SlideShare ist ein Scribd-Unternehmen logo
MEDINA - towards continuous (automated)
certification of cloud services in Europe
Dr. Jesus Luna Garcia
Robert Bosch GmbH / Technical Manager H2020 MEDINA
This project has received funding from the European
Union’s Horizon 2020 research and innovation
programme under grant agreement No 952633
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
Agenda
MEDINA – Continuous Certification for Cloud Security
 Background
 H2020 MEDINA In a Nutshell
 What comes next?
 Q&A
2
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
EU Cybersecurity Certification Scheme for Cloud Services
Background
 The EU Cybersecurity Act (EUCSA, April-2019), proposes the creation of cybersecurity certification
schemes which include the notions of:
− Levels of assurance (Basic, Substantial, High)
− Continuous cybersecurity compliance (Art. 54(j))
 Three EUCSA-derived certification schemes are under preparation by ENISA:
− EUCC – Cybersecurity Certification Scheme for Common Criteria
− EUCS - Cybersecurity Certification Scheme for Cloud Services
− EU5G - Cybersecurity Certification Scheme for 5G
3
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
EUCS and the Automation of Compliance Monitoring
Background
 EUCS proposes “continuous monitoring” with automation (only for CS-High, i.e. < 8% requirements):
4
Source:
https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
EUCS and the Automation of Compliance Monitoring
Background
 Example: OPS-05 Protection Against Malware - Implementation
5
Source: https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
In a Nutshell
H2020 MEDINA
 Goal: provide a security framework for achieving continuous audit-based certification in EUCS,
through automation and trustworthy evidence-management methods.
6
 MEDINA focuses on the EUCS
requirements where some degree of
automated monitoring is needed.
 MEDINA can be extended to other EUCS
requirements and certification schemes
(e.g., BSI C5:2020).
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
Who is who?
H2020 MEDINA
 1st November 2020 – 30th October 2023
 EU Budget 4,480,308.75€
7
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
Approach
H2020 MEDINA
Topic Approach (Keywords)
Automation of compliance
assessments
• Assessment based on machine-readable EUCS metrics
• CSP-neutral / -native technical evidence collectors
• NLP for assessing security policies (e.g., PDF)
Trustworthy evidence
management
• Blockchain-based evidence vault
• RBAC authorization model
Certificate management • Risk-based automation of certificate life-cycle
• Backtracking/visualization of non-compliances
• SSI enabled (selective disclosure of attributes)
• Connection to ENISA Certification Website (wip)
Standardization • EUCS: CEN CENELEC EUCS1
• Metrics: ISO/IEC 27004, NIST SP 800-55rev2
• Automation: NIST OSCAL, ETSI CYBER
8
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
H2020 MEDINA
Framework
Auditors
CSPs
CAB,
NCCA
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
H2020 MEDINA
ToC Initialization
14.03.2023
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
H2020 MEDINA
Ev. Collection
14.03.2023
Technical evidence
collectors (e.g.,
configuration)
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
H2020 MEDINA
Ev. Collection
14.03.2023
NLP evidence
collectors (e.g.,
documents)
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
H2020 MEDINA
Cert. Management
CSPs
CAB, NCCA
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
What comes next?
H2020 MEDINA
 MEDINA aims to facilitate adoption of EUCS,
specifically for automated monitoring, while paving the
road for continuous certification.
− Most of the proposed framework has been developed
and integrated (link)
 (Lots of) ongoing discussions to finalize EUCS1 at
CEN CENELEC
 H2020 MEDINA is finishing Oct-2023, but then
Horizon Europe COBALT is starting 
− Automated compliance monitoring of AI-enabled services
in alignment to AI Act
− Focus on cybersecurity aspects of AI (not trustworthiness
as a whole!)
14
Intern | Robert Bosch GmbH | 15-03-2023
© Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen.
H2020 MEDINA
Do you want to know more?
15
• Further details are available in
our public reporting
(deliverables) at
https://medina-
project.eu/public-deliverables
• Communication materials are
available at https://medina-
project.eu/communication-
materials
• Framework demonstrator
https://www.youtube.com/watc
h?v=fRFE61GZ3ZY
Thanks!
jesus.lunagarcia@de.bosch.com
16
This project has received funding from the European
Union’s Horizon 2020 research and innovation
programme under grant agreement No 952633

