In het digitale hart van de Rijksoverheid

In het digitale hart van de Rijksoverheid

De dreiging van hackers en aanvallen op onze netwerken wordt steeds groter. Als ICT-dienstverlener van de Rijksoverheid moet SSC-ICT de digitale veiligheid op orde hebben. Mark van Uffelen, Lead Security Operations Center, vertelt over zijn werk om de digitale werkplek op hoog niveau te beveiligen.

Het Security Operations Center (SOC) beschermt samen met de beheerafdelingen van SSC-ICT proactief de IT-omgeving en verminderd reactief alle dreigingen voor de IT-dienstverlening. Mark: ‘Met andere woorden, wij sporen hackpogingen op. Dit doen wij door loggegevens te verzamelen en deze te analyseren op cybersecuritydreigingen. Wat buiten de Rijksoverheid speelt op ICT-gebied vertalen wij door naar onze organisatie.’

Als iemand inlogt in Nederland en vervolgens in Saoedi Arabië en Zwitserland, gaan bij ons de alarmbellen af.

Met de mix van dreigingsinformatie, loggegevens en specialistische kennis van cybersecurity zien medewerkers van het SOC wanneer iemand een hackpoging doet op bijvoorbeeld een werkplek, server of het rijksgastennetwerk. ‘Vooral op het rijksgastennetwerk komt veel malware voorbij. Malware is software die computersystemen verstoort of gevoelige informatie verkrijgt. De effectiviteit van het SOC is beperkt tot de gegevens die wij ontvangen volgens het logbeleid van SSC-ICT. In het Security Incident en Event Management platform (SIEM) van het SOC bekijken ze alle systemen en applicaties die hun loginformatie afleveren. Het valt ons bijvoorbeeld op wanneer iemand meer dan 50 keer probeert in te loggen. Maar ook als blijkt dat iemand inlogt in Nederland en vervolgens in Saoedi-Arabië en Zwitserland, gaan hier de alarmbellen af’, aldus Mark.

Dreigingsplatform

In 2018 heeft het SOC samen met haar partners een dreigingsplatform (Threat Intelligence Platform) ingericht en gekoppeld aan het SIEM platform van SSC-ICT. Mark: ‘Dat is een platform met informatie over soorten gebruikte tactieken om hackpogingen uit te voeren. Ook geeft het inzicht in welke partijen dat doen. Zo weten we bijvoorbeeld dat statelijke actoren vaak gebruik maken van gerichte phishingaanvalen. Met dit dreigingsplatform zijn we altijd op de hoogte op het gebied van dreigingen.’

Joint-SOC’s

Binnen de Rijksoverheid bestaan meerdere SOC’s met ieder hun eigen expertise. Mark: ‘Door onze dienstverlening aan de digitale werkplek en het Overheidsdatacenter zijn wij gespecialiseerd in infrastructuurdiensten. Hierdoor bevindt SSC-ICT zich met haar dienstverlening in het digitale hart van de Rijksoverheid. Dat maakt ons uniek. Het SOC van de Belastingdienst richt zich met name op beveiliging van applicaties omdat het daar om het financiële proces draait. Bij Rijkswaterstaat (RWS) is het juist van vitaal belang dat de digitale veiligheid goed geregeld is. Dat wil overigens niet zeggen dat bijvoorbeeld de bedrijfsprocessen niet goed beveiligd zijn. Iedere rijksorganisatie heeft zo haar eigen specialisme.’

Omdat we verschillende expertises hebben is het belangrijk dat we de kennis delen. Daarom is vanuit de operationele samenwerking tussen de SOC’s een gezamenlijk initiatief gestart om de krachten van de SOC’s binnen de Rijksoverheid te bundelen met Joint-SOC’s. Mark: ‘Door samenwerking hebben we veel van elkaar geleerd. Al deze leermomenten en kennis zijn gebundeld in een best practicedocument. Dit is onze leidraad hoe het SOC binnen de Rijksoverheid ingericht moet zijn waardoor digitale weerbaarheid op een hoog niveau blijft.’

Security battle

Eén van de initiatieven van Joint-SOC is de security battle die op 14 februari heeft plaatsgevonden in Utrecht. Tijdens dit event organiseerde SSC-ICT de workshop ‘de hack komt van binnen’. In deze workshop konden hbo en wo- studenten een hacker ontmaskeren. Mark: ‘Met de security battle motiveren we studenten om bij de Rijksoverheid te komen werken. Je moet natuurlijk wel affiniteit met security hebben en een flinke ambitie om jezelf continu te ontwikkelen en te verbeteren. Binnen het SOC hebben we verschillende rollen zoals incident response, monitoring en theat intel. Onze security-specialisten werken op verschillende niveaus. De Level 1 security analist handelt veelvoorkomende security-incidenten af om kennis en ervaring op te doen. Bijvoorbeeld het analyseren van spammeldingen die via topdesk gemeld worden. Dat is een vrij generiek proces. Een gerichte phishing aanval zien we vaak terug in de spammeldingen. Bij bijzonderheden schakelen we met een ervaren security-analist die zich met name richt op onderzoek naar niet-generieke incidenten en dreigingen.’

Ambities van 2019

Eén van de initiatieven van Joint-SOC is de security battle die op 14 februari plaatsvindt in Utrecht. Tijdens dit event organiseert SSC-ICT de workshop ‘de hack komt van binnen’. In deze workshop dagen we hbo en wo- studenten uit een hacker te ontmaskeren. Mark: ‘Met de security battle motiveren we studenten om bij de Rijksoverheid te komen werken. Je moet natuurlijk wel affiniteit met security hebben en een flinke ambitie om jezelf continu te ontwikkelen en te verbeteren. Binnen het SOC hebben we verschillende rollen zoals incident response, monitoring en theat intel. Onze security-specialisten werken op verschillende niveaus. De Level 1 security analist handelt veelvoorkomende security-incidenten af om kennis en ervaring op te doen. Bijvoorbeeld het analyseren van spammeldingen die via topdesk gemeld worden. Dat is een vrij generiek proces. Een gerichte phishing aanval zien we vaak terug in de spammeldingen. Bij bijzonderheden schakelen we met een ervaren security-analist die zich met name richt op onderzoek naar niet-generieke incidenten en dreigingen.’
Het SOC heeft op dit moment een vacature voor een SOC Analist met Splunk-ervaring. Heb je interesse? Bekijk hier de vacature.”

Ambities van 2019

Onze doelstelling van komend jaar is om middelen zo efficiënt mogelijk in te zetten. Ook willen wij de analyse-capaciteit van het SOC doelmatiger inzetten door bijvoorbeeld automation en optimalisering van de interne werkprocessen. Mark: ‘Dit sluit goed aan bij de doelstellingen van SSC-ICT zoals visibility. Bij visibility draait het om wat we weten over een systeem bij een mogelijke hackpoging. Er zit nogal een verschil tussen bijvoorbeeld het hoofdsysteem van P-Direkt of de server van het bedrijfsrestaurant. Ook leveren we als SOC een bijdrage aan compliance van de SSC-ICT dienstverlening op gebied van Baseline Informatiebeveiliging Overheid (BIO), General IT Controls (GITC), ISAE3402 en aanverwante normenkaders.