Handreiking CVD-proces zelf inrichten
pdf | 341.7 KB
School-CERT
Samen sterker tegen online dreigingen in het onderwijs
Door anoniem informatie te delen over cybersecurity-incidenten in het onderwijs, versterken we elkaar. School-CERT biedt actuele en onafhankelijke inzichten over kwetsbaarheden en dreigingen, speciaal voor de onderwijssector. Dankzij die onafhankelijke positie geven onze experts snel en kritisch advies.
Kwetsbaarheid melden
Heeft een ethisch hacker of onderzoeker een kwetsbaarheid in jouw ICT-systeem gevonden? Door je aan te melden voor onze CVD-dienst kan School-CERT helpen met de opvolging hiervan. De hacker wordt doorverwezen naar ons, waarna we de melding analyseren, communiceren met de hacker en het schoolbestuur adviseren over het oplossen van de kwetsbaarheid. Het melden van kwetsbaarheden door ethisch hackers of beveiligingsonderzoekers wordt ook wel Coordinated Vulnerability Disclosure (CVD) genoemd. In het aanmeldformulier kun je aangeven of je gebruik wilt maken van deze dienst.
Let op: Je blijft als schoolbestuur altijd zelf verantwoordelijk voor het oplossen van een eventuele kwetsbaarheid.
Aanmelden voor de CVD-dienst
Wil je graag hulp van CERT bij CVD-meldingen? Meld je dan aan voor de CVD-dienst. Dat kun je direct doen bij je aanmelding voor School-CERT, maar het kan ook achteraf. Er zijn een aantal dingen die je bij je aanmelding moet doen:
Aanmelden. Zet bij je aanmelding voor School-CERT ook een vinkje bij ‘aanmelden CVD-dienst’. Zo ben je direct ook voor de CVD-dienst aangemeld. Ben je al aangemeld voor School-CERT, maar nog niet voor de CVD-dienst? Meld je dan alsnog aan via cert@kennisnet.nl.
CVD-beleid. Ben je aangemeld voor de CVD-dienst? Dan stem je in met het CVD-beleid. Je kunt dit beleid vinden op cvd.kennisnet.nl.
security.txt. Daarnaast moet je op al je domeinnamen verwijzen naar een security.txt bestand. In dit tekstbestand staan het CVD-beleid en de contactgegevens van jouw school gepubliceerd. Melders van een kwetsbaarheid kunnen zo snel zien waar ze de kwetsbaarheid kunnen melden. Een security.txt-bestand is normaal gesproken te vinden via de url https://<je_domeinnaam>/.well-known/security.txt. Maak je gebruik van de CVD-dienst? Dan moet je deze url redirecten naar https://cvd.kennisnet.nl/.well-known/security.txt. Zo kunnen melders direct contact leggen met School-CERT als ze een kwetsbaarheid vinden in jouw systeem.
Kwetsbaarheid melden
Wil jij een kwetsbaarheid melden die je hebt gevonden in systemen van een onderwijsinstelling in het primaire of voortgezet onderwijs? Lees dan het CVD-beleid.
Would you like to send a CVD notification? Then read the CVD policy.
Inrichten van een CVD-proces
Heb je voldoende capaciteit en expertise in huis en wil je zelf aan de slag met het inrichten van een CVD-proces? Volg dan het stappenplan uit onderstaande handreiking.
Om gericht om te gaan met CVD-melding is het handig om daar een proces voor in te richten. Met een CVD-proces kan een ethisch hacker op een verantwoorde manier een CVD-melding doen aan jouw schoolbestuur. Het is belangrijk om goed contact met de melder te houden. Zo spreek je bijvoorbeeld af of en wanneer de gevonden kwetsbaarheid en de oplossing (patch) openbaargemaakt mogen worden.
Contact met support
Is er bij jouw schoolbestuur sprake van een cybersecurity incident? Neem dan voor directe hulp contact op met onze supportlijn! Geef hierbij zoveel mogelijk informatie over de situatie, zodat we deze adequaat kunnen beoordelen en oppakken.
Telefoon: Bel met School-CERT (Kennisnet): 0800 321 22 33 (onder kantoortijden).
Mail: support@kennisnet.nl.
Vraag over School-CERT
Heb je een algemene vraag of suggestie? Of wil je een vrijblijvend kennismakingsgesprek inplannen? Neem dan contact op met cert@kennisnet.nl.