partnermenu

zoeken binnen de website

Partnerpagina KPN

KPN logo

‘Securitybeleid vraagt om meer dan de som der delen’

artikelen | 21 januari 2020

De Wet digitale overheid en de digitale agenda vragen erom dat overheden de security van hun ICT regelen op bestuursniveau. Dat is een grote uitdaging, vooral voor organisaties die minder kennis en middelen in huis hebben. Maar met de nieuwe Baseline Informatiebeveiliging Overheid wordt effectieve security juist toegankelijk, zo zeggen Ray Jacobs en Remco Geerts van KPN Security.

plaatje bij verhaal KPN

Beeld: Shutterstock

ICT-beveiliging was altijd al belangrijk voor overheidsinstellingen. Maar door de digitalisering van diensten krijgt dit nóg meer prioriteit. Overheidsinstanties werken met steeds meer persoonsgegevens en moeten deze effectief en aantoonbaar beveiligen. Daarnaast geldt dat hoe meer diensten digitaal worden aangeboden, des te meer mogelijkheden fraudeurs hebben om hier misbruik van te maken. De impact van identiteitsfraude is groter geworden, waardoor het belang van goede beveiliging alleen maar groeit.

Daarom vraagt de voorgestelde Wet digitale overheid, die nu bij de Tweede Kamer ligt, om een meer structurele securityaanpak. Niet alleen beschermen de organisaties zichzelf zo beter, maar ze kunnen ook duidelijker laten zien dat hun security­niveau op minstens hetzelfde niveau ligt als bij andere overheidsorganisaties. Dat lag voorheen moeilijker. Hoewel overheden zich al langer houden aan geaccepteerde normenkaders voor informatiebeveiliging – zoals NEN/ISO 27001 en NEN/ISO 27002 – bestonden er op detailniveau verschillen. “Het is een absolute eis dat alle overheden daarvoor dezelfde uitgangspunten hanteren”, zegt Remco Geerts, Business Development Security Services bij KPN Security. “Overheden vloeien steeds meer in elkaar over. Ze delen informatie en ICT-infrastructuren met elkaar, en moeten daarbij aan allerlei regels voldoen. De controle daarop was erg ingewikkeld.”

Eén baseline

“Daarom is vanaf 1 januari 2020 de Baseline Informatiebeveiliging Overheid, de BIO, verplicht. Dat is een set maatregelen die voor een basisniveau zorgen”, zegt Geerts. “Dat vormt de kern van de uitvoer van de Wet digitale overheid. Op basis van de BIO krijgt het beleid verder vorm en is integratie van digitale overheidsdiensten beter mogelijk. De overheid is daarmee in staat om door de keten heen te toetsen aan dezelfde securitybaseline.”

Het idee van baselines is verre van nieuw. Alle overheids­lagen werkten al met baselines. Maar de BIO brengt enkele grote veranderingen. Twee daarvan steken erbovenuit, zo zegt Ray Jacobs, Chief Information Security Officer voor de VNG bij KPN Security. “Voorheen werkte iedere overheidsorganisatie met zijn eigen baseline: de BIR voor het Rijk, de BIG voor gemeenten, enzovoorts. Die worden vervangen door één enkele baseline waar alle overheden mee gaan werken.” Het voordeel daarvan is dat ieder overheidsonderdeel op dezelfde manier omgaat met bijvoorbeeld vertrouwelijke gegevens. “Dat biedt burgers en ondernemers zekerheid. Maar ook voor de toetsende instanties biedt het grote voordelen. Controle is veel eenvoudiger als alle overheden zich aan dezelfde baseline conformeren.”

Meer risicobeheersing

Een misschien wel groter verschil met de voorgaande situatie is dat de BIO zich meer richt op het risicoprofiel, in plaats van op specifieke technologie. “Je hebt twee manieren van het inrichten van security”, zegt Jacobs. “De eerste is de technische aanpak. Je stelt dan eigenlijk vast dat je bijvoorbeeld een firewall nodig hebt om onbevoegd verkeer van buiten te blokkeren, en zet daarom een firewall neer. Maar je kunt ook werken vanuit een risicoprofiel.” Vanuit het risicoprofiel wordt gekeken naar het beleid, en dat vertaal je vervolgens door naar de maatregelen. “De voorgaande baselines legden meer nadruk op de technische aanpak. De BIO gaat echter uit van risicobeheersing en maakt de stappen inzichtelijker.”

