Versie: 1.0
SURFcert biedt 24 uur per dag gedurende 7 dagen per week ondersteuning op het vlak van "incident response" aan op het SURF-netwerk aangesloten instellingen. Iedereen kan beveiligingsinbreuken (incidenten) melden bij SURFcert. SURFcert informeert de instelling daarna over het incident en geeft (eventueel) advies over het oplossen van het incident. Instellingen kunnen ook zelf contact opnemen voor hulp bij incidenten.
Om zijn taken goed te kunnen vervullen verwerkt SURFcert gegevens, of anders gezegd: Alle op deze pagina genoemde verwerkingen vinden plaats ten behoeve van het leveren van de SURFcert-dienstverlening.
De doeleinden van de verwerkingen en de verwerkingen zelf zijn hieronder gespecificeerd. Voor de overkoepelende werkzaamheden van SURFcert (Categorie 4) is daarnaast een gerechtvaardigd belang uitgewerkt.
Inhoudsopgave
Doeleinden van de verwerking
Er zijn verschillende doelen te onderscheiden waarom SURFcert verwerkingen doet, deze zijn onder te verdelen in een aantal categorieën. Dit is hieronder schematisch weergegeven en wordt in dit document verder uitgewerkt.
Categorie 1 - Beveiliging SURF-netwerk (Coöperatiebelang)
Betreft het beschermen van de instellingen gezamenlijk en het functioneren van het SURF-netwerk zodat dat goed en veilig functioneert voor de aangesloten instellingen. Hieronder valt ook een kwetsbaarheid bij een instelling die een risico vormt voor andere instellingen of de wijdere wereld.
1. Op geautomatiseerde wijze netwerkverkeer (NetFlow) analyseren op verdachte situaties en om in te kunnen grijpen bij een aanval.
2. Doorzoeken van historisch netwerkverkeer (NetFlow) op basis van een incident of dreigingsinformatie om instellingen hulp te bieden en te beschermen. Dit kan een interne aanleiding hebben of op basis van meldingen door partners, zoals nationale en internationale CERTs. Vervolgens wordt er proactief in het netwerk van SURF gezocht.
3. Opsporen kwaadaardige DNS verzoeken en instellingen notificeren. Hier wordt gecheckt of er specifieke DNS verzoeken zijn die direct een alarm opleveren.
4. Doorzoeken van historisch DNS verzoeken op basis van een incident of dreigingsinformatie om instellingen hulp te bieden en te beschermen.
5. Detecteren en opslaan van DDoS-aanvallen om instellingen die onder aanval staan te ondersteunen en in te grijpen bij neveneffecten in het SURF-netwerk, bijvoorbeeld wanneer netwerkverbindingen dreigen vol te raken.
6. Scannen op kwetsbaarheden en besmettingen in het SURF-netwerk om een veilig en schoon netwerk te behouden.
7. Afsluiten van een SURF-netwerk aansluiting of het netwerkverkeer blokkeren van/naar een specifieke IP-address om bijv. andere instellingen te beschermen of risico's te beperken.
Categorie 2 - Faciliteren zelfredzaamheid instellingen: pro-actieve diensten (Instellingsbelang)
8. Op verzoek van een instelling een IP of website (bijv. Wordpress) scannen met de optionele vulnerability scanning dienst. SURFcert voegt het IP of URL toe aan een applicatie, dan wordt die automatisch periodiek gescand en gaat er automatisch een mail naar die instelling toe met de uitkomst.
9. Threat Intel platform (MISP) voor het uitwisselen IoC's voor incidentdetectie bij de instelling.
Categorie 3 - Faciliteren instellingen: reactief ondersteunen (Instellingsbelang)
10. Aanbieden van Anti-DDoS-middelen (DDoS filter en DDoS auto-mitigatie) voor bescherming tegen DDoS aanvallen.
11. SURFsoc hoge prioriteit meldingen in behandeling nemen wanneer instellingen niet bereikbaar zijn om eventueel te kunnen escaleren of in te grijpen.
