Van reactief naar proactief met GGI-Veilig

Marcel Schipper door Marcel Schipper

Als overheidsorganisatie heb je de verantwoordelijkheid over de gegevens van burgers en bedrijven. Zij vertrouwen erop dat deze data bij jou in goede handen zijn. Daar komt bij dat gemeenten het monopolie hebben op de diensten die zij leveren. Voor een bouwvergunning of een ID-kaart kun je immers niet online gaan winkelen. Er ligt dan ook een grote verantwoordelijkheid bij gemeenten om continuïteit van dienstverlening en de beveiliging van persoonsgegevens te garanderen. Nu de technologie complexer wordt en het aantal cyberaanvallen toeneemt, dreigen gemeenten met hun bestaande beveiligingsmaatregelen vast te lopen. De oplossingen van GGI-Veilig in combinatie met het slim uitbesteden van security bieden uitkomst.

Proactief securitybeleid

De praktijk leert dat overheden als het gaat om security reactief zijn. Zij komen vaak pas in actie op het moment dat een kwetsbaarheid in de infrastructuur wordt gevonden en misbruikt of wanneer een datalek plaatsvindt. Dit moet je zien om te buigen naar een proactieve houding, zodat je als gemeente sneller incidenten kunt oplossen of zelfs kunt voorkomen. Met deze proactieve benadering verkort je de:

  • Time to detect;
  • Time to investigate;
  • Time to repair.

Waar je als gemeentelijke organisatie naar toe wil, is een technologische infrastructuur die proactief securitybeleid mogelijk maakt. Dit dient in alle lagen van de infrastructuur te worden doorgevoerd. De drie percelen van GGI-Veilig bieden hiervoor de mogelijkheden. Perceel 1 voorziet in Security Information en Event Management (SIEM) en een Security Operations Center (SOC). Vandaag de dag maken alleen de grotere gemeenten gebruik van dit type diensten maar het ligt in de lijn der verwachtingen dat veel meer gemeenten SIEM/SOC gaan inzetten. Vanuit de BIO (Baseline Informatiebeveiliging Overheid) ligt er immers een verplichting voor gemeenten tot actieve netwerkmonitoring, wat je met SIEM/SOC-dienstverlening kunt invullen. Maar belangrijker is dat je hiermee de basis legt voor een proactief securitybeleid. Onder andere het verkeer over de netwerken wordt voortdurend gemonitord, zodat je afwijkend gedrag snel kunt detecteren en delen van het netwerk kunt afsluiten om het gevaar in te dammen. Aanvallen met gijzelsoftware kunnen worden voorkomen. Pogingen van aan andere staten gelieerde actoren om data te ontvreemden en processen te verstoren – zoals gebeurde bij de WannaCry uitbraak in 2017 – kunnen worden afgewend.

Onderzoeksrapport security

Daadkrachtig ingrijpen

SIEM/SOC-dienstverlening levert zo grote volumen data op; je kunt exact bijhouden welke bewegingen op de netwerken plaatsvinden. Van al deze duizenden events kun je vervolgens bepalen wat er niet klopt. Vervolgens kun je maatregelen nemen, zoals het dichtzetten van een poort of het blokkeren van een IP-nummer. Om daadkrachtig te kunnen ingrijpen, bij voorkeur in hoge mate geautomatiseerd, zul je moeten toezien op een zeer nauwe afstemming met de producten in perceel 2 van GGI-Veilig. Het gaat hierbij om twaalf producten en diensten, van Firewall en DDI Services tot End-point Protection en IDS/IPS Services. Deze diensten heb je nodig om datgene wat je monitort en analyseert in de SIEM/SOC-omgeving in de juiste context te kunnen plaatsen. Daar komt bij dat bijvoorbeeld Firewall Services gekoppeld dienen te worden aan de SIEM/SOC-diensten.

Kennis en capaciteit

Perceel 1 en 2 moeten dus nauw met elkaar geïntegreerd worden en dat helpt het enorm wanneer de partij die de twaalf gedefinieerde oplossingen levert ook goed thuis is in de materie van SIEM/SOC. Telindus, zelf actief in Perceel 2, biedt ook SIEM/SOC-diensten en is dus heel goed in staat verbanden te leggen. Het resultaat is een efficiënte security-infrastructuur, die gemeenten in staat stelt al het netwerkverkeer te monitoren en direct op verschillende aspecten van het securitybeleid in te grijpen. Merkt het SOC iets op bij bepaalde groepen mobiele gebruikers, dan kan het mobile device management aangepast worden. Deze efficiency is exact wat gemeenten nodig hebben, gezien het feit dat zij niet over de kennis en capaciteit beschikken om zelf de juiste maatregelen te treffen.

Perceeloverstijgend

Het is dan ook een uitkomst voor gemeenten om de geschetste securitydiensten als een managed service af te nemen. Zelf een SIEM/SOC inrichten met 24/7 beschikbaarheid en ondersteuning is voor een gemeente onbegonnen werk. En ook het beheren van – een deel van – de diensten uit perceel 2 is voor veel gemeenten een stap te ver. Men heeft de handen al vol aan het functioneel beheer van bedrijfsapplicaties. De inrichting en het beheer van de geschetste voorzieningen vergen specifieke expertise en belasten de beheerorganisatie. Om deze belasting te verminderen en de kwaliteit te verhogen, kunnen gemeenten overwegen om de inrichting en het beheer van deze voorzieningen af te nemen als dienst.

Gemeenten die hun digitale weerbaarheid willen versterken doen er goed aan stappen te zetten om proactiever te worden. GGI-Veilig biedt daarvoor talloze aanknopingspunten, waarbij zij zich moeten realiseren hoe belangrijk is het samen te werken met een partij die zelf ook proactief is en in staat is mee te denken, ook of juist wanneer dit ‘perceeloverstijgend’ is.