Vanaf 16 juli 2024 staan is de online veiligheid van de geestelijke gezondheidszorg (GGZ) te zien op basisbeveiliging.nl. Deze sector scoort aanzienlijk lager dan de andere zorgsectoren die we meten: ziekenhuizen en GGD’s.
Op de nieuwe kaart staan 399 instellingen, hiervan scoren er 4 groen. Ongeveer 25% scoort oranje en de rest rood.
We doken in de metingen en vonden de volgende highlights:
35% e-mailt onvoldoende veilig en slechts 8% heeft perfecte e-mail
GGZ-instellingen scoren aanzienlijk slechter dan ziekenhuizen en GGD’s
Deze bevindingen zijn na de afbeelding toegelicht.
Voor deze kaart is samengewerkt met Z-Cert voor een dubbele vooraankondiging eind maart. De adressen van de zorginstellingen komen van Zorgkaart Nederland en zijn met de hand samengevat en aangevuld tot 1 locatie per instelling. Er zijn 2773 adressen gemeten, waarvan 442 hoofddomeinen en 1598 websites. Bij onjuistheden of onvolledigheden, stuur een mail naar info@internetcleanup.foundation.
Kaart online veiligheid GGZ instellingen 16 juli 2024
10% plaatst ongevraagd volgkoekjes waaronder op 113.nl*
Sites van GGZ instellingen bereiken een heel specifieke doelgroep met vaak ook specifieke behandelingen. Toch plaatst 10% van de websites ongevraagd volgkoekjes. Hiermee stellen advertentiebedrijven zoals Google en Facebook profielen op om gericht advertenties te verkopen.
Een opvallende bevinding is dat 113, de organisatie voor zelfmoordpreventie, ook volgkoekjes plaatst. Dit staat haaks op haar privacybeleid. Het gaat hier om het _gcl_au koekje, volgens Google gebeurt dat voor marketingsdoeleinden.
Eind juni is contact gezocht met 113 met de vraag of dit de bedoeling is. De organisatie heeft direct onderzoek ingesteld en kwam tot de conclusie dat het inderdaad gaat om een volgkoekje. De organisatie geeft aan dit niet zomaar te kunnen uitschakelen en is in gesprek met haar leverancier om dit aan te passen.
Op het moment van schrijven, 16 juli 2024, wordt het koekje nog steeds geplaatst. Inzicht in gedrag van bezoekers kan voor 113 extra waardevol zijn volgens het privacybeleid. Het benoemt expliciet monitoring op “overmatig gebruik”, wat de reden zou kunnen zijn dat bezoekersanalyse niet eenvoudig is aan te passen. Echter is deze vraag nog niet beantwoord door de organisatie.
* = Binnen een paar uur na publicatie heeft 113.nl de cookies van de site gehaald. De organisatie geeft aan dat er wordt onderzocht of eerder geplaatste cookies onschadelijk zijn of automatisch kunnen worden verwijderd.
Screenshot 113.nl met daarop de cookiebanner die aangeeft alleen analytische en functionele cookies te plaatsen, waar het marketingscookie van Google te zien is (_gcl_au met de waarde 1.1.1449047532.17…).
35% heeft onvoldoende veilige mail, 8% doet het goed
GGZ-instellingen hebben hun e-mail ondergebracht bij 58 verschillende dienstverleners. E-mail staat ingesteld op 378 hoofddomeinen, dat is het adres waar men gebruikelijk naar mailt. Op 31 domeinen (8%) is e-mail goed ingericht, verdeeld over verschillende leveranciers.
Er is geen specifieke kwetsbaarheid aan te wijzen bij de 35% die onvoldoende scoort. Ook geen specifieke leverancier.
Daartussen zit nog een middenmoot van ongeveer 60%. Dit zijn de partijen die bij Microsoft zitten: daar is alles op orde behalve DANE. Deze afwijking keuren we tot het eind van het jaar goed omdat Microsoft dit aan het uitrollen is.
We zien dat Microsoft verreweg de grootste dienstverlener is voor GGZ instellingen. Daarna volgt Google. Dit ligt sterk in lijn met het onderzoek van de NOS van begin maart.
Leverancier
Aantal hoofddomeinen (378)
Microsoft
227
Google
31
Cldin
14
Proofpoint
12
Signet
11
One.com A/S
5
Soverin
5
Previder
5
amazon.com
4
Overig 48
64
Verdeling e-mail bij verschillende leveranciers: het kan zijn dat een tussenpartij deze diensten aanbiedt via deze partij.
GGZ slechtst beveiligde zorglaag
Op basisbeveiliging is ook de veiligheid van sectoren met elkaar te vergelijken op alle meetpunten. Bij de vergelijking tussen ziekenhuizen, GGD’s en GGZ’s blijkt dat GGZ-instellingen het slechtst scoren.
Op DNSSEC bijvoorbeeld scoort de sector ruim 17% lager dan ziekenhuizen en bijna 30% slechter dan GGD’s. In de sector worden de meeste volgkoekjes geplaatst en ook liggen de veiligheidsinstellingen op de website ver achter.
Actuele metingen op basisbeveiliging.nl
Alle metingen in dit artikel kunnen zijn te vinden op de website basisbeveiliging.nl. Deze metingen worden continu bijgewerkt, waardoor er altijd een actueel beeld is van de stand van zaken. Zo is te zien wanneer een GGZ-instelling verbeteringen doorvoert.
Alle metingen zijn per organisatie tot in detail te bekijken, bekijk bijvoorbeeld via de volgende link het rapport van 113.nl. De lijst met goed en slecht scorende organisaties is hier te zien.
Basisbeveiliging.nl is een initiatief van de Internet Cleanup Foundation. Deze stichting zet zich in voor een veilig online Nederland. Dat doet ze door publiek inzicht te geven in actuele metingen rondom online veiligheid en onderzoek hiernaar te doen. De stichting wordt gefinancierd met bijdragen vanuit het Rijk, door deelnemers en tijd van vrijwilligers. Lees hier meer over het project en de stichting.
Sinds eind 2022 meet basisbeveiliging.nl de reclamebanners die worden aangeboden bij online diensten. Hierin staat bijvoorbeeld de fabrikant of de naam van het product. Bekende voorbeelden zijn Apache en Nginx. Maar ook een dienst voor het op afstand beheren van computers, SSH, heeft zo’n banner, maar deze is anders dan anderen.
De banner voor SSH bevat niet alleen reclame, maar ook de versie van de software die wordt aangeboden. Dat is een verplicht onderdeel van het product. Basisbeveiliging maakt hiervoor in de beoordeling een uitzondering: normaliter wordt een versienummer negatief beoordeeld omdat een aanvaller dit kan gebruiken, maar bij SSH kan het niet anders. En daar wringt nu de schoen.
Op 1 juli hebben onderzoekers van Qualys een nieuwe kwetsbaarheid gepubliceerd genaamd regreSSHion. Dit is een hoog risico aanval waarmee een aanvaller met behoorlijk wat moeite toegang krijgt tot het achterliggende systeem. De nodige mitsen en maren worden uitgelegd in de blogpost van de onderzoekers. De kwetsbare versies zijn OpenSSH 4.4p en lager en 8.5p1 tot 9.8p1 van 1 juli 2024. Meer informatie over de kwetsbaarheid is te vinden onder nummer CVE-2024-6387.
Iedere beveiligingsonderzoeker en aanvaller heeft de middelen en kennis om te achterhalen welke versie waar draait. Een leek kan dit ook achterhalen door de 10 minuten YouTube handleiding over ‘bannergrabbing’ te volgen. De geoefende aanvaller heeft deze banners van het hele internet al klaarliggen, of kan deze in enkele uren zelf samenstellen met verouderde hardware.
De aanval zelf kost tijd en kan doelgericht worden uitgevoerd omdat kwetsbare versies makkelijk zijn te vinden. Een aanvaller krijgt daarnaast makkelijk meer zekerheid doordat SSH niet alleen de versie aangeeft maar ook op welk systeem het draait. Bijvoorbeeld “9.2p1 debian-2+deb12u2“, door dat laatste stuk is in een tabel te zien op debian.org dat dit een kwetsbare versie is. Dit commentaar is optioneel, kan worden uitgezet en wordt daardoor altijd als hoog risico beoordeeld op basisbeveiliging.nl.
Metingen
Hieronder staat welke kwetsbare versies van SSH draaien bij de overheid, zorg, onderwijs en overige lagen. Deze informatie is gebaseerd op metingen van 28 juni tot 1 juli: dus net voordat de kwetsbaarheid publiek werd. Inmiddels zullen de eerste aanpassingen zijn gedaan. Daarom krijgt dit artikel over een paar maanden een vervolg.
De kwetsbaarheid is te verhelpen door te upgraden naar de meest recente versie van OpenSSH. Er worden meer dan 2500 SSH diensten aangeboden bij de gemeten organisaties, 21% daarvan is dus hoogstwaarschijnlijk kwetsbaar. Naast upgraden is het afschermen van SSH toegang met een firewall sterk aan te raden.
Basisbeveiliging bevat geen metingen of beoordeling over ernstige kwetsbaarheden als regreSSHion: dat gaat tegen ons publicatiebeleid in. Basisbeveiliging meet reclamebanners van software om aan te geven dat deze moeten worden opgeruimd. Dit opruimen is onderdeel van een proces genaamd hardening. Ook het afschermen van (opties tot) beheerstoegang voor onbevoegden hieronder.
Kwetsbare versies op 1 juli 2024
Net voordat de kwetsbaarheid publiek werd meet basisbeveiliging 586 kwetsbare versies. De verdeling per kaart/doelgroep is als volgt:
Doelgroep / Kaart
Aantal kwetsbare versies
Overheid / Centraal
166
Onderwijs / HBO
141
Zorg / Ziekenhuis
93
Onderwijs / Universiteit
79
Politieke partijen
44
Overheid / Gemeente
22
Cybersecuritybedrijven
16
Onderwijs / Primair
13
Overheid / Provincie
7
Overheid / Veiligheidsregio
2
Overheid / Waterschap
2
Zorg / GGD
1
Verdeling kwetsbare OpenSSH diensten op verschillende kaarten
Onderverdeling kwetsbare versies bij de overheid
Bij de overheid zien we 199 kwetsbare installaties. Deze geven vaak ook teveel informatie over het achterliggende systeem, wat optioneel is. Deze optionele informatie keurt basisbeveiliging.nl altijd als rood: het systeem is niet gehard tegen aanvallen en een aanvaller weet meteen precies wat op het systeem draait.
De verdeling van de 199 kwetsbare installaties is als volgt:
Overheid
Gemeente
Provincie
Veiligheid
Water
8.9p1 ubuntu-3ubuntu0.6
55
6
1
1
9.2p1 debian-2+deb12u2
52
1
8.9p1 ubuntu-3ubuntu0.7
25
1
8.7
16
8.9p1
10
1
4.3p2
6
8.8
4
9.6p1 ubuntu-3ubuntu13
3
1
8.9p1 ubuntu-3ubuntu0.1
2
1
for_windows_9.5
3
9.3
2
9.0
1
1
for_windows_8.0
2
8.9p1 ubuntu-3ubuntu0.3
1
9.0p1 ubuntu-1ubuntu7
1
9.3p1 ubuntu-1ubuntu3.3
1
9.7
1
Verdeling kwetsbare SSH versies per overheidslaag. De verschillende reclamebanners geven vaak ook teveel informatie over het achterliggende systeem.
Onderverdeling onderwijs
Er zijn 233 kwetsbaarheden gevonden in het onderwijs, wat opvalt is dat er geen kwetsbare versies zijn gevonden bij het voortgezet onderwijs en het MBO.
HBO
Universiteit
Primair
9.2p1 debian-2+deb12u2
116
27
1
8.9p1 ubuntu-3ubuntu0.7
16
16
6
8.9p1 ubuntu-3ubuntu0.6
3
11
2
8.9p1
4
8
9.2p1
6
2
8.7
2
1
9.5
1
1
9.7
2
9.7p1 debian-6
2
8.8
1
8.9p1 ubuntu-3ubuntu0.4
1
9.0p1 ubuntu-1ubuntu8.7
1
9.2p1 debian-2+deb12u1
1
9.3
1
for_windows_8.1
1
Verdeling kwetsbare SSH versies bij het onderwijs. Bij het Voortgezet Onderwijs en MBO zijn geen kwetsbare versies gevonden.
Onderverdeling Zorg
In de zorg zijn 94 kwetsbare versies gevonden, bijna allemaal bij ziekenhuizen.
