Cyberweerbaarheid is geen ICT-feestje

LEESTIJD: 5 MIN

Binnen SURF werken universiteiten, hogescholen, mbo-instellingen, UMC’s en onderzoeksinstellingen samen om de best mogelijke digitale diensten in te kopen of te ontwikkelen en om kennisdeling te stimuleren door steeds te blijven innoveren. Hoe organiseer je je als sector gezamenlijk op het gebied van digitale weerbaarheid? Wat zijn de do’s en don’ts en wat zijn de geleerde lessen? Aan het woord is Remco Poortinga - van Wijnen, teamhoofd Security & Privacy bij SURF.

Wat is de rol van SURF in het voorkomen en in het bestrijden van cyberverstoringen?

‘SURF is de ICT-coöperatie van het onderwijs en onderzoek in Nederland. Het is een echte samenwerkingsorganisatie: binnen en met SURF werken de aangesloten instellingen samen op allerlei gebieden, waaronder security en privacy. Vanuit SURF ondersteunen we onze leden op het gebied van security en privacy door een goede mix te bieden van diensten en dienstverlening op het gebied van Techniek, maar ook op het gebied van Awareness en Organisatie: we noemen dat de TAO van cybersecurity Beveiliging is namelijk meer dan ICT alleen! Weerbaarheid verhogen is alleen mogelijk als je aandacht hebt voor al deze drie onderdelen. Naast technische diensten zoals een Security Operations Centre (SURFsoc) biedt SURF ook awarenesstrainingen en -materialen, sectorbrede cyberoefeningen, assessments en ondersteuning bij cyberincidenten (SURFcert). Ook zijn er twee grote community’s die, al dan niet vertrouwelijk, informatie uitwisselen.’

Remco Poortinga - van Wijnen

Wat is de functie van het Computer Emergency Response Team (CERT)?

‘SURFcert is het oudste CERT-team van Nederland en viert dit jaar haar 30-jarig jubileum! Dit team is 24/7 bereikbaar. SURFcert ondersteunt en coördineert bij incidenten en probeert het SURF-netwerk het schoonste netwerk van de wereld te houden. Bijvoorbeeld door instellingen erop te wijzen dat er iets in hun netwerk staat dat misbruikt kan worden voor DDoS-aanvallen. Bij (grootschalige) incidenten is SURFcert het knooppunt van informatie. Zo probeert het team informatie samen te brengen, te checken en weer te delen – ook in samenwerking met het Nationaal Cyber Security Centrum (NCSC) – via bijvoorbeeld white papers of op afgeschermde wiki-pagina’s. Dat is ook erg fijn voor de instellingen die onder vuur liggen. Die zijn dan geen tijd kwijt om andere instellingen op de hoogte te brengen en te houden; ze hebben op zo’n moment ook al genoeg aan hun hoofd natuurlijk.

Het NCSC heeft SURFcert aangewezen als sector CERT. Dat houdt in dat het NCSC en SURFcert voor de sector onderwijs en onderzoek dreigingsinformatie met elkaar mogen delen.

SURFcert is zelf ook een mooi voorbeeld van samenwerking: het wordt voor de helft bemenst door professionals van de instellingen en voor de helft door professionals van SURF. SURF (en dus ook SURFcert) heeft altijd een ondersteunende rol; beveiliging blijft altijd de verantwoordelijkheid van de instelling(en) zelf.’

Hoe is het Security Operations Center (SOC) ontstaan en wat was daarvoor nodig?

‘Mede door de toenemende dreigingen op cybersecuritygebied ontstond er vanuit de instellingen behoefte aan meer actieve 24/7 monitoring van hun eigen systemen. Die behoefte kwam in een stroomversnelling door de ransomware-aanval bij de Universiteit Maastricht eind 2019. We hebben toen eerst de behoefte bepaald en bekeken welke expertise we uit de markt wilden halen. Vervolgens zijn we met commitment van de instellingen een aanbesteding gestart. Daar is Fox-IT als winnaar uitgekomen. Een jaar na de start van het project konden we echt beginnen met SURFsoc als dienst en de eerste instellingen aansluiten.’

‘Cyberweerbaarheid is voor de hele organisatie en vraagt om aandacht voor zowel de aspecten Techniek, Awareness, als Organisatie.’

Wat zijn do's & don’ts? Wat moeten we absoluut samen doen en wat moeten we niet doen?

‘Voor elke dienst, zo ook voor SURFsoc, werken we met experts van instellingen om exact te bepalen waar zij behoefte aan hebben en dit vervolgens te realiseren. Een goede projectleider, die dit proces aanstuurt en ook zorgt voor regelmatige afstemming met de ingerichte stuurgroep en met de hogere echelons van alle instellingen, is daarbij onmisbaar. Maar een gezamenlijk SOC kan niet voor iedereen maatwerk leveren, vooral als het gaat over hoe een organisatie intern de beveiligingsprocessen heeft geregeld. Plat gezegd: een SOC kan niet weten dat ‘Pietje van de Windows-systemen is’. Ook moet een instelling de interne incidentafhandeling op orde hebben en goed ‘koppelen’ aan SURFsoc. Daarbij moeten ze goed nadenken over de afhandeling van incidenten. Want 24/7 monitoring is vrij zinloos als het incident door de instelling alleen tijdens kantooruren kan worden opgepakt (uiteraard afhankelijk van de gradatie van een incident).

