indi-2009-12-024
Eindrapport Stimulering beveiliging Project Projectjaar Projectmanager Auteur(s) Opleverdatum Versie
: : : : : :
SURFworks 2009 Maurice van den Akker Maurice van den Akker december 2009 1.0
Samenvatting In dit eindrapport worden de activiteiten en resultaten beschreven van het project stimulering beveiliging 2009: CERT vorming proces ondersteuning, TRANSITS trainingen en CSY: de awarenesscampagne van SURFnet.
Voor deze publicatie geldt de Creative Commons Licentie “Attribution 3.0 Unported”. Meer informatie over deze licentie is te vinden op http://creativecommons.org/licenses/by/3.0/
Colofon Programmalijn : Stimulering gebruik & support Onderdeel : Beveiliging Activiteit : 7.1 Deliverable : Eindrapport Stimulering beveiliging Toegangsrechten : Publiek Externe partij : N.v.t. Dit project is tot stand gekomen met steun van SURF, de organisatie die ICT vernieuwingen in het hoger onderwijs en onderzoek initieert, regisseert en stimuleert door onder meer het financieren van projecten. Meer informatie over SURF is te vinden op de website (www.surf.nl).
6 dingen die je moet weten over het eindrapport stimulering beveiliging Context
Veel instellingen blijken bereid te zijn om samen met SURFnet te werken aan het verhogen van de aandacht voor beveiliging binnen instellingen. Hierbij is gebleken dat instellingen behoefte hebben aan ondersteuning op het vlak van de organisatie rond beveiliging (inrichting lokale CERT-teams) aan beveiligingsgerelateerde diensten en tools en aan ondersteuning bij het realiseren van beveiligingsbewustwording bij eindgebruikers.
Wat is het?
Het eindrapport beschrijft de activiteiten en resultaten die zijn ondernomen in het project “stimulering beveiliging”.
Voor wie is het?
Het rapport is bedoeld voor iedereen die interesse heeft in de activiteiten die in 2009 in SURF/SURFnet-verband zijn uitgevoerd in het kader van het stimuleren van beveiliging.
Hoe werkt het?
N.v.t.
Wat kan je ermee?
N.v.t.
Extra (Bijlagen, Thema, Gerelateerde thema’s)
Bijlage I: Eindrapport stimulering beveiliging
Bijlage I: Eindrapport Stimulering beveiliging
Inleiding In de programmalijn Stimulering Gebruik & Support vindt naast opschaling van enkele gebruikers naar een brede doelgroep, ook de verdiepingsslag met de docent en onderzoeker plaats die ervoor moet zorgen dat de diensten ingezet worden in de primaire processen (onderwijs en onderzoek). De aanpak voor 2009 is dus zowel op kwantiteit (meer gebruikers en naamsbekendheid) als kwaliteit (hoe zet ik de diensten van SURFnet in voor mijn onderzoek en onderwijs) gericht. Wat betreft beveiliging realiseren instellingen zich dat men vooral zelf zal moeten investeren in verbeteringen op het vlak van beveiliging en vragen van SURFnet vormen van support, zoals trainingen voor beveiligingsexperts en on-site support bij het inrichten van een lokaal Computer Emergency Response Team (CERT) en hulp bij het verhogen van de awareness bij eindgebruikers op het gebied van security. Deze wensen sluiten goed aan op het programma Stimulering Beveiliging 2009.
Doelstelling en resultaat In onderstaande tabel staan voor dit project de doelstelling en behaalde resultaat voor 2009.
Stimulering Beveiligingsdiensten
Doel 2009
Realisatie 2009
40 40 Aantal geaccrediteerde CERTs(*) 40 46 Actieve gebruikers SWIM(**) *) De afsluitende accreditatie van de nieuwe teams zijn allen gepland voor december 2009 en januari 2010. **) De nieuwe naam voor de PACT-community is SWIM. Het aantal CERT teams is van 28, eind 2008, gegroeid naar 40, eind 2009. De accreditatie van alle teams zal in januari 2010 zijn afgerond. Het aantal actieve gebruikers van SWIM is gestegen van 25 instellingen, eind 2008, naar 46, eind 2009. Daarbij moet gezegd worden dat de PACT-dienstverlening in 2009 is vervangen door onder andere een breed opgezette community onder de naam SWIM (SURFnet Werkgroep Incident Management). Voor het bepalen van het aantal actieve gebruikers van PACT is daarom uitgegaan van het aantal instellingen in SWIM. SWIM wordt gebruikt door alle CERT teams en daarnaast nog door instellingen die (nog) geen geaccrediteerde CERT-functie hebben ingericht, maar wel geïnteresseerd zijn in zaken op het gebied rondom incident management. In Bijlage A staat een overzicht van de CERTs en de SWIM-leden.