Weitere ähnliche Inhalte

Ähnlich wie MEDINA - towards continuous (automated) certification of cloud services in Europe

CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 UmsetzungCWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC - Christian Wild Management Consultants
 
CWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT ArchitekturenCWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC - Christian Wild Management Consultants
 
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
NETWAYS
 
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
NETWAYS
 
Predictive Maintenance
Predictive MaintenancePredictive Maintenance
Predictive Maintenance
argvis GmbH
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
AWS Germany
 
BBB Kongress, BIM für das Bauprojektmanagement | 2013-09-09
BBB Kongress, BIM für das Bauprojektmanagement | 2013-09-09BBB Kongress, BIM für das Bauprojektmanagement | 2013-09-09
BBB Kongress, BIM für das Bauprojektmanagement | 2013-09-09
HOCHTIEF ViCon
 
Bim manager-d06-modell- und objektinformationen, objektgeometrie
Bim manager-d06-modell- und objektinformationen, objektgeometrieBim manager-d06-modell- und objektinformationen, objektgeometrie
Bim manager-d06-modell- und objektinformationen, objektgeometrie
Werner Leyh
 
Problemlöser Cloud Technologie: Advanced IT im Unternehmenseinsatz
Problemlöser Cloud Technologie: Advanced IT im UnternehmenseinsatzProblemlöser Cloud Technologie: Advanced IT im Unternehmenseinsatz
Problemlöser Cloud Technologie: Advanced IT im Unternehmenseinsatz
cloudSME
 
Webinar – IoT-Connectivity mit SAP und Multicloud
Webinar – IoT-Connectivity mit SAP und MulticloudWebinar – IoT-Connectivity mit SAP und Multicloud
Webinar – IoT-Connectivity mit SAP und Multicloud
Trebing & Himstedt Prozeßautomation GmbH & Co. KG
 
Lessons Learnt bei der Beschaffung von Open Source Software
Lessons Learnt bei der Beschaffung von Open Source SoftwareLessons Learnt bei der Beschaffung von Open Source Software
Lessons Learnt bei der Beschaffung von Open Source Software
Matthias Stürmer
 
Ing. Friedrich Szukitsch EDV Dienstleistungen
Ing. Friedrich Szukitsch EDV DienstleistungenIng. Friedrich Szukitsch EDV Dienstleistungen
Ing. Friedrich Szukitsch EDV Dienstleistungen
Praxistage
 
VDC Newsletter 2010-04
VDC Newsletter 2010-04VDC Newsletter 2010-04
VDC Newsletter 2009-03
VDC Newsletter 2009-03VDC Newsletter 2009-03
VDC-Newsletter April 2021
VDC-Newsletter April 2021 VDC-Newsletter April 2021
VDC-Newsletter April 2021
Virtual Dimension Center (VDC) Fellbach
 
How to connect your OSGi application - Dirk Fauth (Bosch)
How to connect your OSGi application - Dirk Fauth (Bosch)How to connect your OSGi application - Dirk Fauth (Bosch)
How to connect your OSGi application - Dirk Fauth (Bosch)
mfrancis
 
VDC Newsletter 2008-07
VDC Newsletter 2008-07VDC Newsletter 2008-07
In 3 Schritten zur App: So geht Anwendungsentwicklung auf der SAP Business Te...
In 3 Schritten zur App: So geht Anwendungsentwicklung auf der SAP Business Te...In 3 Schritten zur App: So geht Anwendungsentwicklung auf der SAP Business Te...
In 3 Schritten zur App: So geht Anwendungsentwicklung auf der SAP Business Te...
IBsolution GmbH
 
VDC Newsletter 2009-07
VDC Newsletter 2009-07VDC Newsletter 2009-07
Industrie 4.0: Symposium an der RFH Köln
Industrie 4.0: Symposium an der RFH KölnIndustrie 4.0: Symposium an der RFH Köln
Industrie 4.0: Symposium an der RFH Köln
Brockhaus Consulting GmbH
 

Ähnlich wie MEDINA - towards continuous (automated) certification of cloud services in Europe (20)

CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 UmsetzungCWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
CWMC Insights 2020|11 - Technische Grundlagen zur Industrie 4.0 Umsetzung
 
CWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT ArchitekturenCWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT Architekturen
 
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
 
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
OSMC 2023 | IGNITE: Honeypot Flavors: Open-Source Honeypots and their Use in ...
 
