Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Van IP-adres naar cybersecurity-verantwoordelijke

Nieuwe wet formaliseert DTC's notificatiedienst

  • donderdag 28 november 2024

Vorige maand is de Wet bevordering digitale weerbaarheid bedrijven (Wbdwb) in werking getreden. Deze geeft het Digital Trust Center (DTC) de juridische ruimte om informatie over digitale kwetsbaarheden, dreigingen en incidenten te delen met niet-vitale bedrijven. Het DTC, onderdeel van het ministerie van Economische Zaken, doet dit al een paar jaar middels zijn notificatiedienst. De nieuwe wet levert nu de wettelijke grondslag voor dit werk.

"Wij krijgen onze informatie veelal aangeleverd in de vorm van lijsten met IP-adressen. Deze proberen we te herleiden naar een bedrijf en waar mogelijk de juiste contactpersoon, zodat we die een notificatie kunnen sturen. Zo laten we een bedrijf bijvoorbeeld weten dat ze een systeem met een bekende kwetsbaarheid aan het internet hebben hangen. Het belangrijkste onderdeel van deze wet voor ons is de wettelijke grondslag, zodat wij persoonsgegevens zoals IP-adressen en mailadressen kunnen verwerken."

Niet-vitale bedrijven

Waar de bescherming van de kritieke infrastructuur geregeld is in de Wet beveiliging netwerk- en informatiesystemen (Wbni, de Nederlandse implementatie van de Europese NIS-richtlijn), regelt de Wbdwb nu de "versterking van de digitale weerbaarheid" van de niet-vitale bedrijven. In eerste instantie gaat het om ruim 2 miljoen ondernemingen, maar daarbij zit natuurlijk ook een groot aantal kleine bedrijfjes en zzp’ers die geen eigen internet-presence hebben.

Hoewel aanvallen op niet-vitale bedrijven het land niet zullen platleggen, kunnen deze weldegelijk tot maatschappelijk ongemak en economische schade leiden – denk maar aan alle ransomware-aanvallen [1, 2]. Uit onderzoek van het CBS blijkt dat jaarlijks duizenden bedrijven het slachtoffer zijn van een digitale aanval. Vandaar dat het DTC, dat vanaf 2026 onderdeel wordt van het Nationaal Cyber Security Centrum (NCSC), zich specifiek richt op deze doelgroep.

Cyber-alerts en -notificaties

Het is geen geheim dat het voor mkb-bedrijven moeilijk is om te investeren in beveiligingsmaatregelen, expertise op te bouwen of in te huren, en systemen up-to-date te houden. In het algemeen nemen zij een dienst af op basis van functionaliteit en zijn zij voor de beveiliging daarvan vaak afhankelijk van een dienstverlener. Het DTC voorziet het Nederlandse bedrijfsleven vanuit de overheid van voorlichting, adviezen en gerichte waarschuwingen.

De waarschuwingen van het DTC betreffen algemene ernstige kwetsbaarheden in veelgebruikte bedrijfssoftware of ICT-systemen – de zogenaamde Cyber Alerts – maar ook specifieke kwetsbaarheden bijvoorbeeld veroorzaakt door bekende gaten, verouderde software en configuratiefouten. Voor die laatste categorieën worden waar mogelijk via de notificatiedienst gerichte waarschuwingen verstuurd.

Lijsten met IP-adressen

"De dreigingsinformatie die hier binnenkomt heeft meestal de vorm van lijsten met IP-adressen," vertelt Erwin Hasenpflug, bij het DTC verantwoordelijk voor de notificatiedienst. "Wij scannen het internet zelf niet en zijn daarom afhankelijk van organisaties die dat wel doen of beveiligingsonderzoekers die informatie delen over gevonden kwetsbaarheden waarop wij kunnen notificeren. Gaat het bijvoorbeeld om een probleem met een Exchange-server, dan is dat meestal wel te herleiden tot het bedrijf dat deze server gebruikt. Maar voor een systeem waarbij we het moeten doen met alleen een IP-adres zonder (bruikbare) rDNS-naam of TLS-certificaat kan dat lastig zijn."

Dat betekent dat het DTC veel werk heeft aan het zoeken van een goede ingang voor hun notificaties. "Wat voor ons ideaal zou zijn is een database om van IP-adres naar mailadres te komen. Uiteraard zijn er bestaande databases zoals WHOIS, maar die brengen je helaas niet altijd bij het juiste bedrijf en de juiste contactpersoon. Dus moeten we zelf proberen om de juiste ingang te vinden om onze notificatie naar toe te sturen."

Omdat dreigingsinformatie snel veroudert en IP-adressen beweeglijk kunnen zijn, kunnen de lijsten met IP-adressen ook niet lang blijven liggen. "Wij verwerken die lijsten dagelijks om bedrijven zo snel mogelijk te notificeren van dreigingsinformatie die bij ons bekend is. Daarbij neemt het herleiden naar de juiste contactpersoon de meeste tijd in beslag."

