Gemeente Venlo stelt voorsprong op internet veilig

~ Digitaal burgerloket beveiligd en altijd beschikbaar, ook uitgaand internetverkeer inzichtelijk gemaakt ~

Met iets meer dan 100.000 inwoners is Venlo de op één na grootste gemeente in Limburg. Sinds kort hoeven deze inwoners niet meer voor elk uittreksel naar het stadskantoor; via het digitale portaal kunnen ze sommige producten gemakkelijk en snel online aanvragen. Voordat het portaal hiervoor geschikt kon worden gemaakt, wilde de gemeente eerst de firewall onder handen nemen – de bestaande was afgeschreven en gebruikte erg veel netwerkcapaciteit. Gezocht werd naar een nieuwe oplossing waarmee het inkomende internetverkeer beter kon worden beveiligd en inzichtelijk gemaakt. AXIANS realiseerde dit en leverde vervolgens ook een oplossing die het uitgaande internetverkeer kan screenen.

Digitale gemeente
De dienstverlening van de overheid wordt steeds digitaler. Nu het overgrote deel van de Nederlanders de beschikking heeft over internet, gaan overheidsinstanties de burger steeds meer online bedienen; of het nu gaat om het verstrekken van informatie of het leveren van producten en diensten.

Op dat laatste gebied hoort de gemeente Venlo bij de koplopers van Nederland. De Noordlimburgse gemeente is een van de lokale overheidsinstanties die op innoverende wijze een digitale productcatalogus aanbiedt. Via dit portaal kunnen inwoners een afschrift uit de Gemeentelijke Basis Adminstratie of de Burgelijke Stand aanvragen, of een verhuizing binnen de gemeente doorgeven. Het is de bedoeling dat binnen drie jaar zeventig tot negentig procent van alle gemeentelijke producten via dit portaal wordt aangeboden.

Venlo stond onlangs in een vergelijkend onderzoek ‘Drempelvrij’ naar gemeentelijke websites op de vierde plaats van Nederland. Het ging onder meer om de presentatie van de website, de toegankelijkheid, de inhoud en de mate waarin producten en diensten via de website wordt aangeboden. Venlo loopt dus echt voorop met de website op andere gemeenten: en die voorsprong wil de gemeente graag behouden.

Een andere uitdaging op IT-gebied is dat de gemeente midden in een grootschalige verbouwing zit. In het centrum van Venlo wordt een nieuw stadskantoor gebouwd en veel gemeentelijke afdelingen zijn nu tijdelijk gehuisvest op een voormalig kazerneterrein. Daarnaast zijn er nog verschillende decentrale locaties met elk hun eigen IT-infrastructuur en internetverbinding.

24 uur per dag, zeven dagen per week
Wie zijn producten en diensten via internet aanbiedt, wil er wel zeker van zijn dat deze 24 uur per dag, zeven dagen in de week beschikbaar zijn. En ook nog eens veilig. Ron Meerts, Senior Infrastructuur Beheerder bij de gemeente Venlo: “We hadden wel al een firewall, maar die was volledig afgeschreven. De capaciteit was op, hij gebruikte negentig procent van het geheugen. Ook waren de attack logs niet meer goed inzichtelijk. We merkten wel dat veel verkeer naar binnen wilde, maar het was niet meer beheersbaar. Bovendien had onze firewall een zogeheten ‘single point of failure’: als deze uitviel, hadden we niks meer. We wilden daarom een redundante firewall-oplossing – die zou zorgen voor continuïteit als één firewall uitvalt.”

Keuze voor AXIANS
Om de selectie van een oplossing en de implementatie te begeleiden, zocht de gemeente ‘een professionele partner met een behoorlijk kennisniveau’, aldus Meerts. “Uiteindelijk hebben we AXIANS gekozen uit drie partijen. De beslissing hebben we genomen op basis van drie criteria: hoe ingenieus is de oplossing die wordt voorgesteld, wat is de plan van aanpak en hoe reageert de partij op vragen?”

De oplossing die AXIANS voordroeg, was Unified Threat Management (UTM): een combinatie van een intrusion detection system (die aanvallen op de website signaleert) en een intrusion prevention system, dat aanvallen tegenhoudt en acties onderneemt. Tevens zijn elf nevenlocaties van de gemeente uitgerust met deze UTM-oplossing.

