7. Veiligheid websites van online platformen
Op websites van online platformen worden regelmatig persoonlijke gegevens ingevuld door gebruikers, zoals e-mailadressen, wachtwoorden, adresgegevens, en bankgegevens. Om te voorkomen dat deze gegevens zomaar bij een kwaadwillende terecht kunnen komen, is het belangrijk dat deze websites goed beveiligd zijn. Een online platform kan de veiligheid van zijn website vergroten door moderne internetstandaarden toe te passen. Om te onderzoeken in welke mate internetstandaarden toegepast worden door Nederlandse bedrijven, publiceert het CBS sinds 2020 jaarlijks het rapport ‘Toepassing van Internetstandaarden voor websites van bedrijven’ (zie hier). In navolging van dit rapport wordt in dit hoofdstuk het gebruik van internetstandaarden specifiek in kaart gebracht voor online platformen.
Uit de resultaten blijkt dat de websites van online platformen over het algemeen even veilig als de websites van andere bedrijven in Nederland. Wel zijn er verschillen tussen platformen onderling in de mate waarin ze voldoen aan de standaarden voor een goede en veilige website. In het vervolg van dit hoofdstuk worden de resultaten in detail besproken.
Voor de analyse in dit hoofdstuk is de webtool Internet.nl van Platform Internetstandaarden gebruikt om de websites te scannen van alle online platformen die het CBS tot nu toe heeft geïdentificeerd. Deze tool brengt op basis van bijna veertig verschillende testen de veiligheid van deze bijna 1 600 websites in kaart. De testen zijn onderverdeeld in vijf categorieën, zoals weergegeven in Tabel 7.1. De betekenis van de categorieën wordt in meer detail uitgelegd in paragraaf 7.2. Op basis van de onderliggende testen geeft Internet.nl voor elke categorie aan of een website slaagt of niet. Ook worden de testen gebruikt om voor elke website een eindscore tussen de 0 en 100 procent te berekenen. Een eindscore van 100 betekent dat een website voldoet aan alle eisen om de website zo veilig mogelijk te maken.
| Naam categorie | Betekenis | Aantal onderliggende testen |
|---|---|---|
| Ipv6 | Is de website bereikbaar via een modern internetadres? | 5 |
| DNSSEC | Heeft de website een ondertekende domeinnaam? | 2 |
| HTTPS | Is de website bereikbaar via een beveiligde verbinding? | 20 |
| Beveiligingsopties | Zijn er op de website bepaalde beveiligingsopties ingesteld? | 5 |
| RPKI | Gebruikt de website autorisatie voor routering? | 4 |
In paragraaf 7.1 van dit hoofdstuk worden allereerst de gemiddelde eindscores besproken. In paragraaf 7.2 wordt daarna ingegaan op de resultaten voor de vijf afzonderlijke categorieën. De resultaten voor de online platformen worden telkens vergeleken met de resultaten voor andere bedrijven in Nederland, zoals gepresenteerd in de CBS-publicatie ‘Toepassing van Internetstandaarden voor websites van bedrijven’. De populatie in deze publicatie bestaat uit alle bedrijven in Nederland met twee of meer werkzame personen in de SBI-bedrijfstakken C t/m N en Q.
7.1 Eindscores van online platformen
Websites van online platformen even veilig als die van andere bedrijven
Websites van online platformen behalen een gemiddelde eindscore van 65 procent. Ter indicatie, een eindscore van 100 betekent dat een website voldoet aan alle eisen om de website zo veilig mogelijk te maken. De gemiddelde eindscore die behaald is door websites van online platformen is gelijk aan de gemiddelde eindscore die behaald is door websites van andere bedrijven in Nederland.
