Kleine correctie: er stond dat de meting alleen de richtlijn van het NCSC meten, maar we meten daarbij ook nog of DANE wordt toegepast in dezelfde meting. We zijn aan het kijken of we de NCSC en DANE meting moeten loshalen.Tot nader bericht kan het zijn dat wel wordt voldaan aan de richtlijn van het NCSC, omdat DANE daar (nog) als overweging wordt aangedragen. Het gebruik van DANE voorkomt een bekende kwetsbaarheid, zie links in dit artikel.
Sinds juli 2023 is versleuteling verplicht op alle overheidswebsites. Toen de wet inging voldeed 33% van de overheidssites niet. Het is nog niet bekend wanneer een zelfde soort wet voor e-mail gaat gelden, maar gezien de gevoeligheid van post kan iedereen zien aankomen dat een verplichting niet al te lang meer op zich laat wachten.
Technisch gezien kan mail, net als een website, volgens de NCSC richtlijnen worden versleuteld. Maar er is een belangrijk verschil: van oudsher gaat het afleveren van mail boven versleuteling. Stel dat een mailverwerker alleen hypermoderne cryptografie gebruikt dan kan het zijn dat de mail deels onversleuteld wordt verwerkt. Het is voor een mailverwerker dus van belang om óók minder moderne versleuteling te bieden als achtervang.
Het opzetten van een veilige verbinding gebeurt met opportunistic TLS. De eerste stappen hiervan zijn onversleuteld en dit zorgt voor zwaktes die weer met andere technologieën zoals DANE worden opgelost.
De metingen zijn vanaf 7 februari in te zien op basisbeveiliging.nl. Ontbrekende versleuteling wordt nu beoordeeld met oranje, later dit jaar is dat rood. Niet voldoen aan de richtlijnen van het NCSC blijft voorlopig oranje. Deze meting is september 2023 aangekondigd.
De nieuwe metingen en omvang onderzoek
Deze nieuwe meting bestaat uit twee delen. De eerste is of versleuteling mogelijk is. De tweede is of deze ook kan voldoen aan de richtlijnen van het NCSC. De meting wordt ontwikkeld en onderhouden door internet.nl.
De meting wordt uitgevoerd vanaf de verzendende partij naar de eerste ontvanger. Dus vanaf een burger naar @rijksoverheid.nl. Er wordt niet gemeten of de ontvangende partij zelf in staat is veilig te mailen.
In totaal zijn er 3284 hoofddomeinen gecontroleerd waarop wordt aangegeven dat er iets met e-mail gebeurt (MX). Daarvan waren er 812 die mail weigeren (null MX). Op een domein is het gebruikelijk om meerdere mailservers in verschillende prioriteiten aan te bieden ter redundantie. In 317 gevallen konden niet alle servers van een domein worden gemeten: bijvoorbeeld door beperkte bereikbaarheid. Uiteindelijk is er op 2155 hoofddomeinen een volledige meting uitgevoerd. Er zit een lichte dubbeling in het aantal hoofddomeinen omdat sommige domeinen op meerdere kaarten staan of onder meerdere organisaties vallen. Van de 3284 domeinen zijn er 3075 uniek.
Versleuteling ontbreekt op 19 domeinen
Op 2144, ofwel 99.49%, van alle hoofddomeinen wordt versleuteling toegepast. De onderstaande 10 zijn dus de enige hoofddomeinen waar versleuteling ontbreekt.
Het gaat hier om het hoofddomein van een securitybedrijf, een politieke partij, vijf domeinen uit de zorg en drie van de overheid.
Van de overheden komt de centrale overheid er met 44% er het beste vanaf. Dus wordt er in 56% niet voldaan aan de eisen. Alle andere overheidslagen scoren slechter.
Voldoet aan richtlijn NCSC
Voldoet niet aan richtlijn NCSC
Centrale overheid
44% (429)
56% (553)
Gemeenten
41% (160)
59% (226)
Waterschappen
26% (6)
74% (17)
Provincies
23% (3)
77% (10)
Veiligheidsregio’s
6% (1)
94% (16)
Veilige e-mail op hoofddomeinen van de overheid
Bij de overige lagen zien we dat de cybersecuritybedrijven het slechtst scoren. Slechts 14 van de 141 bedrijven past voldoende veilige versleuteling toe. We zagen al eerder dat deze sector op alle metingen slecht scoort.
Voldoet aan richtlijn NCSC
Voldoet niet aan richtlijn NCSC
Zorg (Ziekenhuizen, GGD)
43% (234)
57% (311)
Politieke partijen
21% (7)
79% (27)
Cybersecuritybedrijven
9% (14)
91% (141)
Veilige e-mail op hoofddomeinen bij zorg, cybersecurity en politieke partijen.
De metingen zijn terug te vinden op basisbeveiliging.nl. Daar is dus precies te zien welke organisaties wel en niet voldoen.
Onlangs is het klassement live gegaan. Hierin kan je doelgroepen met elkaar vergelijken op alle metingen. Lees meer hierover in de blogpost.
Upgrades overzicht metingen
De voorste pagina van het rapport bevat een overzicht van alle metingen. Dit wordt o.a. gebruikt voor compliance door een aantal organisaties. Om dit nog makkelijker te maken zijn de volgende dingen toegevoegd:
Er staat een datum & tijd op de volledige schermweergave
De lijst is als CSV te downloaden, zodat deze makkelijk te delen is met collega’s
Als iets vaker dan 1x voorkomt staat het erbij
Het verklaringssymbool verschijnt nu alleen als alle bevindingen zijn verklaard
Voorbeeld aantallen in overzichtVoorbeeld datum en tijd voor compliance doeleinden
Onlangs bekeken
Op de voorpagina en de rapportenpagina staan nu de onlangs bekeken rapporten. Deze lijst wordt in de browser opgeslagen en scheelt weer wat klikken.
Totalen slechtste en beste
De totalen van beste en slechtste worden nu in de tabbladen weergegeven, zoals te zien is in de schermafbeelding hieronder.
Overige kleine wijzigingen
De kaart voor de zorg heeft twee subkaarten: GGD en Ziekenhuizen
Er zijn ±15.000 domeinen uit de database verwijderd die al een tijd op “soft delete” stonden.
De kaarten laden iets sneller omdat popups nu ad-hoc worden aangemaakt
De keuzenlijsten van organisaties bij rapporten en de voorpagina worden nu per 100 stuks ingeladen, in plaats van alles in 1x, dat is sneller. Zoeken werkt nog hetzelfde.
Er is een uitzondering gemaakt op basis van ISP. Voor cloudflare keuren we een bepaalde open poort goed (tijdelijk).
Status pagina bijgewerkt voor previews van nieuwe kaarten.
Vanaf vandaag staat er een klassement op basisbeveiliging.nl. Hierop zie je per meting wie het best en slechtst scoort. Bepaal zelf welke van de 30 doelgroepen je wil vergelijken. Bijvoorbeeld de overheid tegenover de zorg en de cybersecurity sector.
Wie per meting het best scoort krijgt een groen hartje 💚, wie het slechtst scoort krijgt het objectieve en wetenschappelijk correcte poep emoji: 💩. In het geval dat een doelgroep 100% alles op orde heeft dan krijgt die een fonkelend roze hart 💖. In het geval van de huidige 23 metingen zijn er dus 23 groene hartjes te verdienen en 23 poepjes te ontlopen.
Naast dat je zelf de doelgroep kan kiezen, kan je ook de volgorde bepalen van zowel de metingen als de doelgroepen. Daardoor is een rapport te maken dat aansluit op de prioriteiten van je organisatie(s). Deze volgorde wordt in de adresbalk bewaard, zodat deze is te delen. Tenslotte is het overzicht te downloaden als CSV bestand, zodat je het ook makkelijk kan mailen.
Voorbeelden
Hieronder staan drie links naar voorbeeldklassementen. Deze worden hieronder ook kort besproken in dit artikel.
Disclaimer: De screenshots in dit artikel zijn momentopnamen van 23 januari 2024. Deze lijst wordt dagelijks bijgewerkt. De afbeeldingen linken naar het actuele klassement van de besproken lagen.
In onderstaande afbeelding een voorbeeld van de vier overheidslagen: centraal, provincies, waterschappen en gemeenten. Je ziet bijvoorbeeld dat waterschappen op e-mail goed scoren. Ook zie je dat de waterschappen het beste scoren, daarna provincies, gemeenten en dan de centrale overheid.
