Stad Geel - SOC.jpg
Provider image

Stad Geel zet al jaren in op thema’s als informatie- en cyberveiligheid. Men merkte echter op dat de werking van de IT-dienst en bijhorende functiebeschrijvingen niet langer afgestemd waren op de taken van de medewerkers, en besloot hier verandering in te brengen met een uitgewerkte strategie en meerjarenplan en afgebakende rollen. De uitrol van de overkoepelende strategie ging tevens gepaard met de ontwikkeling van een Security Operations Center. Het SOC giet processen als monitoring en detectie binnen een omlijnd kader, met een vaste frequentie om meldingen en verbeterpunten op te volgen.

Aanleiding en doelstelling

De groeiende dreiging van cybercriminaliteit stond al langer op de radar van de IT-dienst in Geel, maar de vele ad-hoc taken en ICT-servicedesk namen een grote hap uit de beschikbare tijd, waardoor het moeilijk was om strategisch om te gaan met deze belangrijke thematiek. Het was tijd voor een nieuwe werking, en dus besloot de IT-dienst proactief om met een voorstel te komen. Het meerjarenplan zou ook een luik rond cyber- en informatieveiligheid bevatten, met twee concrete acties die een belangrijke stap vooruit betekenen. Enerzijds wordt de werking van de IT-dienst onder de loep genomen, om te komen tot een langetermijnstrategie met concrete rollen en verantwoordelijkheden, anderzijds besloot men een Security Operations Center (SOC) op te richten, die de dagdagelijkse opvolging van IT-matige gebeurtenissen mogelijk moet maken. Beide stappen werden voorafgegaan door een hervorming van de interne werking, gebaseerd op de Integrated Service Management methode (ISM). Deze methode biedt een bruikbaar framework om te waken over de kwaliteit van IT-dienstverlening, onder andere door de werking te vertalen naar processen, met verantwoordelijken die toezien op het verloop van deze processen.

Proces

Het traject ging in 2020 van start. Binnen het lopende meerjarenplan werd gekeken hoe de plannen om cyberveiligheid meer strategisch in te bedden binnen het lokaal bestuur geïmplementeerd konden worden. In het eerste jaar kon nog geen budget vrijgemaakt worden voor beide luiken, maar er werden wel werkuren ingeboekt om ze reeds vorm te kunnen geven en de eerste stappen richting invoering te zetten.

Uitrol strategische visie en rollen

Voorheen zagen alle functiebeschrijvingen binnen de Geelse IT-dienst er nagenoeg hetzelfde uit. Iedereen was informaticus, met op papier een gelijkaardige invulling. In realiteit was de kennis binnen de dienst zich echter al aan het uitsplitsen - afhankelijk van de interesses en sterktes van de teamleden - en zorgde de uniformiteit in profielen ervoor dat het draagvlak voor bijkomende verantwoordelijkheden beperkt was. Waarom zou je immers extra taken of verantwoordelijkheden opnemen, bijvoorbeeld met betrekking tot cyberveiligheid, wanneer elke medewerker op een gelijk niveau staat, en blijft staan?

Het verschil met meer traditionele functiebejegeningen, is dat men hier niet alleen de functie wijzigt zodat die marktconform is, maar dat men ook effectief de beschrijvingen en invulling aanpast. Bepaalde rollen worden verduidelijkt, terwijl andere nieuwe rollen met bijkomende verantwoordelijkheden geïntroduceerd worden. Deze herwerking van rollen kadert bovendien binnen een overkoepelde strategische visie - die tevens nauw samenhangt met de oprichting van het security operations center.

