Het kost ten minste twee miljoen om te mogen versleutelen, maar de kosten voor bijbehorend arbeid verveelvoudigt dat. Gelukkig is de transitie naar gratis certificaten in volle gang. Dit gaat gepaard met verdere automatisering waardoor vele uren aan foutgevoelig werk verdwijnt.
Dit onderzoek laat zien hoe de markt voor versleutelingscertificaten is verdeeld tussen diverse sectoren. De prijs van een certificaat ligt tussen de 0 en 1045 euro. We onderzoeken hoe de prijs tot stand komt vanuit de grote leveranciers maar ook vanuit de prijsvechters. Daarna kijken we naar hoeveel certificaten in gebruik zijn. Door deze informatie te combineren ontstaat een geïnformeerde schatting wat de publieke sector jaarlijks kwijt is aan certificaten. Tot slot kijken we naar de toekomst van certificaten en de vertrouwensketen.
Inleiding
Iedere website met versleuteling is vergezeld met een certificaat. Hierop staat voor welke site de versleuteling van toepassing is. Dit wordt door een vertrouwde externe partij onderschreven, waardoor bezoekers weten dat ze de juiste site bezoeken. Bij het wegvallen van vertrouwen, zoals bij een verlopen of ingetrokken certificaat, krijgen bezoekers een afschrikkende waarschuwing te zien of kunnen ze de site niet meer gebruiken.
Sinds november biedt basisbeveiliging.nl een certificatenoverzicht. Dit is te vinden in het rapport van een organisatie, bijvoorbeeld hier. Daar kan iedereen zien of er problemen zijn met de gebruikte certificaten van alle organisaties die we meten. Maar we slaan sindsdien ook andere data op, zoals wie de uitgever is. Daar gaan we in dit artikel op inzoomen.
Marktverdeling
Basisbeveiliging meet de Nederlandse overheid, zorg, onderwijs, cybersecurity en politieke partijen. Deze hebben samen ten minste 49.369 webadressen met daarop een certificaat. De vijf grootste leveranciers van certificaten bezit samen 91% van de markt.
Gratis dienstverlener Let’s Encrypt geeft verreweg de meeste certificaten uit. Daarna volgen twee commerciële partijen: DigiCert/QuoVadis en Sectigo. Veel domeinen van onderzoeksinstellingen en het onderwijs worden versleuteld via de vereniging GEANT. Dit is echter geen eigen uitgever maar een kortingsdeal met Sectigo. Daarna volgen 24 kleinere partijen, waarvan gratis provider Google Trust Services 2% van de sites bedient.
De overige 9% bestaat uit 23 partijen die minstens 10 certificaten op naam hebben staan. Namen die vaker dan 100 keer voorkomen: certSIGN(846), Trust Provider BV / Networking4all (711), cPanel(558), GlobalSign (530), Amazon (461), Microsoft (282), Cloudflare (219), ZeroSSL (191), “” (145), Acme Co (134), Plesk (132), SomeOrganization (113) en KPN(111). In deze kleine getallen is het certificaat vaker onderdeel van een product of dienst en niet los te koop.
Per sector wisselt de marktverdeling sterk. Bij de overheid zijn juist de twee commerciële leveranciers goed vertegenwoordigd. Voor het onderwijs wordt dit verdeeld tussen GEANT en Let’s Encrypt. Ziekenhuizen zitten er tussenin en GGD’s worden vooral bediend door DigiCert. Let’s Encrypt is de grootste bij het primair onderwijs, Cybersecurity en Politieke partijen.
Hoe wordt de prijs bepaald?
Als we willen weten hoeveel geld er gaat naar certificaatleveranciers moeten we kijken wie dit zijn en welke prijzen ze vragen. Dit is een lastige opgave omdat prijzen sterk wisselen: tussen de 0 en 1045 euro. De prijs heeft geen invloed op de sterkte van de versleuteling.
Wat maakt dan het ene certificaat duurder dan de andere? Dat heeft te maken met vier eigenschappen die als doel hebben het gevoel van vertrouwen te vergroten.
De eerste eigenschap is extra validatiewerk. Bij de aanschaf van een certificaat wordt op verzoek gecontroleerd of dit wordt gedaan door de juiste organisatie of zelfs door de juiste persoon. De uitgebreidste en dus duurste optie heet “Extended Validation”. In totaal wordt 2.34% van de domeinen een certificaat van dit type gebruikt (1155 / 26156).
We hebben gecontroleerd of de WHOIS informatie op deze domeinen juist was, en dat is het geval voor alle .nl domeinen met dit type certificaat.
De meerwaarde van Extended Validation is aan het dalen. Dat komt omdat browsers sinds 2018 geen speciaal slotje hiervoor tonen. Het certificaat is dus vervangbaar door een ander vertrouwd certificaat zonder dat een bezoeker iets opvalt. Het groene slotje wordt nog wel veelvuldig gebruikt in marketing.
De tweede eigenschap is een verzekerd bedrag. Dit bedrag is vaak psychologisch gekoppeld aan de prijs van het certificaat en loopt tot in de miljoen dollar. Dit bedrag wordt uitgekeerd wanneer het certificaat niet meer betrouwbaar is en de afnemer schade ondervindt. Deze verzekering is voorzien van een oceaan aan kleine letters. Uit onderzoek blijkt dat dit bedrag vooral marketing is om het product te diversificeren.
Of een daadwerkelijke schadeclaim iets gaat opleveren valt nog te bezien. Een inbraak bij leveranciers komt vaak gepaard met enorme reputatieschade, die kan leiden to faillissement. Dit is exact wat er in 2011 met DigiNotar gebeurde. Schade verhalen op een failliet bedrijf heeft weinig kans van slagen.
Dat moderne versleuteling onkraakbaar is spreekt natuurlijk voor zich, maar dat is niet waar de garantie over gaat. De sterkte van de versleuteling ligt volledig aan de inrichting van de afnemer en staat los van het vertrouwen in het certificaat. De leverancier van een certificaat is dus nooit aansprakelijk voor het uitlekken van gegevens bij slechte versleuteling.
De derde eigenschap is extra diensten. Iemand die toch al aan het kopen is wordt verleid om meer uit te geven. Het duurste certificaat van DigiCert bevat ook het gebruik van een plaatje, een security test, diverse monitoring en een beheerportaal. Dit wordt als meest waardevol verkocht, maar is met €1045 voor een jaar tegelijkertijd ook het duurst.
De laatste eigenschap is het wekken van vertrouwen. Omdat er veel geld wordt betaald voor certificaten is er ook veel geld om een stuk theater op te voeren. Juist omdat het maken van een certificaat nagenoeg gratis is, kan bijna de hele omzet naar marketing en lobby. Dat uit zich in een veelheid van podcasts, whitepapers, lobbyisten, partnerprogramma’s, reclame uitingen, onderhandelaars, enzovoorts.
Door al deze beïnvloeding lijkt het net alsof deze ondernemingen heel relevant en bij de tijd zijn. Maar de innovaties rondom versleuteling komen uitsluitend van de prijsvechters en academici/wetenschappelijk onderzoekers.
Prijsvechten en wegautomatiseren
Aan de andere kant van de markt zitten de prijsvechters. Een van de eerste prijsvechters was Comodo, dat certificaten aanbood voor “voah weinagh”. Dat is overgenomen door Sectigo en hun product PositiveSSL is nog steeds te krijgen voor €12, maar het kost wat zoekwerk.
Vandaag de dag is Let’s Encrypt de grootste prijsvechter. Dit bedrijf biedt volledig geautomatiseerde versleuteling voor niets. Het kost jaarlijks 6.5 miljoen euro om deze organisatie in de lucht te houden. Hiervan gaat ongeveer €2.6 miljoen naar de afdeling voor certificaten.
Het bedrijfsmodel van Let’s Encrypt is sponsoring. Het goedkoopste sponsorbedrag is $12.500. Dat is een behoorlijk bedrag, maar het staat in geen verhouding tot het bedrag dat wordt uitgegeven aan commerciële partijen. Toch zien we geen enkele van de 7500+ door ons gemeten organisaties terug op de sponsorlijst. Ook geen buitenlandse overheid. Dat wil overigens niet zeggen dat er geen geld wordt gegeven: informatie over donateurs is niet publiek.
De populariteit van Let’s Encrypt ligt niet alleen aan de prijs van het certificaat. Het lost ook nog een veel duurder pijnpunt op: beheer. Het tijdig vervangen van certificaten en het correct configureren kost veel inspanning en is foutgevoelig.
Let’s Encrypt heeft dit deel van het beheer geautomatiseerd. Via het ACME protocol wordt op verzoek instant een nieuw certificaat geleverd. Met de tool Certbot wordt dit automatisch geïnstalleerd op het systeem. Basisbeveiliging.nl gebruikt ook Let’s Encrypt voor al haar sites.
De naam ACME is mogelijk een verwijzing naar de tekenfilms van Road Runner / Wile E. Coyote. Wanneer de Coyote een waanzinnige bestelling plaatste uit de postordercatalogus van ACME werd dit onmiddellijk geleverd. De tekenfilm speelt zich af in het midden van een woestijn.
De innovaties van Let’s Encrypt zijn voor iedereen te gebruiken. Hierdoor zijn er meer prijsvechters die dezelfde infrastructuur draaien. Bijvoorbeeld de nummer 5 in ons overzicht: Google Trust Services LLC en ook ZeroSSL die verderop in onze lijst staat. Ook alle commerciële certificatenverstrekkers ondersteunen ACME en certbot.
Wat opvalt bij gebruikers van Let’s Encrypt is primair onderwijs en de cybersecuritysector. Dit zijn financieel gezien tegenpolen. Het primair onderwijs heeft weinig budget en kiest dus voor de voordeligste oplossing. De cybersecuritysector komt na een risicoafweging ook uit bij Let’s Encrypt.
Kaart
Let’s Encrypt
% markt
Onderwijs / Primair
12383
81%
Politieke Partij
1626
73%
Onderwijs / VO
2338
63%
Cybersecurity
751
49%
Onderwijs / MBO
349
31%
Zorg / Ziekenhuis
1163
27%
Onderwijs / Universiteit
1098
23%
Onderwijs / HBO
512
21%
Overheid
2687
21%
Gemeente
1720
21%
Zorg / GGD
122
16%
Provincie
75
14%
Waterschap
55
12%
Totaal
24879
43%
Marktaandeel Let’s Encrypt gesorteerd op percentage
Wat kost een certificaat?
Zoals gezegd tussen de 0 en de 1045 euro.
De kosten voor een certificaat bij Let’s Encrypt zijn ongeveer 0.18 eurocent per stuk. Deze moeten iedere 90 dagen worden vervangen, dus jaarlijks kost dit ±0.72 eurocent per site. We hebben hiervoor de projectkosten van 2.6 miljoen euro gedeeld door de 363 miljoen sites die worden bediend.
Bij Sectigo krijg je eenzelfde certificaat en een vorm van validatie voor een van de onderstaande 14 prijzen. Deze prijslijst is afkomstig van Xolphin.com. Sectigo is niet de duurste maar de prijslijst hieronder is wel erg tekenend voor commerciële certificatenleveranciers.
Sectigo noemt prijzen van 12 tot 598 euro voor hetzelfde product. De vorm van validatie en theater om het product heen verschilt mogelijk. De namen van de verschillende producten zijn afkomstig van overgenomen concurrenten. PositiveSSL van Comodo was altijd goedkoop en Sectigo zou deze ‘prijsbewuste’ klanten verliezen als ze hierin iets aanpast.
