2. Cybersecuritymaatregelen
2.1 Bedrijven
Dit hoofdstuk gaat in op de maatregelen die bedrijven in Nederland nemen om zichzelf cyberweerbaar te maken. De cijfers komen uit de CBS-enquêtes ‘ICT-gebruik bij bedrijven 2017’ (CBS, 2017b, d, c, e, f), ‘ICT-gebruik bij bedrijven 2018’ (CBS, 2018b, d, c, e, f), ‘ICT-gebruik bij bedrijven 2019’ (CBS, 2019b, d, c, e, f), ‘ICT-gebruik bij bedrijven 2020’ (CBS, 2020b, d, c, e, f), ‘ICT-gebruik bij bedrijven 2021’ (CBS, 2021b, d, c, e, f) en ‘ICT-gebruik bij bedrijven 2022’ (CBS, 2022b, d, c, e, f).
De jaarlijkse enquête ‘ICT-gebruik bedrijven’ (of kortweg: de ICT-enquête) wordt in samenwerking met de andere EU-landen uitgevoerd onder leiding van Eurostat. Een deel van de uitvoeringskosten van de ICT-enquête wordt door Eurostat gefinancierd. Het ministerie van Economische Zaken en Klimaat financiert extra onderdelen van het onderzoek die niet verplicht zijn op basis van EU-regelgeving.
Via de ICT-enquête wordt jaarlijks het ICT-gebruik van bedrijven in Nederland in kaart gebracht. Dit levert ook cijfers op die iets zeggen over de cyberweerbaarheid van bedrijven: de mate waarin zij bedrijfsprocessen en waardevolle data beveiligen tegen cybercriminelen. In deze monitor besteden we afzonderlijk aandacht aan de maatregelen die door bedrijven worden genomen om het bedrijf te beveiligen tegen aanvallen van buitenaf en de ICT-veiligheidsincidenten. De maatregelen worden in dit hoofdstuk beschreven, terwijl de incidenten in het volgende hoofdstuk aan bod komen.
De ICT-enquête wordt gehouden onder ongeveer 20 duizend aselect getrokken Nederlandse bedrijven uit verschillende grootteklassen en bedrijfstakken. De afgelopen twee jaar werd ook een beknopte versie van de ICT-enquête naar zo’n 22 duizend Zelfstandigen Zonder Personeel (ZZP’ers) uitgestuurd. Deze beknopte versie bevat voornamelijk de ICT-veiligheidsvragen uit de enquête die naar de grote bedrijven gestuurd wordt. De resultaten van de ZZP’ers worden de afgelopen twee jaar in deze monitor meegenomen en vergeleken met die voor bedrijven met twee of meer werknemers te kunnen maken.
In de Appendix wordt in tabellen A.1.1 en A.1.2 een overzicht van respectievelijk alle grootteklassen en bedrijfstakken gegeven. In dit hoofdstuk worden de cijfers van vijf grootteklassen uitgelicht: ZZP’ers (1 werkzame persoon), bedrijven met 2 tot 10 werkzame personen, bedrijven met 10 tot 50 werkzame personen, bedrijven met 50 tot 250 werkzame personen en bedrijven met 250 of meer werkzame personen. Daarnaast laten we nog voor vijf bedrijfstakken de cijfers zien: 1) Gezondheid en welzijnszorg (Zorg), 2) Financiële dienstverlening (Finan.Dnst.), 3) Horeca, 4) ICT-sector en 5) Industrie. Deze bedrijfstakken zijn gekozen doordat de resultaten van de genomen ICT-veiligheidsmaatregelen en opgelopen ICT-veiligheidsincidenten het meest uiteenlopen. Bij de bespreking van de kosten laten we andere bedrijfstakken zien, namelijk de bedrijfstakken die de hoogste kosten van incidenten hebben gemeld. Een compleet overzicht van de cijfers voor alle grootteklassen en bedrijfstakken kan in dit rapport in bijlage A.2 en bijlage A.3 gevonden worden, of zijn online beschikbaar op Statline (CBS, 2022a).
2.1.1 Genomen ICT-veiligheidsmaatregelen per bedrijfsgrootteklasse over de periode 2016–2021
2.1.1 Maatregelen ter verbetering van de cyberweerbaarheid
Aan de bedrijven die aan de ICT-enquête hebben deelgenomen, zijn verschillende vragen voorgelegd die iets zeggen over hun cyberweerbaarheid. Zo is aan bedrijven gevraagd welke ICT-veiligheidsmaatregelen zijn getroffen. Ook is gevraagd wie de ICT-veiligheidsmaatregelen binnen het bedrijf uitvoert: het eigen personeel, een extern bedrijf, of een combinatie van beide.
