Rükiye Aytekin werkt bij het Security Operations Center (SOC) van Logius, dat de computer- en netwerkactiviteiten van de organisatie monitort. Ze organiseert oefeningen met DDoS aanvallen. Monitoren, testen en oefenen helpen de dienstverlening van Logius zo veilig mogelijk te houden.
Overheidsvoorzieningen
Logius beheert belangrijke digitale overheidsvoorzieningen voor burgers, zoals DigiD en MijnOverheid. Minder bekend zijn de voorzieningen voor bedrijven en andere overheidsorganisaties, zoals Digikoppeling en Digimelding. Veiligheid is één van de speerpunten voor Logius, vertelt Rükiye Aytekin, SIEM specialist bij Logius. “Wanneer je zakendoet met de overheid moet dat op een veilige manier gebeuren.
We werken bij Logius met belangrijke gegevens, het overgrote deel persoonsgegevens. Daarnaast willen we dat de diensten van Logius ook toegankelijk zijn en gemakkelijk te gebruiken. En dat staat soms op gespannen voet met veiligheid.” Hoewel ze zich realiseert dat 100 procent veilig niet mogelijk is, is dat wel het streven van de organisatie: “Zo veilig mogelijk voor iedereen die gebruik wil maken van de dienstverlening van Logius.”
Effectiever
Logius heeft nu ongeveer 2 jaar een eigen SOC; een Security Operations Center. Dat monitort de computer- en netwerkactiviteiten in de organisatie, kijkt naar kwetsbaarheden en dreigingen. Log-informatie van applicaties en apparaten in het bedrijfsnetwerk wordt verzameld en onderzocht op afwijkende zaken. Security Information and Event Management (SIEM) is een oplossing die organisaties inzicht geeft in activiteiten binnen hun netwerk, zodat ze snel op potentiële gevaren kunnen reageren. Aytekin vertelt: “Doel van het SOC is dat Logius effectiever om kan gaan met dreigingen of met incidenten. We zijn nu bij incidenten minder afhankelijk van leveranciers. Ook bouwen we nu meer kennis en expertise binnen onze eigen organisatie op, en kunnen sneller reageren op incidenten omdat we zelf direct weten wat er gebeurt. Belangrijk, want snel handelen is essentieel als er wat mis is en het de diensten van Logius raakt.”
Samenwerken
In de opbouwperiode van het SOC is gekozen voor een hybride vorm, zodat Logius in de samenwerking met de leverancier kan leren. “De eerste lijn, daarop komen alle meldingen binnen. Zij voeren een eerste analyse uit en zetten de meldingen door naar de tweede lijn. De tweede lijn bestaat uit een combinatie van medewerkers van Logius en de leverancier. Wanneer er verdere analyse nodig is, gaat het weer naar de derde lijn, die bestaat alleen uit medewerkers van Logius zelf.” Het SOC werkt intensief samen met de teams van de diensten – zoals DigiD en MijnOverheid, benadrukt Aytekin. ”Die samenwerking is cruciaal. Wij kunnen wel iets detecteren, zij kunnen het beter plaatsen. Dan wordt bijvoorbeeld duidelijk of wat we zagen in de systemen een legitieme actie was, of dat er iets aan de hand is waar we samen op moeten doorpakken.”
Eigen pentester
Die dienstenteams hebben eigen informatiebeveiligingsprofessionals. “Ieder team is verplicht om jaarlijks een risicoanalyse te doen, te kijken waar kwetsbaarheden zijn en daarop te handelen.” Ook de verantwoordelijkheid voor testen ligt bij de diensten. Het Logius SOC heeft sinds kort een eigen pentester in dienst. Tijdens een pentest (kort voor penetration test) probeert de tester in te breken en kwetsbaarheden te vinden. “Diensten kloppen aan bij de tester wanneer ze iets nieuws hebben gemaakt, of willen kijken of iets nog naar behoren werkt.” Aytekin merkt dat een eigen pentester de drempels verlaagt. “Wanneer de diensten het uitbesteden, zijn de kosten hoger en is de doorlooptijd langer. En dit is veel sneller, want de lijnen zijn korter. Niet alle pentesten worden uitgevoerd vanuit het Logius SOC, we maken nog steeds veel gebruik van de uitbestede pentest dienstverlening en zullen dit ook blijven doen.”
Oefenen
Logius doet mee aan de oefeningen van de anti-DDoS-coalitie, een samenwerkingsverband van overheden, internetproviders, universiteiten om zich gezamenlijk te kunnen wapenen tegen DDoS aanvallen. Aytekin is de spelleider vanuit Logius. “2 keer per jaar simuleren we DDoS aanvallen. Hoe dat eruit ziet? We hebben 2 teams. Team Rood valt aan, team Blauw verdedigt. Blauw doet eigenlijk niks anders dan wat ze normaal gesproken ook zouden doen. Team Rood bestaat uit collega’s van verschillende organisaties die verstand hebben van het schrijven van scripts en het afvuren van aanvallen.”
Wat is een DDoS-aanval?
Zo scherp mogelijk
De organisatie van zo’n oefening kost haar veel tijd, maar is zeker de moeite waard, stelt ze. “We kijken er altijd met heel veel trots op terug. Je wilt in zo’n oefening je blauwe team zo scherp mogelijk hebben, en daarvoor ook dusdanig opleiden. We testen onze systemen en proberen daarin echt de grenzen op te zoeken. We halen er steeds hele fijne leerpunten uit.” Zo’n oefening doe je niet elke week, stelt ze. “Je haalt je systemen uit de lucht. Dat is niet fijn voor de burger of voor andere personen die daar gebruik van maken.” Daarom kiezen ze ervoor de oefeningen ’s nachts te doen.
Weerbaarder maken
Ze sluit af met 2 adviezen voor andere organisaties. “Oefeningen zijn belangrijk.” Maar oefenen is niet het startpunt voor versterking van de weerbaarheid, waarschuwt ze: “Als je verder nog niks ingeregeld hebt, kun je oefenen tot je een ons weegt, maar dan weet je niet waar je moet beginnen. Het NCSC schrijft adviezen over hoe organisaties weerbaarder kunnen worden. Bekijk deze basismaatregelen en ga ermee aan de slag in je organisatie.”
Haar tweede advies is je netwerk te vergroten en te gebruiken. “Zoek elkaar op om kennis en informatie met elkaar te delen. Bijvoorbeeld door het bezoeken van conferenties zoals de ONE Conference in oktober. Op die manier verbreed je je netwerk en kun je bijvoorbeeld op zoek gaan naar mensen van SOC’s binnen de overheid. Techneuten vinden het echt geweldig om te praten over hun werk, natuurlijk zonder hun geheimen prijs te geven. Het is zonde om allemaal het wiel opnieuw uit te vinden.”