via andere wetten een kader te scheppen over onderzoek, zoals naar embryo's of dierproeven. Net wat deze mensen aankaarten. IT security is echt van stratrgisch landsbelang en een eigen kennis positie is essentieel voor de veiligheid van NL. Bij water management hebben we zelfs ooit waterschappen als aparte overheid opgericht omdat dit van extreem belang is voor NL.
Nee de lijnen voor wat met wat concurreert staan gewoon vast. Ik weet daar de details niet van want ik ben al 8 jaar weg uit Nederland. Voor Veni-Vidi-Vici is dat dacht ik (voor security) wiskunde en informatica. Voor Rubicon nog breder, voor projecten zal het smaller zijn (maar calls voor vrije projecten gebeuren niet meer?).

Het meeste onderzoek is buitengewoon belangrijk. Wij hebben ook democratie nodig, inzichten in onze maatschappij, juristen, medicijnen, energie, landbouw, vervoer, etc etc etc. Het klinkt soms voor mensen van buiten als iets dat niet kan, maar er is ongelooflijk veel excellent en belangrijk onderzoek in Nederland. Mede daarom zijn dit soort focusdiscussies levensgevaarlijk, voor hetzelfde geld gaat er daardoor veel onderzoek wat al excellent is verdwijnen, omdat het teveel moeite is om al dat onderzoek te rapporteren aan de Tweede Kamer.
Er zijn bepaalde dingen die verboden of zwaar gereguleerd zijn, zoals proeven op dieren, mensen en embryo's. En sommige soorten gevaarlijk onderzoek zullen ook niet zomaar mogen ("studenten, als volgend project gaan we proberen een kernbom / een kruising van een aidsvirus en een griepvirus / een nieuw soort gifgas te maken dit semester"). Maar verder mag volgens mij vrijwel alles.
't Is een vrij menselijke kijk op de zaak hoor. Het moet altijd eerst fout gaan voordat er dingen gaan veranderen, hoe triest het ook klinkt.
Daar hadden ze al een paar eeuwen geleden een spreekwoord voor, iets met kalf en put...... ;)
De hoogleraren hebben zeker een punt, maar het pleidooi voor veel vaste universitaire krachten is wel wat doorzichtig. Niets let ze om dit in EU verband te gaan organiseren. In andere disciplines lukt dat prima.
Kun jij een lijstje geven van infosec resultaten van al die figuren bij elkaar?

Voor zover ik weet heeft er geen van die mensen zerodays gevonden en onder hun eigen naam gepubliceerd.

Vraag zie je dat hoogleraren als co-auteur/onderzoeker maar dat is nepotisme.

Als er een onderwerp is waar je weinig voor nodig hebt is het infosec wel.
Over het algemeen zijn hoogleraren niet degenen die zero day exploits vinden in softwarepakketten - dat zijn de cybersecurity-experts in de bedrijfswereld. Als hoogleraar ben je meer bezig met meer fundamentele aspecten van cybersecurity, en zeker bijvoorbeeld cryptografie is daarbij een zeer competitief onderzoeksveld. Voor een publicatie is het niet ongewoon om meer dan vijftig recente papers te behandelen en daarbij natuurlijk zelf nieuwe resultaten toe te voegen, tel daarbij op dat het een vrij populair veld is en je ziet al snel hoe erg de competitie is. Ter vergelijking: in mijn veld, automated verification / wiskundige grondslagen en structuren van de informatica wordt er in een gemiddelde publicatie niet meer dan twintig recente andere papers behandeld.
Ik heb een achtergrond in o.a. biometrie.

Beste algrotimes (die commercieel massaal worden toegepast) zul je geen papers over vinden.

Uiteindelijk is publiceren een keuze.

Wat mij opvalt is dat veel geplubliceerde juist theoretisch onderzoek is die soms niet of nauwelijks toepasbaar is.

En dat scriptie beoordelers soms totaal niet kritisch of competent zijn om er over te oordelen.

Ben eej dropout overigens ooit eens voor veel geld gekozen.
imo heeft wannacry al tot genoeg miljoenen aan schade heeft geleid dat het het waard is om meer in security te investeren maar boeit het vrij weinig mensen in den haag.
Qua incidenten (en zelfs rampen) zijn overheden veelal reactief i.p.v. pro-actief. Als het nog niet is misgegaan, waarom zou men er dan geld voor vrijmaken?
Dat komt mede doordat ze beleid ook moeten verkopen aan de kiezer, en als die kiezer niet snapt wat preventie oplevert of dat het geld kost lukt dat niet. Daarmee is natuurlijk niet gezegd dat politici dat zelf wel allemaal perfect doen ;) want die snappen dat zelf ook niet altijd helemaal.
Zo lang er geen Nederlandse slachtoffers in Nederland zijn waarvan aantoonbaar is dat zij door een IT-veiligheidsprobleem zijn omgekomen gebeurd er weinig. We hebben straks een raadgevend referendum over opsporingsbevoegdheid en wat doet het kabinet?
Er gebeurt dus wel degelijk wat (opsporingsbevoegdheid), alleen komt de bevolking daartegen in het geweer. Dit is dus een perfecte illustratie van het probleem, ongeacht wat je van die sleepnetwet of het referendum vindt.