Om hiertoe te komen, maakten de huidige leden van de IT-dienst een oplijsting van de opdrachten die tot op heden tot hun takenpakket behoren. Deze lijst met de huidige situatie, werd aangevuld met profielen en taken die in een ideale situatie deel zouden uitmaken van de reguliere werking. Voor de rollen binnen de ideale situatie, lieten de collega’s van de IT-dienst zich inspireren door het NICE framework (Workforce Framework for Cybersecurity), de rollen in SOC-teams en de Integrated Service Management methode (ISM). De functieprofielen die via deze oefening geïdentificeerd werden, variëren sterk, maar vullen elkaar ook aan. Zo is er nog steeds een vaste rol voor de ICT servicedesk, maar is er nu bijvoorbeeld ook een business analist die instaat voor organisatiebrede processen, als brug tussen ICT en eindgebruikers of cliënten. Er wordt ook voorzien in een rol die zich geheel richt op cybersecurity, aangezien Stad Geel beseft dat dit thema enige mankracht en expertise vereist. Concreet gaat het om onderstaande rollen:

  1. Cybersecurity analist: deze rol staat in voor het monitoren van de actuele situatie en performantie en het alarmeren wanneer meldingen wijzen op een mogelijk probleem. Het doel is dat deze rol de cybersecurity specialist en cybersecurity manager kan inschakelen wanneer extra informatie nodig is. Men gaat in Stad Geel wel uit van een situatie waar elke informaticus de dreigingssituatie kan inschatten en rol van SOC analist kan opnemen wanneer nodig.
  2. Cybersecurity specialist: deze rol is volledig nieuw binnen de organisatie en is meer gespecialiseerd in detailanalyse, met systeem- en netwerkveiligheid als specialiteit.
  3. Cybersecurity manager: de cybersecurity manager coördineert de werkzaamheden binnen dit thema en schrijft de langetermijnstrategie uit. Deze rol stuurt de strategie ook bij, op basis van de informatie die voorkomt uit de Security Operations Center, en is sinds oktober ook lid van de informatieveiligheidscel.

Daarnaast zijn er ook enkele rollen die het team overschrijven of op een andere manier ingevuld worden, namelijk:

  1. Red team specialist: de IT-dienst besefte al snel dat er intern onvoldoende capaciteit is om tijd en ruimte vrij te maken voor pentesting. Men kijkt dan ook eerder naar jaarlijkse of tweejaarlijkse security audits om deze rol in te vullen.
  2. Forensische specialist: sporenonderzoek bij mogelijke besmettingen vraagt specifieke expertise. Men voorziet dan ook om bij omvangrijke cyberincidenten beroep te doen op de expertise van de computer crime units van de politie en het CCB.
  3. CERT: om vlot en efficiënt in te spelen op crisissituaties voorziet Stad Geel ook in een CERT of Computer Emergency Response Team. Het stadsbestuur zal steeds zelf de CERT inrichten, maar kijkt daarnaast ook naar samenwerking met politie, brandweer en externe partners om in noodoplossingen te voorzien en extra mankracht te mobiliseren.

De volgende to-do op de lijst, is om de vastgestelde rollen te formaliseren in functiebeschrijvingen. Elke functiebeschrijving wordt gekoppeld aan taken en verantwoordelijkheden, maar daarnaast zal de functiebeschrijving ook gekoppeld worden aan opleidingsmogelijkheden. Men gaat voor een dergelijke aanpak zodat huidige werknemers hun expertise verder kunnen uitbouwen, maar ook zodat het steeds duidelijk is wie verantwoording moet afleggen. Het doel is ook om zowel met junior als seniorprofielen te werken, waarbij een seniorprofiel meer verantwoordelijkheid draagt, maar hier ook voor beloond wordt qua loonvoorwaarden.

Oprichting Security Operations Center

Een andere belangrijk hervorming binnen het IT-beleid van Stad Geel, is de introductie van de SOC of security operations center. Deze kwam tot stand, doordat de IT-dienst vaststelde dat het haast onmogelijk is om de nodige aandacht aan veiligheid te besteden wanneer alle capaciteit gaat naar storingen, ICT-servicedesk en telefoontjes van collega’s. Om hierin verandering te brengen, besloot men om het meerjarenplan aan te grijpen om cybersecurity meer strategisch in te bedden.