Klassement tussen de vier overheidslagen. Klik op de afbeelding om naar de actuele klassementspagina te gaan.
Klassement drie doelgroepen: overheid, cyber en zorg
De verdeling ziet er totaal anders uit wanneer drie grote doelgroepen met elkaar worden vergeleken: overheid, cyber en zorg. In dit geval komt de overheid er verreweg het beste vanaf. De lage scores worden nagenoeg gelijk verdeeld over de zorg en cyber. Bijvoorbeeld het aantal illegaal geplaatste tracking cookies is het hoogst bij de cybersecurity. Hopelijk veranderd dit beeld nog sterk.
Klassement tussen overheid, cyber en zorg. Klik op de afbeelding om naar de actuele klassementspagina te gaan.
Met een van de kleinere domeinportfolio’s doet MinAZ het verreweg het beste en scoort zelfs op 5 punten perfect. De alfabetische volgorde lijkt ook voor positie 2 de juiste, want MinBZK scoort daarna het best met 4 groene hartjes. Daarmee nemen deze twee samen al zo’n 70% van de positieve punten voor hun rekening.
De negatieve punten worden vooral verdeeld onder BZ, JenV, Defensie en OCW. Waarbij wel gezegd moet worden dat Defensie ook twee punten 100% goed heeft uitgevoerd.
Tot slot is er nog een heldere middenmoot: deze doen het nergens het beste of het slechtste. In het screenshot staat EZK, maar ook VWS krijgt in dit klassement een hartje noch poep emoji.
De eerste vijf van de twaalf ministeries in het klassement tussen de ministeries. Klik op de afbeelding om naar de actuele klassementspagina te gaan.
2023 is het eerste jaar dat Basisbeveiliging onderdeel is van overheidsbeleid. Hierdoor is het project verder geformaliseerd met o.a. een code of conduct. Formalisering van de stichting is eind 2023 in gang gezet met o.a. een nieuwe bestuurder.
Het aantal meetpunten is dit jaar met meer dan 10 toegenomen. Mede dankzij nieuwe metingen van projecten als internet.nl, nmap en Nuclei. Ook hebben we zelf een aantal metingen ontwikkeld of aangescherpt. O.a. met dank aan SIDN en RIPE voor het gebruik van data hiervoor.
De twee invloedrijkste metingen van 2023 waren: login portals (Login Plaza / phpMyAdmin) en het gebrek van juiste HTTPS bij de overheid (Wet Digitale Overheid).
Privacy is een van de nieuwe onderwerpen geworden van de metingen dit jaar. We meten o.a. de locatie van servers en hoe men omgaat met volgcookies. Deze metingen haken in op het doel van MinBZK: een burger moet onbespied een website van de overheid kunnen bezoeken.
Er zijn vijf nieuwe kaarten toegevoegd: één voor ieder van de drie bijzondere gemeenten (BES eilanden, openbare lichamen), een kaart met politieke partijen en eentje met cybersecuritybedrijven. Die laatste is ook aangekondigd door branchevereniging Cyberveilig Nederland aan haar leden. We meten nu ook onszelf.
Qua community heeft de stichting nu een Discord server waardoor onze bereikbaarheid verder is toegenomen. Hierop werd tweewekelijks een meeting georganiseerd maar deze moet opnieuw worden ontwikkeld om het interessant te houden. Er zijn 3 fysieke pizza sessies gehouden bij hackerspace Hackalot in Eindhoven, deze blijven onverminderd succesvol.
Er zijn diverse uitingen gedaan over het project door derden. Onder andere heeft het CIP de actuele meting per organisatie meegenomen in haar halfjaarlijkse signalering naar overheden. Er is een aantal keer over resultaten geschreven door binnenlands bestuur en digitale overheid.
De stichting heeft ±15 deelnemers weten te vinden die het project een warm hart toedragen. Ook heeft de stichting haar eerste betaalde onderzoek mogen uitvoeren. Het CIP verstrekt een subsidie voor het project. Ook dank aan onze sponsor CoBytes voor hosting en ondersteuning!
Voor basisbeveiliging en de Internet Cleanup Foundation was dit een geweldig jaar. We bedanken graag iedereen die het project heeft gesteund. Ook dank aan de vele bezoekers/gebruikers van de site: zij hebben een enorme hoeveelheid beveiligingsproblemen opgelost. Dat is waar we het voor doen: een veiliger Nederland.
Fijne dagen en een veilig en gezond 2024 gewenst!
Onderdeel van overheidsbeleid en formalisering project en stichting
Dat is een grote eer, wat ook vereist dat we als project en stichting verder professionaliseren. Daarin zijn in 2023 een aantal stappen gezet. Een van de belangrijkste is onze code of conduct: hierin staat binnen welke ethische grenzen we handelen.
Daarnaast hebben we een aantal stukken geschreven die transparant maken hoe we werken. Bijvoorbeeld is er nu een meetbeleid waarin staat wat gemeten wordt, hierop kennen we ook een aantal uitzonderingen. Een publicatiebeleid waarin staat wat we publiceren en welke afwegingen worden gemaakt. De stichting heeft nu ook een disclaimer. Voor organisaties die op een nieuwe kaart worden geplaatst vatten we deze stukken samen in een how-to.
De geformaliseerde werkwijze heeft er ook voor gezorgd dat er dit jaar duizenden e-mails zijn verstuurd rondom aankondigingen van nieuwe metingen en organisaties die binnenkort op de kaart staan. Zo kunnen zij zich voorbereiden op wat gaat komen.
Het jaar samengevat in Cijfers
Website
13 nieuwe publieke meetpunten, nog 3 aangekondigd
5 nieuwe kaarten
±5.000 bezoeken per maand (baseline, zonder acties)
Sinds eind december wordt er gebruik gemaakt van Matomo, een on-premise statistiekplatform. Hierdoor wordt het duidelijk welke delen van de site populair zijn en welke niet. Op basis van deze gegevens wordt de site in 2024 verder geoptimaliseerd. Op basis van een extrapolatie van doordeweekse bezoeken wordt de site ±5000 keer per maand bezocht: daarbij hebben we nog geen beeld hoeveel effect acties en aankondigingen hebben.
Nieuwe domeinen
Gemeten op 7 december
Nieuwe domeinen
Kaart / Totaal
22988
Overheid
9522 (+25%)
Cybersecuritybedrijven
4490 (nieuwe kaart)
Politieke partijen
3469 (nieuwe kaart)
Gemeenten
3050 (+10%)
Zorg
2229 (+9%)
Provincies
128 (+9%)
Waterschappen
59 (+4%)
Veiligheidsregios
41 (+4%)
Aantal nieuwe domeinen op basisbeveiliging
Nieuwe kaarten / doelgroepen
Kaart Cybersecuritybedrijven
1 december is er een kaart toegevoegd met de veiligheid van cybersecuritybedrijven. We vonden dat deze in 20 van de 23 metingen slechter scoren dan de overheid. De bedrijven zijn bezig met het verhogen van hun eigen baseline en het aantal organisaties dat groen scoort is in een week na lancering gegroeid van 3 naar 6: nog 124 te gaan.
Kaart met veiligheid van cybersecuritybedrijven
Kaart Politieke partijen
De andere nieuwe doelgroep is de landelijke politiek. We vonden dat geen van de partijen voldoende scoorde. Er zijn 70 partijen gemeten, dit is later teruggebracht naar 26 die meededen aan de Tweede Kamerverkiezingen. Geen van de partijen scoorde voldoende. De initiële top 3 onveiligste partijen bestond uit Bij1, VVD en de Piratenpartij. In de aanloop van de verkiezingen lostte 7 politieke partijen bevindingen op en zijn een stuk veiliger geworden. Dit waren de Piratenpartij, SGP, PvdD, 50+, Volt, CU en BBB. 116 hoge en 488 midden risico’s werden opgelost. De top 3 onveiligste partijen tijdens de verkiezingen waren Bij1, VVD en D66.
Kaart politieke partijen op 6 december 2023
Kaarten bijzondere gemeenten
De kaarten van Bonaire, St Eustatius en Saba staan nog in de beginfase en bevatten op dit moment nog maar 1 organisatie per stuk. De bedoeling is om in 2024 de rest van de overheden en andere relevante publieke dienstverlening op deze eilanden (mits aanwezig) toe te voegen. Daarbij moet nog worden uitgezocht of hiervoor nog speciale uitzonderingen moeten worden gemaakt.
