Friskrivningsklausul: Originalet till denna sida är skrivet på nederländska. Denna sida har översatts automatiskt till andra språk med hjälp av DeepL. Detta kan resultera i skillnader i nyans, ton och betydelse. Om du är osäker ska du alltid först läsa den nederländska versionen. På grund av de höga kostnaderna för översättningar kan denna sida innehållsmässigt ligga efter den nederländska versionen. Vi betraktar den nederländska versionen av denna sida som ledande.
0: Sammanfattning
Din organisation fick ett e-postmeddelande den 9 eller 10 februari om att bli transparent om myndigheters säkerhet på nätet. E-postmeddelandet kom från Internet Cleanup Foundation och skickades till alla regionala myndigheter och CERT/CISRT-organisationer i alla europeiska medlemsländer.
Från och med den 10 maj kommer din organisations säkerhet på nätet att offentliggöras på webbplatsen SecurityBaseline.eu. Från den 10 februari till den 10 maj kommer denna webbplats att vara tillgänglig via direktlänken i det mottagna e-postmeddelandet. På så sätt kan mätresultaten ses så att eventuella förbättringar fortfarande kan göras före publiceringen. Vi mäter din säkerhet online dagligen eller varje vecka så att förbättringar också kan ses. Vi fortsätter att mäta även efter publiceringen.
De uppmätta tjänsterna och den publicerade informationen är noggrant övervägda och tillför inga nya risker för dina onlinemiljöer. Vår metod gör dina miljöer mer transparenta, vilket gör dem mer lätthanterliga och därmed säkrare. Vi gör detta på eget initiativ, från en ideell stiftelse, på vår fritid. Som europeiska medborgare är vi motiverade att bidra till att skapa ett säkert, suveränt och integritetsvänligt Europa på nätet, och vi har lång erfarenhet av att göra det.
Initiativet att mäta Europa är en kopia av vår metod för att mäta online-säkerheten hos viktiga organisationer i Nederländerna. Vi började med detta 2016. Det har varit så framgångsrikt och praktiskt att vår webbplats och våra aktiviteter har inkluderats i policydokument från det nederländska säkerhets- och justitieministeriet och det nederländska inrikesministeriet.
Med den ökande digitaliseringen av myndigheter och det nyligen ökade trycket på suveräniteten hos myndigheter på nätet bestämde vi oss för att börja mäta alla myndigheter i Europa. Vi mäter myndigheter som den första sektorn per land eftersom de kan fastställa riktlinjer och lagar för sig själva och andra.
Omfattande bakgrundsinformation om oss och detta initiativ finns på denna sida. Internet Cleanup Foundation önskar alla ett säkert Europa på nätet.
Elger Jonker, Johan Bloemberg, Wouter Goyen
Innehållsförteckning
- Vad kommer att hända
- Fallstudie: Nederländerna mätt sedan 2016
- Tidslinje för genomläsning, publicering och omfattning
- Policy för Internet Cleanup Foundation
- Tillgänglighet
- Hur kom kartorna och tillkännagivandena till
- Finansiell översikt
1: Vad kommer att hända?
Från och med den 10 maj publiceras din organisations grundläggande onlinesäkerhet på https://securitybaseline.eu. Den publicerade informationen kan innehålla sårbarheter i din onlineinfrastruktur men ökar inte den befintliga risken. Fram till publiceringen kan du komma åt dina sårbarheter med hjälp av de länkar som du fick i e-postmeddelandet.
Det finns tre månader mellan den 10 februari och den 10 maj. Vi kallar dessa tre månader för ”run-up”-perioden. Denna period är i linje med den tidsram som är vanlig inom riktlinjerna för ”Coordinated Vulnerability Disclosure” i flera europeiska medlemsländer. I princip är allt vi mäter och publicerar redan offentlig information. Vi använder därför inte den här perioden för att uppfylla kraven i Coordinated Vulnerability Disclosure-processen, utan för att utnyttja de befintliga vägar och processer inom de europeiska medlemsländerna som har byggts upp för att stärka informationssäkerheten.