Het goedkoopste jaarcertificaat bij Sectigo kost 12 euro. Bij Let’s Encrypt kost dit doorberekend slechts 0.72 cent. Sectigo is dus minstens 1600x duurder.
Voor een nieuwe consument is de veelheid aan namen ook verwarrend. Dit is natuurlijk bedoeld om hetzelfde product toch iets anders te laten lijken.
Dit soort prijslijsten maakt het allemaal erg lastig om te bepalen wat er uiteindelijk wordt betaald. Ook eventuele kortingen, onderhandelingen en dergelijke zullen invloed hebben op de prijs.
We kappen dit oerwoud aan onduidelijkheid door de prijs te kiezen waarmee men adverteert op de hoofdpagina. We surfen naar de site toe en kijken dan naar het simpelste certificaat en kiezen daar de variant zonder validatie en eentje met extended validatie.
Prijstabel primair geadverteerde certificaten van certificaatleveranciers
Voor GEANT zit dit anders in elkaar. Dit is een kortingsdeal met Sectigo en kost 161 euro per instelling per maand voor onbeperkte aantallen van alle soorten certificaten. Dat is €1932/jaar * (18 universiteiten + 36 hbo + 56 mbo) instellingen is ±€200.000.
Hoeveel certificaten worden er gebruikt?
Nu de prijs bepaald is, willen we weten hoeveel certificaten er zijn gekocht. Om dit te bepalen spelen er twee dingen: de dataset en hergebruik van certificaten.
De dataset van basisbeveiliging.nl is niet volledig. Het vraagt ongelofelijk veel mensuren om alle domeinen in kaart te brengen, wat we met pizza sessies te lijf gaan. In de komende maanden introduceren we ook nog een andere oplossing.
Feit blijft dat met name projectdomeinen ontbreken in onze dataset. We kennen alle hoofddomeinen en daar onder liggende domeinen. Maar we missen dus campagnesites van gemeenten en ziekenhuizen maar ook de vele domeinen voor afstudeerprojecten en dergelijke.
De tweede factor waar we rekening mee moeten houden is hergebruik van certificaten. Een certificaat wordt gemiddeld gebruikt op twee adressen. Dit is niet alleen omdat het “www” subdomein er ook altijd gratis op wordt gezet.
We hebben onderzocht hoeveel sprake er is van hergebruik, dat is te zien in onderstaande tabel.
Hergebruik op aantal adressen
Hoeveel Certificaten dat dit doet
1 adres
18.416
2 adressen
6.490
3 tot 5
1.962
6 tot 10
677
11 tot 20
354
21 tot 100
167
101 tot 1068
14
Hergebruik van certificaten
Certificaten die meer dan 100 keer worden gebruikt zijn bijna altijd van Let’s Encrypt. Een enkel geval is een wildcard op een site van een politieke partij. Een andere staat op een populair subdomein van Microsoft.
Als we deze data plat slaan, en we rekenen per uniek certificaat één domein, dan is de verhouding: één certificaat wordt gebruikt op ±2.1 adressen. Dit ronden we af naar twee.
Sectigo
DigiCertQV
Let’s Encrypt
Toepassing op domeinen
10483
10629
24879
Unieke certificaten
5157
4900
11487
Verhouding tussen unieke certificaten en toegepaste domeinen
Wat betalen dus minimaal?
Nemen we de prijs van DigiCert en Sectigo en vermenigvuldigen dat met het aantal domeinen dan hebben we een prijs. Hier moet dus nog 50% vanaf om te compenseren voor hergebruik. Uiteindelijk komt dat neer op een ondergrens van 2 miljoen euro per jaar voor de aanschaf van certificaten.
Hier komt de €200.000 van GEANT nog bovenop.
Dit is exclusief verdere beheerskosten en instellingen. Zo stelt het NCSC regelmatig nieuwe eisen op voor sterke versleuteling, deze moeten worden geïmplementeerd per server/site. Verder moeten deze certificaten worden aangevraagd en vervangen, iets dat tijdrovend en foutgevoelig is zonder ACME.
De overige 11% is lastig apart te becijferen maar lijkt vooral gratis te zijn. Dit zijn namelijk twee prijsvechters (ZeroSSL en Google Trust Services) samen met zelf uitgegeven certificaten en certificaten die gekoppeld zijn aan een ander product of dienst.
De kostprijs bij Let’s Encrypt voor de 21101 certificaten in bovenstaande tabel is: 0.72 cent * 21101 = 15193 cent. Ofwel €151,93.
Toekomst van certificaten
De totaalprijs die wordt betaald voor certificaten zal in de komende jaren blijven afnemen. Let’s Encrypt biedt een aanbod dat niemand kan weigeren. Maar er zijn ook andere spelers in opkomst zoals ZeroSSL waar voor $100 jaarlijks een onbeperkte hoeveelheid certificaten is af te nemen.
Het beheer van certificaten is sterk vereenvoudigd door de certbot tool, samen met instant certificaten via het ACME protocol. Inmiddels ondersteunen alle certificatenleveranciers dit. Dit heeft een ontelbaar aantal uren bespaard in het beheer van certificaten.
Voor websites lijkt het vertrouwen in Let’s Encrypt nagenoeg altijd voldoende. Dat blijkt uit dat betaalde certificaten vaak niet voorzien zijn van validatie. De meerwaarde van validatie staat onder druk.
Aan de certificatenindustrie is er alles aan gelegen om relevant te blijven. Er is veel budget om invloed uit te oefenen. Die lobby heeft er bijvoorbeeld voor gezorgd dat de GGD vooral afneemt bij dure leveranciers. Daarnaast blijft het gevoel / illusie van het kunnen kopen van vertrouwen een belangrijk argument.
Er ligt ook een nieuwe kans voor certificaten en de ‘chain of trust’ bij de media. Bijvoorbeeld het kunnen bewijzen dat een foto of video is gemaakt door een bepaalde journalist van een nieuwsorganisatie. Of het publiek hier waarde aan hecht valt nog te bezien.
In dat licht zouden wij graag bewijzen dat dit artikel komt van de Internet Cleanup Foundation. Maar een functionaliteit om dit bewijs te leveren zit niet in ons blogplatform. Daarom hebben we lelijke watermerken toegevoegd aan de screenshots en onszelf een paar keer genoemd: dat is het beste dat we nu kunnen. We zijn benieuwd wat daar van overblijft in eventuele AI kopietjes van dit artikel.
Tegelijkertijd hopen we dat cryptografische herleidbaarheid beperkt wordt toegepast, omdat dit het einde kan betekenen van privacy. Een voorbeeld hiervan zit in het Noord Koreaanse besturingssysteem Red Star OS. Dit voegt een onzichtbaar overzicht van gebruikers toe dat een bestand heeft bekeken en/of aangepast. Dit is niet in het voordeel van de gemiddelde mens of een vrije maatschappij.
Kanttekeningen
We zien een vertekening bij politieke partijen. Deze zit bij een partij die 500 subdomeinen van lokale partijen onder hetzelfde certificaat versleuteld. Er wordt in de praktijk dus veel minder gebruik gemaakt van Sectigo ten gunste van Let’s Encrypt. De dataset mist de vele sites van veel lokale partijen.
De cybersecuritysector is natuurlijk geen onderdeel van de publieke sector maar de vertekening hierdoor is erg klein.
Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar.
Het hoger onderwijs heeft de gebruikelijke twee maanden gehad om e.e.a. nog voor publicatie te op te ruimen. Hier is goed gebruik van gemaakt. We hebben een boel mails ontvangen met vragen, suggesties en bijzonderheden.
Universiteiten werken hard aan veiligheid
In de aanloopperiode van begin januari tot 6 maart is door universiteiten ten minste 23% van de hoge risico’s opgeruimd. Zelfs met de introductie van de nieuwe versleutelde e-mail meting ging men dus vooruit.
Voor universiteiten is ook een nieuwe functionaliteit toegevoegd: het uitsluiten van een sub-subdomeinen. Dit is nodig voor studentensites die draaien onder bijvoorbeeld het “student” subdomein. In dit geval is de universiteit wel de hoster, maar niet de eigenaar: studenten mogen zelf bepalen op welke manier ze iets online zetten.
Er is helaas nog geen universiteit die op oranje of groen staat. Ook de universiteiten met een klein online oppervlak zoals de drie theologische of die voor humanistiek hebben nog hoge risico’s.
In totaal worden er net iets meer dan 8000 adressen gemeten. Dit bestaat uit de hoofdsite en alle subdomeinen. Projectdomeinen zijn niet meegenomen omdat hiervoor geen publiek register bekend is.
Bij de vooraankondiging zijn de hogescholen en universiteiten op 1 kaart gezet. Vanaf de 19e zijn deze uit elkaar gehaald naar verschillende kaarten. Hieronder staan de cijfers de 19e tot het moment van publicatie op 6 maart.
Risico
Begin aanloop 19 januari
Publicatie 6 maart
Verschil
Hoog
3.683
2.842
-23% (841)
Midden
6.842
5.808
-15% (1.034)
Laag
25.029
23.122
-8% (1.907)
Goed
52.125
49.701
-5% (2.424)
Verandering in risico’s bij universiteiten tijdens de aanloopperiode
Drie universiteiten laten grote veranderingen zien over tijd. Hieronder zie je de periode van 1 januari tot begin maart. Er zijn meer instellingen met een daling in hoge risico’s, maar daar is het niet zo duidelijk te zien.
Hogescholen ook, maar minder zichtbaar
Bij hogescholen zien we aan de oppervlakte niet zo’n sterke daling in het aantal hoge risico’s. Dat is natuurlijk deels omdat de online oppervlakte van hogescholen kleiner is, en dat wordt ook weer verdeeld over meer instellingen.
Een aantal hogescholen mailden ook regelmatig met de vraag extra domeinen toe te voegen. Ook kwamen wij een paar ontbrekende alternatieve hoofddomeinen van hogescholen tegen waar meer infrastructuur onder stond. Dit samen heeft ervoor gezorgd dat een groot deel van de hoge risico’s die zijn opgelost statistisch wegvallen tegen nieuw gemeten hoge risico’s. Als we inzoomen, verderop, zijn wel grote wijzigingen te zien.
Dit is het overzicht van wijzigingen bij hogescholen in de aanloopperiode.
Risico
19 januari
6 maart
Verschil
Hoog
1347
1287
-4% (60)
Midden
3186
3102
-3% (84)
Laag
11028
11089
+1% (+61)
Goed
21702
22921
+6% (+1219)
Verandering in risico’s bij hogescholen tijdens de aanloopperiode
Opvallend is dat er een boel positieve resultaten bij zijn gekomen. Dit zien we o.a. bij Fontys, die e.e.a. anders hebben ingericht over tijd. In die grafiek zien we dat een maand heel veel ‘interne’ domeinen worden gevonden. Daar is e.e.a. opgeruimd waardoor er positieve resultaten bij kwamen.
Een aantal hogescholen hebben hard gewerkt om de hoge risico’s weg te krijgen. Hieronder staan de instellingen die opvallen door een sterke daling. De genoemde getallen zijn ook weer van 19 januari tot 6 maart. Het aantal opgeruimde risico’s ligt hoger, dat zie je aan het begin van deze grafieken.