Ziekenhuizen
GGD
8.9p1 ubuntu-3ubuntu0.7
51
8.9p1
15
8.9p1 ubuntu-3ubuntu0.6
9
1
8.7
9
9.0
5
9.2p1 debian-2+deb12u2
2
9.6
1
9.6p1 ubuntu-3ubuntu13
1
Verdeling kwetsbare SSH versies in de zorg.
Onderverdeling overig
Dit zijn de overige lagen op basisbeveiliging. Deze hebben niets met elkaar te maken. Landelijke politieke partijen hebben 44 kwetsbaarheden en cybersecuritybedrijven 16.
layer
political_parties
cyber
8.9p1
34
8.9p1 ubuntu-3ubuntu0.6
3
4
9.3
5
8.9p1 ubuntu-3ubuntu0.7
2
2
9.2p1 debian-2+deb12u2
2
2
9.6p1 ubuntu-3ubuntu13
3
9.6
2
8.9p1 ubuntu-3
1
Onderverdeling kwetsbare SSH versies bij overige lagen van basisbeveiliging.
Verantwoording
De metingen zijn uitgevoerd van 28 juni tot 1 juli op de tot dan toe bekende SSH poorten. Deze lijst blijkt na onderzoek na 8 december 2023 niet te zijn aangevuld, waardoor veel SSH diensten van andere kaartlagen helaas ontbreken. De kans is dus groot dat er nog veel meer SSH diensten draaien. Dit wordt in het vervolg rechtgezet.
Dit is een update van ons onderzoek van augustus 2023. We meten hoeveel domeinen binnen en buiten de EU+GDPR zone staan en bij welke leverancier. De exacte landen die vallen in de EU staat in het vorige artikel.
We meten een verdubbeling in het aantal domeinen buiten de zone. Dat is te verklaren doordat basisbeveiliging.nl meer overheidsdomeinen meet. In april 2024 zijn er 3500 domeinen van Digitoegankelijk toegevoegd, dit zijn met name projectdomeinen. Het e-mail adres op deze domeinen wijst vaak naar een bureau of een overheid: dit zie je goed in de cijfers terug.
Qua e-mail binnen de EU zien we dat Microsoft verreweg de grootste leverancier is. Als we alleen kijken naar hoofddomeinen van overheidssites dan gaat 33% van de e-mail via Microsoft. Van de overige 157 e-mail dienstverleners voor de overheid komen alleen Signet en Surf boven de 4%.
2023
2024
Mailservers
410
539 (+ 129)
Webservers
1076
2305 (+1229)
Absolute aantallen mail en webservers buiten de EU.
2023
2024
Mailservers
10.00%
7.75% (-2.25%)
Webservers
3.00%
4.64% (+1.64%)
Procentueel aantal mail en webservers buiten de EU.
Om het het voor gebruikers van basisbeveiliging makkelijker te maken om te zien waar hun web en mailservers staan is het tabblad “📍 Locaties” toegevoegd aan de rapportage. Hier staan ook vlaggetjes bij voor snelle herkenbaarheid. Hieronder een voorbeeld van het NCSC.
Voorbeeldoverzicht locaties bij het NCSC: alles staat in de EU.
Update leveranciers mailservers
Leveranciers e-mail overheid buiten de EU
7,75% van alle ingestelde mailservers gaat naar Amerikaanse dienstverleners op basis van het computeradres (ip adres). In totaal gaat het om 540 adressen buiten de zone op een totaal van 6961 ingestelde servers. In de tabel aan het is de verdeling tussen verschillende leveranciers te zien. Tegenover 2023 zien we procentueel een daling van 10% naar 7.75%. Er staat 1 mailserver in Azië, de rest van de buitenlandse servers staat in de VS.
De eerste opvallende wijziging is een stijging van “Cisco Systems Ironport Division”, ofwel AS 30238. Deze stijging zit vooral in projectdomeinen van Groningen en een aantal gemeenten. Dit netwerk is sterk verdeeld over verschillende leveranciers. In totaal staan er 163 adressen ingesteld naar dit netwerk, verdeeld over 23 mailservers.
De tweede opvallende wijziging is een migratie van Google tussen twee platforms. Adressen gaan van “Google Servers” naar “Google Cloud”.
Tot slot zien we een aantal nieuwe partijen. Akamai Connected Cloud heeft veel mailservers op het “link” subdomein: dit wijst op het gebruik van het product SMTP2GO. De andere nieuwe leveranciers zijn het resultaat van het toevoegen van nieuwe domeinen op basisbeveiliging.nl
We kijken op twee manieren naar e-mail: welk hoofddomein bij welke leverancier staat en het totaal aantal ingerichte mailservers.
E-mailen op het hoofddomein is wat iedereen gewend is om te doen. Als we kijken naar de verdeling van leveranciers over hoofddomeinen, dan zien we dat Microsoft 33% van de markt in handen heeft. De overige ±150 leveranciers blijven ver achter.
Overige 140 leveranciers (niet alles heeft mail op hoofddomeinen)
807
31.46%
Verdeling leveranciers e-mail op hoofddomeinen
Als we kijken naar absolute aantallen mailservers dan blijft Microsoft aan kop. In de EU zien we 6388 mailservers van de overheid. Deze worden geleverd door 168 leveranciers in 11 landen. 79.92% staat binnen Nederland (5105), 11.46% in Ierland en 4.78% in Duitsland.
Deze aantallen bevatten veel dubbelingen. Onder andere omdat leveranciers vaak meer dan één mailserver instellen zodat mail robuuster wordt. Ook zien we dat er vaak gemaild kan worden naar het subdomein “www”, iets wat in de praktijk obscuur is: andere veel gebruikte subdomein zijn logischer om mail op te ontvangen zoals “mijn.” en “mail.”. Er zijn meer dan 1000 subdomeinen waar naartoe verzonden kan worden. Dit bevat ook veel ontwikkeldomeinen.
Ingestelde mailservers op alle domeinen, inclusief www en inclusief dubbelingen van mailservers voor redundantie.
Enkele leveranciers gebruiken op hetzelfde domein mailservers binnen en buiten de EU. In totaal zijn dit 18 domeinen. Er zit geen duidelijke lijn in het soort domeinen. Enkele liggen voor de hand (zoals japan.investinholland.com en statiogov.com).
Hosting / Webservers
Websites overheid buiten de EU
Ten opzichte van augustus 2023 is het aantal adressen buiten de EU ruim verdubbeld van 1087 naar 2276. Dat komt vooral door de nieuwe domeinen. Ook is er een lichte stijging omdat veiligheidsregio’s worden meegenomen.
Ver verdeling buiten de EU staat on de onderstaande tabel.
Net als bij het vorige onderzoek zien we dat het leeuwendeel naar de VS gaat. Maar er is meer opvallends: drie domeinen komen uit bij Tencent in China. Dit zijn twee ontwikkeldomeinen en een subdomein van de Financial Intelligence Unit. Bij navraag bij de FIU blijkt dat dit een bewuste ontwerpkeuze is voor de uitvoer van haar taken. Zo zijn er meer bewuste keuzes gemaakt, maar in zeker de helft van de gevallen gaat het om systemen die opgeruimd moeten worden.
Continent
Land
Overheid
Gemeente
Provincie
Waterschap
Totaal
818
1269
101
88
NA
US
803
1259
101
88
NA
CA
2
AS
HK
2
3
AS
CN
1
2
AS
TR
1
1
AS
JP
2
AF
ZA
3
AF
MA
2
SA
BR
3
EU
UA
1
1
OC
AU
1
Tabel online dienstverlening buiten de EU+GDPR zone, 99% gaat via de US.
Websites leveranciers buiten de EU
Er komen 2253 webadressen uit in de verenigde staten. Dat is ongeveer 4.5% van alle adressen van overheidssites. Ook hier is er een sterke verdeling tussen leveranciers, waarbij Amazon, Microsoft en Google de grootste zijn.
Overheid
Gemeente
Provincie
Waterschap
Leverancier
803
1259
101
88
Amazon.com
199
462
55
47
Microsoft Azure
198
336
21
16
Amazon CloudFront
155
114
5
1
Amazon.com, Inc.
33
139
9
19
Google Cloud
57
127
7
2
GTT Communications
13
19
Fastly
19
7
Input Output Flood LLC
10
10
Cisco Systems Ironport Division
14
4
2
Squarespace
6
7
2
Google Servers
13
2
Cloudflare London
14
1
SendGrid
6
7
1
Overige 30
66
24
1
1
Verdeling websites leveranciers buiten de EU
Websites overheid binnen de EU
Verdeling per leverancier op hoofddomein
Er zijn 351 leveranciers (ISP’s) waar websites gehost worden. Een veelvoud aan bedrijven zoals marketingsbureaus maken deze sites en kiezen vervolgens een locatie om deze te hosten. We zien dat als we alleen kijken naar hoofddomein de volgende verdeling is te zien. We zien dat Amerikaanse leveranciers een stuk minder sterk vertegenwoordigd zijn.
Top 20 netwerkleveranciers van overheidsdomeinen op hoofddomeinen
Nemen we subdomeinen mee, dan ziet de top 10 er als volgt uit. We zien dat Microsoft hier de grootste is, vooral door de vele subdomeinen die nodig zijn voor Windows domeinbeheer. SURF is oververtegenwoordigd door research-domeinen van TNO.
Top 10 netwerkleveranciers van overheidsdomeinen op alle domeinen
Verdeling per land
Dit zijn de locaties van (web) servers per overheid verdeeld over Europa en Noord Amerika. Ten opzichte van augstus 2023 zien we een groei in het aantal domeinen van 24%.
Continent
Land
Overheid
Gemeente
Provincie
Waterschap
Totaal
26686
17358
1273
855
EU
NL
24771
15478
1105
781
EU
DE
805
534
49
14
EU
IE
476
574
35
41
EU
BE
255
336
37
4
EU
SE
57
176
4
8
EU
GB
83
109
24
3
EU
AT
51
44
3
3
EU
DK
43
52
2
1
EU
FR
27
24
3
EU
CZ
40
EU
FI
12
14
10
EU
IT
25
NA
BQ
20
EU
EE
7
9
EU
PL
2
4
EU
CH
4
2
NA
AW
4
EU
LU
3
EU
??
1
2
EU
NO
1
Verantwoording
Wat wordt gezien als binnen of buiten de zone
De EU+GDPR zone zijn alle landen in de Europese Economische Zone en landen met gelijkwaardige wetgeving zoals Zwitserland, het Verenigd Koninkrijk en Andorra. Expliciet buiten de boot vallen dus 17 landen die wel (deels) op het Europese continent liggen maar andere wetten hebben, zoals Albanië, Oekraïne en Turkije. De wetgeving van de bijzondere gemeenten (Bonaire, Sint Eustatius, Saba) en de andere landen in het Koninkrijk der Nederlanden (Aruba, Curaçao, Sint-Maarten) is ons (nog) niet geheel duidelijk, dus dit keuren we nu goed.
Deze cijfers zijn samengesteld op basis van IP-adres informatie, gekoppeld met geolocatie informatie die op allerlei manieren wordt verzameld. Geolocatie is geleverd door MaxMind, aangevuld met correcties uit de database van RIPE. We hebben toestemming om deze gegevens te gebruiken. Deze informatie kan afwijkingen bevatten.
Bijgewerkte metingen zijn te vinden op de website basisbeveiliging.nl. In de rapportage van iedere organisatie is een tabblad met locaties te zien. In dat tabblad staat een handig overzicht van de locatie van alle aangeboden diensten.
Vanaf 24 mei publiceert basisbeveiliging online veiligheidsmetingen van het basisonderwijs. Met meer dan 6000 vestigingen is dit de grootste kaart tot nu toe. De kaart is hier te bekijken.
De belangrijkste bevindingen:
De slechtst beveiligde onderwijslaag, maar plukjes groen geven hoop
2% is veilig (133), 13% komt in de buurt, 83% onveilig, 2% onbekend/todo
10% van de voorpagina’s van websites plaatst ongevraagd volgkoekjes
Risico’s zijn gelijk verdeeld over denominatie
Plukjes groen
Eerst het goede nieuws. Want tussen een zee van rood vallen plukjes groene instellingen op. Dit zijn samenwerkende basisscholen die het beheer van hun websites hebben gecentraliseerd. Zo scoren bijvoorbeeld de instellingen van Eenbes tussen Eindhoven en Helmond allemaal groen. Iedere school van deze samenwerking heeft een eigen website. We zien ook elders groene plukjes, zoals bij Iris in Kampen en PCBO in Apeldoorn.