Predictive Maintenance
Predictive MaintenancePredictive Maintenance
Predictive Maintenance
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
 
BBB Kongress, BIM für das Bauprojektmanagement | 2013-09-09
BBB Kongress, BIM für das Bauprojektmanagement | 2013-09-09BBB Kongress, BIM für das Bauprojektmanagement | 2013-09-09
BBB Kongress, BIM für das Bauprojektmanagement | 2013-09-09
 
Bim manager-d06-modell- und objektinformationen, objektgeometrie
Bim manager-d06-modell- und objektinformationen, objektgeometrieBim manager-d06-modell- und objektinformationen, objektgeometrie
Bim manager-d06-modell- und objektinformationen, objektgeometrie
 
Problemlöser Cloud Technologie: Advanced IT im Unternehmenseinsatz
Problemlöser Cloud Technologie: Advanced IT im UnternehmenseinsatzProblemlöser Cloud Technologie: Advanced IT im Unternehmenseinsatz
Problemlöser Cloud Technologie: Advanced IT im Unternehmenseinsatz
 
Webinar – IoT-Connectivity mit SAP und Multicloud
Webinar – IoT-Connectivity mit SAP und MulticloudWebinar – IoT-Connectivity mit SAP und Multicloud
Webinar – IoT-Connectivity mit SAP und Multicloud
 
Lessons Learnt bei der Beschaffung von Open Source Software
Lessons Learnt bei der Beschaffung von Open Source SoftwareLessons Learnt bei der Beschaffung von Open Source Software
Lessons Learnt bei der Beschaffung von Open Source Software
 
Ing. Friedrich Szukitsch EDV Dienstleistungen
Ing. Friedrich Szukitsch EDV DienstleistungenIng. Friedrich Szukitsch EDV Dienstleistungen
Ing. Friedrich Szukitsch EDV Dienstleistungen
 
VDC Newsletter 2010-04
VDC Newsletter 2010-04VDC Newsletter 2010-04
VDC Newsletter 2010-04
 
VDC Newsletter 2009-03
VDC Newsletter 2009-03VDC Newsletter 2009-03
VDC Newsletter 2009-03
 
VDC-Newsletter April 2021
VDC-Newsletter April 2021 VDC-Newsletter April 2021
VDC-Newsletter April 2021
 
How to connect your OSGi application - Dirk Fauth (Bosch)
How to connect your OSGi application - Dirk Fauth (Bosch)How to connect your OSGi application - Dirk Fauth (Bosch)
How to connect your OSGi application - Dirk Fauth (Bosch)
 
VDC Newsletter 2008-07
VDC Newsletter 2008-07VDC Newsletter 2008-07
VDC Newsletter 2008-07
 
In 3 Schritten zur App: So geht Anwendungsentwicklung auf der SAP Business Te...
In 3 Schritten zur App: So geht Anwendungsentwicklung auf der SAP Business Te...In 3 Schritten zur App: So geht Anwendungsentwicklung auf der SAP Business Te...
In 3 Schritten zur App: So geht Anwendungsentwicklung auf der SAP Business Te...
 
VDC Newsletter 2009-07
VDC Newsletter 2009-07VDC Newsletter 2009-07
VDC Newsletter 2009-07
 
Industrie 4.0: Symposium an der RFH Köln
Industrie 4.0: Symposium an der RFH KölnIndustrie 4.0: Symposium an der RFH Köln
Industrie 4.0: Symposium an der RFH Köln
 

Mehr von MEDINA

MEDINA brochure 2023
MEDINA brochure 2023MEDINA brochure 2023
MEDINA brochure 2023
MEDINA
 
Whitepaper MEDINA Continuous Life Cycle Management of Cloud Security Certific...
Whitepaper MEDINA Continuous Life Cycle Management of Cloud Security Certific...Whitepaper MEDINA Continuous Life Cycle Management of Cloud Security Certific...
Whitepaper MEDINA Continuous Life Cycle Management of Cloud Security Certific...
MEDINA
 