[Reactie gewijzigd door Iknik op 26 oktober 2017 09:56]

Het gaat om een algemeen misbeleid rond high-tech. De (nieuwe) overheid doet te weinig om Nederland meer op de kaart te zetten als high-tech land en te weinig investeren in academisch onderzoek naar cybersecurity is daar maar een hele beperkte oorzaak van. Laten we voorop stellen dat onderzoek naar cybersecurity vereist dat er studenten zijn die een opleiding in die richting doen en daar zijn in Nederland gewoon te weinig banen voor. Daarnaast is het lastig om vervolgens mensen met die expertise en kennis te binden aan een universiteit om academisch onderzoek te doen voor een uitermate matig salaris vergeleken met wat ze betaald krijgen in de commerciŽle wereld waar de vraag hoog is. Dit geld over de hele linie in de informatica/computer science tak.

Wat veel belangrijker is en in het artikel wel genoemd word maar niet genoeg word geÔdentificeerd is het feit dat alles in het buitenland zit. De grote tech bedrijven en beveiligingsbedrijven vestigen zich niet of maar heel beperkt in Nederland. Vaak wel een klein regionaal kantoor maar de Europese campussen staan in Dublin, London en Luxemburg en de daar zijn dus ook de banen. Over het algemeen leiden we hier in Nederland veel technische studenten op maar een steeds groter deel verterkt naar het buitenland en gaat daar aan het werk. Ik zie ook Rutte III niet genoeg beleid voeren om daar iets aan te doen. Academisch onderzoek naar een bepaald onderwerp is natuurlijk veel relevanter voor een economie als er vervolgens lokale bedrijven zijn die iets kunnen met dat onderzoek zodat we niet alleen belastinggeld weggooien.
Nederland is inderdaad vrij reactief. Dat krijg je als je geen visie hebt. Rutte gelooft namelijk niet in visie. Tja. Dit is daar volgens mij onder andere een gevolg van.
Das niet waar... Hij heeft wel degelijk een visie namelijk hoe zijn stoel er straks uitziet in brussel.
Dat klinkt eerder als een wens dan als een visie ;)
Aan de andere kant zijn visionairs vaak ook gevaarlijk: Hitler en Stalin waren ook visionairs die een duidelijk idee hadden waar de samenleving heen moet. Osama Bin Laden was ook een visionair. vaak geldt, hoe sterker de visie, hoe minder scrupules men heeft om die te verwezenlijken.
De mensen die je aanhaalt vermoorden juist de visionairs, dat heeft niets met een visie te maken.
Dus omdat je visionairs vermoordt, kun je zelf geen visie hebben? Rare causaliteit m.i.
Visionairs zijn Hitler, iets met Godwin en iets met (rare) causaliteit.
Je reageert op een reactie van een rare causaliteit, dat is dan per definitie een rare causaliteit.

Anyway, zoek eens op de verschillen tussen missie en visie, dat plaats mijn reactie in een perspectief van waaruit je de 'rare causaliteit' kunt isoleren. Toegeven, hij is best lastig, net als overigens het verschil tussen visie en missie, vinden veel mensen ook heel lastig, zo ze het al begrijpen.
"De mensen die je aanhaalt vermoorden juist de visionairs, dat heeft niets met een visie te maken.". Na Djengish Kahn is de grootste moordenaar uit de geschiedenis Mao. Een man die absoluut een visionair was, en tussen de miljoenen die hij heeft laten vermoorden zullen ook echt wel een paar visionairs zitten. Je stelt dat visionairs vermoorden niet visionair is. Volgens mij is dit eerder een mening dan een feit.

Anyway, zoek eens op de verschillen tussen mening en feit, dat plaats mijn reactie in een perspectief van waaruit je de 'rare causaliteit' kunt isoleren. ToeGEgeven, hij is best lastig, net als overigens het verschil tussen mening en feit, vinden veel mensen ook heel lastig, zo ze het al begrijpen.

Hier staat trouwens 2 x hetzelfde, misschien moet ik toch minder onzin kopieren.
Ben het helemaal eens met wat je zegt. Een doel en een visie zijn heel andere dingen. Los van of je nou links of rechts bent: het land verdient een regering met een visie, en niet een regering die reactief heen en weer zwalkt.