12. Ondersteunen bij de afhandeling van een incident, contact onderhouden en algemene adviesverstrekking.
Categorie 4 - Overkoepelende SURFcert-werkzaamheden (Coöperatiebelang)
Fase 1: Detectie zwakheden en dreigingen
Meldingen ontvangen van derde partijen:
13. Ontvangen van dreigingsinformatie zodat deze gedeeld kan worden via het threat intel sharing platform (MISP).
14. Ontvangen van dreigingsinformatie uit semi-publieke bronnen zodat kwetsbaarheden en besmettingen gedeeld kunnen worden met instellingen.
15. Ontvangen van dreigingsinformatie uit publieke bronnen ter analyse en onderzoek. Indien relevant kan deze gedeeld worden met de instellingen.
Samenwerkingsverbanden:
16. Samenwerking met andere CSIRT-teams (nationaal en internationaal), teneinde informatie omtrent cybersecurity incidenten uit te kunnen wisselen.
- SURF(cert) is onderdeel van het Nationaal Respons Netwerk (NRN). Het NRN heeft als doel het versterken van de ICT-responscapaciteit en het vergroten van de expertise van aangesloten partijen op het gebied van cybersecurity. Partijen kunnen voor de volgende twee doeleinden persoonsgegevens uitwisselen: (i) Informatie- en kennisuitwisseling ter voorkoming van incidenten in de toekomst. (ii) Het direct verlenen van assistentie bij incidenten. Hier gaat het om een samenwerking waarbij partijen elkaar waar nodig en mogelijk assisteren bij een incident.
- SURFcert is lid van TF-CSIRT, Forum of Incident Response and Security Teams (FIRST) en het Nationaal Detectie Netwerk (NDN).
Incidentmeldingen
17. Een instelling meldt zelf een incident bij SURFcert om hulp te verkrijgen bij het oplossen ervan of om te delen met de community (het verder helpen met de afhandeling ervan bij de betreffende instelling valt onder Categorie 3)
18. Een derde partij meldt een incident bij SURFcert teneinde SURF dan wel een instelling te helpen met het voorkomen van aanvallen, of indien de instelling de melding zelf maakt dan kan de instelling hulp willen bij de afhandeling daarvan.
19. SURFcert ontvangt case meldingen van SURFsoc en kan deze inzien in het portaal van SURFsoc, zodat zij inzicht krijgen in de incidentmeldingen en kunnen bekijken of de dreiging ook bij andere instellingen speelt.
Pro-actief scannen
20. Op geautomatiseerde wijze netwerkverkeer (NetFlow) analyseren op verdachte situaties en om in te kunnen grijpen bij een aanval.
21. Opsporen kwaadaardige DNS verzoeken en instellingen notificeren. Hier wordt gecheckt of er specifieke DNS verzoeken zijn die direct een alarm opleveren.
Reactief zoeken n.a.v. informatie
22. Doorzoeken van historisch netwerkverkeer (NetFlow) op basis van een incident of dreigingsinformatie om instellingen hulp te bieden en te beschermen.
23. Doorzoeken van historisch DNS verzoeken op basis van een incident of dreigingsinformatie om instellingen hulp te bieden en te beschermen.
24. Opsporen en analyseren van verdachte situaties in het SURFsoc SIEM
Fase 2: Analyse van informatie
25. Nadat SURFcert via de eerder genoemde bronnen een mogelijk incident heeft gedetecteerd, gaat het op zoek naar meer informatie in beschikbare databronnen om te zoeken naar meer informatie over het incident en om te kijken of het incident zich mogelijk ook bij andere instellingen voordoet. Tevens wordt bekeken wat de omvang van het incident is en wat de eventuele vervolgstappen zijn.
26. Vulnerability scanning gericht op recent gepubliceerde kritieke kwetsbaarheden die direct gevaar vormen voor een instelling.