Whitepaper MEDINA Metric Recommender NLP
Whitepaper MEDINA Metric Recommender NLPWhitepaper MEDINA Metric Recommender NLP
Whitepaper MEDINA Metric Recommender NLP
MEDINA
 
Whitepaper MEDINA CNL
Whitepaper MEDINA CNLWhitepaper MEDINA CNL
Whitepaper MEDINA CNL
MEDINA
 
Whitepaper EUROSCAL MEDINA
Whitepaper EUROSCAL MEDINAWhitepaper EUROSCAL MEDINA
Whitepaper EUROSCAL MEDINA
MEDINA
 
MEDINA General Presentation
MEDINA General PresentationMEDINA General Presentation
MEDINA General Presentation
MEDINA
 
Towards Continuous Security Compliance in the Cloud Continuum -MEDINA Project...
Towards Continuous Security Compliance in the Cloud Continuum -MEDINA Project...Towards Continuous Security Compliance in the Cloud Continuum -MEDINA Project...
Towards Continuous Security Compliance in the Cloud Continuum -MEDINA Project...
MEDINA
 
Assessing the Trustworthiness of AI Systems
Assessing the Trustworthiness of AI SystemsAssessing the Trustworthiness of AI Systems
Assessing the Trustworthiness of AI Systems
MEDINA
 
Automation-based Certification for Cloud Services in Euro
Automation-based Certification for Cloud Services in EuroAutomation-based Certification for Cloud Services in Euro
Automation-based Certification for Cloud Services in Euro
MEDINA
 
TAS-S Seminar “From Continuous Monitoring to Continuous Cloud Cybersecurity C...
TAS-S Seminar “From Continuous Monitoring to Continuous Cloud Cybersecurity C...TAS-S Seminar “From Continuous Monitoring to Continuous Cloud Cybersecurity C...
TAS-S Seminar “From Continuous Monitoring to Continuous Cloud Cybersecurity C...
MEDINA
 
MEDINA: Standardization to enable continuous cloud cybersecurity certification
MEDINA: Standardization to enable continuous cloud cybersecurity certificationMEDINA: Standardization to enable continuous cloud cybersecurity certification
MEDINA: Standardization to enable continuous cloud cybersecurity certification
MEDINA
 
Paving the road towards continuous auditbased certification for cloud service...
Paving the road towards continuous auditbased certification for cloud service...Paving the road towards continuous auditbased certification for cloud service...
Paving the road towards continuous auditbased certification for cloud service...
MEDINA
 
MEDINA Brochure 2022.pdf
MEDINA Brochure 2022.pdfMEDINA Brochure 2022.pdf
MEDINA Brochure 2022.pdf
MEDINA
 
Whitepaper MEDINA Architecture
Whitepaper MEDINA ArchitectureWhitepaper MEDINA Architecture
Whitepaper MEDINA Architecture
MEDINA
 
MEDINA ESG (Expert Stakeholder Group) presentation
MEDINA ESG (Expert Stakeholder Group) presentationMEDINA ESG (Expert Stakeholder Group) presentation
MEDINA ESG (Expert Stakeholder Group) presentation
MEDINA
 
First Impressions on Experimenting with Automated Monitoring Requirements of ...
First Impressions on Experimenting with Automated Monitoring Requirements of ...First Impressions on Experimenting with Automated Monitoring Requirements of ...
First Impressions on Experimenting with Automated Monitoring Requirements of ...
MEDINA
 
MEDINA project brochure 2021
MEDINA project brochure 2021MEDINA project brochure 2021
MEDINA project brochure 2021
MEDINA
 
Medina general presentation
Medina general presentationMedina general presentation
Medina general presentation
MEDINA
 
Medina general presentation
Medina general presentationMedina general presentation
Medina general presentation
MEDINA
 
Medina general presentation
Medina general presentationMedina general presentation
Medina general presentation
MEDINA
 

Mehr von MEDINA (20)

MEDINA brochure 2023
MEDINA brochure 2023MEDINA brochure 2023
MEDINA brochure 2023
 
Whitepaper MEDINA Continuous Life Cycle Management of Cloud Security Certific...
Whitepaper MEDINA Continuous Life Cycle Management of Cloud Security Certific...Whitepaper MEDINA Continuous Life Cycle Management of Cloud Security Certific...
Whitepaper MEDINA Continuous Life Cycle Management of Cloud Security Certific...
 