På vår webbplats kan du se kartor över olika nivåer i din regering. På dessa kartor indikeras säkerhet med färgen på ett trafikljus: rött, orange och grönt. Grönt betyder att allt är i sin ordning och rött betyder att det finns en eller flera sårbarheter. Orange kräver åtgärder, men inte lika snabbt som rött. Exemplet på en fallstudie av Nederländerna, längre ner på denna sida, visar hur Nederländerna ligger till. Den här kartan är redan offentlig, eftersom den har varit offentlig information i många år.
Vi är medvetna om att vårt tillvägagångssätt kan väcka frågor eller inte omedelbart uppfattas som trevligt eller värdefullt. Vi är också medvetna om att kulturerna varierar kraftigt mellan olika europeiska länder. Vårt mål är att skapa ett mer motståndskraftigt Europa på nätet. Öppenhet är ett lämpligt medel för att nå detta mål. Vi antar att regeringen vill skydda de europeiska medborgarna på ett bra sätt. Detta bör översättas till högkvalitativa onlinetjänster. Det är just detta som är oberoende mätbart och verifierbart: det är vad vi erbjuder.
2: Fallstudie: Nederländerna mätt sedan 2016
Vi började mäta de nederländska kommunernas huvudwebbplatser 2016. Under årens lopp har detta utökats till alla webbplatser för alla nederländska regeringar. Vi utför också samma mätningar på alla nederländska utbildningsinstitutioner, hälso- och sjukvård och kritisk infrastruktur. Dessa data är offentliga för alla. Det handlar om cirka 330.000 adresser till 10.000 organisationer som mäts i 25 slutsatser. Denna information kan ses av vem som helst.
I Nederländerna har vårt initiativ lett till hundratusentals förbättringar av informationssäkerheten. Genom att använda ledande mätningar, till exempel från internet.nl och våra egna integritetsmätningar, har vi hjälpt landet vi bor i att bli och förbli säkert i flera år.
Denna framgång är också anledningen till att Nederländerna är det enda land som redan är offentligt synligt på SecurityBaseline.eu: Faktum är att nästan alla organisationer redan har gröna poäng, medan nästan alla andra europeiska statliga organisationer fortfarande har otillräckligt säkra poäng i samma omfattning och mätningar. Nederländerna ligger alltså redan många år före resten av Europa. Detta beror inte bara på oss, utan också på att regeringen har antagit och styrt standarder och har lagstiftning för kryptering, till exempel.
Den nederländska regeringen har en öppen kultur. Denna kultur är också förankrad i lagstiftningen genom”Open Government Act”: den ger varje medborgare rätt att få tillgång till offentlig information utan att behöva uppfylla några villkor. Den nederländska regeringen vill därför vara transparent och är därför lättillgänglig. Regeringen vågar peka på var det behövs förbättringar, och därför har vårt initiativ att mäta den nederländska regeringen också tagits emot väl.
Vår webbplats och våra aktiviteter förekommer i policydokument från det nederländska ministeriet för säkerhet och rättvisa och ministeriet för inrikes frågor och relationer.
I Nederländerna bedriver vi också all slags forskning. Vi har till exempel gjort följande upptäckter, artiklarna är på nederländska:
- Nederländska regeringen missar många tusen webbplatser i sina översikter (2025)
- Regeringen ber om tillstånd att spåra besökare på 100 olika sätt (2024)
- 4% av myndighetssajterna lägger ut oönskade spårningskakor för att spåra besökare ( 2023)
- 33% av myndigheternas webbplatser följer inte lagen om att använda korrekt kryptering på webbplatser (2023)
- 7% av posten till den nederländska regeringen går via utomeuropeiska partier (2024)
Skärmdumparna nedan visar en tillfällig version av kartorna över nederländska provinser och kommuner. Detta extraherades från SecurityBaseline.eu och är redan offentligt synligt eftersom nästan allt är i ordning.
Skärmdumpen nedan är hämtad från vår nederländska webbplats: basisbeveiliging.nl. Den visar tre lager av myndigheter. Det som är slående är att färgen på kartorna till övervägande del är röd. Det beror på att vi i Nederländerna inte bara mäter en organisations huvudkontor, utan även alla projektkontor (t.ex. nya distrikt, nya motorvägar, kampanjer osv. Man kan se att bland kommunerna får 62% av de 26.655 adresser till kommuner som mäts bra poäng.
