Nieuwe kaart: Energiesector. Meldingsprocedures voor kwetsbaarheden schieten tekort

Vanaf 2 augustus is de online veiligheid van de Energiesector te zien op basisbeveiliging.nl. Dit is de eerste kaart met daarop ook zeer kritieke organisaties volgens aanstaande cyberbeveiligingswet / NIS2 en de aanstaande wet weerbaarheid kritieke entiteiten. Er worden 178 organisaties gemeten.

De belangrijkste bevindingen:

  • Bij 85% ontbreekt de meldingsstandaard voor kritieke lekken security.txt
  • Netbeheerders bieden online diensten vanuit de VS, bij Liander is dat 9%
  • 41% van de domeinen is niet veilig ingericht: wij meten 25 veiligere doelgroepen

Alle metingen zijn openbaar. De lijst organisaties is samengesteld met een ploeg vrijwilligers tijdens pizza sessies. Deze metingen zijn een initiatief van de Internet Cleanup Foundation. Organisaties die ons werk waardevol vinden vragen we in enige vorm bij te dragen, bijvoorbeeld door deelnemer van de stichting te worden.

Omvang en scope onderzoek

Op deze nieuwe kaart meet basisbeveiliging niet alleen de bedrijven die onder de aanstaande wetten vallen. Ook hun belangrijkste toeleveranciers, samenwerkingsverbanden, overlegorganen en de kleinere spelers worden in beeld gebracht.

Er zijn vijf redenen waarom de hele sector wordt gemeten, inclusief kleinere spelers:

  1. het kunnen vergelijken van bekwaamheid tussen grote en kleine spelers
  2. sommige kleine spelers bestaan uit een samenwerking van grote spelers: strikt genomen vallen deze niet onder de nieuwe wetten, terwijl hier wel belangrijke beslissingen of taken liggen
  3. vitale infrastructuur, zoals een elektriciteitsnetwerk, bestaat uit veel partijen. Deze zijn gezamenlijk “balansverantwoordelijk”, zowel met als zonder aansluiting op het net
  4. het weergeven van een volledig beeld van de sector
  5. het is lastig na te gaan of een bedrijf precies valt binnen de kaders van de nieuwe wetten

Er worden alleen organisaties gemeten die in Nederland een vestiging hebben. Dit zijn ook internationaal opererende organisaties die actief zijn in Nederland, zoals het Zweedse Vattenfall en Duitse RWE.

In totaal worden er 178 organisaties gemeten, met ongeveer 5500 internetadressen en 55.000 meetpunten.

De landkaart met de bedrijven en beoordelingen is hier te vinden. Middels doorklikken zijn rapporten van individuele organisaties te vinden, met daarop alle individuele metingen. Deze metingen worden voortdurend bijgewerkt voor een up-to-date beeld van de online veiligheid van Nederland.

Dit artikel gaat verder onder de afbeelding.

Kaart online veiligheid energieleveranciers in Nederland. Er zijn enkel rode en oranje stippen te zien. Het enige bolletje Groen is van Meppel Energie. Gegevens van 29 juli 2024.

Ontbreken security.txt houdt kwetsbaarheden buiten beeld

Sinds mei 2023 is de standaard “security.txt” verplicht voor de overheid. Deze standaard biedt beveiligingsonderzoekers een gangbare manier om contactinformatie te vinden voor het melden van kwetsbaarheden. Organisaties ontvangen hierdoor dus makkelijker en sneller informatie over mogelijke kwetsbaarheden in hun online landschap.

Slechts 15% van de energiesector implementeert deze standaard en slechts 1% doet dat volledig. De Nederlandse overheid doet dit al op 52% van haar domeinen en 35% daarvan is volledig. De standaard ontbreekt bijvoorbeeld op bijna alle domeinen van netbeheerders. Door het ontbreken van security.txt schieten de meldingsprocedures voor kwetsbaarheden tekort.

Het gebruik van security.txt hoort bij een up-to-date Coordinated Vulnerability Disclosure (CVD) beleid. Dit beleid is rond 2013 onder de naam Responsible Disclosure ingevoerd bij veel vitale organisaties. De eerste versie van de security.txt standaard is pas in 2017 gepubliceerd. Meetinstrumenten als internet.nl testen hierop sinds oktober 2022. Basisbeveiliging meet dit sinds februari 2023 en maakt hiervoor gebruik van de metingen van internet.nl.

De meerwaarde van security.txt zit in het gemak waarmee onderzoekers kwetsbaarheid kunnen melden. Zeker wanneer de onderzoeker een hoger volume aan organisaties wil bereiken scheelt dit erg veel tijd: iedere organisatie richt CVD namelijk anders in. Dat zorgt voor een zoektocht bij iedere melding. Zo is dit proces bij netbeheerder Enexis onder beide termen niet te vinden, maar misschien wel onder een andere term. Door deze rommeligheid verliezen onderzoekers veel tijd en daarmee motivatie om te melden. Hierdoor worden minder kwetsbaarheden gemeld.

Een ander voordeel van compleet security.txt bestand is dat dit een e-mail adres bevat. Melden via e-mail heeft de voorkeur omdat contactformulieren vaak extra verplichtingen proberen op te leggen. Bijvoorbeeld dat de onderzoeker helemaal niet mag publiceren: hierdoor verdwijnt de stok achter de deur van het CVD beleid. Een onderzoeker moet namelijk kunnen publiceren als de kwetsbaarheid niet binnen redelijke tijd wordt verholpen. De term disclosure zit niet voor niets in de naam.

Kwetsbaarheden bij netbeheerders

Netbeheerders hebben de verantwoordelijkheid dat hun netwerk blijft functioneren. Nederland telt acht netbeheerders voor gas en elektra. Er zijn twee landelijke netbeheerders: voor elektra is dat Tennet en voor gas Gasunie. De andere netbeheerders leveren zowel gas als elektra.

Van de acht netbeheerders scoren de twee landelijke het slechtst. Van de grote drie netbeheerders komt Enexis het beste uit de bus. Bij de kleinere netbeheerders worden geen hoge risico’s gemeten.

Project- en marketingsdomeinen van deze organisaties zijn niet meegenomen in dit onderzoek.

Bedrijf / RapportHoofddomeinenGemeten DomeinenBevindingen Hoog Risico
Tennettennet.de, tennet.eu, tennet.nl, tennet.org22222 (divers)
Gasuniegasunie.de, gasunie.eu, gasunie.nl, gasunietransportservices.nl, platformgroengas.nl17215 (m.n. volgkoekjes)
Lianderalliander.com, alliander.nl, liander.nl21913 (divers)
Stedinstedin.net1343
Enexisenexis.nl1182
Westland Infrajuva.nl, westlandinfra.nl200
Coteqcoteq.nl, coteqnetbeheer.nl80
Rendorendo.nl, rendogroep.nl50
Verdeling risico’s en aantallen gemeten domeinen, 29 juli 2024.

Digitale infra netbeheerders in de VS

Basisbeveiliging meet ook vanuit welk land online dienstverlening wordt aangeboden. Het gaat daarbij om de fysieke locatie van webservers en mailservers. Netbeheerder Liander spant daarin de kroon: 9% van haar online dienstverlening komt vanuit de Verenigde Staten.

Organisatie / RapportInfra in de VSInfra in de EUOnbekend
Liander9% (21/228)88% (200)3% (7)
Enexis8% (9/118)76% (90)16% (19)
Gasunie6% (10/178)90% (161)4% (7)
Stedin4% (6/137)95% (130)1% (1)
Tennet1% (2/232)99% (230)0% (0)
Westland Infra0%100% (24)0%
Coteq0%100% (10)0%
Rendo0%100% (7)0%
Locatie van online dienstverlening. Deze meting gebeurt op basis van data van MaxMind dat wordt aangevuld met data van RIPE. Data 29 juli 2024.

De top 10 slechtst beveiligde energiebedrijven

De top 10 van slechtst beveiligde energiebedrijven is uiteenlopend. Opvallend is dat juist relatief kleine organisaties de top 3 vertegenwoordigen. Er is 1 kleinere organisatie die alles op orde heeft: MeppelEnergie. De overige 177 organisaties scoren oranje (29) en rood (148).

Op nummer 1 staat Repowered, dat zich richt op grootzakelijke aansluitingen. Deze organisatie heeft relatief weinig domeinen maar wel veel hoge risico’s. Deze zitten met name in het publiceren van versienummers en een verkeerde e-mail inrichting.

Nummer 2 is ANWB energie. Dat is een bijzondere omdat de ANWB veel meer diensten levert onder andere subdomeinen. Deze worden allemaal gemeten. De beveiligingsproblemen bevinden zich op het gebied van matige versleuteling en versie-informatie.

Op nummer 3 staat Etpa, een energiehandelaar die actief is in Nederland en Duitsland. De veiligheidsproblemen zitten in het aanbieden van versie-informatie en websites zonder versleuteling (waarschijnlijk voor intern gebruik waar de onversleutelde domeinen weg kunnen).

PositieOrganisatieDomeinenBevindingen Hoog RisicoHoog risico per domein
1Repowered27461.70
2ANWB Energie252350.14
3Etpa34280.82
4Eneco112270.24
5Axpo156250.16
6TenneT222220.10
7Innova11161.45
8RWE242150.06
9Gasunie172150.09
10Alfen63150.24
Top 10 slechtst beveiligde energiebedrijven op 29 juli 2024.

Vergeleken met de overheid

De overheid heeft 5x zoveel domeinen en diensten als de energiesector. Toch is de online veiligheid van de overheid op 18 van de 25 punten beter dan van de energiesector. De verhoudingen zijn daarbij ook scheef: wanneer de energiesector beter scoort is dat slechts met een paar procent. De overheid scoort daarentegen tot 35% hoger.

Zo is DNSSEC bij de overheid op 91% van de domeinen goed ingericht, terwijl dat bij de energiesector slechts 56% is. Ook in de implementatie van het eerder genoemde security.txt zitten zulke verschillen.

De voornaamste redenen van deze grote verschillen zit in de beleidsstukken en eisen die de overheid zichzelf heeft opgelegd. Ze is daarin erg succesvol. Voorbeelden zijn streefbeeldafspraken, webrichtlijnen en de Wet Digitale Overheid.

Hieronder staat de hele tabel met alle metingen:

OverheidVitaal / Energie
StandπŸ’š18 πŸ’©7πŸ’š7 πŸ’©18
Domeinen in portfolio281025599
Diensten in portfolio5187210996
Domeinnaam beveiliging (DNSSEC)πŸ’š 91.17%πŸ’© 56.93%
Kwaliteit van de versleuteling (HTTPS)πŸ’š 92.3%πŸ’© 88.33%
Vertrouwen in het certificaat (HTTPS)πŸ’© 92.58%πŸ’š 93.9%
Versleutelde http dienst (HTTPS)πŸ’š 75.28%πŸ’© 42.5%
Bestandsoverdracht (FTP)πŸ’© 92.9%πŸ’š 95.6%
Weghalen versieinformatie van gebruikte softwareπŸ’© 94.34%πŸ’š 96.51%
Eigenaar van internetadresπŸ’© 84.49%πŸ’š 92.57%
Fysieke locatie van serverπŸ’š 97.07%πŸ’© 85.74%
Fysieke locatie van e-mail server(s)πŸ’š 95.5%πŸ’© 93.8%
Fysieke locatie van bronnen op de websiteπŸ’š 35.64%πŸ’© 4.41%
Veilige verbinding volgens NCSC-NL eisen (HTTPS)πŸ’š 61.34%πŸ’© 20.6%
Beschikbaarheid meldpunt informatiebeveiligingπŸ’š 36.52%πŸ’© 1.01%
Vertrouwen in netwerkroute naar websiteπŸ’š 94.83%πŸ’© 84.08%
Domain-based Message Auth (DMARC)πŸ’š 91.64%πŸ’© 84.96%
DomainKeys Identified Mail (DKIM)πŸ’© 75.66%πŸ’š 83.33%
Sender Policy Framework (SPF)πŸ’š 95.96%πŸ’© 84.21%
Toepassing van versleuteling van ontvangen e-mailπŸ’© 98.63%πŸ’š 99.6%
Versleuteling ontvangen e-mail volgens NCSC richtlijnen + DANEπŸ’š 72.02%πŸ’© 64.92%
Vertrouwen in networkroute naar e-mail serverπŸ’© 91.43%πŸ’š 94.19%
Strict-Transport-Security Header (HSTS)πŸ’š 75.64%πŸ’© 54.54%
X-Content-Type-Options instellingπŸ’š 69.44%πŸ’© 49.91%
X-Frame-Options Header (Clickjacking)πŸ’š 71.15%πŸ’© 55.95%
Website is volledig in eigen beheerπŸ’š 48.17%πŸ’© 46.27%
Websitebezoek respecteert je privacyπŸ’š 99.87%πŸ’© 84.46%
Geplaatste cookiesπŸ’š 97.05% πŸ”πŸ’© 93.52% πŸ”
Vergelijking energiesector met overheid op alle gemeten punten. Data van 29 juli 2024.

25 doelgroepen scoren beter

In verhouding tot andere gemeten doelgroepen op basisbeveiliging, zoals het onderwijs en ministeries, staat de energiesector er matig voor. 25 doelgroepen scoren beter, 12 scoren slechter. Universiteiten, ziekenhuizen en de meeste overheden scoren beter. Politieke partijen, voorgezet onderwijs en de geestelijke gezondheidszorg scoren slechter.

Vergelijking beoordeling veiligheid domeinnamen, tabel van de voorpagina van basisbeveiliging.nl. Data van 29 juli 2024.

Over basisbeveiliging.nl

Alle metingen in dit artikel kunnen zijn te vinden op de website basisbeveiliging.nl. Deze metingen worden voortdurend bijgewerkt voor een up-to-date beeld van de online veiligheid van Nederland. Zo is te zien wanneer organisaties verbeteringen doorvoeren of terugvallen. Alle metingen zijn openbaar en bruikbaar onder een vrije licentie.

Basisbeveiliging.nl is een initiatief van de Internet Cleanup Foundation. Wij zetten ons in voor een veilig online Nederland door middel van onderzoek en open data. Organisaties die ons werk waardevol vinden en hier gebruik van maken vragen we op enige vorm bij te dragen, bijvoorbeeld door de stichting te ondersteunen met deelnemerschap.