Categorie: map

Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode.

Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar.

Het hoger onderwijs heeft de gebruikelijke twee maanden gehad om e.e.a. nog voor publicatie te op te ruimen. Hier is goed gebruik van gemaakt. We hebben een boel mails ontvangen met vragen, suggesties en bijzonderheden.

Universiteiten werken hard aan veiligheid

In de aanloopperiode van begin januari tot 6 maart is door universiteiten ten minste 23% van de hoge risico’s opgeruimd. Zelfs met de introductie van de nieuwe versleutelde e-mail meting ging men dus vooruit.

Voor universiteiten is ook een nieuwe functionaliteit toegevoegd: het uitsluiten van een sub-subdomeinen. Dit is nodig voor studentensites die draaien onder bijvoorbeeld het “student” subdomein. In dit geval is de universiteit wel de hoster, maar niet de eigenaar: studenten mogen zelf bepalen op welke manier ze iets online zetten.

Er is helaas nog geen universiteit die op oranje of groen staat. Ook de universiteiten met een klein online oppervlak zoals de drie theologische of die voor humanistiek hebben nog hoge risico’s.

In totaal worden er net iets meer dan 8000 adressen gemeten. Dit bestaat uit de hoofdsite en alle subdomeinen. Projectdomeinen zijn niet meegenomen omdat hiervoor geen publiek register bekend is.

Bij de vooraankondiging zijn de hogescholen en universiteiten op 1 kaart gezet. Vanaf de 19e zijn deze uit elkaar gehaald naar verschillende kaarten. Hieronder staan de cijfers de 19e tot het moment van publicatie op 6 maart.

RisicoBegin aanloop
19 januari		Publicatie
6 maart		Verschil
Hoog3.6832.842-23% (841)
Midden6.8425.808-15% (1.034)
Laag25.02923.122-8% (1.907)
Goed52.12549.701-5% (2.424)
Verandering in risico’s bij universiteiten tijdens de aanloopperiode

Drie universiteiten laten grote veranderingen zien over tijd. Hieronder zie je de periode van 1 januari tot begin maart. Er zijn meer instellingen met een daling in hoge risico’s, maar daar is het niet zo duidelijk te zien.

Zakkende hoge risico’s van Universiteit Twente in de aanloopperiode. Zij zakten van 401 naar 113 hoge risico’s tussen 19 januari en 6 maart.
Zakkende hoge risico’s van Radboud Universiteit Nijmegen in de aanloopperiode. Zij zakten van 370 naar 151 hoge risico’s tussen 19 januari en 6 maart.
Zakkend hoge risico’s van Universiteit van Amsterdam in de aanloopperiode. Zij zakten van 114 naar 42 tussen 19 januari en 6 maart.

Hogescholen ook, maar minder zichtbaar

Bij hogescholen zien we aan de oppervlakte niet zo’n sterke daling in het aantal hoge risico’s. Dat is natuurlijk deels omdat de online oppervlakte van hogescholen kleiner is, en dat wordt ook weer verdeeld over meer instellingen.

Een aantal hogescholen mailden ook regelmatig met de vraag extra domeinen toe te voegen. Ook kwamen wij een paar ontbrekende alternatieve hoofddomeinen van hogescholen tegen waar meer infrastructuur onder stond. Dit samen heeft ervoor gezorgd dat een groot deel van de hoge risico’s die zijn opgelost statistisch wegvallen tegen nieuw gemeten hoge risico’s. Als we inzoomen, verderop, zijn wel grote wijzigingen te zien.

Dit is het overzicht van wijzigingen bij hogescholen in de aanloopperiode.