Het leuke is dat Eenbes op haar eigen site ook een kaart heeft staan. Deze past precies op de positief beoordeelde instellingen in dezelfde regio. Zie de vergelijking hieronder. Basisbeveiliging staat links, Eenbes rechts.
Positief beoordeelde basisscholen in de regio Eindhoven/Helmond matchen exact de scholen van een samenwerking Eenbes.
10% ongevraagde volgkoekjes
We meten op 619 van de 6083 voorpagina’s ongevraagde volgkoekjes. Dat is iets meer dan op 10% van de sites van basisscholen.
Dit is uit te splitsen naar geloof (denominatie). Wanneer we dit doen ontstaat er een vrij gelijkmatige verdeling met één uitzondering. Dat zijn de gereformeerd vrijgemaakte basisscholen. Dit ontstaat omdat een enkele scholengroep (LEV-WN) hierin met 22 verschillende websites oververtegenwoordigd is.
Denominatie
Aantal hoofddomeinen
Met ongevraagde volgcookies
Percentage
Totaal
6083
619
10.18%
Openbaar
1913
198
10.35%
Rooms-Katholiek
1825
176
9.64%
Protestants-Christelijk
1484
152
10.24%
Algemeen bijzonder
315
26
8.25%
Reformatorisch
159
4
2.52%
Gereformeerd vrijgemaakt
108
34
31.48%
Antroposofisch
74
6
8.11%
Islamitisch
69
10
14.49%
Samenwerking PC, RK
51
4
7.84%
Interconfessioneel
25
2
8.00%
Bijzonder
23
3
13.04%
Samenwerking Opb., PC
8
1
12.50%
Evangelisch
7
2
28.57%
Hindoeïstisch
6
1
16.67%
Verdeling volgcookies op voorpagina’s per denominatie in het basisonderwijs.
De verdeling van de cookies schiet duidelijk één kant op: YouTube. Een quick-fix hiervoor is om youtube-noocookie.com te gebruiken, beter nog is om het filmpje te laden vanaf de website zelf of een leverancier die geen secundair belang heeft bij het aanbieden van video’s.
Leverancier
Ongevraagd volgkoekje
Aantal[1]
YouTube
VISITOR_INFO1_LIVE
634
Facebook
_fbp
91
LinkedIn
li_sugr
10
Google Ads
_gcl_au
4
LinkedIn
UserMatchHistory
3
Snowplow
_sp_id.<HASH_OR_ID>
2
[1]: Sommige instellingen gebruiken dezelfde site. Het aantal ontvangen cookies op het hoofddomein is absoluut. Daarom worden sommige cookies dubbel geteld.
Ondanks de plukjes groen en het kleine online oppervlak per instelling scoort het basisonderwijs het slechtst van de onderwijslagen. We zien dat terug in de locatie van de dienstverlening (buiten de EU), nihile adoptie van security.txt en DMARC en ondermaatse privacy op websites.
Het is echter niet hopeloos: door het kleine online oppervlak (weinig domeinnamen/online diensten) en korte lijnen zal het leveranciers niet al te lastig zijn om beveiligingsmaatregelen door te voeren. Dit is bijna een ‘walk in the park’ vergeleken met de nachtmerrie van grote organisaties om ook maar het kleinste beetje beweging voor elkaar te krijgen.
De onderwijslagen zijn te vergelijken op alle metingen in het klassement. Dat is hier te vinden. Hieronder staat een screenshot van de vergelijking op moment van publicatie.
Vergelijking veiligheid van vijf onderwijslagen in Nederland op alle meetpunten in Basisbeveiliging. Het aantal groene hartjes neemt af van Universiteit tot Basisschool.
Veel voeten in de aarde
Het maken van deze kaart heeft veel meer voeten in de aarde gehad dan alle voorgaande kaarten. Daarom zijn we ook een stuk later met de publicatie. Dat komt omdat er 6000 instellingen tegelijkertijd worden getoond: iets dat we nog niet eerder hebben gedaan. Maar laten we bij het begin beginnen.
De informatie over basisscholen komt uit open data van de Dienst Uitvoering Onderwijs. Instellingen kunnen deze informatie vrijwillig aanvullen en is hierdoor vaak niet up to date of onvolledig. Bij 900 instellingen is de website met de hand vervangen of aangevuld. Informatie uit andere sites zoals scholenopdekaart.nl is niet gebruikt ivm copyright. Wij werken met een vrije licentie.
Ook is van de meeste basisscholen contactinformatie (e-mail) verzameld. Veel hiervan is geautomatiseerd, aangevuld met de hand door vrijwilligers en een deel is gegokt op basis van meest voorkomende adressen. De reacties hierop waren vaak: haal ons uit het databestand. De mailing is gelukkig eenmalig.
Dan is er nog een probleem: naamgeving. Er zijn 92 basisscholen genaamd “de regenboog” 🌈 . Wij houden van regenbogen, maar het is wel handig dat het gaat over de juiste regenboog in de juiste plaats. Daarom staat er nu overal in welke plaats de instelling zit. Om de instellingen verder uniek te maken hebben we het identificatienummer van de instelling (BRIN) aan de naam toegevoegd. Je kan helaas niet zoeken op plaatsnaam, omdat dan bijvoorbeeld “Gemeente Amsterdam” niet meer is te vinden door teveel resultaten.
De site is ook op allerlei plekken sneller gemaakt. Ons motto daarbij is: meer data maakt een snellere site. Dat zie je meteen terug bij het laden van de pagina: alleen de getoonde kaarten worden geladen. De zoekmachine wordt afzonderlijk geladen en is door tuning vlotter geworden. De kaart zelf had lange laadtijden (en kan nog verder worden versneld), maar ook dit is versneld door animaties te beperken.
Voor mensen die een groter scherm hebben is goed nieuws: je kan nu rapporten direct vanaf de kaart openen. Hierdoor is het makkelijker om instellingen met elkaar te vergelijken. Op de kaart: klik met de rechtermuisknop op een organisatie en selecteer de “embedded” / “ingebed” optie. Hieronder een voorbeeld van hoe dat eruit ziet.
Achter de schermen zijn er nog veel meer uitdagingen geweest, maar hiervoor schrijven we een aparte blogpost.
Kaart van Zeeland met daarop 5 openstaande rapporten van onderwijsinstellingen.
Ter afsluiting: mooie kaarten
Omdat de gegevens van openstreetmap en basisscholen er tof uitzien hierbij een aantal mooie screenshots.
Alle basisscholen in heel Nederland, geclusterd. Hierin zijn circels te zien met een groene band: dit zijn de plukjes positief beoordeelde instellingen.Het Waddeneiland Texel telt 8 basisscholen, helaas is er hiervan nog geen volledig veilig.Dit zijn de basisscholen in Eindhoven en omstreken. Aan rechterkant zijn de groene stippen van Eenbes te zien.En nog een mooie grote afbeelding van Rotterdam en Den Haag.
Het website portfolio is een onderbelichte feature van basisbeveiliging. Dit overzicht is bijgewerkt waardoor het beter inzetbaar is voor veiligheidsdoelen. Bijvoorbeeld controle of alle sites de verwachte layout hebben of dat er geen cookiebanner op staat. Voorbeeld: rapport.
Nieuwe domeinen van digitoegankelijk
De kaarten van de overheid zijn in de afgelopen week een stuk meer oranje en rood geworden. We hebben namelijk de domeinen van digitoegankelijk toegevoegd. Zij hebben met de hand uitgezocht welke overheid voor welke domeinen verantwoordelijk is. Dit is een enorme klus.
Niet alle domeinen uit deze lijst zijn meegenomen. Domeinen die direct naar een leverancier wijzen zijn eruit gehaald. Ook als er geen absolute zekerheid is over het eigendom van het domein (aangegeven met de letter “Z”) wordt deze niet meegenomen. Met de hand hebben we enkele fouten hersteld.
Deze import heeft meer dan 3000 adressen opgeleverd. Veel hiervan zullen subdomeinen hebben. We zijn er ook achter gekomen dat we een kleine 400 kleinere overheden nog missen op de site. Deze worden dit jaar toegevoegd.
Upgrades zoekmachine
Vanwege de nieuwe kaartlagen waar veel namen hetzelfde zijn (bijvoorbeeld basisschool de Regenboog), zijn plaatsnamen toegevoegd aan onderwijsinstellingen.
Zoeken is versneld door veel ongebruikelijke zoektermen te verwijderen. Ook worden de resultaten gesorteerd op relevantie waardoor meestal de juiste organisatie staat voorgeselecteerd.
Daarnaast zijn er een paar foutjes opgelost in de zoekbalk op de kaart, zodat deze minder vaak vastloopt.
Achter de schermen
Helpdesk
De grote en onophoudende stroom aan e-mail vraagt een andere manier van werken. Daarom hebben we nu een helpdesksysteem. Dit maakt multiplayer behandeling van tickets mogelijk. Ook kunnen we wat standaardantwoorden gebruiken. Hiervoor gebruiken we zammad.
Uw tickets worden onder andere beantwoord door de vriendelijke meneer achter het bureautje in de overslagcontainer zoals op de foto.
Deze vriendelijke en welbespraakte meneer is een van de mensen die uw tickets zal behandelen
Compressie in de database
Onze database is uit de klauwen aan het groeien, maar dat is geen echt probleem omdat er genoeg mogelijkheden zijn om te optimaliseren.
Een van de mooie optimalisaties is het gecomprimeerd opslaan van tussentijdse resultaten. Dit scheelt 130 gigabyte aan schijfruimte zonder dat er iets verloren gaat. Hiervoor hebben we een speciaal veldtype geschreven in Django dat JSON data gezipt opslaat op alle databases die worden ondersteund door het webframework. Dit was eigenlijk niet eens heel moeilijk.
Tussentijdse rapportages van domeinen worden nu gecomprimeerd opgeslagen. Dit scheelt 130 gigabyte in de database. Dit at de hele harde schijf op. Nadeel is dat dit iets langzamer is waardoor er binnenkort op een andere manier moet worden gerapporteerd. Code staat hier met een testcase.
Vanaf 10 april toont basisbeveiliging.nl ook de basisveiligheid van het Middelbaar Beroepsonderwijs (MBO) en het Voortgezet onderwijs (VO). Er worden meer dan 6000 domeinen van 700 instellingen gemeten. De eerste onderwijsinstelling die overal goed op scoort is het Jordan Montessori Lyceum Utrecht. Gefeliciteerd 🎉
Vergeleken met Universiteiten en HBO’s scoren MBO’s en VO’s over het algemeen slechter. Door het vaak kleine online oppervlak van VO’s ligt hier wel een kans om relatief makkelijk en snel op groen komen te staan. Dit is precies wat het Jordan Montessori Lyceum heeft gedaan.
Het VO kunnen we op een nieuwe manier vergelijken: op denominatie. Dit kan verschillen blootleggen tussen onderwijs dat wordt gegeven vanuit een levensbeschouwing / godsdienst en openbaar onderwijs. Er zit een verschil maar dat is klein. Netto past iedereen voldoende tot goede versleuteling toe op websites en e-mail.
Bij MBO’s zien we een paar organisaties die verbeteringen hebben toegepast, maar helaas zijn er tegelijkertijd ook een aantal organisaties verslechterd. De meeste zijn ongeveer gelijk gebleven.
Tot slot zien we dat de gebruikte openbare gegevensset van DUO te wensen overlaat qua naamgeving van de instelling. Deze zijn soms ondoorgrondelijk. Omdat de instellingen deze informatie enkel zelf mogen bijwerken loopt deze informatie hopeloos achter op de werkelijkheid. Een alternatieve databron is gevonden maar mocht niet worden gebruikt. Domeinen zullen we dus van DUO halen, maar de namen zijn onbruikbaar.
Resultaten vergeleken met andere lagen
Geen enkele HBO of Universiteit scoort voldoende. Ook geen enkele MBO. Pas bij het voortgezet onderwijs komt de eerste echte groene organisatie in beeld. Dit is het Jordan Montessori Lyceum die met 8 adressen toch wel meer online aanbiedt dan een gemiddelde VO-instelling. Zelfs meer dan een aantal MBO’s.
Bij het vergelijken van de scores van de huidige vier onderwijslagen op basisbeveiliging zien we dat de goede punten vooral gaan naar Universiteiten en de slechte punten naar het Voortgezet Onderwijs. Maar de verdeling van de goede punten laat geen overduidelijke voorloper zien. Het VO heeft ook een kans om goed te scoren omdat het gaat over veel leveranciers en een klein online oppervlak per instelling. In de tabel hieronder zie je de verschillen per meting.
