Anúncio da medição de base da cibersegurança na Europa

Aviso: O original desta página foi escrito em neerlandês. Esta página foi traduzida automaticamente para outras línguas utilizando DeepL. Isto pode resultar em diferenças de nuance, tom e significado. Em caso de dúvida, consulta sempre primeiro a versão neerlandesa. Devido ao elevado custo das traduções, esta página pode ficar aquém da versão neerlandesa em termos de conteúdo. Consideramos a versão neerlandesa desta página como líder.     

0: Resumo

A tua organização recebeu uma mensagem de correio eletrónico a 9 ou 10 de fevereiro sobre como se tornar transparente em relação à segurança em linha do governo. Esta mensagem foi enviada pela Internet Cleanup Foundation a todos os governos regionais e organizações CERT / CISRT de todos os Estados-Membros da Europa.

A partir de 10 de maio, a segurança em linha da tua organização tornar-se-á pública no sítio Web SecurityBaseline.eu. De 10 de fevereiro a 10 de maio, este sítio Web estará disponível através da ligação direta no e-mail recebido. Desta forma, os resultados das medições podem ser visualizados para que possam ser introduzidas eventuais melhorias antes da publicação. Medimos a tua segurança online diariamente ou semanalmente, para que também se possam ver melhorias. Continuamos a medir, mesmo após a publicação.

Os serviços medidos e as informações publicadas são cuidadosamente considerados e não acrescentam novos riscos aos teus ambientes em linha. A nossa abordagem torna os teus ambientes mais transparentes, tornando-os mais fáceis de gerir e, por conseguinte, mais seguros. Fazemo-lo por iniciativa própria, a partir de uma fundação sem fins lucrativos, no nosso tempo livre. Enquanto cidadãos europeus, estamos intrinsecamente motivados para desempenhar o nosso papel na criação de uma Europa em linha segura, soberana e respeitadora da privacidade e temos uma vasta experiência nesse domínio.

A iniciativa para medir a Europa replica a nossa abordagem para medir a segurança em linha das principais organizações nos Países Baixos. Iniciámos esta iniciativa em 2016. O nosso sítio Web e as nossas actividades foram incluídos em documentos políticos do Ministério da Segurança e da Justiça dos Países Baixos e do Ministério do Interior e das Relações do Reino dos Países Baixos.

Com a crescente digitalização dos governos e o recente aumento da pressão sobre a soberania dos governos em linha, decidimos começar a medir todos os governos na Europa. Medimos os governos como o primeiro sector por país, porque são capazes de definir orientações e leis para si próprios e para os outros.

Encontra nesta página informações pormenorizadas sobre nós e sobre esta iniciativa. A Internet Cleanup Foundation deseja a todos uma Europa em linha segura.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Índice

1. O que vai acontecer
2. Estudo de caso: Países Baixos medidos desde 2016
3. Calendário de leitura, publicação e alcance
4. Política da Internet Cleanup Foundation
5. Acessibilidade
6. Como surgiram os mapas e os anúncios
7. Panorama financeiro

1: O que vai acontecer

A partir de 10 de maio, a segurança básica em linha da tua organização será publicada em https://securitybaseline.eu. As informações publicadas podem conter vulnerabilidades na tua infraestrutura em linha, mas não aumentam o risco existente. Até à publicação, podes aceder às tuas vulnerabilidades utilizando as ligações que recebeste nessa mensagem de correio eletrónico.

Há três meses entre 10 de fevereiro e 10 de maio. Chamamos a estes três meses o período de preparação. Este período está em conformidade com o calendário comum no âmbito das diretrizes “Coordinated Vulnerability Disclosure” de vários Estados-Membros europeus. Em princípio, tudo o que medimos e publicamos já é informação pública. Por isso, não estamos a utilizar este período para cumprir o processo de Divulgação Coordenada de Vulnerabilidades, mas sim para utilizar as vias e os processos existentes nos Estados-Membros europeus que foram postos em prática para reforçar a segurança da informação.

No nosso sítio Web, verás mapas dos diferentes níveis do teu governo. Nestes mapas, a segurança é indicada pela cor de um semáforo: vermelho, laranja e verde. Verde significa que tudo está em ordem e vermelho significa que existe uma ou mais vulnerabilidades. O laranja requer ação, mas menos rapidamente do que o vermelho. O exemplo de estudo de caso dos Países Baixos, mais abaixo nesta página, mostra como os Países Baixos estão a agir. Este mapa já é do domínio público, uma vez que é informação pública há muitos anos.