Risico19 januari6 maartVerschil
Hoog13471287-4% (60)
Midden31863102-3% (84)
Laag1102811089+1% (+61)
Goed2170222921+6% (+1219)
Verandering in risico’s bij hogescholen tijdens de aanloopperiode

Opvallend is dat er een boel positieve resultaten bij zijn gekomen. Dit zien we o.a. bij Fontys, die e.e.a. anders hebben ingericht over tijd. In die grafiek zien we dat een maand heel veel ‘interne’ domeinen worden gevonden. Daar is e.e.a. opgeruimd waardoor er positieve resultaten bij kwamen.

Grafiek van Fontys Hogeschool, de verhoging van de risico’s waren ‘interne’ domeinen onder het hera.fhict.nl.

Een aantal hogescholen hebben hard gewerkt om de hoge risico’s weg te krijgen. Hieronder staan de instellingen die opvallen door een sterke daling. De genoemde getallen zijn ook weer van 19 januari tot 6 maart. Het aantal opgeruimde risico’s ligt hoger, dat zie je aan het begin van deze grafieken.

Bij twee grafieken valt op dat er een kleine stijging zit in het aantal op de laatste dag. Dat komt omdat deze grafieken op 7 maart zijn gemaakt. Op 6 maart is de meting rondom ongevraagde volgcookies van midden naar hoog gezet i.v.m. de aangekondigde handhaving van de Autoriteit Persoonsgegevens.

De Hogeschool van Amsterdam laat ook een mooie zakkende lijn zien. Van 42 naar 12 hoge risico’s.
De Hogeschool voor de Kunsten Utrecht zakte in de aanloopperiode van 33 naar 3 hoge risico’s.
Saxion Hogeschool zakte van 13 naar 0, en is helaas op de 7e net weer iets achteruit gegaan. Dit komt omdat volgcookies op de 6e op Hoog risico zijn gezet.
De Pedagogische Hogeschool de Kempel zakte van 3 naar 0.

Er is ook een instelling die opvalt door een stijging van het aantal hoge risico’s van 48 naar 71. Op 17 januari, net buiten het termijn van onze vergelijking, zie je ook al een sterke stijging. Deze instelling mailde regelmatig met extra domeinen en heeft dus een andere strategie gekozen dan de rest. Dat is niet noodzakelijk slecht: nu is er dus inzicht op meer domeinen waardoor er op termijn ook meer veiligheid ontstaat.

Bij Zuyd Hogeschool is het aantal risico’s toegenomen omdat er veel extra domeinen zijn toegevoegd.

Vergelijking in het klassement

Ten opzichte van elkaar doen universiteiten en hogescholen het grofweg even goed. Universiteiten scoren 14 punten het best, hogescholen op de 10 andere. Op een paar punten zijn er wel duidelijke verschillen.

Universiteiten hebben DNSSEC en HTTPS beter op orde. Het gaat over een verschil van meer dan 10%. Hoewel bij universiteiten de kwaliteit van de versleuteling beter is, voldoen er minder adressen aan de versleutelingseisen van het NSCS + DANE. Dat is een interessante tegenstelling.

Hogescholen hebben de eer om RPKI voor hun websites 100% op orde te hebben. Alleen veiligheidsregio’s en waterschappen lukt dat ook. Op de punten waar hogescholen het beter doen dan universiteiten is het verschil nooit groter dan 10%.

Ten opzichte van de rest

Ten opzichte van de vier overheidslagen (centraal, provincies, waterschappen en gemeenten) doen de hogescholen het slechter. Ruim de meeste groene hartjes gaan dan telkens naar de overheidslaag. Zie hier, hier, hier en hier.

Gebaseerd op het aantal beste en slechtste posities in het klassement belanden hogescholen ergens in de middenmoot tussen de zorg, cybersecurity en politieke partijen.

Wanneer alle eerder genoemde lagen tegelijkertijd worden vergeleken zien we dat bijna alle ‘beste’ en ‘slechtste’ scores verdwijnen bij het hoger onderwijs.

Hieronder staat een vergelijking van de twee onderwijslagen ten opzichte van de overheid. Je ziet dat de slechte punten vooral verdeeld worden tussen de onderwijsinstellingen en de overheid de meeste groene hartjes krijgt.