Eerst wordt bekeken hoe vaak verschillende cybersecuritymaatregelen door bedrijven toegepast worden. Figuren 2.1.1(a–l) en 2.1.2(a–l) tonen het aandeel bedrijven dat in de periode 2016–2021 verschillende cybersecuritymaatregelen toegepast, naar grootteklasse en bedrijfstak [voetnoot: Let op dat data van een bepaald jaar vaak komt uit de ICT-enquête van het jaar daarna. Zo komt de data die betrekking heeft op 2021 uit de ICT-enquête van 2022 (CBS, 2022b). ]. Voor de duidelijkheid worden slechts vier grootteklassen en vier bedrijfstakken uitgelicht. Het volledige overzicht wordt in tabellen A.2.1 en A.2.3 gegeven en is terug te vinden op StatLine (CBS, 2022a). Uiteraard kan met deze twaalf maatregelen nooit een compleet beeld van het ICT-beveiligingsniveau van bedrijven gegeven worden, maar er ontstaat wel een globale indruk, omdat elke extra maatregel die een bedrijf neemt een extra bijdrage levert aan de cyberweerbaarheid van het bedrijf.
Grote bedrijven nemen meer maatregelen tegen cyberdreigingen
In het algemeen kan gezegd worden dat het ICT-beveiligingsniveau van een bedrijf hoger is naarmate er meer maatregelen tegelijkertijd genomen worden. In figuur 2.1.1 is voor de jaren 2016–2021 te zien dat iedere maatregel vaker door grote dan door kleine bedrijven genomen wordt. Voor sommige maatregelen is dit patroon sterker dan voor andere.
Voor bijvoorbeeld een gangbare maatregel als het gebruik van antivirussoftware (figuur 2.1.1(a)) zijn de verschillen tussen grote en kleine bedrijven niet zo groot: meer dan 80 procent van alle bedrijven gebruikt antivirussoftware, ongeacht de grootteklasse. Bij een moeilijker toe te passen maatregel als het gebruik van een Virtual Private Netwerk (VPN) (figuur 2.1.1(l)) zijn wel grotere verschillen tussen kleine en grote bedrijven te zien. Minder dan 30 procent van de bedrijven met 2 tot 10 werknemers maakt gebruik van VPN tegen 84 procent van de bedrijven met 250 of meer werknemers in 2021. Dat grotere bedrijven meer maatregelen treffen is niet vreemd. Grotere bedrijven hebben immers vaker een grotere en meer complexe ICT-infrastructuur die daarom een breder spectrum aan beveiligingsmaatregelen vereist.
Figuur 2.1.1 toont ook het percentage ZZP’ers dat in 2020 en 2021 de maatregelen nam. Er kan geconstateerd worden dat bij alle ICT-veiligheidsmaatregelen het percentage ZZP’ers dat deze maatregelen neemt net iets lager is dan dat voor bedrijven in de bovenliggende grootteklasse van 2— 10 werknemers. Dit is consistent met de constatering dat kleine bedrijven minder ICT-veiligheidsmaatregelen nemen dan grote bedrijven.
Toename authenticatie met soft- of hardwaretoken
Het gebruik van een soft- of hardwaretoken voor het inloggen bij een bedrijf is vanaf 2016 flink toegenomen. Deze zogenaamde twee-staps authentificatie[voetnoot: Strikt genomen is er nog een onderscheid te maken tussen two-factor authenticatie en two-step authenticatie, maar dat laten we verder buiten beschouwing omdat beide vormen sowieso een extra beveiliging opleveren ten opzichte van het inloggen met enkel een wachtwoord.] vergroot de veiligheid omdat naast een wachtwoord een extra code ingevoerd moet worden die per inlogsessie verandert. Deze code wordt verkregen via een specifiek apparaatje of via een App op de smartphone zoals Authy, Google Authenticator of RSA SecureID. Op deze manier is inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt, biedt de vereiste extra code bescherming tegen inloggen door ongeautoriseerde gebruikers.
Onder grote bedrijven is het gebruik van soft- of hardwaretokens toegenomen van 71 procent in 2016 tot 93 procent in 2021 (figuur 2.1.1(j)). Voor alle grootteklassen is te zien dat deze manier van inloggen steeds vaker gebruikt wordt. Vooral de middelgrote bedrijven met 10 tot 50 werknemers maken een inhaalslag met een dekking die gestegen is van 29 procent in 2016 naar 62 procent in 2021. Onder kleine bedrijven (2 tot 10 werknemers) zien we een ontwikkeling van 23 procent in 2016 naar 41 procent in 2021 voor het gebruik van hardwaretokens, wat bijna een verdubbeling is. Overigens bieden steeds meer websites de mogelijkheid om twee-staps authentificatie te gebruiken. Het is daarom aannemelijk dat deze manier van inloggen in de toekomst nog meer zal toenemen.
