Binnenkort staat uw organisatie op basisbeveiliging. Dit betekent dat iedereen kan zien hoe goed uw organisatie basisveiligheidseisen heeft toegepast op uw digitale infrastructuur.
Dit kan mogelijk allerlei vraagtekens geven: Waarom? Mag dat? Is dat gevaarlijk? Wie doet dit? enzovoort. In dit artikel proberen we deze vragen proactief te beantwoorden. Mocht er een vraag niet beantwoord zijn, mail dan naar info@internetcleanup.foundation, dan vullen wij dit artikel aan waar nodig.
Wie zijn wij?
De website basisbeveiliging.nl is een project dat wordt uitgevoerd door de Stichting Internet Cleanup Foundation (ICF).
ICF is een non-profit organisatie dat zich inzet voor een veilig internet voor iedereen. Ons doel is de beschikbaarheid, integriteit en vertrouwelijkheid van het internet te vergroten. De stichting is opgericht in 2016 nadat het een Potential subsidie heeft gekregen van het SIDN Fonds.
De stichting haalt inkomsten uit deelnemerschap, giften en subsidies. Er wordt veel tijd, kennis en kunde gedoneerd aan de stichting door vrijwilligers. Deze vrijwilligers zijn o.a. IT-security experts en ethische hackers.
De website basisbeveiliging.nl publiceert informatie over de veiligheid van maatschappelijk relevante organisaties. Bijvoorbeeld de hele overheid: alle ministeries, gemeenten, samenwerkingsverbanden, provincies en waterschappen. Ook meten wij ziekenhuizen en GGD’s. De bevindingen zijn gratis en publiek toegankelijk en worden regelmatig bijgewerkt.
Basisbeveiliging.nl is onderdeel van het Actieplan Nederlandse Cybersecuritystrategie 2022-2028 van de Nationaal Coordinator Terrorismebestrijding en Veiligheid en de Werkagenda Waardengedreven Digitaliseren van het Ministerie van Binnenlandse Zaken. Onze partner binnen de landelijke overheid is het Centrum voor Informatiebeveiliging en Privacybescherming.
Wat gaat er gebeuren?
Binnenkort wordt de digitale veiligheid van uw organisatie gepubliceerd op de website basisbeveiliging.nl.
Op deze site wordt een landkaart zichtbaar rondom een bepaald thema waar uw organisatie in zit. Iedere organisatie krijgt op deze kaart een stoplichtkleur: bij groen is alles veilig en bij oranje of rood kan de veiligheid verbeterd worden. Alle metingen zijn publiek en te zien op de site.
Wat wordt er gemeten?
Wij meten digitale basisveiligheid. Dit is de toepassing van gangbare beveiligingseisen rondom online beschikbaarheid, integriteit en vertrouwelijkheid. Denk aan versleuteling en privacy. Dit wordt “cybersecurity” genoemd.
We meten de basisveiligheid op alle websites en online diensten van uw organisatie. Bijvoorbeeld alle websites, landingspages, campagne-sites, webshops enzovoort. Dit bevat ook alle onderliggende domeinen, zogenaamde subdomeinen, zoals “www.”.
Een overzicht van wat we exact meten staat in het meetbeleid. Daar staat ook welke impact een meting kan hebben, met welke middelen de meting wordt uitgevoerd en verwijzingen naar documentatie. Dit is vooral voor techneuten die hiermee aan de slag gaan handig.
Alle organisaties worden op dezelfde manier gemeten en beoordeeld. Grotere organisaties hebben vaak meer sites en online diensten: zij moeten dus vaak meer beveiligen.
De omgekeerde vraag “Wat wordt er niet gemeten?” wordt beantwoord in het publicatiebeleid en de code of conduct.
Wat is het proces?
Organisaties die nog niet op basisbeveiliging staan krijgen ongeveer twee maanden van tevoren bericht. Dit bericht wordt niet altijd direct verstuurd vanuit Basisbeveiliging of vanuit de stichting, maar vanuit een overkoepelende organisatie die zekerheid kan geven dat het bericht op de juiste plaats aankomt. Soms via beide wegen.