Geen idee waarom jouw reactie als -1 ongewenst/flame-bait wordt neergezet want volgens mij is dit gewoon een valide discussie op een punt dat nauw verwant is met het onderwerp van dit artikel.
Jij snapt het, als je geen visie hebt, geen daaruit voortvloeiende doelen natreeft, hoe weet je dan welk onderzoek er van belang is om je visie om te zetten in realiteit.
Van der Aalst werkt niet in security, hij werkt in data analyse (zijn onderwerp en geesteskind is process mining, om maar specifiek te zijn). Het is ongetwijfeld een verlies voor Eindhoven maar wel een slecht voorbeeld in deze context.

Er zijn heel veel dingen waar andere landen andere keuzes in maken. Een land als Nederland kan niet overal de beste in zijn. Daarnaast verkassen onderzoekers heel vaak, ook bijvoorbeeld vanuit het buitenland naar Nederland, omdat Nederland zulke goede universiteiten heeft (niet vanwege de totale grootte van het onderzoeksbudget idd). Hoe is dit precies nieuws?
Hij is wel een goed voorbeeld van een uitstekende informaticus (h index van 135, 6e wereldwijd*, op het gebied van informatica) die naar het buitenland gaat. Als je als Nederland een kenniseconomie wil zijn zul je daarin moeten investeren.

* http://web.cs.ucla.edu/~palsberg/h-number.html

[Reactie gewijzigd door Jb! op 25 oktober 2017 20:05]

Zoals je wellicht uit mijn reactie kon opmaken ben ik daadwerkelijk bekend met zijn werk (en ik ken hem ook). Daarnaast zijn citatie-maten en citatie-netwerken een van mijn hobby-interesses als onderzoeker. Ik kan je garanderen dat het aantal keer dat je geciteerd wordt primair afhangt van hoeveel mensen er op hetzelfde onderwerp werken. De meest briljante anecdote die ik ken over de irrelevantie van citaties is dat Lamarck (die ten tijde van Darwin claimde dat wij ook eigenschappen die wij verkrijgen tijdens ons leven kunnen overerven, wat nu bekend staat als epigenetica) in de 100 jaar na zijn publicatie hierover slechts 3 maal geciteerd is. Hij had het fout, dacht men. Nu kent iedere biologiestudent zijn naam. Credits naar Christos Papadimitriou voor de anecdote.

Wil van der Aalst is zeker een buitengewoon iemand, hij heeft bijna eigenhandig een subgebied van de informatica gecreeerd. Hij wordt hier echter naar voren gehaald om te claimen dat er te weinig geld beschikbaar is voor onderzoek in security. Dat is misplaatst en daar gaat mijn reactie over.
Het is anekdote.

Verder goed onderbouwde reactie.

Wat mij opvalt dat geen enkele Nederlandse hoogleraar een internationaal intressante zeroday/poc of aanvalsvector heeft gepubliceerd.

En als we dat van hoogleraren accepteren is wat bij hun gaat afstuderen ook niet bijzonder.

Een goed voorbeeld is Tanenbaum zie waar zijn pupillen wereldwijd terecht is gekomen.

Verder is infosec een onderzoeksgebied waar je het minst voor nodig hebt. Behalve tijd vrijwel niets...
Wat mij opvalt dat geen enkele Nederlandse hoogleraar een internationaal intressante zeroday/poc of aanvalsvector heeft gepubliceerd.
Maar zo zijn er wel succesvolle Nederlandse hoogleraren die gestopt zijn met hoogleraar zijn in Nederland en in het buitenland hoge functies bekleden. Om de CTO van Amazon maar te noemen bijvoorbeeld. Zolang Nederland geen carriŤre perspectief bied voor succesvolle informatici blijven die mensen naar het buitenland verhuizen om daar aan de slag te gaan. Hier blijven als onderzoeker is jezelf aardig te kort doen.
Niet elke (echte) security onderzoeker met een rits aan exploits op hun naam vertrekken.

Het zijn juist de cissp en ander theoretisch geschoolden die voor buitenland kiezen.

Ook zijn er mensen die naar aanleiding van hun proefschrift een baan aangeboden krijgen die in verlengde van hun intresse gebied zal liggen. Die houd je toch niet in Nederland en als samenleven moet je kiezen of we iemand willen subsideren die uit eindelijk zijn onderzoeksveld toch niet in Nederland kan toepassen/uitvoeren.

Deze brain drain kunnen we administratief ondervangen zonder dat het iets kost.
Bedankt, interessante posts. Ik kende je voorbeeld niet dus ben het artikel dat je linkte gaan lezen. Je zegt:
Hij had het fout, dacht men. Nu kent iedere biologiestudent zijn naam.
Volgens Wikipedia artikel:
Gebaseerd op het voorgaande, formuleerde Lamarck twee wetten:

1. Bij elk dier dat zijn ontwikkelingsgrens niet overschrijdt, leidt een frequenter en standvastig gebruik van een orgaan geleidelijk aan tot een sterker, beter ontwikkeld en vergroot orgaan. Het niet-gebruiken van een orgaan leidt tot een verzwakt en minder ontwikkeld orgaan, tot het uiteindelijk verdwijnt.

