Objava mjerenja osnovne kibernetičke sigurnosti u Europi

Odricanje od odgovornosti: Izvorna verzija ove stranice napisana je na nizozemskom jeziku. Ova je stranica automatski prevedena na druge jezike pomoću DeepL-a. To može dovesti do razlika u nijansama, tonu i značenju. U slučaju sumnje, uvijek se prvo posavjetujte s nizozemskom verzijom. Zbog visokih troškova prijevoda, moguće je da ova stranica sadržajno zaostaje za nizozemskom verzijom. Smatramo da je nizozemska verzija ove stranice mjerodavna.     

0: Sažetak

Vaša je organizacija 9. ili 10. veljače primila e-poštu o transparentnosti online sigurnosti vlade. Ovu e-poštu poslala je Zaklada za čišćenje interneta svim regionalnim vladama i CERT / CISRT organizacijama svih europskih država članica.

Od 10. svibnja online sigurnost vaše organizacije bit će javno dostupna na web stranici SecurityBaseline.eu. Od 10. veljače do 10. svibnja ova je web stranica dostupna putem izravne poveznice u primljenoj e-pošti. Na taj način se mogu vidjeti rezultati mjerenja kako bi se mogle provesti eventualne poboljšanja prije objave. Vašu online sigurnost mjerimo svakodnevno do tjedno kako bi poboljšanja također postala vidljiva. Nastavit ćemo mjeriti i nakon objave.

Izmjerene usluge i objavljene informacije pažljivo su razmotrene i ne dodaju nove rizike vašim online okruženjima. Naš pristup čini vaša okruženja transparentnijima, što ih čini lakšima za upravljanje i stoga ih je bolje osigurati. To činimo na vlastitu inicijativu, iz zaklade neprofitnog karaktera, u slobodno vrijeme. Kao europski građani, intrinzično smo motivirani dati doprinos stvaranju sigurnog, suverenog i privatnosti prilagođenog online Europe i imamo veliko iskustvo s ovim načinom rada.

Inicijativa za mjerenje Europe ponavljanje je našeg pristupa mjerenju online sigurnosti važnih organizacija u Nizozemskoj. S time smo započeli 2016. godine. To je toliko uspješno i praktično da su naša web stranica i aktivnosti uključene u političke dokumente Nizozemskog ministarstva sigurnosti i pravosuđa i Nizozemskog Ministarstva unutarnjih poslova i odnosa s kraljevstvom.

Zbog sve veće digitalizacije vlada i nedavno povećanog pritiska na suverenitet online vlada, odlučili smo početi mjeriti sve vlade u Europi. Vlade mjerimo kao prvi sektor po zemlji jer su one u mogućnosti uspostaviti smjernice i zakone za sebe i za druge.

Opširne pozadinske informacije o nama i ovoj inicijativi nalaze se na ovoj stranici. Zaklada za čišćenje interneta želi svima sigurnu online Europu.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Sadržaj

1. Što će se dogoditi
2. Slučaj: Nizozemska se mjeri od 2016.
3. Vremenska crta uvida, objave i opsega
4. Politika Zaklade za čišćenje interneta
5. Dostupnost
6. Kako su nastale karte i najave
7. Financijski pregled

1: Što će se dogoditi

Od 10. svibnja online osnovna sigurnost vaše organizacije bit će objavljena na https://securitybaseline.eu. Objavljene informacije mogu sadržavati ranjivosti u vašoj online infrastrukturi, ali ne povećavaju postojeći rizik. Do objave možete vidjeti svoje ranjivosti putem poveznica koje ste primili u toj e-pošti.

Između 10. veljače i 10. svibnja ima tri mjeseca. Ta tri mjeseca nazivamo razdobljem pripreme. Ovo se razdoblje podudara s vremenskim okvirom koji je uobičajen unutar smjernica “Koordiniranog otkrivanja ranjivosti” nekoliko europskih država članica. U načelu, sve što mjerimo i objavljujemo već su javne informacije. Stoga ovo razdoblje ne koristimo za ispunjavanje procesa Koordiniranog otkrivanja ranjivosti, već za korištenje postojećih ruta i procesa unutar europskih država članica koji su uspostavljeni za jačanje informacijske sigurnosti.

