2. Methodebeschrijving

2.1 Domeinnamen

Enquête ICT-gebruik bij bedrijven

De domeinnamen die in dit onderzoek gebruikt worden, zijn verkregen uit de enquête ’ICT-gebruik bij bedrijven’ (CBS, 2020a) (kortweg: de ICT-enquête). In deze jaarlijkse enquête onderzoekt het CBS het gebruik van informatie- en communicatietechnologie (ICT) door bedrijven, waarbij wordt ingegaan op verschillende aspecten, zoals ICT-veiligheid, ICT en personeel, software- en hardwaregebruik, enzovoort. De gegevens worden uiteindelijk uitgesplitst naar bedrijfsgrootteklasse en bedrijfstak gepubliceerd op Statline.

In de ICT-enquête wordt ook naar de domeinnaam van de website van het bedrijf gevraagd. Op deze manier is van een representatieve steekproef van bedrijven bekend welke websites daarbij behoren. De enquête werd in 2020 naar bijna 22 duizend bedrijven verzonden, wat uiteindelijk 12 duizend domeinnamen opleverde. Van al deze 12 duizend domeinnamen is een scan met de API van Internet.nl gedaan. Doordat gewerkt is met een statistisch representatieve steekproef kunnen de resultaten ook naar landelijke gemiddelden per bedrijfsgrootteklasse en bedrijfstak worden vertaald. De verdeling van de gescande domeinnamen over bedrijfsgrootteklassen en bedrijfstakken wordt in figuur 2.1.1 gegeven.

Ophoging van de eindscore

In de context van dit project is een Python tool (zie CBS, 2021) ontwikkeld om effectief de API van Internet.nl voor 12 duizend domeinnamen aan te roepen en de resultaten binnen te halen. Per domeinnaam levert dit een eindscore op die weergeeft hoe veilig een website van een bedrijf is. Deze eindscore wordt berekend aan de hand van subtesten die opgedeeld zijn in vier categorieën:

1. IPv6: bereikbaarheid via een modern internetadres.
2. DNSSEC: gebruik van een ondertekende domeinnaam.
3. HTTPS: gebruik van een beveiligde verbinding.
4. Beveiligingsopties: gebruik van ingestelde Applicatie-beveiligingsopties.

Ieder van deze categorieën bestaat uit verschillende sub-testen. Een overzicht van deze subtesten wordt in tabel A.2.1 gegeven. Meer informatie over de testen is te vinden op de website van Internet.nl.

In dit onderzoek wordt de eindscore gebruikt om de gemiddelden per bedrijfsgrootteklasse en bedrijfstak te berekenen. Hiertoe wordt het gewogen gemiddelde aan de hand van weegfactoren berekend, waarbij de weegfactor berekend wordt door per grootteklasse en bedrijfstak het aantal bedrijven in de popula􀆟e te delen door het aantal bedrijven in de steekproef. De uiteindelijk grootteklassen en bedrijfstakken die in dit rapport worden gebruikt, zijn opgenomen in respectievelijk tabel A.1.1 en A.1.2.

Relatieve score per subgroep

De uiteindelijke score die Internet.nl aan een website geeft, wordt bepaald door de resultaten van de verschillende testen die genoemd zijn. De exacte berekening van de score is niet bekend in dit onderzoek. Toch is geprobeerd een inschatting te krijgen over hoe goed ieder bedrijf per categorie scoort. Hiervoor wordt de relatieve score per subgroep geïntroduceerd.
De subgroepen worden ook in tabel A.2.1 gegeven. De categorieën IPv6, DNSSEC, en beveiligingsopties bevatten slechts één subgroep, maar de grotere categorie HTTPS is opgedeeld in vier subgroepen: https, tls, cert en dane. De relatieve prestatie van een subgroep wordt uitgedrukt in het percentage van testen uit een subgroep dat een uitslag ’geslaagd’ toegekend krijgt. Dit is niet helemaal zuiver, omdat sommige testen alleen conditioneel gedaan worden waardoor een 100 procent relatieve score voor de subgroep niet mogelijk is. Toch geeft de relatieve score per subgroep een goede indicatie hoe goed bedrijven in iedere subgroep scoren. In het volgende hoofdstuk wordt hier dieper op ingegaan.