2. De kenmerken verworven door individuen onder invloed van het leefmilieu waar zijn ras gedurende lange tijd verbleef (dus door het al of niet gebruiken van organen), worden bij de voortplanting doorgegeven aan het nageslacht.

[...]

De eerste wet klopt meestal wel, maar de tweede wet klopt bijna nooit; verworven eigenschappen worden niťt overgedragen aan het nageslacht. Recent onderzoek binnen de epigenetica toont echter aan dat bepaalde verworven eigenschappen wel tijdelijk enkele generaties kunnen overgedragen worden.
Is dit tegenstrijdig met wat jij zegt? Is het vreemd geformuleerd? Of is dit gedeelte feitelijk inaccuraat?
Je DNA verandert niet (of deels wel, vandaar kanker of andere ziektes, maar hopelijk niet van de eicellen of het zaad), maar zoals er staat blijkt uit epigenetisch onderzoek is gebleken dat de functies van genen wel degelijk schakelaars hebben die aan of uit kunnen gaan en die eigenschappen kun je overdragen. Het exacte proces hoe dat werkt ben ik niet mee bekend, maar volgens mij is dat wel al doorgrond.
> Als je als Nederland een kenniseconomie wil zijn zul je daarin moeten investeren.

1) Dat kan je over elk onderwerp zeggen, van microelektronica tot psychologie.

2) De zgn H-index is makkelijk kunstmatig te verhogen door je eigen afstudeerders je werk te laten citeren. Een groot vakgebied (iets in de natuurkunde) heeft daardoor veelal een veel hogere H-index dan kleinere vakgebieden.
Betreffende punt 2).
Ik ben ooit, jaren geleden, naar een seminar van meneer Aalst geweest waar ie toch wel in 1 uur tijd 10x gezegd had dat hij de meest geciteerde hoogleraar is in de process mining. Kijkende naar z'n staat van dienst is het inderdaad een totale zelfbevlekking kwa citaties. Alle afstudeerders en promovendi citeren vrijwel alleen maar elkaars werk waar hij natuurlijk altijd als co-auteur op staat.
Inhoudelijk was het allemaal maar erg magertjes. En nu kijkende waar ze nu staan is het niet veel opgeschoten met 2007.
Ik kan me daar, als onderzoeker in het gerelateerde gebied van data mining, niet in vinden. Om zo'n staat van dienst te ontwikkelen heb je buitengewoon veel talent nodig op meerdere vlakken: vakinhoudelijk, mensen bij elkaar brengen, dingen organiseren, etc. Die zelf-citaties komen primair doordat hij al lang de drijvende kracht achter het subgebied is. Ik heb zelf ook een hekel aan dat branding-gedoe waar hij wellicht aan mee doet, maar zonder dat zou hij even zeer opvallen. Ik denk niet dat hij een Turing-award hiervoor gaat krijgen, waarmee de bewering dat hij in de top-10 meest impactvolle infomatici wereldwijd behoort natuurlijk wel ontkracht wordt, maar dat maakt nog niet dat zijn onderzoek alleen maar goed is voor de prullenbak zoals jij hier lijkt te suggereren.
Even off topic.

Is het citeren van anderen om je eigen werk te onderbouwen geen vorm van inteelt ?

Zou het niet wenselijker zijn dat wij als samenleving alleen investeren in studies die zelfstandig objectief te bewijzen zijn en een functie voor mensheid heeft.

Wat mij opvalt dat b.v. op infosec gebied Nederlandse hoogleraren gemiddeld ouder zijn dan 50 jaar en nooit zelf een exploit hebben gemaakt voor een fout die ze zelf hebben gevonden. Terwijl velen hen wel serieus nemen.... en citeren.
Isaac Newton zei al "If I have seen further, it is by standing on the shoulders of giants.". Wetenschap is geen verzameling van losse brokjes informatie, het is een netwerk van samenhangende informatie.

En om diezelfde reden is het populistiche nonsens om alleen te investeren in studies die zelfstandig een functie voor de mensheid hebben. Als een studie los staat van de bestaande wetenschap heeft deze zelden tot nooit waarde. Eigenlijk heb je alleen in de wiskunde daar uitzonderingen op, en dat is dan nog omdat het daar vaker voorkomt dat je nieuwe resultaten ziet die vorotbouwen op oude, breed bekende kennis (waar citeren dan overbodig is - iedereen kent Pythagoras)
Je hebt een punt.

Zou zeker een proefschrift willen zien die geloof in wiskunde net zo aannemelijk zou maken als het geloven in een god.

Zonder daarbij axiomia's als uitgangspunt te nemen.

Wat dat aangaat vind ik het raar hoe mensen reageren als ze weten dat iemand wiskundige achtergrond heeft.
???

"Zonder axioma's als uitgangspunt te nemen"?!

Dat is de letterlijke betekenis van het woord axioma. 8)7
Niet helemaal letterlijk.

Maar je kunt het zonder ook bewijzen en dan begrijpen meer mensen dat uitkomst van een berekening is aanname is die door onze gezamelijk geaccepteerde perspectief een waarheid kan zijn. (Terwijl het net zo goed je reinst onzin kan zijn)
En met die instelling vertrekken ze allemaal (weer) naar het buitenland, echt jammer, want het talent is er wel, maar het wordt niet benut. Letterlijk uit de brief:
Wat zullen Schwabe, Giuffrida en Picek doen met een offer they cannot refuse, zoals een
hoogleraarschap aan een topinstituut met een groot eigen start-budget? Dit pijnlijke verschil in
financiering beÔnvloedt het klimaat in alle Nederlandse academische topgroepen in cybersecurity.
Je argument slaat als een tang op een varken. Je reageert niet inhoudelijk op mijn kritiek op je argumenten.
Je argumenten kloppen wel, maar kun je daaruit concluderen dat Nederland niet moet investeren in IT experts? Ik denk dat je toch met me eens bent dat IT nu, en in de toekomst, een belangrijke rol zal (blijven) spelen (dat is punt 1).

Ten tweede zegt de H-index op zichzelf niet zo veel, maar gecombineerd met andere resultaten (bijvoorbeeld de von Humboldt prijs) kun je toch niet stellen dat hij geen 'uitstekende informaticus' is? Duitsland geeft hem niet voor niets een researchgroep met een startbudget van 5 miljoen. (punt 2)
> Je argumenten kloppen wel, maar kun je daaruit concluderen dat Nederland niet moet investeren in IT experts?

Ik hoef niet aan te tonen dat er geÔnvesteerd moet worden in IT experts. Dat is de taak van de experts die in dit artikel geciteerd worden (en jouw standpunt). Ik ben het met je eens dat IT een belangrijk onderwerp is in de moderne samenleving, maar zo zijn er heel veel onderwerpen die allemaal belangrijk zijn. Mijn punt is juist dat het roepen dat "experts naar het buitenland vluchten" geen goed argument is om de investeringen te verhogen in welke sector dan ook. Dat de beste onderzoekers naar het buitenland vertrekken zal zich in elke sector namelijk afspelen als de investeringen achterblijven.

Dan op het tweede punt: De man kan een goede informaticus zijn en ik hoop van harte dat ze in Nederland blijven. Ik denk ook dat het goed is voor Nederland als ze dat doen. Dat gezegd hebbende, Nederland kan niet in alles vooruitstrevend zijn en blijven, waardoor we keuzes moeten maken waar we in investeren. Ik zeg niet dat academisch IT onderzoek geen geld zou moeten krijgen maar ik zeg ook niet dat we de dreigende taal die de hoogleraren hier aanslaan direct moeten geloven door veel geld in hun voorstellen te pompen. Laat ze nou met een overtuigend argument komen waarom Nederland nou dť plek is voor cryptografisch onderzoek of waarom Nederland dit vakgebied niet kan missen.

Tot slot nog ťťn voorbeeld waar de IT onderzoekers hopelijk inspiratie uit kunnen putten. Het komt nota bene uit het .pdf'je dat wordt gelinkt in het artikel van de hoogleraren:
Het cybersecurity veld is er juist bij gebaat dat de neuzen
verschillende kanten op staan, zodat tegendraadse denkers de ruimte krijgen en kunnen wijzen op
gevaren en aanvalsmogelijkheden waar anderen niet aan denken.
Ik maak me grote zorgen om de ICT veiligheidsontwikkeling van Nederland.
Als ik onze meneer Rutte zijn Sleepwet hoor verdedigen bij RTL Late Night, schaam ik me diep als Nederlander.
Wat een kansloze & inhoudsloze sessie was dat zeg.

Ons Nederland, wat alles over heeft voor innovatieve automatisering, loopt achter op het beveiligen van deze technieken. Schandalig.

