Veel gemeenten zijn de afgelopen twee jaar druk bezig geweest met het verbeteren van de informatiebeveiliging door onder andere het invoeren van de Baseline Informatie beveiliging Nederlandse Gemeenten (BIG) en het uitvoeren van de verplichte audits en onderzoeken, zoals recent het onderzoek naar de beveiliging van Suwinet, het systeem van informatie- uitwisseling in de keten van werk en inkomen.
Veel gemeenten zijn de afgelopen twee jaar druk bezig geweest met het verbeteren van de informatiebeveiliging door onder andere het invoeren van de Baseline Informatie beveiliging Nederlandse Gemeenten (BIG) en het uitvoeren van de verplichte audits en onderzoeken, zoals recent het onderzoek naar de beveiliging van Suwinet, het systeem van informatie- uitwisseling in de keten van werk en inkomen.
Auditlast
Er kan worden vastgesteld dat de auditlast de afgelopen twee jaar helaas niet structureel verminderd is. Wel zijn enkele verplichte audits veranderd in self assessments, zoals voor de Basisregistratie personen (BRP) en reisdocumenten. Maar op 19 november jl. kondigde staatssecretaris Jetta Klijnsma via een brief aan gemeenten een extra auditverplichting aan: de Suwinet-audit, dit in het kader van de Suwinet-beveiliging.
Vanuit het ministerie van Binnenlandse Zaken en Koninkrijksrelaties wordt, met betrokkenheid van de informatiebeveiligingsdienst, onderzocht of een eenduidige Normatiek Single Informatie Audit (ENSIA) kan worden geïntroduceerd binnen de (lokale) overheid. Het doel van ENSIA is om te komen tot een vermindering van de verantwoordings- en auditinspanning bij gemeenten en andere overheden. De ENSIA kan dus daadwerkelijk zorgen voor het verlagen van de auditlast, maar zover is het nog niet.
Naar verwachting zullen gemeenten ook voor 2016 de bestaande verplichte audits en self assessments moeten uitvoeren. Een belangrijk onderdeel in deze audits vormt de bewijslast met betrekking tot logging en monitoring om beveiligingsincidenten te kunnen detecteren en hierop adequaat te kunnen reageren. Het Nationaal Cyber Security Centrum heeft hiervoor een uitgebreide handreiking voor implementatie van detectie-oplossingen gepubliceerd. In deze handreiking worden diverse oplossingen besproken en uitgediept waaronder SIEM-oplossingen. SIEM staat voor Security Information & Event Management.
De SIEM-oplossing
Een SIEM-oplossing bestaat uit een of meerdere systemen die logginginformatie van diverse componenten binnen de ICT-infrastructuur verzamelt, zoals loginformatie van netwerkcomponenten, operating systemen, databases, firewalls, etc. De SIEM-oplossing probeert vervolgens de loginformatie en de structuur van de logregels te begrijpen en te verwerken door de logregels te vergelijken met een voorgedefinieerde lijst van SIEM-regels. Deze SIEM-regels bevatten de interne logica en kunnen logregels met elkaar vergelijken en correleren. Zo worden verbanden en patronen herkend. Ook onwenselijke patronen en gebeurtenissen worden op deze manier herkend en gerapporteerd. Met een SIEM-oplossing kunnen real-time en geautomatiseerd acties worden ondernomen bij het detecteren en analyseren van opvallende/onwenselijke patronen en gebeurtenissen die kunnen leiden tot security-incidenten.
Een SIEM-oplossing draait veelal binnen een SOC (Security Operations Center). In het SOC werken gecertificeerde en ervaren security-specialisten aan het monitoren, detecteren, opvolgen van en rapporteren over beveiligingsincidenten, onder andere met behulp van een SIEM-oplossing. Deze werkzaamheden worden op continue basis (soms 7x24x365) uitgevoerd.
Vanuit wet- en regelgeving wordt in toenemende mate vereist om aantoonbaar controle te hebben over de informatiebeveiliging. Het inzetten van SOC-/SIEM-diensten door gemeenten kan een waardevol onderdeel zijn bij het aantoonbaar beheersen van informatiebeveiliging door het uitvoeren van interne en externe controles en audits en het bewaken van security-incidenten.
Gerald.Lijesen@Sincerus.nl, Gerald Lijesen is managing partner bij Sincerus.