In deze twee maanden kan uw organisatie nog eventuele afwijkingen op de veiligheid inventariseren en herstellen. Vaak is het mogelijk om van tevoren de resultaten in te zien en hierop te sturen. De link en procedure hiervoor wordt in vertrouwen gedeeld. Let er wel op dat deze resultaten nog kunnen afwijken van wat uiteindelijk wordt gepubliceerd.
De link om voortijdig bevindingen in te zien is: https://basisbeveiliging.nl/#/state/. Vul bij het veld “layer” de code in die u heeft ontvangen. Wanneer dit correct is gedaan verschijnen tussentijdse resultaten. Jet kan zijn dat deze informatie nog niet direct beschikbaar is wanneer u de aankonidiging ontvangt.
Op het moment van publicatie wordt een artikel opgesteld met daarin de belangrijkste bevindingen. Dit artikel wordt gepubliceerd op https://internetcleanup.foundation en gedeeld met de gemeten organisaties en de pers.
Hoe worden wij veilig?
Iedereen wil natuurlijk positief voor de dag komen. Hiervoor geven we vrijblijvend advies.
Het belangrijkste advies dat we kunnen geven is: zet een security-proces op. Hierdoor ontstaat grip op uw online voetafdruk en de veiligheid hiervan.
Basisbeveiliging levert vaak van tevoren al een link waaruit blijkt wat deze online voetafdruk is en waar risico’s zitten (volgens ons), maar deze kan onvolledig zijn of op latere momenten worden aangevuld met nieuwe bevindingen. Regelmatig controleren en handelen is dus belangrijker dan eenmaal alles oplossen.
Praktisch gezien betekent dit:
- Maak een lijst van de domeinnamen (en ip-adressen) van uw organisatie. Neem in dit overzicht ook subdomeinen mee als “www.”.
- Controleer of deze domeinen en subdomeinen voldoen aan basis veiligheidseisen. Dit is te controleren met de tools die we aangeven in het meetbeleid. Een (groot) deel hiervan zal ook in tussentijdse resultaten op basisbeveiliging zichtbaar zijn.
- Wanneer e.e.a. niet voldoet: zet acties uit om dit op te lossen. Je kan hiervoor het PDCA proces gebruiken.
Alle metingen op basisbeveiliging.nl gaan over basisveiligheid. De kennis hierover is algemeen en vrij beschikbaar op de bronnen die we aangeven in het meetbeleid en de uitzonderingen hierop. Met wat onderzoek zal zelfs een beginnende IT-er hierin al snel een weg kunnen vinden. In veel gevallen zullen leveranciers iets moeten inrichten of aanpassen. In bijzondere gevallen wordt een uitzondering op de veiligheidseisen toegevoegd volgens het comply or explain principe.
Wij raden aan om pragmatisch en praktisch om te gaan met de bevindingen. Richt een lichtgewicht proces in dat regelmatig inventariseert wat er aan de hand is en acties uitvoert. Beveiligingseisen veranderen voortdurend. Grip hebben maakt het mogelijk om iets te zeggen als: “We weten dat deze kwetsbaarheid er is. Het risico is laag. Deze wordt komende maand opgepakt”.
Is dit wel veilig?
Is het laten zien van zwakke plekken wel veilig? Deze vraag krijgen we regelmatig. Wij beantwoorden deze vraag met “Ja”. Dat komt omdat we een zorgvuldige afweging maken van wat we meten en publiceren.
Wij hebben deze “ja” uitgewerkt in twee hoofdstukken:
- Het publicatiebeleid legt uit welke soort kwetsbaarheid wel of niet wordt gepubliceerd op basisbeveiliging.nl.
- De code of conduct.laat zien welke afwegingen wij maken en hoe wij omgaan met meten van kwetsbaarheden en publiceren hiervan.
Andere belangrijke informatie
Alle Nederlandse cybersecurity-bedrijven kunnen helpen met het managen en oplossen van eventuele beveiligingsproblemen. Ook zullen de gemeten beveiligingseisen niet vreemd zijn voor uw leveranciers.
Wij wijzen u ook expliciet op onze disclaimer.