Ja dat een bedrijf hier op bespaard, is helaas te begrijpen.
Maar juist de rol van de overheid om hier in voorop te lopen en dit te begeleiden is essentieel ...
Misschien voortaan ook wat minder buitenlandse post-docs aannemen? Die hebben uiteraard een kleinere binding met NL dus zullen ook eerder vertrekken (>50% van Herbert Bos` team...). Zonde om daarin te investeren met het belastinggeld van Jan de loodgieter..
Misschien voortaan ook wat minder buitenlandse post-docs aannemen? Die hebben uiteraard een kleinere binding met NL dus zullen ook eerder vertrekken (>50% van Herbert Bos` team...). Zonde om daarin te investeren met het belastinggeld van Jan de loodgieter..
Ook Jan de loodgieter heeft behoefte aan het uitzoeken dat stemmachines onveilig zijn, dat de beveiliging van de OV chipkaart een wassen neus is en dat zijn ABN-AMRO E.Dentifier onveilig is (overigens allemaal onderzoeksresultaten van de Digital Security onderzoeksgroep van Bart Jacobs). Zo worden Jan zijn democratische rechten beschermd en wordt er niet gefraudeerd met zijn OV budget of met zijn bankrekening. Nog een voorbeeld is het Privacy & Identity Lab dat ook een onderdeel is van de Digital Security groep, waar veel onderzoek wordt gedaan naar privacy-beschermende technieken. Ook werkt Joan Daemen voor de Digital Security groep. Misschien geen bekende naam, maar hij is (mede)bedenker van cryptografische primitieven zoals AES en SHA-3. Eerstgenoemde wordt door praktisch elke computer gebruikt voor alledaagse encryptie en laatstgenoemde zal iedereen willen hebben al blijkt SHA-2 onveilig te zijn. De inmiddels uitgefaseerde populaire hash algoritmes leefden immers elk slechts 20 jaar (MD5, SHA-1). Maar Daemen is niet de enige die zich verdiept in cryptografie. Zijn collega's doen bijvoorbeeld ook onderzoek naar elliptic-curve cryptography en quantum cryptography. En dat is slechts een kleine greep uit de onderzoeken waar een enkele groep bij een enkele universiteit zich mee bezig houdt.

Post-docs krijgen echt niet zoveel geld als dat je denkt. Je betaalt voornamelijk voor het onderzoek. Hoewel het niet altijd komt tot een gewenst resultaat, is het nog steeds vele malen goedkoper als onderzoek door de commerciŽle sector. Ook steunt het Nederland als kenniseconomie.

In Nederland zijn er ook veel PhD's die na hun promotie naar het buitenland vertrekken om daar als post-doc aan de slag te gaan. Het is een uitwisseling, en internationale samenwerking kan je beter aanmoedigen in plaats van ontmoedigen. De wereld is te klein om in hokjes op te delen, en academici weten dit als geen ander.

Maar goed, maak je maar druk over het niet investeren van de stuivers in de academische wereld voor het verbeteren van beveiliging. Let vooral niet op de overheid, die het geld met vrachtwagens uitgeeft aan doelen waarvan niet aangetoond of geŽvalueerd wordt dat ze het gewenste resultaat behalen. Je krijgt er misschien wel een fijn gevoel van veiligheid voor terug en dat is voldoende. Of niet?

[Reactie gewijzigd door The Zep Man op 25 oktober 2017 22:21]

Heb jij een bron waar hij met bovenstaande te koop loopt?
Electronic Voting in the Netherlands: From Early Adoption to Early Abolishment (pdf)
DS heeft de gevonden kwetsbaarheid in de Nedap machines verder uitgelicht en in een breder perspectief gezet.

Proof of concept, cloning the OV-chip card (pdf)
Analysis of the MIFARE Classic used in the OV-chipkaart project (pdf)
A Practical Attack on the MIFARE Classic (pdf)

Designed to Fail: A USB-Connected Reader for Online Banking (pdf)

Om maar even met een lijstje te komen van slechts enkele minuten zoekwerk.

[Reactie gewijzigd door The Zep Man op 26 oktober 2017 07:32]

Kennelijk zit jij niet in de infosec.

Maar de beste man noch zijn team is niet betrokken bij het vinden van enige probleem. Achteraf paper schrijven kan iedereen dat mensen vervolgens denken dat ze vinder van aanvalsvector vind ik wel erg kwalijk. Kennelijk zullen er meer mensen en journalisten zijn mening belangrijk vinden.

Bij deze bron naar de mensen die wel als eerste publiekelijk iets aankaarten:

http://wijvertrouwenstemcomputersniet.nl/Nedap


Ovchip/mifare

reviews: Interview: Karsten Nohl, meesterhacker


Met betrekking tot USB is aanvalsvector niet nieuw, vorige eeuw al dialogen over gehad.

Dat het specifiek implimentatie van 1 bedrijf betreft is natuurlijk nietszeggends. Zie inhoudelijke discussie hierover bij de reacties bij dit onderwerp.

Maar goed als dit volgens jou veren zijn waarmee hij te koop mag lopen dan is het toch duidelijk dat geld erbij juist onwenselijk is.

