Ilmoitus kyberturvallisuuden perusmittauksesta Euroopassa

Vastuuvapauslauseke: Tämän sivun alkuperäinen versio on kirjoitettu hollanniksi. Tämä sivu on käännetty automaattisesti muille kielille käyttämällä DeepL. Tämä saattaa aiheuttaa eroja vivahteissa, sävyssä ja merkityksessä. Jos olet epävarma, tutustu aina ensin hollanninkieliseen versioon. Käännösten korkeiden kustannusten vuoksi tämä sivu saattaa jäädä sisällöltään jälkeen hollanninkielisestä versiosta. Pidämme tämän sivun hollanninkielistä versiota johtavana.     

0: Yhteenveto

Organisaationne sai 9. tai 10. helmikuuta sähköpostiviestin, jossa käsiteltiin avoimuuden lisäämistä hallituksen verkkoturvallisuuden alalla. Sähköpostiviesti tuli Internet Cleanup Foundationilta, ja se lähetettiin kaikille Euroopan jäsenvaltioiden aluehallituksille ja CERT- / CISRT-organisaatioille.

Toukokuun 10. päivästä alkaen organisaatiosi verkkoturvallisuus on julkista SecurityBaseline.eu-sivustolla. Verkkosivusto on käytettävissä 10. helmikuuta ja 10. toukokuuta välisenä aikana saadussa sähköpostissa olevan suoran linkin kautta. Tätä kautta mittaustuloksia voi tarkastella, jotta mahdollisia parannuksia voidaan tehdä vielä ennen julkaisemista. Mittaamme verkkoturvallisuuttasi päivittäin tai viikoittain, jotta parannukset voidaan myös nähdä. Jatkamme mittaamista myös julkaisun jälkeen.

Mitatut palvelut ja julkaistut tiedot on harkittu huolellisesti, eivätkä ne lisää uusia riskejä verkkoympäristöihisi. Lähestymistapamme tekee ympäristöistäsi läpinäkyvämpiä, helpommin hallittavia ja siten turvallisempia. Teemme tätä omasta aloitteestamme, voittoa tavoittelemattomasta säätiöstä, vapaa-ajallamme. Euroopan kansalaisina meitä motivoi luontainen motivaatio osallistua turvallisen, suvereenin ja yksityisyyden suojaa kunnioittavan verkko-Euroopan luomiseen, ja meillä on siitä laaja kokemus.

Euroopan mittaamista koskeva aloite vastaa lähestymistapaamme Alankomaiden keskeisten organisaatioiden verkkoturvallisuuden mittaamiseen. Aloitimme tämän vuonna 2016. Se on ollut niin menestyksekäs ja käytännöllinen, että verkkosivustomme ja toimintamme on sisällytetty Alankomaiden turvallisuus- ja oikeusministeriön sekä Alankomaiden sisäasiain- ja kuningaskuntasuhteiden ministeriön poliittisiin asiakirjoihin.

Hallitusten digitalisoitumisen lisääntyessä ja verkkohallitusten itsemääräämisoikeuteen kohdistuvan paineen lisääntyessä viime aikoina päätimme aloittaa kaikkien Euroopan hallitusten mittaamisen. Mittaamme hallituksia ensimmäisenä sektorina maittain, koska ne voivat asettaa ohjeita ja lakeja itselleen ja muille.

Laajat taustatiedot meistä ja tästä aloitteesta löytyvät tältä sivulta. Internet Cleanup Foundation toivottaa kaikille turvallista Eurooppaa verkossa.

Elger Jonker, Johan Bloemberg, Wouter Goyen.