3: Tidslinje för genomläsning, publicering, omfattning
Tidslinjen för publicering är som följer:
- 10 februari 2026: E-post med kort förhandsmeddelande och länk till denna text
- 10 februari 2026: Start av period för kontroll av mätningar och förbättringar
- Inspektionsperiod 10 februari – 10 maj:
- Kompletta uppmätta myndigheter
- Skärpning av TLS-mätningar från internet.nl enligt riktlinjerna för NCSC-NL 2025 11
- Eventuellt tillägg av ny mätning och visualisering av digital suveränitet
- Endast huvuddomäner och underdomäner för myndigheter, inga domäner för projekt
- Ändringsbegäran kan göras, men endast den officiella domänen kommer att accepteras eller ersättas. Andra förfrågningar om ytterligare domäner kommer att sparas till efter denna period
- 10 maj 2026: Publicering av resultat med forskningsartikel som jämför länder
- Perioden efter den 10 maj 2026:
- Lägga till fler myndigheter och webbplatser, eventuellt även projektdomäner
- Ändringsbegäran för nya domäner accepteras
I scope-tabellen nedan listas alla våra webbplatser och vilken information som finns på dem. Här kan man se att SecurityBaseline har ett stort antal organisationer, över 75.000. Antalet relaterade domäner är fortfarande lågt, 120.000: detta kommer att växa till ett genomsnitt på 10 underdomäner per domän.
| Webbplats | Organisationer | Storlek på Internetadresser | Mätningar |
|---|---|---|---|
| SecurityBaseline.eu (den nya webbplatsen) | Alla regionala europeiska myndigheter + CSIRT-organisationer (76,575) | Huvuddomän + underdomäner (120 257) | Alla 25 mätvärden: säkerhet, integritet och suveränitet |
| Basisbeveiliging.nl | Hela den nederländska regeringen, vital, utbildning, sjukvård, politik, cybersäkerhet (11 843) | Alla domäner så långt vi kan hitta dem (361 688) | Alla 25 mätvärden: säkerhet, integritet och suveränitet |
| Basisbeveiliging.be (behövs inte längre efter den 10 maj) | Regionala myndigheter i Belgien (640) | Huvuddomän + underdomäner (5 789) | FTP, DMARC, DKIM, SPF, DNSSEC |
| Basistoegankelijk.nl | Alla nederländska myndigheter, vitala frågor, utbildning, sjukvård, politik, cybersäkerhet (11 843) | Alla domäner så långt vi kan hitta dem (361 688) | 94 mätvärden för webbplatsers tillgänglighet |
4: Policy för Internet Cleanup Foundation
SecurityBaseline publicerar säkerhetsmätningar på ett genomtänkt sätt. Våra överväganden är samlade i vår uppförandekod. Vi mäter dagligen till veckovis.
SecurityBaseline fungerar enligt följande process:
Exakt vilka domäner av organisationer som mäts anges i domänpolicyn. Alla mätningar som utförs på dessa domäner samlas i mätpolicyn. Eftersom det är omöjligt att behandla alla beslut inom IT-infrastruktur på samma sätt kan organisationer deklarera undantag. Detta kallas ”följ eller förklara” eller ”följ eller förklara”. Många av dessa deklarationer läggs automatiskt till genom automatiserade undantag i mätpolicyn. En bra deklaration uppfyller ett antal krav.
Exakt vad som kommer att publiceras och vad som inte kommer att publiceras beskrivs i publiceringspolicyn. De skanningar som utförs pekar tillbaka till SecurityBaseline så tydligt som möjligt, om möjligt direkt till sidan scaninfo (endast på engelska). Alla mätningar och publikationer omfattas av denna ansvarsfriskrivning (endast på engelska).
5: Tillgänglighet
Internet Cleanup Foundation kan nås på två sätt:
1: E-post till info@internetcleanup.foundation. Vi konverterar e-postmeddelanden på främmande språk till nederländska eller engelska. Nuance kan gå förlorad som ett resultat. Alla mejl läses, men det kan ibland ta flera veckor innan vi hinner svara.
2: Discord: Besök vår discord-kanal på https://discord.gg/FzadeDrptx och fråga efter Elger, Johan eller Wouter. Där hittar du också en supportkanal där olika ämnen tas upp.
