progress

Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…

Vanaf vandaag staat er een klassement op basisbeveiliging.nl. Hierop zie je per meting wie het best en slechtst scoort. Bepaal zelf welke van de 30 doelgroepen je wil vergelijken. Bijvoorbeeld de overheid tegenover de zorg en de cybersecurity sector.

Wie per meting het best scoort krijgt een groen hartje 💚, wie het slechtst scoort krijgt het objectieve en wetenschappelijk correcte poep emoji: 💩. In het geval dat een doelgroep 100% alles op orde heeft dan krijgt die een fonkelend roze hart 💖. In het geval van de huidige 23 metingen zijn er dus 23 groene hartjes te verdienen en 23 poepjes te ontlopen.

Naast dat je zelf de doelgroep kan kiezen, kan je ook de volgorde bepalen van zowel de metingen als de doelgroepen. Daardoor is een rapport te maken dat aansluit op de prioriteiten van je organisatie(s). Deze volgorde wordt in de adresbalk bewaard, zodat deze is te delen. Tenslotte is het overzicht te downloaden als CSV bestand, zodat je het ook makkelijk kan mailen.

Voorbeelden

Hieronder staan drie links naar voorbeeldklassementen. Deze worden hieronder ook kort besproken in dit artikel.

Klassement van: de vier overheidslagen
Klassement van: drie grote doelgroepen: overheid, cyber en zorg
Klassement van: alle 12 ministeries

Disclaimer: De screenshots in dit artikel zijn momentopnamen van 23 januari 2024. Deze lijst wordt dagelijks bijgewerkt. De afbeeldingen linken naar het actuele klassement van de besproken lagen.

Klassement overheidslagen

Directe link

In onderstaande afbeelding een voorbeeld van de vier overheidslagen: centraal, provincies, waterschappen en gemeenten. Je ziet bijvoorbeeld dat waterschappen op e-mail goed scoren. Ook zie je dat de waterschappen het beste scoren, daarna provincies, gemeenten en dan de centrale overheid.

Klassement tussen de vier overheidslagen. Klik op de afbeelding om naar de actuele klassementspagina te gaan.

Klassement drie doelgroepen: overheid, cyber en zorg

Directe link

De verdeling ziet er totaal anders uit wanneer drie grote doelgroepen met elkaar worden vergeleken: overheid, cyber en zorg. In dit geval komt de overheid er verreweg het beste vanaf. De lage scores worden nagenoeg gelijk verdeeld over de zorg en cyber. Bijvoorbeeld het aantal illegaal geplaatste tracking cookies is het hoogst bij de cybersecurity. Hopelijk veranderd dit beeld nog sterk.

Klassement tussen overheid, cyber en zorg. Klik op de afbeelding om naar de actuele klassementspagina te gaan.

Klassement 12 ministeries

Directe link

Met een van de kleinere domeinportfolio’s doet MinAZ het verreweg het beste en scoort zelfs op 5 punten perfect. De alfabetische volgorde lijkt ook voor positie 2 de juiste, want MinBZK scoort daarna het best met 4 groene hartjes. Daarmee nemen deze twee samen al zo’n 70% van de positieve punten voor hun rekening.

De negatieve punten worden vooral verdeeld onder BZ, JenV, Defensie en OCW. Waarbij wel gezegd moet worden dat Defensie ook twee punten 100% goed heeft uitgevoerd.

Tot slot is er nog een heldere middenmoot: deze doen het nergens het beste of het slechtste. In het screenshot staat EZK, maar ook VWS krijgt in dit klassement een hartje noch poep emoji.

De eerste vijf van de twaalf ministeries in het klassement tussen de ministeries. Klik op de afbeelding om naar de actuele klassementspagina te gaan.

Updates – Juni 2023

De grote wijzigingen: volledige security scans in Basisbeveiliging+ en aankomende geografische metingen. Lees hieronder het overzicht van nieuwe features voor Juni!

Nieuw in Basisbeveiliging

Aankomende meting: Geografische Afbakening Online Overheid

IT dienstverlening van de overheid hoort binnen Europa (en liefst Nederland) te gebeuren. Hiervoor hebben we een meting toegevoegd die later deze maand openbaar wordt. We zijn het beleid aan het opstellen en aan het experimenteren met hoe we dit gaan weergeven. Zie voor meer hierover de blogpost.

Uitzonderingen op basis van inhoud van de website

We kunnen vanaf nu uitzonderingen maken op basis van de inhoud van een website. Dit passen we nu toe voor Cloudflare, die als grote leverancier standaard een aantal onnodige poorten openzet.