ICT-veiligheidsmaatregelen per bedrijfstak
Figuur 2.1.2 laat het aantal maatregelen voor enkele bedrijfstakken met twee of meer werknemers zien (de ZZP’ers zijn hier dus niet in meegenomen). Te zien is dat bedrijven die meer met ICT bezig zijn (ICT‐sector) of bedrijven die een groot belang hebben bij het beveiligen van hun data (Gezondheidszorg) beter scoren dan andere sectoren waar cybersecurity iets minder belangrijke lijkt, zoals de horeca. Wel moet in het achterhoofd gehouden worden dat de horeca een relatief grote groep kleine bedrijven heeft, die over het algemeen minder geneigd zijn tot het nemen van cybersecuritymaatregelen. Daarnaast zijn horecabedrijven minder sterk aangewezen op het gebruik van ICT-systemen voor de uit te voeren werkzaamheden. Het ligt daarmee voor de hand dat er ook minder ICT-beveiligingsmaatregelen genomen worden.
Aantal genomen ICT-veiligheidsmaatregelen
Eerder bleek dat grote bedrijven vaker verschillende ICT-maatregelen nemen dan kleine bedrijven. Dit wordt weergegeven in figuren 2.1.3(a) en 2.1.3(b), waarbij we per bedrijfsgrootte en bedrijfstak het percentage bedrijven laten zien dat een zeker aantal maatregelen neemt. Kleine bedrijven scoren hoger op een kleiner aantal maatregelen, terwijl grote bedrijven juist vaker meerdere maatregelen tegelijk nemen (figuur2.1.3(a)). Van de bedrijven met 250 of meer werknemers neemt zelfs bijna de helft van de bedrijven alle tien de uitgevraagde maatregelen. [voetnoot: Van de twaalf maatregelen die in figuur 2.1.1 en figuur 2.1.2 getoond worden, nemen we er maar tien mee in figuur (a) en figuur (b) waar we het totaal aantal maatregelen tonen dat bedrijven nemen. Dit omdat de maatregelen ’ICT-cursus aan specialisten’ (d) en ’Updaten software’ (k) niet over alle jaren beschikbaar zijn. ] In figuur 2.1.3(b) is te zien dat ICT-bedrijven over het algemeen de meeste maatregelen nemen, terwijl in de horeca vaker minder maatregelen genomen worden.
| Aantal maatregelen | 1 werkzame persoon (ZZP'er) (% van bedrijven) | 2 tot 10 werkzame personen (% van bedrijven) | 10 tot 50 werkzame personen (% van bedrijven) | 50 tot 250 werkzame personen (% van bedrijven) | 250 of meer werkzame personen (% van bedrijven) |
|---|---|---|---|---|---|
| 0 | 6 | 11 | 3 | 1 | 1 |
| 1 | 6 | 8 | 3 | 0 | 0 |
| 2 | 11 | 12 | 6 | 1 | 0 |
| 3 | 12 | 13 | 7 | 1 | 0 |
| 4 | 12 | 10 | 7 | 2 | 0 |
| 5 | 8 | 9 | 10 | 4 | 1 |
| 6 | 7 | 9 | 10 | 7 | 3 |
| 7 | 6 | 8 | 13 | 10 | 4 |
| 8 | 3 | 7 | 13 | 17 | 11 |
| 9 | 3 | 6 | 13 | 20 | 23 |
| 10 | 2 | 6 | 16 | 36 | 56 |
| Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2022 (CBS, 2022e) | |||||
| Aantal maatregelen | Gezondheids- en welzijnszorg (% van bedrijven) | Financiële dienstverlening (% van bedrijven) | ICT-sector (% van bedrijven) | Industrie (% van bedrijven) | Horeca (% van bedrijven) |
|---|---|---|---|---|---|
| 0 | 3 | 10 | 2 | 6 | 23 |
| 1 | 3 | 2 | 2 | 6 | 14 |
| 2 | 6 | 3 | 2 | 12 | 17 |
| 3 | 6 | 1 | 5 | 10 | 16 |