Sisällysluettelo

1. Mitä tapahtuu
2. Tapaustutkimus: Alankomaat mitattuna vuodesta 2016
3. Aikataulu, julkaiseminen ja soveltamisala
4. Internet Cleanup Foundationin politiikka
5. Saavutettavuus
6. Miten kartat ja ilmoitukset syntyivät
7. Taloudellinen katsaus

1: Mitä tapahtuu

Toukokuun 10. päivästä alkaen organisaatiosi perusturva verkossa julkaistaan osoitteessa https://securitybaseline.eu. Julkaistut tiedot saattavat sisältää haavoittuvuuksia verkkoinfrastruktuurissanne, mutta ne eivät lisää nykyistä riskiä. Julkaisuun asti voitte tutustua haavoittuvuuksiin kyseisessä sähköpostiviestissä saamienne linkkien avulla.

Helmikuun 10. päivän ja toukokuun 10. päivän välillä on kolme kuukautta. Kutsumme näitä kolmea kuukautta nousujaksoksi. Tämä ajanjakso on yhdenmukainen useiden Euroopan jäsenvaltioiden koordinoidun haavoittuvuuksien julkistamista koskevien suuntaviivojen kanssa. Periaatteessa kaikki mittaamamme ja julkaisemamme tiedot ovat jo julkista tietoa. Emme siis käytä tätä ajanjaksoa koordinoidun haavoittuvuuksien julkistamisprosessin noudattamiseen, vaan hyödynnämme Euroopan unionin jäsenvaltioiden nykyisiä reittejä ja prosesseja, jotka on otettu käyttöön tietoturvan vahvistamiseksi.

Verkkosivustollamme näet karttoja hallituksenne eri tasoista. Näissä kartoissa turvallisuus on merkitty liikennevalon värillä: punainen, oranssi ja vihreä. Vihreä tarkoittaa, että kaikki on kunnossa, ja punainen tarkoittaa, että yksi tai useampi haavoittuvuus on olemassa. Oranssi vaatii toimia, mutta vähemmän nopeasti kuin punainen. Alankomaiden esimerkkitapaustutkimus, joka on alempana tällä sivulla, osoittaa, miten Alankomaat on edistynyt. Tämä kartta on jo julkinen, sillä se on ollut julkista tietoa jo vuosia.

Olemme tietoisia siitä, että lähestymistapamme saattaa herättää kysymyksiä tai sitä ei heti pidetä miellyttävänä tai arvokkaana. Olemme myös tietoisia siitä, että kulttuurit vaihtelevat suuresti Euroopan eri maiden välillä. Tavoitteenamme on tehdä verkkoeuroopasta joustavampi. Avoimuus on tarkoituksenmukainen keino tämän tavoitteen saavuttamiseksi. Oletamme, että hallitus haluaa suojella Euroopan kansalaisia hyvin. Tämän pitäisi näkyä laadukkaina verkkopalveluina. Juuri tämä on riippumattomasti mitattavissa ja todennettavissa: sitä me tarjoamme.

2: Tapaustutkimus: Alankomaat mitattuna vuodesta 2016 alkaen

Aloitimme Alankomaiden kuntien tärkeimpien verkkosivustojen mittaamisen vuonna 2016. Vuosien mittaan tämä on laajentunut kaikkien Alankomaiden hallitusten verkkosivuihin. Teemme samat mittaukset myös kaikille Alankomaiden oppilaitoksille, terveydenhuollolle ja kriittiselle infrastruktuurille. Nämä tiedot ovat julkisia kaikille. Siihen kuuluu noin 330 000 osoitetta 10 000 organisaatiosta, jotka on mitattu 25 päätelmässä. Kuka tahansa voi tarkastella näitä tietoja.

Alankomaissa aloitteemme on johtanut satoihin tuhansiin tietoturvan parannuksiin. Käyttämällä internet.nl:n kaltaisia johtavia mittauksia ja omia yksityisyyden suojaa koskevia mittauksiamme olemme auttaneet maata, jossa elämme, tulemaan turvalliseksi ja pysymään turvallisena jo vuosien ajan.

