Diensten Logius voor iedereen veilig
Rükiye Aytekin werkt bij het Security Operations Center (SOC) van Logius, dat de computer- en netwerkactiviteiten van de organisatie monitort. Ze organiseert oefeningen met DDoS aanvallen. Monitoren, testen en oefenen helpen de dienstverlening van Logius zo veilig mogelijk te houden.
Overheidsvoorzieningen
Logius beheert belangrijke digitale overheidsvoorzieningen voor burgers, zoals DigiD en MijnOverheid. Minder bekend zijn de voorzieningen voor bedrijven en andere overheidsorganisaties, zoals Digikoppeling en Digimelding. Veiligheid is één van de speerpunten voor Logius, vertelt Rükiye Aytekin, SIEM specialist bij Logius. “Wanneer je zakendoet met de overheid moet dat op een veilige manier gebeuren.
We werken bij Logius met belangrijke gegevens, het overgrote deel persoonsgegevens. Daarnaast willen we dat de diensten van Logius ook toegankelijk zijn en gemakkelijk te gebruiken. En dat staat soms op gespannen voet met veiligheid.” Hoewel ze zich realiseert dat 100 procent veilig niet mogelijk is, is dat wel het streven van de organisatie: “Zo veilig mogelijk voor iedereen die gebruik wil maken van de dienstverlening van Logius.”
Effectiever
Logius heeft nu ongeveer 2 jaar een eigen SOC; een Security Operations Center. Dat monitort de computer- en netwerkactiviteiten in de organisatie, kijkt naar kwetsbaarheden en dreigingen. Log-informatie van applicaties en apparaten in het bedrijfsnetwerk wordt verzameld en onderzocht op afwijkende zaken. Security Information and Event Management (SIEM) is een oplossing die organisaties inzicht geeft in activiteiten binnen hun netwerk, zodat ze snel op potentiële gevaren kunnen reageren. Aytekin vertelt: “Doel van het SOC is dat Logius effectiever om kan gaan met dreigingen of met incidenten. We zijn nu bij incidenten minder afhankelijk van leveranciers. Ook bouwen we nu meer kennis en expertise binnen onze eigen organisatie op, en kunnen sneller reageren op incidenten omdat we zelf direct weten wat er gebeurt. Belangrijk, want snel handelen is essentieel als er wat mis is en het de diensten van Logius raakt.”
“Zo veilig mogelijk voor iedereen die gebruik wil maken van de dienstverlening van Logius.”Rükiye Aytekin – Logius
Samenwerken
In de opbouwperiode van het SOC is gekozen voor een hybride vorm, zodat Logius in de samenwerking met de leverancier kan leren. “De eerste lijn, daarop komen alle meldingen binnen. Zij voeren een eerste analyse uit en zetten de meldingen door naar de tweede lijn. De tweede lijn bestaat uit een combinatie van medewerkers van Logius en de leverancier. Wanneer er verdere analyse nodig is, gaat het weer naar de derde lijn, die bestaat alleen uit medewerkers van Logius zelf.” Het SOC werkt intensief samen met de teams van de diensten – zoals DigiD en MijnOverheid, benadrukt Aytekin. ”Die samenwerking is cruciaal. Wij kunnen wel iets detecteren, zij kunnen het beter plaatsen. Dan wordt bijvoorbeeld duidelijk of wat we zagen in de systemen een legitieme actie was, of dat er iets aan de hand is waar we samen op moeten doorpakken.”
Eigen pentester
Die dienstenteams hebben eigen informatiebeveiligingsprofessionals. “Ieder team is verplicht om jaarlijks een risicoanalyse te doen, te kijken waar kwetsbaarheden zijn en daarop te handelen.” Ook de verantwoordelijkheid voor testen ligt bij de diensten. Het Logius SOC heeft sinds kort een eigen pentester in dienst. Tijdens een pentest (kort voor penetration test) probeert de tester in te breken en kwetsbaarheden te vinden. “Diensten kloppen aan bij de tester wanneer ze iets nieuws hebben gemaakt, of willen kijken of iets nog naar behoren werkt.” Aytekin merkt dat een eigen pentester de drempels verlaagt. “Wanneer de diensten het uitbesteden, zijn de kosten hoger en is de doorlooptijd langer. En dit is veel sneller, want de lijnen zijn korter. Niet alle pentesten worden uitgevoerd vanuit het Logius SOC, we maken nog steeds veel gebruik van de uitbestede pentest dienstverlening en zullen dit ook blijven doen.”
Oefenen
Logius doet mee aan de oefeningen van de anti-DDoS-coalitie, een samenwerkingsverband van overheden, internetproviders, universiteiten om zich gezamenlijk te kunnen wapenen tegen DDoS aanvallen. Aytekin is de spelleider vanuit Logius. “2 keer per jaar simuleren we DDoS aanvallen. Hoe dat eruit ziet? We hebben 2 teams. Team Rood valt aan, team Blauw verdedigt. Blauw doet eigenlijk niks anders dan wat ze normaal gesproken ook zouden doen. Team Rood bestaat uit collega’s van verschillende organisaties die verstand hebben van het schrijven van scripts en het afvuren van aanvallen.”
Zo scherp mogelijk
De organisatie van zo’n oefening kost haar veel tijd, maar is zeker de moeite waard, stelt ze. “We kijken er altijd met heel veel trots op terug. Je wilt in zo’n oefening je blauwe team zo scherp mogelijk hebben, en daarvoor ook dusdanig opleiden. We testen onze systemen en proberen daarin echt de grenzen op te zoeken. We halen er steeds hele fijne leerpunten uit.” Zo’n oefening doe je niet elke week, stelt ze. “Je haalt je systemen uit de lucht. Dat is niet fijn voor de burger of voor andere personen die daar gebruik van maken.” Daarom kiezen ze ervoor de oefeningen ’s nachts te doen.
Wat is een DDoS-aanval?
Bij een DDoS-aanval probeert een groot aantal computers contact te maken met een server. Cybercriminelen proberen op die manier om de server te overladen met webverkeer, waardoor een website of dienst onbereikbaar wordt. Meer informatie bij de
Nationale DDoS Coalitie. Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @DigitaleOverheid@social.overheid.nl
#cyberincident #cyberoefening #Ddos #hacker #nieuwsbrief192023
