Informatiebeveiliging: De uitdagingen voor gemeenten bij het tijdig opsporen van cyberaanvallen

Het is een open deur dat je als gemeente je informatiebeveiliging op orde moet hebben. Maar daarmee is het nog niet zomaar geregeld. Want door alleen wat veiligheidssoftware te installeren en medewerkers op het hart te drukken niet op ‘rare linkjes’ te klikken, ben je er niet. Hackers zijn continu op zoek naar nieuwe wegen om hun slag te slaan. Om cyberaanvallen tijdig op te sporen is intelligente monitoring van je IT-landschap dan ook noodzakelijk. We vroegen Tristan van Onselen, managing partner en cloudsecurity expert bij NextFence, met welke specifieke uitdagingen gemeenten daarbij te maken hebben.

Datum
3 mei 2022
Auteur
Wim Hoekstra
Diensten
I&A organisatie op orde
Leestijd
8 min

Ingewikkeld IT-landschap

Gemeentelijke informatievoorzieningen bevatten veel vertrouwelijke gegevens. Dat maakt ze erg interessant voor kwaadwillenden. Bovendien is een gemeentelijk IT-landschap complex met al die gescheiden domeinen en afdelingen met ieder hun eigen specifieke systemen en applicaties. Al die systemen, gemeentelijke-applicaties, registraties, koppelingen ertussen, netwerkapparatuur en werkplekken in een gemeente hebben ieder hun eigen eisen en uitdagingen als het gaat om informatieveiligheid. Ze genereren ook allemaal hun eigen logs met metadata over bijvoorbeeld het aantal inlogpogingen, opgevraagde informatie, gebruikte data, etc.”

Metadata uit je logbestanden

“Die metadata uit de logbestanden bevatten belangrijke informatie voor je beveiliging”, geeft Tristan aan. “Maar ze allemaal handmatig bekijken, is onbegonnen werk. Wil je aanvallen vroegtijdig opmerken? Dan is het belangrijk dat je de logfiles van verschillende logbestanden bij elkaar brengt, in samenhang analyseert en kijkt of je correlaties ziet die duiden op afwijkende patronen die potentieel gevaarlijk zijn.”

Het belang van correlatie

Als voorbeeld noemt Tristan iemand die iedere dag inlogt vanuit Rotterdam en op een ochtend ineens vanuit Maastricht. “Dat is een afwijking, maar waarschijnlijk nog geen reden voor paniek. Als echter iemand vanuit Rotterdam probeert in te loggen net vijf minuten nadat iemand vanuit Kaapstad op dat account is ingelogd, vraagt dit om meer alertheid. Nog alerter moet je zijn als de ingelogde gebruiker vanuit Kaapstad allerlei gegevens opvraagt die dat account normaal gesproken nooit opvraagt, bijvoorbeeld uit de basisadministratie. Of als iemand in plaats van tien gegevensaanvragen per dag er ineens honderd doet. Het zijn dit soort correlaties waarbij je alarmbellen moeten afgaan.”

SIEM-oplossingen voor continue intelligente monitoring

“Gemeenten die informatieveiligheid serieus nemen en aanvallers zo snel mogelijk willen ontdekken, kunnen dan ook niet zonder intelligente monitoring van de logbestanden”, gaat Tristan verder. “Daarvoor bestaan SIEM-oplossingen (SIEM = Security Information & Event Management). In die voorzieningen worden de logbronnen van zoveel mogelijk applicaties, werkplekken, netwerkcomponenten en zo door verzameld en met behulp van Artificial Intelligence geanalyseerd. Daardoor komen ook correlaties aan het licht, die je met het blote oog niet zo snel opmerkt.”

Een kostenefficiënte oplossing

Als er bepaalde events plaatsvinden die duiden op een mogelijk risico, verschijnt er een vlaggetje in de SIEM-oplossing. Security specialisten kunnen dan gericht kijken wat er aan de hand is. Tristan: “Om het kostenefficiënt te maken, is het belangrijk dat een SIEM-oplossing ook een deel van de security incidenten automatisch voor je oplost. En als dat niet kan, niet alleen een vlaggetje zet maar je ook informatie geeft over de acties die je moet ondernemen. Zo houden de security experts meer tijd over voor de complexere, en vaak ook gevaarlijkere, incidenten”

Van papieren tijgers naar aantoonbaar genomen maatregelen

De Baseline Informatiebeveiliging Overheid (BIO) stelt intelligente monitoring om cyberaanvallen tijdig op te sporen als een vereiste. Tristan: “Een SIEM-oplossing helpt je bovendien van allerlei compliance-eisen en ISO-normeringen meer te maken dan papieren tijgers. Je kunt bijvoorbeeld wel als beleid hebben dat overal MFA (meervoudige authenticatie) aan moet staan, maar daarmee is dat nog geen praktijk. Met een SIEM-oplossing kun je aan de hand van je logbronnen relatief gemakkelijk laten zien voor welke applicaties je dit echt hebt geregeld.”

Een tijdrovende implementatie

Intelligente monitoring is dus belangrijk voor de informatieveiligheid van gemeenten. Maar bij de implementatie van een SIEM-oplossing lopen ze tegen een aantal problemen aan. Tristan: “De eerste is dat de implementatie van een SIEM-oplossing een tijdrovende en daarmee kostbare klus is. Alle logbestanden die je wilt gebruiken moeten via data-connectoren aangesloten worden. Daarnaast moet je voor je organisatie passende security use cases definiëren en implementeren. Dat zijn die events waarbij je wilt dat er een vlaggetje verschijnt.”

