Door IBD op 23 juni 2022

Blog: Werken als incident handler bij de IBD

Wat doet een incident handler?

Als incident handler bij de Informatiebeveiligingsdienst (IBD) ben je het eerste aanspreekpunt voor gemeenten. Gemeenten kunnen contact opnemen voor diverse ‘security vraagstukken’. Soms neemt een Chief Information Security officer (CISO) contact op om te sparren over een informatiebeveiligings- onderwerp dat actueel is bij een gemeente, de andere keer meldt een gemeente een incident. Een incident handler kan gemeenten die getroffen zijn door een cyberincident verder op weg helpen met handelingsperspectief. Incidenten kunnen dag en nacht plaatsvinden. Een incident handler met piketdienst is daarom ook 24/7 beschikbaar voor gemeenten bij incidenten.

De IBD vindt het belangrijk om niet alleen reactief te handelen, maar ook proactief. Daarom zorgt de incident handler voor analyse van informatie uit diverse bronnen om de digitale dreigingen en risico’s in kaart te brengen. De technische inhoud vertaal ik naar praktische adviezen voor gemeenten. Ik heb hierover contact met collega’s van het IBD Computer Emergency Response Team (CERT). Soms ook met andere CERT’s in Nederland.

Ik kijk naar dreigingen, maar ook naar kwetsbaarheden. Dat is een ander aspect van de functie. Daarvoor zet ik ‘scantooling’ in. Dit maakt mogelijke kwetsbaarheden bij gemeenten inzichtelijk. Ik deel deze kwetsbaarheden met gemeenten opdat zij hier actie op kunnen nemen. Of en hoe ze dat doen is hun verantwoordelijkheid.

Hoe ziet voor jou een ideale werkdag eruit?

Een ideale werkdag voor mij is een dag waarop er een complex probleem of incident op popt. Ik hou ervan om uitgedaagd te worden in werk en dat betekent (helaas voor een gemeente) dat er wel iets ernstigs aan de hand is. Soms staat de continuïteit van de dienstverlening van een gemeente dan op het spel. En kunnen bijvoorbeeld diensten als het uitgeven van identiteitsbewijzen of het betalen van uitkeringen geen doorgang vinden. Dat wil je echt niet als gemeente maar het kan het gevolg zijn van een beveiligingsincident. Het is dan van belang om binnen een kort tijdbestek met de juiste informatie te komen om de dienstverlening weer op gang te krijgen en het beveiligingsprobleem op te lossen. Er zijn helaas ook momenten dat je teleurgesteld bent in een gemeente. Denk aan een situatie dat de gemeente tegen het IBD- advies in heeft verzaakt om een maatregel (bijvoorbeeld tweefactor authenticatie) in te schakelen en als gevolg daarvan te maken krijgt met een incident. In zo’n geval moet je bedenken wat er nog verder kan worden gedaan om gemeenten te motiveren om aanvullende maatregelen te nemen.

Wat vind jij leuk aan je werk?

Met 344 verschillende gemeenten in Nederland is er elke dag weer een andere security uitdaging. Samen met IBD- collega’s en specialisten uit gemeenten maken we de lokale overheid digitaal weerbaarder. De IBD is een gezellig team waar de lijnen kort zijn en het contact informeel is. Als je zin hebt om met een paar collega’s een drankje of een hapje te doen in de Haagse binnenstad is dat regelmatig mogelijk. Wat ik ook leuk vind aan het werk is als je in de media leest over een bepaalde digitale dreiging, dat ik weet wat ik op achtergrond heb bijgedragen om gemeenten veiliger te maken.

Kun je iets vertellen over een incident?

Op vrijdag 10 december half negen in de ochtend zag ik een berichtje over een kwetsbaarheid in ‘Log4j’. Tot dan had ik nog nooit gehoord van Log4j, echter al vrij snel werd mij duidelijk dat de kwetsbaarheid zeer ernstige gevolgen zou kunnen krijgen. Direct heb ik mijn collega’s verteld dat ik een waarschuwingsbericht aan alle gemeentelijke security contacten ging sturen. In de loop van de dag is de IBD verder opgeschaald omdat we gemeenten nog voor het weekend meer informatie en handelingsperspectief wilden geven. Bij een situatie als bij Log4j ben je technisch aanspreekpunt binnen de IBD. Met andere CERT’s had ik regelmatig overleg om het huidige beeld van doelgroepen te delen. Dagelijks hield de IBD een spreekuur voor alle gemeenten en mijn rol in dat spreekuur was om alle technische vragen te beantwoorden. Tijdens Log4j werd het CERT team van de IBD uitgebreid met onze stand-by IBD CERT medewerkers en kreeg iedereen een eigen rol om zo de taken te verdelen. Uiteindelijk zijn er (zover mij bekend) geen grote incidenten geweest bij gemeenten door misbruik van Log4j en heb ik vanuit de IBD kunnen bijdragen dat gemeenten (en gemeentelijke leveranciers) dit in goede banen hebben kunnen leiden.