Nieuwe kaarten van de bijzondere gemeentes Saba, St. Eustatius en Bonaire
Nieuwe metingen
In 2023 zijn er 13 nieuwe meetpunten gepubliceerd. Er zijn nog 3 meetpunten vooraangekondigd die nog niet zijn gepubliceerd.
Tijdlijn publicatie nieuwe meetpunten 2023
Januari
Er wordt gecontroleerd op versienummers. Omdat versienummers alleen bruikbaar zijn voor aanvallers dienen deze niet gepubliceerd te worden. Lees verder.
Februari
De metingen over RPKI en Security.txt van internet.nl zijn toegevoegd. In de plaatjes hieronder zie je de adoptie van security.txt bij Nederlandse gemeenten. Links Mei 2023 met 32 organisaties. Rechts November 2023 met 179 gemeenten die dit gebruiken. Lees verder.
Maart
Er zijn metingen toegevoegd over website headers en login portals. We vonden dat er meer dan 300 phpMyAdmin installaties open stonden op sites van de overheid. Dit aantal hoort 0 te zijn. Lees verder.
April
Privacymetingen zijn toegevoegd. Er wordt gekeken of een bezoek aan een website gedeeld wordt met 3e partijen. Wanneer dit een van de grote marketingsbedrijven is wordt dit als onvoldoende gemarkeerd.
Mei
Er wordt gemeten op eigenaarschap van domeinen. Met toestemming van het SIDN wordt automatisch gekeken of de “registrar” staat op de juiste organisatie. We vonden dat 8% van de domeinen niet herleidbaar is naar de overheid. Lees verder.
Juli
De Wet Digitale Overheid is ingegaan. Dit vereist dat websites van de overheid alleen bereikbaar zijn via een versleutelde verbinding, en dat deze versleuteling wordt afgedwongen met een HSTS header. We vonden dat 33% van de overheidsdomeinen niet voldeed aan deze eisen bij de ingang van deze wet. Lees verder.
Augustus
We hebben gemeten waar e-mail servers en webservers worden gehost. We vonden dat 3% van de webservers in de VS staat, en 10% van de mailservers. Daardoor wordt er veel verkeer gedeeld met een gebied waar andere wetten gelden. Er zijn drie pogingen gedaan om dat te legaliseren, grote kans dat het weer opnieuw illegaal wordt. Lees verder.
Ook is in augustus onderzoek gedaan naar het gebruik van Google Analytics bij de overheid. We vonden dat 23% van de installaties gegevens lekt naar Google Ads: dit is verboden zonder toestemming. Lees verder.
November
Er wordt gemeten hoeveel verboden tracking cookies worden geplaatst op sites van de overheid en andere gemeten doelgroepen. We vonden dat op 4% van de hoofdsites van de overheid sprake is van tracking cookies. In totaal gaat het over honderden domeinen waar dergelijke cookies worden uitgegeven. Lees verder. De actuele stand van zaken is te zien op de speciale tracking cookies pagina.
December
t.b.d.
Nieuwe features
Bijna iedere maand zijn er nieuwe features opgeleverd voor basisbeveiliging. De onderstaande slide geeft daar een beeld van.
Tijdlijn nieuwe features op basisbeveiliging.nl in 2023
Januari
Follow-up scans toegevoegd. Sommige meetresultaten vragen om een bevestiging of uitzondering. Deze wordt uitgevoerd met een follow-up. Het is mogelijk om een serie aan metingen uit te voeren afhankelijk van de uitkomsten van een eerdere meting. In de praktijk worden er 5 follow-up scans gebruikt.
Februari
Er zijn een paar nieuwe scanners toegevoegd. Nuclei en OpenWPM.
Maart
Het maandoverzicht geeft nu per kaart de grote cijfers en trendlijnen per meting weer. Een voorbeeld is hier te vinden.
Gezien de grote hoeveelheid organisaties is een zoekbalk toegevoegd op de voorpagina.
De zoekbalk ondersteunt vanaf nu niet alleen de namen en domeinen van organisaties maar ook de alternatieve (oude) namen of namen vanuit de volksmond. Dit is vooral praktisch wanneer een overheidsorganisatie van naam wijzigt zoals Agentschap Telecom naar Rijksinspectie Digitale Infrastructuur. Als extra is het mogelijk om te zoeken op alternatieven namen zoals Oeteldonk voor ‘s-Hertogenbosch en Torenstad voor Zutphen. Ook middeleeuwse namen van steden zijn toegevoegd. Dit staat op de voorpagina, hier.
Publicatie van documentatie: meetbeleid en “binnenkort op basisbeveiliging, wat nu”.
Bevindingen hebben nu ook een OpenCRE (Common Requirement Enumeration) nummer. Hierdoor linken bevindingen naar eisen uit standaarden zoals CWE, CAPEC, NIST-800 53, NIST-800 63b, Cloud Control Matrix, ISO27001, ISO27002, en NIST SSDF.
De HSTS meting is herschreven en er is een G1 overheidscertificaat toegevoegd als vertrouwd.
Een volgcookie dashboard en monitor toegevoegd aan het hoofdmenu van de website.
Dashboard volgcookies geeft aan hoeveel % van de gemeten organisaties ongevraagde volgcookies plaatst
De kaarten van waterschappen en veiligheidsregio’s zijn opgeruimd. Ook maken ze nu gebruik van vlakken, waardoor goed te zien is welk gebied valt onder welk waterschap / veiligheidsregio. Dit ziet er ook mooier uit op de website.
Kaarten met gebieden van waterschappen en veiligheidsregio’s
Rapporten zijn nu beter deelbaar met directe links naar een specifiek domein en tabblad. Bijvoorbeeld cookies op een bepaalde website.
Ook hadden we een stand op de ONE conference. In de ochtend zag deze er zo uit:
Stand op de ONE conference
LinkedIn posts
Indrukken
Interacties (likes e.d.)
Comments (geschreven)
Reposts (gedeeld)
Onderwerp / TOTAAL
162158
1706
158
102
Nieuwe kaart Cybersecuritybedrijven
10929
131
11
12
Ongevraagde Tracking Cookies
5110
81
1
7
7 politieke partijen veiliger
3745
50
3
8
Cyber kaartje ONE
2481
44
3
1
Post-ONE conference
2769
93
3
2
Veiligheid Politieke partijen
5891
92
16
8
Google Analytics
9186
87
4
13
Diensten buiten de EU
13224
167
17
5
Wet WDO / Ontbreken HTTPS
34590
280
31
14
Vooraankondiging spreken ONE
3940
96
9
1
8% domeinen zonder whois
5468
62
3
7
10% phpMyAdmin Weg
7898
85
7
2
Login Portals / phpMyAdmin
45609
304
41
16
1800 overheidssites
8463
86
4
5
Actieplan Cybersecurity
2855
48
5
1
En er zijn wat followers bijgekomen, nu op 783 🙂
Helpdeskverzoeken
Dit jaar hebben we het concept van “bedankt” en “we gaan ermee aan de slag” mails toegevoegd. Dit om de hoeveelheid interacties te verhogen en een idee te krijgen wie de site gebruikt. We hebben ook enkele fanmails ontvangen. Ook is er 5x gebruik gemaakt van de sticker swap.
We hebben de volgende aantallen mails ontvangen (tot 6 dec 2023):
250 verklaringen en/of hulpvragen. De belangrijkste onderwerpen waren HSTS, verklaringen rondom niet vertrouwde TLS verbindingen en onjuiste metingen (bugs en uitzonderingsgevallen).
70 “we gaan ermee aan de slag” e-mails
1 “dank voor het meten” e-mails
Sponsoring
Onze hoster CoBytes heeft dit jaar een aantal abuse meldingen weggewerkt naar aanleiding van de metingen voor Login Plaza. Ook is onze servercapaciteit geüpgraded van 32 naar 72 gig ram, waardoor er ruimte is ontstaan voor complexere metingen. Waarvoor uiteraard veel dank!
Onze andere sponsoren Sentry en Gitlab blijven ons ook ondersteunen.
Merch / Ontwerpen
Er zijn 3 fysieke items gemaakt: 2 soorten stickers, 2 soorten dibond borden en een cyber penning.
De phpMyAdmin sticker is gemaakt n.a.v. Login Plaza, waar was ontdekt dat de overheid 300 installaties van phpMyAdmin online heeft staan. We hebben het project voorzien van een passend (mooier) logo. Dit blijven we doen tot het aantal installaties op 0 staat. Waarschijnlijk betaald de overheid ook niets voor deze software, maar plukt hier wel de vruchten van.
