Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende

De verkiezingscampagnes zijn inmiddels in volle gang. Dit jaar doen er 70 partijen mee, waarvan er 64 een website hebben. Vanaf 2 oktober is te zien of al deze websites voldoen aan gangbare online veiligheidseisen. Denk hierbij aan versleuteling, privacy en bescherming tegen aanvallers.

Alle partijen worden op dezelfde technische en feitelijke manier beoordeeld, zonder oordeel over de inhoud of standpunten van de partij. Er wordt regelmatig opnieuw gemeten, waardoor eventuele verbeteringen tijdens de campagne ook door iedereen zijn te volgen.

Alle metingen zijn te zien op de website van basisbeveiliging.nl, de 2e kaart op de voorpagina. Directe links naar de belangrijkste pagina’s:

Wat is er gemeten

Basisbeveiliging.nl meet online basisveiligheid. Sinds 2 oktober doen we dat ook bij van alle partijen die meedoen aan de Tweede Kamerverkiezingen van 2023.

De veiligheid wordt regelmatig gemeten. Dat doen we op de belangrijkste website(s) van de partij en eventuele vertakkingen. Wij meten bijvoorbeeld de site van de Christen Unie: christenunie.nl, maar ook westland.christenunie.nl omdat dit hieronder valt. Als er vanaf dit domein wordt doorverwezen naar een ander adres dan meten we in sommige gevallen of het doorverwijzen juist gaat.

Sites van jongerenorganisaties zoals Pink Politiek of Jongeren FVD meten we niet. Zolang de kandidatenlijsten niet bekend zijn meten we geen politieke websites van de kandidaten.

Er wordt een keur aan informatieveiligheidseisen gemeten. Denk bijvoorbeeld aan versleuteling, privacy en bescherming tegen aanvallen. Voor de techneuten zijn deze metingen hier gedocumenteerd. Voldoen aan deze eisen levert een groene kleur op op de kaart. Afwijken levert oranje of rood afhankelijk van het geschatte risico.

2 oktober ’23: Geen enkele partij scoort goed

Op moment van publicatie scoort geen enkele partij positief. Ook partijen met een heel kleine online voetafdruk (vaak kleine en nieuwe partijen) laten het afweten. In totaal scoren 48 partijen onvoldoende (rood) en 16 matig (oranje).

We zien dat sommige partijen vaak dezelfde fout maken wat met een enkele wijziging veel oplost. Dit kan een sterk effect hebben op de huidige top 3. Opmerkelijk aan de top 3 is dat de leeftijd of omvang van de partij weinig uit lijkt te maken.

Let op: omdat we iedere dag opnieuw meten en rapporten publiceren kunnen de cijfers die je ziet afwijken van de cijfers die we vandaag publiceren.

De top 3 slechtst beveiligde partijen op 2 oktober 2023 is:

  1. Bij1: 1 zetel, opgericht in 2016, 125 hoog risico bevindingen, 56 midden risico bevindingen
  2. VVD: 34 zetels, opgericht in 1948, 120 hoog risico bevindingen, 187 midden risico bevindingen
  3. Piratenpartij: 0 zetels, opgericht in 2010, 76 hoog risico bevindingen, 46 midden risico bevindingen

Om de top 10 compleet te maken, op volgorde van 4 tot 10: SGP, De Nieuwe Mens, D66, GroenLinks, Partij voor de Dieren, Forum voor Democratie en het CDA.

Top 3 slechtst beveiligde politieke partijen van Nederland
Schermafbeelding van de top 3 slechtst beveiligde partijen van Nederland.

Binnenkort wel een veilige partij?

Ruim voor publicaties zijn alle partijen op de hoogte gebracht over het meten en publiceren. Vijf partijen hebben hierop inhoudelijk gereageerd en hebben diverse aanpassingen uitgevoerd / zijn hard bezig om de veiligheid op te schroeven. Dit zijn de ChristenUnie, Volt, Partij voor de Dieren, LEF en GroenLinks.