Bij twee grafieken valt op dat er een kleine stijging zit in het aantal op de laatste dag. Dat komt omdat deze grafieken op 7 maart zijn gemaakt. Op 6 maart is de meting rondom ongevraagde volgcookies van midden naar hoog gezet i.v.m. de aangekondigde handhaving van de Autoriteit Persoonsgegevens.
Er is ook een instelling die opvalt door een stijging van het aantal hoge risico’s van 48 naar 71. Op 17 januari, net buiten het termijn van onze vergelijking, zie je ook al een sterke stijging. Deze instelling mailde regelmatig met extra domeinen en heeft dus een andere strategie gekozen dan de rest. Dat is niet noodzakelijk slecht: nu is er dus inzicht op meer domeinen waardoor er op termijn ook meer veiligheid ontstaat.
Vergelijking in het klassement
Ten opzichte van elkaar doen universiteiten en hogescholen het grofweg even goed. Universiteiten scoren 14 punten het best, hogescholen op de 10 andere. Op een paar punten zijn er wel duidelijke verschillen.
Universiteiten hebben DNSSEC en HTTPS beter op orde. Het gaat over een verschil van meer dan 10%. Hoewel bij universiteiten de kwaliteit van de versleuteling beter is, voldoen er minder adressen aan de versleutelingseisen van het NSCS + DANE. Dat is een interessante tegenstelling.
Hogescholen hebben de eer om RPKI voor hun websites 100% op orde te hebben. Alleen veiligheidsregio’s en waterschappen lukt dat ook. Op de punten waar hogescholen het beter doen dan universiteiten is het verschil nooit groter dan 10%.
Ten opzichte van de rest
Ten opzichte van de vier overheidslagen (centraal, provincies, waterschappen en gemeenten) doen de hogescholen het slechter. Ruim de meeste groene hartjes gaan dan telkens naar de overheidslaag. Zie hier, hier, hier en hier.
Gebaseerd op het aantal beste en slechtste posities in het klassement belanden hogescholen ergens in de middenmoot tussen de zorg, cybersecurity en politieke partijen.
Wanneer alle eerder genoemde lagen tegelijkertijd worden vergeleken zien we dat bijna alle ‘beste’ en ‘slechtste’ scores verdwijnen bij het hoger onderwijs.
Hieronder staat een vergelijking van de twee onderwijslagen ten opzichte van de overheid. Je ziet dat de slechte punten vooral verdeeld worden tussen de onderwijsinstellingen en de overheid de meeste groene hartjes krijgt.
Metingen zijn openbare gegevens
De meetresultaten van dit onderzoek zijn openbaar en beschikbaar als open data onder de Creative Commons licentie. De informatie wordt doorlopend bijgewerkt en is in te zien op de site https://basisbeveiliging.nl.
Kanttekeningen
Universiteiten hebben ook WHOIS met 10% of meer beter op orde dan hogescholen, maar deze meting vereist nog een handmatige naloop om te controleren dat de informatie bij hogescholen daadwerkelijk juist is. Daarom wordt dit verschil niet expliciet genoemd in het artikel.
In het klassement is de meting rondom STARTLS+DANE op e-mail weggevallen. Dit is een bekende bug. Hierdoor heeft iedereen een hoogste en laagste waardering erbij gekregen. Netto maakt dat alles vergelijkbaar, maar het geeft wat verwarring. Aan een oplossing wordt gewerkt.
Er zijn 36 hogescholen en 18 universiteiten meegenomen. Universiteit Nyenrode ontbrak in de bronbestanden en wordt later toegevoegd ivm de aanloopperiode.
Bij de WUR is een stijging te zien. Dit is verklaarbaar omdat de WUR al in het systeem stond vanuit een aantal overheidsprojecten. Deze twee instanties van de WUR zijn samengevoegd in de aanloopperiode. Dat is verwarrend en daardoor niet als aparte grafiek getoond.
Op 20% van de onderzochte overheidsdomeinen staat een cookiebanner (394 van de 1911). Er wordt op meer dan 100 verschillende manieren om toestemming gevraagd, daarna zijn we gestopt met tellen. Per banner zijn er ook nog eens variaties in positionering, teksten, instellingen en stijl.
30% van de banners lekken ongevraagde volgcookies. Bijna alle banners zijn grafisch misleidend. 23% van de banners vereist meer handelingen om te weigeren dan te accepteren, in enkele gevallen kost weigeren 3 handelingen.
De overheid wil van de cookiebanners op eigen sites af. In veel gevallen kan dat direct. Voor het merendeel van de gevallen moet de site een alternatieve dienst of instellingen gebruiken. Video’s en statistieken zijn de voornaamste bron van ongevraagde volgcookies.
Hoe moet het wel? Er zijn meer dan 300 grotere overheidssites zonder cookiebanner of externe scripts. Deze zijn van een groot aantal opdrachtgevers van de centrale overheid. Gemeenten, provincies en waterschappen lukt dit nog niet.
Ter lering en vermaak bevat dit artikel ruim 20 voorbeelden van slechte cookiebanners op overheidssites. Van 289 van deze banners is ook een bureaubladachtergrond gemaakt en een overzicht van alle verschillende manieren om te weigeren of accepteren.
Vanaf 1 maart 2024 worden ongevraagde tracking cookies rood beoordeeld op basisbeveiliging.nl. Dit sluit aan op aankondiging van de Autoriteit Persoonsgegevens om te gaan handhaven op misleidende banners.
Wat moet de overheid met al deze banners? Het ultieme antwoord daarop is eenvoudig: opruimen. In de kamerbrief over cookies en online tracking van staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) en minister Adriaansens (EZK) staat:
“Wij vinden het daarom wenselijk dat er geen third-party cookies of andere tracking gebruikt wordt op overheidswebsites, ongeacht het verkrijgen van toestemming.”
Een van de kernwoorden in die brief is “onbespied”: een bezoeker moet dus een website van een overheid kunnen bezoeken zonder dat een derde meekijkt. Dat is een hoger doel, waarbij ook geen bronnen van derde partijen worden gebruikt. Dus geen externe opmaak en lettertypen bijvoorbeeld.
Sinds februari 2024 geeft de Autoriteit Persoonsgegevens aan hoe heldere cookiebanners eruit horen te zien. Ze geeft daarbij aan dat ze hierop gaat handhaven en kan zelfs een boete opleggen.
Waarom gebruikt de overheid deze banners?
Op overheidssites zijn er twee hoofdoorzaken voor het gebruik van cookiebanners.
De eerste groep banners is simpelweg overbodig. Op deze banners wordt aangegeven dat er gebruik wordt gemaakt van analytische en functionele cookies. Daarvoor is geen toestemming nodig. Deze banners kunnen per direct de prullenbak in.
Mogelijke oorzaken van deze banners zijn onbekendheid met de regels of juristen die een “slag om de arm” nemen. Vragen om toestemming geeft de indruk dat gegevens kunnen worden gedeeld: het belemmert de gebruiker en maakt de site minder betrouwbaar.
Soms is het verwarrend: het statistiekenpakket (voor analytische doeleinden) van LinkedIn plaatst óók een volgcookie voor marketingsdoeleinden. Dan is toestemming noodzakelijk.
De overige grote groep banners komt door het gemak waarmee opdrachtgevers en websitebureaus online diensten van derde partijen gebruiken. Het gaat dan om functionaliteit voor zaken als video’s, kaarten, captcha’s en statistieken. Dit werkt makkelijk en snel maar men heeft niet scherp wat de gevolgen zijn. Deze besparing in komt uiteindelijk voor rekening van de bezoeker.
Voor de meeste, zo niet alle, online diensten bestaan alternatieven. Maar toegegeven: deze zijn niet allemaal even gangbaar, bekend, goedkoop, makkelijk te vinden of eenvoudig te gebruiken. Het scherp krijgen van alle alternatieven is dan ook een van de uitdagingen bij de overheid. Daarover verderop meer.
De overheid verdient geen geld aan advertenties op haar websites. Hiervoor zijn geen cookiebanners gevonden.
Werken die banners eigenlijk wel?
Op ten minste 30% van de sites met banner werkt deze niet. Er zijn ten minste 41 soorten banners die volgcookies lekken.
Neem het populairste volgcookie is die van YouTube. Dit cookie heet VISITOR_INFO1_LIVE en is door Google als advertentiecookie gedocumenteerd.
Zonder toestemming wordt dit cookie wordt geplaatst op 228 domeinen, terwijl met toestemming het cookie op 262 domeinen wordt geplaatst. Op 34 sites is de cookiebanner effectief.
Maar van die 228 sites zonder toestemming hebben 84 een cookiebanner. Hier komt het VISITOR_INFO1_LIVE cookie dus doorheen.
Wanneer de bekende volgcookies van Facebook, Google en LinkedIn worden meegenomen stijgt het aantal sites met lekkende cookiebanners naar 94.
We hebben over langere termijn 310 overheidssites met cookiebanner gemeten. Dus op 30% van sites met een cookiebanner werkt de banner niet. Een van de populairste cookiebanners, ‘cookieSettingsOverlayToggle’ lekt op 25 sites cookies. In totaal zien we 41 soorten lekkende banners. Deze zijn te vinden in bijlage E.
De 1911 sites zijn tot 200 pagina’s bezocht en tot 3 lagen diep. In totaal gaat het om 310 sites waar deze meting herhaaldelijk succesvol is uitgevoerd over langere termijn. De lijst met sites en de verklaring waarom dit niet gemeten is over het totaal van 394 sites is staat in bijlage E. We zien bij het geven van toestemming op sites met banners geen enorme toename in een nieuw volgcookies, enkel een toename in bestaande volgcookies. We hebben alleen gekeken wat er in het wild gebeurt, er is geen test uitgevoerd van alle banners (met alle instellingen) op alle volgcookies.
Zijn deze banners eerlijk?
Nee. 23 van de 97 onderzochte banners vereisen meer stappen om te weigeren dan te accepteren (23%). Soms kost weigering zelfs drie handelingen, terwijl accepteren er maar één is. In 16 gevallen is weigeren onmogelijk, vaak omdat deze banners over analytische/functionele cookies gaan en dus overbodig zijn.
In de voorbeelden later in dit artikel is duidelijk te zien dat met grafisch ontwerp (dark patterns) een bezoeker makkelijker kan accepteren dan weigeren. Denk dan aan dat de acceptatieknop goed te zien is, een positieve kleur heeft en dergelijke. Nagenoeg alle banners passen dergelijke patronen toe. De autoriteit persoonsgegevens geeft aan dat dit niet mag en hoe het wel moet.
Ook op overheidssites zijn de cookiebanners dus misleidend.
# Banners
Weiger stappen
Accepteer stappen
3
3
1
2
2
2
20
2
1
1
1
3
2
1
2
53
1
1
1
onmogelijk
3
1
onmogelijk
2
12
onmogelijk
1
2
onmogelijk
onmogelijk
Stappen om te weigeren bij 97 technisch verschillende banners.
Gezocht: alternatieve diensten
Diensten van derden zijn bij de overheid de enige bron van volgcookies. In dit hoofdstuk duiken we in de stand van zaken rond de twee belangrijkste redenen voor ongevraagde volgcookies: video’s en statistieken.
De overheid is op dit moment druk op zoek naar alternatieven. Niet alleen voor diensten die volgcookies plaatsen maar voor alle diensten van derden zoals externe lettertypen.
