In het regeerakkoord is afgesproken dat in 2017 alle dienstverlening van de overheid, en dus ook de lokale overheden, aan burgers en bedrijven op digitale wijze moet verlopen. Minister Plasterk heeft dit in een visiebrief uitgewerkt en in mei 2013 aan de Kamer verstuurd. Nu, bijna drie jaar later, is er al een behoorlijke stap gezet, maar moet er zeker ook nog veel gebeuren.
In het ontwerp van de meeste diensten wordt primair gekeken naar functionaliteit. Begrijpelijk, maar deze beweging richting verhoging van afhankelijkheid van ict-componenten brengt ook een verhoging van het risico op beveiligingsincidenten met zich mee. Het zou daarom verstandig zijn als overheidsorganen tegelijkertijd rekening houden met maatregelen die juist die risico’s verminderen of wegnemen. Een logische keus is dan ook om SIEM of realtime securitymonitoring toe te passen. Maar pas op! Securitymonitoring is veel meer dan een ‘doos’ in het netwerk hangen en wachten op berichtjes die alarm aanduiden. Daarmee is het beveiligingsniveau niet significant geholpen. Dergelijke oplossingen bieden over het algemeen slechts een deeloplossing en ontstijgen nauwelijks het niveau van de virusscanner of IDS. SIEM en realtime securitymonitoring reiken met hun tentakels tot diep in de bedrijfsprocessen en zorgen, bij een goede implementatie, ervoor dat de organisatie daadwerkelijk in control kan komen.
Cruciale factoren die SIEM meer waarde geven dan de doorsnee ‘probes’ en ‘malware detection oplossingen’ zijn correlatie, threat intelligence en menselijke analyse. Bovendien is dit dusdanig specialistisch werk dat de ict-afdeling van een gemiddelde gemeente niet in staat is om dit te managen. Het is niet zo ingewikkeld om een server met SIEM-software in te richten, maar de waarde van deze kostbare installatie is zeer afhankelijk van wat men ermee doet.
Correlatie van gebeurtenissen die op verschillende plaatsen in de ict-infrastructuur zijn voorgekomen geeft een beter beeld van mogelijk verdachte activiteiten. Denk bijvoorbeeld aan een kleine buurtwinkel. Tijdens openingsuren wordt de toegangsdeur meermaals geopend. Dit kan als afzonderlijke events geregistreerd worden. Ook de kassalade zal meermaals open en dicht gaan. Opnieuw een aantal geregistreerde events. Meestal gaat die kassalade open en dicht in combinatie met het aanslaan van producten. Nogmaals eventsregistratie. Als door correlatie blijkt dat de winkeldeur opengaat en daarna de kassalade zonder eventregistratie en zonder aanslagen op de kassa opengaat, kan dit als een alarm gedefinieerd worden. Helemaal als door nieuwsberichten of uit betrouwbare bron gebleken is dat er een dievenbende actief is in de buurt. Het personeel kan geïnstrueerd worden om waakzaam te zijn en dit alarm kan gelijk opgemerkt worden. Kortom: threat intel. Daarmee kunnen op proactieve wijze risico’s verminderd worden.
De derde cruciale component is de menselijke analyse. Hoe geavanceerd technologische hulpmiddelen ook zijn, het is toch nodig om menselijke intelligentie en gezond verstand bij de analyse te betrekken. Sommige events zijn immers niet zo zwart-wit als een digitale processor ze genereert. Het menselijke verstand, met voldoende kennis van zaken, zal een belangrijke rol blijven spelen in het SIEM-proces. Daarom ook is het voor de doorsnee ict-afdeling of securitymanager vrijwel onmogelijk om zelf uit te voeren. De schoenmaker werd ook altijd verteld dat hij bij zijn leest moest blijven om te voorkomen dat hij dingen ging doen die anderen veel effectiever, beter en kostenefficiënter konden.
De overheid volledig digitaal is een positieve ontwikkeling in de dienstverlening van en naar burgers en bedrijven. De bijkomende en verhoogde risico’s hoeven ook niet echt een probleem te worden. Daarvoor is wel een strategisch juiste keuze noodzakelijk voor het onderbrengen van securitymonitoring bij een vertrouwde partner en specialist.
Peter Westerveld is directeur Sincerus consultancy B.V.