We vragen gebruikers van Cloudflare dit issue met hen op te nemen, zodat ze kunnen voldoen aan diverse IT standaarden die vereisen dat alleen noodzakelijke poorten openstaan. Dit is door diverse mensen onder de aandacht gebracht de afgelopen maand.

Inhoud van diverse pagina’s. Dit wordt doorzocht bij security policies.

Risicoopsommingstabel is opgedeeld

De tabel met risico’s is nu opgedeeld in categorien. Hierdoor kan je in 1x alle e-mail metingen zien zonder alle extra waardes / lege regels enzo. Dat leest net iets makkelijker. Het eerste tabblad bevat het oude vertrouwde (grote) overzicht.

Herschreven privacyscanner

De privacyscanner is herschreven. Dit heeft een factor 1000 snellere scans opgeleverd die ook nog eens betrouwbaarder en vollediger zijn.

Bedankt / “wordt aan gewerkt” knop

Metingen zijn nu voorzien van een “bedankt”/”wordt opgelost” knop. Hiermee kan je makkelijk waardering sturen naar de stichting, zo weten we een beetje wie de site gebruikt en hoe het wordt ontvangen. De eerste stapel bedankjes zitten al in de mailbox, waarvoor ook bedankt!

Update websiteregister rijksoverheid

De nieuwe namen van overheidsorganisaties van het Websiteregister Rijksoverheid zijn toegevoegd. Ook is een 10 tal nieuwe organisaties toegevoegd.

Voortgang bevat ook de kaart van vandaag

Hier zie je de voortgang van Security.txt, met daarop de voortgang van de adoptie. De kaart wordt langzaam groener, of toch niet…

Basisbeveiliging+

Full Scope Tests!

Volledige scans met professionele security tools. Lees het artikel voor meer informatie.

Updates aan Alert E-Mails

Dagelijkse mails worden weer verstuurd, naast de gebruikelijke instant alert mails. Alert E-Mails bevatten nu ook de meetdata als JSON attachment. Dit is direct aan een SIEM te koppelen, of anders automatisch te verwerken.

Er worden geen meldingen meer gemaakt van metingen waar een verklaring op zit. Omdat automatische verklaringen soms later worden toegevoegd kan het zijn dat er weleens wat overbodigs wordt meegestuurd.

Overig

De herscan knop is gefixt, herscans worden weer ingepland.

Updates (mei 2023)

Nieuwe subdomein scanner OWASP amass is toevoegd. Hiermee kan op tientallen manieren naar subdomeinen worden gezocht. Komen we daarmee eindelijk op de 100.000 overheidsdomeinen?

Domeininformatie van het SIDN wordt nu ingelezen. Dit om verlopen / uit handen gegeven domeinen te kunnen herkennen en makkelijk te kunnen verwijderen. Dank aan de SIDN voor het bieden van de who-is api.

Een domein dat van eigenaar is veranderd. Hier zie je dat het domein opnieuw is geregistreerd sinds dat we het monitoren. We kunnen dit domein en alle subdomeinen in 1x verwijderen. Dat maakt het onderhoud van de site behapbaar.

De website ondersteunt nu geolocatie: dus je kan makkelijk vinden welke organisaties in jouw buurt zitten zonder de kaart te hoeven doorzoeken. Geolocatie wordt gebruikt op de voorpagina en op de kaarten-pagina. Mogelijk binnenkort ook nog op andere pagina’s.

Geolocatie op de voorpagina. In Arnhem zie je een gemeenschappelijke regeling, de gemeenten arnhem, rheden, westervoort en lingewaard, daarna meer regelingen en ook bijvoorbeeld het Rijnstate ziekenhuis.

Op de gemeentekaart zie je alleen de gemeenten om je heen.

De voortgang-pagina is opgeruimd en heeft nu permanente links. Je kan nu direct zien wat de toename is van security.txt voor bijvoorbeeld gemeenten en provinices.

Op de voortgang pagina is te zien dat het aantal security.txt toepassingen is gestegen van 28 naar 41. Er zijn ook kleine getallen linksonder op de kaart geplaatst waarmee je snel kan zien wat de absolute aantallen zijn.

Aanpassingen in metingen

De bannergrab scanner is bijgewerkt, waardoor bevindingen worden opgeslagen als https/443 als http/443 wordt gevonden. Wij gebruiken “https” als protocol waar nmap vaak “http” ziet omdat de webserver een “http” status pagina geeft waarop staat dat je de site via “https” moet bezoeken.

Idem zijn de protocollen ‘gnutella’, ‘ssl’ en ‘ms-wbt-server’ teruggebracht naar https. De 160.000 endpoints hiervoor zijn verwijderd en de metingen komen terug op https endpoints.

