Informatiebeveiliging

Vraag/ Antwoord
Q Beleid – Informatiebeveiligingsbeleid: Welk informatiebeveiligingsbeleid is van toepassing?
A De KNAW volgt voor het beveiligingsbeleid de richtlijnen van de BIHO (baseline informatiebeveiliging hoger onderwijs).
Q ISO 27001 – Zijn DANS en haar subprocessors ISO27001 gecertificeerd?
A DANS is zelf niet ISO gecertificeerd.
Q ISO 27001 – Zijn subprocessors (datacenter voor infrastructure) ISO27001 gecertificeerd?
A De data-opslag voor DANS Producten end Diensten wordt afgenomen via Surf-Cumulus (SURFnet) bij Vancis CM&S. De data en back-up van de data staan in Interxion datacenter op hardware van Vancis CM&S in Amsterdam en Schiphol-Rijk. Vancis CM&S is ISO27001 en Nen7510 gecertificeerd
Q ISO 27001 – Hoe monitort / toetst DANS de security- maatregelen bij subprocessors?
A Momenteel worden de subprocessors niet door DANS gemonitord op hun security-maatregelen. Er is wel project (KNAW-breed) gestart om dit op te pakken. Implementatie hiervan start in Q2 2022.
Q Toegang – Hebben medewerkers van DANS en/of subprocessors toegang tot gearchiveerde data?
A Er is binnen DANS een beperkt aantal personen, de functioneel beheerder, de applicatiebeheerder en de vervangers die Superuser (Admin) rechten hebben binnen de applicatie of dienst. Verder zijn er systeembeheerders die toegang tot de servers en alle bestanden daarop hebben. Deze personen kunnen in principe bij de data, maar zij kunnen de backup niet deleten. Zij hebben, zoals alle werknemers bij DANS een geheimhoudingsverklaring getekend.
DANS heeft via de KNAW een SLA met VANCIS CM&S, beveiligingsmaatregelen zijn onderdeel hiervan en beschikbaar op aanvraag.
Q Toegang – Welke afspraken worden daarover gemaakt met de (DANS) medewerkers en wordt toegang tot data en infrastructuur gelogd?
A Alle werknemers bij DANS hebben een geheimhoudingsverklaring ondertekend. Toegang tot de infrastructuur wordt (centraal) gelogd. Toegang tot data wordt vanuit die toepaslike applicatie of dienst gelogd.
Q Toegankelijkheid – Is Dataverse WCAG compliant?
Tot welk niveau?
A Er is de laatste jaren door Harvard hard gewerkt aan WCAG compliance, en de meeste punten zijn opgelost. Maar de UI is nog niet helemaal WCAG 2.1 compliant. Onlangs is er weer een initiatief gestart om dit op te pakken.
Q CoreTrustSeal – Is DataverseNL CoreTrustSeal gecertificeerd?
A DataverseNL is als dienst zelf niet gecertificeerd omdat CoreTrustSeal nooit alleen de ‘repository-software’ op zich certificeert. Ook de werkprocessen, governance and sustainability er om heen moeten gecertificeerd worden. Dus een CoreTrustSeal moet aangevraagd worden door het instituut dat gebruikmaakt van DataverseNL. De Universiteit van Tilburg heeft bijvoorbeeld haar dataverse binnen DataverseNL wel gecertificeerd. Als een instituut zelf een CoreTrustSeal willen aanvragen voor jullie dataverse binnen DataverseNL, is DANS natuurlijk altijd bereid jullie daarbij behulpzaam te zijn.
Q CoreTrustSeal – Is EASY CoreTrustSeal gecertificeerd?
A Ja wel, en eind 2021 opnieuw gecertificeerd voor nog eens drie jaar
Q CoreTrustSeal – Is de Data Stations CoreTrustSeal gecertificeerd?
A Certificering is niet mogelijk voordat de Data Station operationeel is. Certificering word opgepak Q3 2022
Q CoreTrustSeal – Is de Vault Service CoreTrustSeal gecertificeerd?
A De Vault Service is als dienst zelf niet gecertificeerd omdat CoreTrustSeal nooit alleen de ‘repository-software’ op zich certificeert. Ook de werkprocessen, governance and sustainability er om heen moeten gecertificeerd worden. Dus een CoreTrustSeal moet aangevraagd worden door het instituut dat gebruikmaakt van de Vault Service.
Q Encryptie – Is de data at-rest (op de server) ge-encrypt?
A De operationele versie van de data is niet ge-encrypt. De back-up kopie wel. Deze situatie zal in de nabije toekomst veranderen met de overgang naar object storage bij SURF. Wanneer dit gerealiseerd is, zullen we die dokumentatie op de hoogte brengen van de nieuwe situatie.
Q Test – Wordt er periodiek een security test uitgevoerd op DANS Diensten en Applicaties?
