Home SOC-diensten: contractuele aspecten rondom cyberbeveiliging
SOC-diensten: contractuele aspecten rondom cyberbeveiliging
Peter van Schelven is zelfstandig IT-jurist te Oudewater en arbiter in IT-geschillen
Cyberaanvallen op netwerken en informatiesystemen worden steeds geavanceerder en gericht uitgevoerd. De tijd waarin een cybercrimineel ongemerkt in een netwerk of systeem actief blijft voordat hij wordt ontdekt, kan variëren van enkele weken tot soms zelfs meerdere maanden. Hoe langer deze zogenaamde dwell-periode duurt, des te groter de schade die een aanvaller kan toebrengen.
Door de toenemende noodzaak om zich te beschermen tegen mogelijke schade door cyberaanvallen, kiezen veel bedrijven en organisaties ervoor om de diensten van een extern Security Operations Center (SOC) in te schakelen. De meeste bedrijven beschikken immers niet over een eigen SOC, met uitzondering van enkele grotere organisaties. Een SOC-dienst is specifiek gericht op het detecteren en analyseren van verdachte activiteiten en cyberbeveiligingsincidenten binnen netwerken, IT-systemen en applicaties, en biedt passende opvolging bij geconstateerde bedreigingen en incidenten. De kern van een SOC-dienst is het vaak 24/7 monitoren van netwerken, systemen en applicaties. Het idee is dat het inschakelen van SOC-diensten bij een gespecialiseerde beveiligingsprovider de operationele weerbaarheid van het bedrijf of de organisatie vergroot. Hierdoor zijn deze diensten doorgaans een onmisbare maatregel voor bescherming.
Wat zegt de wetgever over IT-monitoring?
De Europese wetgever heeft de monitoring van netwerken en IT-systemen voor bepaalde sectoren inmiddels expliciet verplicht gesteld. Een bekend recent voorbeeld is DORA, de Europese verordening uit december 2022, die van toepassing is op bedrijven in de financiële sector, zoals banken, beleggingsinstellingen en verzekeraars. Ook cloud-bedrijven, datacenters, managed service providers en bepaalde andere partijen uit de digitale sector krijgen op korte termijn monitoringverplichtingen. Daarvoor zijn momenteel Europese wettelijke regels in het kader van de NIS2 in de maak. Een SOC helpt organisaties ook om aan de beveiligingseisen van de Algemene Verordening Gegevensbescherming (AVG) te voldoen door middel van continue monitoring en rapportage.
Op weg naar een goed SOC-contract: scope en beveiligingsbehoeften
Wanneer je als organisatie SOC-diensten uitbesteedt, is het opstellen of beoordelen van een SOC-contract essentieel. Een goed contract legt uiteraard niet alleen de verantwoordelijkheden en verwachtingen tussen de partijen vast, maar helpt ook bij het beheersen van operationele risico’s en het regelen van praktische zaken.
Idealiter wordt de reikwijdte (‘scope’) van de diensten specifiek en helder gedefinieerd. Dit omvat zowel een beschrijving van de systemen, netwerken en applicaties die onder de dienstverlening vallen, als de soorten incidenten en beveiligingsniveaus die worden behandeld. Anders gezegd: contracteer gedetailleerd over wat als verdachte activiteit in het netwerk, systeem of applicatie moet worden beschouwd. Het vraagt het bij het opstellen van het contract extra aandacht dat IT-omgevingen van de opdrachtgever vaak complex en dynamisch zijn, gekoppeld zijn aan andere IT-omgevingen en bovendien deels buiten de deur (bijvoorbeeld bij externe cloud-providers) staan. Daarnaast geldt dat de beveiligingsbehoeften niet voor elk onderdeel van de IT-omgeving gelijk zijn. Als opdrachtgever is het bovendien niet eenvoudig om goed te bepalen welke onderdelen van de infrastructuur moeten worden bewaakt, als je geen volledig overzicht hebt van alle IT-assets – een probleem dat bij veel bedrijven en organisaties voorkomt.
Service Level Afspraken voor SOC-diensten
Een ander belangrijk aandachtspunt in het contract zijn de serviceniveaus die de SOC-dienstverlener biedt. De Service Level Agreement (SLA) die bij een SOC-contract hoort, bevat doorgaans specifieke serviceniveaus en bijbehorende meetbare KPI’s (Key Performance Indicators). Een effectieve KPI is afhankelijk van wat je precies wilt meten, zoals de efficiëntie van detectie, de snelheid van de respons en de effectiviteit van incidentbeheer.
