1. Introductie
1.1 Achtergrond
In 2020 is het CBS in opdracht van het ministerie van Economische Zaken en Klimaat samen met Platform Internetstandaarden een onderzoek begonnen naar het gebruik van internetstandaarden bij websites van bedrijven in Nederland. Doel van dit onderzoek is om in kaart te brengen hoe goed bedrijven per bedrijfsgrootteklasse en bedrijfstak (veilige) Internetstandaarden voor hun website gebruiken.
Het toepassen van internetstandaarden verhoogt de veiligheid, betrouwbaarheid en toegankelijkheid van het internet. In dit onderzoek wordt de webtool Internet.nl van Platform Internetstandaarden gebruikt, om websites van bedrijven te testen op gebruik het van internetstandaarden. Op Internet.nl is het mogelijk om een websiteadres in te voeren; Internet.nl zal dan een scan van de ingevoerde website maken om deze te toetsen op ruim dertig internetstandaarden. Met de uitkomsten van deze testen wordt een eindscore toegekend als percentage tussen 0 en 100 procent; een website met een 100 procent eindscore voldoet aan alle eisen om de website zo veilig en gestandaardiseerd mogelijk te maken.
In dit onderzoek wordt de scanmethodiek van Internet.nl toegepast op een representatieve steekproef van websites van bedrijven. De websites die gescand zijn, worden verkregen uit de CBS-enquête ‘ICT-gebruik bij bedrijven’ (verder kortweg ICT-enquête genoemd) van de jaren 2020, 2021, 2022 en 2023 (Zie Statline enquêtes CBS, 2020, 2021, 2022b, 2023a). In deze enquête wordt gevraagd of het bedrijf een eigen website heeft en, zo ja, wat de website (domeinnaam of URL) is met de meeste bezoekers (de hoofdwebsite). Deze websites worden achteraf via Internet.nl gescand. Doordat de websites via een representatieve steekproef verkregen zijn, kan per bedrijfsgrootteklasse en bedrijfstak bepaald worden hoe goed de juiste internetstandaarden worden toegepast voor de website van bedrijven.
De resultaten van de eerste scanronde op basis van de ICT-enquête 2020 zijn eerder gepubliceerd in de long-read CBS (2022c). In het rapport daarna (CBS, 2023b) werden daar nog drie scans bijgevoegd; twee scans op basis van de websites die verzameld zijn met de ICT-enquête van 2021 en 2022; de derde scan is in april 2023 uitgevoerd met dezelfde websites als 2022. Deze laatste scan bevatte voor het eerst ook een scan naar de e-mail kenmerken van de mail-servers van het bedrijf. In het rapport dat nu verschijnt worden weer twee nieuwe scan toegevoegd op basis van de website verkregen uit de ICT-enquête van 2023: één scan uitgevoerd in december 2023, één scan uitgevoerd in april 2024. In het huidige rapport kunnen we dus de resultaten van zes scans voor de webservers en drie scan voor de mail servers terugvinden. Een overzicht van alle scan data wordt in tabel 2.1.2 gegeven.
1.2 Type scans
In dit onderzoek zijn twee type scans op de website van bedrijven uitgevoerd: een scan naar het gebruik van Internetstandaarden van de website van bedrijven en een scan naar het gebruik van Internetstandaarden van het e-maildomein van het bedrijven. Beide type scans leveren uiteindelijk per domeinnaam een score tussen de 0 en 100 procent op. Deze score wordt door Internet.nl berekend aan de hand van de uitslag van bijna veertig onderliggende testen voor zowel de websitescan als de e-mailscan. De testen van de websitescan zijn weer onder te verdelen in vijf categorieën, namelijk:
IPv6: bereikbaarheid via een modern internetadres.
DNSSEC: gebruik van een ondertekende domeinnaam.
HTTPS: gebruik van een beveiligde verbinding.
Beveiligingsopties: gebruik van ingestelde Applicatie-beveiligingsopties.
RPKI: Autorisatie voor routering
Iedere categorie bestaat weer uit losse subtesten waarmee bepaald wordt of een bedrijf slaagt voor een categorie of niet. In tabel A.2.1 wordt een overzicht van de categorieën van de website scan met alle onderliggende subtesten gegeven.
De testen van de e-mailscans zijn ook op te verdelen in vijf categorieën, namelijk:
IPv6: bereikbaarheid via een modern internetadres.
DNSSEC: gebruik van een ondertekende domeinnaam.
DMARC, DKIM, SPF: Authenticatie als protectie tegene-mail phishing.
STARTTLS en DANE: beveiligde mailserver-verbinding.
RPKI: Autorisatie voor routering
Iedere categorie bestaat weer uit losse subtesten waarmee bepaald wordt of een bedrijf slaagt voor een categorie of niet. In tabel A.3.1 wordt een overzicht van de categorieën van de e-mailscan met alle onderliggende subtesten gegeven.
Zoals gezegd worden de resultaten van zowel de website- als e-mailscans gepresenteerd. De e-mailscans zijn alleen toegevoegd in de laatste twee scanrondes van 2023 en 2024. Alhoewel er in 2021 en 2022 wel e-mailscans uitgevoerd zijn, bleek bij de analyse achteraf dat voor deze scans het subdomain van de website niet correct verwijderd was. Er werd bijvoorbeeld op www.example.com gescand, terwijl voor de e-mailscans het subdomain www verwijderd had moeten worden om alleen example.com te scannen. In de laatste drie scans van april 2023 (waarbij dezelfde steekproef als 2022 genomen is) en december 2023 en april 2024 (waarbij het steekproef van 2023 is genomen) is het subdomein wel correct verwijderd. De uitkomsten van de e-mailscan met of zonder subdomein www verschillen echter van elkaar, waardoor de e-mailscan van 2021 en 2022 niet met de latere scans vergeleken kunnen worden. Om deze reden worden van de websitescans zes opeenvolgende perioden gepresenteerd, terwijl van de e-mailscans alleen de resultaten van de laatste drie rondes worden getoond.
Eerst wordt in hoofdstuk 2 in het kort de methode beschreven die gebruikt is om de Internet.nl scans uit te voeren en te analyseren. De resultaten van de websitescans en e-mailscans worden achtereenvolgens in hoofdstuk 3 en hoofdstuk 4 besproken. Een overzicht van alle onderliggende website en email testen wordt in de bijlagen B en C gegeven. In hoofdstuk 5 worden de conclusies van dit onderzoek gegeven.