Een kwart van alle websites van online platformen haalt een eindscore van 49 procent of lager. De helft haalt een eindscore van 68 procent of lager. Nog eens een kwart haalt een eindscore hoger dan 79. Het vaakst wordt een eindscore tussen de 70 en 79 procent behaald.
| new_bin | % websites (% websites online platformen) |
|---|---|
| 0-9 procent | 1,5 |
| 10-19 procent | 0,1 |
| 20-29 procent | 2,5 |
| 30-39 procent | 8,9 |
| 40-49 procent | 16,8 |
| 50-59 procent | 10,4 |
| 60-69 procent | 12,8 |
| 70-79 procent | 28 |
| 80-89 procent | 2,7 |
| 90-100 procent | 16,3 |
Eindscore van 90 of hoger het vaakst behaald in de bedrijfstak Financiële instellingen
De gemiddelde eindscores variëren weinig per bedrijfstak (60-70 procent) en bedrijfsgrootte (63-68 procent). Wel zijn grotere verschillen tussen bedrijfstakken zichtbaar als er wordt gekeken naar het percentage platformen dat een score van minimaal 90 procent haalt. Zo wordt een score van 90 procent of hoger het minst vaak behaald in de bedrijfstak Verhuur van en handel in onroerend goed (8 procent), maar het vaakst in de bedrijfstak Financiële instellingen (21 procent). Het percentage online platformen dat een score van 90 procent of hoger haalt verschilt ook per grootteklasse, maar hierin is geen eenduidige trend te zien.
| sbi_1digit2_lab | % websites online platformen (% websites online platformen) |
|---|---|
| G Groot- en detailhandel, reparatie van auto's | 13,8 |
| J Informatie en communicatie | 18,3 |
| K Financiële instellingen | 20,8 |
| L Verhuur van en handel in onroerend goed | 7,7 |
| M Advisering, onderzoek en overige specialistische zakelijke dienstverlening | 18,7 |
| N Verhuur van roerende goederen en overige zakelijke dienstverlening | 9,1 |
| Q Gezondheids- en welzijnszorg | 18,0 |
| R Cultuur, sport en recreatie | 14,3 |
| S Overige dienstverlening | 21,6 |
| Overige SBI-groepen | 14,4 |
| begksbs2_lab | % websites online platformen (% websites online platformen) |
|---|---|
| 1 of minder | 17,8 |
| 2 | 16,8 |
| 3 - 4 | 11,3 |
| 5 - 9 | 13,1 |
| 10 - 19 | 15,3 |
| 20 - 49 | 16,2 |
| 50 - 99 | 11,9 |
| 100 of meer | 13,9 |
7.2 Resultaten per categorie
In het volgende gedeelte worden de resultaten voor de vijf categorieën uit Tabel 7.1 besproken. De resultaten van de individuele subtesten worden verder niet besproken. Zie hier voor meer informatie over de individuele subtesten.
Categorie IPv6
De categorie IPv6 geeft aan in hoeverre een website bereikbaar is via een IP-adres van het type IPv6. Elk apparaat dat verbinding maakt met het internet (zoals computers, printers etc.) heeft een uniek adres, oftewel een Internet Protocol (IP)-adres. Dit IP-adres is een nummer dat het apparaat herkenbaar maakt voor andere apparaten, wat nodig is voor hun onderlinge communicatie. Vroeger werden vooral IP-adressen van het type IP versie 4 (IPv4) gebruikt, maar omdat deze inmiddels bijna opraken, worden er tegenwoordig ook steeds meer IP-adressen van het type IP versie 6 (IPv6) gebruikt. Een groot voordeel van het type IPv6 is dat deze adressen langer zijn, waardoor er veel meer combinaties te maken zijn.
Van alle online platformen is 32 procent bereikbaar via een IP-adres van het type IPv6. Dit is vergelijkbaar met het percentage van de websites van andere bedrijven in Nederland (31 procent). Platformen in de bedrijfstak Cultuur, sport en recreatie slagen het vaakst (45 procent), terwijl platformen in de bedrijfstak Verhuur van en handel in onroerend goed juist het minst vaak slagen (17 procent). Vergeleken met grote bedrijven slagen kleinere bedrijven wat vaker voor de categorie IPv6. Dit is te zien bij zowel online platformen als bij andere bedrijven in Nederland. Een mogelijke verklaring hiervoor is dat kleine bedrijven hun website vaker hosten bij externe providers met moderne netwerkinstellingen.
