Samenvatting
2023 is het eerste jaar dat Basisbeveiliging onderdeel is van overheidsbeleid. Hierdoor is het project verder geformaliseerd met o.a. een code of conduct. Formalisering van de stichting is eind 2023 in gang gezet met o.a. een nieuwe bestuurder.
Het aantal meetpunten is dit jaar met meer dan 10 toegenomen. Mede dankzij nieuwe metingen van projecten als internet.nl, nmap en Nuclei. Ook hebben we zelf een aantal metingen ontwikkeld of aangescherpt. O.a. met dank aan SIDN en RIPE voor het gebruik van data hiervoor.
De twee invloedrijkste metingen van 2023 waren: login portals (Login Plaza / phpMyAdmin) en het gebrek van juiste HTTPS bij de overheid (Wet Digitale Overheid).
Privacy is een van de nieuwe onderwerpen geworden van de metingen dit jaar. We meten o.a. de locatie van servers en hoe men omgaat met volgcookies. Deze metingen haken in op het doel van MinBZK: een burger moet onbespied een website van de overheid kunnen bezoeken.
Er zijn vijf nieuwe kaarten toegevoegd: één voor ieder van de drie bijzondere gemeenten (BES eilanden, openbare lichamen), een kaart met politieke partijen en eentje met cybersecuritybedrijven. Die laatste is ook aangekondigd door branchevereniging Cyberveilig Nederland aan haar leden. We meten nu ook onszelf.
Qua community heeft de stichting nu een Discord server waardoor onze bereikbaarheid verder is toegenomen. Hierop werd tweewekelijks een meeting georganiseerd maar deze moet opnieuw worden ontwikkeld om het interessant te houden. Er zijn 3 fysieke pizza sessies gehouden bij hackerspace Hackalot in Eindhoven, deze blijven onverminderd succesvol.
Er zijn diverse uitingen gedaan over het project door derden. Onder andere heeft het CIP de actuele meting per organisatie meegenomen in haar halfjaarlijkse signalering naar overheden. Er is een aantal keer over resultaten geschreven door binnenlands bestuur en digitale overheid.
De stichting heeft ±15 deelnemers weten te vinden die het project een warm hart toedragen. Ook heeft de stichting haar eerste betaalde onderzoek mogen uitvoeren. Het CIP verstrekt een subsidie voor het project. Ook dank aan onze sponsor CoBytes voor hosting en ondersteuning!
Voor basisbeveiliging en de Internet Cleanup Foundation was dit een geweldig jaar. We bedanken graag iedereen die het project heeft gesteund. Ook dank aan de vele bezoekers/gebruikers van de site: zij hebben een enorme hoeveelheid beveiligingsproblemen opgelost. Dat is waar we het voor doen: een veiliger Nederland.
Fijne dagen en een veilig en gezond 2024 gewenst!
Onderdeel van overheidsbeleid en formalisering project en stichting
Basisbeveiliging is eind 2022 onderdeel geworden van het Actieplan Nederlandse Cybersecuritystrategie van de NCTV en de werkagenda Waardengedreven Digitaliseren van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Onze partner bij de overheid is het Centrum voor Informatiebeveiliging en Privacybescherming.
Dat is een grote eer, wat ook vereist dat we als project en stichting verder professionaliseren. Daarin zijn in 2023 een aantal stappen gezet. Een van de belangrijkste is onze code of conduct: hierin staat binnen welke ethische grenzen we handelen.
Daarnaast hebben we een aantal stukken geschreven die transparant maken hoe we werken. Bijvoorbeeld is er nu een meetbeleid waarin staat wat gemeten wordt, hierop kennen we ook een aantal uitzonderingen. Een publicatiebeleid waarin staat wat we publiceren en welke afwegingen worden gemaakt. De stichting heeft nu ook een disclaimer. Voor organisaties die op een nieuwe kaart worden geplaatst vatten we deze stukken samen in een how-to.
De geformaliseerde werkwijze heeft er ook voor gezorgd dat er dit jaar duizenden e-mails zijn verstuurd rondom aankondigingen van nieuwe metingen en organisaties die binnenkort op de kaart staan. Zo kunnen zij zich voorbereiden op wat gaat komen.