Het uitgangspunt bij de introductie van de SOC, was dat het weinig nut heeft om het warm water opnieuw uit te vinden. Daarom is men op zoek gegaan naar bestaande documentatie met betrekking tot cyberveiligheid, dat een kader kan bieden voor de invulling van cyberveiligheid binnen het lokaal bestuur. Er gebeurden al heel wat acties, van phishing testen tot sterke firewalls en antivirussoftware, maar een meer structureel proces ontbrak, zeker voor detectie. Want dagelijks vinden wel IT-matige gebeurtenissen plaats die enig nazicht vereisen, om mogelijke sporen van intrusie te detecteren of extra context bij storingen op te vragen.

Binnen het meerjarenplan heeft men dan ook een planning opgemaakt voor 2021. Kosten kwamen niet aan de pas, maar er werd wel personeelscapaciteit ingeboekt voor dit project. In eerste instantie werd het internet uitgepluisd, op zoek naar relevante standaarden die een breder kader kunnen scheppen, zoals ISO, NIST, NIS en ENISA. Nu zijn deze standaarden talrijk en niet altijd even eenvoudig te vertalen naar de praktijk. Gelukkig stuitte de IT-dienst van Stad Geel op een online presentatie die de verschillende frameworks samenbracht tot één geheel:

  1. De controle frameworks: Hierbij staat het aanbod van middelen centraal - denk aan hardware, software, methodes en procedures - waarvan iedere ICT-dienst sowieso al gebruik maakt.
  2. De programma frameworks: Deze kijken naar de combinatie van de verschillende middelen, in functie van de noden van de organisatie.
  3. De risico frameworks: Hier ligt de focus op de periodieke analyse van de situatie en het bijsturen van de programma’s en controls.

Nu bracht dit overzicht wel duidelijkheid in de verschillende types standaarden die er zijn, het was nog steeds niet praktisch bruikbaar voor een IT-team met 9 werknemers. Daarom besloot men de vergelijking te maken tussen de verschillende frameworks, om finaal een standaard - of eerder combinatie van standaarden - te selecteren die niet te groot is en ook gemeten kan worden. Uiteindelijk is men uitgekomen bij het CIS controls framework en het internationaal gerenommeerde NIST CSF framework. Het voordeel aan beide standaarden, is dat ze ook behapbaar zijn voor management en reguliere rapportering mogelijk maken. De IT-dienst legde beide standaarden vervolgens naast elkaar, om linken te leggen en categorieën af te bakenen. Samen met de centralisatie van de verschillende monitorsystemen die het stadsbestuur hanteert, vormt deze strategische blauwdruk de basis voor de Security Operations Center.

De volgende stap in de oprichting van het SOC, was om de verschillende categorieën uit deze combinatie van standaarden te visualiseren in een grafiek. Deze grafische weergave maakt het mogelijk voor Stad Geel om visueel aan te duiden hoever men reeds staat op vlak van cyberveiligheid en hoeveel verder men nog kan gaan. Men besloot om de theorie meteen in de praktijk te brengen, en een evaluatie van de huidige situatie te doen op basis van hun uitgewerkt controlesysteem. Op dit moment zit het lokaal bestuur aan ongeveer 40%. Een score van 100% houdt in dat alle beveiligingsmaatregelen en aandachtspunten uit het combinatie-framework werden ingebed. Natuurlijk is een score van 100% vrij onrealistisch aangezien het landschap constant in verandering is, daarom mikt het stadsbestuur op een score van minstens 80% doorheen de tijd. Deze oefening wordt op reguliere basis uitgevoerd: elk kwartaal wordt een nieuw schematisch overzicht gemaakt, om de vooruitgang blijvend te monitoren. Het doel is om de SOC in 2022 volledig operationeel te hebben. Dankzij de oprichting van de SOC werden al enkele beveiligingsmaatregelen geïmplementeerd. Zo moeten leveranciers via vendor privileged access management (VPAM) nu toestemming vragen, zodat het lokaal bestuur zicht heeft op hun toegangen en ook vaste momenten voor onderhoud voorzien en opgevolgd kunnen worden

Uitkomst

Aangezien op meerdere, doch complementaire, sporen gewerkt werd. Kon Stad Geel diverse zaken realiseren op een vrij korte termijn. Het werk is nog niet af voor beide luiken, maar zelfs nu al kunnen enkele concrete realisaties voorgelegd worden:

