FAQ Informatiebeveiliging

Informatiebeveiliging DANS Data Stations en DataverseNL

Algemene beschrijving

De DANS Data Stations en DataverseNL zijn webapplicaties die gebruikmaken van de Dataverse-software, oorspronkelijk ontwikkeld door het Institute for Quantitative Social Science (IQSS) van Harvard University. Deze software is open source en wordt doorontwikkeld door een internationale community, verenigd in het Global Dataverse Community Consortium (GDCC). De broncode is publiekelijk beschikbaar in GitHub, waarbij Harvard University optreedt als beheerder.

DANS ontwikkelt zelf ook aanpassingen en verbeteringen aan de code die via zogenoemde pull requests worden voorgesteld aan de Harvard-community. Na een positieve beoordeling, worden de wijzigingen onderdeel van de applicatiesoftware.

Omdat Dataverse open sourcesoftware is, maakt het gebruik van externe softwarebibliotheken (libraries) die actief worden beheerd door de GitHub-community. De Dataverse-software wordt wereldwijd ingezet door meer dan 120 instellingen. Binnen het Global Dataverse Community Consortium worden kwetsbaarheden en beveiligingsproblemen actief gedeeld en geadresseerd. Zo blijft de software up-to-date en wordt er snel gereageerd op potentiële beveiligingsrisico’s.

Informatiebeveiligingsbeleid

Voor het informatiebeveiligingsbeleid volgt DANS het Beveiligingsbeleid Informatievoorziening Hoger Onderwijs (BIHO), inclusief het volwassenheidsmodel van de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA).

Elke twee jaar voert SURF een externe audit uit, aangevuld met een interne zelf-audit. Deze vormen samen de basis voor continue verbetering van het informatiebeveiligingsbeleid en de bijbehorende processen.

Beheer van de diensten

DANS maakt voor de ontwikkeling en het beheer van de DANS Data Stations en DataverseNL gebruik van een OTAP-straat (Ontwikkeling, Test, Acceptatie, Productie). Ontwikkeling vindt plaats op de werkstations van ontwikkelaars. Alleen de productieserver heeft toegang tot echte onderzoeksdata; andere omgevingen werken uitsluitend met testdata.

De servers zijn eigendom van ICT-Service van de Koninklijke Nederlandse Akademie van Wetenschappen (KNAW). Beheer wordt gezamenlijk uitgevoerd door ICT-Service en de ICT-ondersteuning van DANS. Alle servers bevinden zich in het beveiligde datacenter van Interxion in Amsterdam, gescheiden in netwerksegmenten.

Voor DataverseNL wordt nieuwe of aangepaste code eerst getest op de acceptatieomgeving door lokale beheerders van deelnemende instellingen. Daarnaast is er een demo-omgeving beschikbaar voor test- en trainingsdoeleinden.

Security-updates voor het besturingssysteem en de gebruikte softwarecomponenten (zoals web- en applicatieservers) worden automatisch geïnstalleerd. Alle productiesystemen zijn voorzien van een beveiligingslaag.

Dataopslag

De dataopslag wordt verzorgd via de Object Store van SURFcumulus en vindt plaats op drie fysiek gescheiden locaties in en rondom Amsterdam (6, 8 en 12 km afstand van elkaar).

Omdat de Object Store momenteel nog geen back-upfunctionaliteit biedt, maakt DANS aanvullend gebruik van Microsoft Azure, eveneens onderdeel van SURFcumulus. Voorafgaand aan de opslag worden de back-ups lokaal versleuteld; ook de opslag zelf vindt uitsluitend binnen Nederland plaats.

Netwerkverkeer

Het netwerkverkeer wordt gemonitord door de KNAW en op nationaal niveau door het Nationaal Cyber Security Centrum (NCSC). Daarnaast is DANS aangesloten op de DDoS-beschermingsdiensten van SURFnet.

Het netwerk is gesegmenteerd en beveiligd met een firewall. Productie- en testomgevingen zijn strikt gescheiden.

DANS monitort daarnaast proactief haar infrastructuur op beschikbaarheid, CPU- en geheugengebruik, diskruimte en bandbreedtegebruik.

Gebruikersaccounts

Voor DataverseNL wordt het gebruik van institutionele accounts via SURFconext aanbevolen. Ook is het mogelijk om een lokaal account aan te maken; deze accounts moeten voldoen aan minimale eisen voor wachtwoordsterkte. De deelnemende instellingen zijn zelf verantwoordelijk voor de toekenning van gebruikersrollen. Deze rollen en bijbehorende rechten worden beheerd door de lokale beheerders.

Bij de DANS Data Stations kunnen geen lokale accounts worden aangemaakt. Inloggen is mogelijk via institutionele SURFconext-accounts of via GitHub, Google of ORCID. Alle gebruikers krijgen standaard de rol van DANS contributor, waarmee zij datasets kunnen aanmaken en ter review kunnen aanbieden.

Beheeraccounts

DANS hanteert het principe van “need to know”: alleen medewerkers die toegang nodig hebben, krijgen deze rechten. Toegang tot infrastructuur wordt centraal gelogd; toegang tot data wordt gelogd op applicatieniveau.

Beheerrechten worden toegekend door de ICT-ondersteuning van DANS. Medewerkers loggen in met een persoonsgebonden institutioneel account via SURFconext, ondersteund door two-factor authenticatie. Bij uitdiensttreding wordt het account direct gedeactiveerd.

Voor zowel DataverseNL als de DANS Data Stations is er een beperkte, gecontroleerde groep medewerkers met een superuser-rol. Voor data-curatie is er in de DANS Data Stations ook een aparte datamanager-rol, beheerd door de data-archivarissen van DANS.

Werkstations en laptops van medewerkers zijn beveiligd met encryptie, wachtwoordbeveiliging, automatische updates en antivirussoftware.

Certificering

De technische infrastructuur van de DANS Data Stations en DataverseNL is ondergebracht bij SURF en VANCIS, beide ISO-gecertificeerd.

Meer informatie:

Logging

Wijzigingen aan gepubliceerde datasets worden standaard gelogd door de Dataverse-software. Elke wijziging leidt tot een minor of major versie, waarvan de verschillen publiek zichtbaar zijn via het tabblad ‘Versions’ op de datasetpagina. Daarnaast kan de applicatiebeheerder in de database nagaan welke wijzigingen door welke gebruiker zijn doorgevoerd.

Alleen het logproces heeft schrijfrechten op logbestanden. Systeemlogs worden extern opgeslagen bij ICT-Service (KNAW) en geanalyseerd door het Security Operations Center (SOC) en via Security Information and Event Management (SIEM). Let op: dit geldt op dit moment nog niet voor de logs van de applicatie- en webservers.