Tabel vergelijking basisveiligheid vier onderwijssectoren. De meting “eigenaar van het internetadres” vereist nog handwerk. De meting “NCSC+DANE” voor e-mail wordt nog niet opgesomd.
Vergeleken met andere doelgroepen zoals gemeenten scoren zowel MBO als het VO slechts op 3 van de 23 meetpunten beter. Eigenlijk zijn dit er twee omdat we nog met de hand een controle moeten uitvoeren op de domeinhouder. Men scoort enkel beter op de fysieke locatie van de server en RPKI.
Bijzonder en openbaar voortgezet onderwijs vergeleken
28% van de VO instellingen scoort Oranje. Dat is een stuk meer dan de 14% van de MBO’s. De kaart van VO-instellingen is ook erg leuk om te zien omdat de spreiding van de instellingen zo groot is. Wat dan meteen opvalt is dat deze kaart gaten heeft. Dit komt omdat we alleen de hoofdvestigingen en samenwerkingsverbanden van de instellingen hebben ingeladen. Er missen 233 nevenvestigingen. Deze volgen zo snel mogelijk.
De gebruikte dataset van DUO heeft het veld denominatie. Dit geeft aan of de onderwijsinstelling openbaar is, of dat hier les wordt gegeven vanuit een bepaalde levensbeschouwing of godsdienst. Dit is leuk omdat we nu kunnen checken of dit invloed heeft op online veiligheid. Dit hebben we gedaan met drie verschillende metingen uit verschillende bronnen.
De eerste is kwaliteit van versleuteling van de website volgens Qualys SSL Labs. Zij beoordelen volgens het Amerikaanse schoolsysteem (A tot F, van goed tot slecht). We zien dat het bijzonder onderwijs met meer B metingen iets achter loopt op openbaar. Het best scoren de kleinste groepen: die uit de denominatie “overige” en een aantal samenwerkingen. We zien dat nagenoeg iedereen redelijk tot uitmuntende versleuteling toepast op haar sites.
Denominatie / Beoordeling
A+
A
B
Bijzonder
21% (629)
48% (1454)
31% (930)
Openbaar
22% (226)
56% (568)
21% (218)
Onbekend
27% (98)
60% (219)
13% (48)
Algemeen bijzonder
40% (75)
39% (73)
20% (38)
Overige
44% (38)
48% (41)
8% (7)
Kwaliteit van versleuteling in het Voortgezet Onderwijs. Het aantal F en C beoordelingen zijn verwaarloosbaar en uit de tabel gelaten. Ook metingen waar “scan error” terug kwam hebben we buiten de meting gelaten.
De tweede steekproef is het plaatsen van ongevraagde volgkoekjes. Deze worden gebruikt om bezoekers van de site te volgen om daarna advertenties aan te bieden. 77% van de MBO instellingen doet dit en “slechts” 28% van de VO instellingen.
In totaal vinden we daar 11917 cookies, 890 hiervan zijn volgcookies. Bij de spreiding van cookies zien we ongeveer hetzelfde patroon ontstaan als bij versleuteling. Maar in dit geval lopen bijzonder en openbaar onderwijs gelijk: 8% van de geplaatste cookies zijn volgcookies.
Onbekend
Functioneel
Marketing
Statistiek
Bijzonder
58% (4419)
6% (469)
8% (620)
27% (2074)
Openbaar
60% (1697)
6% (179)
8% (215)
26% (723)
Algemeen bijzonder
78% (505)
9% (56)
5% (34)
8% (49)
Onbekend
43% (242)
7% (38)
1% (8)
49% (277)
Overig Samen
79% (245)
6% (18)
4% (13)
12% (36)
Verdeling soorten cookies op websites in het voorgezet onderwijs.
Het aantal onbekende cookies is vrij hoog, dat komt waarschijnlijk omdat in het onderwijs andere software wordt gebruikt dan bij de overheid, hiervan zijn de cookies nog niet geclassificeerd. We hebben op basis van de statistieken van cookiedatabase wel zekerheid dat wereldwijd de populairste cookies in beeld zijn. Dit verdient misschien nog nader onderzoek.
De derde en laatste vergelijking doen we op basis van versleuteling in e-mail. Deze meting is afkomstig van internet.nl. Nagenoeg alle domeinen worden versleuteld, er zijn er maar 4 waar geen versleuteling wordt toegepast. 97% van de domeinen voldoen niet aan de eisen waar de overheid aan moet voldoen, dat komt in alle gevallen door het ontbreken van DANE. Het bijzonder onderwijs doet het net iets beter maar dit gaat over hele kleine aantallen.
Geslaagd
Gezakt
Bijzonder
4% (18)
96% (417)
Openbaar
1% (2)
99% (169)
Onbekend
4% (3)
96% (82)
Algemeen bijzonder
0% (0)
100% (11)
Overige Samen
0% (0)
100% (9)
Verdeling e-mail dat voldoet aan overheidseisen: STARTTLS en DANE. Nagenoeg alle gezakte domeinen zakken door een gebrek aan DANE.
MBO’s gaan vooruit en achteruit maar staan vooral stil
De best scorende VO-instelling heeft werk verricht om een goede score te halen. Dit is te zien in de meethistorie van het Jordan Montessori. Het is lastig om dit soort vooruitgang te duiden bij kleine organisaties omdat dienstverlening kan wisselen, metingen niet altijd goed gaan ivm rate limitis/firewalls en dergelijke.
Bij MBO’s is dat eenvoudiger omdat het online oppervlak groter is. Daar zien we ook wel verschillen in de afgelopen maanden. Zo zien we de hoeveelheid hoge risico’s bij de volgende instellingen zakken.
Bij Firda verliepen een aantal certificaten tijdens het metenNoordpoort Groningen, waar een aantal certificaten zijn verlopenBij ROC Rivor worden volgcookies gemeten op het laatste moment
Werken met vervuilde data van DUO
Gegevens over het onderwijs worden als open data gepubliceerd gepubliceerd door de Dienst Uitvoering Onderwijs (DUO). Deze informatie wordt door de instellingen zelf bijgehouden en is in slechte staat. Wij bieden bij dezen alvast onze excuses aan dat de gegevens op basisbeveiliging.nl achterhaald kunnen zijn.
Een belangrijk probleem in de data van DUO is dat de naam van de instelling in 100% van de gevallen onjuist is. De naam is nu namelijk een samenraapsel en verhaspeling van allerlei informatie die slaat op de instelling. Vaak genoeg komt de echte naam niet eens voor in de registratie.
Bijvoorbeeld: “W v Oranje Coll Chr SGM v Ath Havo Mavo Vbo Lwoo”. Hierin zit een afgekorte naam, een geloofsovertuiging/denominatie, een samenwerkingsverband en diverse onderwijsstructuren. Er zit dus van alles in, behalve de door mensen gebruikte naam van de instelling. Hier hoort te staan “Willen van Oranje College”.
Namen bevatten ook vaak een plaatsnaam en rechtsvorm en al deze zaken worden op alle mogelijke manieren afgekort en samengevoegd. Daardoor verouderd deze informatie extreem snel en is dit veld waardeloos.
Naast namen zien we ook dat domeinen vaak achterhaald zijn. Ook zijn er instellingen te vinden die alleen basisonderwijs geven maar nog wel bij voortgezet onderwijs staan.
Er is een goede databron, maar deze mogen we niet gebruiken. Deze bron is scholenopdekaart.nl van Vensters. Dit is een samenwerking van Kennisnet, PO-raad en de VO-raad (publieke instellingen). We hebben een uitzondering aangevraagd op het gebruik van deze informatie maar niet gekregen. Basisbeveiliging wordt beperkt door het punt “geen afgeleide werken”.
Basisbeveiliging mag de data van DUO niet bijwerken, dat mogen alleen de instellingen. Omdat het verschil in kwaliteit tussen DUO en Vensters zo groot is lijkt het dat Vensters deze data niet mag of kan bijwerken bij DUO. Dus er zijn nu twee officiële bronnen. Met de wijzigingen die basisbeveiliging krijgt via pizza sessies en via de mail zijn er nu dus drie databronnen. We proberen wel de informatie van DUO (op basis van BRIN) bij te houden, behalve de naam dan.
Tot slot
Alle gemeten gegevens en rapporten zijn in te zien op de site basisbeveiliging.nl. Deze informatie wordt automatisch bijgewerkt.
Het kost ten minste twee miljoen om te mogen versleutelen, maar de kosten voor bijbehorend arbeid verveelvoudigt dat. Gelukkig is de transitie naar gratis certificaten in volle gang. Dit gaat gepaard met verdere automatisering waardoor vele uren aan foutgevoelig werk verdwijnt.
Dit onderzoek laat zien hoe de markt voor versleutelingscertificaten is verdeeld tussen diverse sectoren. De prijs van een certificaat ligt tussen de 0 en 1045 euro. We onderzoeken hoe de prijs tot stand komt vanuit de grote leveranciers maar ook vanuit de prijsvechters. Daarna kijken we naar hoeveel certificaten in gebruik zijn. Door deze informatie te combineren ontstaat een geïnformeerde schatting wat de publieke sector jaarlijks kwijt is aan certificaten. Tot slot kijken we naar de toekomst van certificaten en de vertrouwensketen.
Inleiding
Iedere website met versleuteling is vergezeld met een certificaat. Hierop staat voor welke site de versleuteling van toepassing is. Dit wordt door een vertrouwde externe partij onderschreven, waardoor bezoekers weten dat ze de juiste site bezoeken. Bij het wegvallen van vertrouwen, zoals bij een verlopen of ingetrokken certificaat, krijgen bezoekers een afschrikkende waarschuwing te zien of kunnen ze de site niet meer gebruiken.
Sinds november biedt basisbeveiliging.nl een certificatenoverzicht. Dit is te vinden in het rapport van een organisatie, bijvoorbeeld hier. Daar kan iedereen zien of er problemen zijn met de gebruikte certificaten van alle organisaties die we meten. Maar we slaan sindsdien ook andere data op, zoals wie de uitgever is. Daar gaan we in dit artikel op inzoomen.
Marktverdeling
Basisbeveiliging meet de Nederlandse overheid, zorg, onderwijs, cybersecurity en politieke partijen. Deze hebben samen ten minste 49.369 webadressen met daarop een certificaat. De vijf grootste leveranciers van certificaten bezit samen 91% van de markt.
Gratis dienstverlener Let’s Encrypt geeft verreweg de meeste certificaten uit. Daarna volgen twee commerciële partijen: DigiCert/QuoVadis en Sectigo. Veel domeinen van onderzoeksinstellingen en het onderwijs worden versleuteld via de vereniging GEANT. Dit is echter geen eigen uitgever maar een kortingsdeal met Sectigo. Daarna volgen 24 kleinere partijen, waarvan gratis provider Google Trust Services 2% van de sites bedient.
Marktverdeling certificatenleveranciers over alle gemeten domeinen. Let’s Encrypt 43%, DigiCert + QuoVadis 18%, Sectigo Limited 18%, GEANT Vereniging 11%, Google Trust Services LLC 2%, Overige 9%.
De overige 9% bestaat uit 23 partijen die minstens 10 certificaten op naam hebben staan. Namen die vaker dan 100 keer voorkomen: certSIGN(846), Trust Provider BV / Networking4all (711), cPanel(558), GlobalSign (530), Amazon (461), Microsoft (282), Cloudflare (219), ZeroSSL (191), “” (145), Acme Co (134), Plesk (132), SomeOrganization (113) en KPN(111). In deze kleine getallen is het certificaat vaker onderdeel van een product of dienst en niet los te koop.
Per sector wisselt de marktverdeling sterk. Bij de overheid zijn juist de twee commerciële leveranciers goed vertegenwoordigd. Voor het onderwijs wordt dit verdeeld tussen GEANT en Let’s Encrypt. Ziekenhuizen zitten er tussenin en GGD’s worden vooral bediend door DigiCert. Let’s Encrypt is de grootste bij het primair onderwijs, Cybersecurity en Politieke partijen.
Marktverdeling certificatenleveranciers voor alle domeinen per sector. Toegankelijke versie aan het eind van het artikel.
Hoe wordt de prijs bepaald?
