Informatiebeveiliging

Informatiebeveiliging heeft betrekking op de bescherming van informatie in termen van beschikbaarheid, integriteit en vertrouwelijkheid en beperkt zich niet alleen tot informatie die in de IT-systemen is opgeslagen. Alle waardevolle informatie, onafhankelijk van de manier waarop deze beschikbaar is of is opgeslagen, dient beschermd te worden. Denk hierbij niet alleen aan privacygevoelige informatie, maar ook aan onderzoeksdata en auteursrechtelijk materiaal.

Hieronder wordt nader ingegaan op de onderdelen CERT (Computer Incident Response Team), netwerkreglement en Responsible disclosure.

Informatie Beveiligings Incidenten CERT

Het doel van Wageningen University & Research-Computer Emergency Response Team (afgekort WUR-CERT) is bij te dragen aan een goede beveiliging van IT-voorzieningen van de WUR. WUR-CERT coördineert de preventie en oplossing van beveiligingsincidenten op het gebied van computer- en netwerkbeveiliging waarmee de WUR zich geconfronteerd ziet. WUR-CERT doet dat door de volgende diensten te bieden:

  • Coördinatie van beveiligingsincidenten: het inrichten en operationeel houden van een meldpunt voor beveiligingsincidenten, het coördineren en bewaken van een adequate afhandeling daarvan, inclusief escalatie naar de lijnorganisatie of het College van Bestuur.
  • Het geven van voorlichting over preventie van incidenten en actuele bedreigingen. Hieronder valt ook het doorgeven van waarschuwingen van andere CERT’s en het informeren van het management van de universiteit bij landelijke of grootschalige malware-uitbraken en welke acties daar voor nodig zijn bij de WUR.
  • Advisering ten aanzien van Wageningen University & Research IT-beveiligingsaspecten en het beveiligingsbeleid. WUR-CERT kan gevraagd en ongevraagd advies uitbrengen om WUR-specifieke beveiligingsproblemen te helpen oplossen dan wel verminderen.

In de bijlage hieronder een nadere uitwerking (in het Engels) van de taken en verantwoordelijkheden van het WUR-CERT.

CERT team per juli 2017

Alleen publiekelijk beschikbare leden zijn in onderstaande lijst (alfabetisch op achternaam) opgenomen, de overige leden zijn bereikbaar via cert@wur.nl

  • Andre ten Böhmer (netwerkspecialist)
  • Wilfred Hoefakker (service manager)
  • Remon Klein Tank (security specialist)
  • Ramon Kroese (desktop specialist)
  • Erik Molenaar (network specialist)
  • Sander van den Steen van Ommeren (application specialist)
  • Raoul Vernède (security manager)
  • Edwin op de Woert (web application specialist)

Contact Informatie

Voor de wereld

Beveiligingsincidenten kunnen worden gemeld via e-mail naar cert@wur.nl. Andere, niet-beveiligings gerelateerde zaken kunnen worden gemeld aan de Servicedesk via servicedesk.it@wur.nl.

WUR medewerkers en studenten

Voor medewerkers en studenten van de Wageningen University & Research geldt als algemene stelregel dat zij beveiligingsincidenten per e-mail kunnen melden bij de Servicedesk FB-IT (servicedesk.it@wur.nl). Deze meldt het indien nodig bij WUR-CERT. In dringende en vertrouwelijke gevallen kunnen incidenten het beste via de Servicedesk FB-IT telefonisch gemeld worden aan WUR-CERT (tel. 0317-488888 en vraag naar WUR-CERT).

Codering en verificatie

Vertrouwelijke informatie kan versleuteld worden door gebruik te maken van de publieke WUR-CERT PGP-sleutel. Tevens kan men deze sleutel gebruiken om de digitale handtekening van WUR-CERT te controleren. De sleutel is aan de hand van ons e-mail adres cert@wur.nl te downloaden via de openbare PGP-sleutel servers, met name pgp.surfnet.nl. De WUR-CERT PGP sleutel heeft de fingerprint 8F96 1657 5D17 82ED 79D9 073C FEA1 776D 6E45 DBCF. Het is belangrijk dat U voor het downloaden van de sleutel van een openbare PGP-sleutel servers controleert of de fingerprint gelijk zijn. Bij aanmelding van een incident is het van groot belang om zoveel mogelijk relevante informatie door te geven, zoals: datum/tijd/plaats van het incident, heeft het incident zich meermalen voorgedaan en zo ja hoe vaak, betrokken IP-nummers/systemen (slachtoffer zowel als vermoedelijke veroorzaker), betrokken URL's, eventuele (fout)meldingen en (een uitdraai van) logfiles.

Bereikbaarheid

Het WUR-CERT is bereikbaar tijdens kantooruren (8:30-17:00 van maandag tot vrijdag behalve feestdagen). Buiten de kantooruren wordt de mailbox onregelmatig gecontroleerd. Bereikbaarheid Het WUR-CERT is bereikbaar tijdens kantooruren (8:30-17:00 van maandag tot vrijdag behalve feestdagen). Buiten de kantooruren wordt de mailbox onregelmatig gecontroleerd.

Authorized to use CERT(TM) - CERT is a mark owned by Carnegie Mellon University

Netwerk Reglement

Responsible disclosure

Bij Wageningen University & Research vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen. Wij vragen u:

  • Uw bevindingen te mailen naar cert@wur.nl. Versleutel uw bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt. De WUR-CERT PGP sleutel is te downloaden van de via de openbare PGP-sleutel servers, met name pgp.surfnet.nl. De fingerprint is te vinden bij Contact Informatie (hierboven).
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen,
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via de lek direct na het dichten van de lek te wissen,
  • Bij het vaststellen van een probleem geen gebruik te maken van social engineering, distributed denial of service, spam, applicaties van derden of onze fysieke beveiliging te doorbreken, en
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen.

Wat wij beloven:

  • Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing,
  • Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding,
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk,
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem,
  • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost. Responsible disclosure is gebaseerd op voorbeeld geschreven door Floor Terra.

Flyers

shutterstock_114511465_muis_computer_link_klik_220.jpg