Fase 3: Informeren getroffen instelling of slachtoffer
Informeren getroffen instelling
27. Contacteren getroffen instelling of instelling van het slachtoffer of externe CSIRT
- Contact onderhouden
- Incidenten kunnen doorgeven
- Incidenten kunnen doorgeven aan relevante externe CSIRTs
Fase 4: Delen van (dreigings)informatie
Threat sharing
28. Het delen van dreigingsinformatie met andere CSIRTs, communities of gremia die belang hebben bij dit soort informatie (bijvoorbeeld omdat het om hun achterban gaat).
29. Contactgegevens van CSIRTs, communities en gremia om te kunnen communiceren.
Vorderingen Landelijke Eenheid Nationale Politie
30. Voldoen aan de wet. SURFcert levert de gevraagde informatie die gevorderd wordt door de politie. SURFcert geeft contactgegevens van de relevante instelling indien de identiteit van een eindgebruiker gezocht wordt (die is bij SURF niet bekend). Bij vordering van verkeersgegevens wordt netflowdata gegeven.
(Categorieën) Persoonsgegevens
| Verwerkingsdoel | Categorie(ën) Persoonsgegevens |
|---|---|
| Categorie 1: Beveiliging SURF netwerk | Dit betreft metadata van netwerkverkeer ('netflow data'), te weten: - IP-adressen - poortnummers - start- en stoptijd - hoeveelheid data (in aantal pakketten en bytes) - protocol (UDP, TCP, ICMP, QUIC, ....) - vlaggen (flags), als het protocol TCP is. - eventuele extra (niet persoonsgerelateerde) data, zoals AS ('netwerknummer'), IO poort v/e router, IP-adres van de router die de informatie aanlevert. |
| Categorie 2: Faciliteren zelfredzaamheid instellingen: pro-actieve diensten | Dit betreft dreigingsinformatie: Indicators of Compromise (IoC's), zoals IP-adressen, e-mail adressen, domeinnamen, gebruikersnamen en andere inloggegevens. |
| Categorie 3: Faciliteren instellingen: reactief ondersteunen | Bescherming tegen DDoS aanvallen: IP-adressen. Ondersteunen afhandeling incident: Naam, Telefoonnummer, e-mailadres, functie. |
| Categorie 4: Overkoepelende SURFcert werkzaamheden | - Dreigingsinformatie: IoC's, zoals IP-adressen (+ evt) poortnummer, e-mailadres, domeinnamen, gebruikersnamen en andere inloggegevens |
| Generiek: contact onderhouden | Contact onderhouden met instelling: Naam, e-mailadres, telefoonnummer van contactpersonen zoals geregistreerd in SURF CRM (inzichtelijk via Mijn SURF) |
Bewaartermijnen
| Type informatie | Bewaartermijn |
|---|---|
| Metadata van netwerkverkeer ('netflow data') | 3 maanden (max 92 dagen) |
| privacy-vriendelijk opgeslagen DNS queries | 3 maanden (max 92 dagen) |
| (Informatie in) meldingen | 24 maanden (2 jaar) |
Algemeen Kader: gerechtvaardigd belang overkoepelende SURFcert werkzaamheden
SURFcert is opgericht om door middel van instellingsoverstijgende samenwerking, de leden van SURF (zowel individueel als als groep gezamenlijk) beter te beschermen en weerbaar te maken tegen beveiligingsincidenten en cyberdreigingen. Dit betreft de overkoepelende SURFcert werkzaamheden, waarbij SURFcert incidenten 1) tijdig tracht op te sporen, 2) analyseert en uitzoekt of het incident zich ook elders voordoet, 3) de getroffen instelling(en) informeert en 4) eventuele dreigingsinformatie verder deelt. SURFcert ontvangt voor deze werkzaamheden data uit verschillende bronnen en deelt zelf ook weer data. Hierdoor kan er sprake zijn van ontvangen en delen van persoonsgegevens. De hoeveelheid en gevoeligheid van deze gegevens kan per databron verschillen. De rechtmatigheid van deze verwerkingen wordt daarom per databron afgewogen.
De belangen van instellingen, SURFcert en betrokkenen staan hier onder gespecificeerd met de uitgangspunten en maatregelen waar SURFcert zich bij alle verwerkingen uit categorie 4 zal houden.