Als we willen weten hoeveel geld er gaat naar certificaatleveranciers moeten we kijken wie dit zijn en welke prijzen ze vragen. Dit is een lastige opgave omdat prijzen sterk wisselen: tussen de 0 en 1045 euro. De prijs heeft geen invloed op de sterkte van de versleuteling.
Wat maakt dan het ene certificaat duurder dan de andere? Dat heeft te maken met vier eigenschappen die als doel hebben het gevoel van vertrouwen te vergroten.
De eerste eigenschap is extra validatiewerk. Bij de aanschaf van een certificaat wordt op verzoek gecontroleerd of dit wordt gedaan door de juiste organisatie of zelfs door de juiste persoon. De uitgebreidste en dus duurste optie heet “Extended Validation”. In totaal wordt 2.34% van de domeinen een certificaat van dit type gebruikt (1155 / 26156).
We hebben gecontroleerd of de WHOIS informatie op deze domeinen juist was, en dat is het geval voor alle .nl domeinen met dit type certificaat.
De meerwaarde van Extended Validation is aan het dalen. Dat komt omdat browsers sinds 2018 geen speciaal slotje hiervoor tonen. Het certificaat is dus vervangbaar door een ander vertrouwd certificaat zonder dat een bezoeker iets opvalt. Het groene slotje wordt nog wel veelvuldig gebruikt in marketing.
De voorpagina van Sectigo.com in 2024. Hier is nog steeds het groene slotje te zien, terwijl browsers dit sinds 2018 niet meer tonen.
De tweede eigenschap is een verzekerd bedrag. Dit bedrag is vaak psychologisch gekoppeld aan de prijs van het certificaat en loopt tot in de miljoen dollar. Dit bedrag wordt uitgekeerd wanneer het certificaat niet meer betrouwbaar is en de afnemer schade ondervindt. Deze verzekering is voorzien van een oceaan aan kleine letters. Uit onderzoek blijkt dat dit bedrag vooral marketing is om het product te diversificeren.
Of een daadwerkelijke schadeclaim iets gaat opleveren valt nog te bezien. Een inbraak bij leveranciers komt vaak gepaard met enorme reputatieschade, die kan leiden to faillissement. Dit is exact wat er in 2011 met DigiNotar gebeurde. Schade verhalen op een failliet bedrijf heeft weinig kans van slagen.
Dat moderne versleuteling onkraakbaar is spreekt natuurlijk voor zich, maar dat is niet waar de garantie over gaat. De sterkte van de versleuteling ligt volledig aan de inrichting van de afnemer en staat los van het vertrouwen in het certificaat. De leverancier van een certificaat is dus nooit aansprakelijk voor het uitlekken van gegevens bij slechte versleuteling.
De derde eigenschap is extra diensten. Iemand die toch al aan het kopen is wordt verleid om meer uit te geven. Het duurste certificaat van DigiCert bevat ook het gebruik van een plaatje, een security test, diverse monitoring en een beheerportaal. Dit wordt als meest waardevol verkocht, maar is met €1045 voor een jaar tegelijkertijd ook het duurst.
Het duurste certificaat op digicert.com kost 1045 euro en wordt begeleid met allerlei extra diensten.
De laatste eigenschap is het wekken van vertrouwen. Omdat er veel geld wordt betaald voor certificaten is er ook veel geld om een stuk theater op te voeren. Juist omdat het maken van een certificaat nagenoeg gratis is, kan bijna de hele omzet naar marketing en lobby. Dat uit zich in een veelheid van podcasts, whitepapers, lobbyisten, partnerprogramma’s, reclame uitingen, onderhandelaars, enzovoorts.
Door al deze beïnvloeding lijkt het net alsof deze ondernemingen heel relevant en bij de tijd zijn. Maar de innovaties rondom versleuteling komen uitsluitend van de prijsvechters en academici/wetenschappelijk onderzoekers.
Prijsvechten en wegautomatiseren
Aan de andere kant van de markt zitten de prijsvechters. Een van de eerste prijsvechters was Comodo, dat certificaten aanbood voor “voah weinagh”. Dat is overgenomen door Sectigo en hun product PositiveSSL is nog steeds te krijgen voor €12, maar het kost wat zoekwerk.
Vandaag de dag is Let’s Encrypt de grootste prijsvechter. Dit bedrijf biedt volledig geautomatiseerde versleuteling voor niets. Het kost jaarlijks 6.5 miljoen euro om deze organisatie in de lucht te houden. Hiervan gaat ongeveer €2.6 miljoen naar de afdeling voor certificaten.
Het bedrijfsmodel van Let’s Encrypt is sponsoring. Het goedkoopste sponsorbedrag is $12.500. Dat is een behoorlijk bedrag, maar het staat in geen verhouding tot het bedrag dat wordt uitgegeven aan commerciële partijen. Toch zien we geen enkele van de 7500+ door ons gemeten organisaties terug op de sponsorlijst. Ook geen buitenlandse overheid. Dat wil overigens niet zeggen dat er geen geld wordt gegeven: informatie over donateurs is niet publiek.
De populariteit van Let’s Encrypt ligt niet alleen aan de prijs van het certificaat. Het lost ook nog een veel duurder pijnpunt op: beheer. Het tijdig vervangen van certificaten en het correct configureren kost veel inspanning en is foutgevoelig.
Let’s Encrypt heeft dit deel van het beheer geautomatiseerd. Via het ACME protocol wordt op verzoek instant een nieuw certificaat geleverd. Met de tool Certbot wordt dit automatisch geïnstalleerd op het systeem. Basisbeveiliging.nl gebruikt ook Let’s Encrypt voor al haar sites.
De naam ACME is mogelijk een verwijzing naar de tekenfilms van Road Runner / Wile E. Coyote. Wanneer de Coyote een waanzinnige bestelling plaatste uit de postordercatalogus van ACME werd dit onmiddellijk geleverd. De tekenfilm speelt zich af in het midden van een woestijn.
De innovaties van Let’s Encrypt zijn voor iedereen te gebruiken. Hierdoor zijn er meer prijsvechters die dezelfde infrastructuur draaien. Bijvoorbeeld de nummer 5 in ons overzicht: Google Trust Services LLC en ook ZeroSSL die verderop in onze lijst staat. Ook alle commerciële certificatenverstrekkers ondersteunen ACME en certbot.
Wat opvalt bij gebruikers van Let’s Encrypt is primair onderwijs en de cybersecuritysector. Dit zijn financieel gezien tegenpolen. Het primair onderwijs heeft weinig budget en kiest dus voor de voordeligste oplossing. De cybersecuritysector komt na een risicoafweging ook uit bij Let’s Encrypt.
Kaart
Let’s Encrypt
% markt
Onderwijs / Primair
12383
81%
Politieke Partij
1626
73%
Onderwijs / VO
2338
63%
Cybersecurity
751
49%
Onderwijs / MBO
349
31%
Zorg / Ziekenhuis
1163
27%
Onderwijs / Universiteit
1098
23%
Onderwijs / HBO
512
21%
Overheid
2687
21%
Gemeente
1720
21%
Zorg / GGD
122
16%
Provincie
75
14%
Waterschap
55
12%
Totaal
24879
43%
Marktaandeel Let’s Encrypt gesorteerd op percentage
Wat kost een certificaat?
Zoals gezegd tussen de 0 en de 1045 euro.
De kosten voor een certificaat bij Let’s Encrypt zijn ongeveer 0.18 eurocent per stuk. Deze moeten iedere 90 dagen worden vervangen, dus jaarlijks kost dit ±0.72 eurocent per site. We hebben hiervoor de projectkosten van 2.6 miljoen euro gedeeld door de 363 miljoen sites die worden bediend.
Bij Sectigo krijg je eenzelfde certificaat en een vorm van validatie voor een van de onderstaande 14 prijzen. Deze prijslijst is afkomstig van Xolphin.com. Sectigo is niet de duurste maar de prijslijst hieronder is wel erg tekenend voor commerciële certificatenleveranciers.
Sectigo noemt prijzen van 12 tot 598 euro voor hetzelfde product. De vorm van validatie en theater om het product heen verschilt mogelijk. De namen van de verschillende producten zijn afkomstig van overgenomen concurrenten. PositiveSSL van Comodo was altijd goedkoop en Sectigo zou deze ‘prijsbewuste’ klanten verliezen als ze hierin iets aanpast.
Het goedkoopste jaarcertificaat bij Sectigo kost 12 euro. Bij Let’s Encrypt kost dit doorberekend slechts 0.72 cent. Sectigo is dus minstens 1600x duurder.
Voor een nieuwe consument is de veelheid aan namen ook verwarrend. Dit is natuurlijk bedoeld om hetzelfde product toch iets anders te laten lijken.
Prijslijst van Sectigo Certificaten. Ze zijn allemaal even sterk, maar de bureaucratie eromheen verschilt. Deze lijst is afkomstig van Xolphin.com.
Dit soort prijslijsten maakt het allemaal erg lastig om te bepalen wat er uiteindelijk wordt betaald. Ook eventuele kortingen, onderhandelingen en dergelijke zullen invloed hebben op de prijs.
We kappen dit oerwoud aan onduidelijkheid door de prijs te kiezen waarmee men adverteert op de hoofdpagina. We surfen naar de site toe en kijken dan naar het simpelste certificaat en kiezen daar de variant zonder validatie en eentje met extended validatie.
Prijstabel primair geadverteerde certificaten van certificaatleveranciers
Voor GEANT zit dit anders in elkaar. Dit is een kortingsdeal met Sectigo en kost 161 euro per instelling per maand voor onbeperkte aantallen van alle soorten certificaten. Dat is €1932/jaar * (18 universiteiten + 36 hbo + 56 mbo) instellingen is ±€200.000.
Hoeveel certificaten worden er gebruikt?
Nu de prijs bepaald is, willen we weten hoeveel certificaten er zijn gekocht. Om dit te bepalen spelen er twee dingen: de dataset en hergebruik van certificaten.
De dataset van basisbeveiliging.nl is niet volledig. Het vraagt ongelofelijk veel mensuren om alle domeinen in kaart te brengen, wat we met pizza sessies te lijf gaan. In de komende maanden introduceren we ook nog een andere oplossing.
Feit blijft dat met name projectdomeinen ontbreken in onze dataset. We kennen alle hoofddomeinen en daar onder liggende domeinen. Maar we missen dus campagnesites van gemeenten en ziekenhuizen maar ook de vele domeinen voor afstudeerprojecten en dergelijke.
De tweede factor waar we rekening mee moeten houden is hergebruik van certificaten. Een certificaat wordt gemiddeld gebruikt op twee adressen. Dit is niet alleen omdat het “www” subdomein er ook altijd gratis op wordt gezet.
We hebben onderzocht hoeveel sprake er is van hergebruik, dat is te zien in onderstaande tabel.
Hergebruik op aantal adressen
Hoeveel Certificaten dat dit doet
1 adres
18.416
2 adressen
6.490
3 tot 5
1.962
6 tot 10
677
11 tot 20
354
21 tot 100
167
101 tot 1068
14
Hergebruik van certificaten
Certificaten die meer dan 100 keer worden gebruikt zijn bijna altijd van Let’s Encrypt. Een enkel geval is een wildcard op een site van een politieke partij. Een andere staat op een populair subdomein van Microsoft.
Als we deze data plat slaan, en we rekenen per uniek certificaat één domein, dan is de verhouding: één certificaat wordt gebruikt op ±2.1 adressen. Dit ronden we af naar twee.
Sectigo
DigiCertQV
Let’s Encrypt
Toepassing op domeinen
10483
10629
24879
Unieke certificaten
5157
4900
11487
Verhouding tussen unieke certificaten en toegepaste domeinen
Wat betalen dus minimaal?
Nemen we de prijs van DigiCert en Sectigo en vermenigvuldigen dat met het aantal domeinen dan hebben we een prijs. Hier moet dus nog 50% vanaf om te compenseren voor hergebruik. Uiteindelijk komt dat neer op een ondergrens van 2 miljoen euro per jaar voor de aanschaf van certificaten.
Dit is exclusief verdere beheerskosten en instellingen. Zo stelt het NCSC regelmatig nieuwe eisen op voor sterke versleuteling, deze moeten worden geïmplementeerd per server/site. Verder moeten deze certificaten worden aangevraagd en vervangen, iets dat tijdrovend en foutgevoelig is zonder ACME.
De overige 11% is lastig apart te becijferen maar lijkt vooral gratis te zijn. Dit zijn namelijk twee prijsvechters (ZeroSSL en Google Trust Services) samen met zelf uitgegeven certificaten en certificaten die gekoppeld zijn aan een ander product of dienst.