Activiteiten Om de doelstellingen te realiseren hebben binnen dit project de volgende activiteiten plaatsgevonden:
CERT Vorming Proces Ondersteuning (CVPO) Deze activiteit heeft zich gericht op het ondersteunen van instellingen om een eigen CERT (of CERTfunctie) in te richten en in de organisatie in te bedden. Het ging daarbij voornamelijk om: Voorlichting geven over security incident management richting instellingen Motiveren van instellingen om een CERT in te richten; Het bieden van on-site consultancy om instellingen te ondersteunen en te adviseren tijdens het inrichten van een CERT; Het vier keer houden van tweedaagse incident management trainingen (TRANSITS) voor de leden van (potentiële) CERTs; Accrediteren van CERTs
De herinrichting van de PACT dienstverlening Eind 2008 / begin 2009 is er onderzoek uitgevoerd hoe de PACT dienstverlening ingericht kan worden zodat het aan de behoefte van de (potentiële) PACT-leden kan voldoen. Dat heeft geresulteerd tot een rapport/aanbeveling in het eerste kwartaal van 2009 en de daadwerkelijke vervanging van PACT in de loop van 2009. PACT is daarbij vervangen door een drietal facultatief af te nemen vormen van dienstverlening (waarvan 1 nog in ontwikkeling is): 1. Starterskit Incident Management, inclusief workshop: met behulp van dit ‘startpakket’ worden instellingen op weg geholpen bij de inrichting van een CERT. De aansluitende workshop loodst de instelling door de starterskit en besluit met de accreditatie van het CERT team door SURFcert. 2. SWIM (SURFnet Werkgroep Incident Management). SWIM is de naam van een actieve werkgroep op het gebied van security op het operationele vlak, zoals het uitvoeren van de CERT-functie. Deze werkgroep komt periodiek samen en bestaat inmiddels uit ruim vijftig personen uit de SURFnet doelgroep. 3. SURFaudit (in ontwikkeling): SURFaudit is de werktitel voor een methodiek in ontwikkeling, waarmee de mate van volwassenheid op onder andere het gebied van security incident management, maar ook informatiebeveiliging en identity management kan worden gemeten. Meer informatie over de gewijzigde invulling van PACT is te vinden in de SURFworks-documenten “Herinvulling PACT 2009” en “PACT met nieuwe invulling operationeel”.
Security Awareness Campagne Op 10 februari lanceerde SURFnet samen met een aantal instellingen de Cybersave Yourself campagne, inclusief de campagne website www.cybersaveyourself.nl, waarbij de focus ligt op het beveiligen van je eigen identiteit. In dit kader hebben de volgende activiteiten plaatsgevonden: Beschikbaar stellen van een zogenaamde awareness-toolkit, een webomgeving waarmee de instellingen allerlei voorlichtingsmateriaal kunnen vinden en (her)gebruiken. zoals posters, flyers, advertenties, webteksten, banners en ontwerp voor pennen/usb-sticks, etc. 35 instellingen en 43 externen hebben inmiddels gebruik gemaakt van deze online-toolkit. De ontwikkeling en verspreiding van een geanimeerde voorlichtingsfilm (Kate) Het houden van peilingen (enquête) rondom de awareness van beveiliging bij instellingen Organiseren van een debat op de onderwijsdagen. De activiteiten zijn uitgevoerd in overleg met diverse partijen, zoals GOVCERT, SURFibo, en SURFcert. Een uitgebreid verslag over de activiteiten van de security awareness campagne is te lezen in het SURFworks-document “Cybersave yourself 2009”.
Conclusie en vervolg In 2009 hebben de activiteiten op het gebied van stimulering gebruik beveiliging geleid tot een toename van het aantal geaccrediteerde CERTs tot 40, een succesvolle cybersave yourself campagne en heeft PACT een nieuwe inrichting gekregen die beter aansluit op de doelgroep. Er is voldoende aanleiding om al deze activiteiten in 2010 voort te zetten. In de eerste plaats zijn er tenminste tien instellingen die aangegeven hebben in 2010 behoefte te hebben aan ondersteuning bij de inrichting van een CERT. Door inzet van de starterskit en de workshop kan in deze behoefte worden voorzien. In de tweede plaats verdient het stimuleren van bewustzijn op het gebied van beveiliging ook in 2010 de nodige aandacht. De gezamenlijke aanpak is succesvol gebleken en instellingen geven aan behoefte te hebben aan vervolg en/of continuïteit. Nieuw materiaal zal bedacht en ontwikkeld moeten worden om opnieuw de aandacht te kunnen trekken van de betreffende doelgroep(en). In de derde plaats zal de dienstverlening op het gebied van PACT in 2010 zich verder ontwikkelen. Zo dient SURFaudit zich tot een volwaardig model ontwikkelen, zullen SWIM-bijeenkomsten op reguliere basis (één keer per vijf maanden) georganiseerd dienen te worden en zal de starterskit, workshop, TRANSITS trainingen en CVPO verder geïntegreerd dienen worden tot één samenhangend geheel.
Bijlage A: CERT-teams en SWIM-leden In de onderstaande tabel staan de veertig instellingen vermeld die vanaf januari 2010 een geaccrediteerd CERT hebben. Deze CERT-teams maken allen onderdeel uit van de SURFnet Werkgroep Incident Management (SWIM). Aanvullend staan zes instellingen die nog geen CERT hebben, maar wel deelnemen in SWIM. Instelling met een CERT
1 2 3 4 5 6 7 8 9 10 11 12* 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38
AMC
39
Wageningen Universiteit
Instelling met een CERT 40
Windesheim
Amsterdamse Hogeschool voor de Kunsten AVANS Hogeschool
Deelnemer SWIM (nog) zonder CERT
Erasmus Medisch Centrum
41
Graafschap College
Erasmus Universiteit Rotterdam
42
Informatie beheer groep
Fontys Hogescholen
43
Nederlandse Defensie Academie
Hanze Hogeschool
44
Openbare Bibliotheek Amsterdam
Hogeschool Arnhem Nijmegen
45
SURFdiensten
Hogeschool Rotterdam
46
TNO
Hogeschool Utrecht Hogeschool van Amsterdam Hogeschool Zuyd KNAW KNMI Koninklijke Bibliotheek Leids UMC NLR Noordelijke Hogeschool Leeuwarden Open Universiteit Nederland Politieacademie (LSOP) Radboud Universiteit Rijksuniversiteit Groningen SARA Saxion Springer Stenden SURFnet TU Delft TU Eindhoven UMC Groningen Universiteit Leiden Universiteit Maastricht Universiteit Twente. Universiteit Utrecht Universiteit van Amsterdam Universiteit van Tilburg VU VU medisch centrum