Een voorbeeld: wanneer het SOC een ‘verdachte activiteit’ in een netwerk detecteert, kan een specialist binnen het SOC deze activiteit analyseren. In de SLA zijn er vaak tijdslimieten vastgesteld voor deze analyses. Een SOC ontvangt dagelijks honderden, zo niet duizenden meldingen van diverse activiteiten, zoals verdachte inlogpogingen, mislukte toegangspogingen en verdachte datastromen naar onbekende locaties. Vanwege de hoge hoeveelheid verdachte activiteiten is het cruciaal om prioriteit te geven aan de meest kritieke dreigingen. Door tijdslimieten overeen te komen, kan het SOC bepalen welke incidenten urgent zijn en snel moeten worden aangepakt. Dit leidt vaak tot gedetailleerde contractuele afspraken.
Detectienauwkeurigheid
Een specifieke KPI voor een SOC met betrekking tot de nauwkeurigheid van dreigingsdetectie is de ‘False Positive Rate’, oftewel het percentage meldingen of waarschuwingen dat ten onrechte als beveiligingsincident wordt beschouwd. Een hoog percentage kan leiden tot alert-moeheid en afleiding van echte dreigingen, terwijl een lage waarde wijst op een effectieve detectie, waardoor het SOC zich beter kan concentreren op daadwerkelijke bedreigingen.
De kwaliteit van dreigingsdetectie wordt beïnvloed door een combinatie van verschillende factoren, zoals de kwaliteit van de beschikbare data, de effectiviteit van de gebruikte algoritmen en tools, de technologische infrastructuur en het vermogen om zich aan te passen aan nieuwe of onverwachte dreigingen. Niet in de laatste plaats is de expertise van de analisten essentieel voor het verbeteren van de detectienauwkeurigheid. Ondanks geavanceerde technieken op het gebied van machine learning en AI is 100% nauwkeurigheid in dreigingsdetectie in de praktijk niet haalbaar. Daarom is het vanzelfsprekend dat de SOC-dienstverlener in het contract met de opdrachtgever vastlegt dat de SOC-diensten geen volledige, allesomvattende en effectieve beveiliging van de IT-omgeving kunnen garanderen. Het is dus in beginsel de opdrachtgever zelf die uiteindelijk verantwoordelijk is en blijft voor zijn beveiliging.
Rapportage
Regelmatige rapportage is cruciaal om de effectiviteit van SOC-diensten te monitoren. Het contract dient duidelijk te vermelden welke rapportages de opdrachtgever ontvangt, met welke frequentie ze worden geleverd en welke informatie ze bevatten. Dit kan betrekking hebben op incidenten, bedreigingen, trends en aanbevelingen voor verbeteringen. Deze transparantie biedt organisaties inzicht in hun beveiligingsstatus en stelt hen in staat om de prestaties van de SOC-provider te evalueren.
Bewaartermijnen
Een SOC genereert doorgaans enorme hoeveelheden data. De opslagkosten voor het onterecht lang bewaren van deze gegevens kunnen SOC-diensten daarom aanzienlijk duurder maken. Een goed SOC-contract voorziet daarom in bewaartermijnen die zijn afgestemd op het beoogde gebruik, met name voor beveiligingsanalyses.
Ten slotte …
Het inschakelen van monitoringdiensten van een externe SOC is slechts één van de vele beveiligingsmaatregelen die een organisatie kan nemen om een adequaat beveiligingsniveau te waarborgen en te voldoen aan wettelijke verplichtingen op het gebied van informatie- en netwerkbeveiliging. Met de voortdurende toename van dreigingen wordt het uitbesteden van SOC-diensten steeds belangrijker. Voor juristen is het geen overbodige luxe om zich te verdiepen in de vele en complexe valkuilen en uitdagingen van SOC-contracten. Het is ten slotte noodzakelijk om jouw organisatie effectief te beschermen tegen de voortdurend evoluerende cyberrisico’s.
Cybersecurity voor juristen
Tijdens deze 2/3-daagse training maakt u kennis met alle facetten van cybersecurity. De training...
Verdieping van de IT-contractspraktijk
Word specialist in het beoordelen van IT contracten. Inclusief handige checklists voor complexe contracten...
Download de brochure
Share