De Niet Veilig sticker is een sticker voor algemeen gebruik. Het is een verwarrend ontwerp wat groen en een positieve vink gebruikt om te zeggen dat iets niet voldoet. De stickers hebben een formaat van 5×5 centimeter.
De Cyber penning is gemaakt voor de ONE conference. Deze is gemaakt van fluor oranje plastic met een gouden folie opdruk. Het formaat is 9x5x0.1cm. Tijdens de ONE zijn er 420 penningen weggegeven.
Contactinformatie
Meer informatie over de stichting staat op de “over ons” pagina, hier.
Cybersecuritybedrijven zijn de fundering van de Nederlandse online veiligheid. Van de vitale sector tot de rijksoverheid: alle organisaties die iets voor de maatschappij betekenen gebruiken diensten van deze bedrijven. Bijvoorbeeld voor het oplossen van een digitale brand tot aan het testen van de online weerbaarheid.
Maar hoe goed zijn deze bedrijven zelf eigenlijk beveiligd? En waar ga je naar toe als deze bedrijven het niet goed doen? Vanaf 7 december 2023 laat basisbeveiliging.nl zien hoe het staat met de online basisveiligheid deze sector. We meten doorlopend meer dan 4000 domeinen van 130 bedrijven.
Het doel van deze meting is om de Nederlandse cybersecurityindustrie als meester in hun vak neer te zetten. Helaas zit de sector nog niet op het gewenste niveau. De sector is bedenker van veel van de veiligheidsmaatregelen die we meten.
Belangrijkste bevindingen
Slechts enkele van de 130 gemeten organisaties scoren goed op alles, een stuk of 20 komen heel dicht in de buurt. Op het hoogtepunt scoorden 3 organisaties goed.
De overheid scoort beter op 20 van de 23 gemeten punten. Op 7 punten meer dan 10%.
Gemeenten scoren beter op 18 van de 23 gemeten punten. Op 8 punten is het verschil meer dan 10%.
Op dit moment worden er 124 tracking cookies geplaatst zonder toestemming
Tijdslijn
In de cyberwereld werkt men met een tijdslijn wanneer een nieuwe kwetsbaarheid openbaar wordt gemaakt. Voor de vorm:
17 jul: branchevereniging Cyberveilig Nederland stuurt vooraankondiging aan haar leden
30 sep: Eerste vooraankondiging via e-mail en contactformulieren
4 okt: vooraankondiging op een presentatie + stand op de ONE Conference
16 okt: extra aankondiging naar bedrijven die óók op de kaart wilden
20 nov: laatste vooraankondiging
7 dec: publicatie
Een kleine 10 bedrijven heeft in de tussentijd gereageerd en e.e.a. opgepakt. Dit zijn zowel grotere als kleinere namen. Soms heeft dit geleid tot diepgaande interessante discussie. Ook is er een uitzondering gemaakt voor de sector.
Een aantal bedrijven hebben ons gevraagd om óók op de kaart te komen. Dat vinden we erg sportief en dat is hoe we de sector kennen.
Wie worden er gemeten
Deze meting gaat over cybersecuritybedrijven en -organisaties. Maar alleen die zich actief richten op de Nederlandse markt. Ze hebben hier een kantoor, tenminste twee medewerkers en “cyber” is onderdeel van de core business. Het kan natuurlijk zijn dat er een bedrijf teveel of te weinig op de kaart staat, als dat het geval is passen we dat natuurlijk op verzoek aan.
Voor deze bedrijven is een uitzondering gemaakt in de metingen. Zij mogen gebruik maken van bronnen van 3e partijen als Google en Facebook zonder dat invloed heeft op het oordeel. Voor de overheid zijn we dus strenger. Ongevraagd volgcookies plaatsen mag natuurlijk nog steeds niet.
Nog geen perfectie
Er is op moment van publiceren 1 organisatie van de 130 die alles op orde heeft. Op het hoogtepunt waren dit er 3, maar er zijn wat regressies geweest.
Op dit moment meten we 594 hoger risico kwetsbaarheden. Wij gebruiken wel een andere graadmeter voor risico’s dan de sector. Dat staat uitgelegd in ons publicatiebeleid. Het totaal aantal gemeten domeinen is 4490.
Zetten we de bevindingen van alle metingen onder elkaar, dan zie je dat er nergens 100% voldoende op wordt gescoord. Het beste scoort de fysieke locatie van de webserver met ±94%. De hekkensluiters zijn het weghalen van versienummers en de toepassing van de industriestandaard security.txt met respectievelijk ±4% en ±6%.
Een verklaring van onderstaande termen staat in het meetbeleid, maar is ook terug te zien op de statistiekpagina van cybersecuritybedrijven.
Maatregel
% goed
% Hoog
% Midden
% laag
DNSSEC
76.88%
23.13%
Kwaliteit van versleuteling
82.37%
0.35%
17.29%
Vertrouwen in versleuteling
90.64%
9.36%
Sites met ontbrekende versleuteling
75.94%
5.19%
18.87%
Veilig bestandsoverdracht (FTP)
87.17%
12.83%
Weghalen van versienummers
4.34%
7.54%
88.12%
Eigenaar van internetadres (WHOIS)
86.05%
13.95%
Fysieke locatie van webserver
93.87%
6.13%
Fysieke locatie van mailserver
78.86%
21.14%
Fysieke locatie bronnen website
9.95%
90.05%
TLS voldoet aan NCSC
33.77%
66.23%
Security.txt
5.7%
73.42%
20.89%
RPKI (website)
83.13%
16.88%
DMARC
88.67%
11.33%
DKIM
82.59%
17.41%
SPF
92.12%
7.88%
RPKI (e-mail)
91.3%
8.7%
Prio veilige versie website (HSTS)
63.54%
36.46%
Header: x-content-type-options
60.4%
39.6%
Header: x-frame-options
67.33%
32.67%
Website is volledig in eigen beheer
46.47%
53.53%
Website respecteert privacy
78.56%
21.44%
Website plaatst volgcookies
91.26%
8.74%
Cijfers veiligheid cybersecuritybedrijven December 2023
De overheid doet het beter…
We stelden aan het begin van dit artikel de vraag: Waar moet je naar toe als de cybersecuritybedrijven niet meer leveren? Blijkbaar is dat naar de overheid. Niet dat daar alles goed gaat, maar de overheid scoort beter (💚) op 20 van de 23 gemeten punten. Ook gemeenten scoren beter op 18 van de 23 punten. In een aantal gevallen is dat met meer dan 10% (💖).
Maatregel
Cyber % goed
Gemeenten % goed
Overheid % Goed
DNSSEC
76.88%
98.1% 💚💖
91.71% 💚💖
Kwaliteit van versleuteling
82.37%
91.36% 💚
90.32% 💚
Vertrouwen in versleuteling
90.64% 💚
84.29%
87.56%
Sites met ontbrekende versleuteling
75.94%
73.94%
83.38% 💚
Veilig bestandsoverdracht (FTP)
87.17%
95.92% 💚
89.05% 💚
Weghalen van versienummers
4.34%
8.1% 💚
8.97% 💚
Eigenaar van internetadres (WHOIS)
86.05%
91.35% 💚
90.83% 💚
Fysieke locatie van webserver
93.87%
96.86% 💚
97.36% 💚
Fysieke locatie van mailserver
78.86%
94.7% 💚💖
94.08% 💚💖
Fysieke locatie bronnen website
9.95%
7.47%
34.81% 💚💖
TLS voldoet aan NCSC
33.77%
75.99% 💚💖
59.49% 💚💖
Security.txt
5.7%
7.88% 💚
29.22% 💚💖
RPKI (website)
83.13%
96.92% 💚💖
94.4% 💚💖
DMARC
88.67%
98.18% 💚
93.47% 💚
DKIM
82.59%
95.07% 💚💖
68.78%
SPF
92.12%
97.98% 💚
96.78% 💚
RPKI (e-mail)
91.3% 💚
88.64%
89.9%
Prio veilige versie website (HSTS)
63.54%
86.22% 💚💖
76.68% 💚💖
Header: x-content-type-options
60.4%
80.75% 💚💖
66.43% 💚
Header: x-frame-options
67.33%
81.44% 💚💖
69.71% 💚
Website is volledig in eigen beheer
46.47%
45.14%
50.5% 💚
Website respecteert privacy
78.56%
86.7% 💚
86.81% 💚
Website plaatst volgcookies
91.26%
97.97% 💚
97.21% 💚
Verschil in toepassing van beveiligingsmaatregelen tussen cybersecuritybedrijven, de centrale overheid en gemeenten. De centrale overheid en gemeenten doen het in bijna alle gevallen beter.