Aanpassingen in django admin

De endpoint pagina is versneld, zoeken op endpoints is versneld.

Er is een bug gefixt waardoor niets meer kon worden opgeslagen van nieuwe scans. Je kan in de onderstaande grafiek zien wanneer die bug was opgelost:

Nieuwe uitzonderingen

We blijven er wel op meten, maar strepen eventuele bevindingen weg op de volgende plaatsen:

Poort 8443 mag open staan voor vpn doeleinden. Dit zien wij onder subdomeinen als ‘thuiswerken’, ‘telewerken’, ‘vpn’, ‘werkplek’ enzovoorts.

Het subdomein ‘sip’ hoeft geen http security headers meer te hebben.

Updates (maart 2023)

Nieuwe metingen

Nieuwe metingen: login portals en het login plaza. Lees er meer over op de eigen blogpost hierover.
Nieuwe meting op de http referrer policy. De standaard is niet privacyvriendelijk, dus we verwachten dat je deze hebt ingesteld op iets dat wel de privacy respecteert zoals ‘no-referrer’ of ‘same-origin’. We kijken nog niet naar de inhoud van deze header, dat gaan we wel doen.
Nieuwe meting op Windows File Sharing / Samba. We verwachten dat deze poorten dicht zitten omdat dit een ongebruikelijke manier is om bestanden te delen via het publieke internet: file hosting kan gewoon via een https pagina met een directory index bijvoorbeeld. Deze hebben we even uitgezet ivm teveel false positives.

Functionaliteit basisbeveiliging.nl

Toevoeging van een maandoverzicht (in beta), waarop de grote wijzigingen van een maand te zien zijn. Dit loopt heel soms nog uit de pas met de echte metingen, ook is de vertaling nog niet helemaal afgerond.
Toevoeging van het Login Plaza per sector. Lees er alles over in het artikel hierover.
Er is een zoekbalk toegevoegd waarmee je kan zoeken over alle kaarten heen. Je kan hier zoeken op organisaties en domeinen. Dus als je wil weten waar die ene domeinnaam bij hoort krijg je ook het antwoord. Wat voorbeelden:
- Zoeken naar “zeto okdek nopom” levert het Ministerie van Economische Zaken en Klimaat
- Zoeken naar “https://cip-overheid.nl” levert het UWV
- Zoeken naar “Gemeente Raalte” levert… je raad het al: Gemeente Raalte.
- Door te zoeken naar plaatsnamen zie je ook weleens wat er in de buurt zit, zoals het voorbeeld hieronder, maar dat is omdat ze die plaatsnaam noemen in hun subdomeinen. Het is dus (nog) geen geografische zoekopdracht.
Je kan nu in rapporten aangeven of je hoog, midden, laag of goede bevindingen wil zien. Dat helpt met het focussen bij het oplossen van problemen.
Je kan nu de historie van de grafieken bepalen: 7 dagen, 30 dagen, 90 dagen of 365 dagen. Dat in combinatie met de tijdmachine op de site natuurlijk.
Diverse bugfixes op http header scans. Er zijn nu geen onjuiste metingen meer wanneer we worden doorgestuurd naar een andere site. Ook zijn de header metingen op protocol-mix sites weggehaald, sites zoals http://example.nl:443
Linkjes naar diverse pagina’s zijn nu ook te zien in de adresbalk . Je kan dus makkelijk een pagina zoals de kaart van de overheid of de kaart van waterschappen delen.
De pas-toe-of-leg-uit pagina is gefixt.
Diverse kleine wijzigingen zoals het verplaatsen van de pagina-context naar het hoofdmenu. De rapporten pagina is iets overzichtelijker.

Nieuwe zoekfunctie op basisbeveiliging.nl. Zoeken naar Arnhem levert diverse resultaten over organisaties bij Arnhem.

Data op Basisbeveiliging

Gemeentelijke herindelingen zijn doorgevoerd. We verwelkomen de gemeente Voorne aan Zee. Bij een samenvoeging worden ook alle oude domeinen meegenomen totdat we daar niets meer meten omdat alles is opgeruimd.
We hebben de VNG Realisatie en de VNG samengevoegd tot 1 organisatie. Ironisch genoeg staat deze organisatie op nummer 2 van slechtst beveiligde organisaties op de gemeentekaart, dat terwijl ze een toegewijde informatiebeveiligingsdienst hebben. Ook daarvan hebben we het nieuwe domein informatiebeveiligingsdienst.nl toegevoegd, in de hoop dat dat een goed voorbeeld is voor de rest van de organisatie, want de ibd zelf loopt voorop qua beveiliging.