A kiberbiztonsági alapszintű mérés bejelentése Európában

Jogi nyilatkozat: Az oldal eredetije holland nyelven íródott. Ez az oldal automatikusan le lett fordítva más nyelvekre a DeepL segítségével. Ez árnyalatbeli, hangzásbeli és jelentésbeli eltéréseket eredményezhet. Kétség esetén először mindig a holland nyelvű változatot nézze meg. A fordítások magas költségei miatt ez az oldal tartalmilag elmaradhat a holland változattól. Az oldal holland változatát tekintjük vezetőnek.     

0: Összefoglaló

Az Ön szervezete február 9-én vagy 10-én kapott egy e-mailt a kormányzati online biztonság átláthatóvá tételéről. Ez az e-mail az Internet Cleanup Foundationtől érkezett, és minden európai tagállam összes regionális kormányának és CERT / CISRT szervezetének elküldték.

Május 10-től a SecurityBaseline.eu weboldalon nyilvánossá válik az Ön szervezetének online biztonsága. Február 10. és május 10. között ez a weboldal a kapott e-mailben található közvetlen linken keresztül lesz elérhető. Ezen keresztül megtekinthetők a mérési eredmények, így a közzététel előtt még javítani lehet. Az online biztonságot naponta és hetente mérjük, így a fejlesztések is láthatóvá válnak. A mérést a közzététel után is folytatjuk.

A mért szolgáltatások és a közzétett információk gondosan átgondoltak, és nem jelentenek új kockázatot az Ön online környezetében. Megközelítésünk átláthatóbbá teszi környezetét, ezáltal könnyebben kezelhetővé és ezáltal biztonságosabbá. Ezt saját kezdeményezésünkre, egy nonprofit alapítványtól, szabadidőnkben tesszük. Európai állampolgárokként ösztönöz bennünket, hogy kivegyük a részünket egy biztonságos, szuverén és az adatvédelemmel összhangban álló online Európa megteremtésében, és ebben széles körű tapasztalattal rendelkezünk.

Az Európa mérésére irányuló kezdeményezés megismétli a hollandiai kulcsfontosságú szervezetek online biztonságának mérésére irányuló megközelítésünket. Ezt 2016-ban kezdtük el. Olyannyira sikeres és gyakorlatias volt, hogy weboldalunk és tevékenységeink bekerültek a holland Biztonsági és Igazságügyi Minisztérium, valamint a holland Belügyminisztérium és a Királyságkapcsolatok Minisztériumának szakpolitikai dokumentumaiba.

A kormányok növekvő digitalizációja és az online kormányok szuverenitására nehezedő, a közelmúltban megnövekedett nyomás miatt úgy döntöttünk, hogy elkezdjük az összes európai kormány mérését. Országonként elsőként a kormányokat mérjük, mivel ők képesek arra, hogy saját maguk és mások számára irányelveket és törvényeket állapítsanak meg.

Ezen az oldalon részletes háttérinformációkat talál rólunk és erről a kezdeményezésről. Az Internet Cleanup Foundation mindenkinek biztonságos online Európát kíván.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Tartalomjegyzék

1. Mi fog történni
2. Esettanulmány: Hollandia 2016 óta mért adatok
3. Az átolvasás, a közzététel és a hatály idővonala
4. Az Internet Cleanup Foundation politikája
5. Hozzáférhetőség
6. Hogyan jöttek létre a térképek és a bejelentések
7. Pénzügyi áttekintés

1: Mi fog történni

Május 10-től a szervezet alapvető online biztonságát a https://securitybaseline.eu oldalon teszik közzé. A közzétett információk tartalmazhatnak sebezhetőségeket az Ön online infrastruktúrájában, de nem növelik a meglévő kockázatot. A közzétételig az e-mailben kapott linkek segítségével elérheti a biztonsági réseit.

Február 10. és május 10. között három hónap van. Ezt a három hónapot nevezzük felfutási időszaknak. Ez az időszak összhangban van a több európai tagállam által a „Koordinált sebezhetőségi közzétételi” iránymutatásokban szereplő időkerettel. Elvileg minden, amit mérünk és közzéteszünk, már nyilvános információ. Tehát ezt az időszakot nem arra használjuk, hogy megfeleljünk a koordinált sebezhetőségi közzétételi folyamatnak, hanem arra, hogy kihasználjuk az európai tagállamokban már meglévő utakat és folyamatokat, amelyeket az információbiztonság megerősítése érdekében vezettek be.

Weboldalunkon a kormány különböző rétegeinek térképeit láthatja. Ezeken a térképeken a biztonságot a közlekedési lámpa színe jelzi: piros, narancssárga és zöld. A zöld azt jelenti, hogy minden rendben van, a piros pedig azt, hogy egy vagy több sebezhetőség van jelen. A narancssárga valóban intézkedést igényel, de kevésbé gyorsan, mint a piros. Az oldal alján található hollandiai esettanulmány példája azt mutatja be, hogy Hollandia hogyan áll. Ez a térkép már nyilvános, mivel évek óta nyilvános információ.