| 4 | 6 | 9 | 7 | 10 | 8 |
| 5 | 8 | 4 | 9 | 10 | 4 |
| 6 | 16 | 8 | 9 | 10 | 5 |
| 7 | 12 | 11 | 9 | 8 | 3 |
| 8 | 15 | 6 | 12 | 9 | 2 |
| 9 | 13 | 14 | 14 | 9 | 4 |
| 10 | 14 | 32 | 27 | 9 | 3 |
| Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak, 2022 (CBS, 2022d) | |||||
| dim_gk | 2016 (% van bedrijven) | 2017 (% van bedrijven) | 2018 (% van bedrijven) | 2019 (% van bedrijven) | 2020 (% van bedrijven) | 2021 (% van bedrijven) |
|---|---|---|---|---|---|---|
| 250 of meer werkzame personen | 94 | 94 | 97 | 98 | 97 | 98 |
| 50 tot 250 werkzame personen | 82 | 83 | 89 | 89 | 91 | 94 |
| 10 tot 50 werkzame personen | 54 | 61 | 69 | 65 | 70 | 75 |
| 2 tot 10 werkzame personen | 32 | 37 | 43 | 44 | 42 | 45 |
| 2 of meer werkzame personen | 37 | 43 | 49 | 49 | 48 | 52 |
| 1 werkzame persoon (ZZP'er) | 32 | 29 | ||||
| Bron: CBS, ICT-gebruik bij bedrijven; bedrijfsgrootte, 2022 (CBS, 2022b) | ||||||
| dim_sbi | 2016 (% van bedrijven) | 2017 (% van bedrijven) | 2018 (% van bedrijven) | 2019 (% van bedrijven) | 2020 (% van bedrijven) | 2021 (% van bedrijven) |
|---|---|---|---|---|---|---|
| ICT-sector | 74 | 73 | 76 | 73 | 73 | 80 |
| Gezondheids- en welzijnszorg | 57 | 66 | 74 | 73 | 72 | 78 |
| Financiële dienstverlening | 59 | 71 | 74 | 70 | 80 | 75 |
| Industrie | 42 | 47 | 53 | 53 | 51 | 55 |
| Horeca | 20 | 18 | 22 | 21 | 23 | 21 |
| Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak, 2022 (CBS, 2022d) | ||||||
Uit de verdelingen van het aantal maatregelen is af te leiden welk deel van de bedrijven minimaal de helft van de gevraagde maatregelen neemt. Dit wordt in figuur 2.1.4(a) en figuur 2.1.4(b) respectievelijk per grootteklasse en bedrijfstak getoond voor de jaren 2016 tot en met 2021. In figuur 2.1.4(a) is nu goed te zien dat het aantal bedrijven dat vijf of meer maatregelen neemt tot 2018 toegenomen is. In 2021 is het aantal bedrijven met twee of meer werknemers dat minimaal vijf maatregelen neemt na een jaar van stagnatie weer toegenomen tot 52 procent. Hoe groter de bedrijven, hoe meer maatregelen genomen worden. Grote bedrijven met 250 werknemers of meer nemen bijna allemaal minimaal vijf van de tien maatregelen. Tenslotte is te zien dat ongeveer één derde van de ZZP’ers vijf of meer van de gevraagde ICT-veiligheidsmaatregelen neemt.
Figuur 2.1.4(b) toont het aandeel bedrijven met twee of meer werknemers dat vijf of meer ICT-veiligheidsmaatregelen heeft getroffen, per bedrijfstak. Het is te zien dat in de ICT-sector, bij Financiële dienstverlening en in de Gezondheid een relatief grote groep bedrijven meer dan vijf maatregelen treft (in 2021 bijna 80 procent), terwijl dit voor de Horeca een stuk lager ligt met ongeveer 20 procent. Wel kunnen we zien dat ook per bedrijfstak de afgelopen zes jaar het aandeel bedrijven dat een groot aantal ICT-veiligheidsmaatregelen tegelijkertijd neemt, is toegenomen. In 2021 neemt het percentage bedrijven dat minstens vijf maatregelen neemt na twee jaar van stagnatie weer toe.