Geen van de onderwerpen zijn dankzij belastinggeld punt van onderzoek geworden. En waarom zou de samenleving moeten opdraaien voor de kosten van hoe bedrijf token gebruikt?

Waarom zijn er in je voorbeelden geen enkele maatschappelijk probleem?

Remote zeroday voor windows/linux en mac. Met daarbij een framework hoe je die efficient kunt vinden.. dat maakt wel indruk en als.je dan als eerste er over gaat publiceren heb je tenminste iets waar je trots.op kunt zijn en ziet maatschappij dat je niet achter feiten aan zit te lopen of totaal geen inzicht toont in behoeften van samenleving of wereldwijde impact van aanvalsfactoren.
Misschien voortaan ook wat minder buitenlandse post-docs aannemen?
Dat is niet hoe academisch onderzoek werkt. Het is juist heel gebruikelijk om elke paar jaar ergens anders heen te gaan, dat geldt zowel voor mensen met een Nederlandse als een niet-Nederlandse achtergrond (hoe denk je dat die buitenlandse postdocs hier terecht komen?). Het continu heen en weer schuiven van mensen (en daarmee het schuiven van specialisaties, ervaring en inzichten) zodat steeds nieuwe groepen samenwerken is van cruciaal belang om steeds nieuwe kennis te ontwikkelen.
Met wederzijdse kennisuitwisseling is niks mis. Gebeurt nu volgens mij nog te weinig tussen engels-sprekend en spaans/Russisch/Chinees/frans-talig.

Maar dat moet niet een excuus worden voor een braindrain. Zeker niet als het betekent dat mensen worden opgeleid in een land waar onderwijs wordt gesubsidieerd (hoge loonbelastingen) en daarna gaan werken een land met megahoge lonen (zonder stufi).
Maar dat moet niet een excuus worden voor een braindrain.
Zolang je gemiddeld genomen ťťn nieuwe (buitenlandse) werknemer binnen krijgt voor elke (Nederlandse) werknemer die vertrekt is er niks aan de hand.
Zeker niet als het betekent dat mensen worden opgeleid in een land waar onderwijs wordt gesubsidieerd (hoge loonbelastingen) en daarna gaan werken een land met megahoge lonen (zonder stufi).
Ik heb niet het gevoel dat hoogte van salaris de belangrijkste overweging is; Nederlanders gaan werken bij universiteiten over de hele wereld en mensen van over de hele wereld komen aan onze universiteiten werken. Zolang het aantal "door ons" gesubsidieerde studenten dat in de academische wereld blijft ruwweg gelijk is aan het aantal academici dat aan onze universiteiten werkt (ik heb geen idee of dat ook inderdaad het geval is) is er niks om je zorgen over te maken.
Het zou trouwens helemaal niet verkeerd zijn als het niet helemaal in balans is; hier mensen opleiden die vervolgens in opkomende economieŽn gaan werken zou best wel eens een effectievere manier van ontwikkelingshulp kunnen zijn dan simpelweg een cheque sturen.
Tsja met van die bedrijven zoals cap Gemini e.a die de overheid en gemeenten (lees onze belasting centen) bij elke kans die ze hebben een poot uitdraaien kan ik me voorstellen dat uitgaven in ICT onderzoek niet echt bovenaan de lijst staat...

Misschien dat de sector voor die armlastige 250/uur zelf ook iets kan investeren in onderzoek ? Zoals heul veel andere beroepsgroepen..
Misschien dat de sector voor die armlastige 250/uur zelf ook iets kan investeren in onderzoek ? Zoals heul veel andere beroepsgroepen..
Dat gebeurt al natuurlijk. De TU/e staat bijvoorbeeld op de 5e plek als het gaat om 'industry income', in de Times Higher Education ranking. Veel beter dan dat wordt het niet ;).

https://www.timeshighered...ort_order/asc/cols/scores
Hoewel het zonde lijkt dat academici weggaan, vind ik dat niet zo erg. De universiteiten hebben genoeg mensen die deze posities kunnen vullen met nog niet ontdekte talenten. Er is namelijk genoeg te doen in de informatica en er zijn genoeg talentvolle mensen. Verder gaan alle onderzoekers toch naar dezelfde conferenties en brengen hun onderzoek publiekelijk uit. Wil van der Aalst laat in TU Eindhoven een team van mensen achter die met hem aan het onderzoeken waren.
Ik word eigenlijk een beetje moe van geklaag uit zo'n beetje alle mogelijke sectoren dat er te weinig geld en te weinig mensen zijn. Van beide is geen oneindige voorraad dus moeten er keuzes worden gemaakt. Meer geld voor cybersecurity academici betekent minder geld voor andere academici die ook hard nodig zijn. Word eens wat creatiever zou ik zeggen. Bedrijven die niet omkomen in het geld zijn vaak creatiever dan bedrijven waar het geld niet op kan. Dat moet elders toch ook kunnen?
Academici doen onderzoek, ze doen geen implementaties binnen bedrijven. Hoewel onder de noemer van innovatie er soms wel degelijk dagelijks werk uitgevoerd wordt door universitair-medewerkers, zou je dat zelfs als staatssteun aan een bedrijf kunnen bestempelen, wat illegaal is onder Europese en internationale wetgeving.

