Updates Augustus 2024

Tussen mei en augustus zijn we druk geweest met allerlei onderzoeken. Bijvoorbeeld naar de veiligheid van het basisonderwijs, GGZ en de energiesector. Toch hebben we ondertussen een aantal nieuwe functionaliteiten weten toe te voegen aan basisbeveiliging.nl. We hopen dat dit het oplossen van problemen makkelijker maakt.

Rapporten beschikbaar als spreadsheets

Rapporten zijn nu te downloaden als spreadsheet. In dit spreadsheet zitten de technische gegevens op een systematische manier verwerkt. Iedere bevinding bevat een link naar het rapport op basisbeveiliging waarin verdere toelichting, hertests en documentatie zijn te vinden.

Gebruik deze spreadsheet bijvoorbeeld als actiepuntenlijst, of om te delen met technische collega’s. De download is te vinden onder de knop “Rapport downloaden” rechtsboven ieder rapport, bijvoorbeeld hier. Of bekijk het voorbeeld spreadsheet hier.

Voor wie zelf aan de slag wil met de meetresultaten is er ook een API beschikbaar, hier.

Voorbeeld van een spreadsheet rapportage van basisbeveiliging. Dit geeft alle bevindingen op een systematische en technische manier weer.

Nieuwe weergave voor metingen

De metingen voor eigenaarschap van het domein, afdwingen van versleuteling en meldpunt voor kwetsbaarheden metingen hebben een nieuwe weergave gekregen. Dit omdat we regelmatig mails krijgen met vragen waarom e.e.a. niet goed is. In de weergave is te zien waarom, of in welke stap, er iets niet goed is en wat dat dan precies is. Er zullen meer van dergelijke weergaven volgen voor andere metingen.

Voorbeeld van een weergave voor eigenaarschap van het domeinnaam. In dit voorbeeld is te zien dat het domein eigendom is van Rijksoverheid, en dat dit overeenkomt met een van de toegestane eigenaren.
Voorbeeld van een meting over het afdwingen van versleuteling. In deze weergave is de ketting aan verzoeken te zien bij het bezoeken van een website. In iedere stap van deze ketting hoort versleuteling te worden afgedwongen. In het voorbeeld zie je dat dit niet gebeurt.
Voorbeeld van een weergave van het meldpunt voor informatiebeveiliging. In dit geval zie je dat dit meldpunt niet gedefinieerd is.

Snellere voorpagina met meer context

De voorpagina is een stuk sneller geworden, ondanks dat er veel grote kaarten zijn toegevoegd. Ook wordt de voorpagina overzichtelijker weergegeven omdat kaarten op doelgroep zijn gesorteerd. Om dit verder kracht bij te zetten worden de uitgevoerde onderzoeken gelinkt per doelgroep. In het voorbeeld hieronder staat een voorbeeld van de onderzoeken naar online veiligheid van de overheid.

Groepering van kaarten naar doelgroep, met daarbij de relevante onderzoeken.

2300 Domeinen RIO toegevoegd

De overheid heeft naast het websiteregister en digitoegankelijk nog een publiek domeinenregister: het Register Internetdomeinen Overheid (RIO). Deze importeren we nu ook. We hadden dit register al lang op het netvlies, maar na een pizza sessie bleek al snel dat er veel irrelevante sites tussen zaten. Zoals sites van nagelstylisten, opgeheven sites en sites en dergelijke. Inmiddels is het niveau een stuk hoger en importeren we de domeinen 1 op 1 naar de diverse overheidsorganisaties. Dit heeft vooralsnog maar enkele mails opgeleverd met “waarom staat dit domein bij ons”, waarbij we weer wijzen naar het RIO.

In totaal ging het om ongeveer 2300 hoofddomeinen. Hiervan is een groot deel niet meer in de lucht.

Domeinen digitoegankelijk uitgezocht

Na de import van digitoegankelijk in april kregen we een stortvloed aan mail met de strekking: “dit domein is niet van ons”. Destijds importeerden we 3500 domeinen met het idee dat het toegankelijkheidsregister van de overheid zich zou beperken tot overheidssites. Dat bleek niet het geval.

Bijna iedereen kan een domein toevoegen aan het register van digitoegankelijk. Dat heeft voor- en nadelen. Het voordeel is dat er allerlei projectdomeinen worden toegevoegd die anders lastig te vinden zijn. Dat weegt niet op tegen het nadeel dat er soms vreemde domeinen in staan. Maar omdat het register geen “duiding” kent is het niet duidelijk wat de relatie is van het domein tot de organisatie. Dit heeft tot een aantal discussies geleid met gemeenten en de ontwikkelaars van het register. De conclusie is dat wij met de hand alle domeinen hebben nagelopen. Dit duurde 5 werkdagen.

Het digitoegankelijkheidsregister wordt dus enkel semiautomatisch geïmporteerd. Hierbij worden alle nieuwe domeinen met de hand worden nagelopen op kenmerken die we hebben omschreven in het nieuwe domeinbeleid. Hieronder een screenshot van hoe het keuren van domeinen eruit ziet voor ons.

Voorbeeld van tooling die wordt gebruikt bij de handmatige controle op domeinen. Hier zie je per domein al een eigenaar en screenshots, zodat de helft van de sites direct kan worden goedgekeurd.

Nieuw beleid: Domeinenbeleid

Al deze nieuwe domeinen leveren vaak de vraag op: van wie is het domein? Vaak is het duidelijk, maar juist aan de kleine aantallen zijn we snel heel veel tijd kwijt. We hebben uitgeschreven hoe we domeinen keuren en wanneer we die aan een overheid toekennen. Hoe dit precies werkt, met voorbeelden, staat in ons nieuwe domeinenbeleid.

Gerelateerde berichten