Binnenkort staat uw organisatie op basisbeveiliging. Dit betekent dat iedereen kan zien hoe goed uw organisatie basisveiligheidseisen heeft toegepast op uw digitale infrastructuur. Deze publicatie verhoogt het bestaande risico niet en maakt het voor uw organisatie makkelijker om eventuele hiaten in de veiligheid te laten oplossen.
Op deze pagina proberen wij zoveel mogelijk van de vragen over dit initiatief proactief te beantwoorden. Mocht uw vraag niet beantwoord worden, mail dan naar info@internetcleanup.foundation, dan vullen wij dit artikel aan waar nodig.
Waar kan ik mijn tussentijdse rapport vinden?
Voordat de metingen openbaar worden zijn ze in te zien middels een speciale code. Deze heeft u in de mail gehad. U kunt deze code gebruiken in de onderstaande link:
https://basisbeveiliging.nl/report/?custom_country=NL&custom_layer=[code]
Mocht deze link niet werken, probeer dan de volgende stappen:
- Ga naar basisbeveiliging.nl/state/
- Vul bij “Layer” het woord de [code] in die in uw e-mail staat in en klik op “laag toevoegen”
- Klik dan op rapporten, kaart of een andere functionaliteit. Hier staat uw organisatie.
Wat moet ik nu doen?
Als uw organisatie nog niet voldoende (=groen) scoort, vraag uw verantwoordelijke / IT-afdeling het volgende te doen:
- 100% score op internet.nl voor zowel web als mail
- B score of hoger op ssllabs.com
- gebruik van de security.txt standaard
- geen ongevraagde volgcookies plaatsen
- dienstverlening/hosting vanuit Nederland of de EU
- geen overbodige diensten en poorten open (zoals ftp, databases etc)
- weghalen van versienummers bij online diensten (m.n. bij portscans)
- juiste WHOIS registratie informatie bij het SIDN op het .nl domein (‘houder’ = naam van organisatie, geen persoon en niet anoniem)
- geen openbare loginportals bedoeld voor beheersdoeleinden
Alle exacte metingen en achtergronden staan in het Meetbeleid.
Wie/wat is basisbeveiliging?
De website basisbeveiliging.nl is een project dat wordt uitgevoerd door de Stichting Internet Cleanup Foundation (ICF).
ICF is een non-profit organisatie dat zich inzet voor een veilig internet voor iedereen. Ons doel is de beschikbaarheid, integriteit en vertrouwelijkheid van het internet te vergroten. De stichting is opgericht in 2016 nadat het een Potential subsidie heeft gekregen van het SIDN Fonds.
De stichting haalt inkomsten uit deelnemerschap, giften en subsidies. Er wordt veel tijd, kennis en kunde gedoneerd aan de stichting door vrijwilligers. Deze vrijwilligers zijn o.a. IT-security experts en ethische hackers.
De website basisbeveiliging.nl publiceert informatie over de veiligheid van maatschappelijk relevante organisaties. Bijvoorbeeld de hele overheid: alle ministeries, gemeenten, samenwerkingsverbanden, provincies en waterschappen. Ook meten wij ziekenhuizen en GGD’s. De bevindingen zijn gratis en publiek toegankelijk en worden regelmatig bijgewerkt.
Basisbeveiliging.nl is onderdeel van het Actieplan Nederlandse Cybersecuritystrategie 2022-2028 van de Nationaal Coordinator Terrorismebestrijding en Veiligheid en de Werkagenda Waardengedreven Digitaliseren van het Ministerie van Binnenlandse Zaken. Onze partner binnen de landelijke overheid is het Centrum voor Informatiebeveiliging en Privacybescherming.
Wat wordt er gemeten?
Wij meten digitale basisveiligheid. Dit is de toepassing van gangbare beveiligingseisen rondom online beschikbaarheid, integriteit en vertrouwelijkheid. Denk aan versleuteling en privacy. Dit wordt “cybersecurity” genoemd.
We meten de basisveiligheid op alle websites en online diensten van uw organisatie. Bijvoorbeeld alle websites, landingspages, campagne-sites, webshops enzovoort. Dit bevat ook alle onderliggende domeinen, zogenaamde subdomeinen, zoals “www.”.
Een overzicht van wat we exact meten staat in het meetbeleid. Daar staat ook welke impact een meting kan hebben, met welke middelen de meting wordt uitgevoerd en verwijzingen naar documentatie. Dit is vooral voor techneuten die hiermee aan de slag gaan handig.
Alle organisaties worden op dezelfde manier gemeten en beoordeeld. Grotere organisaties hebben vaak meer sites en online diensten: zij moeten dus vaak meer beveiligen.
De omgekeerde vraag “Wat wordt er niet gemeten?” wordt beantwoord in het publicatiebeleid en de code of conduct.
Wat als er bijzonderheden zijn?
Iedere organisatie is weer anders. Daar kunnen wij ook rekening mee houden in onze metingen, maar dit gaat altijd op verzoek. Het proces om af te wijken van gangbare beveiligingseisen wordt Comply or Explain genoemd.
