De Baseline Informatiebeveiliging Overheid (BIO) vereist van gemeenten dat ze hun netwerk aan de buitenzijde goed dichttimmeren om zo te voorkomen dat kwaadwillenden ongewild toegang kunnen krijgen. Hoewel het voldoen aan deze richtlijn cruciaal is om compliant te zijn, is er meer nodig om als gemeente weerbaar te zijn tegen cyberaanvallen. Hoe zorg je er als gemeente voor dat je je op een moderne manier beveiligt, terwijl je tegelijkertijd voldoet aan de eisen die de BIO stelt?
De afgelopen jaren is het paradigma van netwerkbeveiliging verschoven. Waar voorheen vooral de nadruk lag op het te allen tijde buiten houden van aanvallers, is dat uitgangspunt inmiddels achterhaald en hanteren we nu het ‘assume breach’-principe. Daarbij gaan we er vanuit dat iedere organisatie op een bepaald moment getroffen zal worden door een cyberaanval. Beveiliging draait daarom niet meer zozeer om het buiten houden van aanvallers, maar om het zo snel mogelijk detecteren van ongewenste activiteiten, zodat je snel kan reageren en de schade kan beperken.
BIO en digitale veiligheid
Sinds 1 januari 2020 vervangt de BIO de baseline informatiebeveiliging gemeenten en zijn de vereisten voor informatiebeveiliging overheidsbreed gelijkgetrokken. De nieuwe baseline is gebaseerd op de ISO27001- en ISO27002-normen. Inmiddels zijn deze ISO-normen vervangen door nieuwere versies, maar zijn de BIO-eisen nog niet gewijzigd. Dat betekent dat gemeenten aan regels moeten voldoen die niet meer helemaal passen bij de huidige inzichten en eisen van cyberweerbaarheid. Toch moeten ze compliant zijn, wat ze voor een pittige uitdaging stelt.
De BIO vereist bijvoorbeeld dat een gemeente alle dataverkeer dat van buitenaf op het netwerk komt en vice versa, scherp in de gaten houdt. Maar doordat er steeds vaker end-to-end encryptie gebruikt wordt, is het bijzonder lastig om de inhoud van dat dataverkeer in te zien. Om een inschatting van een mogelijk securityincident te maken kan alleen naar de routering en het type verkeer worden gekeken, niet naar de inhoud. Waardoor het dus kan voorkomen dat een valide e-mail vanuit de gemeentelijke organisatie wordt verstuurd naar een IP-adres dat onverhoopt ook eens is misbruikt om bijvoorbeeld spam te versturen. Het gevolg is dat het beveiligingssysteem hierop een alarm geeft. Doordat meldingen worden gegenereerd op basis van enkel routering en type verkeer, ontstaan er veel false-positive meldingen. Deze meldingen worden allemaal gelogd en moeten onderzocht worden door een specialist. Dit is een tijdrovende klus. Bovendien zijn specialisten vaak niet voorhanden in een gemeentelijke organisatie. Hiervoor moeten externe specialisten ingeschakeld worden en dat is extra kostbaar. De hoeveelheid meldingen zorgt er vaak voor dat het onmogelijk is om door de bomen het bos nog te zien. Met als resultaat dat een daadwerkelijke aanval vaak te laat wordt opgemerkt.
Specialisten kijken mee
Gemeenten zijn dus op zoek naar een partner die hen kan helpen bij het beoordelen van de meldingen in de logfiles, want alleen daarmee zijn ze BIO-compliant. Hoewel we bij Eye Security van mening zijn dat cybersecurity zich vooral moet richten op vroege detectie en response op endpoints, helpen we onze gemeentelijke klanten met het beperkt verzamelen van hun netwerkmeldingen. Meldingen die meer aandacht verdienen, worden naar het SOC van Eye doorgestuurd. Daar worden slimme technieken toegepast om deze meldingen te combineren met meldingen uit de EDR-agents (Endpoint Detectie en Response) die draaien bij de klant. De securityspecialisten in ons Security Operations Center (SOC) kunnen op deze manier meekijken wat er op het netwerk en de endpoint devices van die gemeenten gebeurt. Zo kunnen we met minimale inzet toch belangrijke securitymeldingen beoordelen voor onze gemeentelijke klanten en helpen we ze te voldoen aan de BIO-richtlijn.
