De vijf meest gestelde vragen (én antwoorden) over SURFcert

Wie of wat is SURFcert?

SURFcert is de naam van het cybersecurity incident response team voor alle instellingen die zijn aangesloten bij SURF. We geven advies, waarschuwen voor dreigingen en coördineren incidenten en kwetsbaarheden binnen de onderwijs- en onderzoeksector. Het team van SURFcert bestaat uit tien personen, van wie er vijf bij SURF werken en vijf bij aangesloten instellingen van SURF. Ons team wordt dus niet alleen voor, maar ook door de leden van SURF gevormd.

Waarmee helpt SURFcert jouw instelling?

We staan voor je klaar bij crises of incidenten. Wordt je instelling aangevallen? Dan kun je ons 24/7 bellen voor directe hulp en advies. Een DDoS-aanval bestrijden we direct met onze wasstraat in het SURF-netwerk, waar we ongewenst verkeer kunnen wegfilteren. Daarnaast waarschuwen we je instelling voor kwetsbaarheden die we detecteren en delen we informatie en analyses over actuele bedreigingen. Ook organiseren we trainingen over het opzetten en runnen van goede incident response.

Als coördinerend Computer Emercency Response Team (CERT) voor de hele sector behouden we het overzicht over wat er speelt op het gebied van cybersecurity. We onderzoeken of bijvoorbeeld indicators of compromise die bij de ene instelling zijn waargenomen, ook bij andere instellingen voorkomen. We delen deze indicators met de instellingen via MISP, waardoor de coöperatie als geheel sterker wordt dan de som der delen.

Wat is de relatie tussen SURFcert, het NCSC en Z-CERT?

Het Nationaal Cyber Security Centrum (NCSC) is het computercrisisteam dat zich richt op de rijksoverheid en de vitale sector, en dus niet op onderwijs en onderzoek. Voor onze sector heeft SURFcert die coördinerende rol en daarom  zijn we door de minister aangewezen als sectoraal CERT onder de wet Wbni. SURFcert onderhoudt namens de SURF-leden nauw contact met het NCSC en andere certs in het Landelijk Dekkend Stelsel. Natuurlijk volgen we ook de ontwikkelingen rondom NIS2 op de voet, al is de precieze impact binnen onze sector nog onduidelijk.

Omdat SURFcert onderdeel is van SURF, dat ook internet- en andere diensten levert aan de leden, bevinden we ons in een uitzonderlijk goede positie om de instellingen te helpen. We kunnen goed observeren wat waar speelt en proactief optreden.

SURFcert heeft veel kennis ontwikkeld over het specifieke landschap en dreigingsbeeld in de onderwijs- en onderzoeksector. Deze kennis vertalen we naar specifieke adviezen en acties voor de SURF-leden. We staan in nauw contact met andere CERTs, zoals Z-CERT voor de zorgsector (waaronder academische ziekenhuizen), School-CERT voor het funderend onderwijs en verschillende CERTs uit andere sectoren, zowel nationaal als internationaal via GÉANT en FIRST.

Met wie communiceert SURFcert binnen mijn instelling?

Voor meldingen aan je instelling nemen we contact op met het Security Entry Point dat je hebt geregistreerd in SURFdashboard. Dit kan een loket zijn zoals het lokale CSIRT. Heb je geen Security Entry Point geregistreerd, of moeten we iemand persoonlijk bereiken, dan nemen we contact op met de Site Security Contact, een persoon binnen elke instelling die beslissingen neemt op het gebied van cybersecurity. Het is dus van groot belang dat de contactgegevens van deze afdelingen of personen actueel zijn. 

Naast een-op-een contact delen we veel informatie in de community voor operationele security-experts van de SURF-instellingen: SCIRT. Elke instelling kan hiervoor leden voordragen. Binnen SCIRT wisselen instellingen en SURFcert in vertrouwen ervaringen, analyses en indicatoren uit. Bij grote incidenten en crises informeren we ook altijd SCIPR, de community van beleidsmatige securityprofessionals.

Wat is het verschil tussen SURFcert en SURFsoc?

SURFcert valt onder de basisdienstverlening van SURF en is kosteloos beschikbaar voor alle instellingen. SURFsoc is een additionele dienst die je kunt afnemen en biedt geavanceerde detectie van incidenten binnen je instellingsnetwerk. Als je SURFsoc afneemt, krijg je 24/7 meldingen van gedetecteerde security issues in de logbronnen die je aanbiedt, die je vervolgens zelf binnen je instelling opvolgt.

Er zijn nauwe banden tussen SURFcert en SURFsoc. Als SURFsoc een succesvolle aanval detecteert, wordt ook altijd SURFcert ingeschakeld om hulp en advies te  bieden, en te bepalen of de kenmerken van de aanval ook relevant zijn voor andere instellingen. SURFsoc gebruikt door SURFcert aangeleverde indicators of compromise voor detectie.