A DANS monitort voortdurend beveiligingsadviezen en informatie over kwetsbaarheden, en update en patcht op basis hiervan de software regelmatig. In geval van een ernstige dreiging wordt dit meteen uitgevoerd.

Penetration test zijn in het verleden adhoc uitgevoerd.
Momenteel zijn we in discussie met KNAW en SURF om deze penetration tests en dreigingsbewaking op een continue basis uit te voeren. Er is een bedrijf ingeschakeld om ons te helpen bij dit proces.

Q Test – Wordt instituten hierover geïnformeerd?
A Niet op deze moment. Instituten en gebruikers worden wel geïnformeerd bij een incident.
Q Beveiliging – Is DANS applicaties en diensten beschermd tegen malware/ DDoS en worden onregelmatige gebruikspatronen gedetecteerd, b.v. als er opeens heel veel accounts worden aangemaakt?
A Het netwerkverkeer wordt bewaakt door KNAW en binnenkort ook door een externe partij op nationaal niveau. We maken ook gebruik van de DDoS bescherming van SURFnet. DANS implementeert momenteel ook hardware beschermingsmaatregelen.
Q Beveiliging – Of als er uitzonderlijk veel data wordt geupload?
A Niet op deze moment.
Q Beveiliging – Wordt toegang geblokkeerd na een bepaald aantal inlogpogingen?
A Ja.
Q Beveiliging – Is er een sterk wachtwoordbeleid voor user accounts?
A Er wordt geadviseerd om gebruik te maken van SURFconext.
Daarnaast bestaat de mogelijkheid om lokale user account aan te maken. Passwords moeten voldoen aan minimum vereistes voor sterkte.
Q Integriteit/ Continuïteit – Worden updates/nieuwe versies van Dataverse eerst getest in een test of acceptatieomgeving?
A Dataverse is open source software en wordt gebruikt door meer dan 67 instanties. Nieuwe versie van de software worden uitgebreid getest door deze Dataverse community.
DANS maakt voor de installatie van DataverseNL en de Data Stations gebruik van een OTAP-straat. Voor een release wordt de nieuwe versie getest op de Acceptatie server door de Functioneel Beheerders en lokale beheerders van de instellingen voor DataverseNL.
Q Integriteit/ Continuïteit – Bevat backup ook draft datasets?
A De back-ups worden dagelijks (elke avond) gedraaid.
De backup bevat ook draft datasets, alleen drafts die gedurende dezelfde dag worden aangemaakt en verwijderd, zitten niet in de backup.
Q Backup – Kan een instituut aanspraak maken op een backup in het geval van user fouten, b.v. als gebruiker per ongeluk een draft dataset verwijderd?
A Per ongeluk een draft deleten gaat niet zo makkelijk. Om een draft te deleten, moet je bewust naar de delete-knop gaan, vervolgens ook nog eens bevestigen met de melding dat de dataset ook echt verwijderd wordt.
Gebruikmaken van de backup in geval van user fouten is niet eenvoudig omdat het een gezamenlijke dienst is. Als we een vorige versie moeten terugzetten zijn de toevoegingen in de metadata van datasets na de laatste backup van andere instituten ook verdwenen. Eventueel is met een (te ontwikkelen) script het wel mogelijk om specifiek terug te gaan naar een vorige versie van de database. Data-files zijn eventueel ook uit de backup terug te halen, maar de data-files zullen in bijna alle gevallen ook nog op andere storage van de gebruiker staan.
Het is dus maar de vraag of je zo veel werk wilt verrichten, voor het repareren van een fout van een gebruiker, terwijl het materiaal ook op andere plaatsen beschikbaar is. In ieder geval hoort dit niet tot de basisdienstverlening van DataverseNL, EASY, en de Data Stations.
Gepubliceerde datasets zijn niet te verwijderen, maar worden op deaccessioned gezet, en er wordt een tombstone geplaatst om aan te geven waarom de dataset is verwijderd en waar mogelijk de data nu te vinden zijn. In uitzonderlijke gevallen zijn de data-files wel te verwijderen. Let op: DANS neemt de dataset alleen in bewaring wanneer deze voor publicatie is ingediend, niet in draft vorm.
Q Versies – Heeft DANS/DataverseNL log bestanden waarin toegang en mutaties aan datasets worden bijgehouden?
A Mutaties aan gepubliceerde datasets worden door Dataverse altijd gelogd. Veranderingen worden verwerkt in zogenaamde minor- en major versies. De verschillen tussen de versie zijn ook voor iedereen in te zien, op de dataset pagina.
Daarnaast kan in de database door de applicatiebeheerder worden teruggezocht welke veranderingen door welke user zijn uitgevoerd.
