Wat doe je als ICT’er bij Defensie? Zonder te veel over infrastructuur, tooling en software te verklappen (veiligheid voorop) kunnen we wel zeggen dat je hier bijzondere dingen meemaakt. We spraken een ICT’er over zijn werk. “Mijn team drukt een groot stempel op de toekomstige cybersecurity binnen Nederland en die van de NAVO.”
Hans, 32 jaar, Security Operations Manager, wilde als kleine jongen al een bijdrage leveren aan een veilig Nederland. Drie jaar geleden greep hij zijn kans en inmiddels is hij verantwoordelijk voor security ops binnen het cyber domein en geeft leiding aan een team van 35 cyberspecialisten bij Defensie.
“Als team richten wij ons op defensieve cyber. We zorgen dat aanvallers buiten de deur blijven. Daarnaast ‘lopen wij patrouille’ op verschillende lagen binnen het IT-landschap van Defensie via geautomatiseerde rules die wij bouwen. Op zoek naar afwijkingen van mens en machine.” Bijzonder om te weten, is dat Hans helemaal geen militair is, maar een burgermedewerker bij Defensie. Dat komt doordat bij Defensie burgers en militairen nauw met elkaar samenwerken.
Digitale oorlogsvoering
Natuurlijk willen we precies weten hoe je cyberdefensie aanpakt, maar ook welke specialistische technologieën en apparatuur Defensie gebruikt. Om met het eerste te beginnen, vertelt Hans dat rules (detectie triggers) worden geschreven door cyber specialisten op basis van dreigingen en intel en dat nauw wordt samengewerkt met het Nationaal Cyber Security Centrum (NCSC). Over infrastructuur, tooling en software bij Defensie mag hij niets zeggen. Logisch, over de beveiliging van een IT-landschap wil je zo min mogelijk verklappen. “IT-infrastructuur en applicatiemanagement, en SOC-werkzaamheden lijken op die bij commerciële bedrijven, alleen wordt het bij Defensie ook gebruikt in missie- en uitzendgebieden en hangen er bij ons letterlijk mensenlevens vanaf.”
Hans en zijn team werken ook samen met de offensieve cyberafdeling van Defensie. Al benadrukt hij dat dit twee gescheiden onderdelen zijn. “Die collega’s houden zich bezig met het ontwikkelen van tooling en malware om vijanden te slim af te zijn. Want oorlog vindt tegenwoordig steeds vaker elektronisch en op IT-gebied plaats. Mijn afdeling is dus defensief gericht. Wij gebruiken tooling om te zien wat er speelt, waarna we de beheerafdeling die over alle IT van Defensie gaat, adviseren waar ze rekening mee moeten houden en waar op dit moment de kwetsbaarheden zitten.”
Zo speurt een groep specialisten naar afwijkingen in enorme hoeveelheden ruwe gegevens aan de hand van hypotheses. “Vinden we dat een bepaalde (statelijke) actor opvalt, dan kijken we of we hier meer over kunnen terugvinden in onze data.” Verder zijn er specialisten die actuele incidenten oppakken en dat kan werkelijk van alles zijn. Van iemand die op een phishing mailtje heeft geklikt tot gerichte aanvallen op het Defensie netwerk. “Ze analyseren nauwkeurig wat er is gebeurd en denken na over de impact van het advies dat ze aan de beheerorganisatie geven om het te verhelpen. Want je kunt bij ons niet zomaar apparatuur uitschakelen en een operationele missie in gevaar brengen, alleen maar omdat je vermoedt dat iets verdacht is.”
Niet zomaar de eerste de beste hacker
Cybersecurity is een zeer serieuze zaak, want je hebt bij Defensie te maken met totaal andere dreigingen dan bij een doorsnee civiel bedrijf. Het draait niet zozeer om pubers die ergens op een zolderkamertje een beetje experimenteren met DDOS-aanvallen, maar het gaat veelal om zogenoemde advanced persistent threats. “Dit zijn actoren die veel tijd en middelen hebben om ons land aan te vallen. Ze kunnen zomaar maanden bezig zijn om ons te verkennen, op zoek naar die ene zwakke plek.”
