GGI-Veilig perceel 1, bij voorbaat gedoemd te mislukken

Nog in mijn tijd als Cybersecurity Advisor kwam de aanbesteding van GGI-Veilig rondom SIEM (Security Information and Event Management)- en SOC (Security Operations Center)-diensten online. Vanuit mijn rol was ik destijds nauw betrokken bij SIEM/SOC aanvragen en implementaties. Maar waar ging het GGI-veilig perceel 1 alweer over?

De Vereniging van Nederlandse Gemeenten (VNG) heeft in 2018 een portfolio van producten en diensten opgesteld waarmee gemeenten hun digitale weerbaarheid kunnen verbeteren. Dit portfolio heeft de naam GGI-veilig gekregen en heeft betrekking op de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI). Het portfolio is verdeeld in drie ‘percelen’. Perceel 1 ging over het aanbieden van 7×24 SIEM/SOC diensten aan gemeentes binnen Nederland. De dienst moest schaalbaar zijn en toepasbaar voor zelfstandig opererende gemeentes en voor samenwerkingsverbanden. Bekijk hier de officiele inhoud van GGI-veilig perceel 1

Waarom is het GGI-veilig contract ontbonden?

De eisen waren niet persé de uitdaging maar geen enkele Nederlandse speler was voorbereid op deze schaal. De gebruikte platformen waren niet schaalbaar genoeg of konden door architectuur keuzes niet snel genoeg opschalen waardoor projecten bij voorbaat al vertraging opliepen. Per omgeving waren er zoveel variabelen waardoor alert regels overal net even anders moesten. De gevolgen zijn inmiddels duidelijk, het contract voor dit perceel is ontbonden en veel Nederlandse gemeentes zijn eigenlijk geen stap verder gekomen en moeten nu terug naar de tekentafel.

Hoe nu verder, wat zijn de alternatieven voor gemeentes?

De markt in Nederland van SIEM/SOC in 2018/2019 was eigenlijk niet klaar voor een vraag van dit formaat. Een gunning aan een andere partij had hoogstwaarschijnlijk niet voor een andere uitkomst gezorgd.

Gelukkig is het anno 2022 een stuk beter geregeld. SIEMoplossingen zijn veel sneller te implementeren en Security Operations Centers hebben hun aanpak doorontwikkeld. Afhankelijk van je wensen en eisen kan je tegenwoordig een SIEM al binnen een aantal dagen operationaliseren. Verschillende fabrikanten zijn de markt ingestapt om naast hun product ook diensten te leveren.

Je kan hierdoor binnen een maand een volledige SIEM/SOC dienstverlening operationaliseren waarin detectie en opvolging op een behapbare en fatsoenlijke manier is geborgd.

Hoe waarborgen wij de digitale weerbaarheid?

Wij gebruiken de cloud-SIEM van Rapid7, InsightIDR genaamd. Elke klant krijgt zijn eigen omgeving binnen het grotere Insight Platform. Vanuit het SOC kunnen wij eenvoudig wisselen tussen organisaties en elke melding wordt door ons centraal afgehandeld.

InsightIDR werkt vanuit een agent (Windows, Linux en MacOS), logdata en netwerkverkeer. Vanuit deze drieluik krijg je direct toegang tot ruim 1.500 detectieregels die actief door Rapid7 onderhouden worden en waar nodig uitgebreid. Rapid7 gebruikt hiervoor het MITRE ATT&CK Framework en heeft voor bijna elke techniek één of meerdere detectieregels. Vanuit het SOC verzorgen wij de registratie en triage van deze meldingen en helpen organisaties onveilig gedrag of configuratiefouten snel en effectief te verbeteren. Wij verzorgen de vastlegging en de periodieke rapportage richting. 

Waar gewenst kunnen wij de dienstverlening uitbreiden waarna we organisaties helpen met het in kaart brengen en prioriteren van kwetsbaarheden en de bijbehorende oplossing zodat het voor een aanvaller lastiger wordt om succesvol te zijn of op zijn minst meer “lawaai” moet maken waardoor deze sneller door ons gedetecteerd wordt. 

Onze succesvolle aanpak bewijst keer op keer dat een implementatie van SIEM/SOC dienstverlening niet lang hoeft te duren of kostbaar is. Binnen een maand kan een volledige SIEM/SOC dienstverlening operationeel zijn. Afhankelijk van de omvang van de organisatie is het zelfs mogelijk om onder aanbestedingsgrenzen te blijven waardoor snel schakelen tot de mogelijkheden behoort. 

Wil je meer informatie over onze succesvolle aanpak of een kostenindicatie ontvangen, gebruik onderstaand contact formulier. Wij vertellen je graag meer over onze producten en diensten. 

Officiele inhoud GGI-Veilig Perceel 1: Product/dienstgroep SIEM/SOC-services 

De SIEM/SOC-services worden verworven als een collectieve voorziening met bijbehorende implementatie ondersteuning voor de Deelnemers.  

De te verwerven SIEM/SOC-voorziening dient geleverd te worden als een managed service vanuit een beveiligde omgeving voor de Deelnemers:  

  • Geschikt voor zowel centraal/collectief, regionaal als lokaal gebruik (multi-tenancy) en met de mogelijkheid te kunnen integreren met andere onderdelen van het GGIVeilig portfolio (Perceel 2) en vergelijkbare onderdelen die Deelnemers reeds in gebruik hebben; 
  • Met ondersteunende SIEM/SOC-expertise voor de uitvoering het SIEM-proces; 
  • Inzet van een SOC-team voor de uitvoering van de SOC-processen met een 7×24 monitoring, analyse en response (advies dan wel ondersteuning bij uitvoering) dienstverlening; 
  • Met trainingen voor Deelnemers over de werking en het gebruik van het systeem teneinde de dienstverlening optimaal te kunnen laten aansluiten bij de eisen van en de IB-processen bij de Deelnemers.  

De aangeboden SIEM-oplossing of delen van de oplossing (software & hardware, incl. opslagmedia) mogen gedeeld worden met mogelijke andere klanten van de Leverancier, zijnde niet-Deelnemers, mits een beproefde en veilige scheiding is aangebracht (multitenancy), die wat betreft housing, dataopslag, dataverwerking, hosting en beheer aantoonbaar (blijvend) voldoet aan daartoe gestelde eisen in de BIG/BIR/BIO en AVG 

Ten aanzien van het door Leverancier in te zetten SOC-team geldt dat dit team onderdeel mag zijn van een SOC-team dat ook voor andere klanten, zijnde niet-Deelnemers, werkt. Wel stelt Opdrachtgever daarbij de eis dat Leverancier een ter zake kundig, Nederlandssprekend team samenstelt voor de implementatie, indien nodig, bij Deelnemer op locatie en het technisch beheer van de aangeboden oplossing en de levering van de aangeboden dienstverlening. De monitoring, analyse en response richt zich daarbij zowel op de meer traditionele ICTInfrastructuur omgevingen als ook op de Cloud omgevingen. 

Bron: GGI-Veilig | VNG

Dit artikel werd geschreven door Maikel Roolvink, Manager Security eXperts bij DTX uit Alkmaar, We make IT.

Maikel Roolvink

Manager Security eXperts

We make IT

Wilt u een IT partner die met u mee denkt en het beste uit uw IT omgeving haalt?
Dan bent u bij Dutch Technology eXperts aan het juiste adres!

Bel mij voor een afspraak

We make IT

Wil jij een IT partner die met je mee denkt en het beste uit jouw IT omgeving haalt?
Dan ben je bij Dutch Technology eXperts aan het juiste adres!

Bel mij voor een afspraak