Na našoj web stranici vidjet ćete karte različitih slojeva vaše vlade. Na tim kartama sigurnost je označena bojom semafora: crvena, narančasta i zelena. Zelena znači da je sve u redu, a crvena znači da postoji jedna ili više ranjivosti. S narančastom je potrebna akcija, ali manje brzo nego s crvenom. U primjeru slučaja Nizozemske, dalje na ovoj stranici, možete vidjeti kako Nizozemska stoji. Ova je karta već javna, jer su to već godinama javne informacije.

Svjesni smo da naš pristup može izazvati pitanja ili se ne doživljava odmah kao ugodan ili vrijedan. Također smo svjesni da se kultura između različitih europskih zemalja uvelike razlikuje. Naš je cilj stvoriti otporniju online Europu. Transparentnost je za to prikladno sredstvo. Pretpostavljamo da vlada želi dobro zaštititi europske građane. To bi se trebalo odraziti u visokoj kvaliteti online usluga. Upravo je to neovisno mjerljivo i provjerljivo: to je ono što nudimo.

2: Slučaj: Nizozemska se mjeri od 2016.

Započeli smo 2016. godine s mjerenjem najvažnijih web stranica nizozemskih općina. To se tijekom godina proširilo na sve web stranice svih nizozemskih vlada. Također provodimo ista mjerenja na svim nizozemskim obrazovnim institucijama, zdravstvenoj skrbi i vitalnoj infrastrukturi. Ovi su podaci javni za sve. Riječ je o otprilike 330.000 adresa od 10.000 organizacija izmjerenih u 25 zaključaka. Ove informacije može vidjeti svatko.

U Nizozemskoj je naša inicijativa dovela do stotina tisuća poboljšanja u području informacijske sigurnosti. Korištenjem vodećih mjerenja, između ostalog internet.nl i naših vlastitih mjerenja privatnosti, već godinama pomažemo zemlji u kojoj živimo da postane i ostane sigurna.

Ovaj je uspjeh također razlog zašto je Nizozemska jedina zemlja koja je već javno vidljiva na SecurityBaseline.eu: gotovo sve organizacije već postižu zelenu boju, dok u istom opsegu i mjerenjima gotovo sve ostale europske vladine organizacije još uvijek postižu nedovoljno sigurnu ocjenu. Nizozemska je stoga već godinama ispred ostatka Europe. To nije samo zbog nas, već i zbog usvajanja i usmjeravanja na standarde od strane vlade i posjedovanja zakonodavstva za, na primjer, enkripciju.

Nizozemska vlada ima otvorenu kulturu. Ova je kultura također zakonski utvrđena “Zakonom o otvorenoj vladi“: svaki građanin stoga ima pravo na javne informacije bez potrebe za ispunjavanjem uvjeta. Nizozemska vlada stoga želi biti transparentna i stoga je i pristupačna. Vlada se usuđuje naznačiti gdje su potrebna poboljšanja, zbog čega je naša inicijativa za mjerenje nizozemske vlade također dobro prihvaćena.

Naša web stranica i aktivnosti nalaze se u političkim dokumentima Nizozemskog ministarstva sigurnosti i pravosuđa i Ministarstva unutarnjih poslova i odnosa s kraljevstvom.

U Nizozemskoj također provodimo razna istraživanja. Na primjer, napravili smo sljedeća otkrića, članci su na nizozemskom:

• Nizozemskoj vladi nedostaje mnogo tisuća web mjesta u svojim pregledima (2025)
• Vlada traži dopuštenje za praćenje posjetitelja na 100 različitih načina (2024)
• 4% vladinih web mjesta postavlja neželjene kolačiće za praćenje posjetitelja (2023)
• 33% vladinih web mjesta ne ispunjava zakon o primjeni ispravne enkripcije na web stranicama (2023)
• 7% pošte nizozemskoj vladi prolazi kroz neeuropske stranke (2024)

Na donjim snimkama zaslona može se vidjeti privremena verzija karata nizozemskih provincija i općina. Ovo je preuzeto s SecurityBaseline.eu i već se može javno pregledati jer je gotovo sve u redu.

Donja snimka zaslona preuzeta je s naše nizozemske stranice: basisbeveiliging.nl. Ovdje se mogu vidjeti tri sloja vlade. Ono što je upečatljivo je da je boja na kartama pretežno crvena. To je zato što u Nizozemskoj ne mjerimo samo najvažniju stranicu organizacije, već i sve stranice za, na primjer, projekte (nove četvrti, nove autoceste, kampanje i slično). Može se vidjeti da u općinama 62% od 26.655 izmjerenih adresa općina dobro prolazi.