Q Logs – Kan VU als onderdeel van een audit of n.a.v. een incident inzage krijgen in het voor de VU relevante deel van de logfile?
A Ja. Maar DANS zal er hierbij voor zorgen dat de privacy van gebruikers gewaarborgd blijft. Dit betekent dat usernames en IP-adressen geanonimiseerd zullen worden.
Logfiles blijven niet voor altijd beschikbaar. Systeem logs en webserver logs worden standaard maandelijks geroteerd voor de retentietijd van 3 maanden.
Mutaties worden als ‘actie’ gelogd in een databasetabel met een timestamp.
Q Rollen – Kan het volledig verwijderen van een dataset alleen op verzoek van de instituut of de deposant?
A Gepubliceerde datasets zijn niet te verwijderen, maar worden op ‘deaccessioned’ gezet, en er wordt een tombstone geplaatst om aan te geven waarom de dataset is verwijderd en waar mogelijk de data nu te vinden zijn .
Het op ‘deaccesioned’ zetten van een dataset kan uitgevoerd worden door de persoon met de admin-rol of curator-rol voor de betreffende dataset. Het is aan de VU zelf aan wie deze rechten worden toegekend.
Q Rollen – Is er een duidelijk omschreven proces voor dit soort verzoeken (ook om social engineering e.d. te voorkomen)?
A Ja. Een verzoek word behandelt via ticket-systeem. Totale verwijdering van een dataset worden op verzoek behandelt.
Q Proces – Als wordt vastgesteld dat een gebruiker of organisatie zich niet houdt aan de Terms of Use voorwaarden in art. 6, mogelijk resulterend in terminatie (art. 8), volgt dan dezelfde procedure als in Samenwerkingsovereenkomst art. 10?
A Als er om wat voor reden dan ook wordt besloten om de samenwerking stop te zetten, zal in goed overleg gekeken worden hoe er verder met de datasets moet worden omgegaan. Daarbij inachtneming van het feit dat een gepubliceerde dataset een DOI heeft, en dat deze DOI altijd resolvable moet blijven. Hier is artikel 14 van de Samenwerkingsovereenkomst van toepassing ‘Procedure verwijderen datasets bij beëindiging overeenkomst’.
Er is een termijn van 3 maanden waarin ongepubliceerde datasets door de instituut verwijderd of gepubliceerd kunnen worden. Alle gepubliceerde datasets worden na deze termijn op ‘deaccessioned’ gezet, en op de tombstone van een gepubliceerde dataset kan worden beschreven waarom de dataset niet meer beschikbaar is en waar deze mogelijk wel vindbaar is.
Q Proces – Is het mogelijk om bij het toekennen van rechten (“assign roles to users/groups”) ook het emailadres van de gebruiker te laten zien?
A Nu zijn alleen voor/achternaam en usernaam zichtbaar.
Q Rollen – Welke rol kan de deaccession functie uitvoeren?
A Dit kan de Admin rol en de curator rol, dus de personen die de dataset mogen publiceren mogen deze ook op deaccessioned zetten. Het is de bedoeling dat per instituut slechts een beperkt aantal mensen deze rol krijgt. Maar het is aan het instituut zelf hoe dit ingericht wordt.
Q Rollen – Een curator kan zo te zien de curator rol aan een andere gebruiker toewijzen (maar alleen voor specifieke datasets?).
A Ja, dit is mogelijk. Van belang hierbij is wel dat de rollen en rechten van een dataverse door de dataset die in deze dataverse is aangemaakt, worden geërfd. Een admin van een dataverse is ook admin van de onderliggende dataset. Voor de curator-rol maakt het uit of deze toegekend wordt op dataset-niveau of op dataverse-niveau. Een curator van een dataverse kan bijvoorbeeld weer sub-dataverses aanmaken, en ongepubliceerde datasets inzien in de betreffende dataverse. Bij toekenning van deze rol op dataset-niveau zijn deze rechten er niet.
Q Rollen – Kan alleen de instituut admin een extra curator voor een hele (sub)dataverse aanwijzen?
A Overerving van rollen en permissies gebeurt niet van dataverse op subdataverse. Een admin van een dataverse heeft daarom niet altijd admin-rechten op de subdataverse eronder. (Tenzij deze admin de betreffende subdataverse zelf heeft aangemaakt.)
De curator kan een andere user curator van zijn/haar dataset maken.
Q Rollen – Klopt het dat een Dataset Creator automatisch ook rechten krijgt zoals genoemd bij Contributor (hij kan zijn eigen dataset draft bewerken)?
A Dataset creator is een rol op dataverse niveau en regelt dat iemand datasets in een dataverse mag aanmaken. Bij de instituut zijn deze mensen dan automatisch Curator (rol op dataset niveau). Waarbij men de eigen dataset kan bewerken en publiceren.
Een contributor kan niet zelf datasets publiceren.