2.1.2 Uitvoering ICT-veiligheidswerkzaamheden
| Jaar | Extern (% van bedrijven) | Zelf/eigen personeel (% van bedrijven) | Extern en zelf/eigen personeel (% van bedrijven) | N.v.t. (% van bedrijven) | |
|---|---|---|---|---|---|
| 1 (ZZP'ers) | '18 | ||||
| 1 (ZZP'ers) | '19 | ||||
| 1 (ZZP'ers) | '20 | 13 | 35 | 3 | 49 |
| 1 (ZZP'ers) | '21 | 34 | 27 | 3 | 36 |
| 2 - 10 | '18 | 31 | 53 | 16 | 0 |
| 2 - 10 | '19 | 42 | 51 | 7 | 0 |
| 2 - 10 | '20 | 26 | 22 | 6 | 46 |
| 2 - 10 | '21 | 26 | 20 | 6 | 48 |
| 10 - 50 | '18 | 47 | 25 | 28 | 0 |
| 10 - 50 | '19 | 59 | 27 | 14 | 0 |
| 10 - 50 | '20 | 49 | 17 | 16 | 18 |
| 10 - 50 | '21 | 48 | 16 | 19 | 17 |
| 50 - 250 | '18 | 34 | 21 | 45 | 0 |
| 50 - 250 | '19 | 42 | 24 | 34 | 0 |
| 50 - 250 | '20 | 39 | 22 | 33 | 6 |
| 50 - 250 | '21 | 36 | 19 | 39 | 6 |
| 250 - | '18 | 17 | 17 | 66 | 0 |
| 250 - | '19 | 20 | 22 | 58 | 0 |
| 250 - | '20 | 19 | 23 | 55 | 3 |
| 250 - | '21 | 15 | 20 | 63 | 2 |
| Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2021 (CBS, 2019a, 2020b, 2021e, 2022b) | |||||
| Jaar | Extern (% van bedrijven) | Zelf/eigen personeel (% van bedrijven) | Extern en zelf/eigen personeel (% van bedrijven) | N.v.t. (% van bedrijven) | |
|---|---|---|---|---|---|
| Industrie | '18 | 40 | 39 | 21 | 0 |
| Industrie | '19 | 52 | 36 | 12 | 0 |
| Industrie | '20 | 36 | 17 | 11 | 36 |
| Industrie | '21 | 35 | 16 | 12 | 37 |
| ICT | '18 | 12 | 61 | 27 | 0 |
| ICT | '19 | 10 | 69 | 21 | 0 |
| ICT | '20 | 9 | 52 | 19 | 20 |
| ICT | '21 | 7 | 54 | 19 | 20 |
| Horeca | '18 | 20 | 71 | 9 | 0 |
| Horeca | '19 | 37 | 59 | 4 | 0 |
| Horeca | '20 | 16 | 20 | 1 | 63 |
| Horeca | '21 | 21 | 12 | 3 | 64 |
| Finan.Dnst. | '18 | 46 | 29 | 25 | 0 |
| Finan.Dnst. | '19 | 49 | 36 | 15 | 0 |
| Finan.Dnst. | '20 | 39 | 29 | 18 | 14 |
| Finan.Dnst. | '21 | 36 | 17 | 19 | 28 |
| Zorg | '18 | 44 | 29 | 27 | 0 |
| Zorg | '19 | 54 | 32 | 14 | 0 |
| Zorg | '20 | 45 | 21 | 11 | 23 |
| Zorg | '21 | 43 | 16 | 16 | 25 |
| Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2021 (CBS, 2019a, 2020b, 2021e, 2022b) | |||||
De organisatie van de ICT-beveiliging wordt in figuur 2.1.5(a) en figuur 2.1.5(b) onder de loep genomen. Er wordt per grootteklasse en bedrijfstak gekeken wie de ICT-veiligheidswerkzaamheden binnen het bedrijf uitvoert: het eigen personeel, een extern bedrijf of een mix van beide. Vanaf het jaar 2020 worden deze resultaten ook voor ZZP’ers weergegeven. De vraagstelling is in 2020 iets veranderd. Vanaf dat jaar is het mogelijk de optie ‘niet van toepassing’ te gebruiken. In de jaren daarvoor was deze mogelijkheid er niet en moesten bedrijven aangeven of de ICT-veiligheidswerkzaamheden werden uitgevoerd of werden uitbesteed (of een mix daarvan). De verandering is waarschijnlijk de oorzaak van de verschuiving die zichtbaar is in de resultaten vanaf 2020, vooral onder de kleine bedrijven. Daarom wordt vooral gekeken naar de ontwikkeling voor bedrijven die ICT-veiligheidswerkzaamheden geheel uitbesteden (categorie ‘Extern’). Deze groep lijkt redelijk constant gebleven te zijn over de overgelopen drie jaren. ZZP’ers besteden de ICT-veiligheidswerkzaamheden het minst vaak volledig uit. Het aandeel bedrijven dat deze vraag als ‘niet van toepassing’ aanduidt, is het grootst.
Bij grote bedrijven komt het vaker voor dat het eigen personeel in ieder geval een deel van de ICT-veiligheidsmaatregelen uitvoert. Bovendien komt ‘Niet van toepassing’ bij grote bedrijven nauwelijks voor. Dit is niet opmerkelijk omdat een groot bedrijf meer personeel beschikbaar heeft om standaard maatregelen zelf uit te voeren en daarnaast over de middelen beschikt om complexere zaken uit te besteden.
Als we in figuur 2.1.5(b) naar de uitvoering van ICT-veiligheidswerkzaamheden per bedrijfstak kijken, kunnen we zien dat ICT-bedrijven in de meeste gevallen prima in staat zijn alle ICT-beveiliging zelf te doen; zo’n 70 procent van de ICT-bedrijven doet de ICT-beveiliging volledig zelf. Ook dit is niet opmerkelijk omdat je kan verwachten dat bij bedrijven in de ICT-sector voldoende expertise voorhanden is om de ICT-beveiliging zelf te doen. In de Zorg en in de Industrie worden de ICT-beveiligingswerkzaamheden in de helft van de gevallen uitbesteed. De Horeca heeft het meest gebruik gemaakt van de nieuwe categorie ‘Niet van toepassing’: bijna twee derde van de horecabedrijven zegt dat ICT-beveiligingswerkzaamheden niet van toepassing. Dit hangt waarschijnlijk samen met het feit dat de Horeca relatief weinig ICT-maatregelen neemt, zodat ICT-veiligheidswerkzaamheden vaker niet aan de orde zijn.