Belangen instellingen, SURFcert en betrokkenen
Fase 1 & 2.
- Belangen instellingen/doelgroep: de doelgroep van SURF heeft er belang bij dat SURFcert zijn werkzaamheden zo goed mogelijk kan uitvoeren, om zo weerbaar mogelijk te zijn tegen beveiligingsincidenten en cyberdreigingen. Door het bij SURFcert verwerken van data kunnen instellingen veilige en betrouwbare diensten beschikbaar stellen voor hun medewerkers en studenten. Instellingen zijn erbij gebaat als aanvallen zo snel mogelijk worden opgespoord en eventuele slachtoffers kunnen worden geïdentificeerd.
- Belangen SURF: SURF heeft er belang bij om veilige en betrouwbare diensten, waaronder een netwerk, aan te kunnen bieden aan haar leden.
- Belangen eindgebruikers: eindgebruikers hebben er baat bij als SURFcert kan helpen om potentiële dreigingen te voorkomen en bestaande dreigingen zo snel mogelijk op te kunnen lossen om (verdere) schade te voorkomen.
- Belangen maatschappij als geheel: de werkzaamheden die SURFcert uitvoert en het verder delen van dreigingsinformatie, is tevens in het belang van de maatschappij als geheel, aangezien het mogelijk een verstoring van het maatschappelijk verkeer kan voorkomen of beperken.
Fase 3. Om instellingen en eindgebruikers te beschermen is het noodzakelijk dat SURFcert de betreffende instelling informeert over het (mogelijke) incident, waarbij informatie wordt gedeeld die relevant is voor de instelling om het incident op te kunnen sporen en op te kunnen lossen. Hiermee kunnen (potentiële) slachtoffers van incidenten worden beschermd en kan worden voorkomen dat meer gebruikers slachtoffer worden.
Fase 4. Wanneer een dreiging breder verspreid lijkt te zijn, kan SURFcert ervoor kiezen om bepaalde dreigingsinformatie verder te delen binnen het netwerk van CSIRT’s/instellingen/etc. In de meeste gevallen zal dit geen persoonsgegevens betreffen, maar dit is niet uit te sluiten. Informatie omtrent het incident kan andere organisaties helpen om incidenten bij hen te voorkomen of op te lossen.
Deze belangen zijn onder meer terug te vinden in:
- Overweging 49 AVG: de verwerking van persoonsgegevens voor zover strikt noodzakelijk en evenredig met het oog op netwerk- en informatiebeveiliging door aanbieders van elektronische communicatienetwerken en –diensten, vormt een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. SURF is een aanbieder van een dergelijk elektronisch communicatienetwerk.
- Artikel 32 AVG: partijen zullen passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hier vallen onder andere het vermogen onder om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van het de verwerkingssystemen en diensten te garanderen, en het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.
Daarnaast blijken deze gerechtvaardigde belangen ook uit de aanwijzing van SURFcert als ‘ander computercrisisteam’ als bedoeld in artikel 3 lid 2 onderdeel c, artikel 16 lid 3 onderdeel b en artikel 20 lid 2 onderdeel b van de Wbni.
Uitgangspunten en maatregelen waar SURFcert zich bij alle verwerkingen uit categorie 4 aan zal houden
SURFcert voldoet aan de "best practices" voor CSIRTs, specifiek aan de volgende richtlijnen:
- Het Traffic Light Protocol, zoals gedefinieerd op https://www.first.org/tlp/. TLP is de wereldwijde de-facto standaard voor het labelen van de vertrouwelijkheidsvereisten bij het uitwisselen van specifieke informatie.
- RFC-2350. Deze RFC is in wezen een invulformulier dat de belangrijkste diensten van de CSIRT en hun contactgegevens beschrijft.
- RFC-2142. Deze RFC somt "Mailboxnamen voor gemeenschappelijke diensten, rollen en functies" op en helpt SURFcert en SURF om gemakkelijk bereikbaar te zijn voor het melden van incidenten.
