IV-metingen

SURF voert de IV-metingen ieder kwartaal uit om in kaart te brengen in hoeverre onderwijs- en onderzoeksinstellingen voldoen aan een lijst van aanbevolen internetstandaarden die bijdragen aan de cyberveiligheid. Deze standaarden verkleinen de kans op misbruik zoals domeinimitatie en het manipuleren of uitlezen van internetverkeer. Ook verhogen ze de weerstand tegen veelvoorkomende cyberaanvallen zoals cross-site scripting. De IV-metingen zijn daarmee een graadmeter voor de configuratie van mail-, DNS- en webservers tegen aanvallen van buitenaf.  

Correcte implementatie standaarden 

Met de IV-metingen wil SURF instellingen aanzetten om de internetstandaarden correct te implementeren. Dat wil het bereiken door de metingen periodiek uit te voeren, zodat instellingen snel inzicht krijgen over het effect van genomen maatregelen. Ook deelt SURF de resultaten via de semipublieke SCIRT- en SCIPR-beveiligingscommunities. Alle aangesloten security-experts, informatiebeveiligers en privacy officers kunnen dus zien hoe een instelling scoort.

Optimaliseren IV-metingen 

Vanuit het programma Cyberveiligheid onderschrijven wij het doel en de methodes van de IV- en vergelijkbare metingen volledig. De meting van het vierde kwartaal 2022 gebruiken we als IV-nulmeting voor ons programma. De resultaten hebben we geanalyseerd en vanuit ons programma werken we samen met SURF aan de duiding van deze resultaten. Dat doen we ook met de volgende IV-metingen (zie bijlage onder aan deze pagina) en we ondersteunen scholen bij de maatregelen ze kunnen nemen. We sporen scholen actief aan om het onderste uit de metingen te halen. Bijvoorbeeld door hen alle (sub)domeinen bij SURF te laten opgeven, waar dat nu vaak is beperkt tot het hoofddomein. Ook overleggen we met instellingen welke verbeteringen rondom de IV-metingen zij zouden willen zien. 

Hulp bij implementatie 

Verder ondersteunen we vanuit het programma Cyberveiligheid mbo-instellingen bij de implementatie van de internetstandaarden. Omdat de meeste scholen Microsoft-technologie gebruiken voor e-mail en webhosting, trekken we hier op met deze leverancier. Samen werken we bijvoorbeeld aan concrete handreikingen voor IT-beheerders. Daarmee kunnen zij aan de hand van de uitkomst van een IV-meting de beveiliging van hun IT-omgeving verder aanscherpen. 

IV-metingen openbaar op Basisbeveiliging.nl 

Vanaf half 2024 publiceert Internet Cleanup Foundation op Basisbeveiliging.nl de resultaten van vergelijkbare metingen als de IV-metingen van SURF. Van deze IV-metingen zijn de resultaten van elke school dus voor iedereen toegankelijk. Dit is voor instellingen een extra impuls om standaarden juist te implementeren. 

ICF beoordeelt sites op allerlei punten. Zo kijkt ze of de versleuteling van de website betrouwbaar is, of websitebezoek tussen jou en de website blijft, of er eventueel cookies worden verzameld zonder toestemming en of het security.txt bestand op orde is. Dat laatste is nodig om ervoor te zorgen dat beveiligingsinformatie bij de juiste persoon terecht kan komen. Het verschil tussen de IV-metingen van SURF en ICF is dat de metingen van ICF iets uitgebreider zijn, zowel in scope als in de technische metingen zelf (zie onderstaande tabel). Op deze pagina zie je wat Internet Cleanup Foundation precies gaat meten en hier kun je terecht voor vragen over de aanstaande publicaties.  

Internet Cleanup Foundation hanteert deze roadmap voor de publicatie van metingen van onderwijsinstellingen op Basisbeveiliging.nl: 

– Begin Q1 2024: vooraankondiging met inzicht in stand van zaken.
– Midden/eind Q1 2024: publicatie metingen universiteiten.
– Eind Q1/begin Q2 2024: publicatie metingen primair en middelbaar onderwijs (eerst middelbaar, dan primair).