SURF en Fox-IT gaan onderwijsinstellingen beter beveiligen tegen cyberaanvallen

SURF gaat met Fox-IT universiteiten, mbo- en hbo-instellingen beter beveiligen tegen cyberaanvallen. Hiervoor heeft SURF SURFsoc opgericht, een security operations centre. De extra beveiliging komt deels vanwege de ransomware-aanval op de Universiteit Maastricht eind 2019.

Met SURFsoc wil SURF aangesloten onderwijs- en onderzoeksinstellingen beter beveiligen tegen cyberdreigingen en mogelijke aanvallen voorkomen. Een van de onderdelen van SURFsoc is SIEM, kort voor security incident en event management. Met SIEM monitort SURFsoc continu de infrastructuur van aangesloten instellingen, worden bedreigingen gesignaleerd en worden instellingen bij aanvallen geadviseerd. SIEM deelt informatie over de gehele onderwijs- en onderzoeksector, waardoor andere instellingen volgens SURF snel geïnformeerd worden over dreigingen. Met deze informatie kunnen andere instellingen hun beveiliging weer aanscherpen.

Voor SIEM organiseerde SURF, een IT-coöperatie voor onderwijs en onderzoek, een aanbesteding, die werd gewonnen door Fox-IT. Deze overeenkomst is volgens Fox-IT meer dan 25 miljoen euro waard en duurt vijf jaar. Het Nederlandse beveiligingsbedrijf gaat via SURFsoc universiteiten en andere onderwijsinstellingen daarnaast toegang geven tot beveiligingsexpertise.

Beide partijen noemen de ransomware-aanval op de Universiteit Maastricht van kerst 2019 als medeaanleiding voor het oprichten van SURFsoc. Toen gingen veel diensten, waaronder de e-maildiensten, offline. De universiteit zocht toen contact op met Fox-IT, maar deze zou destijds overvraagd zijn. De universiteit betaalde uiteindelijk 197.000 euro losgeld om de continuïteit van het onderwijs te kunnen garanderen.

Door Hayte Hugo

Redacteur

07-01-2021 • 19:05

32 Linkedin

Submitter: lesander

Lees meer

Reacties (32)

32
31
19
4
0
7
Wijzig sortering
Vacature Corporate Information Security Officer (CISO)

"SURF zoekt een Corporate Information Security Officer (CISO) die verantwoordelijkheid neemt voor de informatiebeveiliging van SURF. Word jij enthousiast van het pragmatisch implementeren van kwaliteitsnormenkaders zoals ISO 27001, kun je leidinggeven aan een IB-organisatie én ben je daadkrachtig in crisissituaties? Dan is deze functie je op het lijf geschreven."

Nou toe maar dames en heren, wie durft het aan? :P
LOL, een CISO rol van 32 uur...

En dit: minimaal tien jaar relevante werkervaring. Daarvan is minimaal vijf jaar in een informatiebeveiligingsberoep, bij voorkeur als CISO of in een vergelijkbare functie;

Met een maximum salaris van 6729 bruto gaat ook nog een zware kluif worden. fair enough, het is voor 32 uur. Maar in de praktijk zul je tegen de 45-50 aanzitten. Security wereld betaald te goed. Dus je moet echt een idealistisch persoon hebben die dit wil doen.
Aangezien ik het teamhoofd bij SURF ben dat deze CISO-vacature heeft uitgezet zal ik maar eens reageren op de vragen en comments :).

Ik snap bijvoorbeeld niet zo goed wat je bezwaar tegen een 0,8 fte aanstelling is. De CISO doet niet al het werk alleen. We hebben nog twee Security Officers in mijn team en samen wordt je verantwoordelijk voor de informatiebeveiliging van SURF. Dat staat nog los van het team dat deze SOC/SIEM dienstverlening aanbied aan onze leden. Daar zitten aparte security-collega's op, los van het feit dat FOX-IT de dienstverlening op zich neemt natuurlijk.

Als je dacht dat dit de enige seurity officer zou zijn, dan had je gelijk: dat kan niet in 0,8 fte :).
Aangezien ik het teamhoofd bij SURF ben dat deze CISO-vacature heeft uitgezet zal ik maar eens reageren op de vragen en comments

Als je echt voor het grote geld wilt werken, dan is SURF inderdaad niet de juiste werkgever. SURF is de ICT-samenwerkingsorgnisatie voor onderwijs en onderzoekend Nederland. Een non-profit, gefinancierd met belastinggeld. Dat neemt niet weg dat onze arbeidsvoorwaarden wat mij betreft prima zijn. Een paar voorbeelden:

- Een jaarsalaris van max. 94.206 (bij fulltime aanstelling)
- 36 vakantiedagen
- 1e klas OV-kaart, ook privé te gebruiken
- Zeer goede pensioenregeling, waar SURF 7/8ste van betaald. <-- die zie je direct terug in je netto salaris.