Het jaar samengevat in Cijfers
- Website
- 13 nieuwe publieke meetpunten, nog 3 aangekondigd
- 5 nieuwe kaarten
- ±5.000 bezoeken per maand (baseline, zonder acties)
- Talloze nieuwe features
- Community
- 82 mensen in onze Discord server
- 3 pizza sessies
- 5 brieven met stickers voor de sticker swap
- Communicatie
- 30 blogposts
- 160.000 impressies op linkedin
- 11 artikelen/referenties door derden
- 350 organisaties bereikt via CIP Signalering
- 3 lezingen gegeven
- Helpdesk
- >250 verklaringen
- >70 “working on it” mailtjes
- Merch / Ontwerpen
- 2 stickers (phpMyAdmin en Niet Veilig)
- 1 cyber penning (ONE Conference)
- 2 dibond borden (phpMyAdmin en Niet Veilig)
Bezoekersstatistieken
Sinds eind december wordt er gebruik gemaakt van Matomo, een on-premise statistiekplatform. Hierdoor wordt het duidelijk welke delen van de site populair zijn en welke niet. Op basis van deze gegevens wordt de site in 2024 verder geoptimaliseerd. Op basis van een extrapolatie van doordeweekse bezoeken wordt de site ±5000 keer per maand bezocht: daarbij hebben we nog geen beeld hoeveel effect acties en aankondigingen hebben.
Nieuwe domeinen
Gemeten op 7 december
| Nieuwe domeinen | |
| Kaart / Totaal | 22988 |
| Overheid | 9522 (+25%) |
| Cybersecuritybedrijven | 4490 (nieuwe kaart) |
| Politieke partijen | 3469 (nieuwe kaart) |
| Gemeenten | 3050 (+10%) |
| Zorg | 2229 (+9%) |
| Provincies | 128 (+9%) |
| Waterschappen | 59 (+4%) |
| Veiligheidsregios | 41 (+4%) |
Nieuwe kaarten / doelgroepen
Kaart Cybersecuritybedrijven
1 december is er een kaart toegevoegd met de veiligheid van cybersecuritybedrijven. We vonden dat deze in 20 van de 23 metingen slechter scoren dan de overheid. De bedrijven zijn bezig met het verhogen van hun eigen baseline en het aantal organisaties dat groen scoort is in een week na lancering gegroeid van 3 naar 6: nog 124 te gaan.
Kaart Politieke partijen
De andere nieuwe doelgroep is de landelijke politiek. We vonden dat geen van de partijen voldoende scoorde. Er zijn 70 partijen gemeten, dit is later teruggebracht naar 26 die meededen aan de Tweede Kamerverkiezingen. Geen van de partijen scoorde voldoende. De initiële top 3 onveiligste partijen bestond uit Bij1, VVD en de Piratenpartij. In de aanloop van de verkiezingen lostte 7 politieke partijen bevindingen op en zijn een stuk veiliger geworden. Dit waren de Piratenpartij, SGP, PvdD, 50+, Volt, CU en BBB. 116 hoge en 488 midden risico’s werden opgelost. De top 3 onveiligste partijen tijdens de verkiezingen waren Bij1, VVD en D66.
Kaarten bijzondere gemeenten
De kaarten van Bonaire, St Eustatius en Saba staan nog in de beginfase en bevatten op dit moment nog maar 1 organisatie per stuk. De bedoeling is om in 2024 de rest van de overheden en andere relevante publieke dienstverlening op deze eilanden (mits aanwezig) toe te voegen. Daarbij moet nog worden uitgezocht of hiervoor nog speciale uitzonderingen moeten worden gemaakt.
Nieuwe metingen
In 2023 zijn er 13 nieuwe meetpunten gepubliceerd. Er zijn nog 3 meetpunten vooraangekondigd die nog niet zijn gepubliceerd.
Januari
Er wordt gecontroleerd op versienummers. Omdat versienummers alleen bruikbaar zijn voor aanvallers dienen deze niet gepubliceerd te worden. Lees verder.
Februari
De metingen over RPKI en Security.txt van internet.nl zijn toegevoegd. In de plaatjes hieronder zie je de adoptie van security.txt bij Nederlandse gemeenten. Links Mei 2023 met 32 organisaties. Rechts November 2023 met 179 gemeenten die dit gebruiken. Lees verder.
Maart
Er zijn metingen toegevoegd over website headers en login portals. We vonden dat er meer dan 300 phpMyAdmin installaties open stonden op sites van de overheid. Dit aantal hoort 0 te zijn. Lees verder.
April
Privacymetingen zijn toegevoegd. Er wordt gekeken of een bezoek aan een website gedeeld wordt met 3e partijen. Wanneer dit een van de grote marketingsbedrijven is wordt dit als onvoldoende gemarkeerd.
Mei
Er wordt gemeten op eigenaarschap van domeinen. Met toestemming van het SIDN wordt automatisch gekeken of de “registrar” staat op de juiste organisatie. We vonden dat 8% van de domeinen niet herleidbaar is naar de overheid. Lees verder.
Juli
De Wet Digitale Overheid is ingegaan. Dit vereist dat websites van de overheid alleen bereikbaar zijn via een versleutelde verbinding, en dat deze versleuteling wordt afgedwongen met een HSTS header. We vonden dat 33% van de overheidsdomeinen niet voldeed aan deze eisen bij de ingang van deze wet. Lees verder.
Augustus
We hebben gemeten waar e-mail servers en webservers worden gehost. We vonden dat 3% van de webservers in de VS staat, en 10% van de mailservers. Daardoor wordt er veel verkeer gedeeld met een gebied waar andere wetten gelden. Er zijn drie pogingen gedaan om dat te legaliseren, grote kans dat het weer opnieuw illegaal wordt. Lees verder.
Ook is in augustus onderzoek gedaan naar het gebruik van Google Analytics bij de overheid. We vonden dat 23% van de installaties gegevens lekt naar Google Ads: dit is verboden zonder toestemming. Lees verder.
November
Er wordt gemeten hoeveel verboden tracking cookies worden geplaatst op sites van de overheid en andere gemeten doelgroepen. We vonden dat op 4% van de hoofdsites van de overheid sprake is van tracking cookies. In totaal gaat het over honderden domeinen waar dergelijke cookies worden uitgegeven. Lees verder. De actuele stand van zaken is te zien op de speciale tracking cookies pagina.
December
t.b.d.
Nieuwe features
Bijna iedere maand zijn er nieuwe features opgeleverd voor basisbeveiliging. De onderstaande slide geeft daar een beeld van.
Januari
Follow-up scans toegevoegd. Sommige meetresultaten vragen om een bevestiging of uitzondering. Deze wordt uitgevoerd met een follow-up. Het is mogelijk om een serie aan metingen uit te voeren afhankelijk van de uitkomsten van een eerdere meting. In de praktijk worden er 5 follow-up scans gebruikt.
Februari
Er zijn een paar nieuwe scanners toegevoegd. Nuclei en OpenWPM.
Maart
Het maandoverzicht geeft nu per kaart de grote cijfers en trendlijnen per meting weer. Een voorbeeld is hier te vinden.
Gezien de grote hoeveelheid organisaties is een zoekbalk toegevoegd op de voorpagina.
Lees verder: updates maart 2023.
April
Voortgang pagina is toegevoegd
De zoekbalk ondersteunt vanaf nu niet alleen de namen en domeinen van organisaties maar ook de alternatieve (oude) namen of namen vanuit de volksmond. Dit is vooral praktisch wanneer een overheidsorganisatie van naam wijzigt zoals Agentschap Telecom naar Rijksinspectie Digitale Infrastructuur. Als extra is het mogelijk om te zoeken op alternatieven namen zoals Oeteldonk voor ‘s-Hertogenbosch en Torenstad voor Zutphen. Ook middeleeuwse namen van steden zijn toegevoegd. Dit staat op de voorpagina, hier.
Lees verder: updates april 2023.
Mei
Owasp Amass is toegevoegd voor meer subdomeinen.
Domeininformatie van het SIDN wordt ingelezen om zo vervallen domeinen makkelijk te kunnen opsporen en verwijderen.
De website ondersteunt nu geolocatie voor bevindingen. Het is dus mogelijk om bevindingen in je buurt te zien.
Lees verder: updates mei 2023.
Juni
Het is nu mogelijk om een uitzondering op een meting toe te voegen op basis van de inhoud van een website.
De risicotabel is opgedeeld in tabellen per onderwerp.
Bevindingen bevatten nu een “bedankt” / “wordt aan gewerkt” knop.
Lees verder: updates juni 2023.
Juli
Publicatie van documentatie: uitzonderingen op het meetbeleid, een disclaimer en een responsible disclosure pagina.
De privacy scan is aangezet op alle domeinen, niet alleen meer op hoofdsites.
Er is filtering toegevoegd aan rapporten.
Lees verder: updates juli 2023.
Augustus
Publicatie van documentatie: meetbeleid en “binnenkort op basisbeveiliging, wat nu”.
Bevindingen hebben nu ook een OpenCRE (Common Requirement Enumeration) nummer. Hierdoor linken bevindingen naar eisen uit standaarden zoals CWE, CAPEC, NIST-800 53, NIST-800 63b, Cloud Control Matrix, ISO27001, ISO27002, en NIST SSDF.
De HSTS meting is herschreven en er is een G1 overheidscertificaat toegevoegd als vertrouwd.
Lees verder: updates augustus 2023.
November
Expert overzichten toegevoegd voor certificaten en cookies.
Lees verder: updates november 2023.
December
Een volgcookie dashboard en monitor toegevoegd aan het hoofdmenu van de website.