Wij zullen daarom in kaart brengen waar third-party cookies en scripts gebruikt worden, en welke. Op basis daarvan willen we onderzoeken of we deze kunnen vervangen door (open source) alternatieven, die door de overheid zelf gehost worden, waardoor die informatie niet naar derden gaat. Dit sluit aan bij de ambities omtrent digital commons.
Er zijn twee grote videoplatforms in gebruik op sites van de rijksoverheid. Dit zijn YouTube en Rovid. Beiden worden op afstand gevolgd door Vimeo en Kaltura.
YouTube plaatst het meest gebruikte ongevraagde volgcookie, maar levert sinds 2009 het alternatief youtube-noocookie.com voor embedding op sites. 20% van de verzoeken naar YouTube gaat via dat domein. Voor beheerders was het dus altijd al eenvoudig om privacyvriendelijk te werken, maar 80% doet dat niet.
Het andere populaire platform is Rovid. Dit is van de Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Dit platform plaatst geen volgcookies. Rovid wordt gebruikt op 268 sites, zoals dranquilo.nl of verbeterjehuis.nl. De speler van Rovid doet functioneel niet onder voor YouTube en heeft soms ook opties om videos te downloaden.
Maar Rovid heeft ook eigenaardigheden. De website waar de video’s vandaan komen, rovid.nl, is blanco. Er is niets te vinden over de dienst, zelfs geen rijksoverheidslogo. Er staat dus niet dat het van de overheid is, welk doel het heeft, wat het kost en wat het allemaal kan. Hierover is gemaild en dit artikel wordt nog aangevuld.
Rovid wordt alleen gebruikt voor de rijksoverheid. Andere overheden zullen dus andere alternatieven moeten zoeken. Een alternatief is dat websites zelf ook video’s kunnen aanbieden zonder gebruik te maken van een externe dienst of scripts. Voor iedere webtechnologie bestaat een groot aantal videospelers.
Alternatieven voor tracking op statistieken
Het statistiekenpakket van LinkedIn plaatst het vaakt ongewenst volgcookies. Google Analytics volgt bezoekers via externe verzoeken naar doubleclick.net wanneer het niet goed is ingericht.
De rijksoverheid kan via Dienst Publiek en Communicatie gebruik maken van een Piwik Pro installatie. Andere overheden zullen dit zelf moeten regelen, maar gelukkig is er een keur aan alternatieven. Matomo is zo’n populair alternatief. Op de website European Alternatives staan nog 30 alternatieven die voldoen aan de AVG.
Showcase slechte cookiebanners
De mensen die vroeger de interface van videorecorders ontwierpen maken tegenwoordig cookiebanners. Menig jurist, grafisch ontwerper en techneut heeft de bingokaart al snel vol met frustraties en irritaties.
Laten we kijken naar ruim 20 verschillende cookiebanners waar iets mis mee is. Deze metingen komen van november 2023. Er zijn wat sites opgeknapt of opgeruimd, maar de meeste staan er nog.
Tactisch onhandig
We beginnen bij politie.nl. Stel je wil een aangifte doen, dan is het fijn om te weten dat er nog een partij op die site zit die ogenschijnlijk geld verdient aan jouw bezoek.
Op het meldpunt integriteit van justitie en veiligheid staat het vinkje “sociale media” standaard aangevinkt. Dat is geen geruststellende gedachte wanneer je net een melding wil maken over de integriteit van een collega. Voor je het weet is je bezoek gekoppeld aan social media en krijg je hier reclames voor.
Ook een tactisch onhandige is die van investinholland.com. Waarom zou iemand investeerders willen afleiden met een vraag over cookies en tracking.
Er zijn meer sites waar vinkjes standaard aan staan. Zo ook op metropoolregioeindhoven.nl laat standaard marketing cookie aan staan.
Alles accepteren
Een kromme vorm van toestemming vragen is vinkjes tonen die uit staan. Daaronder staat dan de knop “alles accepteren”. Die knop aantikken zet dus alle vinkjes aan! De knop “Weigeren” is niet te vinden, waardoor een bezoeker moet nadenken over de andere optie.
Dat zien we bijvoorbeeld op buitenlevenvakanties.nl (ja, is rijksoverheid :))
Op geheugenvannederland.nl staat dit geheugenspelletje ook.
Ook GGD West Brabant doet dit. Met de knop “Ik stem met alles in” wordt toestemming gegeven voor de uitgevinkte opties.
De sites holland.com, nbtc.nl en zonmw.nl gebruiken dezelfde vraagstelling. Daarin wordt gesuggereerd dat “accepteren en doorgaan” de juiste keuze is. Daaronder staat in grijs een tekst waarvan een gebruiker niet kan zien dat het een link is.
Duister ontwerp
Bezoekers wordt door vormgeving verleid om in te stemmen met cookies. Dit is aan de orde van de dag en bijna alle cookiebanners maken zich hier schuldig aan.
Een voorbeeld is de site drenthe.nl. Daar kan men meteen accepteren, of men kan tijd besteden met priegelen in instellingen.
Ook groningen.nl maakt het bezoekers extra moeilijk om te weigeren. Om te weigeren moet je minstens twee stappen nemen. Namelijk eerst “voorkeuren wijzigen” en dan door het volgende doolhof de juiste vinkjes zetten.
Soms is het heel moeilijk om te vinden hoe je kan weigeren. Bijvoorbeeld op haaglandenveilig.nl is onderaan de paarse tekst een linkje te vinden om cookies in te stellen. We vinden het schrijven van het woord “Akkoord” op twee regels wel bijzonder grappig.
Contrast en kleur
Spelen met contrast kan ook zorgen voor meer gebruikers die toestemming geven. Hieronder staat het dialoog van drechtsteden.nl, waarbij de knoppen “Alle cookies weigeren” en “Voorkeuren” lijken uitgeschakeld. Mensen met verminderde visie zullen deze helemaal niet kunnen zien.
Op nidos.nl zie je geel op wit op geel. Dat is ongelofelijk lastig te lezen. Ook staat er bij toestaan een mooie groene knop en een vinkje. Dat zal dan wel de goede optie zijn.
Groen is goed. Dat zien we ook terug op de site nlw.nl.
Meertalig
Op de site van biodiversiteit worden verschillende talen door elkaar gebruikt: Accepteren als moeilijk leesbare link en een grijze knop met “No, thanks”.
Meertaligheid zien we vaker terug, zoals op hunzeenaas.nl. Daar kan je kiezen voor “alle cookies”, “Deny” en “voorkeuren”.
De site meldknop.nl, wat als doel heeft mensen te beschermen, heeft een uitvoerige en meertalige cookiebanner. Hier zijn de keuzes: “all cookies”, “weigeren” en “view preferences”.
Weigeren onmogelijk, an offer you can’t refuse
Diverse sites maken het onmogelijk om te weigeren, zelfs als het gaat om marketingscookies. Maar dat mag toch niet? Of wacht… er staat een link onderaan in de tekst die volledig wegvalt. We zien dit o.a. op de site van veva.nl.
Op risse.nl wordt aangegeven: kom je hier, dan stem je in met hun “cookie beleid” (sic). Er zijn meerdere van dit soort sites, zoals crimediggers.nl.
Nog wat aparte
Rotterdammers blijven Rotterdammers. Dat zie je ook in de vraagstelling en antwoorden op ggdrotterdamrijnmond.nl. Direct accepteren? Ja of Nee. Eigenlijk best duidelijk, en misschien wel de duidelijkste in deze reeks.
Maar gelukkig kan het ook onduidelijker, zoals op de site concernvoorwerk.nl. Hier is het mogelijk om te kiezen uit “Akkoord”, “x” en “x”. Wat doen die “x” knoppen precies?
Drie handelingen nodig om uit te schakelen
Tot slot nog een van onze favoriete sites: vng-international.nl. Dit is een favoriet van basisbeveiliging omdat dit domein zorgt dat de Vereniging van Nederlandse Gemeenten een van de slechtst beveiligde organisaties is op de gemeentekaart. De cookiebanner op deze site is dubbel gemeen: een bezoeker moet naar het slechter vormgegeven “settings” en daar moet het vinkje marketingscookies eerst worden uitgezet. Daarna moet alsnog op “Accept” worden geklikt wat natuurlijk verwaarend is.
Tot slot: hoe moet het dan wel?
Hier ligt een hele grote valkuil: aangeven hoe goede cookiebanners er uitzien. Dat zou betekenen dat het gebruik van deze banners en de tracking erachter wenselijk is. Wij lopen daarom met een grote boog om deze valkuil heen.
Ook het gebruik van scripts van derde partijen is niet wenselijk. De enige externe partij waar iets van mag worden opgevraagd is een andere site van dezelfde organisatie of de overheid.
Er zijn 335 overheidssites van maar dan 20 pagina’s die voldoen aan deze eisen. Het kan dus wel! Opvallend is dat het vele verschillende opdrachtgevers zijn die het is gelukt. Deze meting is uitgevoerd tot 200 pagina’s en maximaal 3 lagen diep per domein.
Helaas lukt het alleen de centrale overheid om aan deze eisen te voldoen. Gemeenten, provincies en waterschappen blijven achter door vaak dezelfde externe diensten.
Onderstaande afbeelding is op 4K te downloaden. Deze bevat 289 verschillende cookie vraagstellingen vanuit verschillende vormgevingen en technieken. Klik op de afbeelding om deze te downloaden.
Bijlage B: Collage smaakjes cookiebanners
Een van de meest toegepaste cookiebanners lekt op 25 sites volgcookies. Deze heet “cookieSettingsOverlayToggle”. Het leuke van deze banner is dat beheerders een eigen kleurtje kunnen instellen. Wij sparen ze allemaal!
Bijlage C: Toestemming of Weigeren
Bezoekers kunnen op 51 verschillende manieren accepteren: Aanvaarden, Accept, Accept All, Accept Cookies, Accepteer, Accepteer Al Onze Cookies, Accepteer Alle Cookies, Accepteer Alles, Accepteer Cookies, Accepteren, Accepteren En Doorgaan, Akkoord, Akkoord Met Cookies Van Derden, Akkoord Met Functionele Én Marketing Cookies, All Cookies, Alle Cookies, Alle Cookies Accepteren, Alle Cookies Toestaan, Alle Toestaan, Alles Aanvaarden, Alles Accepteren, Alles Toestaan, Allow All, Cookies Accepteren, Cookies Toestaan, Geen Probleem, I Agree, Ik Accepteer Alle Cookies, Ik Begrijp Het, Ik Ga Akkoord, Ik Snap Het, Ik Stem Met Alles In, Ja, “Ja, Dat Is Prima”, “Ja, Ik Accepteer”, “Ja, Ik Accepteer Cookies”, “Ja, Ik Accepteer Deze Cookies”, Keuze Opslaan, Ok, Opslaan, Prima, Prima, Ik Sta Dit Toe, Prima!, Sluit, Sluiten, Sta Cookies Toe, Toestaan, Verberg Deze Melding, Verbergen, Voorkeur Opslaan, Yes, I Accept Cookies From This Website
Ook kunnen ze op 50 manieren weigeren: Afwijzen, Akkoord Met Enkel Functionele Cookies, Alle Cookies Weigeren, Alle Weigeren, Alleen Anonieme Cookies, Alleen De Functionele Cookies, Alleen Functionele Cookies, Alleen Noodzakelijk, Alleen Noodzakelijke Cookies, Alleen Noodzakelijke En Analytische Cookies, Alles Afwijzen, Alles Weigeren, Cookie Instellingen Aanpassen, Cookies Niet Toestaan, Cookies Weigeren, Deny, Enkel Noodzakelijke, Enkel Noodzakelijke Cookies, Ik Ga Niet Akkoord, Ik Stem In Met Selectie, Liever Niet, Minimale Cookies, Nee, “Nee Bedankt”, “Nee, Bedankt”, “Nee, Bedankt.”, “Nee, Dank Je”, “Nee, Ik Accepteer Deze Cookies Niet”, “Nee, Ik Accepteer Geen Cookies”, “Nee, Ik Accepteer Niet”, “Nee, Liever Niet”, “Nee, Weiger Cookies”, Niet Accepteren, Niet Akkoord, Niet Nu, No, No, I Do Not Accept Cookies From This Website, No, Thanks, Ok, Opslaan, Opslaan En Sluiten, Reject All, Save, Weiger, Weiger Cookies, Weigeren, X, Zelf Instellen, Zet Cookies Uit
Bijlage D: Tabel met verschillende keuzes
De 154 combinaties met antwoorden kwamen we tegen tijdens het onderzoek.