Tisztában vagyunk azzal, hogy megközelítésünk kérdéseket vethet fel, vagy nem fogják azonnal kellemesnek vagy értékesnek találni. Azzal is tisztában vagyunk, hogy a kultúrák nagyban különböznek az egyes európai országok között. Célunk egy rugalmasabb online Európa létrehozása. Az átláthatóság megfelelő eszköz e cél eléréséhez. Feltételezzük, hogy a kormányzat jól akarja védeni az európai polgárokat. Ennek magas színvonalú online szolgáltatásokban kell megnyilvánulnia. Pontosan ez az, ami függetlenül mérhető és ellenőrizhető: ezt kínáljuk.

2: Esettanulmány: Hollandia 2016 óta mért adatok

2016-ban kezdtük el mérni a holland önkormányzatok fő honlapjait. Az évek során ez az összes holland kormányzat összes weboldalára kiterjedt. Ugyanezeket a méréseket végezzük az összes holland oktatási intézmény, az egészségügy és a kritikus infrastruktúra esetében is. Ezek az adatok mindenki számára nyilvánosak. 10 000 szervezet mintegy 330 000 címét érinti, amelyeket 25 következtetésben mértek. Ezt az információt bárki megtekintheti.

Hollandiában kezdeményezésünk több százezer információbiztonsági fejlesztést eredményezett. Az internet.nl-hez hasonló vezető mérések és saját adatvédelmi méréseink segítségével évek óta segítünk abban, hogy az ország, amelyben élünk, biztonságos legyen és maradjon.

Ez a siker az oka annak is, hogy Hollandia az egyetlen ország, amely már nyilvánosan látható a SecurityBaseline.eu oldalon: szinte minden szervezet zöld pontot kapott, míg ugyanezen a területen és ugyanazon mérések alapján szinte az összes többi európai kormányzati szervezet még mindig nem elég biztonságos. Hollandia tehát már most sok évvel Európa többi országa előtt jár. Ez nem csak nekünk köszönhető, hanem annak is, hogy a kormány elfogadta és irányítja a szabványokat, és például a titkosításra vonatkozó jogszabályokkal rendelkezik .

A holland kormány nyitott kultúrával rendelkezik. Ezt a kultúrát a„nyílt kormányzatról szóló törvény” jogszabályokban is rögzítették: ez minden állampolgárnak jogot biztosít arra, hogy feltételek teljesítése nélkül hozzáférjen a közérdekű információkhoz. A holland kormány tehát átlátható akar lenni, és ezért megközelíthető. A kormány meri jelezni, hogy hol van szükség fejlesztésekre, ezért a holland kormány mérésére irányuló kezdeményezésünk is kedvező fogadtatásra talált.

Weboldalunk és tevékenységeink megjelennek a holland Biztonsági és Igazságügyi Minisztérium, valamint a Belügyminisztérium és a Királysággal való kapcsolatok minisztériumának szakpolitikai dokumentumaiban.

Hollandiában mindenféle kutatást is végzünk. Például a következő felfedezéseket tettük, a cikkek holland nyelven íródtak:

• A holland kormány több ezer helyszínt hagy ki az áttekintésekből (2025)
• A kormány engedélyt kér a látogatók 100 különböző módon történő nyomon követésére (2024)
• A kormányzati webhelyek 4%-a kéretlen nyomkövető kekszeket tesz közzé a látogatók nyomon követésére (2023)
• A kormányzati oldalak 33%-a nem tartja be a törvényt a megfelelő titkosítás alkalmazására a weboldalakon (2023)
• A holland kormányhoz érkező levelek 7%-a nem európai pártokon keresztül érkezik (2024)

Az alábbi képernyőképek a holland tartományok és települések térképeinek egy ideiglenes változatát mutatják. Ezt a SecurityBaseline.eu oldal ról szedtük ki, és már nyilvánosan megtekinthető, mert szinte minden rendben van.

Az alábbi képernyőkép holland honlapunkról származik: basisbeveiliging.nl. Ez a kormányzat három szintjét mutatja. Ami feltűnő, hogy a térképeken a szín túlnyomórészt piros. Ez azért van, mert Hollandiában nemcsak egy szervezet fő telephelyét mérjük, hanem például a projektek (új körzetek, új autópályák, kampányok stb.) összes telephelyét is. Látható, hogy az önkormányzatok körében a 26 655 mért önkormányzati cím 62%-a jó eredményt ért el.

