Skip to ContentSkip to Navigation
Maatschappij/bedrijvenCentrum voor Informatie TechnologieSecurityGebruiksregels

Gebruiksregels Universitaire Computersystemen

Auteur: Rijksuniversiteit Groningen

Vastgesteld: door het CvB op 29 september 2009

Datum: 2001-heden

Versie: 1.2

Het voorliggende document bevat de algemene gebruiksregels voor Universitaire Computer Systemen van de Rijksuniversiteit Groningen. Het document is ontstaan uit Acceptable Use Policies zoals die voor diverse universiteiten zijn opgesteld. Bij het opstellen van dit document zijn de volgende Acceptable Use Policies geraadpleegd:
   

  • Boston University Information Technology: Conditions of Use and Policy on Computing Ethics,  September 1, 1988;
  • University of California at Los Angeles (UCLA): SEASnet General Information (23 oktober 1990);
  • Oregon State University: Policy on Acceptable use of University Computing Facilities, January 25, 1991;
  • Princeton University: 1992-1993 Guidelines for use of Campus and Network Computing Resources.    

Deze documenten kunnen onder andere bij de security manager van het centrum voor informatietechnologie worden opgevraagd. Met name de acceptable use policy van UCLA vormde de basis voor het voorliggende document.

Dit document bevat de generieke gebruiksregels: voor interne- en externe gebruikers (studenten, personeel, gasten) en systeembeheerders. Voor deze specifieke doelgroepen zijn direct van dit document afgeleide gebruiksregels ontwikkeld.

In dit document wordt de volgende terminologie gebruikt:

  • Computersystemen: bedoeld worden ICT systemen in de ruime zin des woords. Niet alleen computers, maar ook randapparatuur zoals printers of gespecialiseerde systemen zoals routers.
  • Terminal: dient te worden geïnterpreteerd als samenvattende term voor 'ICT werkplek'.

Verantwoordelijkheden van gebruikers

Gebruikers van de Universitaire Computer Systemen dienen zich te realiseren dat zij niet de enige gebruikers van computers zijn. Veel computers zijn multi-user systemen, en voor deze systemen geldt dat de gebruikers ervan lid zijn van een gemeenschap. Als uitgangspunt geldt dan ook dezelfde grondregel die ook in het verkeer geldt: de gebruiker van de Universitaire Computer Systemen mag deze systemen niet in gevaar brengen of andere gebruikers hinderen.

Dit uitgangspunt impliceert onder andere dat het niet is toegestaan ongewenste e-mail te versturen, of toegangsgegevens van andere gebruikers af te vangen of heimelijk te gebruiken, ook niet als dat incidenteel of `voor de grap' wordt gedaan.

Privacy van accounts:

Toegang tot de Universitaire Computer Systemen wordt slechts op individuele basis verleend. Het gebruik van iemand anders' account of toegangsrechten zal tot het uitsluiten van verder gebruik van de computersystemen leiden.

Een ieder die ongeautoriseerd gebruik van een account constateert dient dit direct te melden aan de security manager van het Centrum voor informatietechnologie.

Kopieren van software:

Software die op de Universitaire Computer Systemen beschikbaar wordt gesteld kan op basis van licenties en copyrights en onder de daarbij gestelde voorwaarden worden gebruikt. Software die zich op de Universitaire Computer Systemen bevindt mag niet worden gekopieerd ten behoeve van gebruik op niet-Universitaire Computer Systemen tenzij hiervoor uitdrukkelijk door een terzake bevoegd orgaan of functionaris schriftelijk toestemming is verleend. Omgekeerd is het gebruik van illegaal gekopieerde software op Universitaire Computer Systemen niet toegestaan.

Het gebruik van de Universitaire Computer Systemen:

Het gebruik van de Universitaire Computer Systemen,  inclusief hardware, software, en netwerkvoorzieningen, is slechts toegestaan voor zover dit in overeenstemming met het toegekende account plaatsvindt. Dit gebruik is altijd beperkt tot research of onderwijs. Commercieel gebruik van de Universitaire Computer Systemen is verboden, tenzij daarvoor uitdrukkelijk door een terzake bevoegd orgaan of functionaris schriftelijk toestemming is verleend.

Beveiliging van toegangsgegevens:

Door toegangsgegevens (bijvoorbeeld gebruikersnamen, wachtwoorden (passwords)) te achterhalen kunnen derden zich illegaal toegang verschaffen tot de Universitaire Computer Systemen. Ook in deze situatie blijft de geregistreerde gebruiker van het account verantwoordelijk voor het gebruik of misbruik van de Universitaire Computer Systemen. Om de kans dat onbevoegden toegang krijgen tot uw account
te minimaliseren gelden de volgende richtlijnen:

  • Houd uw toegangsgegevens geheim: geef ze niet door aan vrienden of bekenden.
  • Type geen password in wanneer iemand u `op de vingers' kijkt.
  • Verander uw password zo nu en dan. Over het veranderen van passwords bestaan verschillende meningen: vaak veranderen is niet nodig, maar geen verandering wordt ook afgeraden. Een password dient minimaal jaarlijks te worden gewijzigd.
  • Gebruik geen persoonlijke gegevens van uzelf, van vrienden of familieleden.
  • Gebruik geen bestaande woorden of afkortingen (zoals rcrug of ppsw).
  • Maak (ook) gebruik van kleine- en hoofdletters, van cijfers en leestekens in uw password.
  • Een paar voorbeelden van moeilijk te raden, maar goed te onthouden passwords (tot nu toe dan, want nu staan ze in dit document):            
               o  WvNb1vdB ``Wilhelmus van Nassaue ben 1k van duitsen Bloed'.
               o  b1VidH.  `beter 1 Vogel in de Hand .'          

Rapporteer gaten in de beveiliging:

Alle multi-user systemen hebben zwakke punten in hun beveiliging. Mocht u een zwak punt in een systeem constateren, dan dient u dit te rapporteren aan de security manager. Het is niet toegestaan gebruik (c.q. misbruik) te maken van een geconstateerd lek in de beveiliging van een computersysteem. Door geconstateerde problemen door te geven aan de security manager helpt u actief mee aan de optimalisatie van  de gebruikszekerheid van de Universitaire Computer Systemen, en ontstaan er geen interpretatieproblemen (is er sprake van intellectuele nieuwsgierigheid of van bewust misbruik?).


Het gebruik van spelletjes:

Op verschillende Universitaire Computer Systemen zijn spelletjes geinstalleerd. Maak er op verantwoorde wijze gebruik van. Wanneer u constateert dat anderen op toegang tot een terminal wachten, dan is het niet erg vriendelijk om uw terminal te blijven gebruiken ten behoeve van uw spel. Beeindig dan op eigen initiatief uw sessie, en laat anderen van uw
terminal gebruik maken. Voorkom dat  een wachtende gebruiker u moet vragen uw sessie te beeindigen.

Misbruik van faciliteiten en privileges

 
Misbruik van faciliteiten en privileges wordt geillustreerd door, maar is niet beperkt tot, de volgende voorbeelden. Van gebruikers van de Universitaire Computer Systemen wordt verwacht dat zij misbruik naar de geest, en niet slechts naar de letter van deze gebruiksregels voorkomen en tegengaan.

Het is niet toegestaan:    

  • computer-apparatuur en software zonder toestemming te modificeren of te verwijderen van de plaatsen waar deze apparatuur is opgesteld of waar deze software is geinstalleerd.
  • universitaire computers, de daarin opgeslagen software en gegevens en het universitaire computernetwerk te gebruiken zonder toestemming vooraf van de rechthebbende van deze systemen of van de voor deze systemen
    verantwoordelijke dienst;
  • e-mail berichten te versturen op naam van een andere gebruiker, of zonder toestemming e-mail berichten van andere gebruikers te lezen of verder te verspreiden;
  • IP-adressen of andere identificatiegegevens van gebruikte computersystemen te wijzigen (bijvoorbeeld door middel van spoofing).
  • software licenties of copyright licenties die van toepassing zijn op de software en data die in de Universitaire Computer Systemen zijn geinstalleerd te overtreden.
  • andere gebruikers van de Universitaire Computer Systemen lastig te vallen of in hun werkzaamheden te belemmeren;
  • zonder toestemming van de rechthebbende van software of gegevens zich tot deze informatie toegang te verschaffen of te verspreiden.
  • het gebruik van de Universitaire Computer Systemen te bemoeilijken of onmogelijk te maken door extreem grote hoeveelheden e-mail te versturen, hetzij naar lokale bestemmingen, hetzij naar bestemmingen buiten de universiteit. Evenzo is het misbruik van (rand)apparatuur (bijvoorbeeld het printen van extreem grote hoeveelheden informatie, het opslaan van extreem grote hoeveelheden informatie, het executeren (gebruiken) van onnodig inefficiente programma's) niet toegestaan;
  • informatie, ongeacht de vorm waarin deze is opgeslagen, waarvan de universiteit rechthebbende is zonder schriftelijke toestemming van de rechthebbende openbaar te maken of verder te verspreiden;
  • gebruik makend van de Universitaire Computer Systemen obsceen, agressief, discriminerend of bedreigend materiaal te verspreiden, dan wel beschikbaar te maken.

Indien er duidelijke indicaties zijn dat een gebruiker misbruik maakt van zijn/haar account, dan kan het systeembeheer opdracht worden gegeven om inhoudelijke controles uit te voeren op wijze waarop een gebruiker gebruik maakt van zijn/haar account (zie ook de sectie `Verantwoordelijkheden van het systeembeheer', hieronder).

