De gemeente Zoetermeer zet zichzelf neer als ‘innovatieve netwerkstad’ die flink investeert in ontwikkelingen zoals ‘hybride onderwijs’ en een Dutch Innovation Park. Die laatste moet de plek zijn in de Randstad voor de ontwikkeling van toegepaste it-innovaties. Momenteel zet de gemeente de puntjes op de i van een tweejarige verbouwing van hun stadhuis. Deze had de nodige gevolgen voor hun eigen innovatie, namelijk de invoering van een nieuwe security strategie van de gemeente.
Het nieuwe jaar begint voor de gemeente Zoetermeer in het totaal gerenoveerde stadhuis op het Stadhuisplein. Een die minder groot is dan voorheen en door de invoering van het ‘nieuwe werken’ minder werkplekken nodig heeft. Daarnaast was het stadhuis het minst duurzame gebouw van de stad. Daar is met de aanleg van vierhonderd zonnepanelen geen sprake meer van. De renovatie biedt enerzijds kansen voor innovatie, maar vraagt anderzijds ook scherpe keuzes qua resourcemanagement. Gekozen is bijvoorbeeld voor een nieuw werkplekconcept, nieuwe avm-middelen met narrowcasting en andere toegangsbeveiliging, waardoor de implementatie van zero trust op een lager pitje kwam te staan. Zo laten Marc van Gaalen, it-manager en Daniël van Dijk, netwerkbeheerder en security-specialist, van de gemeente Zoetermeer weten.
De gemeente begon ook twee jaar geleden met een software-aanbesteding waarin security een belangrijke factor speelde. Uiteindelijk werd er gekozen voor VMware in combinatie met onder andere securityoplossingen van Palo Alto, uitgevoerd door de cybersecurity specialist On2IT.
Dijk van een oplossing
De gemeente hanteert een Zero Trust-model en gebruikt daarvoor VMware’s NSX voor een aantal applicaties. Hoewel ze het Zero Trust-model al langer in het vizier hadden is het sinds kort pas geadapteerd. Dat komt omdat het in het begin nog niet goed toepasbaar was volgens beide heren. Met de opkomst van NSX is Zero Trust beter toe te passen omdat er niet meer sprake is van een centraal punt die de bottle neck vormt voor dreigingen. Met NSX worden er verschillende beveiligingspunten opgezet in de digitale omgeving.
In het verleden had de gemeente verschillende securityoplossingen, zoals een firewall aan de buitenkant. Nu heeft het in plaats van een fysieke firewall via de virtuele server per applicatie een eigen firewall met eigen unieke regels die enkel voor de betreffende applicatie gelden. Zo beveiligen ze de omgeving niet specifiek van buiten naar binnen, maar wordt er meer gesegmenteerd binnen de omgeving.
Je kunt NSX volgens Van Gaalen het beste vergelijken met Nederland en de dijken. ‘Als het water een dijk doorbreekt is niet gelijk heel het land verloren, maar zijn er verschillende dijkringen in het land die stuk voor stuk de rest van het land kunnen beschermen. Het is dus niet 100 procent waterdicht, maar dat is tegenwoordig ook niet meer geloofwaardig om te beweren.’ De inzet van NSX zorgt er wel voor dat ze compliant zijn aan regelgeving als de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten).
Leverancier als partner
Volgens Van Dijk ligt er een stigma op het feit dat vooral overheden de dupe zijn van bijvoorbeeld dreigingen als ransomware. Iedereen is een doelwit, niet perse gemeenten, maar zo komt het wel vaak in de media over.
Op de vraag wie verantwoordelijk is bij een lek, gemeente of leveranciers is Van Dijk duidelijk. ‘Je bent als gemeente zelf verantwoordelijk voor je winkel en maakt daarbij gebruik van kennis van derde partijen. Je bent dus zelf verantwoordelijk om kritisch te kijken naar informatie die je krijgt van een derde partij en moet dus goed op de hoogte zijn van de materie. Daarnaast moet je niet je oren laten hangen naar één specifieke partij.’
Het gaat niet zozeer om het aanwijzen wie verantwoordelijk is, maar vooral kijken naar de oplossing. Het helpt volgens van Gaalen niet om het bij de leverancier neer te leggen.
Het is namelijk belangrijk dat je leveranciers beschouwt als partners, vult Van Dijk aan. ‘Een goede samenwerking is cruciaal. Je kunt niet zomaar zaken over de schutting gooien, maar je moet juist samenwerken met specialisten en externe partijen. Daarvoor doen we mee aan kennissessies en laten we ons bijpraten door verschillende partijen.’
Iedereen doet mee
Inmiddels zijn vijf applicaties al compliant en is er een lijst opgesteld met twintig applicaties die ook op deze manier worden beveiligd. De gemeente heeft in totaal zo’n driehonderd applicaties in gebruik. Niet elke applicatie is even risicogevoelig.
Wanneer je dit principe toepast merk je direct dat het niet enkel een it-feestje is. Het is een proces waar meerdere onderdelen en mensen bij betrokken zijn. Zo weet men niet alle ins en outs van alle applicaties die worden gebruikt. De input van de leverancier en gebruiker zijn belangrijk. Hoe is het opgebouwd, hoe wordt ermee gewerkt hoe kan NSX daarin meedraaien.
De omvang van het aantal gebruikte applicaties geeft aan hoe complex het is om alles volgens dit concept in te richten. Van Gaalen: ‘Je hebt bij elke applicatie weer te maken met andere stakeholders zowel intern als extern. Daarin merk je dat veiligheid ook meer is dan de techniek alleen. Je moet naast de applicaties beveiligen ook het bewustzijn verhogen van de gebruikers. Om de securitykennis van medewerkers te verbeteren werken we samen met FoxIT aan verschillende awarness campagnes.’
Nieuwe aanbesteding
Momenteel is de gemeente bezig met de laatste loodjes. In de kerstvakantie werd er zelfs nog verhuisd. De afgelopen twee jaar stonden dan vooral in het teken van de renovatie en het uitvoeren van de nieuwe security strategie. Hoewel die renovatie veel tijd eiste van medewerkers bracht het ook positieve zaken met zich mee, zoals nieuwe toegangsbeveiliging en nieuwe apparatuur voor medewerkers. Nu kan er opnieuw vooruit worden gekeken op it-vlak en is er een aanbesteding gemaakt voor nieuwe hardware voor de eigen datacenters van de gemeente.