Als de tools er al zijn maar die worden niet of verkeerd gebruikt dan hoeft er naar de technieken geen onderzoek meer plaats te vinden. Wellicht heb je dan sociaal wetenschappers nodig om uit te vogelen waarom de relevante mensen in organisaties hun verantwoordelijkheden niet nemen of opvolgen.

De oproep in dit artikel gaat erover om budget te krijgen om nieuwe beveiligingstechnieken te ontwikkelen. Wellicht maakt dat beveiliging in de toekomst makkelijker, efficienter, of voorkomt het aanvallen die nog niet eens zijn uitgevonden. Aanvallers werken in ieder geval wel steeds weer aan nieuwe technieken, dus ik denk ik dan alle noodzakelijke beveligingstechnieken al zijn uitgevonden.
'iets met heel veel macht'
uh, je weet dat Einstein niks te maken had met de atoombom?
Niets te maken met de atombom, behalve het voorstel ondertekend, Inderdaad, hij heeft er niet aan gewerkt.
Sorry ik snap niet waar je over klaagt. Natuurlijk bouwen wij ook tools die ook direct bruikbaar zijn, maar dan wel voor iedereen, in principe niet voor een specifiek bedrijf.
Het is niet de taak van academici om met de systeembeheerders structureel netwerken te beveiligen. Het is hun taak om nieuwe manieren te verzinnen om ze te beveiligen die beter bestand zijn tegen toekomstige situaties zoals quantumcomputers. Het is de taak van de systeembeheerders om het netwerk van een organisatie te beveiligen met deze nieuwe en beproefde "snufjes". Heeft echt niks met zich superieur voelen te maken als ik je verhaal zo lees.
DefaultError is aangenomen om het magazijn van de supermarkt op orde te houden. Nu is er een kasverschil bij de kassa's en zegt hij dat zijn taak niet is. Wat een arrogante houding van DefaultError. Hij zit blijkbaar zo hoog in de boom in het magazijn dat hij niet aangesproken kan worden op kasverschillen terwijl daar een probleem is.
Een goede leidinggevende
Ik denk dat hier het misverstand vandaan komt: academici zijn helemaal geen leidinggevenden. Er zijn wel een boel leidinggevenden met een academische opleiding, maar de mensen waar dit artikel over gaat werken aan universiteiten waar het hun taak is om onderzoek te doen.

De vergelijking van Planck is helemaal zo slecht nog niet: van deze hoogleraren verwachten dat ze bij een bedrijf op bezoek komen om hun netwerk te beveiligen is net zo krom als van een magazijnmedewerker verwachten dat ie bij de kassa's komt helpen.
De hoogleraren willen gewoon meer geld voor hun onderzoeken. De economie draait weer dus trekken ze aan de bel. Ik stel dat ze meer zouden kunnen gaan samenwerken om dit beter voor elkaar te krijgen. Net als in de politiek, die wordt niet goed begrepen vanwege het geneuzel op de millimeter. Daar kunnen ook wat meer volksvertegenwoordigers tussen kunnen zitten die wat meer "feeling" hebben met de mens.

IdeeŽn van onderaf, wie zit daar op te wachten?
Wat een vreselijk kortzichtige reactie. Je laat een architect toch ook niet metselen? Je laat een chirurg toch ook geen verbandje aanleggen op de spoedeisende hulp? Door ze te laten focussen op onderzoek en anderen op implementatie benut je ieders talent optimaal.

Het zou toch zonde zijn als de Rotterdamse haven plat zou komen te liggen doordat onze onderzoekers het niet aan zagen komen doordat ze bezig waren de systeembeheerder te helpen met het uitvoeren van een door een buitenlandse onderzoeker geschreven beveiligingsmethode 8)7 8)7
Des te meer reden om meer te besteden aan onderzoek zodat lekken in de toekomst bekend zijn voor er misbruik van kan worden gemaakt ;)
Inderdaad, meer geld voor de academici dat is precies wat ze willen. De vraag is of dat de lading dekt. Het gaat goed met de economie en ze durven weer om geld te vragen.
uitstekend timing van de hoogleraren, er is geld en het heeft politieke aandacht.
Bart Jacobs?! Dat is toevallig, ik krijg security van hem (op het Radboud) :D

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*