Ingewikkeld IT-landschap

Gemeentelijke informatievoorzieningen bevatten veel vertrouwelijke gegevens. Dat maakt ze erg interessant voor kwaadwillenden. Bovendien is een gemeentelijk IT-landschap complex met al die gescheiden domeinen en afdelingen met ieder hun eigen specifieke systemen en applicaties. Al die systemen, gemeentelijke-applicaties, registraties, koppelingen ertussen, netwerkapparatuur en werkplekken in een gemeente hebben ieder hun eigen eisen en uitdagingen als het gaat om informatieveiligheid. Ze genereren ook allemaal hun eigen logs met metadata over bijvoorbeeld het aantal inlogpogingen, opgevraagde informatie, gebruikte data, etc.”

Metadata uit je logbestanden

“Die metadata uit de logbestanden bevatten belangrijke informatie voor je beveiliging”, geeft Tristan aan. “Maar ze allemaal handmatig bekijken, is onbegonnen werk. Wil je aanvallen vroegtijdig opmerken? Dan is het belangrijk dat je de logfiles van verschillende logbestanden bij elkaar brengt, in samenhang analyseert en kijkt of je correlaties ziet die duiden op afwijkende patronen die potentieel gevaarlijk zijn.”

Informatiebeveiliging: de vier urgente dilemma’s voor gemeenten

Technologische ontwikkelingen blijven elkaar razendsnel opvolgen, met telkens de roep van burgers en medewerkers om er gebruik van te maken. Tegelijkertijd wordt de informatiebeveiliging steeds complexer, zowel het technische als het organisatorische deel, door het snelgroeiend aantal digitale toepassingen in de organisatie. Hoe breng je dit alles in balans? En welke dilemma’s, opgaven en keuzes kom je daarbij tegen?

Lees meer

Het belang van correlatie

Als voorbeeld noemt Tristan iemand die iedere dag inlogt vanuit Rotterdam en op een ochtend ineens vanuit Maastricht. “Dat is een afwijking, maar waarschijnlijk nog geen reden voor paniek. Als echter iemand vanuit Rotterdam probeert in te loggen net vijf minuten nadat iemand vanuit Kaapstad op dat account is ingelogd, vraagt dit om meer alertheid. Nog alerter moet je zijn als de ingelogde gebruiker vanuit Kaapstad allerlei gegevens opvraagt die dat account normaal gesproken nooit opvraagt, bijvoorbeeld uit de basisadministratie. Of als iemand in plaats van tien gegevensaanvragen per dag er ineens honderd doet. Het zijn dit soort correlaties waarbij je alarmbellen moeten afgaan.”

SIEM-oplossingen voor continue intelligente monitoring

“Gemeenten die informatieveiligheid serieus nemen en aanvallers zo snel mogelijk willen ontdekken, kunnen dan ook niet zonder intelligente monitoring van de logbestanden”, gaat Tristan verder. “Daarvoor bestaan SIEM-oplossingen (SIEM = Security Information & Event Management). In die voorzieningen worden de logbronnen van zoveel mogelijk applicaties, werkplekken, netwerkcomponenten en zo door verzameld en met behulp van Artificial Intelligence geanalyseerd. Daardoor komen ook correlaties aan het licht, die je met het blote oog niet zo snel opmerkt.”

Een kostenefficiënte oplossing

Als er bepaalde events plaatsvinden die duiden op een mogelijk risico, verschijnt er een vlaggetje in de SIEM-oplossing. Security specialisten kunnen dan gericht kijken wat er aan de hand is. Tristan: “Om het kostenefficiënt te maken, is het belangrijk dat een SIEM-oplossing ook een deel van de security incidenten automatisch voor je oplost. En als dat niet kan, niet alleen een vlaggetje zet maar je ook informatie geeft over de acties die je moet ondernemen. Zo houden de security experts meer tijd over voor de complexere, en vaak ook gevaarlijkere, incidenten”

Van papieren tijgers naar aantoonbaar genomen maatregelen

De Baseline Informatiebeveiliging Overheid (BIO) stelt intelligente monitoring om cyberaanvallen tijdig op te sporen als een vereiste. Tristan: “Een SIEM-oplossing helpt je bovendien van allerlei compliance-eisen en ISO-normeringen meer te maken dan papieren tijgers. Je kunt bijvoorbeeld wel als beleid hebben dat overal MFA (meervoudige authenticatie) aan moet staan, maar daarmee is dat nog geen praktijk. Met een SIEM-oplossing kun je aan de hand van je logbronnen relatief gemakkelijk laten zien voor welke applicaties je dit echt hebt geregeld.”

Een tijdrovende implementatie

Intelligente monitoring is dus belangrijk voor de informatieveiligheid van gemeenten. Maar bij de implementatie van een SIEM-oplossing lopen ze tegen een aantal problemen aan. Tristan: “De eerste is dat de implementatie van een SIEM-oplossing een tijdrovende en daarmee kostbare klus is. Alle logbestanden die je wilt gebruiken moeten via data-connectoren aangesloten worden. Daarnaast moet je voor je organisatie passende security use cases definiëren en implementeren. Dat zijn die events waarbij je wilt dat er een vlaggetje verschijnt.”

Nieuwe technologie implementeren? Doe eerst deze 3 veiligheidschecks!