De kostprijs bij Let’s Encrypt voor de 21101 certificaten in bovenstaande tabel is: 0.72 cent * 21101 = 15193 cent. Ofwel €151,93.
Toekomst van certificaten
De totaalprijs die wordt betaald voor certificaten zal in de komende jaren blijven afnemen. Let’s Encrypt biedt een aanbod dat niemand kan weigeren. Maar er zijn ook andere spelers in opkomst zoals ZeroSSL waar voor $100 jaarlijks een onbeperkte hoeveelheid certificaten is af te nemen.
Het beheer van certificaten is sterk vereenvoudigd door de certbot tool, samen met instant certificaten via het ACME protocol. Inmiddels ondersteunen alle certificatenleveranciers dit. Dit heeft een ontelbaar aantal uren bespaard in het beheer van certificaten.
Voor websites lijkt het vertrouwen in Let’s Encrypt nagenoeg altijd voldoende. Dat blijkt uit dat betaalde certificaten vaak niet voorzien zijn van validatie. De meerwaarde van validatie staat onder druk.
Aan de certificatenindustrie is er alles aan gelegen om relevant te blijven. Er is veel budget om invloed uit te oefenen. Die lobby heeft er bijvoorbeeld voor gezorgd dat de GGD vooral afneemt bij dure leveranciers. Daarnaast blijft het gevoel / illusie van het kunnen kopen van vertrouwen een belangrijk argument.
Er ligt ook een nieuwe kans voor certificaten en de ‘chain of trust’ bij de media. Bijvoorbeeld het kunnen bewijzen dat een foto of video is gemaakt door een bepaalde journalist van een nieuwsorganisatie. Of het publiek hier waarde aan hecht valt nog te bezien.
In dat licht zouden wij graag bewijzen dat dit artikel komt van de Internet Cleanup Foundation. Maar een functionaliteit om dit bewijs te leveren zit niet in ons blogplatform. Daarom hebben we lelijke watermerken toegevoegd aan de screenshots en onszelf een paar keer genoemd: dat is het beste dat we nu kunnen. We zijn benieuwd wat daar van overblijft in eventuele AI kopietjes van dit artikel.
Tegelijkertijd hopen we dat cryptografische herleidbaarheid beperkt wordt toegepast, omdat dit het einde kan betekenen van privacy. Een voorbeeld hiervan zit in het Noord Koreaanse besturingssysteem Red Star OS. Dit voegt een onzichtbaar overzicht van gebruikers toe dat een bestand heeft bekeken en/of aangepast. Dit is niet in het voordeel van de gemiddelde mens of een vrije maatschappij.
Kanttekeningen
We zien een vertekening bij politieke partijen. Deze zit bij een partij die 500 subdomeinen van lokale partijen onder hetzelfde certificaat versleuteld. Er wordt in de praktijk dus veel minder gebruik gemaakt van Sectigo ten gunste van Let’s Encrypt. De dataset mist de vele sites van veel lokale partijen.
De cybersecuritysector is natuurlijk geen onderdeel van de publieke sector maar de vertekening hierdoor is erg klein.
Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar.
Het hoger onderwijs heeft de gebruikelijke twee maanden gehad om e.e.a. nog voor publicatie te op te ruimen. Hier is goed gebruik van gemaakt. We hebben een boel mails ontvangen met vragen, suggesties en bijzonderheden.
Universiteiten werken hard aan veiligheid
In de aanloopperiode van begin januari tot 6 maart is door universiteiten ten minste 23% van de hoge risico’s opgeruimd. Zelfs met de introductie van de nieuwe versleutelde e-mail meting ging men dus vooruit.
Voor universiteiten is ook een nieuwe functionaliteit toegevoegd: het uitsluiten van een sub-subdomeinen. Dit is nodig voor studentensites die draaien onder bijvoorbeeld het “student” subdomein. In dit geval is de universiteit wel de hoster, maar niet de eigenaar: studenten mogen zelf bepalen op welke manier ze iets online zetten.
Er is helaas nog geen universiteit die op oranje of groen staat. Ook de universiteiten met een klein online oppervlak zoals de drie theologische of die voor humanistiek hebben nog hoge risico’s.
In totaal worden er net iets meer dan 8000 adressen gemeten. Dit bestaat uit de hoofdsite en alle subdomeinen. Projectdomeinen zijn niet meegenomen omdat hiervoor geen publiek register bekend is.
Bij de vooraankondiging zijn de hogescholen en universiteiten op 1 kaart gezet. Vanaf de 19e zijn deze uit elkaar gehaald naar verschillende kaarten. Hieronder staan de cijfers de 19e tot het moment van publicatie op 6 maart.
Risico
Begin aanloop 19 januari
Publicatie 6 maart
Verschil
Hoog
3.683
2.842
-23% (841)
Midden
6.842
5.808
-15% (1.034)
Laag
25.029
23.122
-8% (1.907)
Goed
52.125
49.701
-5% (2.424)
Verandering in risico’s bij universiteiten tijdens de aanloopperiode
Drie universiteiten laten grote veranderingen zien over tijd. Hieronder zie je de periode van 1 januari tot begin maart. Er zijn meer instellingen met een daling in hoge risico’s, maar daar is het niet zo duidelijk te zien.
Zakkende hoge risico’s van Universiteit Twente in de aanloopperiode. Zij zakten van 401 naar 113 hoge risico’s tussen 19 januari en 6 maart.Zakkende hoge risico’s van Radboud Universiteit Nijmegen in de aanloopperiode. Zij zakten van 370 naar 151 hoge risico’s tussen 19 januari en 6 maart.Zakkend hoge risico’s van Universiteit van Amsterdam in de aanloopperiode. Zij zakten van 114 naar 42 tussen 19 januari en 6 maart.
Hogescholen ook, maar minder zichtbaar
Bij hogescholen zien we aan de oppervlakte niet zo’n sterke daling in het aantal hoge risico’s. Dat is natuurlijk deels omdat de online oppervlakte van hogescholen kleiner is, en dat wordt ook weer verdeeld over meer instellingen.
Een aantal hogescholen mailden ook regelmatig met de vraag extra domeinen toe te voegen. Ook kwamen wij een paar ontbrekende alternatieve hoofddomeinen van hogescholen tegen waar meer infrastructuur onder stond. Dit samen heeft ervoor gezorgd dat een groot deel van de hoge risico’s die zijn opgelost statistisch wegvallen tegen nieuw gemeten hoge risico’s. Als we inzoomen, verderop, zijn wel grote wijzigingen te zien.
Dit is het overzicht van wijzigingen bij hogescholen in de aanloopperiode.
Risico
19 januari
6 maart
Verschil
Hoog
1347
1287
-4% (60)
Midden
3186
3102
-3% (84)
Laag
11028
11089
+1% (+61)
Goed
21702
22921
+6% (+1219)
Verandering in risico’s bij hogescholen tijdens de aanloopperiode
Opvallend is dat er een boel positieve resultaten bij zijn gekomen. Dit zien we o.a. bij Fontys, die e.e.a. anders hebben ingericht over tijd. In die grafiek zien we dat een maand heel veel ‘interne’ domeinen worden gevonden. Daar is e.e.a. opgeruimd waardoor er positieve resultaten bij kwamen.
Grafiek van Fontys Hogeschool, de verhoging van de risico’s waren ‘interne’ domeinen onder het hera.fhict.nl.
Een aantal hogescholen hebben hard gewerkt om de hoge risico’s weg te krijgen. Hieronder staan de instellingen die opvallen door een sterke daling. De genoemde getallen zijn ook weer van 19 januari tot 6 maart. Het aantal opgeruimde risico’s ligt hoger, dat zie je aan het begin van deze grafieken.
Bij twee grafieken valt op dat er een kleine stijging zit in het aantal op de laatste dag. Dat komt omdat deze grafieken op 7 maart zijn gemaakt. Op 6 maart is de meting rondom ongevraagde volgcookies van midden naar hoog gezet i.v.m. de aangekondigde handhaving van de Autoriteit Persoonsgegevens.
Er is ook een instelling die opvalt door een stijging van het aantal hoge risico’s van 48 naar 71. Op 17 januari, net buiten het termijn van onze vergelijking, zie je ook al een sterke stijging. Deze instelling mailde regelmatig met extra domeinen en heeft dus een andere strategie gekozen dan de rest. Dat is niet noodzakelijk slecht: nu is er dus inzicht op meer domeinen waardoor er op termijn ook meer veiligheid ontstaat.
Bij Zuyd Hogeschool is het aantal risico’s toegenomen omdat er veel extra domeinen zijn toegevoegd.
Vergelijking in het klassement
Ten opzichte van elkaar doen universiteiten en hogescholen het grofweg even goed. Universiteiten scoren 14 punten het best, hogescholen op de 10 andere. Op een paar punten zijn er wel duidelijke verschillen.
Universiteiten hebben DNSSEC en HTTPS beter op orde. Het gaat over een verschil van meer dan 10%. Hoewel bij universiteiten de kwaliteit van de versleuteling beter is, voldoen er minder adressen aan de versleutelingseisen van het NSCS + DANE. Dat is een interessante tegenstelling.
Hogescholen hebben de eer om RPKI voor hun websites 100% op orde te hebben. Alleen veiligheidsregio’s en waterschappen lukt dat ook. Op de punten waar hogescholen het beter doen dan universiteiten is het verschil nooit groter dan 10%.
Ten opzichte van de rest
Ten opzichte van de vier overheidslagen (centraal, provincies, waterschappen en gemeenten) doen de hogescholen het slechter. Ruim de meeste groene hartjes gaan dan telkens naar de overheidslaag. Zie hier, hier, hier en hier.
Gebaseerd op het aantal beste en slechtste posities in het klassement belanden hogescholen ergens in de middenmoot tussen de zorg, cybersecurity en politieke partijen.
Wanneer alle eerder genoemde lagen tegelijkertijd worden vergeleken zien we dat bijna alle ‘beste’ en ‘slechtste’ scores verdwijnen bij het hoger onderwijs.
Hieronder staat een vergelijking van de twee onderwijslagen ten opzichte van de overheid. Je ziet dat de slechte punten vooral verdeeld worden tussen de onderwijsinstellingen en de overheid de meeste groene hartjes krijgt.
Screenshot van het klassement tijdens het schrijven van dit artikel. De internet_nl_mail_tls meting is met 0% overal niet juist, dit is een bekende bug en is buiten beschouwing gelaten in dit artikel.
Metingen zijn openbare gegevens
De meetresultaten van dit onderzoek zijn openbaar en beschikbaar als open data onder de Creative Commons licentie. De informatie wordt doorlopend bijgewerkt en is in te zien op de site https://basisbeveiliging.nl.
Kleuren op de kaart van Universiteiten en hogescholen bij de eerste publicatie van de kaarten.
Kanttekeningen
Universiteiten hebben ook WHOIS met 10% of meer beter op orde dan hogescholen, maar deze meting vereist nog een handmatige naloop om te controleren dat de informatie bij hogescholen daadwerkelijk juist is. Daarom wordt dit verschil niet expliciet genoemd in het artikel.
In het klassement is de meting rondom STARTLS+DANE op e-mail weggevallen. Dit is een bekende bug. Hierdoor heeft iedereen een hoogste en laagste waardering erbij gekregen. Netto maakt dat alles vergelijkbaar, maar het geeft wat verwarring. Aan een oplossing wordt gewerkt.
Er zijn 36 hogescholen en 18 universiteiten meegenomen. Universiteit Nyenrode ontbrak in de bronbestanden en wordt later toegevoegd ivm de aanloopperiode.
Bij de WUR is een stijging te zien. Dit is verklaarbaar omdat de WUR al in het systeem stond vanuit een aantal overheidsprojecten. Deze twee instanties van de WUR zijn samengevoegd in de aanloopperiode. Dat is verwarrend en daardoor niet als aparte grafiek getoond.
Op 20% van de onderzochte overheidsdomeinen staat een cookiebanner (394 van de 1911). Er wordt op meer dan 100 verschillende manieren om toestemming gevraagd, daarna zijn we gestopt met tellen. Per banner zijn er ook nog eens variaties in positionering, teksten, instellingen en stijl.
30% van de banners lekken ongevraagde volgcookies. Bijna alle banners zijn grafisch misleidend. 23% van de banners vereist meer handelingen om te weigeren dan te accepteren, in enkele gevallen kost weigeren 3 handelingen.