| sbi | % websites online platformen (% websites online platformen) |
|---|---|
| G Groot- en detailhandel, reparatie van auto's | 25,3 |
| J Informatie en communicatie | 36,3 |
| K Financiële instellingen | 30,2 |
| L Verhuur van en handel in onroerend goed | 16,9 |
| M Advisering, onderzoek en overige specialistische zakelijke dienstverlening | 32,5 |
| N Verhuur van roerende goederen en overige zakelijke dienstverlening | 29,7 |
| Q Gezondheids- en welzijnszorg | 28,0 |
| R Cultuur, sport en recreatie | 44,6 |
| S Overige dienstverlening | 33,0 |
| Overige SBI-groepen | 30,6 |
| gk | % websites online platformen (% websites online platformen) |
|---|---|
| 1 of minder | 33,3 |
| 2 | 34,2 |
| 3 - 4 | 30,4 |
| 5 - 9 | 20,6 |
| 10 - 19 | 35,1 |
| 20 - 49 | 34,2 |
| 50 - 99 | 28,6 |
| 100 of meer | 27,8 |
Categorie DNSSEC
De categorie DNSSEC geeft aan in hoeverre een website beveiligd is met Domain Name System Security Extensions (DNSSEC). DNSSEC is een beveiligingssysteem voor het Domain Name System (DNS), oftewel het internettelefoonboek dat zorgt voor de vertaling van domeinnamen naar IP‐adressen. Met alleen DNS is de vertaling van een domeinnaam namelijk niet beveiligd. Een kwaadwillende zou een gebruiker alsnog kunnen omleiden naar een vals IP‐adres, waar vervolgens vertrouwelijke gegevens of zelfs geld ontfutseld zou kunnen worden door middel van phishing en pharming6). Met DNSSEC wordt bij de vertaling van domeinnaam naar IP‐adres daarom altijd een digitale handtekening toegevoegd die automatisch kan worden gecontroleerd.
Bijna de helft van de online platformen (49 procent) slaagt voor de categorie DNSSEC. Dit is iets lager dan het percentage van andere bedrijven in Nederland (53 procent). Platformen in de bedrijfstak Gezondheids- en welzijnszorg slagen het vaakst voor deze categorie (64 procent). Platformen in de bedrijfstak Verhuur van roerende goederen en overige zakelijke dienstverlening slagen daarentegen het minst vaak (38 procent). Het percentage dat slaagt voor deze categorie verschilt ook per grootteklasse, maar hierin is geen eenduidige trend te zien.
| sbi | % websites online platformen (% websites online platformen) |
|---|---|
| G Groot- en detailhandel, reparatie van auto's | 42,5 |
| J Informatie en communicatie | 48,2 |
| K Financiële instellingen | 49,1 |
| L Verhuur van en handel in onroerend goed | 56,9 |
| M Advisering, onderzoek en overige specialistische zakelijke dienstverlening | 53,7 |
| N Verhuur van roerende goederen en overige zakelijke dienstverlening | 38,3 |
| Q Gezondheids- en welzijnszorg | 64,0 |
| R Cultuur, sport en recreatie | 37,5 |
| S Overige dienstverlening | 60,8 |
| Overige SBI-groepen | 53,2 |
| gk | % websites online platformen (% websites online platformen) |
|---|---|
| 1 of minder | 51,3 |
| 2 | 44,2 |
| 3 - 4 | 54,8 |
| 5 - 9 | 56,1 |
| 10 - 19 | 40,5 |
| 20 - 49 | 38,7 |
| 50 - 99 | 50,0 |
| 100 of meer | 45,6 |
Categorie HTTPS
De categorie HTTPS geeft aan of een website bereikbaar is via een beveiligde verbinding. Met Hypertext Transfer Protocol Secure (HTTPS) worden alle gegevens die op een website worden ingevoerd versleuteld. Vertrouwelijke informatie, zoals wachtwoorden, creditcard- of bankgegevens, of andere (persoons)gegevens, kunnen hierdoor niet zomaar onderschept of afgeluisterd worden.
Een klein deel van de online platformen (7 procent) slaagt voor de categorie HTTPS. Dit percentage is gelijk aan het percentage van andere bedrijven in Nederland. In beide gevallen komt dit lage percentage doordat er een groot aantal subtesten wordt gebruikt om de categorie HTTPS te laten slagen. Platformen in de bedrijfstak Overige dienstverlening slagen het vaakst voor de categorie HTTPS (12 procent), terwijl platformen in overige SBI-groepen juist het minst vaak slagen (5 procent). Grotere bedrijven lijken over het algemeen vaker te slagen dan kleinere bedrijven. Dit laatste is te zien bij zowel online platformen als bij andere bedrijven in Nederland.