Er is in totaal op 310 sites succesvol automatisch het cookiebanner gedetecteerd en geaccepteerd. In totaal zijn er 394 sites met een banner maar deze zijn niet allemaal succesvol geautomatiseerd (automatisch toestemming geven of weigeren).
Dit gebrek aan automatisering heeft een veelheid aan oorzaken, maar is vooral toe te schrijven aan broosheid en lastige detecteerbaarheid van de banner. Het is zeldzaam dat een cookiebanner eenvoudig geautomatiseerd kan worden. Enkele voorbeelden:
Sommige banners heten technisch hetzelfde, bijvoorbeeld: “consent_banner” maar hebben knoppen die anders zijn vertaald. Als de software dan zoekt naar “Accepteren” terwijl er “accepteren en doorgaan” staat, gaat toestemming geven niet lukken. Het is veel werk om per site en per banner te zien of de vertaling weer ander is.
Een andere reden is dat het detecteren van de banner kan afhangen van de layout. In sommige gevallen is de layout van de site niet stabiel. Deze krijgt per bezoek of per maand andere interne technische namen. Dan heet iets niet “consent_banner” maar “consent_banner_8eh1oi2ue” of zijn er helemaal geen namen waardoor een verschuiving al e.e.a. kan breken.
Voor het visitor_info1_live cookie wordt er dus op 310 domeinen van de 394 met banner gekeken.
Er zijn 41 banners die niet werken, maar het is niet bekend of deze in alle gevallen niet werken of dat er sprake is van een fout in de inrichting. We weten zeker dat op 30% van de sites sprake is van lekkende cookies terwijl er een cookiebanner aanwezig is.
Lekkende banner
Lekkende Sites
#btnAdjustCookieSettings
1
#cookie-law-info-bar
5
#cookie-outer
2
#cookie_tool_small
1
#cookiefloater
1
#cookieinfo-banner
1
#cookieInfoWindow:
1
#Cookies_question
2
#cookieSettingsOverlayToggle
25
#cookieWarningDiv
1
#CybotCookiebotDialog
5
#CybotCookiebotDialogBodyButtonAccept
2
#hs-eu-cookie-confirmation-button-group
2
#js-cookieTextContainer
1
#moove_gdpr_cookie_info_bar
1
#ppms_cm_popup_overlay
1
#tracking-cookies
1
#we-use-cookies
1
‘Alles accepteren’
1
cookieconsent
3
Sluit cookiemelding
2
.avia-cookie-consent
1
.cc-cookies__container
1
.ccc-banner__text
1
.cky-consent-bar
6
.cookie-banner-container
2
.cookie-consent
1
.cookie-message__outer-container
1
.cookie-notification-bar
1
.CookieBar_cookieBarContainer__U9O9H
2
.cookieconsent__cookiebar
1
.eu-cookie-compliance-banner
1
.eu-cookie-compliance-secondary-button
4
.js-accept-cookie
1
.js-cipix-cookiecontrol
1
.js-consent
1
.js-cookies-allow
2
.optanon-alert-box-wrapper
1
.osano-cm-dialog–type_bar:
1
.wpgdprc-consent-bar:
1
div.cmplz-cookiebanner
4
Bijlage F: Overheidssites zonder externe bronnen en zonder tracking
Eigenaar
Website
Pagina’s
Externe Bronnen
Academie voor Internationale Betrekkingen (AIB/BUZA)
Overzicht van grotere overheidssites zonder tracking en externe scripts
Disclaimer
De metingen komen van november 2023. Dat betekent dat sommige websites inmiddels zijn bijgewerkt / aangepast.
Na 100 verschillende cookiebanners zijn we gestopt met tellen en automatiseren. Het vermoeden is dat er in totaal rond de 150 technisch verschillende cookiebanners in gebruik zijn. Per ±20 sites is er een nieuwe cookiebanner.Begin december, na het onderzoek, vonden we nog bijna 750 nieuwe sites van de overheid.
Er zijn 1911 overheidssites gemeten. Er is begonnen met een lijst van 2600 domeinen, hieruit zijn alle redirects en niet bestaande domeinen gefilterd.
Domeinen zijn tot 3 lagen diep en tot 200 pagina’s gemeten.
Door de grote hoeveelheid overheidssites kan het zijn dat sommige sites niet (meer) van de overheid zijn. We gaan uit van een niet significante hoeveelheid sites: ze zijn allemaal door mensen bekeken en wat afwijkt lijkt in ieder geval op een overheidssite.
Om DANE te kunnen gebruiken is het gebruik van een andere veiligheidseis nodig: DNSSEC. De toepassing van DNSSEC is gangbaar: 100% van de waterschappen en provincies passen dit toe. Ook is het bij 99% van de gemeentedomeinen in gebruik. Cybersecuritybedrijven en politieke partijen zijn hier minder goed in met respectievelijk 79% en 72%.
Microsoft ondersteunt DANE vanaf maart 2024 middels opt-in. Vanaf juli 2024 is het standaard. Het is dus een beetje flauw om dit nu af te keuren op duizenden domeinen, terwijl het over een maand goed is in te stellen.
Met deze uitzondering komen bijna alle onvoldoende metingen te vervallen. De exacte getallen worden in de komende dagen te staan op basisbeveiliging.nl.
Daarom wordt er vanaf 15 februari een uitzondering toegevoegd voor DANE op Microsoft domeinen. Deze uitzondering vervalt automatisch op 1 juli 2024. Dit raakt ongeveer 2000 gemeten domeinen.
Kleine correctie: er stond dat de meting alleen de richtlijn van het NCSC meten, maar we meten daarbij ook nog of DANE wordt toegepast in dezelfde meting. We zijn aan het kijken of we de NCSC en DANE meting moeten loshalen.Tot nader bericht kan het zijn dat wel wordt voldaan aan de richtlijn van het NCSC, omdat DANE daar (nog) als overweging wordt aangedragen. Het gebruik van DANE voorkomt een bekende kwetsbaarheid, zie links in dit artikel.
Sinds juli 2023 is versleuteling verplicht op alle overheidswebsites. Toen de wet inging voldeed 33% van de overheidssites niet. Het is nog niet bekend wanneer een zelfde soort wet voor e-mail gaat gelden, maar gezien de gevoeligheid van post kan iedereen zien aankomen dat een verplichting niet al te lang meer op zich laat wachten.
Technisch gezien kan mail, net als een website, volgens de NCSC richtlijnen worden versleuteld. Maar er is een belangrijk verschil: van oudsher gaat het afleveren van mail boven versleuteling. Stel dat een mailverwerker alleen hypermoderne cryptografie gebruikt dan kan het zijn dat de mail deels onversleuteld wordt verwerkt. Het is voor een mailverwerker dus van belang om óók minder moderne versleuteling te bieden als achtervang.
Het opzetten van een veilige verbinding gebeurt met opportunistic TLS. De eerste stappen hiervan zijn onversleuteld en dit zorgt voor zwaktes die weer met andere technologieën zoals DANE worden opgelost.
De metingen zijn vanaf 7 februari in te zien op basisbeveiliging.nl. Ontbrekende versleuteling wordt nu beoordeeld met oranje, later dit jaar is dat rood. Niet voldoen aan de richtlijnen van het NCSC blijft voorlopig oranje. Deze meting is september 2023 aangekondigd.
De nieuwe metingen en omvang onderzoek
Deze nieuwe meting bestaat uit twee delen. De eerste is of versleuteling mogelijk is. De tweede is of deze ook kan voldoen aan de richtlijnen van het NCSC. De meting wordt ontwikkeld en onderhouden door internet.nl.
De meting wordt uitgevoerd vanaf de verzendende partij naar de eerste ontvanger. Dus vanaf een burger naar @rijksoverheid.nl. Er wordt niet gemeten of de ontvangende partij zelf in staat is veilig te mailen.
In totaal zijn er 3284 hoofddomeinen gecontroleerd waarop wordt aangegeven dat er iets met e-mail gebeurt (MX). Daarvan waren er 812 die mail weigeren (null MX). Op een domein is het gebruikelijk om meerdere mailservers in verschillende prioriteiten aan te bieden ter redundantie. In 317 gevallen konden niet alle servers van een domein worden gemeten: bijvoorbeeld door beperkte bereikbaarheid. Uiteindelijk is er op 2155 hoofddomeinen een volledige meting uitgevoerd. Er zit een lichte dubbeling in het aantal hoofddomeinen omdat sommige domeinen op meerdere kaarten staan of onder meerdere organisaties vallen. Van de 3284 domeinen zijn er 3075 uniek.
Versleuteling ontbreekt op 19 domeinen
Op 2144, ofwel 99.49%, van alle hoofddomeinen wordt versleuteling toegepast. De onderstaande 10 zijn dus de enige hoofddomeinen waar versleuteling ontbreekt.
Het gaat hier om het hoofddomein van een securitybedrijf, een politieke partij, vijf domeinen uit de zorg en drie van de overheid.
Van de overheden komt de centrale overheid er met 44% er het beste vanaf. Dus wordt er in 56% niet voldaan aan de eisen. Alle andere overheidslagen scoren slechter.
Voldoet aan richtlijn NCSC
Voldoet niet aan richtlijn NCSC
Centrale overheid
44% (429)
56% (553)
Gemeenten
41% (160)
59% (226)
Waterschappen
26% (6)
74% (17)
Provincies
23% (3)
77% (10)
Veiligheidsregio’s
6% (1)
94% (16)
Veilige e-mail op hoofddomeinen van de overheid
Bij de overige lagen zien we dat de cybersecuritybedrijven het slechtst scoren. Slechts 14 van de 141 bedrijven past voldoende veilige versleuteling toe. We zagen al eerder dat deze sector op alle metingen slecht scoort.
Voldoet aan richtlijn NCSC
Voldoet niet aan richtlijn NCSC
Zorg (Ziekenhuizen, GGD)
43% (234)
57% (311)
Politieke partijen
21% (7)
79% (27)
Cybersecuritybedrijven
9% (14)
91% (141)
Veilige e-mail op hoofddomeinen bij zorg, cybersecurity en politieke partijen.
