Scholen kunnen het effect van verschillende technische maatregelen beoordelen aan de hand van de IV-metingen (internet-veiligheid) van SURF. Vanuit het programma Cyberveiligheid werken we nauw samen met mbo-instellingen, SURF en Microsoft om (resultaten van) de IV-metingen te duiden en te optimaliseren.

SURF voert de IV-metingen ieder kwartaal uit om in kaart te brengen in hoeverre onderwijs- en onderzoeksinstellingen voldoen aan een lijst van aanbevolen internetstandaarden die bijdragen aan de cyberveiligheid. Deze standaarden verkleinen de kans op misbruik zoals domeinimitatie en het manipuleren of uitlezen van internetverkeer. Ook verhogen ze de weerstand tegen veelvoorkomende cyberaanvallen zoals cross-site scripting. De IV-metingen zijn daarmee een graadmeter voor de configuratie van mail-, DNS- en webservers tegen aanvallen van buitenaf.  

Correcte implementatie standaarden 

Met de IV-metingen wil SURF instellingen aanzetten om de internetstandaarden correct te implementeren. Dat wil het bereiken door de metingen periodiek uit te voeren, zodat instellingen snel inzicht krijgen over het effect van genomen maatregelen. Ook deelt SURF de resultaten via de semipublieke SCIRT- en SCIPR-beveiligingscommunities. Alle aangesloten security-experts, informatiebeveiligers en privacy officers kunnen dus zien hoe een instelling scoort.

Optimaliseren IV-metingen 

Vanuit het programma Cyberveiligheid onderschrijven wij het doel en de methodes van de IV- en vergelijkbare metingen volledig. De meting van het vierde kwartaal 2022 gebruiken we als IV-nulmeting voor ons programma. De resultaten hebben we geanalyseerd en vanuit ons programma werken we samen met SURF aan de duiding van deze resultaten. Dat doen we ook met de volgende IV-metingen (zie bijlage onder aan deze pagina) en we ondersteunen scholen bij de maatregelen ze kunnen nemen. We sporen scholen actief aan om het onderste uit de metingen te halen. Bijvoorbeeld door hen alle (sub)domeinen bij SURF te laten opgeven, waar dat nu vaak is beperkt tot het hoofddomein. Ook overleggen we met instellingen welke verbeteringen rondom de IV-metingen zij zouden willen zien. 

Hulp bij implementatie 

Verder ondersteunen we vanuit het programma Cyberveiligheid mbo-instellingen bij de implementatie van de internetstandaarden. Omdat de meeste scholen Microsoft-technologie gebruiken voor e-mail en webhosting, trekken we hier op met deze leverancier. Samen werken we bijvoorbeeld aan concrete handreikingen voor IT-beheerders. Daarmee kunnen zij aan de hand van de uitkomst van een IV-meting de beveiliging van hun IT-omgeving verder aanscherpen. 

IV-metingen openbaar op Basisbeveiliging.nl 

Sinds april 2024 publiceert Internet Cleanup Foundation op Basisbeveiliging.nl de resultaten van vergelijkbare metingen als de IV-metingen van SURF. Van deze IV-metingen zijn de resultaten van elke school dus voor iedereen toegankelijk. Dit is voor instellingen een extra impuls om standaarden juist te implementeren. 

ICF beoordeelt sites op allerlei punten. Zo kijkt ze of de versleuteling van de website betrouwbaar is, of websitebezoek tussen jou en de website blijft, of er eventueel cookies worden verzameld zonder toestemming en of het security.txt bestand op orde is. Dat laatste is nodig om ervoor te zorgen dat beveiligingsinformatie bij de juiste persoon terecht kan komen. Het verschil tussen de IV-metingen van SURF en ICF is dat de metingen van ICF iets uitgebreider zijn, zowel in scope als in de technische metingen zelf (zie onderstaande tabel). Op deze pagina zie je wat Internet Cleanup Foundation precies gaat meten en hier kun je terecht voor vragen over de aanstaande publicaties.  

Meting IV-metingen SURF Basisbeveiliging.nl
Domeinen Alleen hoofddomeinen Ook subdomeinen en Subject Alternative Names (SAN)
Web IPv6
Web DNSSEC
Web HTTPS
Web Beveiligingsopties
Web RPKI
Mail IPv6
Mail DNSSEC
Mail DMARC, DKIM, SPF
Mail STARTTLS, DANE
Mail RPKI
Versienummers technologie x
Poortnummers x
Who is informatie x
Fysieke locatie webserver x
Fysieke locatie e-mailserver x
Fysieke locatie bronnen op de website x
Tracking cookies x

 

Contactpersoon

Neem contact op met Mick Deben voor meer informatie.