Information Security Officer Leslie Postema: Een POC voor een SOC, hoe gaat dat?
Waterschap Zuiderzeeland is één van de drie waterschappen die mee heeft gedaan met de Proof of Concept (PoC) van het Security Operation Centre (SOC). Leslie Postema, werkzaam als Information Security Officer (ISO) & ICT-Solutions Architect bij Waterschap Zuiderzeeland verteld hoe dit is verlopen en wat hij andere waterschappen uit deze POC mee kan geven.
Omgevingsmanager Ronald Holdijk was benieuwd hoe de POC is verlopen en stelt Leslie graag wat vragen.
Laten we bij het begin beginnen. Wat was voor jou de aanleiding om mee te doen aan de PoC?
In een tijd, waarin informatietechnologie (IT) zich in een razend tempo ontwikkelt, bestaat de kans dat het domein Procesautomatisering (PA) domein ‘het slachtoffer’ wordt van misbruik of afpersing. Dit heeft zeer negatieve gevolgen kunnen hebben voor de primaire taken waar het Waterschap verantwoordelijk voor is. Internetcriminelen zijn voortdurend op zoek naar nieuwe mogelijkheden om hun aanvallen uit te voeren. Met welk doel dan ook.
“Waterschap Zuiderzeeland wapent zich hiertegen en wil daarom steeds gedetailleerder weten wat er binnen de technische infrastructuur en de daaraan gekoppelde assets gebeurd. Steeds actiever monitoren van het digitale dataverkeer met sectorbrede kennis is daarbij een belangrijk punt.”
We wilden bovenop de bestaande monitoringoplossingen kijken hoe sector-gespecialiseerde SoC oplossingen van waarde zijn. In die verkenning bood hWh aan om aan te sluiten bij een PoC van RWS.
Hoe heb je het object, een zuivering, geselecteerd?
Om succesvol aan de PoC te kunnen deelnemen moeten er een paar randvoorwaarden worden ingevuld. Je moet inzichtelijk hebben hoe je datastromen op hoofdlijnen verlopen en een object kiezen waar de infrastructuur in de basis op orde is. In overleg met het CERT-WM heb ik gekozen voor een afvalwaterzuivering. Dat is immers een belangrijk object binnen onze taken. Een proces waarvan je zeker wilt zijn dat het ongestoord blijft functioneren. Op deze afvalwaterzuivering hadden de zaken naar mijn overtuiging ‘goed voor elkaar’.
Kun je meer vertellen over hoe het implementeren verliep?
Op de afgesproken dag kwamen de collega’s van RWS langs met een paar dozen apparatuur. Ik was onder de indruk, ze waren duidelijk goed voorbereid. Er wordt een soort diode in het netwerk gezet, die niet ingrijpt in het dataverkeer, maar alleen ‘luistert’. Het is een installatie die volledig buiten je netwerk staat, maar wel je netwerkverkeer monitort. Het netwerkverkeer wordt op een centrale plek op verdachte patronen geanalyseerd. Vervolgens hebben we een aantal manipulaties uitgevoerd, zogenaamde use-cases, om te testen of de software in het SOC deze detecteerde. En, dat werkte! Er bleek dat de bestaande software van het SOC, vrijwel onmiddellijk uit de voeten kon met de datastromen van en naar de zuivering. Aan de hand van de eerste monitoringsresultaten hebben we de software kunnen finetunen, waardoor deze nog zuiverder analyseert en minder vals-positieve meldingen geeft
Wat heeft de PoC jou opgeleverd?
Voortschrijdend inzicht, veel data is beschikbaar, deze PoC helpt ons om ‘vreemde zaken’ sneller te laten bovendrijven. Het heeft ook een aanscherping gegeven op de interne opvolging van meldingen. De software levert relevante meldingen op, waar je intern snel op kunt acteren. Dat moet je intern dan wel goed georganiseerd hebben, uiteraard. Daarnaast heb ik de uitwisseling met RWS als zeer waardevol ervaren. Zij kijken met een frisse blik en een actuele kennis van zaken naar je netwerkinfrastructuur. Voor mij leverde het een bevestiging op dat we de zaken goed voor elkaar hebben. Maar zo’n frisse blik kan je ook helpen om een mogelijke blinde vlek te onderkennen.
Deze leerervaring verwerken we en vergelijken we met eventuele marktoplossingen en hun toegevoegde waarde. Voor ons staat vast dat het hebben van een gespecialiseerde SoC dienst voor PA van waarde is.
Wat zou je je collega’s bij andere waterschappen willen meegeven?
Start met een goede risico-inventarisatie. Weet wat je kritieke objecten zijn en wat de dreigingen zijn waartegen je je wilt wapenen. Je kunt nu eenmaal niet alles monitoren en niet alles is even relevant. Het is belangrijk dat je allereerst zelf bepaalt wat en op welk niveau je wilt monitoren. De kennis en ervaring van RWS heeft mij geholpen om dat beeld verder aan te scherpen. Als je vooraf niet goed scherp hebt wat je wilt monitoren, loop je het risico bedolven te worden onder meldingen. Daar kun je niets mee en het kost vreselijk veel geld. Het is van groot belang dat je op het juiste niveau je monitoring inricht, zodat je zeker weet dat je alle relevante dreigingen over de gehele keten kunt signaleren, maar niet overrompeld wordt door de hoeveelheid meldingen.
Besteed ook aandacht aan de eigen organisatie voor de opvolging van meldingen. De apparatuur en software installeren is relatief eenvoudig. Het SOC kan daar snel mee aan de slag, maar moet de meldingen wel kwijt kunnen. Dat moet je als waterschap zelf organiseren. Formeer een team dat de meldingen oppakt en analyseert en …… de vervolgacties oppakt.
En tot slot: begin ermee! We hebben nogal eens de neiging om eindeloos te bespreken wat we willen en de hele olifant in één keer te willen eten. “begin met kleine hapjes, dus bijvoorbeeld met het monitoren….” één object en kijk wat dat oplevert. Met die ervaring kun je het verder uitrollen.