Ons land verdedigen als burger-ict’er bij Defensie

Wat doe je als ict’er bij Defensie? Zonder te veel over infrastructuur, tooling en software te verklappen, want veiligheid voorop, kunnen we zeggen dat je er bijzondere dingen meemaakt. We spraken een ict’er. “Mijn team drukt een groot stempel op de toekomstige cybersecurity in Nederland en die van de NAVO.”

Hans, 32 jaar, Security Operations Manager, wilde als kleine jongen al een bijdrage leveren aan een veilig Nederland. Drie jaar geleden greep hij zijn kans en inmiddels is hij verantwoordelijk voor security-ops binnen het cyberdomein en geeft leiding aan een team van 35 cyberspecialisten bij Defensie.

“Als team richten wij ons op defensieve cyber. We zorgen dat aanvallers buiten de deur blijven. Daarnaast ‘lopen wij patrouille’ op verschillende lagen binnen het it-landschap van Defensie via geautomatiseerde rules die wij bouwen. Op zoek naar afwijkingen van mens en machine.” Bijzonder om te weten is dat Hans helemaal geen militair is, maar een burgermedewerker bij Defensie. Dat komt doordat bij Defensie burgers en militairen nauw met elkaar samenwerken.

Digitale oorlogsvoering

Natuurlijk willen we precies weten hoe je cyberdefensie aanpakt, maar ook welke specialistische technologie en apparatuur Defensie gebruikt. Om met het eerste te beginnen, vertelt Hans dat cyberspecialisten en Intel zogeheten rules, of detectietriggers, schrijven op basis van dreigingen en dat nauw wordt samengewerkt met het Nationaal Cyber Security Centrum. Over infrastructuur, tooling en software bij Defensie mag hij niets zeggen. Logisch, over de beveiliging van een it-landschap wil je zo min mogelijk verklappen. “It-infrastructuur en applicatiemanagement, en soc-werkzaamheden lijken op die bij commerciële bedrijven, alleen wordt het bij Defensie ook gebruikt in missie- en uitzendgebieden, en hangen er bij ons letterlijk mensenlevens vanaf.”

Hans en zijn team werken ook samen met de 'offensieve cyberafdeling' van Defensie. Al benadrukt hij dat dit een apart onderdeel is. “Die collega’s houden zich bezig met het ontwikkelen van tooling en malware om de vijand te slim af te zijn, vijanden uit te schakelen. Oorlog vindt tegenwoordig immers steeds vaker elektronisch en op it-gebied plaats. Mijn afdeling is dus defensief gericht. Wij gebruiken tooling om te zien wat er speelt, waarna we de beheerafdeling, die over alle it van Defensie gaat, adviseren waarmee ze rekening moet houden en waar op dit moment de kwetsbaarheden zitten.”

Zo speurt een groep specialisten naar afwijkingen in enorme hoeveelheden ruwe gegevens aan de hand van hypotheses. “Vinden we dat een bepaalde, al of niet statelijke, actor opvalt, dan kijken we of we hier meer over kunnen terugvinden in onze data.” Verder zijn er specialisten die actuele incidenten oppakken en dat kan werkelijk van alles zijn. Van iemand die op een phishingmailtje heeft geklikt, tot gerichte aanvallen op het Defensie-netwerk. “Ze analyseren nauwkeurig wat er is gebeurd en denken na over de impact van het advies dat ze aan de beheerorganisatie geven om het te verhelpen. Want je kunt bij ons niet zomaar apparatuur uitschakelen en een operationele missie in gevaar brengen alleen omdat je iets verdacht vindt.”

Niet zomaar de eerste de beste hacker

Cybersecurity is een zeer serieuze zaak, want je hebt bij Defensie te maken met totaal andere dreigingen dan bij een doorsnee civiel bedrijf. Het draait niet zozeer om pubers die ergens op een zolderkamertje een beetje experimenteren met ddos-aanvallen, maar het gaat veelal om zogenoemde advanced persistent threats. “Dit zijn actoren die veel tijd en middelen hebben om ons land aan te vallen. Ze kunnen zomaar maanden bezig zijn om ons te verkennen, op zoek naar die ene zwakke plek.”

Behalve het grote Defensie-netwerk, bestaan er ook gerubriceerde domeinen: zelfstandige netwerken die losstaan van de centrale it-infrastructuur en het applicatiemanagement. “In missiegebieden zetten wij een volledig losstaande lokale infrastructuur op.” Het meeste werk doe je als it-specialist gewoon vanuit Nederland, maar in de opbouwfase van een missie of oefening gaat er wel degelijk een it’er mee. “Als burger, al dan niet speciaal gemilitariseerd voor de opdracht, kun je bij Defensie dus mee op missie naar bijvoorbeeld Mali of Afghanistan als je dat wilt. Ook daarna ben en blijf je verantwoordelijk voor de it-omgeving, zelfs al staat het los van elk ander netwerk. Je hebt dan speciale middelen om toch op afstand bij het gesegmenteerde netwerk te komen.”

En heb je het idee dat Defensie een hiërarchische organisatie is? “Als burger ict’er heb je hier totaal geen last van. Militairen luisteren juist naar jou omdat ze weten dat jij de expert bent op jouw vakgebied. Net zoals zij dat zijn op hun gebied.”

Technologie die je nergens anders tegenkomt

Schepen, pantservoertuigen en vliegtuigen, ze zitten vol met it die je nooit in een gewone, civiele omgeving zult tegenkomen. Dat maakt het werk uniek. Zo beschikt defensiematerieel over een eigen zelfstandig netwerk dat volledig van de buitenwereld is afgeschermd. Dit deployed netwerk wordt door Defensie 'Titaan' genoemd, wat staat voor: Theatre Independent Tactical Army and Airforce Network. “Er zit alles in om connecties op te zetten en zo je eigen provider te bouwen”, zegt Hans zonder in details te treden. "Zodoende krijg je met alle it-facetten te maken, maar dan in het klein en op een heel andere manier.”

Op zo’n deployed netwerk wordt apparatuur aangesloten voor specifieke defensiedoeleinden. Ook die kom je nergens anders tegen. Hans kan er daarom ook niet specifiek op ingaan, maar denk aan 'een combatmanagementsysteem, richtsystemen, communicatieapparatuur en apparatuur voor elektronische oorlogvoering'. Het wordt allemaal in-house ontwikkeld, geïnstalleerd en onderhouden door de it’ers van Defensie. Samen met militaire specialisten en eventueel ondersteund door externe partijen.

Als techneut ga je regelmatig mee met bijvoorbeeld een testvaart om te kijken of dat wat je bedacht hebt, ook echt werkt. “Dat is meestal op een marineschip ergens voor de kust. Al kan het ook zijn dat je ineens meedoet met een actieve NAVO-oefening om in de praktijk te ondervinden of alles het doet. Omdat wij NAVO-breed opereren, zit je soms ineens in Noorwegen, of waar dan ook binnen de NAVO, om in samenwerkingsverband te testen.”

Scherp je it-skills tijdens realistische oefeningen

Die samenwerking tussen landen wordt alleen maar groter. Zo werken Hans en zijn team aan de bouw van een NAVO-breed netwerk. “Complex werk hoor, iets ontwikkelen dat voor alle NAVO-partners moet voldoen. Met als complicatie dat de it nogal verschilt tussen de verschillende landen en er veel legacy is ontstaan.” Nederland loopt wel voorop wat it betreft. “Mijn team drukt daarom een groot stempel op hoe cybersecurity er straks uit komt te zien. Een grote verantwoordelijkheid en echt iets om trots op te zijn.”

Alsof dat nog niet genoeg is, word je als burgermedewerker bij Defensie ook betrokken bij jaarlijkse, grote internationale cyberoefeningen. Een goed voorbeeld is de oefening Locked Shields, waarbij een aanval op kritieke infrastructuur realistisch wordt nagespeeld. “Alles wat je kunt bedenken binnen Nederland, dus kritieke infrastructuur zoals watervoorzieningen, elektriciteitscentrales en nucleaire installaties, maar ook ons volledige defensieapparaat, is tijdens deze oefening een doelwit.” Er wordt geoefend samen met de NAVO-landen en deze oefening duurt een week. “Een internationaal team van techneuten speelt voor aanvaller. Ze proberen een fictief netwerk met volledig opgebouwde infrastructuur helemaal kapot te maken.” Als defensief team moet je die aanval zien af te slaan. “Je leert er veel over de tactieken die aanvallers gebruiken en voor ons is het ook een mooie kans om de nieuwste tooling te testen.”

Wil jij jouw it-skills inzetten én verder aanscherpen in de bijzondere en uitdagende it-omgeving van Defensie en dus meewerken aan de digitale beveiliging van Nederland? Bekijk dan hier de vacatures.