Verantwoordelijkheden van systeembeheerders

Systeembeheerders hebben in beginsel dezelfde rechten en plichten als overige gebruikers van de Universitaire Computer Systemen. Maar de bijzondere positie van de systeembeheerders maakt dat deze gebruikers extra verantwoordelijkheden hebben:

  • Het is de taak van de systeembeheerders ervoor te zorgen dat gebruikers van de beheerde systemen toegang hebben tot de software en hardware die deze gebruikers nodig hebben voor hun universitaire werkzaamheden, voor zover het tot het domein van de beheerde systemen moet worden gerekend (zo zal op een willekeurige computer niet noodzakelijk een webserver zijn geinstalleerd, wanneer daar speciale computers voor zijn aangewezen).
  • De systeembeheerder is verantwoordelijk voor de beveiliging van het beheerde systeem en zorgt daarbij, in overleg met de security manager, voor installatie en onderhoud van daartoe beschikbare software.
  • Ten behoeve van het handhaven van de integriteit van het RUGnet wordt in- en uitgaand netwerkverkeer continu aan onderzoek onderworpen. Hierbij vindt automatische registratie van het netwerkverkeer plaats.
  • De ten behoeve van genoemd integriteitsonderzoek verzamelde informatie wordt afhankelijk van de aard van de informatie na maximaal zes maanden vernietigd. Een uitzondering wordt gemaakt voor informatie die de RUG
    langer dient te bewaren op grond van wettelijke verplichtingen. Daarbij worden de wettelijke minima gehanteerd.
  • Analyse van de inhoud van het netwerkverkeer wordt eveneens automatisch uitgevoerd en richt zich op de aanwezigheid van malware zoals virussen, trojaanse paarden en wormen.
  • Met uitzondering van de hieronder beschreven exceptionele situatie (misbruik van een account) zullen systeembeheerders zelf geen inhoudelijke analyse van de informatie binnen het RUGnet uitvoeren.
  • De systeembeheerder behandelt informatie over het beheerde systeem en de in het systeem opgeslagen informatie als vertrouwelijk.
  • In bijzondere situaties kan de systeembeheerder worden opgedragen specifieke informatie (bestanden, programma's) aan een nader onderzoek te onderwerpen om zo geconstateerde problemen op te kunnen lossen. Hiertoe kan worden gerekend het uitvoeren van security scans. Dergelijke scans worden alleen na een authenticeerbare opdracht of verzoek van de desbetreffende beheerseenheid of gebruiker van de te scannen computers uitgevoerd.

In gevallen waarin er duidelijke indicaties zijn dat een gebruiker misbruik maakt van zijn/haar account kan het systeembeheer de opdracht worden gegeven inhoudelijke controles uit te voeren op de wijze waarop deze gebruiker gebruik maakt van zijn/haar account. Voordat over wordt gegaan op dergelijke inhoudelijke controles dient aan de volgende voorwaarden te zijn voldaan:

  • Er dient een controleerbare indicatie te zijn dat er sprake is van misbruik. Bijvoorbeeld een klacht van een bekend CSIRT-team, of een klacht die de RUG langs de normale juridische kanalen heeft bereikt.  
  • Er moet een geauthenticeerde opdracht tot het uitvoeren van een inhoudelijke controle zijn gegeven door zowel het hoofd ABJZ als de directie van het Centrum voor informatietechnologie. Een geauthenticeerde opdracht is ofwel een schriftelijke opdracht voorzien van handtekening, of een authenticeerbare opdracht in elektronische vorm (bijvoorbeeld een GPG gesigneerde e-mail).

Consequenties van misbruik van universitaire computersystemen


Misbruik van Universitaire Computer Systemen kan leiden tot disciplinaire maatregelen.

Indien er sterke aanwijzingen bestaan dat er misbruik van de Universitaire Computer Systemen plaatsvindt
of heeft plaatsgevonden, waarbij deze aanwijzingen in de richting van een universitaire gebruiker wijzen, dan dient minstens een van de volgende stappen te worden ondernomen om de veiligheid en integriteit van de Universitaire Computer Systemen te waarborgen:

  • Het (faculteits) bestuur of de directie van de dienst onder wiens verantwoordelijkheid de universitaire gebruiker valt wordt van de situatie op de hoogte gesteld.
  • De toegangsrechten van de universitaire gebruiker kunnen gedurende het onderzoek worden opgeschort of beperkt. Tegen deze opschorting of beperking kan de gebruiker bij de voorzitter van diens beheerseenheid bezwaar aantekenen.
  • Bestanden, diskettes en andere informatiedragers van de betreffende gebruiker worden geinspecteerd.
  • Het (vermoeden van) misbruik wordt onder de aandacht gebracht van het College van Bestuur en het bestuur van de faculteit of directeur van de dienst waartoe de universitaire medewerker behoort.

Aan deze gebruiksregels gerelateerde artikelen

  • Artikel 7.57 h WHW (artikel 7.57a (oud) WHW),
  • Huisregels en Ordemaatregelen Rijksuniversiteit Groningen.

Laatst gewijzigd:15 juni 2016 15:19
printOok beschikbaar in het: English