GGI

Meer dan 220 gemeenten doen mee aan GGI-Veilig

Het IT-landschap van gemeenten is in korte tijd flink uitgedijd en complex geworden. Eindhoven bijvoorbeeld, heeft zo’n 500 servers. Maar groot, medium of klein, geen enkele gemeentelijke organisatie doet het zonder IT. Hoe houd je zo’n complexe IT-omgeving beheersbaar en voor alles veilig?

VNG Realisatie werkt in het kader van de beweging Samen Organiseren aan meer collectiviteit in de ICT-voorzieningen door het ontwikkelen van de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI). Datanetwerken staan onder voortdurende dreiging van hackers en andere veiligheidsrisico’s. Daarom is het belangrijk om de infrastructuur veiliger te maken en de digitale weerbaarheid van gemeenten te verhogen. Dat willen gemeenten gezamenlijk doen met GGI-Veilig. Met GGI-Veilig wordt een producten- en dienstenportfolio samengesteld en aanbesteed voor de inrichting, uitvoering en borging van het informatiebeveiligingsproces. Inmiddels staat de teller op meer dan 220 deelnemende gemeenten.

Meer slagkracht

Voor Youri Lammerts van Bueren, CISO bij de BUCH-gemeenten (Bergen, Uitgeest, Castricum en Heiloo) en lid van de expertgroep GGI-Veilig, is aansluiting bij GGI-Veilig niet meer dan logisch: ‘De Informatie Beveiligingsdienst (IBD, de sectorale CERT/CSIRT voor alle Nederlandse gemeenten) heeft een flinke impuls gegeven aan de informatiebeveiliging. Tegelijkertijd nemen de cyberdreigingen toe. En met het complexer worden van onze IT-omgeving neemt óók de kwetsbaarheid toe. Wat gebeurt er allemaal op je netwerk, hoe detecteer je malware? Wat heb je nodig om de zaak te monitoren? Welke eisen stel je aan leveranciers? Veel gemeenten hebben die expertise niet zelf in huis en bovendien is de inrichting van bijvoorbeeld een Security Operations Center (SOC) erg duur. Daarom ligt het wat mij betreft voor de hand om mee te doen met GGI-Veilig. Je kunt dan als individuele gemeente meeliften op één aanbesteding. Zonder dat je daarmee de plicht hebt om alles af te nemen. Bovendien levert het voordelen op in het leveranciersmanagement. Wij hebben daar zelf ervaring mee: we wilden een aanbesteding doen voor een SIEM/SOC, maar sommige partijen deden geen bieding. Men vond ons niet interessant, te klein. Als collectief, liefst van alle gemeenten, en samen met VNG Realisatie hebben we veel meer slagkracht en zijn we interessant voor leveranciers.’

Kwaliteitsslag

Lammerts van Bueren kent de aarzelingen bij veel gemeenten. Hoe zit het met bestaande contracten, en met onze eigen functionele eisen? ‘Binnen GGI-Veilig gaat het om raamovereenkomsten; maatwerk blijft mogelijk en lopende contracten worden gerespecteerd. Wij ontwikkelen hier bijvoorbeeld een hele nieuwe IT-omgeving vanwege de ambtelijke fusie van de BUCH-gemeenten. Dat zijn lange trajecten en sommige zaken hebben we wellicht pas over drie jaar nodig. Maar door nu aan te sluiten bij de raamovereenkomst kunnen we meedenken en straks snel slagen maken. Ik raad elke gemeente aan om na te denken over die langere termijn. Misschien heb je wel al een firewall, maar allerlei andere preventiemiddelen nog niet. Die kun je dan via aanbesteding van GGI-Veilig verwerven wanneer jij dat nodig hebt. Overigens gaat het om meer dan het kopen van de spullen; je committeren aan GGI-Veilig dwingt je ook om na te denken over beleid en procesinrichting. In feite is het één grote kwaliteitsslag.’

De basis

Eindhoven staat bekend als gemeente van techneuten. Expertgroeplid en securitymanager Geert Bax en zijn team zijn een paar jaar geleden al begonnen met het loggen van de systemen op securityniveau. ‘Maar we hebben hier zo’n 500 servers en twee securitymensen; dat is niet te doen. Dus zijn we ons gaan oriënteren op security information and event management ( SIEM). Een SIEM logt en monitort en maakt van de informatie relevante rapportages. Dat bleek veel te duur voor een individuele gemeente dus zijn we uiteindelijk de markt opgegaan om een soort uitgeklede SIEM op maat aan te schaffen. Dat is gelukt en wij denken dat de kennis die we daarmee hebben opgedaan heel nuttig kan zijn voor andere gemeenten. Incidenten die wij hier tegenkomen, gebeuren natuurlijk ook elders. Precies dat, dat samen delen en oplossen, is de basis onder GGI-Veilig. Ik droom van een soort super-SIEM en super-SOC, vanuit IBD, die alle gemeenten kan “zien” en dreigingsanalyses maakt voor alle gemeenten.’

Iedereen profiteert

Bax realiseert zich dat meedoen met GGI-Veilig tijd kost; het dwingt je immers om goed na te denken over de inrichting van security. ‘Dat is een zure appel waar we allemaal doorheen moeten bijten, maar heb je dat eenmaal gedaan dan levert dat zoveel op. Ik kan nu met SIEM in één keer in die 500 servers kijken en zien of er aanvallen of dreigingen zijn geweest. En de appel wordt voor elke volgende gemeente minder zuur, omdat de route al een keer bewandeld is. Als je in een gemeente eenmaal hebt uitgeknobbeld wat een bepaalde melding betekent, hoeven de andere 379 dat alleen maar over te nemen. Dat gaat enorm veel schelen in doorlooptijden. Dus als we met alle gemeenten gebruikmaken van een collectief aanbod van producten en diensten voor de operationele informatiebeveiliging profiteren we daar allemaal van. De winst zit niet alleen in lagere kosten, het gaat ook om de capaciteit die je ter beschikking hebt. Wij hebben voor gemeentelijke begrippen een behoorlijk IT-team van zestien mensen, maar kunnen dit echt niet allemaal zelf regelen. Met al die gemeenten bij elkaar hebben we zo veel expertise in huis, de ene gemeente op netwerkniveau, de andere op applicatieniveau. We moeten profiteren van elkaars kracht: wij zijn bijvoorbeeld typische techneuten, in de BUCH-gemeenten zijn ze sterker in de processen. Uiteindelijk moet al die techniek ingeregeld worden in die processen. Dat is ook een enorme pre van GGI-Veilig: het geeft gemeenten de mogelijkheid om use cases uit te wisselen. Door samen te werken wordt het gemakkelijker om stapsgewijs de eigen digitale weerbaarheid te verhogen en die van de gehele gemeenschappelijke infrastructuur.’

Gemeenten kunnen zich nog steeds aanmelden voor GGI-Veilig door het aanmeldformulier getekend aan VNG te sturen.