De kaarten van waterschappen en veiligheidsregio’s zijn opgeruimd. Ook maken ze nu gebruik van vlakken, waardoor goed te zien is welk gebied valt onder welk waterschap / veiligheidsregio. Dit ziet er ook mooier uit op de website.
Rapporten zijn nu beter deelbaar met directe links naar een specifiek domein en tabblad. Bijvoorbeeld cookies op een bepaalde website.
Lees verder: updates december 2023.
Communicatie
Publicaties/verwijzingen door derden
- 5x binnenlands bestuur
- 2x digitaleoverheid.nl
- 1x iBestuur
- 1x agconnect
- 1x internetconsultatie.nl (oproep in een consultatie)
- 1x CIP (halfjaarlijkse signalering)
Overzicht met verwijzingen staat hier.
Openbare lezingen / Conferenties
Er zijn op drie conferenties lezingen gegeven over het project:
Ook hadden we een stand op de ONE conference. In de ochtend zag deze er zo uit:
LinkedIn posts
| Indrukken | Interacties (likes e.d.) | Comments (geschreven) | Reposts (gedeeld) | |
| Onderwerp / TOTAAL | 162158 | 1706 | 158 | 102 |
| Nieuwe kaart Cybersecuritybedrijven | 10929 | 131 | 11 | 12 |
| Ongevraagde Tracking Cookies | 5110 | 81 | 1 | 7 |
| 7 politieke partijen veiliger | 3745 | 50 | 3 | 8 |
| Cyber kaartje ONE | 2481 | 44 | 3 | 1 |
| Post-ONE conference | 2769 | 93 | 3 | 2 |
| Veiligheid Politieke partijen | 5891 | 92 | 16 | 8 |
| Google Analytics | 9186 | 87 | 4 | 13 |
| Diensten buiten de EU | 13224 | 167 | 17 | 5 |
| Wet WDO / Ontbreken HTTPS | 34590 | 280 | 31 | 14 |
| Vooraankondiging spreken ONE | 3940 | 96 | 9 | 1 |
| 8% domeinen zonder whois | 5468 | 62 | 3 | 7 |
| 10% phpMyAdmin Weg | 7898 | 85 | 7 | 2 |
| Login Portals / phpMyAdmin | 45609 | 304 | 41 | 16 |
| 1800 overheidssites | 8463 | 86 | 4 | 5 |
| Actieplan Cybersecurity | 2855 | 48 | 5 | 1 |
Helpdeskverzoeken
Dit jaar hebben we het concept van “bedankt” en “we gaan ermee aan de slag” mails toegevoegd. Dit om de hoeveelheid interacties te verhogen en een idee te krijgen wie de site gebruikt. We hebben ook enkele fanmails ontvangen. Ook is er 5x gebruik gemaakt van de sticker swap.
We hebben de volgende aantallen mails ontvangen (tot 6 dec 2023):
- 250 verklaringen en/of hulpvragen. De belangrijkste onderwerpen waren HSTS, verklaringen rondom niet vertrouwde TLS verbindingen en onjuiste metingen (bugs en uitzonderingsgevallen).
- 70 “we gaan ermee aan de slag” e-mails
- 1 “dank voor het meten” e-mails
Sponsoring
Onze hoster CoBytes heeft dit jaar een aantal abuse meldingen weggewerkt naar aanleiding van de metingen voor Login Plaza. Ook is onze servercapaciteit geüpgraded van 32 naar 72 gig ram, waardoor er ruimte is ontstaan voor complexere metingen. Waarvoor uiteraard veel dank!
Onze andere sponsoren Sentry en Gitlab blijven ons ook ondersteunen.
Merch / Ontwerpen
Er zijn 3 fysieke items gemaakt: 2 soorten stickers, 2 soorten dibond borden en een cyber penning.
De phpMyAdmin sticker is gemaakt n.a.v. Login Plaza, waar was ontdekt dat de overheid 300 installaties van phpMyAdmin online heeft staan. We hebben het project voorzien van een passend (mooier) logo. Dit blijven we doen tot het aantal installaties op 0 staat. Waarschijnlijk betaald de overheid ook niets voor deze software, maar plukt hier wel de vruchten van.
De Niet Veilig sticker is een sticker voor algemeen gebruik. Het is een verwarrend ontwerp wat groen en een positieve vink gebruikt om te zeggen dat iets niet voldoet. De stickers hebben een formaat van 5×5 centimeter.
De Cyber penning is gemaakt voor de ONE conference. Deze is gemaakt van fluor oranje plastic met een gouden folie opdruk. Het formaat is 9x5x0.1cm. Tijdens de ONE zijn er 420 penningen weggegeven.
Contactinformatie
Meer informatie over de stichting staat op de “over ons” pagina, hier.