Tämä menestys on myös syy siihen, että Alankomaat on ainoa maa, joka on jo julkisesti näkyvissä SecurityBaseline.eu-sivustolla: lähes kaikki organisaatiot ovat jo saaneet vihreän pistemäärän, kun taas lähes kaikki muut eurooppalaiset julkishallinnon organisaatiot ovat samassa laajuudessa ja samoilla mittareilla saaneet edelleen riittämättömän turvallisia pisteitä. Alankomaat on siis jo monta vuotta muuta Eurooppaa edellä. Tämä ei johdu ainoastaan meistä, vaan myös siitä, että hallitus on hyväksynyt ja ohjaa standardeja ja että sillä on esimerkiksi salausta koskevaa lainsäädäntöä.

Alankomaiden hallituksella on avoin kulttuuri. Tämä kulttuuri on kirjattu myös lainsäädäntöönavoimesta hallinnosta annetun lain (Open Government Act) kautta: sen mukaan jokaisella kansalaisella on oikeus saada julkista tietoa ilman, että hänen on täytettävä mitään ehtoja. Alankomaiden hallitus haluaa siis olla avoin, ja siksi se on helposti lähestyttävä. Hallitus uskaltaa osoittaa, missä asioissa tarvitaan parannuksia, minkä vuoksi myös aloitteemme Alankomaiden hallituksen mittaamiseksi on saanut hyvän vastaanoton.

Verkkosivustomme ja toimintamme on mainittu Alankomaiden turvallisuus- ja oikeusministeriön sekä sisäasiainministeriön ja kuningaskunnan suhteista vastaavan ministeriön asiakirjoissa.

Alankomaissa teemme myös kaikenlaista tutkimusta. Olemme esimerkiksi tehneet seuraavat löydöt, artikkelit ovat hollanniksi:

• Alankomaiden hallitus ei huomioi useita tuhansia kohteita katsauksissaan (2025).
• Hallitus pyytää lupaa seurata kävijöitä 100 eri tavalla (2024)
• 4 % valtionhallinnon sivustoista lähettää pyytämättömiä seurantakeksejä kävijöiden seuraamiseksi (2023).
• 33 % julkishallinnon sivustoista ei noudata lakia asianmukaisen salauksen käyttämisestä verkkosivustoilla (2023).
• 7 prosenttia Alankomaiden hallitukselle osoitetusta postista kulkee Euroopan ulkopuolisten puolueiden kautta (2024).

Alla olevissa kuvakaappauksissa on väliaikainen versio Alankomaiden maakuntien ja kuntien kartoista. Se on poimittu SecurityBaseline.eu-sivustolta ja on jo julkisesti nähtävissä, koska lähes kaikki on kunnossa.

Alla oleva kuvakaappaus on otettu hollantilaiselta sivustoltamme: basisbeveiliging.nl. Siinä näkyy kolme hallinnon tasoa. Huomionarvoista on, että karttojen väri on pääasiassa punainen. Tämä johtuu siitä, että Alankomaissa mitataan organisaation päätoimipaikan lisäksi myös kaikki hankkeiden toimipaikat (esimerkiksi uudet kaupunginosat, uudet moottoritiet, kampanjat ja niin edelleen). Kunnista voidaan havaita, että 62 prosenttia 26 655 mitatusta kuntaosoitteesta sai hyvät pisteet.

3: Aikataulu, julkaiseminen, soveltamisala

Julkaisun aikataulu on seuraava:

• 10. helmikuuta 2026: Sähköposti, jossa on lyhyt ennakkoilmoitus ja linkki tähän tekstiin.
• 10. helmikuuta 2026: Mittausten ja parannusten tarkastusjakson alkaminen.
• Tarkastusjakso 10. helmikuuta – 10. toukokuuta:
  • Täydelliset mitatut viranomaiset
  • Internet.nl:n TLS-mittausten tiukentaminen NCSC-NL 2025 -ohjeiden mukaisesti 11
  • Mahdollinen lisäys uuteen digitaalista suvereniteettia koskevaan mittaukseen ja visualisointiin.
  • Vain pääverkkotunnukset ja aliverkkotunnukset hallitukset, ei verkkotunnuksia projekteja varten
  • Muutospyyntöjä voidaan tehdä, mutta vain virallinen verkkotunnus hyväksytään tai korvataan. Muut lisäverkkotunnuksia koskevat pyynnöt säilytetään tämän ajanjakson jälkeen.
• 10. toukokuuta 2026: Tulosten julkaiseminen maita vertailevassa tutkimusartikkelissa.
• 10 päivän toukokuuta 2026 jälkeinen aika:
  • Lisää viranomaisia ja sivustoja, mahdollisesti myös projektialueita.
  • Uusia verkkotunnuksia koskevat muutospyynnöt hyväksytään

Alla olevassa soveltamisalataulukossa luetellaan kaikki verkkosivustomme ja tiedot, jotka niistä löytyvät. Siitä käy ilmi, että SecurityBaseline-verkoston organisaatioiden määrä on suuri, yli 75 000. Aiheeseen liittyvien verkkotunnusten määrä on vielä vähäinen, 120 000. Tämä määrä kasvaa, kun verkkotunnusta kohden on keskimäärin 10 alaverkkotunnusta.

Verkkosivusto	Organisaatiot	Internet-osoitteiden koko	Mittaukset
SecurityBaseline.eu (uusi verkkosivusto)	Kaikki Euroopan alueviranomaiset + CSIRT-organisaatiot (76 575).	Pääverkkotunnus + aliverkkotunnukset (120,257)	Kaikki 25 mittaria: turvallisuus, yksityisyys ja suvereniteetti.
basisbeveiliging.nl	Koko Alankomaiden hallitus, elintärkeä, koulutus, terveydenhuolto, politiikka, kyberturvallisuus (11,843)	Kaikki verkkotunnukset, sikäli kuin voimme löytää ne (361,688)	Kaikki 25 mittaria: turvallisuus, yksityisyys ja suvereniteetti.
basisbeveiliging.be (ei enää tarvita 10. toukokuuta jälkeen).	Belgian aluehallitukset (640)	Pääverkkotunnus + aliverkkotunnukset (5,789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Kaikki Alankomaiden hallitus, elintärkeät asiat, koulutus, terveydenhuolto, politiikka, kyberturvallisuus (11,843)	Kaikki verkkotunnukset, sikäli kuin voimme löytää ne (361,688)	94 verkkosivuston saavutettavuutta koskevaa mittaria

4: Internet Cleanup Foundationin politiikka

SecurityBaseline julkaisee turvallisuusmittauksia harkitulla tavalla. Harkintamme on niputettu käytännesääntöihimme. Mittaamme päivittäin tai viikoittain.

SecurityBaseline toimii seuraavan prosessin mukaisesti:

Organisaatioiden mitattavat osa-alueet ilmoitetaan osa-aluepolitiikassa. Kaikki näillä aloilla suoritetut mittaukset niputetaan mittauskäytäntöön. Koska kaikkia IT-infrastruktuurin päätöksiä on mahdotonta käsitellä samalla tavalla, organisaatiot voivat ilmoittaa poikkeuksia. Tätä kutsutaan nimellä ”noudata tai selitä” tai ”comply or explain”. Monet näistä ilmoituksista lisätään automaattisesti automaattisilla poikkeuksilla mittauskäytäntöön. Hyvä ilmoitus täyttää useita vaatimuksia.

Julkaisupolitiikassa kuvataan , mitä julkaistaan ja mitä ei julkaista. Suoritetut skannaukset viittaavat mahdollisimman selkeästi SecurityBaselineen, mahdollisuuksien mukaan suoraan skannausinfosivulle ( vain englanniksi ). Kaikkiin mittauksiin ja julkaisuihin sovelletaan tätä vastuuvapauslauseketta ( vain englanniksi).

