Vestforbrænding styrker cybersikkerheden med ny teknologi og ekstern SOC

I lyset af de kommende års skærpede lovgivning har Vestforbrænding valgt at implementere ny sikkerhedsteknologi samt døgnovervågning af deres netværkstrafik. Resultatet er en mere modstandsdygtig infrastruktur, et bedre beredskab – og ikke mindst mere ro i maven.

Da Thomas Fænø blev ansat som IT-chef i det sjællandske affalds- og energiselskab Vestforbrænding, fik han til opgave at højne cybersikkerheden. Det var i tiden umiddelbart efter det store SolarWinds-hack, der sendte chokbølger gennem rigtig mange organisationer verden over. Selvom Vestforbrænding ikke fik stjålet eller misbrugt data i forbindelse med SolarWinds-angrebet, var de stadig omfattet af sårbarheden, og ledelsen ønskede derfor et generelt øget fokus på sikkerhed.

“Vi definerede hurtigt fem ben, vores sikkerhed skulle stå på,” indleder Thomas Fænø. “Det første ben var ledelse, hvor vi nu bruger ISO 27001 som styringsværktøj til blandt andet at afdække risici og lægge en ny strategi for håndteringen af hændelser. Det andet ben var hardening, hvor vi så på endpoint-beskyttelse, firewalls, routere og switche for at finde ud af, om vores infrastruktur var robust nok. Det tredje ben var overvågning, hvor vi undersøgte vores detect-, response- og SOC-kapabiliteter. Og de to sidste ben var henholdsvis beredskab og træning, hvor vi gennemgik vores disaster recovery-processer og fokuserede på målrettet uddannelse og træning af vores medarbejdere baseret på deres funktion.”

Thomas Fænø forklarer, at Vestforbrænding bliver omfattet af NIS2-direktivet og derfor skal efterleve en lang række skærpede cybersikkerhedskrav fra oktober 2024.

“Vi har brugt ISO 27001 og CIS18-kontrollerne som værktøjer til at højne vores sikkerhed. Med de to standarder kommer vi rigtig langt i forhold til NIS2-compliance – og faktisk også i forhold til efterlevelse af EU’s CER – Critical Entities Resilience Directive – som Vestforbrænding også bliver omfattet af fra oktober 2024.”

“Vi har ikke ressourcerne til selv at opretholde en døgnovervåget drift på vores systemer. Det ville kræve, at vi ansatte 8-10 administratorer, og det kan slet ikke betale sig. Det er langt mere effektivt for os at have en ekstern SOC-service kørende, som kan orientere os om, hvad der er sket, og som kan gribe ind på vores vegne for at stoppe eller begrænse skadevirkningerne af en hændelse,” siger Thomas Fænø,  IT-chef, Vestforbrænding.

Ekstern SOC reagerer udenfor arbejdstid

På et systemteknisk niveau viste gennemgangen af Vestforbrændings infrastruktur, at de havde behov for bedre firewall-sikkerhed og bedre endpoint-beskyttelse. Derfor har de implementeret Palo Alto Networks next-generation firewalls og Palo Alto Networks Cortex XDR Pro-løsning.

“I forhold til den beredskabsaftale, som er lovpligtig for alle aktører i energisektoren, var vi ikke robuste nok. Det er fint at have managed detect and response-løsninger, men hvis der ikke sidder nogen klar til at reagere på hændelser lørdag nat, kan det jo være lige meget. Derfor havde vi brug for en overvågningskapacitet, der kunne agere på vegne af os døgnet rundt, og som havde mandat til at standse ulykken, hvis der skete noget,” siger Thomas Fænø.

Via offentlige udbudsprocesser har Conscia både leveret de to nye Palo Alto Networks-løsninger samt den SOC-service, der i dag overvåger Vestforbrændings infrastruktur 24/7. Derudover anvender Vestforbrænding også et Palo Alto Networks-værktøj til at registrere sårbarheder og sikkerhedsbrud.

Kan tracke trusler på klientniveau

Når Thomas Fænø sammenligner Vestforbrændings overvågning før og efter de nye sikkerhedstiltag, er den vigtigste effekt, at visibiliteten er blevet øget. Tidligere havde de et sikkerhedsværktøj, der godt kunne følge trafik ind mod firewallen – eksempelvis trafik, som SektorCERT havde angivet som mistænkelig. Men derfra var det et sort hul. Vestforbrænding kunne ikke se, om den mistænkelige trafik trængte igennem firewallen, og hvor den i så fald havnede henne. Med de nye teknologier og værktøjer kan Vestforbrænding i dag følge al aktivitet hen til firewallen, forbi firewallen og helt ned på klientniveau. Det gælder både den mistænkelige slags og den harmløse.

Udover øget visibilitet lægger Thomas Fænø vægt på organisationens forbedrede responskapabiliteter.

“Vi har ikke ressourcerne til selv at opretholde en døgnovervåget drift på vores systemer. Det ville kræve, at vi ansatte 8-10 administratorer, og det kan slet ikke betale sig. Det er langt mere effektivt for os at have en ekstern SOC-service kørende, som kan orientere os om, hvad der er sket, og som kan gribe ind på vores vegne for at stoppe eller begrænse skadevirkningerne af en hændelse,” siger Thomas Fænø.

Han er glad for samarbejdet med Conscia og finder både stor forretningsværdi og tryghed i at vide, at der er nogen til at monitorere netværksaktiviteten udenfor almindelig arbejdstid.

“Conscia har fået sammensat et godt eksperthold, som ved, hvad de laver. Når vores egne it-folk er på arbejde indenfor almindelig arbejdstid, vil vi gerne have, at de har tid og ro til at udføre deres primære opgaver. De skal ikke starte mandag morgen med at gennemgå flere hundrede logfiler for at se, om der er sket noget i weekenden,” slutter han.