| sbi | % websites online platformen (% websites online platformen) |
|---|---|
| G Groot- en detailhandel, reparatie van auto's | 5,7 |
| J Informatie en communicatie | 7,5 |
| K Financiële instellingen | 9,4 |
| L Verhuur van en handel in onroerend goed | 7,7 |
| M Advisering, onderzoek en overige specialistische zakelijke dienstverlening | 7,1 |
| N Verhuur van roerende goederen en overige zakelijke dienstverlening | 6,9 |
| Q Gezondheids- en welzijnszorg | 6,0 |
| R Cultuur, sport en recreatie | 8,9 |
| S Overige dienstverlening | 12,4 |
| Overige SBI-groepen | 4,5 |
| gk | % websites online platformen (% websites online platformen) |
|---|---|
| 1 of minder | 5,7 |
| 2 | 8,4 |
| 3 - 4 | 7,8 |
| 5 - 9 | 11,2 |
| 10 - 19 | 8,1 |
| 20 - 49 | 9,9 |
| 50 - 99 | 2,4 |
| 100 of meer | 13,9 |
Categorie Beveiligingsopties
Met de categorie Beveiligingsopties wordt bepaald of een website de juiste security headers heeft ingesteld om bezoekers te beschermen tegen bepaalde cyberaanvallen. Met een security header kan een website bepalen hoe een browser waarmee de website bezocht wordt, zich moet gedragen. Zo kan de security header ‘Content Security Policy (CSP)’ bepalen welke bronnen (zoals scripts, afbeeldingen etc.) geladen mogen worden. Hiermee kan worden voorkomen dat (kwaadwillende) code van onbekende bronnen wordt uitgevoerd. De security header ‘Scrict-Transport-Security (HSTS)’ zorgt er daarnaast voor dat de browser altijd een beveiligde verbinding (HTTPS) gebruikt om met de website te communiceren.
Opvallend genoeg slaagt geen enkele website voor de categorie Beveilingsopties. De reden hiervoor is dat geen enkel bedrijf slaagt voor één onderliggende subtest, namelijk de subtest ‘Content‐security policy’. Dit geldt voor zowel websites van online platformen als die van andere bedrijven in Nederland. Blijkbaar zijn er dus nog nauwelijks bedrijven die de Content Security Policy (CSP) volgens de laatste eisen voor hun website uitvoeren.
Categorie RPKI
Resource Public Key Infrastructure (RPKI) is een techniek die kan worden gezien als een aanvulling op het eerdergenoemde DNSSEC. Hoewel DNSSEC zorgt voor de juiste vertaling van domeinnamen naar IP-adressen, zorgt RPKI er namelijk ook daadwerkelijk voor dat het verkeer naar die IP-adressen op de juiste plek belandt. Met RPKI kan dus worden voorkomen dat internetverkeer wordt omgeleid naar de systemen van een ongeautoriseerd netwerk.
Het merendeel van de online platformen (81 procent) slaagt voor de categorie RPKI. Dit is vergelijkbaar met het percentage van andere bedrijven in Nederland (80 procent). Net als voor andere bedrijven in Nederland is er relatief weinig variatie te zien per bedrijfstak en grootteklasse.
| sbi | % websites online platformen (% websites online platformen) |
|---|---|
| G Groot- en detailhandel, reparatie van auto's | 82,2 |
| J Informatie en communicatie | 84,2 |
| K Financiële instellingen | 86,8 |
| L Verhuur van en handel in onroerend goed | 86,2 |
| M Advisering, onderzoek en overige specialistische zakelijke dienstverlening | 74,3 |
| N Verhuur van roerende goederen en overige zakelijke dienstverlening | 80,0 |
| Q Gezondheids- en welzijnszorg | 84,0 |
| R Cultuur, sport en recreatie | 85,7 |
| S Overige dienstverlening | 84,5 |
| Overige SBI-groepen | 72,1 |
| gk | % websites online platformen (% websites online platformen) |
|---|---|
| 1 of minder | 79,6 |
| 2 | 78,4 |
| 3 - 4 | 82,6 |
| 5 - 9 | 80,4 |
| 10 - 19 | 87,4 |
| 20 - 49 | 89,2 |
| 50 - 99 | 88,1 |
| 100 of meer | 79,7 |