6: Hur kom kartorna och tillkännagivandena till
Kartorna är baserade på offentliga data från Open Street Map (områden och namn på myndigheter), kombinerat med offentliga data från Wikidata (adresser till webbplatser). För CSIRT-skiktet samlades en lista över organisationer och platser in manuellt. Totalt sammanställdes 90 kartor. Alla europeiska länder som har undertecknat fördraget om Europeiska ekonomiska samarbetsområdet mäts tillsammans med Schweiz. Vi inkluderar Schweiz eftersom det är ett av de få länder som gör alla sina internetdomäner tillgängliga via öppna data, vilket är progressivt.
Vi har medvetet gjort regeringens huvudwebbplats till en del av CSIRT. Naturligtvis är det inte så här ansvaret formellt investeras. Vi ser detta mer som ett socialt ansvar. Vi hoppas att regeringens huvudwebbplats på detta sätt kommer att vara bättre säkrad om behovet skulle uppstå.
På grund av de 24 språk som talas i Europa har huvudsidorna på denna webbplats och på SecurityBaseline.eu översatts till alla dessa språk. Översättningen har utförts av DeepL, om inte språket inte var tillgängligt (t.ex. maltesiska och isländska). Att översätta webbplatser i den här omfattningen är kostsamt. Vi är stolta över att merparten av all text på webbplatsen finns på de flesta europeiska språk, inklusive iriska och grekiska, även om det ibland förekommer fel i översättningarna.
Förannonseringen till myndigheter och CSIRT-organisationer gjordes genom e-postmeddelanden på medlemslandets officiella språk. Detta förhandsmeddelande skickades till alla e-postadresser till lokala myndigheter och CSIRT-organisationer i den mån de kunde hittas. En del av detta kom från Wikidata, en del samlades in automatiskt och filtrerades med egenskriven programvara. Sammanlagt skickades tiotusentals e-postmeddelanden. E-postmeddelanden skickas en gång för att undvika olägenheter. Vi förväntar oss att myndigheter pratar med varandra och att kommunikationsvägarna mellan CSIRT och lokala myndigheter är goda. Så om vi har glömt bort eller inte kan nå en organisation fungerar detta befintliga sociala nätverk som en reservlösning.
Med 90 nya kartor och många tusen förvaltningar är risken stor att vi ibland har fel. Vi ber om ursäkt för besväret. Vi kommer att använda tiden för att ytterligare finjustera kartorna och informationen på webbplatserna.
7: Hur går det här ihop ekonomiskt?
Vi är Internet Cleanup Foundation från Nederländerna. Vi är ett litet team på tre personer som försöker göra världen till en bättre plats med mycket kunskap och en liten budget. Kontaktuppgifter och information om vår stiftelse finns på sidan”Om oss”.
Detta projekt genomförs på vårt eget initiativ, med våra egna resurser och på vår egen tid. Det krävs ingen betalning eller något belopp för att använda våra resultat eller rapporter. Det finns inte heller några betalväggar för att visa information eller dess återanvändning av andra. Alla våra resultat finns tillgängliga som öppna data.
Så vi gör detta initiativ inifrån oss själva. Men vår dagliga verksamhet stöds ekonomiskt av SIDN-fonden, Centre for Information Security and Privacy Protection, State Inspectorate for Digital Infrastructure, den nederländska regeringen och mer än 30 deltagande organisationer i vår stiftelse, bland andra. Vi får tekniska resurser sponsrade från CoBytes, Procolix, SURF, Sentry, Hack42 och GitLab.
Andra inkomster som vi får från:
- Forskningsuppdrag,
- Utveckla nya mätmetoder och plattformar,
- Deltagarbidrag från deltagare till vår stiftelse,
- Utför mätningar av sektorer på begäran.
Det är möjligt att sponsra eller stödja oss från en regering, så länge som vår oberoende ställning garanteras. Vänligen kontakta elger@internetcleanup.foundation för detta. För alla andra frågor: vänligen använd adresserna i avsnittet om nåbarhet.
Det är möjligt att bli en deltagare i vår stiftelse. Vi har medvetet ännu inte gjort detta alternativ tillgängligt på SecurityBaseline.eu eftersom det kan uppfattas som om vi är ett kommersiellt företag. Detta kommer att bli tillgängligt senare med tillräcklig förtydligande. För tidigt deltagande, vänligen kontakta elger@internetcleanup.foundation.
8: Mer om oss
Kontaktuppgifter och information om vår stiftelse finns på sidan”Om oss”.