- TF-CSIRT Trusted Introducer (TI) Gecertificeerd. TF-CSIRT TI vereist "Listing", "Accreditatie" of "Certificatie" – SURFcert was een van de eerste drie geaccrediteerde teams in Europa (sinds 1 januari 2001), en is sinds 1 september 2023 gecertificeerd - het hoogste niveau.
- SIM3 CSIRT Advanced. SURFcert streeft ernaar om te voldoen aan het "advanced" volwassenheidsniveau van het SIM3 CSIRT volwassenheidsmodel. Dit is een hoger volwassenheidsniveau dan nodig is voor de TF-CSIRT Certificering.
- CSIRT Code-of-Practice (CCoP), een ethische code voor de TF-CSIRT-gemeenschap. SURFcert neemt deze CCoP ter harte en bespreekt de onderwerpen die in het document aan bod komen regelmatig, bijvoorbeeld tijdens kernelvergaderingen.
- FIRST CSIRT Services Framework. Waarbij SURFcert een specifieke keuze heeft gemaakt voor haar eigen dienstenportfolio, gebaseerd op het mandaat van het team en de behoeften van de achterban.
- FIRST lidmaatschapsregels. SURFcert is sinds 1 juli 1992 lid van FIRST.
Fase 1 & 2.
- De werkzaamheden die SURFcert uitvoert zijn altijd gericht op het beschermen van SURF, onze leden en eindgebruikers en het verbeteren van de digitale weerbaarheid, en zal nooit als doel hebben het opsporen of controleren van één specifiek individu. Dit betekent niet dat er tijdens het uitvoeren van de werkzaamheden van SURFcert geen betrokkenen worden gemonitord.
- SURFcert zal enkel in beschikbare databronnen kijken als daar aanleiding toe is.
- Indien SURFcert opmerkt dat er zich bijzondere categorieën persoonsgegevens tussen verkregen data zit, zal SURFcert daar uiterst voorzichtig mee omgaan en alleen verwerken als dat noodzakelijk is.
- Wanneer SURFcert in beschikbare databronnen kijkt, zal daar altijd logging van worden bijgehouden.
- Periodiek worden er steekproefsgewijs controles uitgevoerd waarom er bepaalde databronnen zijn geraadpleegd door de SURFcert-leden.
- Toegang tot databronnen is conform de normen van SURF BIS afgeschermd voor niveau vertrouwelijkheid: hoog.
- Toegang tot databronnen wordt enkel gegeven aan geautoriseerd personeel.
Fase 3.
- Enkel die informatie wordt verstrekt aan de instelling die noodzakelijk is voor de instelling om het (potentiële) incident op te sporen, op te lossen en verdere verspreiding te voorkomen.
- Informatie wordt uitsluitend verstrekt aan hiertoe specifiek door de instelling opgegeven contactpersonen en -punten. Mutaties op deze contactpunten kunnen uitsluitend door een daartoe bevoegd persoon bij de instelling doorgegeven worden.
Fase 4.
- Enkel die informatie wordt verstrekt aan CSIRT's, samenwerkingsverbanden of voor vorderingen van opsporingsinstanties die noodzakelijk is om het (potentiële) incident op te sporen, op te lossen en verdere verspreiding te voorkomen.
- SURFcert zal zoveel mogelijk beperken dat hierbij persoonsgegevens worden gedeeld. Indien SURFcert persoonsgegevens van een eindgebruiker van een instelling wenst te delen, zal hier voorafgaande toestemming van de instelling voor verkregen worden. In alle gevallen waar persoonsgegevens verder verspreid worden, zal SURFcert passende maatregelen treffen, zoals het maken van afspraken dat de data enkel gebruikt zal worden voor het beveiligen van netwerken en systemen, of het delen onder TLP.
Er wordt periodiek getoetst of we nog achter de punten uit dit kader en de belangenafwegingen staan en of er wijzigingen zijn die potentieel van invloed kunnen zijn op de beoordeling.