Gebrek aan security experts

Een groter probleem nog dan de kosten is dat er op de arbeidsmarkt niet voldoende security medewerkers te vinden zijn die over de juiste expertise beschikken om SIEM-oplossingen vakkundig te beheren en te onderhouden. Tristan: “De security experts met verstand van intelligente monitoring die er wel zijn, werken in de regel liever bij financiële instellingen of organisaties met meer dan 20.000 medewerkers. Bij gemeenten zie je dan ook dat de technische kant van informatieveiligheid vaak op het bordje van netwerkbeheerders of functioneel beheerders terecht komt. Maar door de diversiteit van het IT-landschap en aantrekkelijkheid van de databronnen voor hackers, vraagt veiligheid en intelligente monitoring bij gemeenten veel meer specifieke expertise.”

Kat-en-muisspel

“Dat tekort aan gekwalificeerd personeel is echt een groot probleem”, gaat Tristan verder. “Een implementatie van een SIEM-oplossing is op zich direct al nuttig. Het geeft inzicht in mogelijke bedreigingen op dit moment. Maar cybersecurity is een kat-en-muisspel. Op het moment dat we als ‘verdedigers’ een methode hebben om de ’aanvallers’ op te sporen en buiten de deur te houden, gaan de aanvallers op zoek naar nieuwe wegen om onzichtbaar te zijn. Daarom is het belangrijk dat je je systeem voor intelligente monitoring blijft bijwerken en aanpassen. De vraag is hoe je dat als gemeente regelt als het lastig is de mensen ervoor te vinden.”

Microsoft Sentinel

Microsoft Sentinel is een SIEM-oplossing die zelf volledig cloud-gebaseerd is, maar waarmee je ook on-premises systemen kunt monitoren. Het bevat data-connectoren voor veelgebruikte Microsoft-applicaties als bijvoorbeeld Office 365, en ook voor flink wat beveiligingsecosysteem van applicaties en netwerkcomponenten die niet van Microsoft zijn. NextFence voegt daar data-connectoren voor veelgebruikte gemeentelijke applicaties aan toe, zoals die van Centric. Net als security use cases waarmee gemeenten bedreigingen kunnen detecteren. Zo helpt NextFence gemeenten om intelligente monitoring op te pakken.

Korte implementatietijd en updates

Tristan: “We hebben een engine gebouwd waarmee we onze configuratie van MS Sentinel in één keer naar de Azure-omgeving van een gemeente kunnen doorzetten. Dit verkort de implementatietijd aanzienlijk. Het duurt geen maanden, maar slechts enkele dagen voordat je bruikbare output hebt. Bovendien zorgen we voor periodieke updates van de security use cases. En voor extra alerts als er belangrijke nieuwe bedreigingen worden gemeld, met aanwijzingen hoe je je tegen die bedreigingen kunt wapenen. Met zo’n ‘managed’ oplossing wordt het mogelijk om voor zowel de grotere, als de kleinere gemeenten in Nederland Microsoft Sentinel te implementeren, te beheren en te onderhouden. En dat zonder op de arbeidsmarkt om de geschikte expertise te hoeven vechten.”


Meld je aan voor de online Ronde Tafel op 15 juni

Tristan van Onselen is een van de sprekers tijdens de Ronde Tafel: ‘Informatiebeveiliging’ op woensdagochtend 15 juni. Samen met Johan Verschoor van de BAR-organisatie en Wim Hoekstra van Quarant. Johan vertelt aan de hand van de eigen praktijk over intelligente monitoring en het belang van correlatie daarin. Wim vertelt waarom mens, techniek en organisatie niet zonder elkaar kunnen als je je informatieveiligheid op orde wilt krijgen. En Tristan vertelt hoe je als gemeente snel kunt starten met Microsoft Sentinel.

Programma

  • 09:15  Digitaal ontvangst
  • 09:30 Welkom
  • 09:35  Resultaten vooronderzoek
    Opvallende bevindingen en aandachtspunten. 
  • 09:45 Praktijkcasus BAR-organisatie – Johan Verschoor en Ron Hup, BAR-organisatie
    Succesvol toepassen van intelligente security monitoring en het belang van correlatie.
  • 10.05 Ruimte voor vraag & antwoord
  • 10:15 De organisatie van informatiebeveiligingWim Hoekstra, Quarant
    De organisatie van informatiebeveiliging: mens, techniek en organisatie.
  • 10.35 Ruimte voor vraag & antwoord
  • 10.45 Breakout sessie 
    We gaan met elkaar in gesprek over specifieke onderwerpen m.b.t. monitoring.
  • 11.15 Pauze
  • 11.20 Snel starten en security verbeteren met MicrosoftTrisan van Onselen, NextFence
    Hoe verhoog ik systematisch de beveiliging van mijn IT-omgeving.
  • 11.45 Conclusies & afronding
    We zetten de belangrijkste bevindingen op een rij waarmee jij direct aan de slag kunt gaan.

Voor wie is dit interessant?

I&A-managers en -teamleiders, projectleiders en programmamanagers Digitale Transformatie, CIO’s, Security Officers, CISO’s (met affiniteit voor techniek), TISO’s en hoofden bedrijfsvoering van gemeenten.


Meer weten?

Tristan beantwoordt graag jouw vraag en denkt met je mee. Of laat een bericht achter in de chat.

M: 06 151 841 53 of E: T.van.Onselen@nextfence.nl

Pagina delen: