Met het einde van het jaar in zicht lanceren we de laatste set kaarten van 2024: digitale infrastructuur. Na de energie en financiele sector is dit de derde zeer kritieke sector die we in beeld brengen. Dit doen we in twee delen: het eerste deel bevat zes kaarten en één laatste kaart wordt op verzoek van de sector pas eind januari 2025 live gezet. De zes kaarten bevatten 169 organisaties en 8715 domeinen.
Het kostte veel moeite om de digitale infrastructuur in beeld te krijgen, zeker vergeleken met andere sectoren. Dat zorgt voor onduidelijkheid en verwarring bij consumenten, bedrijven en overheden. In dit artikel laten we zien waar het mis gaat en vergelijken we dat met Duitsland, waar dit probleem grotendeels is opgelost met het “Impressum”. Wij vragen de Nederlandse overheid om het publiceren van een impressum verplicht te maken voor alle organisaties die ingeschreven staan bij de KVK op al hun websites.
Qua metingen zien we wederom dat de adoptie van security.txt erg laag is, wat het melden van ernstige kwetsbaarheden in de weg zit. Dit is niet passend bij organisaties die onder de aanstaande cybersecuritywet vallen. Gelukkig zijn er enkele lichtpuntjes te zien: organisaties die actief werken om hun basisbeveiliging op orde te krijgen. Onderaan het artikel zijn grafieken te zien van de goed presterende organisaties.
Voordat we de diepte induiken willen we de Rijksinspectie Digitale Infrastructuur bedanken voor hun prachtige donatie. Wij zijn enorm blij met deze erkenning omdat het substantieel bijdraagt aan het werk waarmee de Internet Cleanup Foundation in 2016 is gestart. Basisbeveiliging draait nog steeds op veel vrijwilligerswerk: het doel van een veilig Nederland staat bij ons voorop. Donaties helpen ons enorm om basisbeveiliging te onderhouden, te blijven meten, te onderzoeken en de veiligheid van Nederland tastbaar te maken. Hierdoor kunnen we onze digitale weerbaarheid gezamenlijk verhogen. Mocht je ons werk ook willen ondersteunen: doneer of wordt deelnemer.
1: Zes nieuwe kaarten
De zes nieuwe kaarten bevatten 169 verschillende organisaties en 8715 domeinen. We zien dat de grotere organisaties vaak op meerdere subsectoren actief zijn. Toch hebben we naar eigen inzicht geprobeerd bedrijven uniek te houden per kaart. We hebben daarbij de organisaties die verantwoordelijk zijn voor domeinnamen apart gezet en daarna op basis van een schatting naar omzet iedere organisatie op een kaart gezet. Zo staat KPN bij Internet Service Providers en TransIP bij DNS.
Webhosting is waarschijnlijk geen vitaal onderdeel, maar gezien er zoveel overlap is tussen de verschillende bedrijven en overnames in deze sector heel gebruikelijk zijn kan het geen kwaad om hier een deel van mee te nemen. Deze levendigheid kan ook een verrassing met zich meebrengen, in de zin dat er partijen zijn die het voortouw nemen om veiligheid onderdeel te maken van hun selling points.
Er zijn maar enkele organisaties die het echt goed doen of waar we vooruitgang zien. Dat zijn Youfone, VodafoneZiggo, Freedom Internet, SLTN, ERA-IX, Lennmedia en Simptel.
Dit is een overzicht van de nieuwe kaarten:
| Kaart | Organisaties | Domeinen | Hoge risico’s |
| Managed Service Providers (cloud werkplekken) (MSP) | 59 | 1887 | 489 |
| Hostingproviders (Hosting) | 48 | 1222 | 684 |
| Internet Service Providers (ISP) | 30 | 1332 | 587 |
| Cloud leveranciers (hyperscaling) (Cloud) | 15 | 830 | 618 |
| Internet Exchanges (IX) | 10 | 756 | 1081 |
| Domeinnaam Leveranciers (DNS) | 7 | 2688 | 1289 |
Op de zes kaarten zijn veel rode stippen te zien:
2: Mag het impressum verplicht worden?
De markt van digitale dienstverleners is onstuimig. Zeker in de MSP- en Hostingmarkt verschijnen er veel nieuwe bedrijven die vaak worden overgenomen door grotere bedrijven. Dit laat een spoor achter van oude merknamen die soms wel en soms niet nog zelfstandig opereren. Maar dat is niet de enige reden waarom het moelijk is om informatie te vinden. Nog nijpender is het gebrek aan structuur en regels rondom bedrijfsinformatie, waardoor organisaties naar beste inzicht iets doen. We zoomen in op deze twee problemen.
Eerst kijken we naar de onstuimige markt.
Bedrijven die worden overgenomen blijven soms hun functie en gezicht houden, maar de verantwoordelijkheden zijn belegd bij het moederbedrijf. In de inventarisatie aanbieders van DNS-diensten in Nederland staat bijvoorbeeld het bedrijf AXC. Dit bedrijf is met meer dan 45.000 domeinen de 9e grootste leverancier in Nederland. De website is met slechts een postadres minimalistisch. De domeinnaamregistratie geeft niets prijs. AXC wordt in dezelfde regel genoemd met Astralus. De website daarvan is een witte pagina met twee regels tekst en een vriendelijke smiley. Daarvan blijkt uit de domeinregistratie dat deze site naam staat van PCextreme. In de KVK-registratie en IP-informatie van AXC staat ook PCextreme.
De website van dat bedrijf wijst tegenwoordig naar Versio, waar onderaan staat dat het onderdeel van Your.Online is. Hieruit blijkt dat een website niets zegt over de grootte van een bedrijf of van wie het tegenwoordig eigenaar is. Your.Online is een van de grotere ondernemers in de sector en kan waarschijnlijk al worden gezien als zeer kritiek: anders zal dat door nog meer overnames binnenkort wel zo zijn. Het hebben van meerdere merknamen wordt door Your.Online waarschijnlijk gezien als waardevol. Daardoor is niet meteen een band te zien tussen namen als AXC, Neostrada, TWS, Argeweb en Vevida.
Een bedrijf dat juist alle losse merknamen terugbrengt naar één naam is KPN. We zien hier ook een waslijst aan bedrijven die zijn overgenomen, maar daarna qua merk en vertegenwoordiging zijn opgeruimd. Dit zijn bijvoorbeeld Dearbytes, Telfort, Digitenne, Glaspoort, Het Net, Hi, Planet Internet, World Access en XS4All. Daarmee is de lijst vast nog lang niet compleet. In dit geval is het makkelijker aan te nemen dat alle kritieke domeinen in beeld zijn, maar zeker weten doen we het niet. Daarom meten we ook het toplevel domein .kpn zoals overons.kpn en andere KPN domeinen als kpnnet.org, kpn.nl, kpncert.nl en kpn.org. Ook dat is vast onvolledig.
Het tweede probleem is het gebrek aan regels over het publiceren van bedrijfsinformatie. Er zijn wel regels, maar deze zijn onvolledig en werken onduidelijkheid in de hand.
Er wordt vanuit de Autoriteit Consument en Markt vereist dat op commerciele websites voor consumenten een aantal gegevens staan. Maar die eisen zijn onvolledig en maken deze informatie onvindbaar. Zo mist in ieder geval de rechtsvorm van de onderneming en hoeft het KVK-nummer niet altijd genoemd te worden. Deze regels beperken zich tot organisaties die verkopen aan consumenten. Naar ons idee zouden publicatie regels moeten gelden voor alle organisaties met een KVK-nummer. Maar dat is niet het grootste probleem.
Het grootste probleem is dat er geen regels zijn over de praktische vindbaarheid en de presentatie van deze gegevens. Deze vrijheid maakt het vinden van bedrijfsinformatie uitdagend voor consumenten, bedrijven en overheden. Dit leidt tot een praktijk waarin niemand zich aan de regels gaat houden, want controleren is onbegonnen werk. En dit is precies wat we zien. Dat kan anders, bijvoorbeeld zoals onze oosterburen dit aanpakken.
Duitsland heeft wetgeving over waar bedrijfsinformatie te vinden moet zijn en hoe dit eruit moet zien: dit heet een impressum. Een letterlijke vertaling van impressum kennen we in het Nederlands niet, maar colofon of bedrijfsinformatie komen in de buurt. Wat ons betreft is impressum een mooi woord om beleidsmatig te adopteren omdat het eenduidig is: het wordt nergens anders voor gebruikt en taalkundig passend te lenen omdat het lijkt op impressie of een indruk. Een bestaand Nederlands woord hergebruiken is onhandig.
Het woord “impressum” staat op iedere zakelijke webpagina. Een zoekopdracht met Control+F leidt direct tot de juiste informatie. Op dit impressum staat geen marketingsboodschap maar alleen droge feiten. Iedereen kan zo in een handomdraai vinden welk bedrijf bij deze website hoort. Dit systeem werkt fantastisch, wat we zodadelijk laten zien.
Wij vragen de Nederlandse overheid om het publiceren van een impressum verplicht te maken voor alle organisaties die ingeschreven staan bij de KVK op al hun websites.
3: Vergelijking Duitsland en Nederland
Om te laten zien dat het werkt gebruiken we voorbeelden uit twee verschillende sectoren: supermarkten en internet exchanges. In de vier tabellen hieronder staat de naam van de organisatie, waar het impressum staat, hoe deze is te vinden en wat op deze pagina staat.
Supermarkten vallen onder de kritieke sector levensmiddelen, dit is dus niet aangeduid als zeer kritiek zoals digitale infrastructuur. We mogen dus minder verwachten van deze sector. We kijken in beide landen naar de vijf grootste supermarkten op basis van omzet.
Bij Duitse supermarkten is te zien dat bedrijfsinformatie eenduidig en rechtlijnig wordt gepubliceerd:
| Marktpositie en Bedrijf | Link naar impressum pagina | Vindbaarheid | Inhoud pagina |
| 1: Edeka | Impressum | Direct | Feitelijk |
| 2: Lidl | Impressum | Direct | Feitelijk |
| 3: Rewe | Impressum | Direct | Feitelijk |
| 4: Aldi | Impressum | Direct | Feitelijk |
| 5: Lekkerland | Impressum | Direct | Feitelijk |
Bij Nederlandse supermarkten is met wat doorzettingsvermogen, nadenken en gokjes de informatie te vinden:
| Marktpositie en Bedrijf | Link naar impressum pagina | Vindbaarheid | Inhoud pagina |
| 1: Albert Hein | Over AH | Gokje nodig | Marketing en onderaan feiten |
| 2: Jumbo | Over ons bedrijf | Gokje nodig | Marketing en onderaan feiten |
| 3: Aldi | Bedrijfsgegevens (en niet “Ons bedrijf”) | Twee gokjes nodig | Feitelijk |
| 4: Lidl | Impressum | Direct | Feitelijk |
| 5: Plus | “Over Plus” en dan “Adressen” (deels) | Gokje en navigatie nodig | Marketing, daarna Feitelijk |
Hieronder staat een vergelijking op basis van een steekproef tussen zeer kritieke Internet Exchanges. Hier wordt gebruik gemaakt van een steekproef uit efficientie: deze vijf stuks zijn ongeveer de helft van de sector. Dan maakt sorteren naar bandbreedte of omzet niet zoveel uit.
In Duitsland zien we dat de Internet Exchanges vaak een Engelse site hebben. Hoe het woord “impressum” vertaald wordt wisselt, wat niet praktisch is. Zo gebruikt men de term imprint, wat in Groot Brittanië wordt toegepast bij verkiezingen. Dit maakt het vinden van de informatie iets lastiger maar een bezoeker kan er wel op vertrouwen dat de link naar deze informatie op de voorpagina staat. Gelukkig lijken Impressum en Imprint op elkaar qua zoekterm. Woorden die beginnen met “im” komen immers niet zo veel voor.
| Bedrijf | Link naar impressum pagina | Vindbaarheid | Inhoud pagina |
| DE-CIX | Imprint | Direct | Feitelijk |
| DD-IX | Imprint | Direct | Feitelijk |
| BCIX | Impressum (of Legal Information in het Engels) | Direct | Feitelijk |
| KleyReX | Legal Notice (Engelse site) | Direct | Feitelijk |
| stuttgart-ix | Impressum & Datenschutz | Direct | Feitelijk |
Bij Nederlandse Internet Exchanges zien we grote verschillen. Slechts één organisatie biedt deze informatie op een redelijk voor de hand liggende plaats aan. De rest biedt een doolhof en hun informatie is vaak onvolledig met een missend KVK en of BTW nummer. Omdat er geen rechtsvorm wordt vermeld is het ook niet duidelijk of deze informatie verplicht is. Voor een buitenstaander zijn deze organisaties dus erg lastig te doorgronden. Het lijkt wel dat hoe ‘professioneler’ de website, des te moeilijker deze informatie is te vinden.
| Bedrijf | Link naar impressum pagina | Vindbaarheid | Inhoud pagina |
| AMS-IX | Niet bij “About AMS-IX”, Onvolledig bij “Contact Us”, KVK staat onderaan los. Geen BTW nummer. Geen e-mail maar formulier. | Gefragmenteerd en onvolledig | Feitelijk, mits gevonden |
| NL-IX | Bij “About” kan je doorklikken, bij Contact staat iets maar KVK of BTW nummer zijn onvindbaar. Wel e-mail. | Indirect en onvolledig | Marketing en feiten door elkaar |
| DataIX | Deels op de voorpagina (email, telefoon), geen KVK, geen BTW nummer | Direct, maar onvolledig | Marketing en feiten door elkaar |
| Era-IX | Doorklikken naar Eranium BV op een andere site, daar contact. Geen E-mail. | Indirect en nagenoeg volledig | Feitelijk |
| ISIX | Contact | Gokje nodig | Feitelijk |
4: Onbereikbaar bij kwetsbaarheden
Het is erg praktisch om te weten van wie welke website is. Dat maakt communiceren met de verantwoordelijke een stuk eenvoudiger. In het geval van het melden van kwetsbaarheden is er een specifieke standaard bedacht om communicatie te versoepelen. Deze standaard heet Security.txt. Dit is een bestand dat wordt aangeboden op een vaste plaats op de website. Hierin staat alle noodzakelijk contactinformatie voor het melden van kwetsbaarheden.
De toepassing van deze standaaard meten we met internet.nl. Op deze site kunnen organisaties zelfstandig ad-hoc testen of zij deze standaard op de juiste manier toepassen.
In augustus zagen we dat 15% van de energiesector de standaard toepast. Dit gemiddelde zien we ook in de financiele sector sector, waarbij Nederlandse banken met 26% adoptie dit het beste doen. De gemiddelde adoptie in de digitale infrastructuur is met 14% erg gemiddeld en daarmee dus ruim onvoldoende. De onderstaande tabel geeft de adoptie weer van security.txt per subsector in de digitale infrastructuur:
| Kaart | Organisaties | Correct | Met fouten | Ontbreekt |
| Managed Service Providers (cloud werkplekken) (MSP) | 59 | 1 | 14 | 66 (81%) |
| Hostingproviders (Hosting) | 48 | 1 | 8 | 42 (82%) |
| Internet Service Providers (ISP) | 30 | 2 | 1 | 38 (93%) |
| Cloud leveranciers (hyperscaling) (Cloud) | 15 | 0 | 2 | 15 (88%) |
| Internet Exchanges (IX) | 10 | 1 | 1 | 10 (83%) |
| Domeinnaam Leveranciers (DNS) | 7 | 0 | 3 | 20 (87%) |
5: De lichtpuntjes
Om het artikel positief af te sluiten laten we wat lichtpuntjes zien. Dit zijn de organisaties die goed scoren ofwel veel werk hebben verzet. Hieronder zijn de grafieken van de aanwezige en afnemende kwetsbaarheden bij hen te zien.
De rode lijn is in deze grafieken het belangrijkst. Dit zijn de hoog risico kwetsbaarheden, deze lijn staat onderaan per organisatie. Rechtsboven staat het aantal midden risico kwetsbaarheden. Er is te zien dat organisaties ervoor kiezen om eerst de hoge risico’s op te lossen en daarna de midden risico’s.
Youfone
Freedom
VodafoneZiggo
SLTN
Glasnet
Lennmedia
Era IX
Simptel
6: Over basisbeveiliging
Alle metingen in dit artikel kunnen zijn te vinden op de website basisbeveiliging.nl. Deze metingen worden voortdurend bijgewerkt voor een up-to-date beeld van de online veiligheid van Nederland. Zo is te zien wanneer organisaties verbeteringen doorvoeren of terugvallen. Alle metingen zijn openbaar en bruikbaar onder een vrije licentie.
Basisbeveiliging.nl is een initiatief van de Internet Cleanup Foundation. Wij zetten ons in voor een veilig online Nederland door middel van onderzoek en open data. Organisaties die ons werk waardevol vinden en hier gebruik van maken vragen we op enige vorm bij te dragen, bijvoorbeeld door de stichting te ondersteunen met deelnemerschap.
