Computerdreigingen, zoals hackpogingen, ransomware of malware: niemand heeft er graag mee te maken. Ook gemeenten niet. Om de digitale weerbaarheid bij gemeenten te verhogen, zijn binnenkort SIEM en SOC verplicht. Onder de vlag van GGI-Veilig pakken gemeenten dit gezamenlijk op. Een van de koplopers op het gebied van digitale weerbaarheid, is het samenwerkingsverband DOWR.

Door: Frits de Jong

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht, de vervanger van de bestaande separate baselines informatieveiligheid voor gemeenten, provincies, waterschappen en het Rijk. De BIO moet overheden helpen bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging. Een van de eisen die de BIO stelt (onder het hoofdstuk 'verslaglegging en monitoren') aan overheden, is het gebruik van SIEM en SOC (Zie: kader). SIEM staat voor Security Information & Event Management, SOC voor Security Operations Center. De combinatie van die twee afkortingen draagt er toe bij dat computerdreigingen, zoals hackpogingen of malware, beter worden gemonitord en in kaart worden gebracht. Het helpt overheden om digitaal weerbaarder te worden.

In het kader van samen organiseren hebben gemeenten de VNG/VNG Realisatie opdracht gegeven te werken aan meer collectiviteit op ICT-voorzieningen: de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI). Belangrijk onderdeel van die GGI is GGI-Veilig. Het zorgt ervoor dat een flink deel van zaken die te maken hebben met gemeentelijke operationele informatiebeveiliging, centraal worden uitgevoerd. Denk daarbij aan het bewaken van het dataverkeer op het gemeentelijk netwerk of de beveiliging van de gemeentelijke ICT-infrastructuur. Onder gemeenten is de bereidheid om mee te doen aan GGI-Veilig groot. Van de 355 gemeenten die Nederland nu telt, hebben 331 (!) aangegeven de producten en diensten van GGI-Veilig te willen gebruiken. Die producten en diensten zijn in de aanbesteding opgeknipt in drie delen, waarbij SIEM en SOC terugkomen in het eerste perceel. Nadat op 15 juli de contracten voor GGI-Veilig zijn ondertekend, is het nu zaak dat gemeenten aansluiten.

DOWR

Een van de koplopers als het gaat om aansluiting op GGI-Veilig, is DOWR. Sinds 1 januari 2012 werken de gemeenten Deventer, Olst-Wijhe en Raalte samen op het gebied van ICT, facilitaire zaken, personeels- en salarisadministratie, inkoop, financiële administratie en belastingen. DOWR hanteert het zogenaamde gastheermodel. Bij dit model besteden twee van de drie deelnemende gemeenten de ondersteunende diensten uit aan een gastheergemeente. Taken op het gebied van GGI-Veilig en cybersecurity zijn belegd binnen de ICT-werkorganisatie DOWR. De gemeente Deventer treedt voor deze werkorganisatie op als gastheergemeente en is daarmee werkgever van de ICT-medewerkers DOWR en juridisch verantwoordelijk. Dat DOWR behoort tot de koplopers van het GGI-Veilig-traject is geen toeval, zo schetst Dick van Montfrans, projectleider bij de gemeente Deventer op het gebied van aanbestedingen en implementaties. "Informatieveiligheid is een van de speerpunten van het DOWR-beleid. Dat betekent dat het breed gedragen wordt binnen de gemeenten. Op bestuurlijk en ambtelijk niveau, maar ook binnen de automatiseringsprocessen." Ook volgens Johannes Grimmerink, verantwoordelijk voor de technische infrastructuur en informatiebeveiliging binnen DOWR, is het vanzelfsprekend dat DOWR tot de frontrunners behoort als het gaat om SIEM en SOC. "Wij zijn jaren geleden al begonnen met de voorbereidingen, lang voordat de details van de BIO bekend waren."

Van Montfrans en Grimmerink zien het vooral als een uitdaging en kans om aan de voorkant te staan van het SIEM/SOC-proces. "Omdat wij zo vroeg zijn ingestapt, heb je de mogelijkheid om de inrichting van zo'n proces ook mede te bepalen", aldus Grimmerink. "Als je achteraan sluit, is dat deel van het proces al achter de rug. Als DOWR houden we er niet van om achterover te zitten, maar werken we graag zelf aan oplossingen. Dus die rol past ons wel."

Als het gaat om SIEM/SOC ziet Dick van Montfrans niet al te veel beren op de weg. "Als je kijkt naar de praktische kant dan verwachten wij dat er in het begin veel vragen binnenkomen over welke meldingen wel of niet binnen de marges van SIEM vallen. Ik vermoed dat wij daar in die begintijd ook de nodige capaciteit op moet zetten om dat te verwerken. Op den duur moet dat ertoe leiden dat we alleen nog de meldingen overhouden waar we ook écht iets mee moeten doen." Gevraagd naar beren op de weg, geeft Johannes Grimmerink aan dat met name de uitgebreide infrastructuur van DOWR nog wel een uitdaging is. "Vanwege de hoog beschikbare netwerkinfrastructuur moet een aantal componenten zwaarder uitgevoerd worden om al het netwerkverkeer te kunnen monitoren. Daar zijn we nu oplossingen voor aan het uitwerken." Grimmerink weet niet of het probleem bij andere gemeenten ook speelt. "De infrastructuur van andere gemeenten kan er weer totaal anders uitzien. We hopen dat mede door onze oplossingen niet iedere gemeente opnieuw het wiel hoeft uit te vinden."