Daarnaast zijn we een fijne organisatie om in te werken. We verwachten kwaliteit, maar hebben geen harde commerciële drive, geen harde targets om te halen én je werkt mee aan de beveiliging van onderzoek en onderwijs Nederland. Als dat je aanspreekt zijn de arbeidsvoorwaarden marktconform. Maar als je meer nadruk legt op een hoog salaris, dan moet je inderdaad niet bij ons solliciteren.
Tja, het draait niet allemaal om geld. Nu heb ik niet veel kennis over de arbeidsmarkt op dit gebied, maar ik heb mij zo laten vertellen dat er bijvoorbeeld een vacature Specialist Cyber bij defensie plat word gesolliciteerd. Met een salaris van max (enige voorwaarden natuurlijk) 3440 p/m is dat niet veel soeps.

De vereiste werkervaring is wel een uitdagende voorwaarde maar er zijn echt wel mensen voor.
Er is natuurlijk wel een verschil tussen een junior/medior functie bij defensie en een CISO bij een grote publieke organisatie...
Met een salaris van max (enige voorwaarden natuurlijk) 3440 p/m is dat niet veel soeps.
Wel een baantje bij het defensie dus de rijksoverheid.

Prima secundaire voorwaarden, baanzekerheid en uiteindelijk een goed pensioen maar zonder kans te worden uitgezonden om ergens in een zandbak IEDs te mogen koppen.

Begrijpelijk dat mensen daarop solliciteren..
Het is niet slecht voor een junior/medior maar ook niet bijster goed.
Er werken meerdere security lui bij SurfCERT :) dus dat ze nu vacature hebben zegt niks over Surf hun security.
Aangezien ik het teamhoofd bij SURF ben dat deze CISO-vacature heeft uitgezet zal ik maar eens reageren op de vragen en comments :)

Deze vacature staat inderdaad los van SURFcert, dat is volledig bemand. Ook is de CISO niet direct verantwoordelijk voor deze SOC/SIEM dienstverlening, daar zit een apart team van collega's op :).
Kijk ook weer fijn opgehelderd toch :) wist wel dat het goed zou komen. Heb er alle vertrouwen in surf / fox /soc
Sterker nog, SURF heeft ook nu gewoon een CISO. Alleen doet hij het op a.i. basis en zoeken we nu naar een vaste invulling. Dat kon niet eerder vanwege een reorganisatie (dan is het aanbieden van nieuwe contracten 'een dingetje' ;)). Ook zijn er meerdere andere security officers in mijn team (niet op a.i basis ;)).

Voor wie trouwen interesse in de vacature heeft: je hebt nog t/m zondag om te solliciteren en kunt mij bellen als je vragen hebt.
Voor mijn afstuderen ben ik vergelijkbare normankaders aan het implementeren en dat bij een bedrijf met 40 mensen. Ik heb medelijden met de persoon die dit gaat doen.
Ik ben alleen geïnteresseerd in security, maar het is niet mijn vak. Wat is een normankader?
Waarschijnlijk bedoeld hij normenkader, zie google voor verdere uitleg ;)
Krijg er ook mee te maken, dit kan leiden tot een grote stap voorwaarts in beveiliging als ook alle aanbevelingen geïmplementeerd worden. Erg benieuwd naar de hoeveelheid werk die het opleverd en de mate van beveiliging die doorgevoerd kan/gaat worden als het eenmaal geïmplementeerd is. Dat duurt nog wel tijdje.
Mits deze SOC een beetje fatsoenlijk mandaat krijgt, maar als ik Fox zo inschat zouden ze de opdracht niet accepteren als dit niet zo was. I wouldn’t in elk geval.
Hoeft niet perse... onze externe soc rapporteert aan een intern team die het mandaat heeft
Als dat maar goed gaat. Het onderzoeksinstituut waar ik werk had vanwege corona het kerstpakket via mail verstuurd (was een externe organisatie)

Leuke hier aan was dus dat de ICT bij ons keurig de links aan inhoud gewhitelist had voor het spamfilter. Maar de overkoepelende organisatie niet (waardoor bijna iedereen niet doorhad dat hun kerstpakket in hun spambox zat) En ja wij vallen ook deels onder Surf dus ik vraag mij af hoeveel firewalls/spamfilters we wel niet gaan krijgen?

Net zoals papers lezen, die hebben we op een abonnement. Maar dat is vaak IP gelinked. Als er dan een proxyserverfirewall met meerdere IP adressen is. Dan kun je op maandag wel Papers lezen en moet je op dinsdag de pagina net zolang refreshen tot het juiste IP adres wordt uitgezonden 8)7
Maar dat ligt dan aan de interne structuur , niet aan Surf of de toekomstige SOC. Ik zit zelf in het CERT en laat ook met regelmaat hele ranges blokkeren. Wij onderzoeken eerst altijd wel of er ook daadwerkelijk alleen maar bogus ellende domains op geregistreerd zijn. Wij blacklisten een heleboel :)
Je overkoepelende organisatie had groot gelijk door niet te whitelisten. Je creëert van namelijk een onnodig beveiliging risico. Whitelisiting wordt dan ook door niemand aangeraden. Zie ook MS:
https://docs.microsoft.co...e-365?view=o365-worldwide

While you can use safe sender lists to help with false positives (good email marked as spam), you should consider the use of safe sender lists as a temporary solution that should be avoided if possible. We don't recommend managing false positives by using safe sender lists, because exceptions to spam filtering can open your organization to spoofing and other attacks. If you insist on using safe sender lists to manage false positives, you need to be vigilant and keep the topic Report messages and files to Microsoft at the ready.

