Informatiebeveiliging

Informatiebeveiliging zorgt voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Het gaat hier om bescherming van onder meer onderzoeksdata, privacygevoelige informatie en auteursrechtelijk materiaal.

Hieronder vindt u informatie over het informatiebeveiligingsbeleid, het Computer Emergency Response Team (CERT), Responsible Disclosure en het netwerkreglement. Gaat er iets mis? Meld het dan direct, via ‘incident melden’.

Informatiebeveiligingsbeleid

Hoe WUR omgaat met bescherming van informatie, staat in het informatiebeveiligingsbeleid.

Het beleid ondersteunt de missie van WUR. Het draagt bij aan bescherming van informatie en systemen om schending van vertrouwelijkheid, integriteit en beschikbaarheid te voorkomen.

Het belangrijkste uitgangspunten zijn daarbij dat onderwijs, onderzoek en waardecreatie altijd voortgang kunnen vinden. We zoeken daarbij de balans tussen vrijheid en veiligheid in de manieren waarop we onze informatie beschermen.

WUR-CERT (Computer Emergency Response Team)

Het Computer Emergency Response Team van WUR (WUR-CERT) coördineert de preventie en oplossing van beveiligingsincidenten op het gebied van computer- en netwerkbeveiliging.

Download of bekijk een overzicht van alle taken van WUR-CERT.

Responsible disclosure

Veilige systemen en veilige data zijn voor WUR van groot belang. Vindt u een kwetsbaarheid in een systeem? Dan horen wij dat graag direct. We kunnen dan meteen maatregelen nemen.

Aanleveren van bevindingen

Bevindingen kunt u mailen naar cert@wur.nl. We ontvangen daarbij graag alle informatie die nodig is om het probleem te reproduceren. Melden onder een pseudoniem is mogelijk.

Versleutel uw e-mail met de PGP-key voor veilige verzending. Deze sleutel downloadt u via pgp.surfnet.nl of een andere openbare PGP-sleutelserver. De fingerprint is: 860E CC37 CA68 FBA8 E01D 0A62 B2CD A3AB 88BE 4927.

We vragen u daarnaast om:

  • Niet meer data te downloaden dan nodig is om een kwetsbaarheid aan te tonen.
  • Geen gegevens van derden in te kijken, te verwijderen of te veranderen.
  • Het probleem niet met anderen te delen totdat het is opgelost.
  • Vertrouwelijke gegevens die zijn verkregen direct na het dichten van een lek te wissen.
  • Bij het vaststellen van een probleem geen gebruik te maken van social engineering, distributed denial of service, spam, applicaties van derden. Ook vragen we u hiervoor niet onze fysieke beveiliging te doorbreken.

Er volgen geen juridische stappen als u zich houdt aan bovenstaande voorwaarden.

Reactie op uw bevindingen

Uw bevindingen waarderen wij. Daarom volgen we ze op deze manier op:

  • Wij reageren binnen 5 werkdagen op uw melding.
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen. Tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.

Niet in scope

WUR geeft geen beloning voor triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden. Hieronder staan voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s, die buiten bovenstaande regeling vallen:

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina's.
  • Fingerprinting/versievermelding op publieke services.
  • Publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt).
  • Clickjacking en problemen die alleen te exploiten zijn via clickjacking.
  • Geen secure/HTTP-only flags op ongevoelige cookies.
  • OPTIONS HTTP method ingeschakeld.
  • Alles gerelateerd tot HTTP security headers, bijvoorbeeld: Strict-Transport-Security / X-Frame-Options / X-XSS-Protection / X-Content-Type-Options / Content-Security-Policy.
  • Issues met SSL-configuratie: SSL Forward secrecy uitgeschakeld / Zwakke/onveilige cipher suites.
  • Issues met SPF, DKIM of DMARC.
  • Host header injection.
  • Rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit.
  • Informatieblootstelling in metadata.

Authorized to Use CERT(TM) CERT is a mark owned by Carnegie Mellon University

Netwerkreglement

In het netwerkreglement staan de regels over het gebruik van ICT-middelen en netwerk van WUR. Het gaat om zaken als systeem- en netwerkbeveiliging, bescherming van (privacy)gevoelige informatie en tegengaan van ongewenst gebruik of gedrag.

Incident melden en contact

Algemeen (geen student of medewerker van WUR)

Beveiligingsincidenten kunt u melden via e-mail: cert@wur.nl. Het WUR-CERT is bereikbaar tijdens kantooruren (8.30-17.00, van maandag tot vrijdag, behalve feestdagen). Buiten de kantooruren wordt de mailbox onregelmatig gecontroleerd.

Meld bij een incident zo veel mogelijk informatie. Zoals datum, tijd en plaats van het incident. Heeft u ook informatie over frequentie, IP-nummers, URL’s, foutmeldingen of logs? Voeg deze dan ook toe. Wilt u uw e-mail versleutelen? Gebruik daarvoor de PGP-sleutel. Deze sleutel downloadt u via pgp.surfnet.nl of een andere openbare PGP-sleutelserver. De fingerprint is: 860E CC37 CA68 FBA8 E01D 0A62 B2CD A3AB 88BE 4927.

WUR medewerkers en studenten

Studenten en medewerkers melden beveiligingsincidenten bij de Servicedesk IT. Dat kan via e-mail: servicedesk.it@wur.nl. Dringende en/of vertrouwelijke meldingen kunnen telefonisch gemeld worden, via 0317 – 488 888.