Een meetresultaat weggevallen
We zien dat veel organisaties Cloudflare gebruiken. De uitzondering hierop is aangescherpt maar nog niet 100% dekkend uitgevoerd. Daarom is deze meetwaarde niet in bovenstaande tabel meegenomen. Van organisaties die cloudflare gebruiken verwachten we dat er op poorten 8080 en 8443 een cloudflare foutmelding langskomt wanneer hier niets op geconfigureerd staat.
Een achterliggende oorzaak?
De soms behoorlijk grote verschillen laten zich niet altijd verklaren. We hadden verwacht dat de cybersecurityindustrie zou voldoen aan de eisen die ze zelf heeft bedacht en test bij klanten. Mogelijk dat er veel sprake is van maatwerk op de eigen omgeving.
In de aanloop naar de publicatie hadden we meer verklaringen verwacht. We hadden het idee dat sommige tooling van deze bedrijven een bijzondere inrichting vereist die niet veilig oogt maar dat wel is. Tot nu toe zijn die verklaringen uit gebleven. Een verklaring over HSTS preloading hebben we afgeketst omdat dit een goede defense in depth maatregel is maar oude browsers niet dekt.
Een groot verschil tussen de overheid en de sector is dat de overheid eisen stelt aan zichzelf. Zo is er de pas toe of leg uit lijst van Forum Standaardisatie, hierop staan een aantal van de gemeten punten als eis opgesteld. Ook is er de wet digitale overheid dat een bepaald niveau van versleuteling vereist. Hier zie je dat de overheid meer dan twee keer zo goed scoort (76% vs 34%) op goede versleuteling. Verder zijn er diverse andere organisaties zoals het NCSC voortdurend bezig om de weerbaarheid van de overheid te vergroten. De cyberindustrie kan hiervan afkijken.
Blijvend huiswerk voor onszelf
De oorsprong van het idee om deze sector te meten was dat we ook onszelf wilden kunnen terugvinden op basisbeveiliging. We hebben ons dus ook toegevoegd op de kaart, al zijn we niet commercieel en houden we het bij de basis.
Op het moment van schrijven scoren we oranje. Dit was enkele weken goed, maar ergens is er iets omgevallen dus dat zijn we nu aan het oplossen. Toen we begonnen met onszelf te meten scoorden we 8 hoog, 14 midden en 56 laag. Dit was daarvoor nog hoger als je terugkijkt in de grafieken, vooral omdat we veel testdomeinen van anderen aan onze organisatie hadden gevoegd. Inmiddels scoren we 1 midden en 61 laag risico.
Een lastige bij het oplossen van problemen is de afhankelijkheid van leveranciers. Ook onze hostingsponsor CoBytes heeft weer een leverancier die RPKI moest instellen, dat is inmiddels gelukt. Ook zagen we dat de documentatie van dit project bij readthedocs stond, die Google Analytics gebruikt: daar zijn we dus weg.
Natuurlijk weten we bij onszelf nog wel wat kwetsbaarheden te vinden, dit zijn de “known knowns” in de industrie. Dergelijke kwetsbaarheden kunnen we misschien voor onszelf, maar niet voor anderen, zomaar blootleggen. We houden ons natuurlijk aan ons publicatiebeleid.
De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op beterschap de komende periode. Lees hier het hele artikel.
Dashboard volgcookies
De voorpagina van basisbeveiliging is aangepast. Een aantal menu-items zijn even weggehaald omdat ze wat onderhoud nodig hebben. In plaats daarvan hebben we een volgcookie dashboard toegevoegd. Hierop zie je per doelgroep hoeveel procent van de gemeten organisaties zonder toestemming volgcookies plaatst.
Eerste fase opruiming kaarten
Kaarten van veiligheidsregio’s en waterschappen bestaan nu uit vlakken, dat ziet er een stuk mooier uit. Ook zijn er enkele domeinen toegevoegd en was er een ontbrekende organisatie toegevoegd.
Onderdelen van rapporten zijn nu met een directe link te zien
Het is nu mogelijk om links te delen van tabbladen in de rapportages. Ook kan je daar filteren welk domein je wil zien. Zo kan je bijvoorbeeld de volgcookies van bepaalde politieke partijen direct bekijken.
Kaarten toegevoegd van de bijzondere gemeenten
De bijzondere gemeenten, of openbare lichamen, of BES eilanden hebben ieder een eigen kaart gekregen. Deze kaarten bevatten nu nog een enkele organisatie, er zullen er ongetwijfeld meer zijn, dus die voegen we toe in 2024.
Vertalingen van kaartlagen
Kaartlagen kunnen nu vertaald worden in meerdere talen zonder dat de broncode hoeft worden aangepast. Dit maakt het toevoegen van nieuwe kaarten een stuk makkelijker.
Andere kleine wijzigingen
De risicosamenvattingstabel is nu ook op volledig scherm te openen. De lijst wordt al snel te groot.
Er zijn kleine wijzigingen gemaakt voor betere weergave op mobiele telefoons.
Vanaf 9 november publiceert basisbeveiliging metingen over tracking cookies. Met deze technologie worden bezoekers van websites gevolgd door adverteerders. Om dat te mogen moet een bezoeker expliciet toestemming geven. Bij deze nieuwe meting wordt geen toestemming gegeven, waardoor het voor websites verboden is om toch tracking cookies te plaatsen.
In dit artikel lees je de context, getallen, welke cookies worden gemeten, hoe browsers hiermee omgaan en hoe lastig het is om cookies te kunnen meten. Alle actuele en historische metingen zijn in te zien op de site basisbeveiliging.nl.
De cookiemeting op basisbeveiliging is doorlopend: eventuele verbeteringen worden dus zichtbaar. Tracking cookies worden in eerste instantie als “Oranje” beoordeeld, dit is de hoogste beoordeling bij nieuwe metingen. Dit zal begin 2024 wijzigen naar “Rood”.
De meting voor overheidswebsites is ontwikkeld in samenwerking met het ministerie voor Binnenlandse Zaken en Koninkrijksrelaties. De bredere scope naast deze overheidswebsites is een keuze van de Internet Cleanup Foundation.Deze meting is aangekondigd in september 2023.
Context
Tracking cookies worden gebruikt om advertenties te verkopen. Dat gebeurt met een profiel dat wordt opgesteld aan de hand van bezochte sites. Hoe dat precies gebeurt is een geheim: een van de weinige dingen die een bezoeker hiervan meekrijgt is een cookie[1].
Het volgen van gebruikers heeft over het algemeen vreemde en ongewenste kenmerken: De vraag om toestemming is vaak doorspekt met misleiding en na het geven van toestemming is dit lastig in te trekken. Ook is het moeilijk of onmogelijk om eenmaal gedeelde gegevens te laten vernietigen.
De overheid geeft aan niet blij te zijn met tracking cookies op sites van zichzelf, ook als de gebruiker toestemming zou geven. In een kamerbrief over het onderwerp staat: “Wij vinden het daarom wenselijk dat er geen third-party cookies of andere tracking gebruikt wordt op overheidswebsites, ongeacht het verkrijgen van toestemming.“.
De belangrijkste internetpagina van iedere organisatie is de voorpagina: dit heeft vaak geen voorvoegsel of het voorvoegsel “www”. Hierop meten we 231 ongevraagde tracking cookies op 194 pagina’s over 6 verschillende doelgroepen.
We hebben deze keer ook een commerciële doelgroep meegenomen om zo te kunnen zien wat de verhoudingen zijn in onjuist cookiegebruik tussen de publieke en private sector.
In de tabel hieronder zie je dat politieke partijen ongeveer hetzelfde presteren als commerciële organisaties. Met afstand gevolgd door de centrale overheid en ziekenhuizen, die het een stuk beter doen. Gemeenten doen het op dit moment verhoudingsgewijs het beste.
Kaart
Voorpagina’s met Tracking
Totaal Voorpagina’s
% Tracking
Cyber security bedrijven (commercieel)
39
163
23.93%
Politieke Partijen
8
38
20%
Provincies
1
13
7.69%
Centrale Overheid
95
1996
4.76%
Gezondheidszorg (Ziekenhuizen + GGZ)
47
1113
4.22%
Gemeenten
4
434
0.92%
Totaal / Gemiddeld
194
3759
5.16%
Voorpagina’s met tracking cookies in perspectief, gesorteerd op percentage tracking.
