Versterking SOC verhoogt digitale weerbaarheid

Of het nu dreiging is van zogeheten statelijke actoren als Iran, Rusland of China, van jonge hackers (‘script kiddies’) of criminele organisaties; de digitale dreiging neemt wereldwijd steeds meer toe en ook het ministerie van JenV zelf, als hoeder van onze rechtsstaat, is een high target. Ze kampt met dreigingen die voorheen, in de fysieke wereld, niet aan de orde waren. Haar data- en informatiesystemen worden steeds waardevollere doelwitten. Het is dus cruciaal dat toegangs- en informatiebeveiliging op orde zijn. Want zonder die veilige verbindingen met externe netwerken komt de dienstverlening aan burgers en bedrijfsleven in gevaar.

Operationele beveiliging

In het nieuwe Plan van Aanpak IB 2.0 wordt de focus verlegd van de organisatie van informatiebeveiliging naar daadwerkelijke operationele beveiliging (‘feitelijke beveiliging’). Een belangrijk onderdeel hiervan is de doorontwikkeling van het centrale SOC-JenV en de samenwerking met de decentrale securityteams van de JenV-organisaties. Manager van het SOC-JenV Martijn Bouckaert legt uit dat security operations centers (SOC’s) primair de taak hebben de eigen organisatie veilig en weerbaar te houden door de tijd tussen het waarnemen van een risico, dreiging of incident en het adequaat oplossen daarvan zo kort mogelijk te houden. “De toenemende digitalisering binnen onze organisatie en de toenemende typen aanvallen maken dat we hoge eisen stellen aan onze interne beveiliging om de continuïteit van de processen te garanderen. Het hebben van een volwassen SOC met de juiste expertise en taken en coördinatie speelt hierbij een belangrijke, centrale rol.”

Om goed inzicht te kunnen houden in de staat en beveiliging van het voortdurend veranderende technische landschap is het dan ook belangrijk om een accuraat overzicht van dit landschap te hebben, gaat Bouckaert verder. “Daarnaast is het een noodzaak om snel en adequaat te kunnen inspelen op nieuwe ontwikkelingen zoals een hybride cloud-omgeving en de ketenafhankelijkheden.” JenV zet met haar nieuwe cyberstrategie meer dan voorheen in op detectie en monitoring op het niveau van endpoints, data en applicaties.

Cybersecurity-ecosysteem

Het nieuwe Plan van Aanpak IB 2.0 genereert veel meer aandacht voor de interne operationele veiligheid. Als onderdeel van deze aanpak krijgt het SOC een stevige en versterkte rol. Uitbreiding van de dienstverlening was hierin een must. Waar het huidige SOC nog ingericht was om security monitoring en incident response uit te voeren op de gedeelde infrastructuur en gedeelde diensten, bouwt het vernieuwde SOC – in nauwe samenwerking met de decentrale securityteams van de taakorganisaties – verder aan een JenV-breed cybersecurity-ecosysteem dat uitgebreidere diensten levert of ondersteunt.

De uitbreiding van de dienstverlening betekent behalve nieuwe diensten ook dat het SOC-JenV aan een team werkt dat 24 uur per dag 7 dagen in de week diensten levert. “Een aanvaller, hacker of statelijke actor werkt natuurlijk ook niet alleen tussen 9 en 5 van maandag tot vrijdag”, zegt Bouckaert. Hij benadrukt dat dit ook iets van de mensen en de organisatie en de mensen bij de taakorganisaties van JenV vraagt. “Dat moet je goed managen.”

Nieuwe diensten

Naast de genoemde security monitoring van infrastructuur en applicaties en incident respons zet het SOC-JenV in op nieuwe diensten, zoals Asset discovery, wat het mogelijk maakt om onbeheerde systemen en hardware te detecteren. Daarnaast biedt het SOC ook Vulnerability management aan. Dit zorgt ervoor dat kwetsbaarheden in de JenV-infrastructuur en -systemen worden geïdentificeerd en dat erover gerapporteerd wordt aan de afnemer. Baseline configuration management maakt het mogelijk kwetsbare plekken in de configuratie van systemen en hardware te detecteren. Dit gebeurt op basis van marktconforme standaarden. Met Threat hunting zet het SOC waar mogelijk geavanceerde analysetechnologie in om afwijkend digitaal gedrag geautomatiseerd te kunnen detecteren.

Deze diensten moeten niet alleen beter in kaart brengen welke systemen JenV heeft draaien maar zoeken geautomatiseerd naar de kwetsbaarheden op deze systemen en geven ook oplossingen. Ook wordt er geautomatiseerd gekeken of systemen volgens de juiste methode zijn ingericht. Denk daarbij aan verouderde software, verouderde configuraties, kwetsbaarheden bij leveranciers en vertrouwensrelaties en vragen als wie mag bij welke account, enzovoort.

Coördinerende regisserende rol

Met de ambitie van dit versterkte SOC-JenV is ook een meer coördinerende regisserende rol ontstaan. De aanleiding en de aandacht om de dienstverlening van het SOC uit te breiden werden extra gevoed door de Log4j kwetsbaarheid in 2021. Bouckaert: “Het werd toen duidelijk dat het belangrijk is om zicht te hebben op de ICT-kwetsbaarheden in de vele systemen binnen JenV. Een gezamenlijke aanpak bleek de beste manier om de hieruit voortvloeiende risico’s op te lossen. Belangrijk is om behalve je koppeling naar internet goed beveiligd te hebben, ook achter de voordeur alles op orde te hebben; anders blijven er kwetsbaarheden bestaan.”

Tot besluit: “Het uiteindelijk doel is natuurlijk dat we het ministerie van JenV veiliger maken. Dat we incidenten kunnen voorkomen omdat we door het verbeterde inzicht, de samenwerking én de regie die we op kwetsbaarheden uitvoeren, dichter op de bal zitten. Dat we problemen sneller oplossen en verstoringen kunnen voorkomen, zodat taakorganisaties binnen JenV en partners in het cyber-ecosysteem veilig en betrouwbaar hun kerntaken digitaal kunnen uitvoeren. Dit past daarmee ook in het toekomstbeeld om samen te werken op rijksbreed niveau.”