Mail Basisbeveiliging / Internet CleanupFoundation
Onlangs hebben veel scholen een mail ontvangen die is verspreid door Basisbeveiliging / Internet CleanupFoundation met als onderwerp: Vooraankondiging metingen Voortgezet Onderwijs op basisbeveiliging.nl
De mail is verstuurd namens de Stichting Internet Cleanup Foundation. Dit initiatief heeft als doel om de vertrouwelijkheid, integriteit en beschikbaarheid (VIB) van informatie op het internet en alles wat met dit onderwerp te maken heeft in de ruimste zin te vergroten.
Dit doen zij door (sub)domeinen van diverse (overheids-) organisaties te scannen op de toegepaste beveiliging en daarover te rapporteren via https://basisbeveiliging.nl.
Voor zover bekend kennen de resultaten die gepubliceerd worden op https://basisbeveiliging.nl geen officieel kader en vloeien er voor scholen geen directe verplichtingen uit. Natuurlijk kan het scholen wel helpen om mogelijke beveiligingsrisico's op te sporen en aan te pakken.
Hoe moet ik de rapportage duiden
De gerapporteerde gegevens op https://basisbeveiliging.nl geven een beeld van de basisveiligheid conform de normen die deze website heeft opgesteld. Deze worden geclassificeerd in hoog, midden en laag risico. Op basis hiervan wordt een rapportage opgesteld die gepubliceerd wordt op de website.
Belangrijk: Het is goed om te weten dat de rapportage betrekking heeft op alle door de school gebruikte (sub)domeinen. In de rapportage kunnen daarom ook zaken zijn opgenomen die los de dienstverlening van Heutink ICT staan.
De rapportagecriteria bestaan uit verschillende onderdelen. Hierdoor kan het voorkomen dat bepaalde criteria als risico worden aangemerkt omdat niet aan alle punten (volledig) wordt voldaan. Dit betekent echter niet dat dit specifieke onderdeel in zijn geheel onveilig zijn.
Is mijn website veilig
Kort antwoord: ja! Als Heutink ICT hebben we beveiliging hoog in het vaandel staan en zijn we continu bezig om onze producten en diensten steeds veiliger te maken. We voeren daarom regelmatig updates en patches uit aan onze software, servers en infrastructuur.
Wanneer je gebruikt maakt van het Schoolwebsite CMS van Heutink ICT is dit een veilige en een betrouwbare oplossing voor het beheren van je website. Dit blijkt ook wanneer we steekproef nemen uit de rapportages op https://basisbeveiliging.nl. Als we ons beperken tot het primaire domein, waar meestal de schoolwebsite draait, komen websites die het Schoolwebsite CMS-systeem gebruiken goed uit de bus en worden er geen hoog risico zaken naar voren gebracht. Wel zijn er enkele aandachtpunten. Deze gaan we nader gaan onderzoeken. Vanzelfsprekend wegen we hier nut en noodzaak zorgvuldig tegen elkaar af.
Belangrijk: Bij het treffen van beveiligingsmaatregelen zullen we nut en noodzaak altijd zorgvuldig tegen elkaar moeten afwegen. Hierbij kijken we o.a. naar het risicoprofiel en de impact van de te nemen maatregelen. Deze moeten passend en in verhouding zijn tot het risico dat wordt gelopen. Daarnaast spelen ook kosten een rol. Op dit moment onderzoeken we welke aanvullende maatregelen we nog zouden kunnen doorvoeren.
Overige aandachtspunten
In de mail wordt tevens een lijst genoemd met punten waar verder naar gekeken kan worden.
100% score op internet.nl voor zowel web als mail
Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Op deze website wordt een op basis van diverse criteria de veiligheid van websites in kaart gebracht. Er worden aanbevelingen gedaan die de veiligheid van een website verder kunnen verbeteren. Websites die gebruik maken van het Schoolwebsite CMS scoren in deze test over het algemeen hoog.
Uit de test komen de volgende aandachtspunten naar voren:
- IPv6-adressen voor webserver
- Op dit moment ontsluiten we onze websites nog niet via IPv6. We zijn wel voornemens om dit te gaan doen. Dit is in onderzoek.
- DNSSEC aanwezigheid
- Dit heeft betrekking op de beveiliging van een domeinnaam. Wij hebben hier alleen invloed op als de domeinnaam waarop de website draait bij ons (Previder) in beheer is.
- Aanwezigheid van http compressie is webserver.
- Levert een beperkt risico op. Uitschakelen beïnvloed de performance van de webserver negatief. Dit compenseren kost extra resources.
- HTTPS-doorverwijzing
- Deze is aanwezig maar functioneert niet geheel op de wijze zoals internet.nl dit voorschrijft. Levert een beperkt risico op. Op specifiek verzoek kunnen we de wijze van doorverwijzen aanpassen.
- Sleuteluitwisselingsparameters
- Levert een beperkt risico op. We onderzoeken of we hiervoor aanpassingen moeten maken.
- DANE aanwezigheid
- Levert een beperkt risico op. DANE maakt de configuratie van een SSL certificaat complex en arbeidsintensief.
- Content-Security-Policy
- CSP implementatie is complex en onderhoudsgevoelig. We onderzoeken of we implementatie hiervan haalbaar is.
- Referrer-Policy
- Is aanbeveling maar levert een beperkt risico op en wanneer te restrictief levert dit nadelen op
- Security.txt
- Encryptie is aanbeveling maar levert op zichzelf geen bijdrage aan de veiligheid van de website.
B score of hoger op ssllabs.com
Onze score hierop is A+
Gebruik van de standaard security.txt
Deze is aanwezig op al onze websites.
Geen ongevraagde tracking cookies uitdelen
Het CMS van Schoolwebsite deelt standaard alleen functionele cookies uit. Door uitbreidingen en (ingesloten) content die onze klanten zelf aan hun website hebben toegevoegd hebben, kan het voorkomen dat er ook tracking cookies aanwezig zijn. Dit is een dynamisch proces. Om erachter te komen welke cookies precies gebruikt worden raden wij aan om de website regelmatig te scannen met behulp van een cookies scan zoals Cookiebot of andere tooling. Heutink ICT kan helpen bij de implementatie van een correcte cookiemelding.
Dienstverlening/hosting vanuit Nederland of de EU
Schoolwebsite wordt gehost in het datacenter van ons zusterbedrijf Previder in Hengelo (OV).
Geen overbodige diensten en poorten open (zoals ftp, databases etc)
Dit is niet het geval en kan gecontroleerd worden via de tooling beschreven op https://basisbeveiliging.nl
Weghalen van versienummers bij online diensten (m.n. bij portscans)
Rondom de CMS software zijn er geen versienummers in te zien.
Juiste WHOIS registratie informatie bij het SIDN ('registar' = naam vaninstelling/stichting etc, geen persoon en niet afgeschermd dus)
Dit heeft betrekking op de gegevens die zijn vastgelegd bij de registratie van een domein en staat in principe los van de dienstverlening rondom het Schoolwebsite CMS. Veel scholen hebben hun domein bij Heutink ICT (Previder) ondergebracht. Via https://www.sidn.nl kan gecontroleerd welke gegevens zijn vastgelegd en of deze correct zijn.
Wanneer het domein door Heutink ICT wordt beheerd, kunnen wij helpen om eventuele aanpassingen aan de WHOIS gegevens te maken.