Een klein IT-team, groeiende securityrisico’s en een complex IT-landschap. Hoe zorg je in die uitdagende omstandigheden voor een goede bescherming tegen actuele cyberdreigingen? DAS Rechtsbijstand zocht hiervoor hulp bij Orange Cyberdefense. Dankzij 24/7 MDR-dienstverlening is het juridische bedrijf beter voorbereid op cyberaanvallen en kan het snel reageren op bedreigingen. Zo pakten zij het aan.
DAS Rechtsbijstand heeft een duidelijk doel voor ogen: doorgroeien naar de status van een volledig digitale juridische dienstverlener. Dat betekent ook dat het moest afrekenen met een verouderd en gefragmenteerd IT-landschap. “We hebben een groot deel van de IT-omgeving zelf ontwikkeld. Deed zich een behoefte of probleem voor, dan zorgden we zelf voor een oplossing”, constateert Max van Heiningen, Information Security Officer bij DAS Rechtsbijstand.
Die IT-strategie zorgde na verloop van tijd voor een lappendeken van on-premise oplossingen. Een die niet alleen lastig schaalbaar en beheersbaar was, maar ook voor cyberrisico’s zorgde. “We waren steeds pleisters aan het plakken. Om echt te kunnen groeien richting digitale dienstverlener, zijn we een groot deel van de infrastructuur aan het vervangen door cloudoplossingen.”
Cruciaal aspect in die nieuwe IT-strategie is een sterke digitale weerbaarheid. Natuurlijk in de eerste plaats omdat de organisatie als juridisch orgaan veel privacygevoelige data beheert. En met een sterkere risicobeheersing voldoet de organisatie automatisch ook gemakkelijker aan wetgeving zoals de Digital Operational Resilience Act (DORA). Deze wetgeving verplicht financiële organisaties tot het nemen van allerlei maatregelen voor een sterke digitale weerbaarheid.
Het realiseren van die weerbaarheid was een grote uitdaging voor een organisatie met een klein IT-team, midden in een digitale transformatie. DAS besloot daarom externe hulp in te schakelen, in de vorm van een Managed Detection & Respons (MDR)-dienstverlening door Orange Cyberdefense. Daarbij waken securityspecialisten van Orange Cyberdefense 24/7 over de infrastructuur van DAS Rechtsbijstand.
De keuze voor Orange Cyberdefense was niet willekeurig. “We zochten een partner die ons niet alleen kon helpen met specifieke problemen, maar ook als sparringpartner kon fungeren. Bij Orange Cyberdefense hadden we meteen door dat ze over een brede expertise beschikken. Bovendien was er tijdens de livepresentaties die belangrijke ‘klik’”, aldus Van Heiningen.
Een van de eerste stappen in de samenwerking was een goede integratie met het Security Operations Center (SOC) van Orange Cyberdefense. DAS had al enige basismaatregelen getroffen, zoals serverhardening en uitgebreide logging. Maar het was essentieel om deze logs effectief te gebruiken binnen het SOC. “Via tweewekelijkse meetings hebben we de processen goed onderling afgestemd en een soepele onboarding gerealiseerd.”
Inmiddels staat de MDR-dienstverlening bij DAS Rechtsbijstand op de rit. Het SOC detecteert en rapporteert effectief bij onregelmatigheden. Daardoor kan het bedrijf proactief reageren op potentiële dreigingen. Ook als die van binnenuit komen door gedrag van de medewerkers. Door de monitoring ziet DAS alles wat er gebeurt op de infrastructuur van de organisatie. Op die manier komen ook de zaken aan het licht die wellicht beter kunnen of moeten.
“Aan de ene kant is dat wel spannend: het is een beetje alsof je de doos van Pandora opentrekt. Maar aan de andere kant kun je nooit meer zeggen dat je het niet wist. Die inzichten kunnen je IT-team natuurlijk wel meer werk opleveren, maar gelukkig viel dat bij ons erg mee.”
Wel is het volgens Van Heiningen belangrijk om vanaf de start alle medewerkers te betrekken in het monitoring- en verbeterproces. “Monitoring kan weerstand opleveren, zeker wanneer je mensen moet aanspreken op onhygiënisch gedrag. Maar door vanaf het allereerste moment het gesprek aan te gaan met alle medewerkers, voorkom je het Big Brother-gevoel”, zegt Van Heiningen.
DAS heeft Orange Cyberdefense groen licht gegeven om in noodsituaties in te grijpen. Desnoods zonder overleg, bijvoorbeeld als de eigen medewerkers ondanks de vastgelegde ‘piketdiensten’ slecht of niet bereikbaar zijn. Dat vraagt volgens Van Heiningen veel onderling vertrouwen. “Je moet zo snel mogelijk op een cyberaanval kunnen reageren. Dat betekent dat je een deel van de operationele controle uit handen geeft. Dat is natuurlijk een risicoafweging: een verkeerde handeling kan voor verstoring zorgen. Maar het risico van bijvoorbeeld een ransomware-aanval is nog veel groter. Bovendien vertrouwen we op hun kundigheid.”
De strakke samenwerking en voortdurende communicatie tussen DAS en Orange Cyberdefense werpt zijn vruchten af. “Je neemt natuurlijk een dienst af, maar dat betekent niet dat je als klant een passieve rol hebt. Zo nemen we periodiek met Orange Cyberdefense de rapportages rondom incidenten door. Die leveren ons belangrijke inzichten op over verbeterpunten. Wat voor incidenten waren het, welke maatregelen zijn eventueel nog nodig? Moeten we ergens extra logging aanzetten? Daarnaast gebruiken wij die rapportage ook in onze eigen interne rapportagestroom richting het senior management.
Door die intensieve aandacht voor security leeft het onderwerp volgens Van Heiningen nu veel meer in de organisatie. “Ons DevOps team heeft het ‘security-by-design’-principe nu ook stevig verankerd in alle processen. Zo zorgen we voor meer veiligheid. En met een sterker risicomanagement is compliance met de nieuwe DORA-wetgeving een automatisch voortvloeisel.”
Toch is DAS nog lang niet ‘klaar’ met cybersecurity. “Dat ben je nooit. Zo zetten we momenteel heel hard in op third party riskmanagement, zodat we zeker weten dat security ook bij onze ketenpartners volop aandacht heeft. En we blijven samen met Orange Cyberdefense nieuwe use-cases ontwikkelen voor een verdere versterking van de weerbaarheid. Dat is nodig met ontwikkelingen zoals deepfake en generatieve AI. Het is belangrijk dat we blijven innoveren en onze securitystrategieën blijven aanpassen aan al die nieuwe dreigingen. We hebben echt nog veel werk tot aan ons pensioen.”
Voor andere organisaties heeft Van Heiningen enkele belangrijke lessen: “Zorg dat je je mensen meeneemt in de onboarding. Blijf met ze in gesprek en voorkom dat je een ‘blame cultuur’ creëert waar mensen uit angst zaken achterhouden. Een externe monitoringdienst betekent niet dat je zelf alle teugels kunt laten vieren. En reguleer je piketdiensten. Uiteindelijk ben je met zijn allen verantwoordelijk voor de digitale veiligheid.”
Bekijk ons webinar: MDR, de ervaringen van DAS Rechtsbijstand