Bij 85 procent van de Nederlandse bedrijven in de energiesector ontbreekt de standaard ‘security.txt’. Dit belet beveiligingsonderzoekers gemakkelijk kwetsbaarheden te melden. Vooral als zij veel organisaties moeten waarschuwen, scheelt dat veel tijd.
Dit blijkt uit metingen die vrijwilligers op initiatief van de Internet Cleanup Foundation hebben gedaan. De standaard is sinds mei 2023 verplicht voor de overheid. Bij het ontbreken van ‘security.txt’ verliezen onderzoekers veel tijd en daarmee motivatie om te melden. Hierdoor worden minder kwetsbaarheden gemeld.
De online veiligheid van de energiesector wordt sinds begin deze maand op basisbeveiliging.nl in kaart gebracht. Er worden 178 organisaties gemeten die in Nederland een vestiging hebben. Zeker met het oog op de komende cyberbeveiligingswet NIS2 en de wet weerbaarheid kritieke entiteiten is het belangrijk inzicht te hebben in de veiligheidssituatie in een cruciale sector als die van elektriciteit en gas.
Gevoelig
Netbeheerders hebben de verantwoordelijkheid dat hun netwerk blijft functioneren. Nederland telt acht netbeheerders voor gas en elektra. Er zijn twee landelijke netbeheerders: voor elektra is dat Tennet en voor gas Gasunie. De andere netbeheerders leveren zowel gas als elektra. Van de acht netbeheerders zijn Tennet en Gasunie het meest gevoelig voor online-kwetsbaarheden. Van de grote drie netbeheerders komt Enexis het beste uit de bus. Bij de kleinere netbeheerders worden geen hoge risico’s gemeten.
Internetdomeinen
Verder blijkt dat 41 procent van de internetdomeinen niet is veilig ingericht. De top tien van slechtst beveiligde energiebedrijven is uiteenlopend. Opvallend is dat juist relatief kleine organisaties de top drie vertegenwoordigen. Op nummer 1 staat Repowered, dat zich richt op grootzakelijke aansluitingen. Deze organisatie heeft relatief weinig domeinen maar wel veel hoge risico’s. Deze zitten met name in het publiceren van versienummers en een verkeerde e-mail inrichting.
Versleuteling
Nummer 2 is ANWB-energie. Dat is een bijzondere omdat de ANWB veel meer diensten levert onder andere subdomeinen. Deze worden allemaal gemeten. De beveiligingsproblemen bevinden zich op het gebied van matige versleuteling en versie-informatie. Op nummer 3 staat Etpa, een energiehandelaar die actief is in Nederland en Duitsland. Zijn veiligheidsproblemen zitten in het aanbieden van versie-informatie en websites zonder versleuteling (waarschijnlijk voor intern gebruik waar de onversleutelde domeinen weg kunnen).
Er is een kleinere organisatie die alles op orde heeft: MeppelEnergie. De overige 177 organisaties scoren oranje (29) en rood (148).
Overheid scoort beter
De overheid heeft 5 keer zoveel domeinen en diensten als de energiesector. Toch is de online- veiligheid van de overheid op 18 van de 25 punten beter dan van de energiesector. De verhoudingen zijn daarbij ook scheef: wanneer de energiesector beter scoort is dat slechts met een paar procent. De overheid scoort daarentegen tot 35 procent hoger. Zo is Dnssec bij de overheid op 91 procent van de domeinen goed ingericht, terwijl dat bij de energiesector slechts 56 procent is. Ook met betrekking tot de implementatie van het eerder genoemde security.txt zitten zulke verschillen.