Bij deze meting zijn er 4 verschillende tracking cookies onderzocht van verschillende leveranciers. De verdeling per doelgroep ziet er zo uit:
Kaart
Facebook
LinkedIn
YouTube
Google
Totaal
Politieke Partijen
2
3
4
9
Cyber security bedrijven (commercieel)
5
24
8
16
53
Provincies
1
1
2
Centrale Overheid
14
15
66
11
106
Gezondheidszorg (Ziekenhuizen + GGZ)
17
4
31
5
57
Gemeenten
1
3
4
Totaal
40
43
111
37
231
De vier verschillende onderzochte tracking cookies verdeeld per leverancier en doelgroep.
1700 tracking cookies op alles: inclusief onderliggende sites
Als we alle websites meten, inclusief subdomeinen, dan zien we dat het totaal aantal tracking cookies veel hoger ligt. We zien daar ook pieken omdat sommige organisaties op ieder subdomein hetzelfde cookie uitdeelt. Dit soort fouten tellen op en vertekenen het beeld natuurlijk een beetje.
Kaart
Facebook
LinkedIn
YouTube
Google
Totaal
Politieke Partijen
42
740
80
866
Centrale Overheid
54
45
224
35
358
Gezondheidszorg (Ziekenhuizen + GGZ)
63
18
88
17
186
Cyber security bedrijven (commercieel)
14
78
21
60
173
Gemeenten
14
13
86
7
120
Provincies
2
1
9
2
14
Totaal
189
155
1168
201
1713
Cookies op hoofdwebsites en onderliggende websites.
Deze cookies zijn verdeeld over de vele tienduizenden sites van allerlei organisaties. Hieronder kijken we hoeveel organisaties ten minste 1 tracking cookie uitgeven, tegenover het totaal aantal organisaties. Dan zien we nog steeds dezelfde cijfers: politieke partijen en commerciële bedrijven gebruiken de meeste tracking, op de voet gevolgd door de zorg en provincies. Gemeentes komen nog steeds het beste uit de bus.
Kaart
Aantal organisaties met tracking cookies
Totaal aantal organisaties
Percentage
Politieke Partijen
9
26
34%
Cyber security bedrijven (commercieel)
45
132
34%
Gezondheidszorg (Ziekenhuizen + GGZ)
39
119
33%
Provincies
4
12
33%
Centrale Overheid
84
611
14%
Gemeenten
30
343
9%
Percentage organisaties dat tracking cookies plaatst op een van hun sites, dus niet noodzakelijk de voorpagina maar bijvoorbeeld ook pagina’s voor een specifieke dienst of over een specifiek onderwerp.
Gemeten cookies
De meeste sites plaatsen cookies, we meten er zo snel 200.000. We scheiden het kaf van het koren door alleen te kijken naar de populairste 100 cookies. Deze hebben we onderzocht en gekoppeld aan een product en locatie.
Het bleek dat de locatie/afkomst van een cookie niet altijd juist of relevant is. Via externe scripts worden namelijk ook allerlei cookies geplaatst: dan lijkt het alsof ze horen bij de website die je bezoekt. Daarom kijken we in dit onderzoek alleen naar het product en een aantal karakteristieken van ieder cookie. Op basis daarvan wordt een beoordeling gegeven.
Uiteindelijk zijn er vier veelgebruikte advertentiecookies gevonden. Omdat deze cookies veel worden uitgegeven zijn ze ook gedocumenteerd door de makers. Zij geven zelf aan dat het gaat om cookies voor advertentiedoeleinden: dit maakt het beoordelen natuurlijk eenvoudig.
Hieronder staan de vier cookies, met link naar documentatie van de maker en een link naar een externe website (cookiedatabase.org) waar soms nog interessante documentatie is te vinden.
Er is naast deze cookies ook een twijfelgeval gevonden, het “_YSC” cookie van Google. Dit wordt gebruikt voor beveiliging, lees: fraude met hun systemen, van diensten van Google, waaronder Google Ads. We vragen ons af of een functioneel cookie dat een advertentieplatform ondersteunt ook onderdeel is van het probleem. Omdat we hier het antwoord niet op hebben laten we deze buiten beschouwing.
Bekijk de screenshots van bovenstaande documentatie
Omdat de pagina’s met documentatie weleens wisselen staan hieronder vier stukjes screenshot over de gemeten cookies.
UserMatchHistory, linkedin.com, LinkedIn Ads, 30 daysDepending on your ad settings, other Google Services like Youtube may also uyse these and other cookies and technologies, like the ‘VISITOR_INFO1_LIVE’ cookie, for advertising.The Conversions API is designed to create a connection between an advertiser’s marketing data (such as website events, app events, business messaging events and offline conversions) from an advertiser’s server, website platform, mobile app, or CRM to Meta systems that optimize ad targetting, decrease cost per result and measure outcomes.IDE, Advertising, Campagin Manager, Display & Video 360, Google Ad Manager, Google Analytics, Search Ads 360, 13 months EEA UK / 24 months elsewhere, doubleclick.net
Andere browser, andere privacy
Browsermakers zijn zich bewust van het privacyprobleem met cookies. Iedere browsermaker hanteert een eigen beleid en ziet dit als onderscheidend vermogen ten opzichte van andere browsers. Dit is natuurlijk verwarrend voor de eindgebruiker.
De technologie van cookies zelf kent allerlei beperkingen, waardoor het onderscheid tussen browsers blijft bestaan. Het is bijvoorbeeld niet mogelijk om in het cookie aan te geven wat de doelen ervan zijn, en zoiets is ook niet te verwachten. De standaarden achter deze technologie wijzigen langzaam. Het enige lichtpuntje op dit moment is dat er wordt gesproken over een maximale geldigheid 400 dagen voor een cookie, in plaats van oneindig.
Tegelijkertijd kunnen browsermakers niet simpelweg alle cookies afwijzen. Dat zou een wenselijke technologie als single sign-on, het automatisch inloggen op meerdere sites, onmogelijk maken. Nieuwe bedrijven die single sign-on diensten leveren moeten nu al met browsermakers in gesprek om hun cookies goedgekeurd te krijgen.
Hieronder staat een overzicht van het anti-tracking beleid bij de vijf populairste browsers in Nederland. Welke op dit moment het best omgaat met privacy is lastig te zeggen en zal met de dag wisselen.
Google Chrome is het minst privacyvriendelijk. Dat komt omdat Google probeert adverteerders in hun eigen advertentieproduct te krijgen, genaamd “Privacy Sandbox“. Deze browser heeft een marktaandeel van 54% en Google verdient veel geld aan advertenties. Minder privacy bieden is een is een commerciële beleidskeuze. Dat wordt onderstreept door een kloon van deze browser, genaamd Brave, die wel actief tracking blokkeert en zich profileert als privacybewust.
Apple Safari gebruikt sinds eind 2019 “Intelligent Tracking Prevention” dat een boel cookies blokkeert en adverteerders alternatieven aanbiedt.
Microsoft Edge heeft sinds eind 2022 Tracking Prevention dat standaard op “gebalanceerd” staat: hierdoor wordt tracking van een aantal platforms toegestaan.
Samsung Internet heeft sinds halverwege 2022 een filter om tracking tegen te gaan. Deze staat standaard aan.
Mozilla Firefox heeft sinds begin 2021 een feature genaamd “Total Cookie Protection” waardoor contexten van verschillende sites worden geïsoleerd. Een tracking cookie wordt dus niet zomaar meer gedeeld tussen verschillende sites. Dat wil niet zeggen dat andere smaken tracking cookies niet meer werken.
Verstoppertje spelen: Cookie editie
Iedere browser gaat anders om met dezelfde cookies. Daardoor is de impact van tracking-cookies per browser anders. Wat de browser toestaat hangt af van het beleid, de instellingen die de gebruiker heeft aangepast en eventuele netwerkfilters en plug-ins. Dit zorgt natuurlijk voor verwarring.
De verwarring die dit veroorzaakt heeft invloed op het beperken van ongewenste cookies. Een ontwikkelaar die de taak heeft om tracking-cookies te blokkeren kan zo op het verkeerde been worden gezet. Ook het handhaven op ongewenste cookies en het meten ervan worden hierdoor lastiger dan noodzakelijk.