We meten iedere dag op allerlei online veiligheidseisen. Partijen die het serieus oppakken zullen hierdoor dus ook beloond worden met een plekje op de lijst met veilige partijen en een groene stip op de kaart. We zijn benieuwd wie de eerste is.

Kaart met daarop cyberveiligheid van alle politieke partijen. Vooral oranje en rode vlekken. Er is ook duidelijk te zien dat politieke partijen behoorlijk gecentreerd zijn in de randstad.

Over basisbeveiliging

De voornaamste motivatie om de online veiligheid van politieke partijen te meten is dat dit de veiligheid van Nederland op korte en lange termijn vergroot. Het helpt partijen hier over na te denken en zelf te ervaren wat dit betekent.

Uiteindelijk kan alleen de overheid zichzelf en anderen beveiligingseisen opleggen. Basisbeveiliging maakt het onderwerp transparant en bespreekbaar.

De website basisbeveiliging.nl wordt gerund door de stichting Internet Cleanup Foundation en is bestaat sinds 2016. De site is onderdeel van de Nederlandse Cybersecuritystrategie en de werkagenda Waardengedreven Digitaliseren.

Voor meer info, neem contact op via info@.

Updates (februari 2023)

Deze maand zijn er weer een boel dingen aangepast op basisbeveiliging.nl. Dit is een korte samenvatting:

Basisbeveiliging.nl

  • Nieuwe metingen: Security.txt en RPKI, lees de blogpost voor meer informatie. Met dank aan internet.nl.
  • Er is een lijstje toegevoegd onderaan de landingspagina met een samenvatting van alle kaarten. Er worden nu ruim 50.000 domeinen gemeten.
  • Comply or Explain scan-opvolging is nu gefixt, dus al die standaard microsoft subdomeinen zouden geen problemen meer mogen geven ondanks dat de metingen technisch juist zijn.
  • Opruiming van de basisbeveiliging database: een stuk of 5000 domeinen en 1.000.000 aanverwante records zijn verwijderd. Bijvoorbeeld sites die overgedragen zijn aan andere organisaties en onjuist gevonden subdomeinen (bij wildcards).
  • De versie-informatie scans zijn een klein beetje getuned, wel jammer dat sommige security vendors dan alsnog een versienummer van hun product adverteren: dan sta je alsnog rood. We kijken naar jou “imunify360-webshield/1.18”.
  • Er zijn afzonderlijke kaarten toegevoegd voor alle lagen van de overheid gebaseerd op het overheidsregister en websiteregister rijksoverheid. Dit wordt regelmatig gesynchroniseerd, dus als je zorgt dat daar je (belangrijkste) domeinen in staan dan staan ze ook op de kaart.
  • Technisch: Dezelfde organisatie kan nu op meerdere kaarten staan, deze delen dezelfde onderliggende data. Organisaties willen weleens van naam wijzigen, hebben een andere naam in de volksmond en hebben per databron ook altijd een andere naam.
  • En natuurlijk weer een hele sloot aan kleine verbeteringen en fixes.

Basisbeveiliging+

  • (2022) Rapporten van tools die kritieke bevindingen kunnen maken worden nu versleuteld opgeslagen met je eigen sleutel. Dit geeft een garantie die niemand behalve jij, dus ook niet Basisbeveiliging, je rapporten kan inzien. Je kan een eigen publieke sleutel instellen, of een publieke/geheime sleutel maken in de interface.
  • Het versturen van mail is verplaatst van Sendgrid naar TransIP.

Wat komt zsm

  • De Gemeentelijke herindelingen zijn weer geweest. We hebben de code klaar staan, maar de brondata zit nog niet in Open Street Maps. Als dat er niet snel is voeren we wat handmatige wijzigingen door die misschien niet perfect zijn, maar wel een vollediger beeld geven van gemeenten.

Zo zien de wijzigingen eruit

Lijstje van kaarten
Kaarten gebaseerd op databronnen van het rijk