2.2 Websites
Deze paragraaf beschrijft de maatregelen die bedrijven nemen om de beveiliging en betrouwbaarheid van hun websites te verhogen. Het gebruik van veilige en moderne internetstandaarden speelt hierbij een belangrijke rol.
2.2.1 Aandeel .nl-domeinnamen met DNSSEC-beveiliging stijgt
DNSSEC is een beveiligingssysteem voor DNS (het internet-telefoonboek dat zorgt voor de vertaling van domeinnamen naar IP-adressen). DNSSEC breidt DNS uit met een extra beveiliging. Met alleen DNS is de vertaling van een domeinnaam namelijk niet beveiligd. Hierdoor kan een kwaadwillende het internetverkeer van een gebruiker omleiden naar een vals IP-adres en vervolgens vertrouwelijke gegevens of zelfs geld ontfutselen. Met DNSSEC wordt bij de vertaling van domeinnaam naar IP-adres een digitale handtekening toegevoegd die een internetgebruiker automatisch kan laten controleren. Hierdoor wordt het omleiden naar een vals IP-adres voorkomen. DNSSEC is daarmee een belangrijk wapen in de strijd tegen phishing en pharming[voetnoot: Bij pharming probeert een cybercrimineel gegevens van gebruikers te verkrijgen door ze naar een nep-versie van een echte website te leiden. Bij phishing probeert een cybercrimineel op een meer directe manier gegevens van een gebruiker te verkrijgen door personen te benaderen met e-mails die lijken op de e-mail van een bank met een verzoek om inloggegevens te geven. ].De domeinregistratie en het bijhouden van het gebruik van DNSSEC in Nederland wordt uitgevoerd door de Stichting Internet Domeinregistratie Nederland (SIDN).
| Jaar | % van aantal .nl-domeinnamen (% van .nl-domeinnamen) |
|---|---|
| feb '13 | 27,1 |
| mrt '13 | 27,5 |
| apr '13 | 27,6 |
| mei '13 | 28,5 |
| jun '13 | 28,6 |
| jul '13 | 28,8 |
| aug '13 | 28,8 |
| sep '13 | 30,2 |
| okt '13 | 30,3 |
| nov '13 | 31,1 |
| dec '13 | 31,1 |
| jan '14 | 31,2 |
| feb '14 | 31,2 |
| mrt '14 | 31,2 |
| apr '14 | 31,1 |
| mei '14 | 31,2 |
| jun '14 | 31,7 |
| jul '14 | 32,2 |
| aug '14 | 33,8 |
| sep '14 | 33,8 |
| okt '14 | 33,8 |
| nov '14 | 34,6 |
| dec '14 | 40,6 |
| jan '15 | 40,8 |
| feb '15 | 41,0 |
| mrt '15 | 43,2 |
| apr '15 | 43,7 |
| mei '15 | 43,6 |
| jun '15 | 43,6 |
| jul '15 | 43,6 |
| aug '15 | 43,8 |
| sep '15 | 43,6 |
| okt '15 | 44,0 |
| nov '15 | 43,9 |
| dec '15 | 44,3 |
| jan '16 | 44,3 |
| feb '16 | 44,0 |
| mrt '16 | 44,5 |
| apr '16 | 44,2 |
| mei '16 | 44,2 |
| jun '16 | 44,2 |
| jul '16 | 44,7 |
| aug '16 | 45,0 |
| sep '16 | 45,0 |
| okt '16 | 45,0 |
| nov '16 | 45,5 |
| dec '16 | 45,5 |
| jan '17 | 45,5 |
| feb '17 | 45,6 |
| mrt '17 | 45,7 |
| apr '17 | 46,0 |
| mei '17 | 46,4 |
| jun '17 | 47,2 |
| jul '17 | 47,7 |
| aug '17 | 48,5 |
| sep '17 | 48,8 |
| okt '17 | 49,0 |
| nov '17 | 49,2 |
| dec '17 | 49,3 |
| jan '18 | 49,3 |
| feb '18 | 49,4 |
| mrt '18 | 49,7 |
| apr '18 | 52,0 |
| mei '18 | 52,2 |
| jun '18 | 52,3 |
| jul '18 | 52,6 |
| aug '18 | 52,7 |
| sep '18 | 53,1 |
| okt '18 | 53,3 |
| nov '18 | 53,4 |
| dec '18 | 53,5 |
| jan '19 | 53,8 |
| feb '19 | 54,0 |
| mrt '19 | 54,2 |
| apr '19 | 54,3 |
| mei '19 | 54,5 |