Een ander belangrijk punt is aansluiting op al bestaande dienstverlening, zoals in ons geval SURFcert. Zo kan SURFcert meekijken en een inschatting maken of iets mogelijk ook voor andere instellingen van belang is om in de gaten houden; ongeacht of een instelling is aangesloten op SURFsoc of niet. Op die manier heeft SURFsoc een breder effect en belang dan alleen voor de op die dienst aangesloten instellingen.’

Welke lessen/tips heeft u voor andere sectoren om hun cyberweerbaarheid te versterken?

‘Haal het uit de sfeer van ‘cyberweerbaarheid is een ICT-feestje’. Cyberweerbaarheid is voor de hele organisatie en vraagt om aandacht voor zowel de aspecten Techniek, Awareness, als Organisatie. Evenwichtige aandacht voor al die aspecten is belangrijk, waarbij je uiteraard rekening houdt met de (grootte van de) risico’s. Dit is ook een onderwerp dat op de bestuurstafel thuishoort; zorg dus dat iemand in het bestuur dit in zijn of haar portefeuille heeft.

Daarnaast is het belangrijk dat er bij een incident direct contact is tussen CERT team(s) en crisisteam en/of bestuur. Als alles lekker loopt kan het wel via de lijn lopen, maar juist in crisissituaties moet je snel reageren en zorgen dat informatie direct gedeeld kan worden. Zorg dus voor een goed crisisplan en oefen dat ook regelmatig, daarmee zorg je ervoor dat het ‘inslijpt’ en dat je kreukeltjes in de afhandeling die je dan tegenkomt kunt recht strijken.

Het allerbelangrijkste is wel het creëren van community’s van professionals waarbinnen veilig informatie en ervaringen gedeeld kunnen worden. Het stelt (professionals van) instellingen in staat om van elkaar te leren en elkaar te helpen en voorkomt dat iedereen het wiel opnieuw probeert uit te vinden. Het helpt SURF ook om gezamenlijke behoeftes te zien die we dan weer mooi samen op kunnen pakken.’

‘Het allerbelangrijkste is wel het creëren van community’s van professionals waarbinnen veilig informatie en ervaringen gedeeld kunnen worden.’

Is voorkomen beter dan genezen of moet je incalculeren dat het soms mis gaat en zorgen dat je dan weet wat je moet doen?

‘Algemeen gesteld: je moet je weerbaarheid verhogen. Natuurlijk wil je zoveel mogelijk voorkomen, het is ook altijd beter als dat lukt. Maar ongeacht alle maatregelen die je neemt: je kunt nooit voorkomen dat er dingen misgaan. Dan is het belangrijk dat je weet hoe je moet handelen om snel weer ‘up and running’ te zijn. Ook dat kun je voorbereiden en oefenen! Vandaar dat SURF om het jaar een grootschalige sectorbrede cybercrisisoefening organiseert. Het blijft een continu verbeterproces: als het goed is leer je ook weer van ieder incident. Je bent dan ook nooit ‘klaar’ met cybersecurity.‘

Waarom zet u zich in voor het bestrijden van cybercriminaliteit, wat is uw persoonlijke missie?

‘Samenwerking van onderwijs en onderzoek in Nederland is erg succesvol en leuk, maar cybercriminaliteit verstoort dat! Het bestrijden van cybercriminaliteit is dan helaas een noodzakelijk kwaad. Tegelijkertijd pakken we die bestrijding en het verhogen van de weerbaarheid op dezelfde manier aan, samen dus. Wordt het toch weer leuk en hopelijk ook succesvol.‘

Meer informatie over SURF

(ir.) Remco Poortinga - van Wijnen werkt sinds 2008 bij SURF, waar hij begon als Technisch Product Manager middleware services en projectmanager. Sinds 2016 is hij teamhoofd Security & Privacy en zijn hij en zijn team verantwoordelijk voor het leveren van securitydiensten aan op SURF aangesloten instellingen. Voor SURF werkte hij anderhalf jaar bij Ericsson en bijna tien jaar bij het Telematica Instituut als software engineer/architect. Hij rondde in 1997 zijn studie Electrotechniek af aan de Universiteit Twente.

OOK INTERESSANT VOOR U:

Drie dagen op zwart door suikersoftware Apache Log4J

Kruisbestuiving cruciaal

Kennishoek

AANMELDEN:

Wilt u nieuwe edities van het Platform voor CrisisManagement per mail ontvangen? Meldt u zich dan aan!

DELEN:

deel deze pagina: