Hackere sover aldrig. Derfor valgte Fredensborg Kommune at styrke sikkerhedsniveauet med Managed Services fra Dubex Cyber Defence Center

Der kan ske angreb og uregelmæssigheder døgnet rundt, 365 dage om året. Derfor overlod Fredensborg Kommune overvågning af deres it-infrastruktur til Dubex med en Managed SIEM- og MDR-aftale. Nu er der certificerede eksperter på opgaven 24/7.

"Som it-afdeling i en kommune som Fredensborg er vi underlagt mange krav og har en meget bred vifte af opgaver," forklarer it-driftkoordinator Preben Klit fra Fredensborg Kommune. "Hensynet til GDPR kræver en høj grad af sporbarhed og datasikkerhed. Brugerne skal kunne arbejde frit og fleksibelt i et sikkert it-miljø. Og så håndterer vi ret store mængder personfølsomme data, som absolut ikke må ses af uvedkommende."

Preben Klit nævner kommunens ESDH-sagsstyring (elektronisk sags- og dokumenthåndtering) samt den kommende NSIS-standard (national standard for identiteters sikkerhedsniveauer) som to eksempler på it-systemer, der håndterer persondata. Han uddyber:

"Det er afgørende, at borgerne oplever, at deres data er i sikre hænder. Det kræver løbende overvågning af netværkstrafikken og serverne, hvis vi skal fange unormale hændelser, fejl og angrebsmønstre, der skal reageres på. Udfordringen er så ikke alene, at der generes mange logfiler fra blandt andet firewalls, databaser, servere og forskellige applikationer, men at man også skal vide, hvad man skal lede efter. Det er her, MDR-løsningen fra Dubex kommer ind i billedet."

Alternativet er at udvide med tre årsværk

Hvis Fredensborg Kommune selv skulle stå for overvågningen, ville det kræve ansættelse af tre it-sikkerhedsspecialister for at sikre samme tjeneste døgnet rundt. Det er selvsagt ikke realistisk, men Preben Klit nævner en anden vigtig grund til, at Managed SIEM og Managed Detection & Response (MDR)-løsningen fra Dubex’ Cyber Defence Center kan tilføre værdi.

"Som nævnt skal man vide, hvad man skal lede efter, når man overvåger et stort antal logfiler, og her har Dubex opbygget et meget stort bibliotek af use cases til formålet, der giver løsningen en god start. Det kan for eksempel være skift af et stort antal kodeord på én gang, mistænkelig it-adfærd om natten eller forsøg på adgang uden rettigheder. Der er et helt katalog af den type scenarier, der skal hejse røde flag, og som vi skal reagere på," siger it-driftkoordinatoren.

For en it-afdeling med syv medarbejdere til at håndtere sikkerhed og drift suppleret af seks kolleger til support, er det ganske enkelt ikke realistisk eller rentabelt at udvide med den type ekspertise, der ikke bidrager direkte til den daglige drift. Hvis man alligevel vil sikre et højt sikkerhedsniveau, er outsourcing en logisk mulighed, så man – som i dette tilfælde – får et stort team af certificerede eksperter med på holdet døgnet rundt.

Veldokumenterede processer til implementering

Mikkel Angermann er Security Advisor hos Dubex og ansvarlig for aftalen om Managed SIEM- og MDR-løsningen til Fredensborg Kommune. Han giver Preben Klit ret i værdien af de mange use cases:

"Vi har en løsning med så mange use cases som standard, at det som regel er begrænset, hvordan løsningen skal tilpasses derudover. Der er også et andet vigtigt aspekt ved at have mange års erfaring inden for overvågning, og det er at sikre en indsats, der er både hurtig og korrekt, når der er behov for det. Vi har en stor mængde læring akkumuleret i organisationen, så vi kan agere ud fra veldokumenterede processer og sikre kostbar tid, når minutterne tæller i forhold til at afbøde konsekvenserne af en hændelse," fastslår Mikkel Angermann.

Derudover bistår Dubex med detaljerede rapporter over hændelser og en kvartalsvis afrapportering, så løsningen også indgår i en lærende proces på kundesiden. Det er samtidig væsentlig dokumentation til ledelse, it-revision og andre interessenter.

Det viste sig, at vi var ganske godt kørende

Det var i februar/marts, at aftalen blev indgået mellem Dubex og Fredensborg Kommune, og primo maj kunne man trykke på startknappen. Der er siden sket en løbende onboarding, og i kommunens it-afdeling var de spændte på, hvad der ville komme for en dag, når den meget fintmaskede overvågning gik i gang.

Preben Klit: "Var der noget, vi ikke havde set? Var vi blevet kompromitteret? Var der trojanere i systemet? Det var nogle af de spørgsmål, vi stillede os selv, men ved udrulningen var der forbavsende lidt at komme efter, for det viste sig, at vi var ganske godt kørende."

It-driftkoordinatoren og hans kolleger havde sat en server account op i forbindelse med udrulningen, og så har medarbejderne været på it-sikkerhedstræning hos i Dubex Academy, så de kunne tilgå Cyber Defence Center-portalen og tage stilling til de hændelser, hvor der bliver hejst et rødt flag hos Dubex. Tjenesten er et samspil og ikke envejskommunikation.

"Vi byder selv ind på, om det er en alvorlig hændelse eller ej, så vi skal kunne tilgå portalen og betjene systemet i dialogen med Dubex. Der har heldigvis ikke været det store, men vi er klar, hvis det skulle ske, og kan nu tage tingene i opløbet," siger It-driftkoordinator Preben Klit og slutter: "Samarbejdet med Dubex har fungeret godt, og jeg kan kun sige, at løsningen har kørt snorlige siden udrulningen."