Estamos conscientes de que a nossa abordagem pode levantar questões ou não ser imediatamente entendida como agradável ou valiosa. Também estamos conscientes de que as culturas variam muito entre os diferentes países europeus. O nosso objetivo é criar uma Europa em linha mais resistente. A transparência é um meio adequado para atingir esse objetivo. Partimos do princípio de que o governo quer proteger bem os cidadãos europeus. Isto deve traduzir-se em serviços em linha de elevada qualidade. É precisamente isso que é mensurável e verificável de forma independente: é isso que oferecemos.

2: Estudo de caso: Países Baixos medidos desde 2016

Começámos a medir os principais sítios Web dos municípios neerlandeses em 2016. Com o passar dos anos, alargou-se a todos os sítios Web de todos os governos neerlandeses. Também realizamos as mesmas medições em todas as instituições de ensino, cuidados de saúde e infra-estruturas críticas dos Países Baixos. Estes dados são públicos para todos. Envolve cerca de 330.000 endereços de 10.000 organizações, medidos em 25 conclusões. Esta informação pode ser consultada por qualquer pessoa.

Nos Países Baixos, a nossa iniciativa conduziu a centenas de milhares de melhorias na segurança da informação. Utilizando as principais medidas, como a internet.nl e as nossas próprias medidas de privacidade, há anos que ajudamos o país em que vivemos a tornar-se e a manter-se seguro.

Este sucesso é também a razão pela qual os Países Baixos são o único país já visível publicamente no SecurityBaseline.eu: de facto, quase todas as organizações já têm uma pontuação verde, enquanto que, no mesmo âmbito e medidas, quase todas as outras organizações governamentais europeias ainda têm uma pontuação insuficientemente segura. Assim, os Países Baixos já estão muitos anos à frente do resto da Europa. Isto não se deve apenas a nós, mas também à adoção e orientação de normas por parte do governo e à existência de legislação sobre encriptação, por exemplo.

O governo neerlandês tem uma cultura de abertura. Esta cultura está também consagrada na legislação através da“Lei do Governo Aberto“, que confere a todos os cidadãos o direito de aceder à informação pública sem terem de cumprir quaisquer condições. O Governo neerlandês quer ser transparente e, por isso, é acessível. Ousa indicar onde são necessárias melhorias, razão pela qual a nossa iniciativa de medir o governo holandês também foi bem recebida.

O nosso sítio Web e as nossas actividades constam de documentos políticos do Ministério da Segurança e da Justiça dos Países Baixos e do Ministério do Interior e das Relações do Reino.

Nos Países Baixos, também fazemos todo o tipo de investigação. Por exemplo, fizemos as seguintes descobertas, os artigos estão em neerlandês:

• O Governo neerlandês omite muitos milhares de sítios nas suas análises (2025)
• O governo pede autorização para seguir os visitantes de 100 formas diferentes (2024)
• 4% dos sítios governamentais colocam bolachas de rastreio não solicitadas para seguir os visitantes (2023)
• 33% dos sítios governamentais não cumprem a lei para aplicar a encriptação adequada nos sítios Web (2023)
• 7% do correio dirigido ao governo neerlandês passa por partidos não europeus (2024)

As imagens abaixo mostram uma versão provisória dos mapas das províncias e municípios neerlandeses. Esta versão foi extraída do site SecurityBaseline.eu e já pode ser vista publicamente, porque quase tudo está em ordem.

A imagem abaixo foi retirada do nosso site holandês: basisbeveiliging.nl. Mostra três níveis de governo. O que chama a atenção é o facto de a cor nos mapas ser predominantemente vermelha. Isto porque, nos Países Baixos, medimos não só o local principal de uma organização, mas também todos os locais de projectos (novos distritos, novas auto-estradas, campanhas, etc.), por exemplo. Verifica-se que, entre as autarquias, 62% dos 26.655 endereços de autarquias medidos têm uma boa classificação.