| jun '19 | 54,4 |
| jul '19 | 54,4 |
| aug '19 | 54,5 |
| sep '19 | 54,6 |
| okt '19 | 54,6 |
| nov '19 | 54,7 |
| dec '19 | 54,8 |
| jan '20 | 54,9 |
| feb '20 | 55,0 |
| mrt '20 | 55,2 |
| apr '20 | 55,4 |
| mei '20 | 55,5 |
| jun '20 | 55,5 |
| jul '20 | 55,5 |
| aug '20 | 55,5 |
| sep '20 | 55,5 |
| okt '20 | 55,4 |
| nov '20 | 55,7 |
| dec '20 | 55,9 |
| jan '21 | 56,2 |
| feb '21 | 56,2 |
| mrt '21 | 56,4 |
| apr '21 | 56,2 |
| mei '21 | 56,1 |
| jun '21 | 56,0 |
| jul '21 | 56,6 |
| aug '21 | 57,0 |
| sep '21 | 57,1 |
| okt '21 | 57,1 |
| nov '21 | 57,0 |
| dec '21 | 57,1 |
| jan '22 | 57,3 |
| feb '22 | 57,3 |
| mrt '22 | 57,3 |
| apr '22 | 57,4 |
| mei '22 | 57,4 |
| jun '22 | 57,5 |
| jul '22 | 57,8 |
| aug '22 | 57,8 |
| sep '22 | 57,8 |
| okt '22 | 57,8 |
| nov '22 | 57,9 |
| dec '22 | 58,3 |
| jan '23 | 58,4 |
| feb '23 | 58,4 |
| mrt '23 | 58,3 |
| apr '23 | 58,3 |
| mei '23 | 58,4 |
| jun '23 | 59,2 |
| Bron: SIDN, 2022 | |
Tenslotte toont figuur 2.2.1 dat tussen eind april 2012 en eind juni 2023 is het percentage met DNSSEC-beveiligde .nl-websites continu toegenomen tot 59 procent. In de eerste jaren van deze periode was deze toename wel sneller dan in de latere jaren.
2.2.2 Gebruik van internetstandaarden bij websites van bedrijven in Nederland
In de publicatie CBS (2023) wordt een representatieve steekproef van websites van bedrijven met de webtool Internet.nl van Platform Internetstandaarden gescand om de mate van standaardisatie van websites van bedrijven in Nederland te bepalen. De mate van standaardisatie van websites wordt met de webtool Internet.nl van Platform Internetstandaarden de mate van standaardisatie uitgedrukt in een eindscore tussen de 0% en 100%, waarbij 100% betekent dat een website aan alle internetstandaarden volgens de norm van Platform internetstandaarden voldoet[voetnoot: Een score van 100 procent wil echter nog niet zeggen dat een online dienst per definitie veilig is; er zijn nog meer aspecten die een rol spelen. De Internet.nl-test is dus een test op het gebruik van de juiste internetstandaarden en geen veiligheidstest.]. Het toepassen van internetstandaarden is belangrijk omdat het de veiligheid, betrouwbaarheid en toegankelijkheid van het internet verhoogt.
Standaardisatie van websites van bedrijven neemt gestaag toe
De gemiddelde Internet.nl-eindscore per bedrijfsgrootte is per jaar voor alle bedrijfsgrootteklassen ongeveer even hoog en neemt per jaar gestaag toe (Figuur 2.2.2). De gemiddelde Internet.nl-eindscore voor alle bedrijven met website met 2 of meer werknemers is gestegen van 60,3% in 2020 naar 65,8% in 2023. Dit toont aan dat bedrijven in Nederland steeds beter de juiste internetstandaarden voor hun website toepassen.
De Internet.nl eindscore per bedrijfstak vertoont ook een stijging over de periode tussen 2020 en 2023 (Figuur 2.2.3). Met name in de ICT-sector is relatief een grote stijging te zien, met een gemiddelde Internet.nl-eindscore van 61,4% in 2020 naar score van 72,2% in 2023. Ook de Horeca en Industrie vertonen een opvallende toename over deze periode.
