Ons doel is om een zo volledig mogelijk en accuraat beeld te schetsen van domeinen van een organisatie. Op deze pagina staat hoe basisbeveiliging.nl omgaat met het toevoegen van nieuwe domeinen.
Zo compleet mogelijk
Basisbeveiliging probeert een compleet beeld te geven van alle domeinen van een organisatie. Domeinen worden op allerlei manieren aan de site toegevoegd. Bijvoorbeeld via openbare registers, e-mails van insiders, pizza sessies en dergelijke.
Basisbeveiliging meet niet alleen informatieve websites maar ook sites die met een ander doel zijn geregistreerd. Bijvoorbeeld parkeerdomeinen, typosquats, aliassen/doorstuur domeinen en dergelijke. Organisaties zijn namelijk ook daarvoor verantwoordelijk.
Basisbeveiliging voegt geen sites toe uit afgeschermde registers. Bijvoorbeeld als deze informatie wordt beschermd met auteursrecht of niet publiek benaderbaar is. Het register dat basisbeveiliging produceert is te downloaden en te gebruiken onder een vrije licentie.
Minimaal aantal verantwoordelijken
Basisbeveiliging zoekt bij een domein het minimale aantal verantwoordelijken. Het liefst is dat er één. Dit kan bijvoorbeeld een gemeente zijn of een samenwerkingsverband.
Bijvoorbeeld: de site rijksoverheid.nl wordt door tal van overheden gebruikt om informatie op te zetten. Echter hoort dit domein alleen toe aan de Dienst Publiek en Communicatie.
Deze regel gaat niet op bij hele kleine en/of onofficiële samenwerkingen. Het gebeurt regelmatig dat enkele overheden samen iets oprichten maar dit niet onder een andere entiteit valt (of dat dit onduidelijk is). In dergelijke gevallen wordt het domein aan alle deelnemende overheden toegekend tot er een verantwoordelijke wordt aangewezen.
Verantwoordelijkheid bij opdrachtgeverschap
Sites met een publiek doel die overheidsbeleid / “een publieke taak” lijken uit te voeren worden altijd geplaatst bij een overheid. Of het gaat om gebiedsontwikkeling, raadsinformatie, streekpromotie of afvalkalenders: als er sprake is van een opdracht dan hoort de informatieveiligheid op orde te zijn en is de opdrachtgever verantwoordelijk. Het is niet mogelijk om verantwoordelijkheid te verleggen: beleggen kan tot op zekere hoogte maar verleggen niet. Voor ondersteuning bij het opstellen van inkoopvoorwaarden biedt het CIP handige tooling: de ICO Wizard.
Wanneer er geen verantwoordelijke op de site wordt genoemd, dan wordt deze site toegekend aan een organisatie waar deze logisch gezien onder valt op basis van een aanname of onderzoek. We ervaren dat deze site dan een “hot potato” wordt, omdat niemand verantwoordelijkheid wil nemen. Dergelijke sites worden per casus behandeld omdat de werkelijkheid vaak complex is.
Herkenningspunten eigenaarschap sites
Het eigenaarschap is af te leiden aan een combinatie van factoren waarbij sommigen opgeteld kunnen worden en anderen definitief doorslaggevend zijn. Deze herkenningspunten kunnen in alle gevallen ook onjuist zijn en er kunnen alsnog onjuiste conclusies worden getrokken.
Wanneer een site eigendom verdeeld is over internationale organisaties wordt de Nederlandse (gemeten) organisatie verantwoordelijk gehouden.
- Rechtmatig gebruik van een logo, onder of bovenaan de site
- Informatie van de domeinregistratie (registrant, maar dat is vaak onjuist)
- De uitgever van de toegankelijkheidsverklaring
- E-mail adressen die eindigen op de organisatie
- Informatie op de ‘over ons’ of ‘contactpagina’
- Informatie elders op de site, in het jaarverslag of op een andere site
- Vermelding in een officiële bron (dashboard digitoegankelijk, websiteregister rijksoverheid, verenigingen, wikipedia, e.d.)
- Naam van de organisatie in de domeinnaam
- Bij overheid: Een kort telefoonnummer dat begint met 14
- Bij overheid: Site heeft een publiek / non-commercieel doel
Hoe gaan we om met subdomeinen
Een domein heeft gemiddeld 11 subdomeinen. Zonder tegenbericht gaat het eigenaarschap van ieder van deze domeinen naar de eigenaar van het hoofddomein. Dus “test.amsterdam.nl” is van de Gemeente Amsterdam.
Bij heel grote domeinen zoals “gov.nl” wordt het eigenaarschap op basis van subdomeinen bepaald. Zo is business.gov.nl en wat daaronder valt eigendom van de Kamer van Koophandel. Dergelijke situaties komen ook voor bij universiteiten en andere grote instellingen.
Het instellen van apart eigenaarschap voor een subdomein is een handmatige actie en wordt op verzoek uitgevoerd.