Dat lijkt alles ingewikkelder te maken. Om een maatregel te implementeren moet je nu rekening houden met het verlagen van het integraal risicoprofiel, waar dat voorheen wellicht gericht was op endpoint solutions. Maar Jacobs maakt de vergelijking met de autobranche. “Volvo was in 1959 de eerste die standaard driepuntsgordels installeerde in zijn modellen. Nu is dat slechts een deel van de complete oplossing, want naast de gordel heb je maatregelen als ABS, airbags en elektronische hulpmiddelen. Een veiligheidsgordel heeft op zichzelf veel minder impact dan in combinatie met al die andere maatregelen. Dat grotere geheel van oplossingen afgestemd op het dreigingslandschap, dát is je risicoprofiel. Je zoekt iets dat meer waard is dan de som der delen.” Net als met verkeersveiligheid, is het onmogelijk om de security 100 procent waterdicht te krijgen. “Maar je kunt wel het risico minimaliseren. Er zullen altijd aanrijdingen zijn. Maar behalve dat je het aantal aanrijdingen verkleint, minimaliseer je ook de schade en de kans op ernstige verwondingen.”

Mensen spelen, net als in het verkeer, eveneens een belangrijke rol in cybersecurity. Geerts voegt er daarom aan toe dat bewustwording een belangrijk deel is van het hele security­programma. “De keten is zo sterk als de zwakste schakel, en dat is de mens.” Hij wijst erop dat menselijke fouten de belangrijkste oorzaken zijn van ICT-incidenten. “Je moet de mensen dus meenemen in het risicomanagement.” De techniek moet de medewerkers bij instanties ondersteunen. “Menselijk falen moet je aan de ene kant zoveel mogelijk beperken met techniek. Maar je moet de medewerkers ook opleiden en informeren over de risico’s.”

Weten waar je staat

Om beleid te maken en maatregelen te nemen, moeten instanties echter eerst weten waar ze staan. Dat is op zich al een uitdaging, zo zegt Geerts. “Organisaties die meer ervaring met security hebben, zijn beter en sneller in staat om hun situatie goed vast te stellen.” Een organisatie die minder met deze onderwerpen bezig is geweest, kan volgens Geerts juist moeilijkheden ondervinden bij het vaststellen van het securityniveau. “Het ironische is dus dat juist de organisaties die waarschijnlijk de meeste verbeteringen door moeten voeren meer uitdagingen hebben bij het vaststellen van hun securitybehoefte.”

De oplossing voor deze schijnbare tegenstelling zit volgens Geerts en Jacobs in de verdeling van de security in drie verschillende domeinen of percelen. Ieder perceel kenmerkt een andere securitybehoefte: SIEM/SOC, securityproducten en security-services. KPN Security vult zelfs alle drie de percelen in met zijn portfolio voor GGI-Veilig. De percelen maken het mogelijk om heel systematisch om te gaan met het vaststellen van het risicoprofiel.

“Het eerste perceel bestaat uit de oplossingen voor Security Information and Event Management, SIEM, waarmee je ongeautoriseerde en afwijkende activiteiten vaststelt”, zegt Jacobs. “Dat gaat echter verder dan alleen het vaststellen van mogelijk kwaadaardige inlogpogingen. In plaats daarvan kijkt het naar patronen en stelt het vast welke incidenten bij elkaar horen en waar het onderliggende probleem kan zitten.” Op basis van deze informatie is het óók mogelijk om oplossingen in perceel 2 in te richten. “Dat zijn de beschermende oplossingen waarmee de organisatie op onderdelen kan voldoen aan de BIO. Daarbij staan de oplossingen niet op zichzelf, maar gaat het om de synergie, waardoor ze aantoonbaar bijdragen aan de baseline.” Het derde perceel zijn de aanvullende diensten die organisaties helpen met bijsturen. “Dan hebben we het over bijvoorbeeld professionele penetratietesten, waarmee organisaties de IT-security in de praktijk op de proef stellen.”

Geerts en Jacobs benadrukken dat een lage drempel voor het vaststellen van de securitystatus essentieel is voor het succes van de digitale overheid. “Ooit had je al een bepaald securityniveau nodig om goed vast te kunnen stellen hoe de vlag erbij hing”, zegt Jacobs. Dat kip-eiverhaal lijkt eindelijk doorbroken. “Nu is het mogelijk vanuit het SIEM-startniveau direct globaal inzicht te krijgen in de volwassenheid van de eigen security-omgeving. Daarna biedt het de mogelijkheid om op zeer pragmatische wijze een security-implementatieplan op maat uit te voeren door middel van kleine stappen met grootse impact.”

tags:

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.