We hebben een afspraak met Henk Hendriks en Karl Lovink. Hendriks is directeur Datacenter services en in die rol verantwoordelijk voor het datacenter en alles wat daarbij komt kijken, van de servicedesk tot aan de verzending van de beruchte blauwe envelop. Lovink is de lead van het Security Operations Center (SOC) van de Belastingdienst. In het SOC zorgt men voor de beveiliging van de IT-omgeving van de Belastingdienst, maar uiteraard ook voor de veiligheid van de data van de Nederlandse burgers en bedrijven. Samen kunnen ze een mooi beeld schetsen van hoe de IT-omgeving van deze overheidsinstelling er uitziet en hoe een en ander wordt beveiligd.

Centralisatie en complexiteit

Als we kijken naar hoe 'het datacenter' van de Belastingdienst er globaal uitziet, dan valt op dat de zaken behoorlijk gecentraliseerd worden aangepakt. Er is weliswaar sprake van twee datacenterlocaties, maar die staan allebei in Apeldoorn, in verschillende delen van de stad overigens. Je kunt ze zien als een tweeling. Dat wil zeggen, zaken zijn grotendeels gespiegeld uitgevoerd. Deze redundantie is uiteraard mede gedaan om een zo hoog mogelijke beschikbaarheid te kunnen realiseren. Hendriks heeft het dan ook over een beschikbaarheid van 'ruim boven de 99,9 procent' voor het hele IT-landschap.

Henk Hendriks, directeur Datacenter services bij de Belastingdienst

Let wel, als het gaat over de Belastingdienst, hebben we het niet alleen over die aangifte die iedereen ieder jaar moet doen. Ook toeslagen worden verwerkt in Apeldoorn. Verder moet je ook denken aan IT-omgevingen van de Douane en de FIOD, die beiden deel uitmaken van de Belastingdienst. Uiteraard hebben al deze onderdelen hun eigen omgevingen, maar die staan wel allemaal in de datacenters in Apeldoorn.

De overheid in het algemeen en in dit geval de Belastingdienst in het bijzonder mogen dan niet het meest hippe imago hebben als het gaat om digitalisering, men is er al wel lang mee bezig. De IT-omgeving van de Belastingdienst kun je dan ook zien als een kijkje terug in de tijd. Hendriks weet te melden dat de oudste applicatie die er draait uit de jaren '60 afkomstig is. Uiteraard volledig geoptimaliseerd voor de moderne tijd, maar de basis ervan doet al 50 jaar zijn werk.

Legacy en vernieuwing

Overigens wil Hendriks wel ook meteen duidelijk maken dat het op het gebied van legacy vooral over applicaties gaat. Er hangt geen 'oude meuk' in de rekken bij de Belastingdienst als het gaat om de hardware. Dat is ook logisch als je een goed kwaliteitsniveau nastreeft. In de loop der jaren zijn er echter behoorlijk wat applicaties uitgerold, de meeste in-house ontwikkeld, die ook allemaal onderhouden moeten worden. Daar hebben ze behoorlijk wat werk aan. Standaard-applicaties van de plank aanschaffen is geen optie voor de Belastingdienst. Daarvoor hebben ze een te specifieke omgeving en moeten ze aan te veel voorschriften, richtlijnen en regels voldoen.

Het is zeker niet alleen maar oude software die wordt onderhouden en gemoderniseerd bij de Belastingdienst overigens, er worden ook tal van vernieuwingen doorgevoerd. Hendriks geeft als voorbeeld de vooraf ingevulde aangiftes voor de inkomstenbelasting, waar Nederland volgens hem wereldwijd koploper in is. Dat lijkt op het eerste gezicht wellicht eenvoudig, maar is dat niet. Je moet bijvoorbeeld de koppeling tussen zaken zoals datawarehouses, applicaties en de uiteindelijke applicatie die de belastingbetaler te zien krijgt, zo maken dat de juiste zaken automatisch in de juiste velden worden ingevuld. Uiteraard speelt hier ook de kwaliteit van door derden aangeleverde informatie een rol.

Als het gaat om soorten omgevingen, kom je ook alles tegen bij de Belastingdienst, met uitzondering van de public cloud. Verder hebben ze alles vanaf mainframes tot private cloudomgevingen draaien. De mainframes zijn nog altijd cruciaal voor transactionele zaken. Daar hebben ze er bij de Belastingdienst nogal wat van natuurlijk. Er komen bijvoorbeeld jaarlijks tussen 1 maart en 1 mei ruim 9 miljoen aangiftes Inkomstenbelasting (IB) binnen en op piekmomenten kunnen dat er 70.000-80.000 op hetzelfde moment zijn. Dat zijn enorme aantallen. In de private cloudomgeving draait bijvoorbeeld de website belastingdienst.nl en de IB aangifte-omgeving.

Interessant doelwit

Het is duidelijk dat er nogal wat gebeurt binnen de datacenters van de Belastingdienst. Het is daarnaast data waar je als overheid zuinig op moet zijn, gezien de aard ervan. Tel daarbij op dat er zo'n 2 terabyte aan logdata per dag gegenereerd wordt en dat de Belastingdienst een high-profile doelwit is voor hackers en we kunnen zonder meer spreken over een uitermate interessante omgeving op het gebied van cybersecurity.

Je hoeft je in het SOC dus zeker niet te vervelen, zoveel is zeker gezien de enorme bak aan data die er dagelijks wordt geanalyseerd. Uitspraken over hoe vaak de Belastingdienst het doelwit is van een cyberaanval doen Hendriks en Lovink begrijpelijkerwijs niet, maar dat zal ongetwijfeld vrij regelmatig zijn. Vorig jaar nog was er in ieder geval nog een DDoS-aanval op de Belastingdienst in het nieuws.

Alles begint bij data

Het beveiligen van een grote omgeving zoals die van de Belastingdienst, begint eigenlijk bij het loggen van vrijwel alles wat er gebeurt. Uiteraard hangen er ook nog voldoende fysieke firewalls om de perimeter te beschermen, maar ook bij de Belastingdienst is men al lang overgestapt op de nieuwe manier van denken.

Security Monitoring is gebaseerd op het concept van continuous monitoring. Verder worden er op basis van het risicoprofiel van de Belastingdienst use-cases opgesteld waarop het SOC monitort. Deze worden continu uitgebreid op basis van dreigingsinformatie. Zo probeert het SOC de hackers voor te blijven.

Zonder data is het echter onmogelijk om een analyse los te laten en tot een risicoprofiel te komen. SIEM is dan ook een belangrijk onderdeel van het security-strijdplan van de Belastingdienst. Tijdens ons bezoek aan het SOC zagen we dat de Belastingdienst onder andere de SIEM-oplossing van Splunk gebruikt (zie dit artikel voor een uitgebreid verhaal over dit bedrijf).

Op basis van wat er zich realtime afspeelt in de omgevingen van de Belastingdienst, wordt er een risicoprofiel gemaakt. Hierbij worden uiteraard ook de medewerkers die verantwoordelijk zijn voor specifieke segmenten ingeschakeld. Samen kijkt men dan waar de dreigingen en de risico's liggen. Dit onderdeel is een belangrijk gegeven om te komen tot use-cases. Deze use-cases zin bepalend voor de security monitoring die wordt uitgevoerd. Data op zichzelf zegt niet alles, pas bij de juiste interpretatie betekent het ook daadwerkelijk iets. Vandaar dat de Belastingdienst jaarlijks veel mensen aanneemt om chocola te kunnen blijven maken van al die data. Voor 2019 zijn er maar liefst 250 verschillende functies.

Karl Lovink lead Security Operations Center bij de Belastingdienst

Samenwerking met andere partijen

Een ketting is zoals bekend zo sterk als haar zwakste schakel, dus is het niet alleen zaak om de boel binnen de Belastingdienst goed op orde te hebben. Er is dan ook behoorlijk wat contact met andere partijen. Dit kunnen de banken zijn bij phishing, of Internet Service Providers bij DDoS-aanvallen.

Naast dat de Belastingdienst een eigen ASN heeft en dus eigen IP-adressen krijgt vanuit de provider, is er ook een dialoog over eventuele bedreigingen. Samen kunnen ze daar beter op inspelen dan dat de Belastingdienst dat alleen kan. Uiteraard hebben ze hun verbindingen dubbel uitgevoerd, om beter weerbaar te zijn. Dus als er een keer iets is dat alleen van invloed is op de ene verbinding (iets wat voorkomt volgens Lovink), dan kunnen ze vanuit de provider alle verkeer via de andere verbinding laten lopen bijvoorbeeld.

Er zitten natuurlijk ook limieten aan hoeveel de Belastingdienst samen kan doen met bijvoorbeeld een provider. Hebben ze bijvoorbeeld te maken met een applicatieve DDoS, die dus is gericht op een applicatie van de Belastingdienst zelf, dan doen ze zelf het leeuwendeel van het werk. Een provider kan en mag geen inzage hebben in het versleutelde fiscale netwerkverkeer. Is het een meer volume-based DDoS-aanval (UDP flood bijvoorbeeld), dan kan de provider een grotere rol spelen.

Incident response

Incident response vanuit de Belastingdienst kan allerlei vormen aannemen: van het in quarantaine plaatsen van specifieke onderdelen tot het op DNS-niveau ontzeggen van toegang. Gezien de opkomst van aanvallen uitgevoerd door groepen uit of overheden van andere landen, is dat laatste goed voor te stellen. In zo'n geval kan de Belastingdienst ervoor kiezen om alleen verkeer vanuit Nederland toe te laten bijvoorbeeld. Dit kan men doen als er bijvoorbeeld op basis van de SIEM-data een buitenproportioneel groot aandeel Russische verbindingen zichtbaar wordt.

Een zeer klein aantal legitieme buitenlandse verbindingen is uiteraard de dupe van een dergelijke maatregel, maar voor het leeuwendeel van de gebruikers blijven de diensten gewoon beschikbaar. Dit terwijl een eventuele aanval in de kiem gesmoord wordt. Bij phishing sites stuurt het SOC een Notice and Takedown verzoek naar de hosting provider om een website van het internet te verwijderen.

Voor de volledigheid is het nog wel goed om te vermelden dat men bij het SOC van de Belastingdienst de analyse doet van de data, maar niet de opsporing van eventuele daders. Dat wordt gedaan door de instanties die daarover gaan. In het geval van belastingontduiking is dat uiteraard de FIOD, maar bij cyberaanvallen meldt men het bij de autoriteiten. Die nemen het dan verder over.

Dynamische omgeving

Al met al komt de IT-omgeving van de Belastingdienst op ons over als een behoorlijk dynamische. Er is tot zo'n 50 jaar aan legacy op applicatieniveau, waarvan het leeuwendeel in-house is ontwikkeld, maar er wordt ook gebruikgemaakt van de nieuwste toepassingen. Veel van de legacy wordt op het moment overigens geüpgraded. Daarnaast is het complete scala aan platformen aanwezig, van mainframe tot private cloud.

Deze ingrediënten maken het verre van eenvoudig om het geheel effectief te beveiligen. Ook dat is een samenspel van meerdere partijen, op verschillende niveaus. Vooraf zoveel mogelijk dreigingen herkennen heeft de focus, ook al realiseert men zich ook bij de Belastingdienst terdege dat niet alles buiten te houden is. Dan is het zaak om zo snel en adequaat mogelijk te reageren. Soms moet dat tamelijk rigoureus, maar dat is dan niet anders. Dus mocht je ooit een keer in het buitenland bij de website van de Belastingdienst willen komen, maar wordt de verbinding geweigerd, dan zou het zomaar eens zo kunnen zijn dat er een DDoS-aanval wordt afgeslagen.