De overheid wil van de cookiebanners op eigen sites af. In veel gevallen kan dat direct. Voor het merendeel van de gevallen moet de site een alternatieve dienst of instellingen gebruiken. Video’s en statistieken zijn de voornaamste bron van ongevraagde volgcookies.
Hoe moet het wel? Er zijn meer dan 300 grotere overheidssites zonder cookiebanner of externe scripts. Deze zijn van een groot aantal opdrachtgevers van de centrale overheid. Gemeenten, provincies en waterschappen lukt dit nog niet.
Ter lering en vermaak bevat dit artikel ruim 20 voorbeelden van slechte cookiebanners op overheidssites. Van 289 van deze banners is ook een bureaubladachtergrond gemaakt en een overzicht van alle verschillende manieren om te weigeren of accepteren.
Vanaf 1 maart 2024 worden ongevraagde tracking cookies rood beoordeeld op basisbeveiliging.nl. Dit sluit aan op aankondiging van de Autoriteit Persoonsgegevens om te gaan handhaven op misleidende banners.
Wat moet de overheid met al deze banners? Het ultieme antwoord daarop is eenvoudig: opruimen. In de kamerbrief over cookies en online tracking van staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) en minister Adriaansens (EZK) staat:
“Wij vinden het daarom wenselijk dat er geen third-party cookies of andere tracking gebruikt wordt op overheidswebsites, ongeacht het verkrijgen van toestemming.”
Een van de kernwoorden in die brief is “onbespied”: een bezoeker moet dus een website van een overheid kunnen bezoeken zonder dat een derde meekijkt. Dat is een hoger doel, waarbij ook geen bronnen van derde partijen worden gebruikt. Dus geen externe opmaak en lettertypen bijvoorbeeld.
Sinds februari 2024 geeft de Autoriteit Persoonsgegevens aan hoe heldere cookiebanners eruit horen te zien. Ze geeft daarbij aan dat ze hierop gaat handhaven en kan zelfs een boete opleggen.
Waarom gebruikt de overheid deze banners?
Op overheidssites zijn er twee hoofdoorzaken voor het gebruik van cookiebanners.
De eerste groep banners is simpelweg overbodig. Op deze banners wordt aangegeven dat er gebruik wordt gemaakt van analytische en functionele cookies. Daarvoor is geen toestemming nodig. Deze banners kunnen per direct de prullenbak in.
Mogelijke oorzaken van deze banners zijn onbekendheid met de regels of juristen die een “slag om de arm” nemen. Vragen om toestemming geeft de indruk dat gegevens kunnen worden gedeeld: het belemmert de gebruiker en maakt de site minder betrouwbaar.
Soms is het verwarrend: het statistiekenpakket (voor analytische doeleinden) van LinkedIn plaatst óók een volgcookie voor marketingsdoeleinden. Dan is toestemming noodzakelijk.
De overige grote groep banners komt door het gemak waarmee opdrachtgevers en websitebureaus online diensten van derde partijen gebruiken. Het gaat dan om functionaliteit voor zaken als video’s, kaarten, captcha’s en statistieken. Dit werkt makkelijk en snel maar men heeft niet scherp wat de gevolgen zijn. Deze besparing in komt uiteindelijk voor rekening van de bezoeker.
Voor de meeste, zo niet alle, online diensten bestaan alternatieven. Maar toegegeven: deze zijn niet allemaal even gangbaar, bekend, goedkoop, makkelijk te vinden of eenvoudig te gebruiken. Het scherp krijgen van alle alternatieven is dan ook een van de uitdagingen bij de overheid. Daarover verderop meer.
De overheid verdient geen geld aan advertenties op haar websites. Hiervoor zijn geen cookiebanners gevonden.
Werken die banners eigenlijk wel?
Op ten minste 30% van de sites met banner werkt deze niet. Er zijn ten minste 41 soorten banners die volgcookies lekken.
Neem het populairste volgcookie is die van YouTube. Dit cookie heet VISITOR_INFO1_LIVE en is door Google als advertentiecookie gedocumenteerd.
Zonder toestemming wordt dit cookie wordt geplaatst op 228 domeinen, terwijl met toestemming het cookie op 262 domeinen wordt geplaatst. Op 34 sites is de cookiebanner effectief.
Maar van die 228 sites zonder toestemming hebben 84 een cookiebanner. Hier komt het VISITOR_INFO1_LIVE cookie dus doorheen.
Wanneer de bekende volgcookies van Facebook, Google en LinkedIn worden meegenomen stijgt het aantal sites met lekkende cookiebanners naar 94.
We hebben over langere termijn 310 overheidssites met cookiebanner gemeten. Dus op 30% van sites met een cookiebanner werkt de banner niet. Een van de populairste cookiebanners, ‘cookieSettingsOverlayToggle’ lekt op 25 sites cookies. In totaal zien we 41 soorten lekkende banners. Deze zijn te vinden in bijlage E.
Voorbeeld van de cookieSettingsOverlayToggle cookiebanner
De 1911 sites zijn tot 200 pagina’s bezocht en tot 3 lagen diep. In totaal gaat het om 310 sites waar deze meting herhaaldelijk succesvol is uitgevoerd over langere termijn. De lijst met sites en de verklaring waarom dit niet gemeten is over het totaal van 394 sites is staat in bijlage E. We zien bij het geven van toestemming op sites met banners geen enorme toename in een nieuw volgcookies, enkel een toename in bestaande volgcookies. We hebben alleen gekeken wat er in het wild gebeurt, er is geen test uitgevoerd van alle banners (met alle instellingen) op alle volgcookies.
Zijn deze banners eerlijk?
Nee. 23 van de 97 onderzochte banners vereisen meer stappen om te weigeren dan te accepteren (23%). Soms kost weigering zelfs drie handelingen, terwijl accepteren er maar één is. In 16 gevallen is weigeren onmogelijk, vaak omdat deze banners over analytische/functionele cookies gaan en dus overbodig zijn.
In de voorbeelden later in dit artikel is duidelijk te zien dat met grafisch ontwerp (dark patterns) een bezoeker makkelijker kan accepteren dan weigeren. Denk dan aan dat de acceptatieknop goed te zien is, een positieve kleur heeft en dergelijke. Nagenoeg alle banners passen dergelijke patronen toe. De autoriteit persoonsgegevens geeft aan dat dit niet mag en hoe het wel moet.
Ook op overheidssites zijn de cookiebanners dus misleidend.
# Banners
Weiger stappen
Accepteer stappen
3
3
1
2
2
2
20
2
1
1
1
3
2
1
2
53
1
1
1
onmogelijk
3
1
onmogelijk
2
12
onmogelijk
1
2
onmogelijk
onmogelijk
Stappen om te weigeren bij 97 technisch verschillende banners.
Gezocht: alternatieve diensten
Diensten van derden zijn bij de overheid de enige bron van volgcookies. In dit hoofdstuk duiken we in de stand van zaken rond de twee belangrijkste redenen voor ongevraagde volgcookies: video’s en statistieken.
De overheid is op dit moment druk op zoek naar alternatieven. Niet alleen voor diensten die volgcookies plaatsen maar voor alle diensten van derden zoals externe lettertypen.
Wij zullen daarom in kaart brengen waar third-party cookies en scripts gebruikt worden, en welke. Op basis daarvan willen we onderzoeken of we deze kunnen vervangen door (open source) alternatieven, die door de overheid zelf gehost worden, waardoor die informatie niet naar derden gaat. Dit sluit aan bij de ambities omtrent digital commons.
Er zijn twee grote videoplatforms in gebruik op sites van de rijksoverheid. Dit zijn YouTube en Rovid. Beiden worden op afstand gevolgd door Vimeo en Kaltura.
YouTube plaatst het meest gebruikte ongevraagde volgcookie, maar levert sinds 2009 het alternatief youtube-noocookie.com voor embedding op sites. 20% van de verzoeken naar YouTube gaat via dat domein. Voor beheerders was het dus altijd al eenvoudig om privacyvriendelijk te werken, maar 80% doet dat niet.
Het andere populaire platform is Rovid. Dit is van de Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Dit platform plaatst geen volgcookies. Rovid wordt gebruikt op 268 sites, zoals dranquilo.nl of verbeterjehuis.nl. De speler van Rovid doet functioneel niet onder voor YouTube en heeft soms ook opties om videos te downloaden.
Maar Rovid heeft ook eigenaardigheden. De website waar de video’s vandaan komen, rovid.nl, is blanco. Er is niets te vinden over de dienst, zelfs geen rijksoverheidslogo. Er staat dus niet dat het van de overheid is, welk doel het heeft, wat het kost en wat het allemaal kan. Hierover is gemaild en dit artikel wordt nog aangevuld.
Rovid wordt alleen gebruikt voor de rijksoverheid. Andere overheden zullen dus andere alternatieven moeten zoeken. Een alternatief is dat websites zelf ook video’s kunnen aanbieden zonder gebruik te maken van een externe dienst of scripts. Voor iedere webtechnologie bestaat een groot aantal videospelers.
Alternatieven voor tracking op statistieken
Het statistiekenpakket van LinkedIn plaatst het vaakt ongewenst volgcookies. Google Analytics volgt bezoekers via externe verzoeken naar doubleclick.net wanneer het niet goed is ingericht.
De rijksoverheid kan via Dienst Publiek en Communicatie gebruik maken van een Piwik Pro installatie. Andere overheden zullen dit zelf moeten regelen, maar gelukkig is er een keur aan alternatieven. Matomo is zo’n populair alternatief. Op de website European Alternatives staan nog 30 alternatieven die voldoen aan de AVG.
Showcase slechte cookiebanners
De mensen die vroeger de interface van videorecorders ontwierpen maken tegenwoordig cookiebanners. Menig jurist, grafisch ontwerper en techneut heeft de bingokaart al snel vol met frustraties en irritaties.
Laten we kijken naar ruim 20 verschillende cookiebanners waar iets mis mee is. Deze metingen komen van november 2023. Er zijn wat sites opgeknapt of opgeruimd, maar de meeste staan er nog.
Tactisch onhandig
We beginnen bij politie.nl. Stel je wil een aangifte doen, dan is het fijn om te weten dat er nog een partij op die site zit die ogenschijnlijk geld verdient aan jouw bezoek.
Op het meldpunt integriteit van justitie en veiligheid staat het vinkje “sociale media” standaard aangevinkt. Dat is geen geruststellende gedachte wanneer je net een melding wil maken over de integriteit van een collega. Voor je het weet is je bezoek gekoppeld aan social media en krijg je hier reclames voor.
Ook een tactisch onhandige is die van investinholland.com. Waarom zou iemand investeerders willen afleiden met een vraag over cookies en tracking.
Er zijn meer sites waar vinkjes standaard aan staan. Zo ook op metropoolregioeindhoven.nl laat standaard marketing cookie aan staan.
Alles accepteren
Een kromme vorm van toestemming vragen is vinkjes tonen die uit staan. Daaronder staat dan de knop “alles accepteren”. Die knop aantikken zet dus alle vinkjes aan! De knop “Weigeren” is niet te vinden, waardoor een bezoeker moet nadenken over de andere optie.
Dat zien we bijvoorbeeld op buitenlevenvakanties.nl (ja, is rijksoverheid :))
Op geheugenvannederland.nl staat dit geheugenspelletje ook.
Ook GGD West Brabant doet dit. Met de knop “Ik stem met alles in” wordt toestemming gegeven voor de uitgevinkte opties.
De sites holland.com, nbtc.nl en zonmw.nl gebruiken dezelfde vraagstelling. Daarin wordt gesuggereerd dat “accepteren en doorgaan” de juiste keuze is. Daaronder staat in grijs een tekst waarvan een gebruiker niet kan zien dat het een link is.
Duister ontwerp
Bezoekers wordt door vormgeving verleid om in te stemmen met cookies. Dit is aan de orde van de dag en bijna alle cookiebanners maken zich hier schuldig aan.
Een voorbeeld is de site drenthe.nl. Daar kan men meteen accepteren, of men kan tijd besteden met priegelen in instellingen.
Ook groningen.nl maakt het bezoekers extra moeilijk om te weigeren. Om te weigeren moet je minstens twee stappen nemen. Namelijk eerst “voorkeuren wijzigen” en dan door het volgende doolhof de juiste vinkjes zetten.
Soms is het heel moeilijk om te vinden hoe je kan weigeren. Bijvoorbeeld op haaglandenveilig.nl is onderaan de paarse tekst een linkje te vinden om cookies in te stellen. We vinden het schrijven van het woord “Akkoord” op twee regels wel bijzonder grappig.
