Lire cet article via Google en français. Diesen Artikel über Google auf Deutsch lesen. Read this article via Google in English.
De online veiligheid van de Belgische overheid ligt ver achter vergeleken met buurland Nederland. Dat blijkt uit online veiligheidsmetingen van de nieuwe website Basisbeveiliging.be. Op deze site kan iedereen zien welke Belgische overheid vijf gangbare online beveiligingsmaatregelen toepast. De metingen worden iedere paar dagen bijgewerkt en worden weergegeven met stoplichtkleuren. Groen betekent dat een organisatie voldoet, oranje betekent een waarschuwing en rood betekent onvoldoende veilig.
Alle gemeten overheden hebben de afgelopen drie maanden gehad om met de resultaten aan de slag te gaan. In deze periode meten we vooruitgang bij zes gemeenten en één arrondissement. Daarmee komt het aantal overheden dat voldoet aan deze beveiligingsmaatregelen op negen procent. Dat zijn 53 gemeenten, 5 arrondissementen en 1 provincie. Hierdoor blijft er een kwetsbaarheid op namaak e-mail bestaan, wat al eerder het landelijke nieuws heeft gehaald, bij veel overheden aanwezig.
Het doel van de website Basisbeveiliging.be is het geven van een impuls aan de Belgische overheid om cybersecurity verder op te pakken. Ten minste de grootste drie politieke partijen in België benadrukken het belang hiervan. Een burger kan nu zien of deze plannen ook leiden tot een daadwerkelijke verhoging van de veiligheid.
Dit artikel omschrijft de lange voorbereidingstijd, wat er wordt gemeten en laat zien wat de resultaten zijn. In de resultaten worden België en Nederland met elkaar vergeleken.
Basisbeveiliging wordt gemaakt en beheerd door de Internet Cleanup Foundation, een Nederlandse Stichting met als doel de Beschikbaarheid, Integriteit en Veiligheid van het internet te verhogen. De stichting is onafhankelijk en werkt nauw samen met diverse overheden. In Nederland is Basisbeveiliging onderdeel van het overheidsbeleid.
Alle gepubliceerde gegevens, inclusief historie, zijn te vinden op de publieke website basisbeveiliging.be. Voor de Frans en Duitstaligen is de website respectievelijk op de domeinen securitedebase.be en basissicherheit.be bereikbaar. Alle Franse en Duitse vertalingen van de website zijn samengesteld met AI van DeepL uit Duitsland. Hierdoor komt de boodschap redelijk goed over, maar zullen we zeker imperfecties zijn. Wij verwelkomen vrijwilligers die aan deze vertaling willen bijdragen met handmatige controle.
Dit artikel gaat verder onder de afbeelding.
Drie maanden geen actie
Waar een oproep van basisbeveiliging in Nederland vaak leidt tot overduidelijke actie blijft het in België vooral stil. De voorbereiding van Basisbeveiliging België heeft een aantal weken gekost, waarvan vooraf melden voor niets geweest is. Nog voordat de voorbereiding begon is er contact geweest met het Centre voor Cybersecurity Belgium (CCB) en het agentschap Digitaal Vlaanderen. Bestuurlijk vindt men het risicovol om transparantie te scheppen omdat de uitkomsten niet altijd positief zijn. Dat betekent dat de Internet Cleanup Foundation het risico neemt om met transparantie de veiligheid van België te vergroten.
Bij toeval stuurden we de vooraankondiging uit rond de landelijke verkiezingen. We zien dat de grootste partij in België, de N-VA, onlangs een centrum heeft aangekondigd voor digitale veiligheid. Dit moet nog worden opgericht en is niet aan een partij verbonden. Ook leeft cybersecurity bij Vlaams Belang, Vooruit en de andere partijen. In het Vlaams regeerakkoord staat dat er een Vlaams Centrum voor Digitale Veiligheid komt. We hopen dat deze sturing iets oplevert voor de inwoners van België: dat is iets wat basisbeveiliging heel tastbaar en inzichtelijk maakt.
Voor publicatie hebben we de volgende stappen genomen:
- Verantwoord melden: Bepalen of het mogelijk is om in België verantwoord kwetsbaarheden te melden. Basisbeveiliging werkt met openbare informatie en hoeft niets te melden, maar we vinden het belangrijk om bij een aankondiging eventuele bestaande processen te volgen. Dan komt de boodschap beter aan omdat de juiste mensen worden geactiveerd. Op de site van het CCB is sinds 2021 te vinden hoe dit proces werkt. Het termijn van een melding tot aan publicatie is 90 dagen.
- Bepalen metingen: Er is een selectie gemaakt van vijf metingen die als eerst worden uitgevoerd. Dit om te voorkomen dat de lat meteen te hoog komt te liggen bij de eerste introductie. Deze lat wordt dit jaar nog verhoogd.
- Voorbereiden kaarten: Zorgen dat alle gemeenten, provincies, arrondissementen en deelstaten correct zijn ingeladen, vertaald en een website bevatten. Deze vertaling is per gemeentenaam gebaseerd op de lokaal gesproken hoofdtaal. Naast de hoofdtaal staat de vertaling van het gebied in andere talen. Bijvoorbeeld: Waremme (Borgworm) of Eupen (Néau).
- Verzamelen e-mailadressen: Van iedere overheid zijn contact e-mailadressen verzameld. Dit is gedaan via de eigen site(s) en via databronnen die de overheid publiceert.
- Vooraankondiging: Op 9 oktober 2024 is er een vooraankondiging gemaild naar 595 e-mailadressen van alle Belgische overheden. Deze mail is gestuurd in het Nederlands, Frans en Duits. Daarin wordt verwezen naar deze meertalige online aankondiging.
- Aanloopperiode: Tussen 9 oktober 2024 en 10 februari 2025, 124 dagen, zijn metingen uitgevoerd en bijgewerkt. Deze metingen waren in te zien met de speciale link die in de vooraankondiging staat.
- Publicatie: Op 10 februari 2025 06:00 is Basisbeveiliging.be gelanceerd samen met dit artikel.
In de tabel hieronder staat hoeveel beweging we hebben gezien in een periode van ongeveer drie maanden.
| 10 oktober 2024 | 27 januari 2025 | |||
| Overheid (aantal) | Goed (groen) | Slecht (rood) | Goed (groen) | Slecht (rood) |
| Deelstaat (3) | 0 | 3 (100%) | 0 | 3 (100%) |
| Provincie (10) | 1 (10%) | 8 (80%) | 1 (10%) | 8 (80%) |
| Arrondissement (43) | 4 (9%) | 37 (86%) | 5 (12%) | 36 (83%) |
| Gemeente (580) | 47 (8%) | 523 (90%) | 53 (9%) | 516 (91%) |
De eerste vijf meetpunten
In Nederland meet Basisbeveiliging op dit moment 25 meetpunten. Om de lat niet al te hoog te leggen bij de introductie in België is er gekozen om hier een subset van te nemen. De hoop was destijds dat er een minimaal aantal acties nodig was om op groen te komen. Dit helpt bij het motiveren van de organisaties, maar belangrijker: om online veiligheid te borgen in een proces. Dat was de theorie.
De eerste vijf metingen zijn verdeeld over verschillende gebieden: het domein, e-mail en bestandsoverdracht. Later dit jaar zal het aantal metingen toenemen. Hierover worden de overkoepelende organisaties zoals het CCB, Digitaal Vlaanderen en het nieuwe centrum voor digitale veiligheid ingelicht. Zij kunnen beslissen om dit wel of niet door te zetten naar de rest van de overheid, hun achterban.
Deze metingen worden uitgevoerd met drie meetinstrumenten. Het domein wordt gemeten met zonemaster van de Zweedse domeinregistratiedienst. Moderne e-mail standaarden worden gemeten met internet.nl, dit wordt ook door de Nederlandse overheid gebruikt in standaardmetingen. Het onversleuteld versturen van bestanden wordt gemeten door Web Security Map van de Internet Cleanup Foundation: dit is de software achter basisbeveiliging.be.
| Niveau | Waarom | Technologie / Meting | Getest met |
| Domein | Integriteit Domein | 1: DNSSEC |  |
| Bescherming tegen nagemaakte mail | 2: DMARC 3: DKIM 4: SPF |  | |
| Bestandsoverdracht | Data integriteit en privacy bij bestandsoverdracht | 5: FTP zonder TLS |  |
Vergelijking tussen België en Nederland
België en Nederland laten zich het best vergelijken op het niveau van gemeenten. Dit komt omdat beide landen een behoorlijk aantal gemeenten hebben: 580 in België om 342 in Nederland, waardoor er met grotere getallen kan worden gewerkt.
Toch is de vergelijking niet helemaal eerlijk. Dat komt omdat in Nederland bij gemeenten ook projectdomeinen worden meegenomen. Dit zijn alle andere domeinen van een gemeente. Bijvoorbeeld om een natuurgebied te promoten, gebiedsontwikkeling of alle informatie rondom een bepaald thema. Projectdomeinen zijn over het algemeen slechter beveiligd dan het hoofddomein.
Het verschil is te zien in met een voorbeeld in de onderstaande tabel te zien:
| Soort domein | Basisbeveiliging Nederland | Basisbeveiliging België |
| Hoofddomein | rotterdam.nl | antwerpen.be |
| Onderliggend domein | www.rotterdam.nl | www.antwerpen.be |
| Projectdomein | rotterdamroutes.nl, rotterdampas.nl | – (niet gemeten) |
| Onderliggend projectdomein | www.rotterdamroutes.nl, design.rotterdampas.nl | – (niet gemeten) |
Ondanks dat er voor Nederland veel meer wordt gemeten zijn de verschillen met België soms groot.
E-mailfraude bescherming met SPF, DKIM en DMARC
Er zijn drie technieken die helpen beschermen tegen e-mailfraude, het zogenaamde spoofen. Het niet toepassen van deze technieken zorgt ervoor dat een aanvaller relatief eenvoudig mails kan versturen uit naam van een overheid voor phishing. Dit probleem is al eens in de Belgische media geweest. De toepassing van deze technieken zorgt ervoor dat een ontvanger kan controleren of de e-mail van de juiste afzender komt. Ook kan de ontvanger (automatisch) een melding maken als de afzender verkeerd blijkt.
In een notendop geven deze technieken de mogelijkheid om een postzegel op een e-mail (DKIM) te plakken, aan te geven welke postkantoren de e-mail mogen versturen (SPF) en waar klachten naartoe kunnen (DKIM).
De simpelste van deze is SPF, waarbij we zien dat bijna alle gemeenten dit op orde hebben. Met de complexere technieken DKIM en DMARC zien we een groot verschil in toepassing tussen het Vlaamse en Waalse deel van België. Mogelijk dat alleen de Vlaamse media aandacht heeft gehad voor deze problematiek, of is het beleid in Vlaanderen strenger.
In Nederland zien we dat de projectdomeinen de scores van gemeentes aanzienlijk naar beneden halen. Vijf Nederlandse gemeenten passen geen DMARC toe op het hoofddomein: Roermond, Venlo, Cuijk, Haaren en Grave. Dat tegenover 206 Belgische gemeenten. Door alle projectdomeinen scoort de Nederlandse kaart toch behoorlijk rood.
In de afbeelding hieronder wordt de toepassing van DMARC vergeleken tussen België en Nederland vergeleken. In België past 63% van de gemeenten DMARC toe op het hoofddomein. In Nederland is dit 64% op het hoofddomein en projectdomeinen. Nederlandse gemeenten passen nagenoeg altijd DMARC toe op het hoofddomein.
Domeinbescherming met DNSSEC
De tweede waar we op inzoomen is bescherming van domeinnamen met de technologie DNSSEC. Met deze technologie wordt een domeinnaam gekoppeld aan een technisch netwerkadres, bijvoorbeeld brecht.be hoort bij adres 86.39.66.50. Hiermee komt een bezoeker uit op dit adres, en niet op het adres van een (kwaadaardige) tussenpartij die de verkeerde website voorschotelt.
Bij Belgische gemeenten wordt DNSSEC in 15% van 580 domeinen toegepast. In Nederland is dat in 74% van de 1461 gemeten domeinen op orde.
Het grote verschil komt vermoedelijk door een korting die de Nederlandse beheerder van het .nl domein uitgeeft aan haar klanten. In Nederland zijn er een aantal grote partijen die domeinen verkopen. Wanneer zij per domein €0.25 korting krijgen ontstaat er een businesscase van honderdduizenden euro’s om een bepaald probleem op te lossen. Zo wordt er vaker gewerkt met kortingen om beveiligingsproblemen aan te pakken. Op dit moment loopt er zo’n actie rondom de standaard security.txt, maar dat wil minder vlotten omdat dit een decentraler probleem is dan DNSSEC.
Veilig bestandsoverdracht
Bestandsoverdracht kan op allerlei manieren plaatsvinden. Een klassieke (en misschien antieke) manier is via het File Transfer Protocol (FTP). Om bestanden integer en vertrouwelijk te kunnen versturen moet de aanbieder van deze dienst dat ondersteunen. In deze meting wordt gecontroleerd of de aanbieder deze optie ondersteunt.
In België gebruikt 20% van de gemeenten FTP. In 68% staat deze optie aan. Het gaat hierbij om een meting op 4760 adressen waarbij 396 keer FTP wordt aangeboden. In Nederland wordt FTP veel meer toegepast, namelijk bij 53% van de organisaties. In 87% van de gevallen wordt de veilige optie geboden. Vanwege de projectdomeinen wordt er in Nederland op veel meer adressen gemeten.
Het gebruiken van FTP voor bestandsoverdracht kan dus veilig, maar dit vereist ook actie van de eindgebruiker. Wanneer een eindgebruiker niet instelt dat er versleuteling moet worden gebruikt zal de overdracht onveilig gebeuren. Zoiets is niet mogelijk met bestandsoverdracht via andere protocollen zoals over SSH of HTTPS. Daar zit versleuteling namelijk ingebakken. Tegelijkertijd is het gebruik van FTP laagdrempelig en praktisch, het is ondenkbaar dat dit ooit zal verdwijnen.
Over Basisbeveiliging
Basisbeveiliging is sinds 2017 actief in Nederland en meet daar 10.000 organisaties van de overheid, onderwijs, zorg en vitale sectoren. Sinds 2022 is Basisbeveiliging onderdeel van het Nederlandse overheidsbeleid. Achtergronden over de website, zoals informatie over metingen, onze kaders en doelen zijn te vinden op deze pagina in het Nederlands, Frans en Duits. Basisbeveiliging wordt gemaakt en beheerd door de Internet Cleanup Foundation, een Nederlandse Stichting met als doel de Beschikbaarheid, Integriteit en Veiligheid van het internet te verhogen. De stichting is onafhankelijk en werkt nauw samen met diverse overheden in Nederland.