Whitepaper MEDINA Metric Recommender NLP
Whitepaper MEDINA Metric Recommender NLPWhitepaper MEDINA Metric Recommender NLP
Whitepaper MEDINA Metric Recommender NLP
 
Whitepaper MEDINA CNL
Whitepaper MEDINA CNLWhitepaper MEDINA CNL
Whitepaper MEDINA CNL
 
Whitepaper EUROSCAL MEDINA
Whitepaper EUROSCAL MEDINAWhitepaper EUROSCAL MEDINA
Whitepaper EUROSCAL MEDINA
 
MEDINA General Presentation
MEDINA General PresentationMEDINA General Presentation
MEDINA General Presentation
 
Towards Continuous Security Compliance in the Cloud Continuum -MEDINA Project...
Towards Continuous Security Compliance in the Cloud Continuum -MEDINA Project...Towards Continuous Security Compliance in the Cloud Continuum -MEDINA Project...
Towards Continuous Security Compliance in the Cloud Continuum -MEDINA Project...
 
Assessing the Trustworthiness of AI Systems
Assessing the Trustworthiness of AI SystemsAssessing the Trustworthiness of AI Systems
Assessing the Trustworthiness of AI Systems
 
Automation-based Certification for Cloud Services in Euro
Automation-based Certification for Cloud Services in EuroAutomation-based Certification for Cloud Services in Euro
Automation-based Certification for Cloud Services in Euro
 
TAS-S Seminar “From Continuous Monitoring to Continuous Cloud Cybersecurity C...
TAS-S Seminar “From Continuous Monitoring to Continuous Cloud Cybersecurity C...TAS-S Seminar “From Continuous Monitoring to Continuous Cloud Cybersecurity C...
TAS-S Seminar “From Continuous Monitoring to Continuous Cloud Cybersecurity C...
 
MEDINA: Standardization to enable continuous cloud cybersecurity certification
MEDINA: Standardization to enable continuous cloud cybersecurity certificationMEDINA: Standardization to enable continuous cloud cybersecurity certification
MEDINA: Standardization to enable continuous cloud cybersecurity certification
 
Paving the road towards continuous auditbased certification for cloud service...
Paving the road towards continuous auditbased certification for cloud service...Paving the road towards continuous auditbased certification for cloud service...
Paving the road towards continuous auditbased certification for cloud service...
 
MEDINA Brochure 2022.pdf
MEDINA Brochure 2022.pdfMEDINA Brochure 2022.pdf
MEDINA Brochure 2022.pdf
 
Whitepaper MEDINA Architecture
Whitepaper MEDINA ArchitectureWhitepaper MEDINA Architecture
Whitepaper MEDINA Architecture
 
MEDINA ESG (Expert Stakeholder Group) presentation
MEDINA ESG (Expert Stakeholder Group) presentationMEDINA ESG (Expert Stakeholder Group) presentation
MEDINA ESG (Expert Stakeholder Group) presentation
 
First Impressions on Experimenting with Automated Monitoring Requirements of ...
First Impressions on Experimenting with Automated Monitoring Requirements of ...First Impressions on Experimenting with Automated Monitoring Requirements of ...
First Impressions on Experimenting with Automated Monitoring Requirements of ...
 