Als iets in de spam folder terecht komt, dan is er iets mis met je email opstelling of instellingen. Dat moet je fixen aan de verzendende zijde, niet de ontvangende zijde (waar je 99% van de tijd toch niet bij kunt).
Zag de ‘vendor’ aanbesteding tijdje terug al voorbij komen. Leuk dat ze dit denken te consolideren maar dit betekend niets voor de daadwerkelijke beveiligingsgraad. Valt of staat met de tooling en kennis en kunde van de red/purple/blue teams.
‘Microsoft tenzij’ beleid helpt daar ook niet in mee. Ben benieuwd wat het gaat brengen.
Sinds wanneer is Fox-It weer een Nederlands bedrijf?
Niet meer sinds het verkocht is aan het Britse NCC Group in 2015. Je kunt nog zeggen dat het Nederlands is omdat het in feite de beter betaalde kant van de AIVD is, maar dat is een hele andere discussie.
Dank u wel, ik wist dit niet zeker
Ik begrijp zo'n een aankondiging niet. Je kondigt toch niet aan dat je kwetsbaar bent?
Of de beveiliging is geupdated, en nodigt hackers uit, of het gaat om budget redenen, of je hoopt op stijging van aandelen, of ze zijn naïef dat hackers braaf wachten.
Wie zegt dat ze kwetsbaar zijn? Ze geven aan hun huidige niveau van beveiliging op te willen krikken door samen met Fox-IT een SOC op te willen zetten.
Het is een dienst die SURF levert. Ze leveren veel meer zoals bijv "internet", maar ook bundelen ze bijv abonnementen bij third parties, hebben ze SURF sara en nog veel meer.

Zo heb ik wat SURF Azure abonnementen en de onderhandelingspositie die ze hebben levert flinke kortingen op die we normaal gesproken, als relatief kleine klant, nooit zouden krijgen
Mooi :) Ik krijg er ook mee te maken, kan eigenlijk niet wachten om er mee te beginnen :)
D'r is op deze manier een schaalvoordeel te behalen door hoger onderwijsinstellingen middels een SOC het onderwijs wel te beschermen tegen aanvallen. Kleinere onderwijsinstellingen hebben misschien niet altijd het budget voor een dergelijke voorziening maar kunnen wel interessant zijn voor hackers vanwege het mogelijk lage budget. Waarom zou een malafide partij bij 1 instelling tegelijkertijd bezig zijn? Het voordeel van centraal bij SURF een SOC inrichten is dat via SURFnet alle aangesloten instellingen "beschermd kunnen worden". Ik zet het bewust tussen aanhalingstekens want het kat-en-muisspel zal niet veranderen, maar een poging tot inbraak bij een van de leden kan betekenen dat de juiste actie er toe kan leiden dat de andere leden niet ook getroffen zullen worden door eenzelfde poging.

Zorginstellingen en MBO's kunnen ook gebruik maken van SURFnet, of gebruik maken van het SOC voor hen ook mogelijk is haal ik niet uit het nieuwsbericht of uit het artikel bij SURF zelf. Maar wellicht wel, en dan is de schaal in potentie nog groter.

Maar de volgende kanttekening maak ik wel: de mate waarin dit daadwerkelijk situaties als bij de Universiteit Maastricht gaat voorkomen zal de toekomst uitwijzen. Een positief feit is wel dat men daar lessen uit getrokken heeft en dat het besef er bij instellingen is om er samen iets aan te doen. Dat lijkt me een beter plan dan iedere instelling voor zichzelf een plan bedenken en implementeren. Ik vraag me wel af in hoeverre dit voorkomt dat hacking bij leveranciers van S/PaaS oplossingen alsnog niet op een of andere manier het onderwijs of de zorg bij deze instellingen raakt. Als onderwijs-/zorginstelling zou ik hierdoor niet achterover gaan leunen (en dat kan best een risico zijn, het is deels mensenwerk).

[Reactie gewijzigd door D43m0n op 8 januari 2021 11:34]

Zorginstellingen en MBO's kunnen ook gebruik maken van SURFnet, of gebruik maken van het SOC voor hen ook mogelijk is haal ik niet uit het nieuwsbericht of uit het artikel bij SURF zelf. Maar wellicht wel, en dan is de schaal in potentie nog groter.
Jazeker, MBO's en UMC's kunnen ook gebruik maken van de SIEM dienstverlening.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee