Op vier maanden tijd een CERT uit de grond stampen voor een verbluffende verscheidenheid aan klanten, het is niet velen gegeven, maar het was wel de opdracht waar Freddy Dezeure, CERT-EU head of unit, mooi in slaagde.

Zoals de naam het zegt – Computer Emergency Response Team – wordt op een CERT een beroep gedaan als een klant met een heikel securityprobleem wordt geconfronteerd. Ook de Europese CERT-EU helpt bij het reageren op problemen en het voorkomen van een herhaling ervan, in samenwerking met de securitydiensten bij de klanten en de lokale CERTs.

Het goede voorbeeld

De CERT-EU is in wezen een uitvloeisel van het Europese streven om in elke lidstaat een overheids-CERT te hebben. Van de weeromstuit kreeg de ‘digitale’ Europese commissaris Neelie Kroes opmerkingen te horen in de zin van “doe het zelf dan ook maar eens,” met als bijgedachte “als je denkt dat het zo makkelijk is.” Het was dus een kwestie van het goede voorbeeld te geven, merkt Freddy Dezeure op, en “ik werd in 2011 gevraagd om de CERT-EU op te zetten.” Dezeure kreeg hiervoor kantoorruimte toegewezen, en de mogelijkheid om op een 10-tal personen en het nodige materiaal een beroep te doen voor de uitbouw van de dienst. En daarin slaagde hij op amper vier maanden tijd!

Dat mag opmerkelijk heten, want zijn CERT-EU bedient een zestigtal Europese instellingen, geografisch verspreid over heel Europa, sterk verschillend van omvang (van 40 tot 40K personen) en interne expertises, met een sterke autonomie en een bijzonder breed palet aan activiteiten in het kader van een hele reeks industrieën of juridisch/politieke initiatieven. Met dus ook verschillende gevoeligheden en noden, zodat de klanten van de CERT-EU zowat het equivalent van “de complexiteit van een land!” bieden.

Dezeure en zijn medewerkers moesten dan ook niet alleen hun CERT technisch/operationeel opstarten, maar ook om de samenwerking tussen al die instellingen, en met de lidstaten (met vaak al mature structuren) te stroomlijnen. “Daar sta je dan als de nieuwkomer in die ervaren groep en vraag je van ‘wil je met mij samenwerken?'”, omschrijft Dezeure de uitdaging van de prille start. Tegelijkertijd vormt de CERT-EU ook een bron van expertise voor de kleinere lidstaten, die nog aan hun eigen overheids-CERT sleutelen. Zo kunnen experten uit die landen tijdelijk naar de CERT-EU worden gedetacheerd, waarna ze lokaal de opgedane kennis in hun lokale praktijk kunnen vertalen. “Onze eigen opstart kan als een scenario voor nieuwe CERTs worden aangewend, want ik heb week na week alle stappen bijgehouden, als een soort ‘hands on’ draaiboek dat ook voor bedrijven bruikbaar is,” biedt Dezeure aan. Voorts kon Dezeure ook een beroep doen op experten in de Europese instellingen zelf, en putten uit een wervingsreserve van securityexperten. De snelle opstart en het succes van de CERT-EU mag tevens ook worden toegeschreven aan de jarenlange ervaring van Freddy Dezeure zelf in de diensten van de Commissie, gekoppeld aan een voldoende brede ict-achtergrond en zijn ervaring in management. Kortom, “ik ken wel de ‘ins’ en ‘outs’ van Europese instellingen.”

Definitief van start

Na een pilootfase van een jaar werd de werking van de CERT-EU geëvalueerd en goed bevonden, en werd eind 2012 het definitieve startschot gegeven. Dezeure benadrukt dat zijn CERT geen onderzoeksopdracht heeft, en ook geen rechtstreekse toegang tot de systemen van de instellingen. “We zijn de tweedelijnsondersteuning, en interageren met de security-experten van de instellingen op hun vraag, of als er aanduidingen van problemen zijn.” Voor dat laatste beschikt de CERT-EU over informatie afkomstig van derden, zoals twee ‘non-profit’ organisaties die aan ‘passief internet monitoring’ doen (t.t.z. controle van het verkeer naar malafide controleservers vanuit bedrijven en instellingen) en commerciële bedrijven (zoals webcrawlers die de miljoenen webpagina’s van de Europese instellingen bekijken). Zelf is de CERT-EU ook een informatieverstrekker over securitygebeurtenissen (op het eigen portaal, cert. europa. eu) en verstrekt het (niet-bindende) ‘advisories’.

De CERT-EU begint nu aan een tweede fase van de werking, met een consolidatie en uitbreiding van de diensten. Daarvoor wordt gewerkt aan een automatisering van diensten, om de verwachte groei aan te kunnen en om meer tijd voor interactieve diensten vrij te maken, ook met het oog op preventieve en ‘on site’ acties bij de klanten. Ook zal het personeelsbestand worden opgevoerd “tot ca. 15 à 16 medio 2013.” Overigens moet de CERT-EU slechts een 9-5 dienst verzorgen, en geen 24/7, omdat haast geen klanten zelf een 24/7 dienst hebben. Wel kan de CERT-EU te allen tijde worden gecontacteerd. In de toekomst wil Dezeure graag ook een verbetering en uitbreiding van de informatie-uitwisseling over securityvoorvallen. Dat gaat zowel over meer informatie voor een betere kijk op de omvang van het probleem, als een efficiëntere verspreiding (allicht geanonimiseerd en geautomatiseerd).

Nog een laatste vraagje of de ‘Red October’ malware die in kringen van internationale instellingen en diplomatie opdook, Europese instellingen heeft besmet? “Er zijn op dit moment geen indicaties dat er Europese instellingen zijn getroffen, in België of elders,” zegt Dezeure voorzichtig.

Guy Kindermans

NA EEN PILOOTFASE VAN EEN JAAR WERD DE WERKING VAN DE CERT-EU GEËVALUEERD EN GOED BEVONDEN, EN WERD EIND 2012 HET DEFINITIEVE STARTSCHOT GEGEVEN.