Netwerkinventarisatie (NWI)

De pilot netwerkinventarisatie (NWI) is afgerond. Gemeenten en de IBD wilden met deze pilot zien of het mogelijk is om geautomatiseerd de gemeentelijk ICT-overzichten actueel te krijgen en te houden. Zo kan namelijk een verbetering gerealiseerd worden op belangrijke basisprocessen in de beveiliging: configuratie- en patchmanagement (VDW module 1).

De aanleiding

Tijdens het IBD-onderzoek in 2018 naar de digitale weerbaarheid binnen Nederlandse gemeenten, bleek dat een aanzienlijk aantal gemeenten hun configuratiemanagement nog onvoldoende aandacht hebben kunnen geven. Configuratiemanagement is complex en kost over het algemeen erg veel tijd. Daarnaast kwam er de vraag van gemeenten of wij als IBD hulp zouden kunnen bieden in een zo concreet mogelijke en direct bruikbare vorm. Daaruit is de pilot IBD Netwerkinventarisatie (NWI) ontstaan.

Hoe het werkt

De IBD NWI tooling, die tijdens de pilot ontwikkeld is, verzamelt door middel van een speciale beveiligde scanner in het netwerk van de gemeente de configuratie gegevens van alle in het netwerk zichtbare (netwerk-facing) apparatuur en software. Apparatuur en software die niet vanaf het netwerk bereikbaar zijn (bv. MS Office, Acrobat Reader, etc.) worden hierbij niet meegenomen. Dit is in de gekozen opzet technisch niet mogelijk.

De opgehaalde informatie wordt geformatteerd tot een leesbaar/importeerbaar (bijvoorbeeld voor Topdesk) bestand. Er worden twee versies gegenereerd. Één versie met alle gegevens voor de gemeente zelf. Hiermee kan de gemeente de CMDB vullen of verifiëren. Hier zit voor de gemeente zelf wel wat werk in. Men zal de gemeente eigen tooling moeten configureren om de aangeleverde bestanden in te kunnen lezen. Gelukkig is daar binnen de pilot groep ervaring in opgedaan. De tweede versie is een beperkte versie met enkel de gegevens over de producent en de versie van de apparatuur en software. Alle gemeente specifieke informatie is verwijderd. Deze versie is bestemd voor de IBD. Wij kunnen met deze informatie (gedeeltelijk) de ICT-foto aanvullen en kwetsbaarheden matchen, waarmee we de gemeente kunnen waarschuwen voor mogelijke dreigingen. Deze functionaliteit was in de pilot fase nog niet beschikbaar.

Resultaten van de Pilot

In 2020 hebben we de NWI pilot opgezet. Ondanks de coronapandemie is het toch gelukt, hetzij met wat vertraging, de pilot succesvol uit te voeren. Aan de pilot namen 7 gemeenten deel, waarvan we de hard- en softwarecomponenten (configuratie items ofwel CI’s) hebben verzameld en geanalyseerd.

De scans bleken erg compleet en nauwkeurig, binnen de scope van de network-facing CI’s. Ze zijn daarmee dus prima bruikbaar als input voor het configuratiemanagementproces. Ook zijn de resultaten bruikbaar voor het matchen van mogelijke kwetsbaarheden. Met deze bevindingen kunnen we concluderen dat de pilot succesvol was en dat we nu verder kunnen met een mogelijke uitrol.

Technisch werkt het dus allemaal zoals het zou moeten, maar heeft de NWI ook toegevoegde waarde voor de Nederlandse gemeenten? Alle pilot deelnemers hebben aangegeven dat de NWI erg nuttig is voor configuratiemanagement, maar dat het pas echt waardevol wordt als ook de kwetsbaarheden gematcht kunnen worden en men (geautomatiseerd) dreigingsmeldingen kan ontvangen. Deze bevindingen nemen we mee in het bepalen van het vervolg.

Huidige situatie

Op dit moment zijn de scanners in de pilot gekoppeld aan de centrale NWI test/pilot omgeving. Op deze omgeving ontwikkelen we ook de NWI tooling en verwerken we de gegevens uit de pilot. Uiteraard voldoet deze omgeving volledig aan alle eisen met betrekking tot de informatieveiligheid, maar is in deze vorm niet geschikt voor een grootschalige uitrol naar gemeenten. Ook de scanners hebben een software update nodig om met toekomstige centrale omgevingen overweg te kunnen.

Next steps

Op basis van de positieve resultaten uit de pilot breiden we NWI verder uit. We ontwikkelen de software verder, zodat er ook een exacte matching van kwetsbaarheden op de gevonden CI’s plaats kan vinden. De gevonden kwetsbaarheden worden dan automatisch naar de deelnemers verstuurd, zodat die direct actie kunnen ondernemen. Hiermee beantwoorden we aan de expliciete vraag van de pilot gemeenten. Na toevoeging van deze functionaliteit bouwen we een productie omgeving waar de decentrale scanners aan gekoppeld zullen worden. Deze productieomgeving zal passend gesized en op correcte wijze beheerd worden. Als dit gerealiseerd is kunnen we een uitrol starten en gemeenten die aan willen sluiten koppelen met het productiesysteem. De verwachting is dat dit alles begin 2022 gerealiseerd zal zijn.

Zoals eerder genoemd kan de NWI alleen de netwerk-facing hardware en software scannen. Dit betekent dat gemeenten de CI’s die niet vanaf het netwerk te bereiken zijn zelf nog moet inventariseren, zoals men dat ook doet bij het samenstellen van de huidige ICT-foto. De ICT-foto zal daarmee dus ook blijven bestaan. Dit betekent dat er dus twee sets van informatie gemaakt worden, waarvan 1 automatisch, wat tot gevolg heeft dat er dan twee bronnen zijn op basis waarvan de IBD kwetsbaarheidsmeldingen naar de gemeente stuurt. De IBD zal dit nieuwe proces duidelijk beschrijven. Dit zal voor de meeste gemeenten in de nabije toekomst de beste aanpak zijn, tot het punt bereikt wordt dat gemeenten naar een interne integrale oplossing voor CM en kwetsbaarhedenmanagement doorgroeien.

Waar willen we naar toe met NWI?

De IBD NWI is vooral een startmotor om configuratiemanagement en wellicht ook kwetsbaarhedenmanagement binnen de gemeenten een boost te geven. Het  is geen definitieve oplossing. Dit betekent dat er in een later stadium vervolgstappen genomen moeten worden door de gemeenten om naar de interne integrale oplossing te bewegen. De deelnemende gemeenten kunnen daar met de NWI nu al wel op voorsorteren.

De IBD is geen softwareontwikkelaar. Het is daarmee ook niet de bedoeling dat wij een volledige kwetsbaarheidsmanagement tooling omgeving gaan opbouwen. Daar zijn andere (commerciële) partijen veel beter in. De NWI heeft enkel als doel om de eerste stappen te maken in zowel geautomatiseerd configuratiemanagement als kwetsbaarhedenmanagement. Dit om gemeenten een eerste opstap te geven om daarna door te kunnen groeien naar geavanceerdere tools en methoden. Als het moment van doorgroeien is aangebroken hebben wij vanuit de IBD passende ondersteuningsmiddelen ontwikkeld om dit te faciliteren. Denk hierbij bijvoorbeeld aan een lijst met geschikte tooling, best practices etc. Hiermee kunnen de gemeenten dan direct zelf aan de slag om de juiste richting op te bewegen. Uiteraard blijft de IBD hierbij ondersteunen met advies en het beantwoorden van vragen.