De metingen zijn terug te vinden op basisbeveiliging.nl. Daar is dus precies te zien welke organisaties wel en niet voldoen.
Onlangs is het klassement live gegaan. Hierin kan je doelgroepen met elkaar vergelijken op alle metingen. Lees meer hierover in de blogpost.
Upgrades overzicht metingen
De voorste pagina van het rapport bevat een overzicht van alle metingen. Dit wordt o.a. gebruikt voor compliance door een aantal organisaties. Om dit nog makkelijker te maken zijn de volgende dingen toegevoegd:
Er staat een datum & tijd op de volledige schermweergave
De lijst is als CSV te downloaden, zodat deze makkelijk te delen is met collega’s
Als iets vaker dan 1x voorkomt staat het erbij
Het verklaringssymbool verschijnt nu alleen als alle bevindingen zijn verklaard
Voorbeeld aantallen in overzichtVoorbeeld datum en tijd voor compliance doeleinden
Onlangs bekeken
Op de voorpagina en de rapportenpagina staan nu de onlangs bekeken rapporten. Deze lijst wordt in de browser opgeslagen en scheelt weer wat klikken.
Totalen slechtste en beste
De totalen van beste en slechtste worden nu in de tabbladen weergegeven, zoals te zien is in de schermafbeelding hieronder.
Overige kleine wijzigingen
De kaart voor de zorg heeft twee subkaarten: GGD en Ziekenhuizen
Er zijn ±15.000 domeinen uit de database verwijderd die al een tijd op “soft delete” stonden.
De kaarten laden iets sneller omdat popups nu ad-hoc worden aangemaakt
De keuzenlijsten van organisaties bij rapporten en de voorpagina worden nu per 100 stuks ingeladen, in plaats van alles in 1x, dat is sneller. Zoeken werkt nog hetzelfde.
Er is een uitzondering gemaakt op basis van ISP. Voor cloudflare keuren we een bepaalde open poort goed (tijdelijk).
Status pagina bijgewerkt voor previews van nieuwe kaarten.
Vanaf vandaag staat er een klassement op basisbeveiliging.nl. Hierop zie je per meting wie het best en slechtst scoort. Bepaal zelf welke van de 30 doelgroepen je wil vergelijken. Bijvoorbeeld de overheid tegenover de zorg en de cybersecurity sector.
Wie per meting het best scoort krijgt een groen hartje 💚, wie het slechtst scoort krijgt het objectieve en wetenschappelijk correcte poep emoji: 💩. In het geval dat een doelgroep 100% alles op orde heeft dan krijgt die een fonkelend roze hart 💖. In het geval van de huidige 23 metingen zijn er dus 23 groene hartjes te verdienen en 23 poepjes te ontlopen.
Naast dat je zelf de doelgroep kan kiezen, kan je ook de volgorde bepalen van zowel de metingen als de doelgroepen. Daardoor is een rapport te maken dat aansluit op de prioriteiten van je organisatie(s). Deze volgorde wordt in de adresbalk bewaard, zodat deze is te delen. Tenslotte is het overzicht te downloaden als CSV bestand, zodat je het ook makkelijk kan mailen.
Voorbeelden
Hieronder staan drie links naar voorbeeldklassementen. Deze worden hieronder ook kort besproken in dit artikel.
Disclaimer: De screenshots in dit artikel zijn momentopnamen van 23 januari 2024. Deze lijst wordt dagelijks bijgewerkt. De afbeeldingen linken naar het actuele klassement van de besproken lagen.
In onderstaande afbeelding een voorbeeld van de vier overheidslagen: centraal, provincies, waterschappen en gemeenten. Je ziet bijvoorbeeld dat waterschappen op e-mail goed scoren. Ook zie je dat de waterschappen het beste scoren, daarna provincies, gemeenten en dan de centrale overheid.
Klassement tussen de vier overheidslagen. Klik op de afbeelding om naar de actuele klassementspagina te gaan.
Klassement drie doelgroepen: overheid, cyber en zorg
De verdeling ziet er totaal anders uit wanneer drie grote doelgroepen met elkaar worden vergeleken: overheid, cyber en zorg. In dit geval komt de overheid er verreweg het beste vanaf. De lage scores worden nagenoeg gelijk verdeeld over de zorg en cyber. Bijvoorbeeld het aantal illegaal geplaatste tracking cookies is het hoogst bij de cybersecurity. Hopelijk veranderd dit beeld nog sterk.
Klassement tussen overheid, cyber en zorg. Klik op de afbeelding om naar de actuele klassementspagina te gaan.
Met een van de kleinere domeinportfolio’s doet MinAZ het verreweg het beste en scoort zelfs op 5 punten perfect. De alfabetische volgorde lijkt ook voor positie 2 de juiste, want MinBZK scoort daarna het best met 4 groene hartjes. Daarmee nemen deze twee samen al zo’n 70% van de positieve punten voor hun rekening.
De negatieve punten worden vooral verdeeld onder BZ, JenV, Defensie en OCW. Waarbij wel gezegd moet worden dat Defensie ook twee punten 100% goed heeft uitgevoerd.
Tot slot is er nog een heldere middenmoot: deze doen het nergens het beste of het slechtste. In het screenshot staat EZK, maar ook VWS krijgt in dit klassement een hartje noch poep emoji.
De eerste vijf van de twaalf ministeries in het klassement tussen de ministeries. Klik op de afbeelding om naar de actuele klassementspagina te gaan.
2023 is het eerste jaar dat Basisbeveiliging onderdeel is van overheidsbeleid. Hierdoor is het project verder geformaliseerd met o.a. een code of conduct. Formalisering van de stichting is eind 2023 in gang gezet met o.a. een nieuwe bestuurder.
Het aantal meetpunten is dit jaar met meer dan 10 toegenomen. Mede dankzij nieuwe metingen van projecten als internet.nl, nmap en Nuclei. Ook hebben we zelf een aantal metingen ontwikkeld of aangescherpt. O.a. met dank aan SIDN en RIPE voor het gebruik van data hiervoor.
De twee invloedrijkste metingen van 2023 waren: login portals (Login Plaza / phpMyAdmin) en het gebrek van juiste HTTPS bij de overheid (Wet Digitale Overheid).
Privacy is een van de nieuwe onderwerpen geworden van de metingen dit jaar. We meten o.a. de locatie van servers en hoe men omgaat met volgcookies. Deze metingen haken in op het doel van MinBZK: een burger moet onbespied een website van de overheid kunnen bezoeken.
Er zijn vijf nieuwe kaarten toegevoegd: één voor ieder van de drie bijzondere gemeenten (BES eilanden, openbare lichamen), een kaart met politieke partijen en eentje met cybersecuritybedrijven. Die laatste is ook aangekondigd door branchevereniging Cyberveilig Nederland aan haar leden. We meten nu ook onszelf.
Qua community heeft de stichting nu een Discord server waardoor onze bereikbaarheid verder is toegenomen. Hierop werd tweewekelijks een meeting georganiseerd maar deze moet opnieuw worden ontwikkeld om het interessant te houden. Er zijn 3 fysieke pizza sessies gehouden bij hackerspace Hackalot in Eindhoven, deze blijven onverminderd succesvol.
Er zijn diverse uitingen gedaan over het project door derden. Onder andere heeft het CIP de actuele meting per organisatie meegenomen in haar halfjaarlijkse signalering naar overheden. Er is een aantal keer over resultaten geschreven door binnenlands bestuur en digitale overheid.
De stichting heeft ±15 deelnemers weten te vinden die het project een warm hart toedragen. Ook heeft de stichting haar eerste betaalde onderzoek mogen uitvoeren. Het CIP verstrekt een subsidie voor het project. Ook dank aan onze sponsor CoBytes voor hosting en ondersteuning!
Voor basisbeveiliging en de Internet Cleanup Foundation was dit een geweldig jaar. We bedanken graag iedereen die het project heeft gesteund. Ook dank aan de vele bezoekers/gebruikers van de site: zij hebben een enorme hoeveelheid beveiligingsproblemen opgelost. Dat is waar we het voor doen: een veiliger Nederland.
Fijne dagen en een veilig en gezond 2024 gewenst!
Onderdeel van overheidsbeleid en formalisering project en stichting
Dat is een grote eer, wat ook vereist dat we als project en stichting verder professionaliseren. Daarin zijn in 2023 een aantal stappen gezet. Een van de belangrijkste is onze code of conduct: hierin staat binnen welke ethische grenzen we handelen.
Daarnaast hebben we een aantal stukken geschreven die transparant maken hoe we werken. Bijvoorbeeld is er nu een meetbeleid waarin staat wat gemeten wordt, hierop kennen we ook een aantal uitzonderingen. Een publicatiebeleid waarin staat wat we publiceren en welke afwegingen worden gemaakt. De stichting heeft nu ook een disclaimer. Voor organisaties die op een nieuwe kaart worden geplaatst vatten we deze stukken samen in een how-to.
De geformaliseerde werkwijze heeft er ook voor gezorgd dat er dit jaar duizenden e-mails zijn verstuurd rondom aankondigingen van nieuwe metingen en organisaties die binnenkort op de kaart staan. Zo kunnen zij zich voorbereiden op wat gaat komen.
Het jaar samengevat in Cijfers
Website
13 nieuwe publieke meetpunten, nog 3 aangekondigd
5 nieuwe kaarten
±5.000 bezoeken per maand (baseline, zonder acties)
Sinds eind december wordt er gebruik gemaakt van Matomo, een on-premise statistiekplatform. Hierdoor wordt het duidelijk welke delen van de site populair zijn en welke niet. Op basis van deze gegevens wordt de site in 2024 verder geoptimaliseerd. Op basis van een extrapolatie van doordeweekse bezoeken wordt de site ±5000 keer per maand bezocht: daarbij hebben we nog geen beeld hoeveel effect acties en aankondigingen hebben.
Nieuwe domeinen
Gemeten op 7 december
Nieuwe domeinen
Kaart / Totaal
22988
Overheid
9522 (+25%)
Cybersecuritybedrijven
4490 (nieuwe kaart)
Politieke partijen
3469 (nieuwe kaart)
Gemeenten
3050 (+10%)
Zorg
2229 (+9%)
Provincies
128 (+9%)
Waterschappen
59 (+4%)
Veiligheidsregios
41 (+4%)
Aantal nieuwe domeinen op basisbeveiliging
Nieuwe kaarten / doelgroepen
Kaart Cybersecuritybedrijven
1 december is er een kaart toegevoegd met de veiligheid van cybersecuritybedrijven. We vonden dat deze in 20 van de 23 metingen slechter scoren dan de overheid. De bedrijven zijn bezig met het verhogen van hun eigen baseline en het aantal organisaties dat groen scoort is in een week na lancering gegroeid van 3 naar 6: nog 124 te gaan.
Kaart met veiligheid van cybersecuritybedrijven
Kaart Politieke partijen
De andere nieuwe doelgroep is de landelijke politiek. We vonden dat geen van de partijen voldoende scoorde. Er zijn 70 partijen gemeten, dit is later teruggebracht naar 26 die meededen aan de Tweede Kamerverkiezingen. Geen van de partijen scoorde voldoende. De initiële top 3 onveiligste partijen bestond uit Bij1, VVD en de Piratenpartij. In de aanloop van de verkiezingen lostte 7 politieke partijen bevindingen op en zijn een stuk veiliger geworden. Dit waren de Piratenpartij, SGP, PvdD, 50+, Volt, CU en BBB. 116 hoge en 488 midden risico’s werden opgelost. De top 3 onveiligste partijen tijdens de verkiezingen waren Bij1, VVD en D66.
