Voor Rijkswaterstaat stond cybersecurity altijd hoog op de agenda. Dat leidde tot de oprichting van een Security Operations Centre, waarmee de kaders om cybersecurity nog verder te professionaliseren werden gelegd. Na een uitgebreid onderzoek naar diverse producten is gekozen voor Splunk. Erik De Kruif, Product Owner Monitoring bij Rijkswaterstaat, heeft samen met SMT een Splunk-omgeving neergezet. Om data te ontsluiten die men kan inzetten voor de monitoring van de performance en veiligheid van de Rijkswaterstaat-systemen.

Van uitdaging naar uitvoering

In samenwerking met SMT is een Splunk-omgeving neergezet die steeds verder werd uitgebouwd. Er is data toegevoegd naar aanleiding van de wensen van de opdrachtgever. “Als je start met Splunk vul je een bepaalde behoefte in,” vertelt Erik de Kruif. “De inzichten die je met dit platform creëert zijn voeding voor vervolgvragen. Daarna gaat men nadenken over ‘wat kan er nog meer?’ Dat groeipad ging heel snel.”

“Op basis van de vraag vanuit het Security Centre om steeds meer, groter en beter inzicht te krijgen over het gehele netwerk van Rijkswaterstaat, zijn we gaandeweg steeds meer data gaan ontsluiten in Splunk,” gaat Erik de Kruif verder. “Daar zijn veel use cases voor geschreven.”

De beste mensen voor de opdracht

Er is veel vraag in de markt en het aanbod is schaars. Toch was er direct vertrouwen in SMT en dat vertrouwen groeide. Van voorgesprekken tot realisatie.

Binnen Rijkswaterstaat, met grote hoeveelheid interne klanten, is het belangrijk om wensen in alle lagen te realiseren. “We hebben gekozen voor de beste mensen voor deze opdracht. Niet alleen van Splunk, maar in het hele project. Stuk voor stuk zijn ze zelfstandig en communicatief vaardig. Ze begrijpen de processen en vertalen dit naar de beste oplossingen.”

“Toppers op Splunk-gebied die een super bijdrage leveren. Ze maken ons team echt sterker.”

Erik de Kruif

Overzicht en interne klanten

Splunk wordt op twee manieren ingezet binnen Rijkswaterstaat. Het Security Centre overziet alles en ontsluit data van de belangrijkste en meest kritische systemen binnen de hele organisatie, verspreid over het hele land.

Het monitoringteam zorgt ervoor dat de basis van Splunk-omgeving staat, zodat interne klanten als het security operations centre en de afdeling verkeersmanagement de vrijheden krijgen om te bepalen wat ze willen binnen de kaders van Splunk via webinterfaces. “Is er een behoefte om bepaalde applicaties te monitoren? Dan moet er data worden ontsloten en wordt daar alarmering op gecreëerd waarop actie wordt ondernomen.” Splunk raakte zo verweven door de hele organisatie.

De keten in beeld

Splunk biedt de mogelijkheid om de gehele keten te overzien en op tijd in te grijpen. Downtime wordt met een grote factor verminderd.

“Neem het voorbeeld van de tunnel. Het sluiten van een tunnel leidt tot grote problemen. Er zijn meerdere systemen aanwezig en dat zijn losse componenten met eigen monitoring. Door de keten in beeld te brengen kun je een completer plaatje creëren van de status. Door monitoring en dashboarding zie je snel waar moet worden ingegrepen, en het liefst zie je het vóóraf. Die impact is groot, want sluiting heeft een grote, economische impact. Denk aan vrachtwagens die stil staan.”

Bereidheid

“De business case van de investering in Splunk is vooraf niet altijd duidelijk. Er kan veel in het platform, maar de opslag en verwerking van data vereist meer capaciteit, dus moesten wij investeren in nieuwe storage. Voor Rijkswaterstaat moet de samenleving profiteren van de investering. “Dat was in dit geval meer dan de moeite waard.”