Tijdsbesparing
“Het mooie van deze oplossing is dat updates automatisch plaatsvinden”, vertelt Meerts. “Er komt daarom weinig beheer bij kijken, maar de oplossing biedt wel ruimte om eigen aanpassingen door te voeren. Zo kunnen we bepaald verkeer monitoren: als we het vermoeden hebben dat iemand iets aan het proberen is, bijvoorbeeld omdat er verschillende aanvallen zijn vanaf een IP-adres, dan kunnen we dat makkelijk aanpakken. Dat kon in de oude oplossing ook wel, maar dat was heel arbeidsintensief. Tijdsbesparing is sowieso een groot voordeel van de UTM-oplossing. Als afdeling zijn we erg druk, dus als iets veel tijd kost, dan doe je het niet. Ik kan nu in een uurtje aan iemand uitleggen hoe deze oplossing werkt. Dat kostte bij de oude firewall wel twee dagen.”

De migratie van de oude firewall naar UTM ging snel en vlekkeloos. “Door het goede plan van aanpak hebben we de migratie kunnen uitvoeren met bijna geen downtime. De verbetering ten opzichte van de oude situatie is ook aanzienlijk. We hebben het ongeoorloofde verkeer van buiten naar binnen kunnen terugdringen met ongeveer vijftig procent. Daardoor hoefden we niet uit te breiden in bandbreedte.”

VPN uitrollen
Voor de verschillende (tijdelijke) locaties van de gemeente betekent de UTM-oplossing helemaal een voordeel. Meerts: “We werkten tot voor kort met VPN-tunnels die zo complex waren opgezet, dat er vaak storingen waren. Bovendien was alle kennis van deze VPN-oplossingen bij één persoon ondergebracht, wat natuurlijk een groot risico is. Nu zijn alle VPN-oplossingen naar een andere lijn getrokken, waardoor het beheer een stuk gemakkelijker is geworden. De VPN-verbindingen zijn een stuk stabieler en de installatie is nu uniform. Iedereen met een basisniveau kennis kan dus een VPN-verbinding aanleggen op een nieuwe locatie. Vroeger kostte het uitrollen van een VPN-locatie een dag tot een week, nu doen we er bij wijze van spreken drie per dag. Ook kunnen we problemen oplossen zonder hulp van de leverancier.”

Uitgaand internetverkeer
“Na de firewall zochten we ook naar vervanging van onze forward proxyserver”, vervolgt Meerts. “We werkten met een softwarematige proxy, maar wilden over op een appliance, omdat dat naar onze mening stabieler is en omdat we dat konden combineren met antivirussoftware.” Ook voor deze oplossing kwam de gemeente Venlo bij AXIANS terecht.

“Al het uitgaande internetverkeer gaat nu via één proxyserver, waardoor we goed inzichtelijk kunnen maken wie welke sites bezoekt, met welk doel. Ook kunnen websites met een verhoogd risico op malware worden geblokkeerd, net als bestandsoverdracht in Instant Messaging-applicaties.”

Besluit
Volgens Meerts was het grootste pluspunt in de manier van werken van AXIANS de mix van aanpak techniek en communicatie. “Soms hebben mensen veel verstand van de techniek, maar als ze weg zijn is er amper een overdracht geweest en weet je niet hoe je er zelf mee moet werken. Het hoeft niet per se op de letter uitgewerkt te zijn met screenshots, maar we moeten er zelf wel ook mee aan de slag kunnen gaan. Ook de support hebben we bij AXIANS ondergebracht. De meest urgente storingen worden altijd heel snel opgepakt.

De toekomst
Het digitale loket zal straks ook zijn invloed hebben op het fysieke loket. De balie in het gemeentehuis wordt steeds meer een klantcontactcentrum, waarin vaker op afspraak zal worden gewerkt. Meerts: “Daarnaast gaan we in de nabije toekomst meer zaakgericht werken, in plaats van incidentgericht. Dus als een burger aan ons loket komt met een probleem dat meerdere afdelingen binnen de gemeente beslaat, dan krijgt hij of zij één contactpersoon, die de ‘zaak’ in behandeling neemt.”

Als alles volgens planning verloopt, opent het nieuwe stadskantoor van Venlo in 2013 zijn deuren. Het kazerneterrein, nu nog kantoor van honderden gemeentemedewerkers, wordt dan wellicht ingericht als uitwijklocatie voor IT. “Dan kan hier een spiegeling van kritieke componenten komen zoals de firewall, een redundante internetverbinding en een backup-oplossing. Met UTM hebben we in elk geval een mooie oplossing waar we voorlopig mee vooruit kunnen.”

Ron Meerts is al tien jaar werkzaam bij de gemeente Venlo. Als Senior Infrastructuur Beheerder heeft hij verschillende grote ICT-projecten geleid, waaronder de realisatie van een datacenter en een glasvezelnetwerk naar een randgemeente en een nieuw datacenter. Hij behaalde een CISSP-certificering door middel van een combinatie van een masterclass en zelfstudie.