3: Az átolvasás, a közzététel, a terjedelem idővonala

A közzététel ütemezése a következő:

• 2026. február 10.: E-mail rövid előzetes értesítéssel és a szövegre mutató linkkel.
• február 10. 2026: A mérések és fejlesztések ellenőrzési időszakának kezdete
• Ellenőrzési időszak február 10. – május 10:
  • Teljes mért hatóságok
  • Az internet.nl TLS-mérések szigorítása az NCSC-NL 2025 iránymutatásai szerint 11
  • A digitális szuverenitással kapcsolatos új mérési és megjelenítési lehetőségek hozzáadása
  • Csak fő domainek és aldomainek kormányai, projektekhez nem tartoznak domainek
  • Változtatási igényeket lehet benyújtani, csak a hivatalos domaint fogadják el vagy cserélik le. A további domainekre vonatkozó egyéb kérelmeket ezen időszak végéig megtartjuk.
• 2026. május 10.: Az eredmények közzététele az országokat összehasonlító kutatási cikkel.
• A 2026. május 10. utáni időszak:
  • További hatóságok és webhelyek, esetleg projektdomainek hozzáadása
  • Új domainekre vonatkozó módosítási kérelmek elfogadva

Az alábbi táblázat az összes weboldalunkat és az azokon található információkat mutatja be. Itt látható, hogy a SecurityBaseline szervezeteinek száma nagy, több mint 75.000. A kapcsolódó domainek száma még mindig alacsony, 120 000: ez domainenként átlagosan 10 aldomainre nő.

Honlap	Szervezetek	Internetcímek mérete	Mérések
SecurityBaseline.eu (az új weboldal)	Minden regionális európai hatóság + CSIRT-szervezet (76,575)	Fő tartomány + aldomainek (120,257)	Mind a 25 mérőszám: biztonság, magánélet és szuverenitás
Basisbeveiliging.nl	A teljes holland kormány, létfontosságú, oktatás, egészségügy, politika, kiberbiztonság (11,843)	Az összes domain, amennyire meg tudjuk találni őket (361,688)	Mind a 25 mérőszám: biztonság, adatvédelem és szuverenitás
Basisbeveiliging.be (május 10. után már nem szükséges)	Belgium regionális kormányai (640)	Fő domain + aldomainek (5,789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Minden holland kormány, életfontosságú, oktatás, egészségügy, politika, kiberbiztonság (11,843)	Minden domain, amennyire csak tudjuk (361,688)	94 mérőszám a webhelyek hozzáférhetőségéről

4: Az Internet Cleanup Foundation politikája

A SecurityBaseline megfontolt módon teszi közzé a biztonsági méréseket. Megfontolásainkat magatartási kódexünkben foglaltuk össze . Napi és heti rendszerességgel mérünk.

A SecurityBaseline a következő folyamat szerint működik:

Azt, hogy pontosan mely szervezeti területek mérésére kerül sor, a területpolitika tartalmazza. Az ezeken a területeken végzett összes mérést a mérési politika foglalja össze. Mivel az IT-infrastruktúrában nem lehet minden döntést egyformán kezelni, a szervezetek kijelenthetik a kivételeket. Ezt nevezik „megfelelni vagy megmagyarázni” vagy „megfelelni vagy megmagyarázni”. Sok ilyen nyilatkozatot automatikusan hozzáadnak a mérési irányelvhez az automatikus kivételek. A jó nyilatkozat számos követelménynek megfelel.

Hogy pontosan mit teszünk közzé és mit nem , azt a közzétételi szabályzat tartalmazza . Az elvégzett szkennelések a lehető legegyértelműbben visszautalnak a SecurityBaseline-ra, lehetőség szerint közvetlenül a szkennelési információs oldalra ( csak angol nyelven ). Minden mérésre és publikációra vonatkozik ez a jogi nyilatkozat ( csak angol nyelven).

5: Megközelíthetőség

Az Internet Cleanup Foundation kétféle módon érhető el:

1: E-mail a info@internetcleanup.foundation címre. Az idegen nyelvű e-maileket holland vagy angol nyelvre konvertáljuk. Ennek következtében a hangszín elveszhet. Minden levelet elolvasunk, de néha több hétbe is beletelhet, mire időt találunk a válaszadásra.
2: Discord: Látogass el a discord csatornánkra a https://discord.gg/FzadeDrptx címen, kérd Elgert, Johant vagy Woutert. Ott találsz egy támogatási csatornát is, ahol különböző témákról van szó.

6: Hogyan jöttek létre a térképek és a bejelentések?