Behalve het grote defensienetwerk, bestaan er ook nog gerubriceerde domeinen: zelfstandige netwerken die losstaan van de centrale IT-infrastructuur en applicatiemanagement. “In missiegebieden zetten wij een volledig losstaande lokale infrastructuur op.” Het meeste werk doe je als IT-specialist gewoon vanuit Nederland, maar in de opbouwfase van een missie of oefening gaat er wel degelijk een IT’er mee. “Als burger, al dan niet speciaal gemilitariseerd voor de opdracht, kun je bij Defensie dus mee op missie naar bijvoorbeeld Mali of Afghanistan als je dat wilt. Ook daarna ben en blijf je verantwoordelijk voor de IT-omgeving, zelfs al staat het los van elk ander netwerk. Je hebt dan speciale middelen om toch op afstand bij het gesegmenteerde netwerk te komen.”
En heb je het idee dat Defensie een hiërarchische organisatie is? “Als burger ICT’er heb je hier totaal geen last van. Militairen luisteren juist naar jou, omdat ze weten dat jij de expert bent op jouw vakgebied. Net zoals zij dat zijn op hun gebied.”
Technologie die je nergens anders tegenkomt
Schepen, pantservoertuigen en vliegtuigen, ze zitten vol met IT-technologie die je nooit in een gewone civiele-omgeving zult tegenkomen. Dat maakt het werk uniek. Zo beschikt defensiematerieel over een eigen zelfstandig netwerk dat volledig van de buitenwereld is afgeschermd. Dit deployed netwerk noemt Defensie TITAAN, wat staat voor: Theatre Independent Tactical Army and Airforce Network. “Er zit alles in om connecties op te zetten en zo je eigen provider te bouwen,” zegt Hans. “Zonder in details te treden, krijg je zodoende met alle IT-facetten te maken, maar dan in het klein en op een heel andere manier.”
Op zo’n deployed netwerk wordt apparatuur aangesloten voor specifieke defensie-doeleinden. Ook die kom je weer nergens anders tegen. Hans kan daar daarom ook niet specifiek op ingaan. Maar denk aan “een Combat Management System, richtsystemen, communicatieapparatuur en apparatuur voor Elektronische Oorlog Voering (EOV).” Het wordt allemaal in-house ontwikkeld, geïnstalleerd en onderhouden door de IT’ers van Defensie. Samen met militaire specialisten en eventueel ondersteund door externe partijen.
Als techneut ga je regelmatig mee met bijvoorbeeld een testvaart, om te kijken of dat wat je bedacht hebt ook echt werkt. “Dat is meestal op een marineschip ergens voor de kust. Al kan het ook zijn dat je ineens meedoet met een actieve NAVO-oefening, om in de praktijk te ondervinden of alles het doet. Omdat wij NAVO-breed opereren, zit je soms ineens in Noorwegen, of waar dan ook binnen de NAVO, om in samenwerkingsverband te testen.”
Scherp je IT-skills tijdens realistische oefeningen
En die samenwerking tussen landen wordt alleen maar groter. Zo werken Hans en zijn team aan de bouw van een NAVO-breed netwerk. “Complex werk hoor, iets ontwikkelen dat voor alle NAVO-partners moet voldoen. Met als complicatie dat de IT van de verschillende landen nogal van elkaar verschilt en er veel legacy is ontstaan.” Nederland loopt wel voorop wat betreft IT. “Mijn team drukt daarom een groot stempel op hoe cybersecurity er straks uit komt te zien. Een grote verantwoordelijkheid en echt iets om trots op te zijn.”
Alsof het nog niet genoeg is, word je als burgermedewerker bij Defensie ook nog eens betrokken bij jaarlijkse grote internationale cyberoefeningen. Een goed voorbeeld is de oefening Locked Shields, waarbij een aanval op kritieke infrastructuur realistisch wordt nagespeeld. “Alles wat je kan bedenken binnen Nederland, dus kritieke infrastructuur zoals watervoorzieningen, elektriciteitscentrales en nucleaire installaties, maar ook ons volledige defensieapparaat, is tijdens deze oefening een doelwit.” Er wordt geoefend samen met de NAVO-landen en deze oefening duurt een week. “Een internationaal team van techneuten speelt voor aanvaller. Ze proberen een fictief netwerk met volledig opgebouwde infrastructuur helemaal kapot te maken.” Als defensief team moet je die aanval zien af te slaan. “Je leert er veel over de tactieken die aanvallers gebruiken en voor ons is het ook een mooie kans om de nieuwste tooling uit te testen.”
Wil jij jouw IT-skills inzetten én verder aanscherpen in de bijzondere en uitdagende IT-omgeving van Defensie? En dus meewerken aan de digitale beveiliging van Nederland? Bekijk dan hier de vacatures
Bron: Defensie
