Witold Kepinski - 30 maart 2024

IBD-CERT monitort met Darktrace buitenkant IT-infrastructuur gemeenten

De IBD-CERT monitort vanaf april 2024 de buitenkant van de IT-infrastructuur van gemeenten met behulp van de Darktrace External Attack Surface Management tool (EASM)-tool. Zo helpt de IBD om kwetsbaarheden en onveilige situaties snel in beeld te krijgen zodat gemeenten deze tijdig kunnen verhelpen. Op 28 maart ondertekenden Darktrace, SMT en de IBD het 2-jarig contract voor de dienstverlening.

IBD-CERT monitort met Darktrace buitenkant IT-infrastructuur gemeenten image

Hacks van systemen gebeuren meestal door misbruik van kwetsbaarheden of fouten in systemen die met het internet verbonden zijn. Denk hierbij aan onbedoeld open poorten, verouderde systemen of foutieve configuraties.

Automatische signalering

De EASM tool scant continu het externe aanvalsoppervlak van gemeenten op bekende kwetsbaarheden of onveilige situaties. Wanneer er bij deze controles kwetsbare componenten gevonden worden, dan worden gemeenten daarvan direct, automatisch, op de hoogte gebracht. Afhankelijk van de ernst neemt de IBD direct contact op met de gemeente voor advies en begeleiding bij het verhelpen van de kwetsbaarheden. De IBD en gemeenten deden eerder al ervaring op met de tool in een pilotfase.

Gemeenten ontzorgd

Er is geen verdere actie nodig vanuit gemeenten om de monitoring uit te voeren. De IBD bekijkt alleen systemen die voor iedereen vanaf internet bereikbaar zijn. Het enige dat gemeenten hoeven te doen is het actueel houden van hun IP-adressen en domeinnamen. Gemeenten krijgen toegang tot het portaal van Darktrace en daar kunnen zij actuele meldingen inzien van mogelijk kwetsbare systemen van de gemeente. De meldingen zijn geclassificeerd in ernst en bij een onjuiste melding kan de gemeente dit corrigeren. Gemeenten kunnen zelf beheren wie er toegang krijgt tot het online portaal.

Samen organiseren NIS2

Eén van de redenen van de uitbreiding van het IBD-aanbod, en daarmee de verdere professionalisering van de Computer Security Incident Response ofwel CSIRT-taken, is de Network and Information Systems Directive (NIS2-richtlijn). De NIS2 heeft belangrijke implicaties voor gemeenten als het gaat om informatiebeveiliging. De IBD krijgt de wettelijke taak om het aanvalsoppervlak van systemen van de doelgroep te monitoren.

Aanvulling op interne monitoring

De dienstverlening van de IBD is een aanvulling op de interne logging, monitoring en detectie. Gemeenten kunnen hierbij onder andere gebruik maken van de monitoring en response diensten uit de raamcontracten die door BIZOB en VNG zijn afgesloten met Deltics, Ilionx, Orange Cyberdefense, PQR, Tesorion en Thales.

Axians 12/11/2024 t/m 26/11/2024 BN+BW