  • Door het NIST CSF Framework met de CIS Controls te combineren, kon de IT-dienst een blauwdruk vastleggen voor een langetermijnstrategie met betrekking tot cyberveiligheid.
  • Dankzij deze blauwdruk kan Stad Geel nu ook de huidige situatie monitoren - o.a. via de grafische weergave - en gericht stappen vooruit zetten.
  • Een security operations center werd opgestart, waarbij het lokaal bestuur via monitorsystemen en de langetermijnstrategie dagelijks het overzicht behoudt op belangrijke meldingen die aandacht vragen en mogelijke verbeterpunten.
  • Een verdere professionalisering van de IT-dienst, door de werkzaamheden in te delen in duidelijk afgebakende rollen, met eigen taken en specialisaties.
  • Een nauwere betrokkenheid van management en bestuur, door reguliere rapportering over de werkzaamheden van de IT-dienst in kader van cyberveiligheid mogelijk te maken.

Tips en tricks

  • Let op met het volledig uitbesteden van IT en cyberveiligheid. Het controleren van de huidige situatie is immers een stuk moeilijker indien je voornamelijk samenwerkt met externe partners. Bovendien kunnen meldingen met betrekking tot gebruikershandelingen ook makkelijker intern opgelost worden. Binnen bestaande samenwerkingen is het dan ook essentieel om duidelijke afspraken te voorzien voor controle en rapportering, zodat je als lokaal bestuur de situatie mee kan opvolgen.
     
  • Breng voor het opmaken van een strategisch plan rond cyberveiligheid eerst de huidige situatie in kaart. Bekijk via standaarden als de CIS-controls of het NIST CSF framework hoever het lokaal bestuur al staat in de implementering van belangrijke technische en organisatorische beveiligingsmaatregelen. Zo kan je meer strategische keuzes maken met betrekking tot de planning voor implementering en de benodigde  budgetten.
     
  • Het netwerk monitoren is een heel klus, systemen en toepassingen die alle info op één punt verzamelen kunnen een grote meerwaarde bieden, de zogenaamde SIEM software, maar daarnaast is het al zeker een goed idee om monitoring als taak te koppelen aan een of meerdere rollen. Het is ook perfect mogelijk om een security operations center op te richten zonder dit vast te leggen in een functiebeschrijving, maar dit maakt evaluatie en opvolging moeilijk.
     
  • Wanneer je een belangrijke strategische oefening rond het thema cyberveiligheid wil opzetten, is het belangrijk om hier voldoende tijd voor vrij te maken en de hoeveelheid tijd zo concreet mogelijk te maken. Voor de oprichting van de SOC werden 85 dagen voorzien door de SOC manager om de procedures uit te schrijven, voor het opmaken van het budget werd dan ook gekeken naar het kostenplaatje van de 85 VTE werkdagen.
     
  • Zorg voor voldoende betrokkenheid van management en bestuur. In Stad Geel kunnen ze rekenen op de steun van enkele vertegenwoordigers binnen het schepencollege en management, wat het een stuk eenvoudiger maakt om stappen vooruit te zetten. Daarnaast tracht de IT-dienst ook om de thema’s ICT en cyberveiligheid proactief naar voren te schuiven bij besprekingen door management en bij de opstart van nieuwe projecten.
     
  • Je kan gebruik maken van actualiteit om bepaalde thema’s hoger op de agenda te krijgen en belangrijke acties door te voeren. Interpellaties rond cyberveiligheid, incidenten in andere lokale besturen en resultaten uit audits zijn een nuttige hefboom om het beslissingsproces te versnellen.
     
  • Voorzie voldoende tijd in het meerjarenplan om een dergelijke omslag mogelijk te maken. Voor de opstart van de SOC alleen werden al 85 dagen voorzien in de eerste jaren. Eens de SOC volledig werkzaam is kan deze uitzonderlijke tijdsinvestering dan gaandeweg verschuiven naar het operationele.