Screenshot van het klassement tijdens het schrijven van dit artikel. De internet_nl_mail_tls meting is met 0% overal niet juist, dit is een bekende bug en is buiten beschouwing gelaten in dit artikel.

Metingen zijn openbare gegevens

De meetresultaten van dit onderzoek zijn openbaar en beschikbaar als open data onder de Creative Commons licentie. De informatie wordt doorlopend bijgewerkt en is in te zien op de site https://basisbeveiliging.nl.

Kleuren op de kaart van Universiteiten en hogescholen bij de eerste publicatie van de kaarten.

Kanttekeningen

  • Universiteiten hebben ook WHOIS met 10% of meer beter op orde dan hogescholen, maar deze meting vereist nog een handmatige naloop om te controleren dat de informatie bij hogescholen daadwerkelijk juist is. Daarom wordt dit verschil niet expliciet genoemd in het artikel.
  • In het klassement is de meting rondom STARTLS+DANE op e-mail weggevallen. Dit is een bekende bug. Hierdoor heeft iedereen een hoogste en laagste waardering erbij gekregen. Netto maakt dat alles vergelijkbaar, maar het geeft wat verwarring. Aan een oplossing wordt gewerkt.
  • Er zijn 36 hogescholen en 18 universiteiten meegenomen. Universiteit Nyenrode ontbrak in de bronbestanden en wordt later toegevoegd ivm de aanloopperiode.
  • Bij de WUR is een stijging te zien. Dit is verklaarbaar omdat de WUR al in het systeem stond vanuit een aantal overheidsprojecten. Deze twee instanties van de WUR zijn samengevoegd in de aanloopperiode. Dat is verwarrend en daardoor niet als aparte grafiek getoond.

Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid

Cybersecuritybedrijven zijn de fundering van de Nederlandse online veiligheid. Van de vitale sector tot de rijksoverheid: alle organisaties die iets voor de maatschappij betekenen gebruiken diensten van deze bedrijven. Bijvoorbeeld voor het oplossen van een digitale brand tot aan het testen van de online weerbaarheid.

Maar hoe goed zijn deze bedrijven zelf eigenlijk beveiligd? En waar ga je naar toe als deze bedrijven het niet goed doen? Vanaf 7 december 2023 laat basisbeveiliging.nl zien hoe het staat met de online basisveiligheid deze sector. We meten doorlopend meer dan 4000 domeinen van 130 bedrijven.

Het doel van deze meting is om de Nederlandse cybersecurityindustrie als meester in hun vak neer te zetten. Helaas zit de sector nog niet op het gewenste niveau. De sector is bedenker van veel van de veiligheidsmaatregelen die we meten.

Belangrijkste bevindingen

  • Slechts enkele van de 130 gemeten organisaties scoren goed op alles, een stuk of 20 komen heel dicht in de buurt. Op het hoogtepunt scoorden 3 organisaties goed.
  • De overheid scoort beter op 20 van de 23 gemeten punten. Op 7 punten meer dan 10%.
  • Gemeenten scoren beter op 18 van de 23 gemeten punten. Op 8 punten is het verschil meer dan 10%.
  • Op dit moment worden er 124 tracking cookies geplaatst zonder toestemming

Tijdslijn

In de cyberwereld werkt men met een tijdslijn wanneer een nieuwe kwetsbaarheid openbaar wordt gemaakt. Voor de vorm:

  • 17 jul: branchevereniging Cyberveilig Nederland stuurt vooraankondiging aan haar leden
  • 30 sep: Eerste vooraankondiging via e-mail en contactformulieren
  • 4 okt: vooraankondiging op een presentatie + stand op de ONE Conference
  • 16 okt: extra aankondiging naar bedrijven die Γ³Γ³k op de kaart wilden
  • 20 nov: laatste vooraankondiging
  • 7 dec: publicatie

Een kleine 10 bedrijven heeft in de tussentijd gereageerd en e.e.a. opgepakt. Dit zijn zowel grotere als kleinere namen. Soms heeft dit geleid tot diepgaande interessante discussie. Ook is er een uitzondering gemaakt voor de sector.