Wij voeren metingen uit met een browser waarin geen enkele bescherming zit tegen tracking. Hierdoor krijgen we alle cookies, ook die door een browser als Safari meteen worden weggegooid. Zou je zelf een meting nalopen met een andere browser, dan is de kans groot dat het idee ontstaat dat onze metingen onjuist zijn.
Maar wacht! Er is meer complexiteit. Daarvoor gaan we naar twee verschillende cookies kijken die we in deze meting hebben meegenomen: het IDE cookie van Google en het UserMatchHistory cookie van LinkedIn.
Het “IDE” cookie van Google verschijnt weinig bij het eerste bezoek aan een site. Dan wordt namelijk vaak een “test_cookie” uitgegeven. Pas bij het opnieuw laden van de pagina wordt het “IDE” cookie geplaatst. Wij noemen dat een “ontwijkingstechniek”. Het is ons niet helder waarom dit een tweetrapsraket is, maar mogelijk dat de software van een cookie-banner het test_cookie zou moeten verwijderen. Maar hier stopt de complexiteit niet: bij het herladen van de pagina kan het IDE cookie ook weer zijn verdwenen.
Het UserMatchHistory cookie van LinkedIn is ook lastiger te vinden. Bij het gebruik van een gewone browser wordt dit cookie eigenlijk nooit geaccepteerd. Safari accepteert sowieso niets van LinkedIn, Chrome dan weer wel maar ook deze specifiek niet. Je kan dit cookie vinden door in Chrome private browsing te gebruiken en dan specfiek de instelling aan te zetten dat third party cookies mogen. Je ziet de verschillen in de screenshots hieronder, maar in beide gevallen zie je ook dat er geen toestemming is gegeven.
Dit soort complexiteiten maken het wat lastiger om in te schatten hoe effectief de tracking is van de gemeten cookies. Dat is voor een eindgebruiker natuurlijk helemaal niet relevant: de website/afzender had deze cookies nooit mogen plaatsen.
Cookies in private browsing in Chrome. In dit geval staat de bescherming van Third Party Cookies uit. De vraag over toestemming staat erboven. We verwachten in dit geval geen UserMatchHistory cookie maar ontvangen deze toch.Bezoeken we dezelfde site zonder private browsing, en herladen de pagina, dan zijn er veel minder LinkedIn cookies te vinden. Het UserMatchHistory is in dit geval niet te zien.
Speciale view voor cookies
Op basisbeveiliging.nl staat bij de rapportage een nieuw tabblad: Cookies. In dit tabblad staan alle cookies die door ons zijn gematched aan een product of dienst. Dit zijn zeker niet alle cookies, maar natuurlijk wel de tracking cookies die zijn besproken in dit artikel. Dit worden er in de toekomst waarschijnlijk meer. Deze informatie is ook te vinden in detailrapporten per domein.
Screenshot van de nieuwe cookie view. Hierin staat van welk bedrijf welk cookie wordt ontvangen. Ook staan er links naar informatie over dit cookie bij de cookie database.
In de toekomst: verder gaande metingen en voor de overheid minder externe partijen
In de eerder genoemde kamerbrief staat: “dat ook breder geen informatie door derde partijen verkregen kan worden die herleidbaar is tot een persoon bij het bezoeken van een overheidswebsite“, dat betekent ook dat bijvoorbeeld een ip-adres van een bezoeker niet mag worden gedeeld. Dit gebeurt vandaag de dag nog op nagenoeg alle overheidssites, omdat deze veelvuldig bronnen inladen van 3e partijen. Denk aan lettertypen, filmpjes, stijlen, kaarten, et cetera.
Er volgen ook nog twee aanvullende cookiemetingen die we de komende maand gaan presenteren. We verwachten hier begin december een update over te kunnen geven.
Voor de duidelijkheid, in deze eerste meting gaat het dus om de eerste pagina die we ontvangen op verschillende adressen. Dus het volgende:
Dat er iets moet gebeuren is duidelijk. Het is helaas nog niet altijd even duidelijk wat de beste volgende stap is. In de voorbeelden in dit artikel is op het eerste gezicht het antwoord simpel: zet dit achter een cookiemuur.
Voor de overheid wordt dat op langere termijn niet gezien als een oplossing: een bezoeker moet zonder persoonsgegevens te delen (zoals een ip-adres) een website van de overheid kunnen bezoeken.
Nu, per-direct, zijn er een paar oplossingen toe te passen. De eerste is nog steeds het gebruik maken van een cookiemuur, maar dan eentje die wel werkt en de bezoeker niet stimuleert om nadelige opties te kiezen. Het inrichten van deze cookiemuur kan wel een uitdaging zijn.
Een tweede oplossing is gebruik maken van alternatieve diensten. Voor YouTube, een van de meest voorkomende cookies, is dat door het gebruik van een alternatieve link: youtube-nocookie.com. De rest van de link blijft hetzelfde. Deze Google Support pagina legt uit hoe dat moet.
Voor de tracking diensten van LinkedIn, Facebook en Google zijn er niet direct alternatieven. We schatten in dat dit vooral wordt gebruikt door communicatieafdelingen die willen zien hoe effectief hun werk is. Als het gaat om inzicht in bezoekers zijn er voldoende alternatieven.
Over alternatieven gesproken: waar dienstverlening door externen nog is toegestaan is de website https://european-alternatives.eu/ erg interessant. Hierop staan tegenhangers van allerlei populaire diensten uit de rest van de wereld.
Tot slot is de maker van een site mogelijk niet bewust van de uitdagingen op dit gebied. Daarvoor heeft de privacy-organisatie EDRI een handleiding geschreven: “guide for ethical website development and maintenance“.
Voetnoten
[1] = Er zijn vele andere technische manieren om bezoekers te volgen, zoals de bekende tracking pixel. Browsers laten ook een vaak unieke vingerafdruk achter. In een bijzonder geval konden gebruikers worden gevolgd aan de hand van de batterijstatus van mobiele telefoons. Let op dat de advertentie-industrie draait om miljarden, dus er zijn zeker meer bekende en onbekende technieken.
Alle meetgegevens zijn beschikbaar als open data op de site basisbeveiliging.nl. De software achter basisbeveiliging.nl heet Web Security Map. De Internet Cleanup Foundation is de maker van deze software.
Deze website en gegevens op basisbeveiliging.nl vallen onder deze disclaimer.
Van de 70 politieke partijen die staan ingeschreven bij de kiesraad doen er uiteindelijk 26 mee aan de Tweede Kamerverkiezingen 2023. De overige partijen hebben we van de kaart gehaald. De samenwerkende partijen zijn samengevoegd.
Er is in de afgelopen maand door zeven partijen behoorlijk wat opgelost. Daardoor komen deze partijen lager te staan in de top 26 minst veilige partijen. In totaal loste alle partijen bij elkaar 116 hoge en 488 midden risico’s op.
De partijen die vooruitgang laten zien hebben ook via de mail inhoudelijk gereageerd. Dus wanneer men veiligheid op het netvlies heeft, wordt de situatie beter. Dat deze partijen laten zien veiligheid serieus te nemen en hierin te groeien vinden we erg positief.
In de tabel hieronder zie je welke partijen veiliger zijn geworden, en in welke mate. Gesorteerd op opgelost aantal risico’s, eerst hoog, dan midden.
Positie (lager is beter)
Wijziging
Partij
Wijziging Hoog
Wijziging Midden
7
+4 (was 3)
Piratenpartij – De Groenen (PPNL / DG)
-64 (nu 12)
-27 (nu 19)
9
+5 (was 4)
Staatkundig Gereformeerde Partij (SGP)
-27 (nu 8)
-131 (nu 77)
11
+5 (was 6)
Partij voor de Dieren (PvdD)
-17 (nu 4)
-45 (nu 37)
10
+1 (was 9)
50PLUS (50+)
-3 (nu 7)
+4 (nu 22)
20
+7 (was 13)
Volt Nederland
-2 (nu 0)
+1 (nu 186)
18
-1 (was 19)
ChristenUnie (CU)
0 (nu 0)
-279 (nu 667)
23
1 (was 22)
BoerBurgerBeweging (BBB)
0 (nu 0)
-2 (nu 11)
Politieke partijen met zichtbare verbeteringen
We zien dat nog niet alle wijzigingen van de BBB zijn doorgemeten, maar ook daarna blijven er daar nog enkele punten open staan. Toch is de BBB naast een aantal andere nieuwe partijen kanshebber om als eerste op groen te komen omdat hier het minst hoeft te gebeuren.