3: Cronologia da leitura, publicação, alcance

O calendário de publicação é o seguinte:

• 10 de fevereiro de 2026: Envia um e-mail com um breve aviso prévio e uma ligação para este texto
• 10 de fevereiro de 2026: início do período de inspeção das medições e melhoramentos
• Período de inspeção de 10 de fevereiro a 10 de maio:
  • Autoridades medidas completas
  • Reforço das medições TLS de internet.nl de acordo com as diretrizes NCSC-NL 2025 11
  • Possível adição de novas medições e visualizações sobre a soberania digital
  • Apenas os domínios principais e os subdomínios governamentais, sem domínios para projectos
  • Os pedidos de alteração podem ser feitos, mas apenas o domínio oficial será aceite ou substituído. Outros pedidos de domínios adicionais serão mantidos até depois deste período
• 10 de maio de 2026: Publicação dos resultados com um artigo de investigação comparando países
• Período posterior a 10 de maio de 2026:
  • Adiciona mais autoridades e sítios, possivelmente também domínios de projectos
  • Aceita pedidos de alteração para novos domínios

A tabela de âmbito abaixo mostra todos os nossos sítios Web e as informações que neles podem ser encontradas. Aqui podes ver que o número de organizações da SecurityBaseline é grande, mais de 75.000. O número de domínios relacionados ainda é baixo, 120.000: este número irá aumentar para uma média de 10 subdomínios por domínio.

Sítio Web	Organizações	Tamanho dos endereços Internet	Medidas
SecurityBaseline.eu (o novo sítio Web)	Todas as autoridades regionais europeias + organizações CSIRT (76 575)	Domínio principal + subdomínios (120.257)	As 25 métricas: segurança, privacidade e soberania
Basisbeveiliging.nl	Todo o governo holandês, vital, educação, saúde, política, cibersegurança (11.843)	Todos os domínios, tanto quanto os conseguimos encontrar (361.688)	Todas as 25 métricas: segurança, privacidade e soberania
Basisbeveiliging.be (já não é necessário após 10 de maio)	Governos regionais da Bélgica (640)	Domínio principal + subdomínios (5.789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Todo o governo holandês, vital, educação, saúde, política, cibersegurança (11.843)	Todos os domínios, tanto quanto os conseguimos encontrar (361.688)	94 métricas sobre a acessibilidade dos sítios Web

4: Política da Internet Cleanup Foundation

A SecurityBaseline publica medidas de segurança de forma ponderada. As nossas considerações estão incluídas no nosso código de conduta. Fazemos medições diárias e semanais.

O SecurityBaseline funciona de acordo com o seguinte processo:

A política de domínio indica exatamente quais os domínios das organizações que são medidos. Todas as medições efectuadas nestes domínios são agrupadas na política de medição. Como é impossível tratar todas as decisões em matéria de infra-estruturas de TI da mesma forma, as organizações podem declarar excepções. A isto chama-se “cumprir ou explicar” ou “cumprir ou explicar”. Muitas destas declarações são adicionadas automaticamente por excepções automatizadas à política de medição. Uma boa declaração cumpre uma série de requisitos.

O que será e o que não será publicado está descrito na política de publicação. Os exames efectuados apontam para a SecurityBaseline da forma mais clara possível, sempre que possível diretamente para a página scaninfo (apenas em inglês). Todas as medições e publicações estão sujeitas a esta declaração de exoneração de responsabilidade (apenas em inglês).

5: Acessibilidade

A Internet Cleanup Foundation pode ser contactada através de duas vias:

1: Envia um e-mail para info@internetcleanup.foundation. Converteremos as mensagens de correio eletrónico em línguas estrangeiras para neerlandês ou inglês. Como resultado, podes perder a nitidez. Todas as mensagens são lidas, mas por vezes pode demorar várias semanas até termos tempo para responder.
2: Discord: Visita o nosso canal discord em https://discord.gg/FzadeDrptx e pergunta por Elger, Johan ou Wouter. Aí encontrarás também um canal de apoio onde são abordados vários tópicos.

6: Como surgiram os mapas e os anúncios

Os mapas baseiam-se em dados públicos do Open Street Map (áreas e nomes de governos), combinados com dados públicos da Wikidata (endereços de sítios Web). Para a camada CSIRT, foi recolhida manualmente uma lista de organizações e localizações. Foi compilado um total de 90 mapas. Todos os países europeus que assinaram o tratado do Espaço Económico Europeu são medidos juntamente com a Suíça. Incluímos a Suíça porque é um dos poucos países que disponibiliza todos os seus domínios da Internet através de dados abertos, o que é progressivo.

