Gemeenten blijven een aantrekkelijk doel voor cybercriminelen. Zeker de kans om slachtoffer te worden van een ransomware-aanval is groot. En sinds de VNG in 2021 een waarschuwing aan burgemeesters stuurde over de kwetsbaarheid van gemeentesystemen, is er te weinig aan de situatie verbeterd.
Met name het personeel is nog steeds doelwit pur sang. Doordat security awareness nog niet organisatiebreed op peil is en de tactieken van criminelen steeds verfijnder worden, bieden phishing-aanvallen bijvoorbeeld 92% kans op een succesvolle ransomware-aanval. Training kan menselijke fouten beperken, maar niet gegarandeerd voorkomen. Daar komt nog bij dat bij thuiswerken security awareness bij werknemers makkelijker kan afzwakken, terwijl netwerkbeveiliging juist complexer is.
Cyberaanvallen zijn alleen effectief te stoppen door zo vroeg mogelijk in de attack chain in te grijpen. Maar meer securitypersoneel inhuren is niet de beste remedie. Vergelijk het met de beveiliging van een gebouw: beveiligers zijn absoluut onderdeel van een robuuste beveiliging, maar ze zijn een stuk minder effectief zonder de ondersteuning van alarmen, camera’s en een meldkamer.
Dat is waarom de SIEM/SOC-combinatie zo’n waardevolle toevoeging is aan het security-arsenaal. Security Information & Event Management (SIEM) is technologie die real-time data verzamelt uit de hele IT-omgeving en vervolgens weergeeft in makkelijk te verteren informatie. Een Security Operations Center (SOC) is als een meldkamer, waar specialisten alles 24/7 in de gaten houden. Als het SIEM verdacht gedrag detecteert in de omgeving, dan is het aan het SOC om dit te beoordelen en zonodig actie te ondernemen.
Deze combinatie van geautomatiseerde monitoring en menselijke expertise is ontzettend krachtig. Toch wordt dit door gemeenten nog lang niet genoeg ingezet.
Misverstanden over SIEM/SOC
Helaas bestaan er hardnekkige misverstanden over SIEM/SOC die massale ingebruikname in de weg staan. Deze misverstanden zijn ontstaan door bijvoorbeeld door slechte ervaringen of door gebrekkige kennis over de stand van de technologie.
Zo kan het lijken dat de implementatie van SIEM/SOC ontzettend tijdrovend is. Dat is alleen zo wanneer de gebruikte technologie ondermaats is. De juiste SIEM-tooling kan met behulp van gestandaardiseerde implementatieprocessen in enkele dagen operationeel zijn. Standaardisatie in de implementatie is daarbij ontzettend belangrijk.
Vaak wordt er bij de IT-afdeling ook van uitgegaan dat maatwerk noodzakelijk is, terwijl het gros van de use cases al out-of-the-box kan werken. En wat betreft bedreigingen is er niets nieuws onder de zon: SIEM-tooling aggregeert dreigingsinformatie van uiteenlopende bronnen en organisaties, die vervolgens bij alle gebruikers kan worden ingezet om bedreigingen te detecteren.
Een ander misverstand is dat SIEM/SOC-implementatie een éénmalig project is. In tegendeel: het is slechts het begin van een cyclisch proces:
- Identificeer waardevolle systemen en gegevens en bepaal de definitie van een risico.
- Op basis daarvan kun je acties ondernemen om je security te versterken en aanvallen te voorkomen.
- Aanvallen die níet voorkomen kunnen worden, moeten je tijdig detecteren.
- Vervolgens moet je op deze aanvallen kunnen reageren.
- Tot slot evalueer je het proces op basis van de opgedane kennis en begin je weer opnieuw.
Alleen door middel van dit continue verbeterproces is het mogelijk de weerbaarheid van gemeenten op peil te houden en de steeds geavanceerder wordende tactieken van criminelen een stapje voor te blijven.
Een eigen of externe oplossing?
SIEM-tooling is relatief rechttoe rechtaan te implementeren. Je integreert de software in je security stack en je kunt beginnen met data-aggregatie. Een SOC is een ander verhaal. Sowieso vereist security specialistische medewerkers, maar een hoogwaardig SOC is een fulltime werkzaamheid.
Mocht een in-house SOC om wat voor reden dan ook niet tot de opties behoren, is outsourcing de weg voorwaarts. Een leverancier zoals PQR neemt dan de monitoring, rapportages én een groot deel van de responsactiviteiten van je over. Let wel, daarbij ben je als gemeente niet ontheven van verantwoordelijkheid, omdat er altijd gezamenlijk moet worden overlegd, afgestemd en soms gehandeld. Maar omdat 9 van de 10 keer werk uit handen wordt genomen, levert een externe SOC-dienst onder de streep aanzienlijke ROI op.
Wil je meer weten over de SIEM/SOC-dienstverlening van PQR? Neem dan vrijblijvend contact met ons op of kijk voor meer informatie dit gratis on-demand webinar over SIEM/SOC voor gemeenten!