Wij staan paraat om elke cyberdreiging te ondervangen

Elke dag kan er een dreiging plaatsvinden op de systemen van het Rijk... die mogelijk maatschappelijke impact hebben... en wij met ons team staan paraat om deze dreigingen zo snel mogelijk weg te nemen. Tijdens het ontbijt lees ik de RSS-feeds, de nieuwsberichten op het gebied van security... zodat ik weet als ik de dag begin wat er mogelijk op ons afkomt. Ik ben de technical lead van het SOC en ik draag zorg voor de dagelijkse coördinatie... van het Security Operations Center. Samen met mijn collega's houden wij de netwerken in de gaten die wij aanbieden aan onze ministeries. We monitoren op incidenten en houden ook de dreigingen in de gaten voor deze ministeries. Wij zitten als spin in het web in al die diensten omdat wij logging verzamelen van al die systemen... en op basis van die logging, houden wij de omgeving in de gaten op het gebied van cyberdreigingen. Als wij kennis niet in huis hebben kunnen wij altijd te rade bij onze partners. Het Joint SOC is een samenwerkingsverband tussen verschillende SOC's binnen het Rijk... waaronder de belastingdienst, Rijkswaterstaat, DICTU, het NCSC... maar ook werken wij samen met partners zoals de inlichtingendienst. met elkaar en ook expertises. Daarnaast delen wij ook onze kennis binnen het Joint SOC... zodat we als Rijk weerbaarder zijn tegen cybersecurity dreigingen. We zien een incident oppoppen, we zien dat er een besmette PC is. Je kan je voorstellen dat als er één PC besmet raakt er mogelijk meerdere besmet worden... en dat willen we voorkomen. Tijdens een take-down wordt er een procedure gestart... om zo snel mogelijk een machine van het netwerk af te halen. De gebruiker die moeten wij op de hoogte stellen... dat doen we samen met Operations Control Room. Ik ga naar de werkplek toe om de machine fysiek van het netwerk af te halen. De machine wordt onderzocht door een van onze Joint SOC partners. Die hebben de expertise in huis en vandaar dat het belangrijk is om die samenwerking te hebben. Elke dag is anders, de ene keer is het een take-down de andere keer is het een informatieverzoek... de andere keer komt er een incident binnen op verzoek van de inlichtingendiensten. Wij werken binnen het SOC voornamelijk met een SIEM... een Security Incident en Event Monitoring systeem. Dat systeem verzamelt alle loggegevens van de systemen die bij SSC-ICT draaien. Die gebruiken wij door middel van voorgedefinieerde alerts... maar ook om actief te zoeken naar cybersecurity dreigingen. Daarnaast hebben we nog systemen zoals een kwetsbaarheden scanner... hebben we een dreigingsplatform waarmee we dreigingsinformatie delen... en nog veel meer tooling die ik niet bij naam kan noemen. Naast de monitoring tools gebruiken wij ook een Kanban board... om de monitoring op onze systemen te verbeteren. Dat doen we in zogenaamde sprints waarin we met elkaar vaststellen wat we gaan doen... om de dreigingen van vandaag weg te nemen voor morgen. Wat ik persoonlijk leuk vind aan dit werk is dat je het doet voor het Rijk. De impact is groot van wat we doen... maar ook vind ik het leuk dat we samenwerken binnen het Rijk... om cyberdreigingen weerstand tegen te bieden. Daarnaast werken we met vrij nieuwe technologiën, is er ruimte voor ontwikkeling. De sfeer in het team is heel informeel, we kennen elkaar goed. Als het erop aan komt bij een incident dan weten we wat we aan elkaar hebben. Na een week hard werken sluiten we de week af met een drankje.