Infrastructuurontwerp

De gunning van het eerste perceel van GGI-Veilig is gewonnen door KPN. Zij willen vanaf begin januari wekelijks SIEM bij tien gemeenten uitrollen. Volgens Van Montfrans en Grimmerink legt dat wel een bepaalde druk op gemeenten. Van Montfrans zegt daarover: "Van gemeenten wordt gevraagd om een volledig infrastructuurontwerp op te leveren, zodat KPN daar op kan aansluiten en ook weet welke oplossingen bedacht moeten worden in geval van beren op de weg. Als DOWR hebben wij dit ontwerp al opgeleverd en het wachten is nu op een offerte van KPN. Aan de hand daarvan bekijken wij of dat is wat wij willen en of dat in overeenstemming is met de raamovereenkomst van VNG Realisatie. Als de offerte door KPN en Deventer getekend is, kan de apparatuur uitgerold worden en dan kunnen wij ook de processen inregelen. Wat krijgen we binnen aan meldingen en wat moeten we daarmee? Wij denken dat we daar in de tweede helft van november mee starten. Vervolgens gaan we een weekje of vijf of zes proefdraaien en gaan we ook een acceptatieprocedure in. Het plan is dat op 15 december de acceptatie plaatsvindt, waarna KPN ook daadwerkelijk kan beginnen met de uitrol."

Johannes Grimmerink denkt niet dat alle gemeenten op dit moment al klaar zijn voor SIEM/SOC. Hij adviseert hen om toch "enige haast" te maken. "Ik zou tegen die gemeenten willen zeggen: zorg ervoor dat zowel de technische infrastructuur als de processen rondom informatiebeveiliging volledig inzichtelijk zijn. Voor ons als DOWR zal er met de komst van SIEM niet veel veranderen. Security monitoring, patch management, hardening en auditing maakten al deel uit van onze dienstverlening rondom informatiebeveiliging. Voor gemeenten die nog geen proces hebben voor het afhandelen van beveiligingsincidenten, is dit wel het moment om dat in te regelen. Het kunnen opvolgen van meldingen en het doorvoeren van maatregelen is belangrijk om SIEM tot een succes te maken."

Ook Dick van Montfrans dringt bij gemeenten aan op enige spoed. "De aanbesteding SIEM/SOC is niet vrijblijvend. Gemeenten die zich hebben aangemeld móeten ook afnemen van de gekozen leverancier. Ze mogen niet switchen naar een andere leverancier", aldus Van Montfrans, die ervan overtuigd is dat het beter monitoren van de infrastructuur leidt tot besparingen. "Het is wel een indirecte besparing. Wij schatten in dat wij één fte kwijt zijn aan het verwerken van de meldingen. Voor gemeenten is het belangrijk om geld beschikbaar te stellen voor de implementatie en de uitvoering. De besparingen komen in zicht op het moment dat je tijdig kunt reageren op beveiligingsincidenten. Door te investeren in kwaliteit voorkomen we vervolgschade en imagoschade. Er hoeft maar één keer iets te gebeuren binnen je organisatie, een datalek of een hackpoging en je zit al flink in de kosten."

Privacy

Een iets onderbelicht thema in het 'geweld' van SIEM/SOC is dat van de privacy. Johannes Grimmerink geeft aan dat het van belang is dat ook de ondernemingsraad (OR) binnen (gemeentelijke) organisaties wordt betrokken bij het monitoringsproces. "Op het moment dat je overgaat tot actieve monitoring van gebruikersactiviteiten, moet de OR daar instemming voor geven. Dat is wel een aandachtspunt. Daarnaast moeten ook de gebruikers van de systemen hierover geïnformeerd worden. Gebruikers hoeven niet bang te zijn dat hun surfgedrag in de gaten gehouden wordt, maar aan de andere kant hebben we wel de verplichting om te controleren of de beveiligingsmaatregelen goed werken en de beveiliging niet doorbroken wordt."

Naast de privacy van de gebruikers, stipt Dick van Montfrans tot slot nog het belang van SIEM/SOC aan voor de inwoners. " Als DOWR moeten wij de bij ons opgeslagen persoonsgegevens van onze inwoners beschermen. Dat is onze taak. SIEM stelt ons in staat om direct te reageren als er op het gebied van informatiebeveiliging iets gebeurt wat niet klopt, in plaats van te reageren op het moment dat er iets naar buiten komt dat al maanden speelt en waarbij persoonsgegevens van onze inwoners op straat liggen. Wij hopen dat onze inwoners niets merken van onze stap naar SIEM/SOC, want dat betekent dat we het goed doen..."

SIEM en SOC

SIEM is een proces dat alle beschikbare informatie binnen de ICT-infrastructuur, die een relatie heeft met informatie beveiliging, verzamelt en analyseert. Op basis van deze analyses kunnen kwetsbaarheden ontdekt worden en kunnen aanvallen en verdacht gedrag in een vroeg stadium worden gesignaleerd.

SOC is de plek in de organisatie die alle IT-security gerelateerde zaken kan begeleiden en uitvoeren.