3: Vremenska crta uvida, objave, opsega

Vremenska crta objave je sljedeća:

• 10. veljače 2026.: E-pošta s kratkom najavom i poveznicom na ovaj tekst
• 10. veljače 2026.: Početak razdoblja uvida u mjerenja i poboljšanja
• Razdoblje uvida 10. veljače – 10. svibnja:
  • Dovršetak izmjerenih vlada
  • Poboljšanje TLS mjerenja s internet.nl prema smjernicama NCSC-NL 2025 11
  • Moguće dodavanje novog mjerenja i vizualizacije o digitalnom suverenitetu
  • Samo glavne domene i poddomene vlada, bez domena za projekte
  • Zahtjevi za izmjene mogu se podnijeti, prihvaća se ili zamjenjuje samo službena domena. Ostali zahtjevi za dodatne domene čuvaju se do nakon ovog razdoblja
• 10. svibnja 2026.: Objava nalaza s istraživačkim člankom u kojem se uspoređuju zemlje
• Razdoblje nakon 10. svibnja 2026.:
  • Dodavanje više vlada i web mjesta, moguće i domena projekata
  • Zahtjevi za izmjene za nove domene se prihvaćaju

U tablici opsega u nastavku nalaze se sve naše web stranice i informacije koje se na njima mogu pronaći. Ovdje se može vidjeti da je broj organizacija SecurityBaseline veći od 75.000. Broj povezanih domena je još uvijek nizak s 120.000: to će još rasti do prosjeka od 10 poddomena po domeni.

Web stranica	Organizacije	Opseg internetskih adresa	Mjerenja
SecurityBaseline.eu (nova web stranica)	Sve regionalne europske vlade + CSIRT organizacije (76.575)	Glavna domena + poddomene (120.257)	Sve 25 mjerne točke: sigurnost, privatnost i suverenitet
Basisbeveiliging.nl	Cijela nizozemska vlada, vitalna, obrazovanje, zdravstvena skrb, politika, kibernetička sigurnost (11.843)	Sve domene koliko ih možemo pronaći (361.688)	Sve 25 mjerne točke: sigurnost, privatnost i suverenitet
Basisbeveiliging.be (više nije potrebno nakon 10. svibnja)	Regionalne vlade Belgije (640)	Glavna domena + poddomene (5.789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Cijela nizozemska vlada, vitalna, obrazovanje, zdravstvena skrb, politika, kibernetička sigurnost (11.843)	Sve domene koliko ih možemo pronaći (361.688)	94 mjerne točke o pristupačnosti web stranica

4: Politika Zaklade za čišćenje interneta

SecurityBaseline objavljuje sigurnosna mjerenja na promišljen način. Naša razmatranja objedinjena su u našem kodeksu ponašanja. Mjerimo svakodnevno do tjedno.

SecurityBaseline radi prema sljedećem procesu:

Koje se domene organizacija točno mjere navedeno je u politici domena. Sva mjerenja koja se provode na tim domenama objedinjena su u politici mjerenja. Budući da je nemoguće sve odluke u IT infrastrukturi tretirati na isti način, organizacije mogu proglasiti iznimke. To se naziva „primijeni ili objasni” ili „comply or explain”. Velik dio ovih objašnjenja automatski se dodaje automatiziranim iznimkama od politike mjerenja. Dobro objašnjenje ispunjava niz zahtjeva.

Što se točno objavljuje, a što ne, opisano je u pravilima objavljivanja. Skeniranja koja se provode što je jasnije moguće upućuju na SecurityBaseline, gdje je moguće izravno na stranicu s informacijama o skeniranju (samo na engleskom). Sva mjerenja i objave podliježu ovoj izjavi o odricanju odgovornosti (samo na engleskom).

5: Dostupnost

Zaklada za čišćenje interneta može se kontaktirati na dva načina:

1: E-pošta na info@internetcleanup.foundation. Prevest ćemo e-poštu na stranim jezicima na nizozemski ili engleski. Moguće je da će se zbog toga izgubiti nijansa. Sva se pošta čita, ali ponekad može proći nekoliko tjedana prije nego što pronađemo vremena za odgovor.
2: Discord: Posjetite naš discord kanal na https://discord.gg/FzadeDrptx i pitajte za Elgera, Johana ili Woutera. Tamo se također može pronaći kanal za podršku gdje se obrađuju razne teme.

6: Kako su nastale karte i najave

Karte se temelje na javnim podacima Open Street Map (područja i nazivi vlada), u kombinaciji s javnim podacima Wikidata (adrese web stranica). Za CSIRT sloj ručno je prikupljen popis organizacija i lokacija. Ukupno je sastavljeno 90 karata. Sve europske zemlje koje su potpisale ugovor o Europskom gospodarskom prostoru mjere se zajedno sa Švicarskom. Uključujemo Švicarsku jer je to jedna od rijetkih zemalja koja sve svoje internetske domene čini dostupnima putem otvorenih podataka, što je napredno.

Namjerno smo učinili najvažniju web stranicu vlade dijelom CSIRT-a. Naravno, to nije način na koji je odgovornost formalno dodijeljena. Mi to više vidimo kao društvenu odgovornost. Nadamo se da će se na taj način bolje osigurati najvažnija web stranica vlade ako to bude potrebno.

Zbog 24 jezika koji se govore u Europi, najvažnije stranice ove web stranice i SecurityBaseline.eu prevedene su na sve te jezike. Prijevod je izvršio DeepL, osim ako jezik nije bio dostupan (na primjer, malteški i islandski). Prevođenje web stranica u ovom opsegu ispada skupo. Ponosni smo što je većina svih tekstova na web mjestu dostupna na većini europskih jezika, uključujući irski i grčki, iako ponekad postoje pogreške u prijevodima.

Prethodna najava vladama i CSIRT organizacijama poslana je putem e-pošte na službenim jezicima države članice. Ova je prethodna najava poslana na sve adrese e-pošte lokalnih vlada i CSIRT organizacija koliko su bile pronađene. Dio toga dolazi iz Wikidate, dio je automatski prikupljen i filtriran pomoću samostalno napisanog softvera. Ukupno je poslano desetke tisuća e-mailova. E-mailovi se šalju jednokratno kako bi se spriječile neugodnosti. Očekujemo da vlade razgovaraju jedna s drugom i da su linije između CSIRT-a i lokalnih vlada dobre. Ako smo zaboravili ili ne možemo doći do neke organizacije, ova postojeća društvena mreža služi kao sigurnosna mreža.

S 90 novih karata i mnogo tisuća vlada, velika je vjerojatnost da ćemo ponekad pogriješiti. Ispričavamo se zbog neugodnosti. Uzimamo si vremena tijekom razdoblja uvida kako bismo dodatno uredili karte i informacije na web mjestima.

7: Kako je to financijski uređeno?

Mi smo Zaklada za čišćenje interneta iz Nizozemske. Mi smo mali tim od tri osobe koje s puno znanja i malim proračunom pokušavaju poboljšati svijet. Podaci za kontakt i informacije o našoj zakladi mogu se pronaći na stranici „O nama“.

Ovaj se projekt provodi na vlastitu inicijativu, s vlastitim sredstvima i u vlastito vrijeme. Nije potrebna nikakva uplata ili iznos za korištenje naših nalaza ili izvješća. Također nema platnih zidova za pregled informacija ili njihovu ponovnu upotrebu od strane drugih. Svi su naši nalazi dostupni kao otvoreni podaci.

Ovu inicijativu stoga provodimo sami. Ali naše se svakodnevne aktivnosti financijski podržavaju, između ostalog, od strane SIDN Fonda, Centra za informacijsku sigurnost i zaštitu privatnosti, Državne inspekcije za digitalnu infrastrukturu, nizozemske vlade i više od 30 organizacija sudionica naše zaklade. Dobivamo sponzorirane tehničke resurse od CoBytes, Procolix, SURF, Sentry, Hack42 i GitLab.

Ostale prihode ostvarujemo od:

• Istraživačkih zadataka,
• Razvoj novih mjerenja i platformi,
• Doprinosi sudionika našoj zakladi,
• Provođenje mjerenja sektora na zahtjev.

Moguće nas je sponzorirati ili podržati od strane vlade, sve dok je zajamčen naš neovisan položaj. Za to se obratite na elger@internetcleanup.foundation. Za sva ostala pitanja: koristite adrese u poglavlju Dostupnost.

Moguće je postati sudionikom naše zaklade. Ovu opciju namjerno još nismo učinili dostupnom na SecurityBaseline.eu jer bi se to moglo smatrati komercijalnim pothvatom. To će kasnije biti dostupno uz dovoljno objašnjenja. Za rano sudjelovanje obratite se na elger@internetcleanup.foundation.

8: Više o nama

Podaci za kontakt i informacije o našoj zakladi mogu se pronaći na stranici „O nama“.