Een aantal bedrijven hebben ons gevraagd om Γ³Γ³k op de kaart te komen. Dat vinden we erg sportief en dat is hoe we de sector kennen.

Wie worden er gemeten

Deze meting gaat over cybersecuritybedrijven en -organisaties. Maar alleen die zich actief richten op de Nederlandse markt. Ze hebben hier een kantoor, tenminste twee medewerkers en “cyber” is onderdeel van de core business. Het kan natuurlijk zijn dat er een bedrijf teveel of te weinig op de kaart staat, als dat het geval is passen we dat natuurlijk op verzoek aan.

Voor deze bedrijven is een uitzondering gemaakt in de metingen. Zij mogen gebruik maken van bronnen van 3e partijen als Google en Facebook zonder dat invloed heeft op het oordeel. Voor de overheid zijn we dus strenger. Ongevraagd volgcookies plaatsen mag natuurlijk nog steeds niet.

Nog geen perfectie

Er is op moment van publiceren 1 organisatie van de 130 die alles op orde heeft. Op het hoogtepunt waren dit er 3, maar er zijn wat regressies geweest.

Op dit moment meten we 594 hoger risico kwetsbaarheden. Wij gebruiken wel een andere graadmeter voor risico’s dan de sector. Dat staat uitgelegd in ons publicatiebeleid. Het totaal aantal gemeten domeinen is 4490.

Zetten we de bevindingen van alle metingen onder elkaar, dan zie je dat er nergens 100% voldoende op wordt gescoord. Het beste scoort de fysieke locatie van de webserver met Β±94%. De hekkensluiters zijn het weghalen van versienummers en de toepassing van de industriestandaard security.txt met respectievelijk Β±4% en Β±6%.

Een verklaring van onderstaande termen staat in het meetbeleid, maar is ook terug te zien op de statistiekpagina van cybersecuritybedrijven.

Maatregel% goed% Hoog% Midden% laag
DNSSEC76.88%23.13%
Kwaliteit van versleuteling82.37%0.35%17.29%
Vertrouwen in versleuteling90.64%9.36%
Sites met ontbrekende versleuteling75.94%5.19%18.87%
Veilig bestandsoverdracht (FTP)87.17%12.83%
Weghalen van versienummers4.34%7.54%88.12%
Eigenaar van internetadres (WHOIS)86.05%13.95%
Fysieke locatie van webserver93.87%6.13%
Fysieke locatie van mailserver78.86%21.14%
Fysieke locatie bronnen website9.95%90.05%
TLS voldoet aan NCSC33.77%66.23%
Security.txt5.7%73.42%20.89%
RPKI (website)83.13%16.88%
DMARC88.67%11.33%
DKIM82.59%17.41%
SPF92.12%7.88%
RPKI (e-mail)91.3%8.7%
Prio veilige versie website (HSTS)63.54%36.46%
Header: x-content-type-options60.4%39.6%
Header: x-frame-options67.33%32.67%
Website is volledig in eigen beheer46.47%53.53%
Website respecteert privacy78.56%21.44%
Website plaatst volgcookies91.26%8.74%
Cijfers veiligheid cybersecuritybedrijven December 2023

De overheid doet het beter…

We stelden aan het begin van dit artikel de vraag: Waar moet je naar toe als de cybersecuritybedrijven niet meer leveren? Blijkbaar is dat naar de overheid. Niet dat daar alles goed gaat, maar de overheid scoort beter (πŸ’š) op 20 van de 23 gemeten punten. Ook gemeenten scoren beter op 18 van de 23 punten. In een aantal gevallen is dat met meer dan 10% (πŸ’–).

