DigiD en Digipoort tot in de perfectie doorontwikkelen

Extreem goed beveiligd

Alleen op de winkel letten, dat is niet besteed aan Jan Nieuwstad. Jan: 'Als infrastructuurarchitect zit ik aan de technische kant van team Infrastructuur. Wij beheren de infrastructuur van voorzieningen en ontwikkelen voorzieningen door. Ik breng vraag en aanbod samen: enerzijds houd ik ontwikkelingen in ICT bij en bekijk ik wat mogelijk is, anderzijds luister ik naar de behoeften van afnemers. Die behoeften vertaal ik weer naar technische oplossingen. Afnemers zijn mijn 'interne klanten' binnen Logius, elk verantwoordelijk voor een voorziening, zoals als DigiD of MijnOverheid. Miljoenen gebruikers moeten kunnen vertrouwen op deze voorzieningen vol privacygevoelige data. Als zij niet vlekkeloos functioneren, zijn de consequenties enorm. Jan: 'Dan is het niet de vraag of we het journaal halen, maar of we het journaal openen of niet. Als overheidsdienst liggen we onder een vergrootglas. Wij kunnen absoluut geen risico's nemen, zoals het bedrijfsleven nog wel eens kan doen. Alles moet extreem goed beveiligd zijn. We streven naar perfectie binnen de beschikbare budgetten. Die hoge lat maakt mijn werk heel interessant.'

Schakel tussen leverancier en interne klant

Collega Lieke Lap is senior servicemanager binnen het team Infrastructuur. Zij zorgt er, net als Jan, voor dat de dienstenorganisatie uitstekend toegerust is. 'Alle voorzieningen binnen Logius hebben een eigen applicatiebeheerder die de voorziening in de lucht houdt. Maar er is ook een onderlaag nodig: infrastructuur, housing, hosting, middleware, anti-DDoS. Tot een paar jaar terug regelden alle voorzieningen zelf die onderlaag. Efficiënter is natuurlijk als 1 team dat doet. Nu bundelt team Infrastructuur alle vragen uit de organisatie en zet die door naar de leverancier. Als servicemanager ben ik de schakel tussen de leverancier en de voorzieningen. Een echte spin in het web. Behoeftes uit de organisatie vertaal ik naar afspraken met de leverancier. Die afspraken komen dan weer in Service Level Agreements (SLA's), Dossier Afspraken en Procedures (DAP) en werkafspraken terecht, die ik met de leverancier en de afnemers opstel.'

Nooit meer plat met Always-On

Lieke en Jan zorgen ervoor dat bestaande infrastructuur werkt, maar zijn tegelijkertijd voortdurend vooruit aan het denken. Lieke: 'We hebben een dubbele pet op. Enerzijds doen we onderhoud en beheer, anderzijds werken we dagelijks aan doorontwikkelingsprojecten en denken we na over IT van de toekomst.' Een van die visies op de toekomst is 'Always-On'. Jan: 'We willen dienstverlening realiseren die nooit meer uitgaat. Zodat je bij onderhoud niet meer plat hoeft en dat bij uitval het ene datacenter automatisch overschakelt naar een andere. Dit klinkt utopisch, maar over 5 jaar wil ik daar wel staan. De grote technologiebedrijven zoals Google en Microsoft beschikken hier al over. Als wij 'Always-On' zijn, en ons winkeltje dus altijd open is, hebben alle overheidsdiensten daar profijt van. Hoe gaaf is het om aan zo'n innovatie mee te werken?'

‘Ik schakel namens alle voorzieningen met de IT-leverancier’

Lieke Lap

Schepen voor anker als Digipoort faalt

Lieke: 'Je moet van dynamiek en hectiek houden als je bij Logius werkt. Ons werk gaat echt ergens over, we zijn verantwoordelijk voor zoveel kritische diensten. Als DigiD niet werkt, raakt dat miljoenen burgers. Als Digipoort ermee stopt, liggen de schepen in Rotterdam stil en dat kost miljoenen euro's per uur. Jan: 'Als er een fout wordt ontdekt, willen we een storing uiteraard voor zijn. Crisismanagement is hier een heel goed functionerend, volwassen proces. Nog voor de buitenwereld iets merkt, hebben wij een probleem al verholpen. Stel je voor, het Nederlands Cyber Security Centrum detecteert een beveiligingslek. In zo'n geval worden wij uit bed gebeld. Vliegensvlug analyseren wij onze systemen met de leverancier. Zijn we hier vatbaar voor? Moeten we iets dichtzetten? Dan gaat het om uren, niet om dagen.'

Alarmbellen bij vreemd inloggedrag

Ook actueel is de dienst SIEM: Security Information and Event Management. Dit vormt loggegevens om tot relevante beveiligingsinformatie. Lieke: 'SIEM zorgt er eigenlijk voor dat er een belletje gaat rinkelen als iemand het ene moment met DigiD inlogt in Nederland, een kwartier later in Roemenië en weer even later in Amerika. SIEM trekt conclusies uit die loggegevens, zodat we bedreigingen 'near real-time' kunnen beveiligen. Als SIEM aangeeft dat er iets misgaat, dan treedt direct onze procedure voor hogere incidenten in werking.' Een dienst als SIEM is behoorlijk state-of-the-art, benadrukken Jan en Lieke. Jan: 'Dat de overheid met oude IT werkt, is de grootste onzin die er is. Wij vragen juist regelmatig oplossingen aan de markt die zij lastig kunnen leveren. We lopen echt voor op een gemiddeld bedrijf.'

Bezemkasten met airco

Jan en Lieke zijn eveneens druk met een grote datacentermigratie die al een jaar loopt. Jan: De overheid heeft besloten dat alle datacenters van de Rijksoverheid, 64 stuks, teruggebracht worden naar 4. Al die 64 kleine datacenters waren net bezemkasten met een airco. Niet bepaald groen. Deze bundeling van datacenters is milieuvriendelijker, veiliger en efficiënter.' Voor Logius betekent dit een virtuele en fysieke verhuizing. 'Veel van onze diensten zijn gevirtualiseerd, maar zoiets als beveiligingsapparatuur is nog fysiek. De uitdaging is te verhuizen terwijl alle diensten doordraaien. Digipoort kan niet even een dagje uit. Bovendien mag er niks misgaan en je wilt al helemaal geen data kwijtraken. Een spannend project, kortom. Maar als wij ons werk goed doen, merkt niemand er iets van.' Bij de migratie denkt Jan aan de voorkant de technische aanpak uit, terwijl Lieke budgettair verantwoordelijk is en afspraken beheert. Lieke: 'Begin 2017 willen we over zijn. Het liefst voor de belastingaangiften binnenstromen, want anders wordt iedereen zenuwachtig.'