Rory O'Connor
Praktijkverhaal

Beter slapen dankzij gezamenlijk security operations center

De Erasmus Universiteit Rotterdam (EUR) was in 2021 een van de eerste instellingen die zich aansloot op SURFsoc. De directe aanleiding hiervoor was de hack eind 2019 bij de Universiteit Maastricht. Hoe kunnen wij zoiets voorkomen, was de vraag die op de Rotterdamse universiteit meteen werd gesteld.  

In eerste instantie werd volgens Rory O’Connor, chief information security officer (CISO) bij de EUR, gekeken naar de mogelijkheden van een eigen Security Operations Center (SOC).  Maar dat bleek volgens hem al snel heel kostbaar en niet haalbaar.  

Toen SURF kwam met het initiatief om een gezamenlijk SOC op te zetten, was de EUR dan ook meteen enthousiast. Rory: “Mijn belangrijkste uitdaging als CISO is de universiteit 24/7 bescherming bieden. Daarvoor moet je continu mensen beschikbaar hebben die je systemen monitoren en logs analyseren. Die mensen hebben wij niet en Fox-IT, leverancier van SURFsoc, wel.” 

“Ik slaap een stuk beter”

Sinds de aansluiting zijn er volgens Rory kleine incidenten geweest, maar dankzij SURFsoc hebben hij en zijn securitycollega’s deze kunnen afhandelen vóór het grote incidenten werden. “SURFsoc verbetert onze handelingssnelheid. Juist op tijdstippen dat hackers actief zijn. Ik kan je verzekeren, ik slaap een stuk beter nu ik weet dat SURFsoc 24/7 een oogje in het zeil houdt.” 

SURFsoc verbetert onze handelingssnelheid, juist op tijdstippen dat hackers actief zijn
Rory O'Connor

Gemiddeld wordt het computer emergency response team (CERT) van de universiteit één of twee keer per maand buiten kantooruren gewaarschuwd vanuit SURFsoc dat er iets aan de hand is dat actie vereist. “Iemand van ons wordt dan wakker gebeld”, legt Rory uit. “In het begin gebeurde dat wat vaker. Maar je merkt dat we steeds beter op elkaar ingespeeld raken. De mensen van SURFsoc weten inmiddels wat voor ons hoge prio-meldingen zijn en welke zaken even kunnen wachten.” 

“Dat afstemmen en finetunen is belangrijk”, gaat hij verder. “Zeker ook voor het draagvlak intern. Je kunt nu eenmaal niet verwachten dat collega’s midden in de nacht de telefoon opnemen onder het motto: hart voor de zaak.” 

Aanvalsdruk zal toenemen

Als je ziet hoeveel aanvalspogingen er gedaan worden, begrijp je volgens Rory hoe belangrijk het is om altijd paraat te zijn. En die aanvalsdruk zal volgens hem nog verder toenemen. “Niet alleen vanuit professionele statelijke actoren die het Nederlandse onderwijs- en onderzoeksveld willen ontwrichten, maar ook door kleine criminelen die door de opkomst van AI en de lage prijzen van hackertools steeds makkelijker hacker kunnen worden”, waarschuwt hij. Waarbij onderwijsinstellingen in zijn ogen door hun grote aanvalsoppervlak aantrekkelijke doelwitten zijn.  

Oorlogsvoering waar de onderwijssector zich alleen sámen tegen kan wapenen
Rory O'Connor

“Asymmetrische oorlogsvoering waar de onderwijssector zich alleen sámen tegen kan wapenen”, vervolgt hij. “Uiteindelijk hebben we allemaal hetzelfde belang: zorgen dat onderwijs en onderzoek door kunnen gaan. We hebben onderling zoveel samenwerkingsverbanden en uitwisselingen: wanneer één onderwijsinstelling geraakt wordt, heeft dat gevolgen voor andere. Hoe meer instellingen zijn aangesloten op SURFsoc, hoe veiliger we als sector zijn. Neem alleen het voorbeeld van de use cases die we dankzij deze samenwerking continu kunnen aanscherpen.”

Rol beheerders

Rory benadrukt het belang van een goede en tijdige interne communicatie wanneer je als instelling wil aansluiten bij SURFsoc. “Communicatie richting beheerders bijvoorbeeld”, geeft hij aan. “Zij kunnen SURFsoc ervaren als een controleur van hun werk. Terwijl het juist een extra laag van bescherming is. Belangrijk om dat gesprek al in een vroeg stadium met hen aan te gaan.”

Je hebt je beheerders hard nodig om SURFsoc tot een succes te maken. Neem het actueel houden van je logbronnen: daar moet je als instelling echt zelf bovenop zitten.
Rory O'Connor

Je hebt je beheerders namelijk hard nodig om SURFsoc tot een succes te maken. Neem het actueel houden van je logbronnen. Daar moet je als instelling echt zelf bovenop zitten.” Heb je de zaken intern goed afgestemd dan zal iedereen volgens deze CISO de voordelen snel zien en ervaren. “We doen als universiteit jaarlijks een Red Team assessment en meerdere pentesten. Tot nu toe zijn deze door SURFsoc gesignaleerd. Het bewijs van de werking”, besluit hij. 

Tekst: Sandra Kagie