MEDINA project brochure 2021
MEDINA project brochure 2021MEDINA project brochure 2021
MEDINA project brochure 2021
 
Medina general presentation
Medina general presentationMedina general presentation
Medina general presentation
 
Medina general presentation
Medina general presentationMedina general presentation
Medina general presentation
 
Medina general presentation
Medina general presentationMedina general presentation
Medina general presentation
 

MEDINA - towards continuous (automated) certification of cloud services in Europe

  • 1. MEDINA - towards continuous (automated) certification of cloud services in Europe Dr. Jesus Luna Garcia Robert Bosch GmbH / Technical Manager H2020 MEDINA This project has received funding from the European Union’s Horizon 2020 research and innovation programme under grant agreement No 952633
  • 2. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. Agenda MEDINA – Continuous Certification for Cloud Security  Background  H2020 MEDINA In a Nutshell  What comes next?  Q&A 2
  • 3. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. EU Cybersecurity Certification Scheme for Cloud Services Background  The EU Cybersecurity Act (EUCSA, April-2019), proposes the creation of cybersecurity certification schemes which include the notions of: − Levels of assurance (Basic, Substantial, High) − Continuous cybersecurity compliance (Art. 54(j))  Three EUCSA-derived certification schemes are under preparation by ENISA: − EUCC – Cybersecurity Certification Scheme for Common Criteria − EUCS - Cybersecurity Certification Scheme for Cloud Services − EU5G - Cybersecurity Certification Scheme for 5G 3
  • 4. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. EUCS and the Automation of Compliance Monitoring Background  EUCS proposes “continuous monitoring” with automation (only for CS-High, i.e. < 8% requirements): 4 Source: https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme
  • 5. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. EUCS and the Automation of Compliance Monitoring Background  Example: OPS-05 Protection Against Malware - Implementation 5 Source: https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme
  • 6. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. In a Nutshell H2020 MEDINA  Goal: provide a security framework for achieving continuous audit-based certification in EUCS, through automation and trustworthy evidence-management methods. 6  MEDINA focuses on the EUCS requirements where some degree of automated monitoring is needed.  MEDINA can be extended to other EUCS requirements and certification schemes (e.g., BSI C5:2020).
  • 7. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. Who is who? H2020 MEDINA  1st November 2020 – 30th October 2023  EU Budget 4,480,308.75€ 7
  • 8. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. Approach H2020 MEDINA Topic Approach (Keywords) Automation of compliance assessments • Assessment based on machine-readable EUCS metrics • CSP-neutral / -native technical evidence collectors • NLP for assessing security policies (e.g., PDF) Trustworthy evidence management • Blockchain-based evidence vault • RBAC authorization model Certificate management • Risk-based automation of certificate life-cycle • Backtracking/visualization of non-compliances • SSI enabled (selective disclosure of attributes) • Connection to ENISA Certification Website (wip) Standardization • EUCS: CEN CENELEC EUCS1 • Metrics: ISO/IEC 27004, NIST SP 800-55rev2 • Automation: NIST OSCAL, ETSI CYBER 8
  • 9. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. H2020 MEDINA Framework Auditors CSPs CAB, NCCA
  • 10. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. H2020 MEDINA ToC Initialization 14.03.2023
  • 11. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. H2020 MEDINA Ev. Collection 14.03.2023 Technical evidence collectors (e.g., configuration)
  • 12. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. H2020 MEDINA Ev. Collection 14.03.2023 NLP evidence collectors (e.g., documents)
  • 13. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. H2020 MEDINA Cert. Management CSPs CAB, NCCA
  • 14. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. What comes next? H2020 MEDINA  MEDINA aims to facilitate adoption of EUCS, specifically for automated monitoring, while paving the road for continuous certification. − Most of the proposed framework has been developed and integrated (link)  (Lots of) ongoing discussions to finalize EUCS1 at CEN CENELEC  H2020 MEDINA is finishing Oct-2023, but then Horizon Europe COBALT is starting  − Automated compliance monitoring of AI-enabled services in alignment to AI Act − Focus on cybersecurity aspects of AI (not trustworthiness as a whole!) 14
  • 15. Intern | Robert Bosch GmbH | 15-03-2023 © Robert Bosch GmbH 2022. Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe sowie für den Fall von Schutzrechtsanmeldungen. H2020 MEDINA Do you want to know more? 15 • Further details are available in our public reporting (deliverables) at https://medina- project.eu/public-deliverables • Communication materials are available at https://medina- project.eu/communication- materials • Framework demonstrator https://www.youtube.com/watc h?v=fRFE61GZ3ZY
  • 16. Thanks! jesus.lunagarcia@de.bosch.com 16 This project has received funding from the European Union’s Horizon 2020 research and innovation programme under grant agreement No 952633