Onderverdeling op basis van afzonderlijke pagina’s op een domein wordt niet ondersteund. Dat komt omdat de meeste metingen geldig zijn voor het hele domein of subdomein. Daarnaast is dit administratief onwerkbaar en contextueel verwarrend.
Soms weten we het gewoon niet
Het kan altijd gebeuren dat een site wordt aangemeld waarvan we echt niet weten hoe of wat. Dit wordt per casus bekeken en overlegd wat met de site te doen. Soms wordt hier achteraan gemaild.
Case Studies
In de afgelopen jaren hebben we allerlei aparte casussen meegemaakt. We nemen je kort mee in hoe we te werk gaan.
Case study 1: culturele instellingen
De meeste culturele instellingen zijn helder over wie de eigenaar is. Diverse musea en theaters zijn bijvoorbeeld van een gemeente. Deze worden meegenomen op basisbeveiliging. Anderen ontvangen slechts subsidie van een gemeente maar bepalen zelf het beleid: dan worden ze niet meegenomen. Het kan altijd nog complexer, zoals Theater Carré in Amsterdam dat een eigen onderneming is waarvan de gemeente Amsterdam 100% aandeelhouder is. Omdat Carré haar eigen beslissingen moet maken nemen we deze niet (meer) mee.
Case study 2: adviesraden (is dit juist?)
Hier zijn we nog niet helemaal over uit. Diverse overheidsinstellingen hebben een adviesraad. Soms zijn deze raden extern en nemen zij een neutrale positie in, maar soms is de raad een overheid.
Zo heeft de gemeente Capelle aan den IJssel een wet opgesteld waarin een adviesraad wordt benoemd voor het sociale domein. Dit is de Adviesraad Sociaal Domein van Capelle aan den IJssel. Deze organisatie voert dus een publieke taak uit maar moet onafhankelijk functioneren. Vanwege deze onafhankelijkheid is basisbeveiliging geneigd om dit niet als overheid te zien. In ieder geval is deze organisatie geen onderdeel van de gemeente. Wij twijfelen hier nog wel een beetje over. Dus totdat iemand ons anders overtuigd natuurlijk.
Een voorbeeld van een adviesraad dat duidelijk wel onderdeel van de overheid is, is het AWTI. De huisstijl, de introductietekst, de WHOIS informatie geeft aan dat deze organisatie qua ICT meeloopt met het overheidsbeleid. Daarom wordt deze organisatie wel gemeten. Deze is terug te vinden op de kaart van adviescolleges.
Case study 3: infrastructuur sites
Een site over de N59, een weg tussen de provincie Zeeland en Zuid-Holland, is op eerste gezicht niet heel duidelijk over wie de eigenaar is. Er staan meerdere logo’s dus het duidt op een samenwerkingsverband. Toch schrijven we dit op de naam van provincie Zuid Holland. Dat komt omdat het a: zo staat in digitoegankelijk, b: de contactinformatie wijst naar Zuid Holland. Ook staat de WHOIS op Zuid Holland.
Een ander voorbeeld is zuidlimburgbereikbaar.nl. De whois van deze site geeft aan dat ‘zuid limburg bereikbaar’ een organisatie is. Op de toegankelijkheidsverklaring worden ook meerdere partijen genoemd. In dit geval is het logisch om van deze website onder een samenwerkingsverband te laten vallen. Er is niets dat aangeeft dat enkel de gemeente Maastricht hiervoor de verantwoordelijkheid moet hebben.
Bij de site destadserven.nl wordt het allemaal iets moeilijker. Deze schrijven we toe aan de gemeente Kampen. Dit komt omdat er een publieke dienst wordt uitgevoerd in opdracht van de gemeente. Dit in tegenstelling tot sites van de VVV of een lokale touristenbond waar restaurants worden aangeprezen: daar wordt misschien samengewerkt maar het oogt niet als overheid.
Case study 4: externe dienstverleners
Wanneer er geen relatie is te vinden met een overheid of opdrachtgever, wordt een site van een externe dienstverlener niet toegeschreven aan een organisatie.
Denk bijvoorbeeld aan tenderned.nl. Dit is een overheidssite waarop allerlei andere overheden documenten plaatsen voor een aanbesteding. Deze overheden zijn verantwoordelijk dat hun aanbesteding toegankelijk is, maar zijn niet verantwoordelijk voor de veiligheid van tenderned.nl.
Een ander voorbeeld is office.com. Veel organisaties gebruiken Office 365 voor kantoorautomatisering. Basisbeveiliging telt hiervan alleen de infrastructuur mee als deze voldoet aan de volgende voorwaarde:
- De infrastructuur is direct terug te vinden op een subdomein van de organisatie. Zoals adfs.{orgnanisatie}.nl.
- De naam van de organisatie is terug te vinden in de dienst. Bijvoorbeeld {organizatie}.leverancier.nl.
- Er staan logo’s of andere kenmerken die eerder genoemd zijn op de site.
Hoofdsites van leveranciers worden vooralsnog niet gemeten. Organisaties buiten het Koninkrijk worden in de regel niet gemeten.