MaatregelCyber
% goed		Gemeenten
% goed		Overheid
% Goed
DNSSEC76.88%98.1% πŸ’šπŸ’–91.71% πŸ’šπŸ’–
Kwaliteit van versleuteling82.37%91.36% πŸ’š90.32% πŸ’š
Vertrouwen in versleuteling90.64% πŸ’š84.29%87.56%
Sites met ontbrekende versleuteling75.94%73.94%83.38% πŸ’š
Veilig bestandsoverdracht (FTP)87.17%95.92% πŸ’š89.05% πŸ’š
Weghalen van versienummers4.34%8.1% πŸ’š8.97% πŸ’š
Eigenaar van internetadres (WHOIS)86.05%91.35% πŸ’š90.83% πŸ’š
Fysieke locatie van webserver93.87%96.86% πŸ’š97.36% πŸ’š
Fysieke locatie van mailserver78.86%94.7% πŸ’šπŸ’–94.08% πŸ’šπŸ’–
Fysieke locatie bronnen website9.95%7.47%34.81% πŸ’šπŸ’–
TLS voldoet aan NCSC33.77%75.99% πŸ’šπŸ’–59.49% πŸ’šπŸ’–
Security.txt5.7%7.88% πŸ’š29.22% πŸ’šπŸ’–
RPKI (website)83.13%96.92% πŸ’šπŸ’–94.4% πŸ’šπŸ’–
DMARC88.67%98.18% πŸ’š93.47% πŸ’š
DKIM82.59%95.07% πŸ’šπŸ’–68.78%
SPF92.12%97.98% πŸ’š96.78% πŸ’š
RPKI (e-mail)91.3% πŸ’š88.64%89.9%
Prio veilige versie website (HSTS)63.54%86.22% πŸ’šπŸ’–76.68% πŸ’šπŸ’–
Header: x-content-type-options60.4%80.75% πŸ’šπŸ’–66.43% πŸ’š
Header: x-frame-options67.33%81.44% πŸ’šπŸ’–69.71% πŸ’š
Website is volledig in eigen beheer46.47%45.14%50.5% πŸ’š
Website respecteert privacy78.56%86.7% πŸ’š86.81% πŸ’š
Website plaatst volgcookies91.26%97.97% πŸ’š97.21% πŸ’š
Verschil in toepassing van beveiligingsmaatregelen tussen cybersecuritybedrijven, de centrale overheid en gemeenten. De centrale overheid en gemeenten doen het in bijna alle gevallen beter.

Een meetresultaat weggevallen

We zien dat veel organisaties Cloudflare gebruiken. De uitzondering hierop is aangescherpt maar nog niet 100% dekkend uitgevoerd. Daarom is deze meetwaarde niet in bovenstaande tabel meegenomen. Van organisaties die cloudflare gebruiken verwachten we dat er op poorten 8080 en 8443 een cloudflare foutmelding langskomt wanneer hier niets op geconfigureerd staat.

Een achterliggende oorzaak?

De soms behoorlijk grote verschillen laten zich niet altijd verklaren. We hadden verwacht dat de cybersecurityindustrie zou voldoen aan de eisen die ze zelf heeft bedacht en test bij klanten. Mogelijk dat er veel sprake is van maatwerk op de eigen omgeving.

In de aanloop naar de publicatie hadden we meer verklaringen verwacht. We hadden het idee dat sommige tooling van deze bedrijven een bijzondere inrichting vereist die niet veilig oogt maar dat wel is. Tot nu toe zijn die verklaringen uit gebleven. Een verklaring over HSTS preloading hebben we afgeketst omdat dit een goede defense in depth maatregel is maar oude browsers niet dekt.

