Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar.
Het hoger onderwijs heeft de gebruikelijke twee maanden gehad om e.e.a. nog voor publicatie te op te ruimen. Hier is goed gebruik van gemaakt. We hebben een boel mails ontvangen met vragen, suggesties en bijzonderheden.
Universiteiten werken hard aan veiligheid
In de aanloopperiode van begin januari tot 6 maart is door universiteiten ten minste 23% van de hoge risico’s opgeruimd. Zelfs met de introductie van de nieuwe versleutelde e-mail meting ging men dus vooruit.
Voor universiteiten is ook een nieuwe functionaliteit toegevoegd: het uitsluiten van een sub-subdomeinen. Dit is nodig voor studentensites die draaien onder bijvoorbeeld het “student” subdomein. In dit geval is de universiteit wel de hoster, maar niet de eigenaar: studenten mogen zelf bepalen op welke manier ze iets online zetten.
Er is helaas nog geen universiteit die op oranje of groen staat. Ook de universiteiten met een klein online oppervlak zoals de drie theologische of die voor humanistiek hebben nog hoge risico’s.
In totaal worden er net iets meer dan 8000 adressen gemeten. Dit bestaat uit de hoofdsite en alle subdomeinen. Projectdomeinen zijn niet meegenomen omdat hiervoor geen publiek register bekend is.
Bij de vooraankondiging zijn de hogescholen en universiteiten op 1 kaart gezet. Vanaf de 19e zijn deze uit elkaar gehaald naar verschillende kaarten. Hieronder staan de cijfers de 19e tot het moment van publicatie op 6 maart.
Risico | Begin aanloop 19 januari | Publicatie 6 maart | Verschil |
Hoog | 3.683 | 2.842 | -23% (841) |
Midden | 6.842 | 5.808 | -15% (1.034) |
Laag | 25.029 | 23.122 | -8% (1.907) |
Goed | 52.125 | 49.701 | -5% (2.424) |
Drie universiteiten laten grote veranderingen zien over tijd. Hieronder zie je de periode van 1 januari tot begin maart. Er zijn meer instellingen met een daling in hoge risico’s, maar daar is het niet zo duidelijk te zien.
Hogescholen ook, maar minder zichtbaar
Bij hogescholen zien we aan de oppervlakte niet zo’n sterke daling in het aantal hoge risico’s. Dat is natuurlijk deels omdat de online oppervlakte van hogescholen kleiner is, en dat wordt ook weer verdeeld over meer instellingen.
Een aantal hogescholen mailden ook regelmatig met de vraag extra domeinen toe te voegen. Ook kwamen wij een paar ontbrekende alternatieve hoofddomeinen van hogescholen tegen waar meer infrastructuur onder stond. Dit samen heeft ervoor gezorgd dat een groot deel van de hoge risico’s die zijn opgelost statistisch wegvallen tegen nieuw gemeten hoge risico’s. Als we inzoomen, verderop, zijn wel grote wijzigingen te zien.
Dit is het overzicht van wijzigingen bij hogescholen in de aanloopperiode.
Risico | 19 januari | 6 maart | Verschil |
Hoog | 1347 | 1287 | -4% (60) |
Midden | 3186 | 3102 | -3% (84) |
Laag | 11028 | 11089 | +1% (+61) |
Goed | 21702 | 22921 | +6% (+1219) |
Opvallend is dat er een boel positieve resultaten bij zijn gekomen. Dit zien we o.a. bij Fontys, die e.e.a. anders hebben ingericht over tijd. In die grafiek zien we dat een maand heel veel ‘interne’ domeinen worden gevonden. Daar is e.e.a. opgeruimd waardoor er positieve resultaten bij kwamen.
Een aantal hogescholen hebben hard gewerkt om de hoge risico’s weg te krijgen. Hieronder staan de instellingen die opvallen door een sterke daling. De genoemde getallen zijn ook weer van 19 januari tot 6 maart. Het aantal opgeruimde risico’s ligt hoger, dat zie je aan het begin van deze grafieken.
Bij twee grafieken valt op dat er een kleine stijging zit in het aantal op de laatste dag. Dat komt omdat deze grafieken op 7 maart zijn gemaakt. Op 6 maart is de meting rondom ongevraagde volgcookies van midden naar hoog gezet i.v.m. de aangekondigde handhaving van de Autoriteit Persoonsgegevens.
Er is ook een instelling die opvalt door een stijging van het aantal hoge risico’s van 48 naar 71. Op 17 januari, net buiten het termijn van onze vergelijking, zie je ook al een sterke stijging. Deze instelling mailde regelmatig met extra domeinen en heeft dus een andere strategie gekozen dan de rest. Dat is niet noodzakelijk slecht: nu is er dus inzicht op meer domeinen waardoor er op termijn ook meer veiligheid ontstaat.
Vergelijking in het klassement
Ten opzichte van elkaar doen universiteiten en hogescholen het grofweg even goed. Universiteiten scoren 14 punten het best, hogescholen op de 10 andere. Op een paar punten zijn er wel duidelijke verschillen.
Universiteiten hebben DNSSEC en HTTPS beter op orde. Het gaat over een verschil van meer dan 10%. Hoewel bij universiteiten de kwaliteit van de versleuteling beter is, voldoen er minder adressen aan de versleutelingseisen van het NSCS + DANE. Dat is een interessante tegenstelling.
Hogescholen hebben de eer om RPKI voor hun websites 100% op orde te hebben. Alleen veiligheidsregio’s en waterschappen lukt dat ook. Op de punten waar hogescholen het beter doen dan universiteiten is het verschil nooit groter dan 10%.
Ten opzichte van de rest
Ten opzichte van de vier overheidslagen (centraal, provincies, waterschappen en gemeenten) doen de hogescholen het slechter. Ruim de meeste groene hartjes gaan dan telkens naar de overheidslaag. Zie hier, hier, hier en hier.
Gebaseerd op het aantal beste en slechtste posities in het klassement belanden hogescholen ergens in de middenmoot tussen de zorg, cybersecurity en politieke partijen.
Wanneer alle eerder genoemde lagen tegelijkertijd worden vergeleken zien we dat bijna alle ‘beste’ en ‘slechtste’ scores verdwijnen bij het hoger onderwijs.
Hieronder staat een vergelijking van de twee onderwijslagen ten opzichte van de overheid. Je ziet dat de slechte punten vooral verdeeld worden tussen de onderwijsinstellingen en de overheid de meeste groene hartjes krijgt.
Metingen zijn openbare gegevens
De meetresultaten van dit onderzoek zijn openbaar en beschikbaar als open data onder de Creative Commons licentie. De informatie wordt doorlopend bijgewerkt en is in te zien op de site https://basisbeveiliging.nl.
Kanttekeningen
- Universiteiten hebben ook WHOIS met 10% of meer beter op orde dan hogescholen, maar deze meting vereist nog een handmatige naloop om te controleren dat de informatie bij hogescholen daadwerkelijk juist is. Daarom wordt dit verschil niet expliciet genoemd in het artikel.
- In het klassement is de meting rondom STARTLS+DANE op e-mail weggevallen. Dit is een bekende bug. Hierdoor heeft iedereen een hoogste en laagste waardering erbij gekregen. Netto maakt dat alles vergelijkbaar, maar het geeft wat verwarring. Aan een oplossing wordt gewerkt.
- Er zijn 36 hogescholen en 18 universiteiten meegenomen. Universiteit Nyenrode ontbrak in de bronbestanden en wordt later toegevoegd ivm de aanloopperiode.
- Bij de WUR is een stijging te zien. Dit is verklaarbaar omdat de WUR al in het systeem stond vanuit een aantal overheidsprojecten. Deze twee instanties van de WUR zijn samengevoegd in de aanloopperiode. Dat is verwarrend en daardoor niet als aparte grafiek getoond.