Wij accepteren alleen verklaringen van afwijkingen expliciet zo ontworpen zijn, waarbij de veiligheid niet in het geding is. Een aantal bijzonderheden van grote leveranciers als Microsoft en Cloudflare verklaren wij automatisch.
Hoe werkt het publicatieproces?
Organisaties die nog niet op basisbeveiliging staan krijgen ongeveer twee maanden van tevoren bericht. Dit bericht wordt niet altijd direct verstuurd vanuit Basisbeveiliging of vanuit de stichting, maar vanuit een overkoepelende organisatie die zekerheid kan geven dat het bericht op de juiste plaats aankomt. Soms via beide wegen.
In deze twee maanden kan uw organisatie nog eventuele afwijkingen op de veiligheid inventariseren en herstellen. Vaak is het mogelijk om van tevoren de resultaten in te zien en hierop te sturen. De link en procedure hiervoor wordt in vertrouwen gedeeld. Let er wel op dat deze resultaten nog kunnen afwijken van wat uiteindelijk wordt gepubliceerd.
De link om voortijdig bevindingen in te zien is: https://basisbeveiliging.nl/#/state/. Vul bij het veld “layer” de code in die u heeft ontvangen. Wanneer dit correct is gedaan verschijnen tussentijdse resultaten. Jet kan zijn dat deze informatie nog niet direct beschikbaar is wanneer u de aankonidiging ontvangt.
Op het moment van publicatie wordt een artikel opgesteld met daarin de belangrijkste bevindingen. Dit artikel wordt gepubliceerd op https://internetcleanup.foundation en gedeeld met de gemeten organisaties en de pers.
Hoe worden wij veilig?
Iedereen wil natuurlijk positief voor de dag komen. Hiervoor geven we vrijblijvend advies.
Het belangrijkste advies dat we kunnen geven is: zet een informatiebeveiligingsproces op. Hierdoor ontstaat grip op uw online voetafdruk en de veiligheid hiervan.
Basisbeveiliging levert vaak van tevoren al een link waaruit blijkt wat deze online voetafdruk is en waar risico’s zitten (volgens ons), maar deze kan onvolledig zijn of op latere momenten worden aangevuld met nieuwe bevindingen. Regelmatig controleren en handelen is dus belangrijker dan eenmaal alles oplossen.
Praktisch gezien betekent dit:
- Maak een lijst van de domeinnamen (en ip-adressen) van uw organisatie. Neem in dit overzicht ook subdomeinen mee als “www.”.
- Controleer of deze domeinen en subdomeinen voldoen aan basis veiligheidseisen. Dit is te controleren met de tools die we aangeven in het meetbeleid. Een (groot) deel hiervan zal ook in tussentijdse resultaten op basisbeveiliging zichtbaar zijn.
- Wanneer e.e.a. niet voldoet: zet acties uit om dit op te lossen. Je kan hiervoor het PDCA proces gebruiken.
Alle metingen op basisbeveiliging.nl gaan over basisveiligheid. De kennis hierover is algemeen en vrij beschikbaar op de bronnen die we aangeven in het meetbeleid en de uitzonderingen hierop. Met wat onderzoek zal zelfs een beginnende IT-er hierin al snel een weg kunnen vinden. In veel gevallen zullen leveranciers iets moeten inrichten of aanpassen. In bijzondere gevallen wordt een uitzondering op de veiligheidseisen toegevoegd volgens het comply or explain principe.
Wij raden aan om pragmatisch en praktisch om te gaan met de bevindingen. Richt een lichtgewicht proces in dat regelmatig inventariseert wat er aan de hand is en acties uitvoert. Beveiligingseisen veranderen voortdurend. Grip hebben maakt het mogelijk om iets te zeggen als: “We weten dat deze kwetsbaarheid er is. Het risico is laag. Deze wordt komende maand opgepakt”.
Is dit wel veilig?
Is het laten zien van zwakke plekken wel veilig? Deze vraag krijgen we regelmatig. Wij beantwoorden deze vraag met “Ja”. Dat komt omdat we een zorgvuldige afweging maken van wat we meten en publiceren.
Wij hebben deze afweging uitgewerkt in twee hoofdstukken:
- Het publicatiebeleid legt uit welke soort kwetsbaarheid wel of niet wordt gepubliceerd op basisbeveiliging.nl.
- De code of conduct.laat zien welke afwegingen wij maken en hoe wij omgaan met meten van kwetsbaarheden en publiceren hiervan.
In het kort komt het erop neer dat aanvallers al geruime tijd in het bezit zijn van de informatie die wordt aangeboden op basisbeveiliging.nl. Uw organisatie kan dus mogelijk een deel van deze achterstand inhalen met de informatie die basisbeveiliging u biedt.
Andere belangrijke informatie
Alle Nederlandse cybersecurity-bedrijven kunnen helpen met het managen en oplossen van eventuele beveiligingsproblemen. Ook zullen de gemeten beveiligingseisen niet vreemd zijn voor uw leveranciers.
Wij wijzen u ook expliciet op onze disclaimer.