CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

Een SIEM zonder SOC

16 augustus, 2019

Hoe bedrijven van elke grootte beveiligingsincidenten betaalbaar kunnen vastleggen, analyseren en interpreteren om te voldoen aan de AVG

Sinds in mei 2018 de Algemene verordening gegevensbescherming (AVG) van kracht werd, vereist de wetgever dat je als bedrijf alle beveiligingsincidenten vastlegt en inzichtelijk kan maken. Kun je hier niet aan voldoen, dan kan dat tot hoge boetes leiden. Zo heeft de Autoriteit Persoonsgegevens onlangs een boete van 460.000 euro en een last onder dwangsom opgelegd aan het Haagse HagaZiekenhuis vanwege de slechte beveiliging van patiëntendossiers. Uit onderzoek bleek dat er weliswaar logs werden aangemaakt, maar dat er niet regelmatig en systematisch in de logs werd bekeken wie toegang tot de dossiers kreeg en of er al dan niet beveiligingsincidenten plaats hadden gevonden.

Dit is een situatie die veel Nederlandse bedrijven bekend voor moet komen. Kan jouw IT-afdeling alle beveiligingsincidenten eenvoudig inzien bij een calamiteit? En als je het inzicht hebt, kun je er dan tijdig en adequaat op reageren? Waar de grote corporates als Shell of Philips hun zaken goed op orde hebben omdat ze nou eenmaal voldoende mensen, middelen en kennis tot hun beschikking hebben, zijn veel andere ondernemingen vaak nog altijd op zoek naar een betaalbare oplossing om compliant te kunnen zijn. Veel van deze bedrijven overwegen de aanschaf van een SIEM (Security Information and Event Management), maar weten niet goed hoe ze de kosten op moeten brengen.

De eisen van de wetgever

De AVG wordt door veel Nederlandse ondernemingen ervaren als complex en vaag.  Wat wordt er nou precies verwacht en waar moet je precies aan voldoen? Het gevolg van deze onduidelijkheid is dat maar weinig bedrijven volledig compliant zijn. Er zijn soms weliswaar wat verplichte documenten, zoals een privacyverklaring en verwerkersovereenkomsten, maar die documenten zijn niet altijd even goed afgestemd op de werkelijke bedrijfsvoering. Een reden hiervoor is dat bedrijven vaak niet goed weten welke persoonsgegevens ze precies verwerken, waarom ze die gegevens verwerken, hoe lang de gegevens bewaard worden en wat ze doen om die gegevens te beveiligen. De documenten verdwijnen vervolgens in een la en worden er pas weer bij gepakt op het moment dat zich een incident voordoet.

De documentatieplicht is echter maar een deel van de verplichtingen die de AVG met zich brengt. De AVG verplicht bedrijven om bewust met persoonsgegevens om te gaan, om te stoppen met onnodige gegevensverwerkingen en gegevens op een passende manier te beveiligen. Maar hoe weet je als bedrijf wat passende technische en organisatorische maatregelen zijn om persoonsgegevens te beveiligen? Een IT-specialist kan inzicht geven in wat de laatste stand van de techniek is op het gebied van beveiliging en wat gebruikelijk is voor het beveiligen van persoonsgegevens, maar is dat dan ook passend voor de AVG?

Wat is een adequate beveiliging?

Dat een adequate beveiliging van belang is, blijkt wel uit de zaak tegen het HagaZiekenhuis. Medewerkers hadden onterecht het patiëntendossier van een BN’er geraadpleegd. Het HagaZiekenhuis hield volgens de Autoriteit Persoonsgegevens onvoldoende toezicht op de logs van mensen die elektronische patiëntendossiers raadplegen. Bovendien was tweefactorauthenticatie voor het raadplegen van de patiëntendossiers niet verplicht, terwijl dat volgens de Autoriteit Persoonsgegevens wel het geval had moeten zijn. Het HagaZiekenhuis heeft daarom als eerste bedrijf in Nederland op grond van de AVG een fikse boete van de Autoriteit Persoonsgegevens gekregen.

Betaalbaar voldoen aan de AVG

Zoals gezegd, overwegen veel bedrijven de aanschaf van een SIEM. Dit is al een vrij oude technologie die traditioneel bijzonder prijzig is. Als je als bedrijf al de financiële middelen hebt om een dure SIEM aan te schaffen, en dus inzicht hebt in alle incidenten op je bedrijfsnetwerk, dan moet je nog steeds in de logs gaan graven om erachter te komen wat er is gebeurd, waar het is gebeurd, wanneer het is gebeurd en wie het heeft gedaan. Dat is een complexe en vaak tijdrovende exercitie. De meeste bedrijven hebben data in de cloud staan, bijvoorbeeld in Escher of Office365, maar ook in hun eigen, lokale netwerk. En binnen dat lokale netwerk bestaan vaak ook nog allerlei verschillende netwerken en servers die allemaal logs genereren.

Om die logs te vinden, te analyseren en te duiden is hele specifieke kennis nodig, die lang niet altijd aanwezig is onder je eigen personeel. Wil je actie ondernemen op een melding van een incident, dan moet je eerst de details weten. Hoe kun je anders beoordelen of het een ernstig incident is en op welke manier je het aan moet pakken? Dat is de reden dat veel organisaties dit werk uitbesteden aan een extern SOC: daar zitten mensen die deze kennis wel in huis hebben en die precies weten wat te doen om de schade te beperken. Maar omdat deze externe partners hele dure software en hele dure mensen gebruiken, wordt dit voor de klant automatisch een hele dure aangelegenheid, want bovenop de licentiekosten en de implementatiekosten, komen nu ook nog de SOC-kosten. Dit maakt de traditionele SIEM vrijwel onbereikbaar voor de meeste Nederlandse bedrijven.

Maar hoe kan je er dan voor zorgen dat je inzicht krijgt in al je security-incidenten? Goed nieuws: de technologie heeft niet stilgestaan de afgelopen jaren en een SIEM ligt nu binnen het bereik van bedrijven van elke grootte.

Een SIEM waarbij geen SOC nodig is

Er is tegenwoordig een SIEM-oplossing voorhanden waarbij een SOC geen vereiste meer is, omdat de analyses al helemaal voor je worden gedaan door de software zelf. Een SIEM waarbij elke sysadmin via een grafische webinterface direct inzicht in incidenten kan verkrijgen. Een SIEM die alle logs bewaart zolang als je wil, op één centrale plek en eenvoudig te doorzoeken.

Is jouw organisatie op zoek naar een haalbare manier om aan de eisen van de wetgever te voldoen en je business snel veilig te stellen bij calamiteiten? Neem dan contact op!

Wij werken met veel plezier o.a. voor