Fizemos deliberadamente com que o principal site do governo fizesse parte do CSIRT. É claro que não é assim que a responsabilidade é formalmente investida. Encaramos isto mais como uma responsabilidade social. Esperamos que, através desta via, o principal sítio Web do governo esteja mais seguro em caso de necessidade.

Devido às 24 línguas faladas na Europa, as páginas principais deste sítio Web e do SecurityBaseline.eu foram traduzidas para todas estas línguas. A tradução foi efectuada por DeepL, exceto quando a língua não estava disponível (por exemplo, maltês e islandês). A tradução de sítios Web a esta escala está a revelar-se dispendiosa. Orgulhamo-nos do facto de a maior parte do texto do sítio estar disponível na maioria das línguas europeias, incluindo o irlandês e o grego, embora por vezes haja erros nas traduções.

O pré-anúncio aos governos e às organizações CSIRT foi feito através de mensagens de correio eletrónico nas línguas oficiais do Estado-Membro. Este pré-anúncio foi enviado para todos os endereços de correio eletrónico das administrações locais e das organizações CSIRT, na medida em que eram localizáveis. Alguns destes endereços foram obtidos a partir da Wikidata, outros foram recolhidos e filtrados automaticamente com software escrito pelo próprio. No total, foram enviadas dezenas de milhares de mensagens de correio eletrónico. Os e-mails são enviados uma vez para evitar incómodos. Esperamos que os governos falem uns com os outros e que as linhas de comunicação entre o CSIRT e os governos locais sejam boas. Assim, se nos esquecermos ou não conseguirmos contactar uma organização, esta rede social existente serve de apoio.

Com 90 novos mapas e muitos milhares de administrações, é provável que por vezes nos enganemos. Pedimos desculpa pelo incómodo. Aproveitaremos o período de consulta para aperfeiçoar ainda mais os mapas e as informações nos sítios.

7: Como é que isto funciona em termos financeiros?

Somos a Internet Cleanup Foundation, dos Países Baixos. Somos uma pequena equipa de três pessoas que tenta tornar o mundo um lugar melhor com muito conhecimento e um pequeno orçamento. As informações de contacto e os detalhes da nossa fundação podem ser encontrados na página“Sobre nós“.

Este projeto é realizado por nossa própria iniciativa, com os nossos próprios recursos e no nosso próprio tempo. Não é necessário qualquer pagamento ou quantia para utilizar os nossos resultados ou relatórios. Também não há qualquer pagamento para a visualização da informação ou para a sua reutilização por terceiros. Todos os nossos resultados estão disponíveis como dados abertos.

Por isso, fazemos esta iniciativa a partir de nós próprios. Mas as nossas actividades diárias são apoiadas financeiramente pelo Fundo SIDN, pelo Centro para a Segurança da Informação e Proteção da Privacidade, pela Inspeção Estatal para as Infra-estruturas Digitais, pelo governo neerlandês e por mais de 30 organizações participantes da nossa fundação, entre outros. Os nossos recursos técnicos são patrocinados pela CoBytes, Procolix, SURF, Sentry, Hack42 e GitLab.

Outros rendimentos que obtemos:

• Trabalhos de investigação,
• Desenvolve novas medições e plataformas,
• Contribuições dos participantes para a nossa fundação,
• Realização de medições de sectores a pedido.

É possível patrocinar ou apoiar-nos a partir de um governo, desde que a nossa posição independente seja garantida. Para isso, contacta elger@internetcleanup.foundation. Para todas as outras questões: utiliza os endereços na secção Acessibilidade.

É possível tornares-te um participante da nossa fundação. Deliberadamente, ainda não disponibilizámos esta opção no SecurityBaseline.eu, porque pode ser vista como se fôssemos uma empresa comercial. Esta opção será disponibilizada mais tarde, com a devida clarificação. Para uma participação antecipada, contacta elger@internetcleanup.foundation.

8: Mais sobre nós

As informações de contacto e os detalhes da nossa fundação podem ser encontrados na página“Sobre nós“.