Automatiseren

Vanwege de grote volumes automatiseert het DTC die notificaties zoveel mogelijk. Waar mogelijk wordt een mail-bericht gestuurd, maar lukt dat niet of gaat het om een ernstig probleem dan wordt ook regelmatig gebeld. "Met zoveel bedrijven is het onmogelijk om met ieder bedrijf 1-op-1 contact te hebben," zegt Hasenpflug, "maar de partijen die we spreken en waarvan we feedback krijgen zijn over het algemeen positief over onze dienstverlening. Ik kan je zeggen dat dat hier op kantoor ook regelmatig mooie momenten oplevert; ons belangrijkste doel is tenslotte om bedrijven te helpen met hun digitale weerbaarheid."

Daarbij tekent Hasenpflug wel gelijk aan dat het onmogelijk is om het iedereen naar de zin te maken. "Een waarschuwing voor een ernstige kwetsbaarheid in verouderde software is meestal vrij duidelijk. Maar over een systeem dat via het RDP- of SMB-protocol direct te benaderen is vanaf het internet kun je van mening verschillen of dit inderdaad onveilig is. Het komt voor dat wij iemand waarschuwen vanwege een publieke RDP-ingang, en dat we dan terughoren dat het inderdaad de bedoeling is dat die online beschikbaar is. Vandaar dat onze notificaties naast de waarschuwing en handelingsperspectief (e.g. 'update je software' of 'waarschuw je provider') ook uitleg over het probleem bevatten."

"Help jezelf"

Mkb-ers kunnen volgens Hasenpflug ook zelf veel doen om digitale risico's sterk te verminderen. "Op onze site vind je bijvoorbeeld 'de 5 basisprincipes van veilig digitaal ondernemen'. De makkelijkste maatregelen om te implementeren zijn het gebruik van een wachtwoord-manager en 2FA."

Om kleine ondernemers op weg te helpen met hun beveiliging heeft DTC een subsidieregeling ingesteld, waarbij men maximaal de helft van zijn investering vergoed kan krijgen tot een bedrag van 1.250 euro. Deze 'Mijn Cyberweerbare Zaak'-regeling is vorig jaar als pilot van start gegaan met een budget van 300 duizend euro. Dit jaar is 1 miljoen euro beschikbaar.

"Help ons helpen"

"Het belangrijkste voor onze notificatiedienst is dat we de juiste ingangen kunnen vinden om onze waarschuwingen af te leveren," vervolgt Hasenpflug. "Het beste doe je dat door op je website een security.txt-bestand te publiceren, met daarin de contactinformatie voor security-gerelateerde meldingen."

Het formaat en de locatie van dit bestand (vergelijk robots.txt) zijn twee jaar geleden gestandaardiseerd in RFC 9116. Het DTC heeft als belanghebbende ook actief meegediscussieerd tijdens de ontwikkeling daarvan.

Ondersteuning

Op dit moment lopen er verschillende initiatieven om het gebruik van security.txt te bevorderen. Uit de metingen van SIDN Labs blijkt dat op dit moment bijna 3 procent van de websites onder .nl van een security.txt-bestand is voorzien. Deze zomer heeft de Vereniging van Registrars (VvR) een WordPress-plugin gepubliceerd waarmee het heel eenvoudig wordt om een security.txt-bestand aan je website toe te voegen. Inmiddels is native ondersteuning van security.txt ook in de Directadmin en Plesk panels beschikbaar. Aan de ondersteuning in ISPConfig en cPanel wordt nog gewerkt.

Grafiek van stats.sidnlabs.nl die de adoptie van de internetstandaard security.txt in de .nl-zone laat zien per 15-10-2024: 2.66%
Adoptie security.txt-standaard in .nl-zone (Bron: stats.sidnlabs.nl)
https://images.ctfassets.net/yj8364fopk6s/3yIngK9GTXOy8gBE0T8E4t/5df1c0508e6f36691d4fefaa4d551164/stats.sidnlabs.nl-security.txt-20241101.png

"Deze ontwikkelingen zijn heel belangrijk voor ons," zegt Hasenpflug. "Voor onze ongevraagde notificaties moeten we het vooral hebben van het herleiden naar een ingang waar die meldingen opgepakt worden. We kunnen daarvoor geen grote callcenters opzetten, dus moeten we onze dienst zoveel mogelijk automatiseren. Bedrijven kunnen ons helpen om hen te helpen door een security.txt-bestand beschikbaar te maken. Nu de publicatie met behulp van die plugin makkelijker is geworden bij een veelgebruikt CMS als WordPress, hopen we dat de adoptie van security.txt flink toeneemt."

Financiële incentive

Bij SIDN werken we op dit moment aan een financiële incentive voor de toepassing van security.txt. Ons streven is om deze vanaf 2025 op te nemen in de Registrar Scorecard (RSC). Dat betekent dat registrars straks een kickback krijgen op .nl-domeinnamen waarvan de website een valide security.txt-bestand bevat.