Toepassing van Internetstandaarden voor websites van bedrijven

1. Introductie

1.1 Achtergrond

In 2020 is het CBS in opdracht van het ministerie van Economische Zaken en Klimaat samen met Platform Internetstandaarden een onderzoek begonnen naar het gebruik van internetstandaarden bij websites van bedrijven in Nederland. Doel van dit onderzoek is om in kaart te brengen hoe goed bedrijven per bedrijfsgrootteklasse en bedrijfstak (veilige) Internetstandaarden voor hun website gebruiken. Een PDF-versie van dit document kan hier gedownload worden.

Het toepassen van internetstandaarden verhoogt de veiligheid, betrouwbaarheid en toegankelijkheid van het Internet.1) In dit onderzoek wordt de webtool van Platform Internetstandaarden gebruikt, Internet.nl, om websites van bedrijven te testen op gebruik het van internetstandaarden. Op Internet.nl is het mogelijk om een websiteadres in te voeren; Internet.nl zal dan een scan van de ingevoerde website maken om deze te toetsen op ruim dertig internetstandaarden. Met de uitkomsten van deze testen wordt een eindscore toegekend als percentage tussen 0 en 100 procent; een website met een 100 procent eindscore voldoet aan alle eisen om de website zo veilig en gestandaardiseerd mogelijk te maken.

In dit onderzoek wordt de scanmethodiek van Internet.nl toegepast op een representatieve steekproef van websites van bedrijven. De websites die gescand zijn, worden verkregen uit de CBS-enquête ‘ICT-gebruik bij bedrijven’ (verder kortweg ICT-enquête genoemd) van de jaren 2020, 2021 en 2022 (Zie Statline enquêtes CBS, 20202021b2022a). In deze enquête wordt gevraagd of het bedrijf een eigen website heeft en, zo ja, wat de website (domeinnaam of URL) is met de meeste bezoekers (de hoofdwebsite). Deze websites worden achteraf via Internet.nl gescand. Doordat de websites via een representatieve steekproef verkregen zijn, kan per bedrijfsgrootteklasse en bedrijfstak bepaald worden hoe goed de juiste internetstandaarden worden toegepast voor de website van bedrijven.

De resultaten van de eerste scanronde op basis van de ICT-enquête 2020 zijn eerder gepubliceerd in de long-read CBS (2022b). In dit rapport worden de resultaten gepresenteerd van nog drie extra scans: twee scans op basis van de websites die verzameld zijn met de ICT-enquête van 2021 en 2022; derde scan is in april 2023 uitgevoerd met dezelfde websites als 2022. Hiermee kan inzicht gekregen worden over de ontwikkeling van de toepassing van Internetstandaarden bij bedrijven in Nederland over de afgelopen drie jaar.

1.2 Type scans

In dit onderzoek zijn twee type scans op de website van bedrijven uitgevoerd: een scan naar het gebruik van Internetstandaarden van de website van bedrijven en een scan naar het gebruik van Internetstandaarden van het e-maildomein van het bedrijven. Beide type scans leveren uiteindelijk per domeinnaam een score tussen de 0 en 100 procent op. Deze score wordt door Internet.nl berekend aan de hand van de uitslag van bijna veertig onderliggende testen voor zowel de websitescan als de e-mailscan. De testen van de websitescan zijn weer onder te verdelen in vijf categorieën, namelijk:

  • IPv6: bereikbaarheid via een modern internetadres.

  • DNSSEC: gebruik van een ondertekende domeinnaam.

  • HTTPS: gebruik van een beveiligde verbinding.

  • Beveiligingsopties: gebruik van ingestelde Applicatie-beveiligingsopties.

  • RPKI: Autorisatie voor routering

Iedere categorie bestaat weer uit losse subtesten waarmee bepaald wordt of een bedrijf slaagt voor een categorie of niet. In tabel A.2.1 wordt een overzicht van de categorieën van de websitescan met alle onderliggende subtesten gegeven.

De testen van de e-mailscans zijn ook op te verdelen in vijf categorieën, namelijk:

  • IPv6: bereikbaarheid via een modern internetadres.

  • DNSSEC: gebruik van een ondertekende domeinnaam.

  • DMARC, DKIM, SPF: Authenticatie als protectie tegen e-mail phishing.

  • STARTTLS en DANE: beveiligde mailserver-verbinding.

  • RPKI: Autorisatie voor routering

Iedere categorie bestaat weer uit losse subtesten waarmee bepaald wordt of een bedrijf slaagt voor een categorie of niet. In tabel A.3.1 wordt een overzicht van de categorieën van de websitescan met alle onderliggende subtesten gegeven.

Zoals gezegd worden de resultaten van zowel de website- als e-mailscans gepresenteerd. De e-mailscans zijn alleen in de laatste scanronde van 2023 toegevoegd. Alhoewel er in 2021 en 2022 wel e-mailscans uitgevoerd zijn, bleek bij de analyse achteraf dat voor deze scans het subdomain van de website niet correct verwijderd was. Er werd bijvoorbeeld op www.example.com gescand, terwijl voor de e-mailscans het subdomain www verwijderd had moeten worden om alleen example.com te scannen. In de laatste scan van april 2023 (waarbij dezelfde steekproef als 2022 genomen is) is het subdomein wel correct verwijderd. De uitkomsten van de e-mailscan met of zonder subdomein www verschillen echter van elkaar, waardoor de e-mailscan van 2023 niet met de voorgaande scans van 2021 en 2022 vergeleken kan worden. Om deze reden worden van de websitescans vier opeenvolgende jaren gepresenteerd, terwijl van de e-mailscans alleen de resultaten van de laatste ronde van april 2023 worden getoond.

Eerst wordt in hoofdstuk 2 in het kort de methode beschreven die gebruikt is om de Internet.nl scans uit te voeren en te analyseren. De resultaten van de websitescans en e-mailscans worden achtereenvolgens in hoofdstuk 3 en hoofdstuk 4 besproken. Een overzicht van alle onderliggende website en email testen wordt in de bijlagen B en C gegeven. In hoofdstuk 5 worden de conclusies van dit onderzoek gegeven.

1) In het algemeen kan je dit stellen. Toch impliceert een score van 100 procent niet dat een online dienst per definitie veilig is; er zijn nog meer aspecten die een rol spelen. De Internet.nl-test is dus een test op het gebruik van de juiste internetstandaarden en geen veiligheidstest.