A térképek az Open Street Map nyilvános adatain alapulnak (területek és kormányzatok nevei), amelyeket a Wikidata nyilvános adataival (weboldalak címei) kombináltak. A CSIRT réteghez a szervezetek és helyszínek listáját kézzel gyűjtöttük össze. Összesen 90 térképet állítottak össze. Az Európai Gazdasági Térségről szóló szerződést aláíró valamennyi európai országot és Svájcot is felmérték. Svájc azért szerepel, mert azon kevés országok egyike, amelyek az összes internetes domainjüket nyílt adatokon keresztül elérhetővé teszik, ami progresszív.

Szándékosan a CSIRT részévé tettük a kormány fő honlapját. Természetesen a felelősséget hivatalosan nem így ruházzuk fel. Mi ezt inkább társadalmi felelősségnek tekintjük. Reméljük, hogy ezen az úton keresztül a kormány fő honlapja jobban biztosított lesz, ha szükségessé válik.

Az Európában beszélt 24 nyelv miatt e weboldal és a SecurityBaseline.eu főoldalai mindezekre a nyelvekre le lettek fordítva. A fordítást a DeepL végezte, kivéve, ha az adott nyelv nem állt rendelkezésre (pl. máltai és izlandi). A weboldalak fordítása ilyen nagyságrendben igen költségesnek bizonyul. Büszkék vagyunk arra, hogy a honlapon található szövegek többsége a legtöbb európai nyelven elérhető, beleértve az ír és a görög nyelvet is, bár néha előfordulnak hibák a fordításokban.

A kormányok és a CSIRT-szervezetek előzetes tájékoztatása a tagállamok hivatalos nyelvein küldött e-mailek útján történt. Ezt az előzetes értesítést a helyi önkormányzatok és a CSIRT-szervezetek valamennyi e-mail címére elküldték, amennyiben azok megtalálhatóak voltak. Ezek egy része a Wikidatából származott, más részüket automatikusan gyűjtötték össze és szűrték ki saját fejlesztésű szoftverrel. Összesen több tízezer e-mailt küldtek. Az e-maileket a kellemetlenségek elkerülése érdekében egyszer küldtük el. Elvárjuk, hogy az önkormányzatok beszéljenek egymással, és hogy a CSIRT és az önkormányzatok között jó legyen a kommunikációs vonal. Tehát ha elfelejtettünk vagy nem tudunk elérni egy szervezetet, ez a meglévő közösségi hálózat szolgál háttérként.

A 90 új térkép és a sok ezer adminisztráció mellett nagy az esélye annak, hogy néha tévedünk. Elnézést kérünk a kellemetlenségekért. Az átnézés időszakát kihasználjuk a térképek és az oldalakon található információk további finomhangolására.

7: Hogyan működik ez anyagilag?

Mi vagyunk az Internet Cleanup Foundation Hollandiából. Egy három fős kis csapat vagyunk, akik sok tudással és kis költségvetéssel próbáljuk jobbá tenni a világot. Az alapítványunkkal kapcsolatos elérhetőségek és részletek a„Rólunk” oldalon találhatók.

Ezt a projektet saját kezdeményezésünkre, saját forrásainkból és saját időnkben végezzük. Eredményeink vagy jelentéseink felhasználásához nem szükséges semmilyen fizetség vagy összeg. Az információk megtekintéséért vagy mások általi újrafelhasználásáért szintén nem kell fizetni. Minden eredményünk nyílt adatként elérhető.

Tehát ezt a kezdeményezést magunkból kiindulva tesszük. De napi tevékenységünket anyagilag többek között a SIDN Alap, az Információbiztonsági és Adatvédelmi Központ, a Digitális Infrastruktúra Állami Felügyelet, a holland kormány és alapítványunk több mint 30 résztvevő szervezete támogatja. Technikai erőforrásainkat a CoBytes, a Procolix, a SURF, a Sentry, a Hack42 és a GitLab szponzorálja.

Egyéb bevételek, amelyekből származnak:

• Kutatási feladatok,
• Új mérések és platformok kifejlesztése,
• A résztvevők hozzájárulása alapítványunkhoz,
• Kérésre mérések elvégzése az ágazatokban.

Lehetőség van arra, hogy egy kormány szponzoráljon vagy támogasson minket, amennyiben független helyzetünk garantált. Kérjük, ezzel kapcsolatban lépjen kapcsolatba a elger@internetcleanup.foundation címen. Minden más kérdéssel kapcsolatban: kérjük, használja az elérhetőségi szakaszban található címeket.

Lehetőség van alapítványunk résztvevőjévé válni. Szándékosan nem tettük még elérhetővé ezt a lehetőséget a SecurityBaseline.eu oldalon, mert ez úgy tűnhet, mintha kereskedelmi vállalkozás lennénk. Ez a későbbiekben kellő tisztázással elérhetővé válik. A korai részvételhez kérjük, forduljon a elger@internetcleanup.foundation címre.

8: Több rólunk

Az alapítványunkkal kapcsolatos elérhetőségek és részletek a„Rólunk” oldalon találhatók.