Bij politieke partijen meten we in totaal 3000 domeinen. Hierop staan 16.000 online diensten. Gezamenlijk hebben alle partijen nog steeds 372 hoge risico’s op te lossen. 80% van de gemeten domeinen zijn samen van de ChristenUnie en Partij van de Arbeid/GroenLinks.
De top 10 slechtst beveiligde politieke partijen
Doordat slechts 26 van de 64 gemeten partijen meedoen, maar vooral door alle verbeteringen verandert er dus e.e.a. in de top 10 slechtst beveiligde politieke partijen.
De oude nummers 3 en 4 zijn een stukje veiliger geworden. We zien daardoor een aantal anderen stijgen in de lijst. De PvdA scoorde in het verleden relatief goed met enkele hoog risico bevindingen, maar door de samenwerking met GroenLinks is er ineens veel meer te doen.
BIJ1, zelfde plek
VVD, zelfde plek
D66, vanaf plek 5
GroenLinks / PvdA, van de 6e en 12e plek
Forum voor Democratie, was 7e
CDA, was 8e
Piratenpartij, was 3e
Socialistische Partij, was 10e
Staatkundig Gereformeerde Partij, was 4e
50Plus, blijft op 10 staan
We blijven ons inzetten om de partijen te meten en zullen nogmaals de partijen een mail sturen met de stand van zaken, in de hoop dat we op 22 november tijdens de verkiezingen ten minste één partij groen scoort!
Kaart met daarop alle politieke partijen. 9 scoren oranje, 17 scoren rood.
De nieuwe meting over ongevraagde tracking cookies staat nu online. In het artikel hierover is te lezen dat we honderden van dergelijke cookies hebben gevonden bij de overheid, zorg, politieke partijen en cybersecuritybedrijven.
Certificaten expert overzicht
De rapportage bevat nu ook een handig tabblad met daarop alle certificaten. Hierdoor is het makkelijk terug te vinden waar problemen zitten.
Cookie expert overzicht
Bij de rapportage is ook het tabblad “cookies” toegevoegd. Hierop zijn allerlei cookies terug te vinden. Let op dat hier zeker niet alle cookies staan, omdat we nog niet alles aan een product hebben gekoppeld. Hier kan je wel alle ongevraagde tracking cookies vinden zoals omschreven in het artikel hierover.
Beter deelbare pagina’s op de site (deel 1)
We zijn de website beter deelbaar aan het maken. Onder andere door directe links naar rapporten en kaarten. Hier wordt e.e.a. gesloopt/aangepast zodat de complexiteit van de site wordt verlaagd.
In deel 2 verwachten we de komende weken ook directe links naar bovenstaande expert views of filters op domeinen en bevindingen.
Fix voor onterechte versienummer beoordelingen
Bij het meten van versienummers kijken we naar het IP adres van een server. Deze kan wisselen over tijd en vaak is er sprake van meerdere adressen waarvan er eentje wordt teruggegeven (waardoor dit adres lijkt te wisselen).
Door een vergissing keken we bij de beoordeling ook naar historische data bij het uitdelen van een beoordeling, hierdoor kregen sommige domeinen onterecht een melding van een versienummer mee omdat ze vroeger een ander IP adres hadden.
Ook is de monitoring op ip-adressen ook aangepast: als het bij ons bekende actuele IP adres valt onder de adressen die we terug krijgen van de DNS server verandert er niets. Partijen als Cloudflare zorgen ervoor dat deze strategie niet werkt, dus daar blijven we wat teveel ip-adressen opslaan. Toch scheelt dit een groot aantal adressen en overbodige data.
Tuning en optimalisaties
Met nieuwe lagen zoals politieke partijen lopen we tegen nieuwe bottlenecks aan. We vonden o.a. dat een simpele vraag aan de database als “hoeveel meetpunten hebben we” snel 20 seconden duurde. Dit soort uitdagingen horen erbij en hebben naast het maken van de nieuwe cookie meting het meeste tijd ingenomen. Er is onder andere getuned in:
90% minder data in het takengeheugen bij het maken van rapporten
Niet berekenen hoeveel regels er zijn bij sommige tabellen: dat is toch waardeloos bij deze aantallen: de beheerinterface is hierdoor weer snel
verwijderen en optimaliseren van duplicaat-resultaten
minder checks voor het inplannen van scans, waardoor dit veel sneller is geworden
Diverse tuning en optimilisaties in de backend om zo meer te kunnen meten. Binnenkort migreren we naar een nieuwe server met meer capaciteit.
De verkiezingscampagnes zijn inmiddels in volle gang. Dit jaar doen er 70 partijen mee, waarvan er 64 een website hebben. Vanaf 2 oktober is te zien of al deze websites voldoen aan gangbare online veiligheidseisen. Denk hierbij aan versleuteling, privacy en bescherming tegen aanvallers.
Alle partijen worden op dezelfde technische en feitelijke manier beoordeeld, zonder oordeel over de inhoud of standpunten van de partij. Er wordt regelmatig opnieuw gemeten, waardoor eventuele verbeteringen tijdens de campagne ook door iedereen zijn te volgen.
Alle metingen zijn te zien op de website van basisbeveiliging.nl, de 2e kaart op de voorpagina. Directe links naar de belangrijkste pagina’s:
Basisbeveiliging.nl meet online basisveiligheid. Sinds 2 oktober doen we dat ook bij van alle partijen die meedoen aan de Tweede Kamerverkiezingen van 2023.
De veiligheid wordt regelmatig gemeten. Dat doen we op de belangrijkste website(s) van de partij en eventuele vertakkingen. Wij meten bijvoorbeeld de site van de Christen Unie: christenunie.nl, maar ook westland.christenunie.nl omdat dit hieronder valt. Als er vanaf dit domein wordt doorverwezen naar een ander adres dan meten we in sommige gevallen of het doorverwijzen juist gaat.
Sites van jongerenorganisaties zoals Pink Politiek of Jongeren FVD meten we niet. Zolang de kandidatenlijsten niet bekend zijn meten we geen politieke websites van de kandidaten.
Er wordt een keur aan informatieveiligheidseisen gemeten. Denk bijvoorbeeld aan versleuteling, privacy en bescherming tegen aanvallen. Voor de techneuten zijn deze metingen hier gedocumenteerd. Voldoen aan deze eisen levert een groene kleur op op de kaart. Afwijken levert oranje of rood afhankelijk van het geschatte risico.
2 oktober ’23: Geen enkele partij scoort goed
Op moment van publicatie scoort geen enkele partij positief. Ook partijen met een heel kleine online voetafdruk (vaak kleine en nieuwe partijen) laten het afweten. In totaal scoren 48 partijen onvoldoende (rood) en 16 matig (oranje).
We zien dat sommige partijen vaak dezelfde fout maken wat met een enkele wijziging veel oplost. Dit kan een sterk effect hebben op de huidige top 3. Opmerkelijk aan de top 3 is dat de leeftijd of omvang van de partij weinig uit lijkt te maken.
Let op: omdat we iedere dag opnieuw meten en rapporten publiceren kunnen de cijfers die je ziet afwijken van de cijfers die we vandaag publiceren.
De top 3 slechtst beveiligde partijen op 2 oktober 2023 is:
Schermafbeelding van de top 3 slechtst beveiligde partijen van Nederland.
Binnenkort wel een veilige partij?
Ruim voor publicaties zijn alle partijen op de hoogte gebracht over het meten en publiceren. Vijf partijen hebben hierop inhoudelijk gereageerd en hebben diverse aanpassingen uitgevoerd / zijn hard bezig om de veiligheid op te schroeven. Dit zijn de ChristenUnie, Volt, Partij voor de Dieren, LEF en GroenLinks.
We meten iedere dag op allerlei online veiligheidseisen. Partijen die het serieus oppakken zullen hierdoor dus ook beloond worden met een plekje op de lijst met veilige partijen en een groene stip op de kaart. We zijn benieuwd wie de eerste is.
Kaart met daarop cyberveiligheid van alle politieke partijen. Vooral oranje en rode vlekken. Er is ook duidelijk te zien dat politieke partijen behoorlijk gecentreerd zijn in de randstad.
Over basisbeveiliging
De voornaamste motivatie om de online veiligheid van politieke partijen te meten is dat dit de veiligheid van Nederland op korte en lange termijn vergroot. Het helpt partijen hier over na te denken en zelf te ervaren wat dit betekent.
Uiteindelijk kan alleen de overheid zichzelf en anderen beveiligingseisen opleggen. Basisbeveiliging maakt het onderwerp transparant en bespreekbaar.