| 2023 | 2022 | 2021 | 2020 | |
|---|---|---|---|---|
| 2 of meer werkzame personen | 65,1 | 64,3 | 63 | 60,3 |
| 250 of meer werkzame personen | 63,9 | 65,6 | 63,9 | 59,2 |
| 50 tot 250 werkzame personen | 63,3 | 63,4 | 61,6 | 57,9 |
| 10 tot 50 werkzame personen | 64,7 | 63,9 | 62,8 | 59,2 |
| 2 tot 10 werkzame personen | 65,3 | 64,4 | 63,1 | 60,8 |
| ZZP`ers | 66,5 | 66 |
| 2023 | 2022 | 2021 | 2020 | |
|---|---|---|---|---|
| ICT-Sector | 72,2 | 67,4 | 64,5 | 61,4 |
| Gezondheid en welzijnszorg | 63,2 | 64,7 | 65,6 | 62,8 |
| Verhuur/overige zakelijke dnst. | 68,7 | 65,2 | 66,6 | 62,8 |
| Special. zakelijke dienstver. | 66,2 | 68,2 | 67,6 | 60,9 |
| Verhuur/handel onr.goed | 62,3 | 63,5 | 59,6 | 58,8 |
| Financiële dienstverlening | 60,8 | 67 | 61,1 | 57,5 |
| Informatie/Communicatie | 70,4 | 68 | 64,8 | 61,4 |
| Horeca | 71,1 | 62,8 | 60 | 63,3 |
| Vervoer/Opslag | 65 | 62,8 | 65,3 | 57 |
| Handel | 64 | 63,1 | 63,5 | 59,3 |
| Bouwnijverheid | 64,9 | 64,4 | 64,7 | 57,4 |
| Energie/water/afval | 57,2 | 61,5 | 62 | 57 |
| Industrie | 63,9 | 62,9 | 62 | 57,4 |
Alhoewel de eindscore vrij gelijkmatig over de verschillende bedrijfsgrootteklassen verdeeld is, vertonen de onderliggende subtesten waarop de eindscore gebaseerd is wel duidelijke verschillen afhankelijk van de bedrijfsgrootteklasse. Kleine bedrijven hebben bijvoorbeeld vaker een website die bereikbaar via een modern internetadres IPv6 (Figuur 2.2.4). IPv6 is de opvolger van IPv4, dat tegen zijn tijd aanloopt wat betreft het aantal beschikbare adressen dat dit internetprotocol aanbiedt. Ondersteunen van IPv6 is belangrijk om het internet ook in de toekomst toegankelijk te houden. Dat grote bedrijven nog niet zo hoog scoren komt waarschijnlijk omdat de website van grote bedrijven vaak op eigen, misschien al wat oudere servers draait. Ondersteunen van IPv6 vereist dus een behoorlijke investering terwijl het niet direct op korte termijn veel voordeel oplevert: het raakt niet aan de veiligheid van de website, alleen aan de toegankelijkheid in de toekomst. Kleine bedrijven hosten hun website vaak op externe service providers die vaak wel vaak hun servers met de meest moderne protocollen ingericht hebben.
| 2023 | 2022 | 2021 | 2020 | |
|---|---|---|---|---|
| 2 of meer werkzame personen | 38,4 | 35,7 | 33,6 | 28,7 |
| 250 of meer werkzame personen | 20,1 | 23,8 | 21,9 | 14,6 |
| 50 tot 250 werkzame personen | 24,1 | 26,7 | 23,1 | 18,1 |
| 10 tot 50 werkzame personen | 29,3 | 29,5 | 29 | 22,6 |
| 2 tot 10 werkzame personen | 40,9 | 37,8 | 35,5 | 31,5 |
| ZZP`ers | 48,1 | 45,6 |
Aan de andere kant is te zien dat grote bedrijven juist weer goed scoren op het ondersteunen van HSTS, oftewel HTTPS Strict Transport Security (Figuur 2.2.5). Websites met HSTS vereisen dat de webbrowser de website alleen via het beveiligde HTTPS kunnen benaderen en niet via het onveilige HTTP-protocol. Dat grote bedrijven hier weer goed op score komt waarschijnlijk omdat deze instelling met de juiste kennis op netwerk niveau ingesteld kan worden en het direct de veiligheid van de website te goede komt. Bij IPv6 maak je gebruik van de hardware van de webserver, terwijl ondersteuning van HSTS vereist dat op netwerkniveau een IT-specialist de juiste instellingen gekozen heeft.
| 2023 | 2022 | 2021 | 2020 | |
|---|---|---|---|---|
| 2 of meer werkzame personen | 12,3 | 12,4 | 12 | 12,5 |
| 250 of meer werkzame personen | 30 | 37,7 | 36,8 | 35 |
| 50 tot 250 werkzame personen | 22,7 | 26,5 | 24,3 | 22 |
| 10 tot 50 werkzame personen | 15,1 | 16,7 | 15,6 | 13,9 |
| 2 tot 10 werkzame personen | 11,2 | 10,3 | 10,1 | 10,9 |
| ZZP`ers | 4,7 | 7,2 |
Zie voor een volledig overzicht van alle internetstandaarden de publicatie Toepassing van Internetstandaarden voor websites van bedrijven (CBS, 2023).