Handreiking CVD-proces zelf inrichten
pdf | 341.7 KB
Samen sterker tegen online dreigingen in het onderwijs
School-CERT is een sectoraal CERT voor het bekostigd primair en voortgezet onderwijs in Nederland. CERT staat voor Computer Emergency Response Team. Het is een gespecialiseerd team van ict-professionals, dat in staat is snel te adviseren in het geval van een cybersecurity-incident.
School-CERT biedt een CVD-dienst (Coordinated Vulnerability Disclosure) aan om schoolbesturen te ondersteunen bij het analyseren en oplossen van CVD-meldingen. Een CVD-melding is een melding van een ethisch hacker of beveiligingsonderzoeker die een kwetsbaarheid in de ict-omgeving van jouw schoolbestuur heeft gevonden. Met een CVD-proces kan een ethisch hacker op een verantwoorde manier een CVD-melding maken aan jouw schoolbestuur. Het is belangrijk om goed contact met de melder te houden. Zo spreek je bijvoorbeeld af of en wanneer de gevonden kwetsbaarheid en de oplossing (patch) openbaargemaakt mogen worden.
Als een ethisch hacker een kwetsbaarheid in een ict-systeem meldt aan een schoolbestuur of rechtstreeks aan het CERT, dan kunnen wij de communicatie met de hacker op ons nemen en voeren wij een analyse van de melding uit. Vervolgens adviseren we het schoolbestuur over het oplossen van de kwetsbaarheid. We helpen bij het bepalen van de prioriteit van de CVD-melding en geven jouw schoolbestuur advies bij de communicatie met bijvoorbeeld de ict-leverancier. Het schoolbestuur blijft altijd zelf verantwoordelijk voor het oplossen van een eventuele kwetsbaarheid.
Als je wilt dat het CERT deze rol vervult voor jouw schoolbestuur, meld je dan aan voor de CVD-dienst. Hiervoor moet je eerst je schoolbestuur aanmelden bij School-CERT.
Je kunt jouw schoolbestuur aanmelden voor de CVD-dienst van School-CERT door op het aanmeldformulier voor School-CERT een vinkje te zetten bij ‘aanmelden CVD-dienst’. Ben je al aangemeld bij School-CERT en had je nog geen vinkje gezet? Meld je dan alsnog aan via cert@kennisnet.nl.
Wanneer je jouw schoolbestuur aanmeldt voor de CVD-dienst ga je akkoord met het CVD-beleid. Je kunt dit vinden op https://cvd.kennisnet.nl. Daarnaast dien je op alle domeinnamen te verwijzen naar een security.txt bestand. De uitleg daarvoor vind je hieronder.
Heb je voldoende capaciteit en expertise in huis en wil je zelf aan de slag met het inrichten van een CVD-proces? Volg dan het stappenplan uit deze handreiking.
pdf | 341.7 KB
Het CVD-beleid en de contactgegevens worden altijd gepubliceerd in een security.txt-bestand. Dit zorgt ervoor dat melders op een standaardplek kijken en verlaagt de drempel om iets (geautomatiseerd) te melden. Een security.txt-bestand is opvraagbaar via het pad /.well-known/security.txt op het bijbehorende domein.
Als je wilt dat ethisch hackers kwetsbaarheden in je systemen melden bij School-CERT, dan is het noodzakelijk om op alle domeinnamen te verwijzen naar dit security.txt-bestand van School-CERT. Door je ict-beheerder te vragen om deze URL https://<je_domeinnaam>/.well-known/security.txt door te verwijzen naar https://cvd.kennisnet.nl/.well-known/security.txt. Dit kan door middel van een HTTP 302 Redirect.
Op deze manier leggen melders contact met School-CERT als er een kwetsbaarheid gevonden is op een van je systemen.
Met de tool Internet.nl kun je testen of de domeinnaam van je school op correcte wijze naar het centrale security.txt-bestand verwijst.