Kaart politieke partijen op 6 december 2023
Kaarten bijzondere gemeenten
De kaarten van Bonaire, St Eustatius en Saba staan nog in de beginfase en bevatten op dit moment nog maar 1 organisatie per stuk. De bedoeling is om in 2024 de rest van de overheden en andere relevante publieke dienstverlening op deze eilanden (mits aanwezig) toe te voegen. Daarbij moet nog worden uitgezocht of hiervoor nog speciale uitzonderingen moeten worden gemaakt.
Nieuwe kaarten van de bijzondere gemeentes Saba, St. Eustatius en Bonaire
Nieuwe metingen
In 2023 zijn er 13 nieuwe meetpunten gepubliceerd. Er zijn nog 3 meetpunten vooraangekondigd die nog niet zijn gepubliceerd.
Tijdlijn publicatie nieuwe meetpunten 2023
Januari
Er wordt gecontroleerd op versienummers. Omdat versienummers alleen bruikbaar zijn voor aanvallers dienen deze niet gepubliceerd te worden. Lees verder.
Februari
De metingen over RPKI en Security.txt van internet.nl zijn toegevoegd. In de plaatjes hieronder zie je de adoptie van security.txt bij Nederlandse gemeenten. Links Mei 2023 met 32 organisaties. Rechts November 2023 met 179 gemeenten die dit gebruiken. Lees verder.
Maart
Er zijn metingen toegevoegd over website headers en login portals. We vonden dat er meer dan 300 phpMyAdmin installaties open stonden op sites van de overheid. Dit aantal hoort 0 te zijn. Lees verder.
April
Privacymetingen zijn toegevoegd. Er wordt gekeken of een bezoek aan een website gedeeld wordt met 3e partijen. Wanneer dit een van de grote marketingsbedrijven is wordt dit als onvoldoende gemarkeerd.
Mei
Er wordt gemeten op eigenaarschap van domeinen. Met toestemming van het SIDN wordt automatisch gekeken of de “registrar” staat op de juiste organisatie. We vonden dat 8% van de domeinen niet herleidbaar is naar de overheid. Lees verder.
Juli
De Wet Digitale Overheid is ingegaan. Dit vereist dat websites van de overheid alleen bereikbaar zijn via een versleutelde verbinding, en dat deze versleuteling wordt afgedwongen met een HSTS header. We vonden dat 33% van de overheidsdomeinen niet voldeed aan deze eisen bij de ingang van deze wet. Lees verder.
Augustus
We hebben gemeten waar e-mail servers en webservers worden gehost. We vonden dat 3% van de webservers in de VS staat, en 10% van de mailservers. Daardoor wordt er veel verkeer gedeeld met een gebied waar andere wetten gelden. Er zijn drie pogingen gedaan om dat te legaliseren, grote kans dat het weer opnieuw illegaal wordt. Lees verder.
Ook is in augustus onderzoek gedaan naar het gebruik van Google Analytics bij de overheid. We vonden dat 23% van de installaties gegevens lekt naar Google Ads: dit is verboden zonder toestemming. Lees verder.
November
Er wordt gemeten hoeveel verboden tracking cookies worden geplaatst op sites van de overheid en andere gemeten doelgroepen. We vonden dat op 4% van de hoofdsites van de overheid sprake is van tracking cookies. In totaal gaat het over honderden domeinen waar dergelijke cookies worden uitgegeven. Lees verder. De actuele stand van zaken is te zien op de speciale tracking cookies pagina.
December
t.b.d.
Nieuwe features
Bijna iedere maand zijn er nieuwe features opgeleverd voor basisbeveiliging. De onderstaande slide geeft daar een beeld van.
Tijdlijn nieuwe features op basisbeveiliging.nl in 2023
Januari
Follow-up scans toegevoegd. Sommige meetresultaten vragen om een bevestiging of uitzondering. Deze wordt uitgevoerd met een follow-up. Het is mogelijk om een serie aan metingen uit te voeren afhankelijk van de uitkomsten van een eerdere meting. In de praktijk worden er 5 follow-up scans gebruikt.
Februari
Er zijn een paar nieuwe scanners toegevoegd. Nuclei en OpenWPM.
Maart
Het maandoverzicht geeft nu per kaart de grote cijfers en trendlijnen per meting weer. Een voorbeeld is hier te vinden.
Gezien de grote hoeveelheid organisaties is een zoekbalk toegevoegd op de voorpagina.
De zoekbalk ondersteunt vanaf nu niet alleen de namen en domeinen van organisaties maar ook de alternatieve (oude) namen of namen vanuit de volksmond. Dit is vooral praktisch wanneer een overheidsorganisatie van naam wijzigt zoals Agentschap Telecom naar Rijksinspectie Digitale Infrastructuur. Als extra is het mogelijk om te zoeken op alternatieven namen zoals Oeteldonk voor ‘s-Hertogenbosch en Torenstad voor Zutphen. Ook middeleeuwse namen van steden zijn toegevoegd. Dit staat op de voorpagina, hier.
Publicatie van documentatie: meetbeleid en “binnenkort op basisbeveiliging, wat nu”.
Bevindingen hebben nu ook een OpenCRE (Common Requirement Enumeration) nummer. Hierdoor linken bevindingen naar eisen uit standaarden zoals CWE, CAPEC, NIST-800 53, NIST-800 63b, Cloud Control Matrix, ISO27001, ISO27002, en NIST SSDF.
De HSTS meting is herschreven en er is een G1 overheidscertificaat toegevoegd als vertrouwd.
Een volgcookie dashboard en monitor toegevoegd aan het hoofdmenu van de website.
Dashboard volgcookies geeft aan hoeveel % van de gemeten organisaties ongevraagde volgcookies plaatst
De kaarten van waterschappen en veiligheidsregio’s zijn opgeruimd. Ook maken ze nu gebruik van vlakken, waardoor goed te zien is welk gebied valt onder welk waterschap / veiligheidsregio. Dit ziet er ook mooier uit op de website.
Kaarten met gebieden van waterschappen en veiligheidsregio’s
Rapporten zijn nu beter deelbaar met directe links naar een specifiek domein en tabblad. Bijvoorbeeld cookies op een bepaalde website.
Ook hadden we een stand op de ONE conference. In de ochtend zag deze er zo uit:
Stand op de ONE conference
LinkedIn posts
Indrukken
Interacties (likes e.d.)
Comments (geschreven)
Reposts (gedeeld)
Onderwerp / TOTAAL
162158
1706
158
102
Nieuwe kaart Cybersecuritybedrijven
10929
131
11
12
Ongevraagde Tracking Cookies
5110
81
1
7
7 politieke partijen veiliger
3745
50
3
8
Cyber kaartje ONE
2481
44
3
1
Post-ONE conference
2769
93
3
2
Veiligheid Politieke partijen
5891
92
16
8
Google Analytics
9186
87
4
13
Diensten buiten de EU
13224
167
17
5
Wet WDO / Ontbreken HTTPS
34590
280
31
14
Vooraankondiging spreken ONE
3940
96
9
1
8% domeinen zonder whois
5468
62
3
7
10% phpMyAdmin Weg
7898
85
7
2
Login Portals / phpMyAdmin
45609
304
41
16
1800 overheidssites
8463
86
4
5
Actieplan Cybersecurity
2855
48
5
1
En er zijn wat followers bijgekomen, nu op 783 🙂
Helpdeskverzoeken
Dit jaar hebben we het concept van “bedankt” en “we gaan ermee aan de slag” mails toegevoegd. Dit om de hoeveelheid interacties te verhogen en een idee te krijgen wie de site gebruikt. We hebben ook enkele fanmails ontvangen. Ook is er 5x gebruik gemaakt van de sticker swap.
We hebben de volgende aantallen mails ontvangen (tot 6 dec 2023):
250 verklaringen en/of hulpvragen. De belangrijkste onderwerpen waren HSTS, verklaringen rondom niet vertrouwde TLS verbindingen en onjuiste metingen (bugs en uitzonderingsgevallen).
70 “we gaan ermee aan de slag” e-mails
1 “dank voor het meten” e-mails
Sponsoring
Onze hoster CoBytes heeft dit jaar een aantal abuse meldingen weggewerkt naar aanleiding van de metingen voor Login Plaza. Ook is onze servercapaciteit geüpgraded van 32 naar 72 gig ram, waardoor er ruimte is ontstaan voor complexere metingen. Waarvoor uiteraard veel dank!
Onze andere sponsoren Sentry en Gitlab blijven ons ook ondersteunen.
Merch / Ontwerpen
Er zijn 3 fysieke items gemaakt: 2 soorten stickers, 2 soorten dibond borden en een cyber penning.
De phpMyAdmin sticker is gemaakt n.a.v. Login Plaza, waar was ontdekt dat de overheid 300 installaties van phpMyAdmin online heeft staan. We hebben het project voorzien van een passend (mooier) logo. Dit blijven we doen tot het aantal installaties op 0 staat. Waarschijnlijk betaald de overheid ook niets voor deze software, maar plukt hier wel de vruchten van.
De Niet Veilig sticker is een sticker voor algemeen gebruik. Het is een verwarrend ontwerp wat groen en een positieve vink gebruikt om te zeggen dat iets niet voldoet. De stickers hebben een formaat van 5×5 centimeter.
De Cyber penning is gemaakt voor de ONE conference. Deze is gemaakt van fluor oranje plastic met een gouden folie opdruk. Het formaat is 9x5x0.1cm. Tijdens de ONE zijn er 420 penningen weggegeven.
Contactinformatie
Meer informatie over de stichting staat op de “over ons” pagina, hier.
Cybersecuritybedrijven zijn de fundering van de Nederlandse online veiligheid. Van de vitale sector tot de rijksoverheid: alle organisaties die iets voor de maatschappij betekenen gebruiken diensten van deze bedrijven. Bijvoorbeeld voor het oplossen van een digitale brand tot aan het testen van de online weerbaarheid.
Maar hoe goed zijn deze bedrijven zelf eigenlijk beveiligd? En waar ga je naar toe als deze bedrijven het niet goed doen? Vanaf 7 december 2023 laat basisbeveiliging.nl zien hoe het staat met de online basisveiligheid deze sector. We meten doorlopend meer dan 4000 domeinen van 130 bedrijven.
Het doel van deze meting is om de Nederlandse cybersecurityindustrie als meester in hun vak neer te zetten. Helaas zit de sector nog niet op het gewenste niveau. De sector is bedenker van veel van de veiligheidsmaatregelen die we meten.
Belangrijkste bevindingen
Slechts enkele van de 130 gemeten organisaties scoren goed op alles, een stuk of 20 komen heel dicht in de buurt. Op het hoogtepunt scoorden 3 organisaties goed.
De overheid scoort beter op 20 van de 23 gemeten punten. Op 7 punten meer dan 10%.
Gemeenten scoren beter op 18 van de 23 gemeten punten. Op 8 punten is het verschil meer dan 10%.