Actieve detectie
De rol van specialisten in het beoordelen van securitymeldingen is cruciaal. Natuurlijk wordt detectie- en responsesoftware steeds slimmer, maar uiteindelijk is een menselijke blik nog steeds onmisbaar om te kunnen beoordelen of de melding daadwerkelijk een malafide actie betreft, of dat het een ongewone, maar valide actie is. Een goed Endpoint Detection and Response-systeem (EDR) kan zowel actief als passief worden ingesteld. Wanneer een gemeente voor actief kiest, betekent dit dat het systeem zelfstandig processen kan stoppen op het moment dat het verdacht gedrag detecteert op het netwerk. Stel dat ineens in rap tempo bestanden versleuteld worden, dan kan er sprake zijn van ransomware, en kan het EDR-systeem het proces termineren. Maar wanneer een gebruiker zelf bestanden aan het versleutelen is, is het een legitieme actie en is het stoppen van het proces ronduit vervelend. Daarom is het belangrijk dat een mens een extra blik werpt en even checkt wat er precies gaande is.
Budget slimmer besteden
De meeste gemeenten hebben geen securityspecialisten in dienst die zich bezighouden met het beoordelen van beveiligingsmeldingen. Deze capaciteit wordt ingekocht bij securityleveranciers. Vaak wordt er in plaats van SOC-dienstverlening een incident response retainer afgesloten, waarbij je je er als gemeente van verzekert dat er specialistische kennis en capaciteit beschikbaar is op het moment dat zich een cyberincident voordoet. Het nadeel van deze constructie is dat er dan wordt gewacht tot het moment dat het mis gaat en het incident uit de hand is gelopen. Het is goedkoper om specialistische dienstverlening al in te huren vóórdat het mis gaat en de kennis en expertise van specialisten in te zetten om te zorgen dat je mogelijke incidenten in een vroeg stadium kunt detecteren en oplossen.
Gemiddeld heeft een hacker namelijk zo’n vier uur nodig om, nadat hij toegang tot het netwerk heeft, een tweede device te hacken. Wanneer er een afwijking op het netwerk wordt gedetecteerd, komt er vaak eerst een melding bij de helpdesk, zij moeten het escaleren naar de CISO en die moet bij de verantwoordelijke aan de bel trekken om te besluiten of er externe capaciteit voor incident response wordt ingeschakeld. Aan het inschakelen van die expertise hangt een prijskaartje. Voordat het besluit is genomen, is er vaak al veel meer dan vier uur verstreken, en ben je als organisatie te laat met reageren.
Door te investeren in SOC-dienstverlening kun je specialisten in een veel vroeger stadium laten meekijken met securitymeldingen, waardoor zij eerder aan de bel kunnen trekken en kunnen ingrijpen. Sterker nog, bij Eye Security besluiten we zelf wanneer het noodzakelijk is om in te grijpen. Wij hebben immers die expertise en worden daarvoor ingehuurd. Dat betekent dat onze klanten erop kunnen vertrouwen dat we ingrijpen wanneer de situatie daarom vraagt om zo zorg te dragen voor hun informatiebeveiliging. En mocht een cyberincident toch plaatsvinden, zit er standaard vier uur incident response in onze dienstverlening. Zo hebben gemeenten toch de garantie van hulp bij een cyberincident gecombineerd met veel snellere detectie en minder impact van een cyberaanval als voordeel.
De volgende stap voor gemeenten
Eye Security richt zich op vroege detectie van aanvallen en snelle respons, zodat een cyber aanval binnen vier uur is geneutraliseerd. Daarnaast is het voor gemeenten belangrijk om netwerkapplicaties goed te beveiligen en te toetsen of beleid en processen op orde zijn om uiteindelijk te voldoen aan de BIO-eisen. Daarom werkt Eye Security samen met Secura, een toonaangevende dienstverlener op het gebied van cybersecurity. Secura levert BIO volwassenheidsreviews gericht op beleid en maatregelen, een geïntegreerd security awareness en gedragsprogramma om gemeenten weerbaar(der) te maken, alsook de nodige kwetsbaarhedenscans, pentesten en red teaming om de technische en totale weerbaarheid van gemeenten te toetsen. De dienstverlening van Eye Security en Secura is complementair aan elkaar, waardoor gemeenten een groot deel van hun BIO-uitdagingen kunnen afdekken wanneer beide bedrijven samen worden ingeschakeld.
Meer informatie
Uiteindelijk moet het doel niet zijn om zoveel mogelijk vinkjes te zetten, maar security effectief te implementeren binnen uw gemeente. En hoewel wettelijke richtlijnen de snelheid waarmee de digitale wereld zich ontwikkelt lastig kunnen bijhouden, staan compliancy en security krachtig naast elkaar op de gemeentelijke agenda. En daar helpen we je graag bij. Neem contact op voor meer informatie over ons flexibele contract voor gemeenten.