Als je als gemeente nieuwe digitale middelen implementeert, hoort daar aandacht voor de digitale veiligheid bij. Dit is niet alleen een kwestie van de juiste beveiligingssoftware installeren. Het gaat er ook om dat je je organisatie en de mensen die er werken grondig voorbereidt op zowel de mogelijkheden als de risico’s van de nieuwe digitale technologie. Doe daarom een veiligheidscheck voor wetgeving, mensen, processen & systemen en de adoptie als je nieuwe technologie implementeert.

Lees meer

Gebrek aan security experts

Een groter probleem nog dan de kosten is dat er op de arbeidsmarkt niet voldoende security medewerkers te vinden zijn die over de juiste expertise beschikken om SIEM-oplossingen vakkundig te beheren en te onderhouden. Tristan: “De security experts met verstand van intelligente monitoring die er wel zijn, werken in de regel liever bij financiële instellingen of organisaties met meer dan 20.000 medewerkers. Bij gemeenten zie je dan ook dat de technische kant van informatieveiligheid vaak op het bordje van netwerkbeheerders of functioneel beheerders terecht komt. Maar door de diversiteit van het IT-landschap en aantrekkelijkheid van de databronnen voor hackers, vraagt veiligheid en intelligente monitoring bij gemeenten veel meer specifieke expertise.”

Kat-en-muisspel

“Dat tekort aan gekwalificeerd personeel is echt een groot probleem”, gaat Tristan verder. “Een implementatie van een SIEM-oplossing is op zich direct al nuttig. Het geeft inzicht in mogelijke bedreigingen op dit moment. Maar cybersecurity is een kat-en-muisspel. Op het moment dat we als ‘verdedigers’ een methode hebben om de ’aanvallers’ op te sporen en buiten de deur te houden, gaan de aanvallers op zoek naar nieuwe wegen om onzichtbaar te zijn. Daarom is het belangrijk dat je je systeem voor intelligente monitoring blijft bijwerken en aanpassen. De vraag is hoe je dat als gemeente regelt als het lastig is de mensen ervoor te vinden.”

Microsoft Sentinel

Microsoft Sentinel is een SIEM-oplossing die zelf volledig cloud-gebaseerd is, maar waarmee je ook on-premises systemen kunt monitoren. Het bevat data-connectoren voor veelgebruikte Microsoft-applicaties als bijvoorbeeld Office 365, en ook voor flink wat beveiligingsecosysteem van applicaties en netwerkcomponenten die niet van Microsoft zijn. NextFence voegt daar data-connectoren voor veelgebruikte gemeentelijke applicaties aan toe, zoals die van Centric. Net als security use cases waarmee gemeenten bedreigingen kunnen detecteren. Zo helpt NextFence gemeenten om intelligente monitoring op te pakken.

Korte implementatietijd en updates

Tristan: “We hebben een engine gebouwd waarmee we onze configuratie van MS Sentinel in één keer naar de Azure-omgeving van een gemeente kunnen doorzetten. Dit verkort de implementatietijd aanzienlijk. Het duurt geen maanden, maar slechts enkele dagen voordat je bruikbare output hebt. Bovendien zorgen we voor periodieke updates van de security use cases. En voor extra alerts als er belangrijke nieuwe bedreigingen worden gemeld, met aanwijzingen hoe je je tegen die bedreigingen kunt wapenen. Met zo’n ‘managed’ oplossing wordt het mogelijk om voor zowel de grotere, als de kleinere gemeenten in Nederland Microsoft Sentinel te implementeren, te beheren en te onderhouden. En dat zonder op de arbeidsmarkt om de geschikte expertise te hoeven vechten.”

Meld je aan voor de online Ronde Tafel op 15 juni

Tristan van Onselen is een van de sprekers tijdens de Ronde Tafel: ‘Informatiebeveiliging’ op woensdagochtend 15 juni. Samen met Johan Verschoor van de BAR-organisatie en Wim Hoekstra van Quarant. Johan vertelt aan de hand van de eigen praktijk over intelligente monitoring en het belang van correlatie daarin. Wim vertelt waarom mens, techniek en organisatie niet zonder elkaar kunnen als je je informatieveiligheid op orde wilt krijgen. En Tristan vertelt hoe je als gemeente snel kunt starten met Microsoft Sentinel.

Programma

• 09:15  Digitaal ontvangst
• 09:30 Welkom
• 09:35  Resultaten vooronderzoek
  Opvallende bevindingen en aandachtspunten. 
• 09:45 Praktijkcasus BAR-organisatie – Johan Verschoor en Ron Hup, BAR-organisatie
  Succesvol toepassen van intelligente security monitoring en het belang van correlatie.
• 10.05 Ruimte voor vraag & antwoord
• 10:15 De organisatie van informatiebeveiliging – Wim Hoekstra, Quarant
  De organisatie van informatiebeveiliging: mens, techniek en organisatie.
• 10.35 Ruimte voor vraag & antwoord
• 10.45 Breakout sessie 
  We gaan met elkaar in gesprek over specifieke onderwerpen m.b.t. monitoring.
• 11.15 Pauze
• 11.20 Snel starten en security verbeteren met Microsoft – Trisan van Onselen, NextFence
  Hoe verhoog ik systematisch de beveiliging van mijn IT-omgeving.
• 11.45 Conclusies & afronding
  We zetten de belangrijkste bevindingen op een rij waarmee jij direct aan de slag kunt gaan.

Voor wie is dit interessant?

I&A-managers en -teamleiders, projectleiders en programmamanagers Digitale Transformatie, CIO’s, Security Officers, CISO’s (met affiniteit voor techniek), TISO’s en hoofden bedrijfsvoering van gemeenten.