Op dit moment worden er 124 tracking cookies geplaatst zonder toestemming
Tijdslijn
In de cyberwereld werkt men met een tijdslijn wanneer een nieuwe kwetsbaarheid openbaar wordt gemaakt. Voor de vorm:
17 jul: branchevereniging Cyberveilig Nederland stuurt vooraankondiging aan haar leden
30 sep: Eerste vooraankondiging via e-mail en contactformulieren
4 okt: vooraankondiging op een presentatie + stand op de ONE Conference
16 okt: extra aankondiging naar bedrijven die óók op de kaart wilden
20 nov: laatste vooraankondiging
7 dec: publicatie
Een kleine 10 bedrijven heeft in de tussentijd gereageerd en e.e.a. opgepakt. Dit zijn zowel grotere als kleinere namen. Soms heeft dit geleid tot diepgaande interessante discussie. Ook is er een uitzondering gemaakt voor de sector.
Een aantal bedrijven hebben ons gevraagd om óók op de kaart te komen. Dat vinden we erg sportief en dat is hoe we de sector kennen.
Wie worden er gemeten
Deze meting gaat over cybersecuritybedrijven en -organisaties. Maar alleen die zich actief richten op de Nederlandse markt. Ze hebben hier een kantoor, tenminste twee medewerkers en “cyber” is onderdeel van de core business. Het kan natuurlijk zijn dat er een bedrijf teveel of te weinig op de kaart staat, als dat het geval is passen we dat natuurlijk op verzoek aan.
Voor deze bedrijven is een uitzondering gemaakt in de metingen. Zij mogen gebruik maken van bronnen van 3e partijen als Google en Facebook zonder dat invloed heeft op het oordeel. Voor de overheid zijn we dus strenger. Ongevraagd volgcookies plaatsen mag natuurlijk nog steeds niet.
Nog geen perfectie
Er is op moment van publiceren 1 organisatie van de 130 die alles op orde heeft. Op het hoogtepunt waren dit er 3, maar er zijn wat regressies geweest.
Op dit moment meten we 594 hoger risico kwetsbaarheden. Wij gebruiken wel een andere graadmeter voor risico’s dan de sector. Dat staat uitgelegd in ons publicatiebeleid. Het totaal aantal gemeten domeinen is 4490.
Zetten we de bevindingen van alle metingen onder elkaar, dan zie je dat er nergens 100% voldoende op wordt gescoord. Het beste scoort de fysieke locatie van de webserver met ±94%. De hekkensluiters zijn het weghalen van versienummers en de toepassing van de industriestandaard security.txt met respectievelijk ±4% en ±6%.
Een verklaring van onderstaande termen staat in het meetbeleid, maar is ook terug te zien op de statistiekpagina van cybersecuritybedrijven.
Maatregel
% goed
% Hoog
% Midden
% laag
DNSSEC
76.88%
23.13%
Kwaliteit van versleuteling
82.37%
0.35%
17.29%
Vertrouwen in versleuteling
90.64%
9.36%
Sites met ontbrekende versleuteling
75.94%
5.19%
18.87%
Veilig bestandsoverdracht (FTP)
87.17%
12.83%
Weghalen van versienummers
4.34%
7.54%
88.12%
Eigenaar van internetadres (WHOIS)
86.05%
13.95%
Fysieke locatie van webserver
93.87%
6.13%
Fysieke locatie van mailserver
78.86%
21.14%
Fysieke locatie bronnen website
9.95%
90.05%
TLS voldoet aan NCSC
33.77%
66.23%
Security.txt
5.7%
73.42%
20.89%
RPKI (website)
83.13%
16.88%
DMARC
88.67%
11.33%
DKIM
82.59%
17.41%
SPF
92.12%
7.88%
RPKI (e-mail)
91.3%
8.7%
Prio veilige versie website (HSTS)
63.54%
36.46%
Header: x-content-type-options
60.4%
39.6%
Header: x-frame-options
67.33%
32.67%
Website is volledig in eigen beheer
46.47%
53.53%
Website respecteert privacy
78.56%
21.44%
Website plaatst volgcookies
91.26%
8.74%
Cijfers veiligheid cybersecuritybedrijven December 2023
De overheid doet het beter…
We stelden aan het begin van dit artikel de vraag: Waar moet je naar toe als de cybersecuritybedrijven niet meer leveren? Blijkbaar is dat naar de overheid. Niet dat daar alles goed gaat, maar de overheid scoort beter (💚) op 20 van de 23 gemeten punten. Ook gemeenten scoren beter op 18 van de 23 punten. In een aantal gevallen is dat met meer dan 10% (💖).
Maatregel
Cyber % goed
Gemeenten % goed
Overheid % Goed
DNSSEC
76.88%
98.1% 💚💖
91.71% 💚💖
Kwaliteit van versleuteling
82.37%
91.36% 💚
90.32% 💚
Vertrouwen in versleuteling
90.64% 💚
84.29%
87.56%
Sites met ontbrekende versleuteling
75.94%
73.94%
83.38% 💚
Veilig bestandsoverdracht (FTP)
87.17%
95.92% 💚
89.05% 💚
Weghalen van versienummers
4.34%
8.1% 💚
8.97% 💚
Eigenaar van internetadres (WHOIS)
86.05%
91.35% 💚
90.83% 💚
Fysieke locatie van webserver
93.87%
96.86% 💚
97.36% 💚
Fysieke locatie van mailserver
78.86%
94.7% 💚💖
94.08% 💚💖
Fysieke locatie bronnen website
9.95%
7.47%
34.81% 💚💖
TLS voldoet aan NCSC
33.77%
75.99% 💚💖
59.49% 💚💖
Security.txt
5.7%
7.88% 💚
29.22% 💚💖
RPKI (website)
83.13%
96.92% 💚💖
94.4% 💚💖
DMARC
88.67%
98.18% 💚
93.47% 💚
DKIM
82.59%
95.07% 💚💖
68.78%
SPF
92.12%
97.98% 💚
96.78% 💚
RPKI (e-mail)
91.3% 💚
88.64%
89.9%
Prio veilige versie website (HSTS)
63.54%
86.22% 💚💖
76.68% 💚💖
Header: x-content-type-options
60.4%
80.75% 💚💖
66.43% 💚
Header: x-frame-options
67.33%
81.44% 💚💖
69.71% 💚
Website is volledig in eigen beheer
46.47%
45.14%
50.5% 💚
Website respecteert privacy
78.56%
86.7% 💚
86.81% 💚
Website plaatst volgcookies
91.26%
97.97% 💚
97.21% 💚
Verschil in toepassing van beveiligingsmaatregelen tussen cybersecuritybedrijven, de centrale overheid en gemeenten. De centrale overheid en gemeenten doen het in bijna alle gevallen beter.
Een meetresultaat weggevallen
We zien dat veel organisaties Cloudflare gebruiken. De uitzondering hierop is aangescherpt maar nog niet 100% dekkend uitgevoerd. Daarom is deze meetwaarde niet in bovenstaande tabel meegenomen. Van organisaties die cloudflare gebruiken verwachten we dat er op poorten 8080 en 8443 een cloudflare foutmelding langskomt wanneer hier niets op geconfigureerd staat.
Een achterliggende oorzaak?
De soms behoorlijk grote verschillen laten zich niet altijd verklaren. We hadden verwacht dat de cybersecurityindustrie zou voldoen aan de eisen die ze zelf heeft bedacht en test bij klanten. Mogelijk dat er veel sprake is van maatwerk op de eigen omgeving.
In de aanloop naar de publicatie hadden we meer verklaringen verwacht. We hadden het idee dat sommige tooling van deze bedrijven een bijzondere inrichting vereist die niet veilig oogt maar dat wel is. Tot nu toe zijn die verklaringen uit gebleven. Een verklaring over HSTS preloading hebben we afgeketst omdat dit een goede defense in depth maatregel is maar oude browsers niet dekt.
Een groot verschil tussen de overheid en de sector is dat de overheid eisen stelt aan zichzelf. Zo is er de pas toe of leg uit lijst van Forum Standaardisatie, hierop staan een aantal van de gemeten punten als eis opgesteld. Ook is er de wet digitale overheid dat een bepaald niveau van versleuteling vereist. Hier zie je dat de overheid meer dan twee keer zo goed scoort (76% vs 34%) op goede versleuteling. Verder zijn er diverse andere organisaties zoals het NCSC voortdurend bezig om de weerbaarheid van de overheid te vergroten. De cyberindustrie kan hiervan afkijken.
Blijvend huiswerk voor onszelf
De oorsprong van het idee om deze sector te meten was dat we ook onszelf wilden kunnen terugvinden op basisbeveiliging. We hebben ons dus ook toegevoegd op de kaart, al zijn we niet commercieel en houden we het bij de basis.
Op het moment van schrijven scoren we oranje. Dit was enkele weken goed, maar ergens is er iets omgevallen dus dat zijn we nu aan het oplossen. Toen we begonnen met onszelf te meten scoorden we 8 hoog, 14 midden en 56 laag. Dit was daarvoor nog hoger als je terugkijkt in de grafieken, vooral omdat we veel testdomeinen van anderen aan onze organisatie hadden gevoegd. Inmiddels scoren we 1 midden en 61 laag risico.
Een lastige bij het oplossen van problemen is de afhankelijkheid van leveranciers. Ook onze hostingsponsor CoBytes heeft weer een leverancier die RPKI moest instellen, dat is inmiddels gelukt. Ook zagen we dat de documentatie van dit project bij readthedocs stond, die Google Analytics gebruikt: daar zijn we dus weg.
Natuurlijk weten we bij onszelf nog wel wat kwetsbaarheden te vinden, dit zijn de “known knowns” in de industrie. Dergelijke kwetsbaarheden kunnen we misschien voor onszelf, maar niet voor anderen, zomaar blootleggen. We houden ons natuurlijk aan ons publicatiebeleid.
De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op beterschap de komende periode. Lees hier het hele artikel.
Dashboard volgcookies
De voorpagina van basisbeveiliging is aangepast. Een aantal menu-items zijn even weggehaald omdat ze wat onderhoud nodig hebben. In plaats daarvan hebben we een volgcookie dashboard toegevoegd. Hierop zie je per doelgroep hoeveel procent van de gemeten organisaties zonder toestemming volgcookies plaatst.
Eerste fase opruiming kaarten
Kaarten van veiligheidsregio’s en waterschappen bestaan nu uit vlakken, dat ziet er een stuk mooier uit. Ook zijn er enkele domeinen toegevoegd en was er een ontbrekende organisatie toegevoegd.
Onderdelen van rapporten zijn nu met een directe link te zien
Het is nu mogelijk om links te delen van tabbladen in de rapportages. Ook kan je daar filteren welk domein je wil zien. Zo kan je bijvoorbeeld de volgcookies van bepaalde politieke partijen direct bekijken.
Kaarten toegevoegd van de bijzondere gemeenten
De bijzondere gemeenten, of openbare lichamen, of BES eilanden hebben ieder een eigen kaart gekregen. Deze kaarten bevatten nu nog een enkele organisatie, er zullen er ongetwijfeld meer zijn, dus die voegen we toe in 2024.
Vertalingen van kaartlagen
Kaartlagen kunnen nu vertaald worden in meerdere talen zonder dat de broncode hoeft worden aangepast. Dit maakt het toevoegen van nieuwe kaarten een stuk makkelijker.
Andere kleine wijzigingen
De risicosamenvattingstabel is nu ook op volledig scherm te openen. De lijst wordt al snel te groot.
Er zijn kleine wijzigingen gemaakt voor betere weergave op mobiele telefoons.