Een groot verschil tussen de overheid en de sector is dat de overheid eisen stelt aan zichzelf. Zo is er de pas toe of leg uit lijst van Forum Standaardisatie, hierop staan een aantal van de gemeten punten als eis opgesteld. Ook is er de wet digitale overheid dat een bepaald niveau van versleuteling vereist. Hier zie je dat de overheid meer dan twee keer zo goed scoort (76% vs 34%) op goede versleuteling. Verder zijn er diverse andere organisaties zoals het NCSC voortdurend bezig om de weerbaarheid van de overheid te vergroten. De cyberindustrie kan hiervan afkijken.

Blijvend huiswerk voor onszelf

De oorsprong van het idee om deze sector te meten was dat we ook onszelf wilden kunnen terugvinden op basisbeveiliging. We hebben ons dus ook toegevoegd op de kaart, al zijn we niet commercieel en houden we het bij de basis.

Op het moment van schrijven scoren we oranje. Dit was enkele weken goed, maar ergens is er iets omgevallen dus dat zijn we nu aan het oplossen. Toen we begonnen met onszelf te meten scoorden we 8 hoog, 14 midden en 56 laag. Dit was daarvoor nog hoger als je terugkijkt in de grafieken, vooral omdat we veel testdomeinen van anderen aan onze organisatie hadden gevoegd. Inmiddels scoren we 1 midden en 61 laag risico.

Een lastige bij het oplossen van problemen is de afhankelijkheid van leveranciers. Ook onze hostingsponsor CoBytes heeft weer een leverancier die RPKI moest instellen, dat is inmiddels gelukt. Ook zagen we dat de documentatie van dit project bij readthedocs stond, die Google Analytics gebruikt: daar zijn we dus weg.

Natuurlijk weten we bij onszelf nog wel wat kwetsbaarheden te vinden, dit zijn de “known knowns” in de industrie. Dergelijke kwetsbaarheden kunnen we misschien voor onszelf, maar niet voor anderen, zomaar blootleggen. We houden ons natuurlijk aan ons publicatiebeleid.

Contact

Voor correspondentie over deze resultaten zijn we te bereiken via e-mail op info@internetcleanup.foundation. Ook zijn we bereikbaar via Discord.

Kaart met samenvatting van basisveiligheid Nederlandse cybersecuritybedrijven in december 2023.

Updates December 2023

Security van Cybersecuritybedrijven

De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op beterschap de komende periode. Lees hier het hele artikel.

Dashboard volgcookies

De voorpagina van basisbeveiliging is aangepast. Een aantal menu-items zijn even weggehaald omdat ze wat onderhoud nodig hebben. In plaats daarvan hebben we een volgcookie dashboard toegevoegd. Hierop zie je per doelgroep hoeveel procent van de gemeten organisaties zonder toestemming volgcookies plaatst.

Eerste fase opruiming kaarten

Kaarten van veiligheidsregio’s en waterschappen bestaan nu uit vlakken, dat ziet er een stuk mooier uit. Ook zijn er enkele domeinen toegevoegd en was er een ontbrekende organisatie toegevoegd.

Onderdelen van rapporten zijn nu met een directe link te zien

Het is nu mogelijk om links te delen van tabbladen in de rapportages. Ook kan je daar filteren welk domein je wil zien. Zo kan je bijvoorbeeld de volgcookies van bepaalde politieke partijen direct bekijken.

Kaarten toegevoegd van de bijzondere gemeenten

De bijzondere gemeenten, of openbare lichamen, of BES eilanden hebben ieder een eigen kaart gekregen. Deze kaarten bevatten nu nog een enkele organisatie, er zullen er ongetwijfeld meer zijn, dus die voegen we toe in 2024.

Vertalingen van kaartlagen

Kaartlagen kunnen nu vertaald worden in meerdere talen zonder dat de broncode hoeft worden aangepast. Dit maakt het toevoegen van nieuwe kaarten een stuk makkelijker.

Andere kleine wijzigingen

De risicosamenvattingstabel is nu ook op volledig scherm te openen. De lijst wordt al snel te groot.

Er zijn kleine wijzigingen gemaakt voor betere weergave op mobiele telefoons.