Contrast en kleur
Spelen met contrast kan ook zorgen voor meer gebruikers die toestemming geven. Hieronder staat het dialoog van drechtsteden.nl, waarbij de knoppen “Alle cookies weigeren” en “Voorkeuren” lijken uitgeschakeld. Mensen met verminderde visie zullen deze helemaal niet kunnen zien.
Op nidos.nl zie je geel op wit op geel. Dat is ongelofelijk lastig te lezen. Ook staat er bij toestaan een mooie groene knop en een vinkje. Dat zal dan wel de goede optie zijn.
Groen is goed. Dat zien we ook terug op de site nlw.nl.
Meertalig
Op de site van biodiversiteit worden verschillende talen door elkaar gebruikt: Accepteren als moeilijk leesbare link en een grijze knop met “No, thanks”.
Meertaligheid zien we vaker terug, zoals op hunzeenaas.nl. Daar kan je kiezen voor “alle cookies”, “Deny” en “voorkeuren”.
De site meldknop.nl, wat als doel heeft mensen te beschermen, heeft een uitvoerige en meertalige cookiebanner. Hier zijn de keuzes: “all cookies”, “weigeren” en “view preferences”.
Weigeren onmogelijk, an offer you can’t refuse
Diverse sites maken het onmogelijk om te weigeren, zelfs als het gaat om marketingscookies. Maar dat mag toch niet? Of wacht… er staat een link onderaan in de tekst die volledig wegvalt. We zien dit o.a. op de site van veva.nl.
Op risse.nl wordt aangegeven: kom je hier, dan stem je in met hun “cookie beleid” (sic). Er zijn meerdere van dit soort sites, zoals crimediggers.nl.
Nog wat aparte
Rotterdammers blijven Rotterdammers. Dat zie je ook in de vraagstelling en antwoorden op ggdrotterdamrijnmond.nl. Direct accepteren? Ja of Nee. Eigenlijk best duidelijk, en misschien wel de duidelijkste in deze reeks.
Maar gelukkig kan het ook onduidelijker, zoals op de site concernvoorwerk.nl. Hier is het mogelijk om te kiezen uit “Akkoord”, “x” en “x”. Wat doen die “x” knoppen precies?
Drie handelingen nodig om uit te schakelen
Tot slot nog een van onze favoriete sites: vng-international.nl. Dit is een favoriet van basisbeveiliging omdat dit domein zorgt dat de Vereniging van Nederlandse Gemeenten een van de slechtst beveiligde organisaties is op de gemeentekaart. De cookiebanner op deze site is dubbel gemeen: een bezoeker moet naar het slechter vormgegeven “settings” en daar moet het vinkje marketingscookies eerst worden uitgezet. Daarna moet alsnog op “Accept” worden geklikt wat natuurlijk verwaarend is.
Tot slot: hoe moet het dan wel?
Hier ligt een hele grote valkuil: aangeven hoe goede cookiebanners er uitzien. Dat zou betekenen dat het gebruik van deze banners en de tracking erachter wenselijk is. Wij lopen daarom met een grote boog om deze valkuil heen.
Ook het gebruik van scripts van derde partijen is niet wenselijk. De enige externe partij waar iets van mag worden opgevraagd is een andere site van dezelfde organisatie of de overheid.
Er zijn 335 overheidssites van maar dan 20 pagina’s die voldoen aan deze eisen. Het kan dus wel! Opvallend is dat het vele verschillende opdrachtgevers zijn die het is gelukt. Deze meting is uitgevoerd tot 200 pagina’s en maximaal 3 lagen diep per domein.
Helaas lukt het alleen de centrale overheid om aan deze eisen te voldoen. Gemeenten, provincies en waterschappen blijven achter door vaak dezelfde externe diensten.
Onderstaande afbeelding is op 4K te downloaden. Deze bevat 289 verschillende cookie vraagstellingen vanuit verschillende vormgevingen en technieken. Klik op de afbeelding om deze te downloaden.
Bijlage B: Collage smaakjes cookiebanners
Een van de meest toegepaste cookiebanners lekt op 25 sites volgcookies. Deze heet “cookieSettingsOverlayToggle”. Het leuke van deze banner is dat beheerders een eigen kleurtje kunnen instellen. Wij sparen ze allemaal!
Bijlage C: Toestemming of Weigeren
Bezoekers kunnen op 51 verschillende manieren accepteren: Aanvaarden, Accept, Accept All, Accept Cookies, Accepteer, Accepteer Al Onze Cookies, Accepteer Alle Cookies, Accepteer Alles, Accepteer Cookies, Accepteren, Accepteren En Doorgaan, Akkoord, Akkoord Met Cookies Van Derden, Akkoord Met Functionele Én Marketing Cookies, All Cookies, Alle Cookies, Alle Cookies Accepteren, Alle Cookies Toestaan, Alle Toestaan, Alles Aanvaarden, Alles Accepteren, Alles Toestaan, Allow All, Cookies Accepteren, Cookies Toestaan, Geen Probleem, I Agree, Ik Accepteer Alle Cookies, Ik Begrijp Het, Ik Ga Akkoord, Ik Snap Het, Ik Stem Met Alles In, Ja, “Ja, Dat Is Prima”, “Ja, Ik Accepteer”, “Ja, Ik Accepteer Cookies”, “Ja, Ik Accepteer Deze Cookies”, Keuze Opslaan, Ok, Opslaan, Prima, Prima, Ik Sta Dit Toe, Prima!, Sluit, Sluiten, Sta Cookies Toe, Toestaan, Verberg Deze Melding, Verbergen, Voorkeur Opslaan, Yes, I Accept Cookies From This Website
Ook kunnen ze op 50 manieren weigeren: Afwijzen, Akkoord Met Enkel Functionele Cookies, Alle Cookies Weigeren, Alle Weigeren, Alleen Anonieme Cookies, Alleen De Functionele Cookies, Alleen Functionele Cookies, Alleen Noodzakelijk, Alleen Noodzakelijke Cookies, Alleen Noodzakelijke En Analytische Cookies, Alles Afwijzen, Alles Weigeren, Cookie Instellingen Aanpassen, Cookies Niet Toestaan, Cookies Weigeren, Deny, Enkel Noodzakelijke, Enkel Noodzakelijke Cookies, Ik Ga Niet Akkoord, Ik Stem In Met Selectie, Liever Niet, Minimale Cookies, Nee, “Nee Bedankt”, “Nee, Bedankt”, “Nee, Bedankt.”, “Nee, Dank Je”, “Nee, Ik Accepteer Deze Cookies Niet”, “Nee, Ik Accepteer Geen Cookies”, “Nee, Ik Accepteer Niet”, “Nee, Liever Niet”, “Nee, Weiger Cookies”, Niet Accepteren, Niet Akkoord, Niet Nu, No, No, I Do Not Accept Cookies From This Website, No, Thanks, Ok, Opslaan, Opslaan En Sluiten, Reject All, Save, Weiger, Weiger Cookies, Weigeren, X, Zelf Instellen, Zet Cookies Uit
Bijlage D: Tabel met verschillende keuzes
De 154 combinaties met antwoorden kwamen we tegen tijdens het onderzoek.
Er is in totaal op 310 sites succesvol automatisch het cookiebanner gedetecteerd en geaccepteerd. In totaal zijn er 394 sites met een banner maar deze zijn niet allemaal succesvol geautomatiseerd (automatisch toestemming geven of weigeren).
Dit gebrek aan automatisering heeft een veelheid aan oorzaken, maar is vooral toe te schrijven aan broosheid en lastige detecteerbaarheid van de banner. Het is zeldzaam dat een cookiebanner eenvoudig geautomatiseerd kan worden. Enkele voorbeelden:
Sommige banners heten technisch hetzelfde, bijvoorbeeld: “consent_banner” maar hebben knoppen die anders zijn vertaald. Als de software dan zoekt naar “Accepteren” terwijl er “accepteren en doorgaan” staat, gaat toestemming geven niet lukken. Het is veel werk om per site en per banner te zien of de vertaling weer ander is.
Een andere reden is dat het detecteren van de banner kan afhangen van de layout. In sommige gevallen is de layout van de site niet stabiel. Deze krijgt per bezoek of per maand andere interne technische namen. Dan heet iets niet “consent_banner” maar “consent_banner_8eh1oi2ue” of zijn er helemaal geen namen waardoor een verschuiving al e.e.a. kan breken.
Voor het visitor_info1_live cookie wordt er dus op 310 domeinen van de 394 met banner gekeken.
Er zijn 41 banners die niet werken, maar het is niet bekend of deze in alle gevallen niet werken of dat er sprake is van een fout in de inrichting. We weten zeker dat op 30% van de sites sprake is van lekkende cookies terwijl er een cookiebanner aanwezig is.
Lekkende banner
Lekkende Sites
#btnAdjustCookieSettings
1
#cookie-law-info-bar
5
#cookie-outer
2
#cookie_tool_small
1
#cookiefloater
1
#cookieinfo-banner
1
#cookieInfoWindow:
1
#Cookies_question
2
#cookieSettingsOverlayToggle
25
#cookieWarningDiv
1
#CybotCookiebotDialog
5
#CybotCookiebotDialogBodyButtonAccept
2
#hs-eu-cookie-confirmation-button-group
2
#js-cookieTextContainer
1
#moove_gdpr_cookie_info_bar
1
#ppms_cm_popup_overlay
1
#tracking-cookies
1
#we-use-cookies
1
‘Alles accepteren’
1
cookieconsent
3
Sluit cookiemelding
2
.avia-cookie-consent
1
.cc-cookies__container
1
.ccc-banner__text
1
.cky-consent-bar
6
.cookie-banner-container
2
.cookie-consent
1
.cookie-message__outer-container
1
.cookie-notification-bar
1
.CookieBar_cookieBarContainer__U9O9H
2
.cookieconsent__cookiebar
1
.eu-cookie-compliance-banner
1
.eu-cookie-compliance-secondary-button
4
.js-accept-cookie
1
.js-cipix-cookiecontrol
1
.js-consent
1
.js-cookies-allow
2
.optanon-alert-box-wrapper
1
.osano-cm-dialog–type_bar:
1
.wpgdprc-consent-bar:
1
div.cmplz-cookiebanner
4
Bijlage F: Overheidssites zonder externe bronnen en zonder tracking
Eigenaar
Website
Pagina’s
Externe Bronnen
Academie voor Internationale Betrekkingen (AIB/BUZA)
Overzicht van grotere overheidssites zonder tracking en externe scripts
Disclaimer
De metingen komen van november 2023. Dat betekent dat sommige websites inmiddels zijn bijgewerkt / aangepast.
Na 100 verschillende cookiebanners zijn we gestopt met tellen en automatiseren. Het vermoeden is dat er in totaal rond de 150 technisch verschillende cookiebanners in gebruik zijn. Per ±20 sites is er een nieuwe cookiebanner.Begin december, na het onderzoek, vonden we nog bijna 750 nieuwe sites van de overheid.
Er zijn 1911 overheidssites gemeten. Er is begonnen met een lijst van 2600 domeinen, hieruit zijn alle redirects en niet bestaande domeinen gefilterd.
Domeinen zijn tot 3 lagen diep en tot 200 pagina’s gemeten.
Door de grote hoeveelheid overheidssites kan het zijn dat sommige sites niet (meer) van de overheid zijn. We gaan uit van een niet significante hoeveelheid sites: ze zijn allemaal door mensen bekeken en wat afwijkt lijkt in ieder geval op een overheidssite.
Om DANE te kunnen gebruiken is het gebruik van een andere veiligheidseis nodig: DNSSEC. De toepassing van DNSSEC is gangbaar: 100% van de waterschappen en provincies passen dit toe. Ook is het bij 99% van de gemeentedomeinen in gebruik. Cybersecuritybedrijven en politieke partijen zijn hier minder goed in met respectievelijk 79% en 72%.
Microsoft ondersteunt DANE vanaf maart 2024 middels opt-in. Vanaf juli 2024 is het standaard. Het is dus een beetje flauw om dit nu af te keuren op duizenden domeinen, terwijl het over een maand goed is in te stellen.
Met deze uitzondering komen bijna alle onvoldoende metingen te vervallen. De exacte getallen worden in de komende dagen te staan op basisbeveiliging.nl.
Daarom wordt er vanaf 15 februari een uitzondering toegevoegd voor DANE op Microsoft domeinen. Deze uitzondering vervalt automatisch op 1 juli 2024. Dit raakt ongeveer 2000 gemeten domeinen.