5: Saavutettavuus

Internet Cleanup Foundationin tavoittaa kahta kautta:

1: Sähköposti osoitteeseen info@internetcleanup.foundation. Muunnamme vieraskieliset sähköpostit hollanniksi tai englanniksi. Sen seurauksena voi olla, että tekstin sävy on kadonnut. Kaikki sähköpostit luetaan, mutta joskus voi kestää useita viikkoja ennen kuin ehdimme vastata.
2: Discord: Käy discord-kanavallamme osoitteessa https://discord.gg/FzadeDrptx kysy Elgeriä, Johania tai Wouteria. Sieltä löydät myös tukikanavan, jossa käsitellään erilaisia aiheita.

6: Miten kartat ja ilmoitukset syntyivät?

Kartat perustuvat Open Street Mapin julkisiin tietoihin (alueet ja hallitusten nimet), jotka on yhdistetty Wikidatan julkisiin tietoihin (verkkosivustojen osoitteet). CSIRT-kerrosta varten kerättiin manuaalisesti luettelo organisaatioista ja sijainneista. Karttoja laadittiin yhteensä 90 kappaletta. Kaikki Euroopan maat, jotka ovat allekirjoittaneet Euroopan talousaluetta koskevan sopimuksen, sekä Sveitsi on mitattu. Sveitsi on mukana, koska se on yksi niistä harvoista maista, jotka asettavat kaikki Internet-verkkotunnuksensa saataville avoimen datan kautta, mikä on edistyksellistä.

Olemme tietoisesti tehneet hallituksen pääsivustosta osan CSIRT-tietokeskusta. Vastuuta ei tietenkään ole virallisesti annettu näin. Näemme tämän enemmänkin sosiaalisena vastuuna. Toivomme, että tätä kautta hallituksen pääsivusto on tarvittaessa paremmin turvattu.

Koska Euroopassa puhutaan 24:ää kieltä, tämän verkkosivuston ja SecurityBaseline.eu-sivuston pääsivut on käännetty kaikille näille kielille. Käännöksen on tehnyt DeepL, paitsi jos kieltä ei ollut saatavilla (esim. maltan ja islannin kielet). Tämän mittakaavan verkkosivujen kääntäminen on kallista. Olemme ylpeitä siitä, että suurin osa sivuston tekstistä on saatavilla useimmilla eurooppalaisilla kielillä, myös iiriksi ja kreikaksi, vaikka käännöksissä on joskus virheitä.

Ennakkoilmoitus hallituksille ja CSIRT-organisaatioille lähetettiin sähköpostitse jäsenvaltioiden virallisilla kielillä. Ennakkoilmoitus lähetettiin kaikkiin paikallisviranomaisten ja CSIRT-organisaatioiden sähköpostiosoitteisiin, mikäli ne olivat löydettävissä. Osa näistä tiedoista saatiin Wikidatasta, osa kerättiin automaattisesti ja suodatettiin itse tehdyllä ohjelmistolla. Kaikkiaan sähköposteja lähetettiin kymmeniä tuhansia. Sähköpostit lähetetään kerran, jotta vältyttäisiin hankaluuksilta. Odotamme, että hallitukset keskustelevat keskenään ja että CSIRTin ja paikallishallintojen väliset viestintälinjat ovat hyvät. Jos siis olemme unohtaneet tai emme tavoita jotakin organisaatiota, tämä olemassa oleva sosiaalinen verkosto toimii tukipisteenä.

Kun käytössä on 90 uutta karttaa ja useita tuhansia hallintoja, on mahdollista, että olemme joskus väärässä. Pahoittelemme tästä aiheutuvaa haittaa. Hyödynnämme tutustumisen ajan karttojen ja sivustojen tietojen hienosäätämiseen.

7: Miten tämä onnistuu taloudellisesti?

Olemme Internet Cleanup Foundation Alankomaista. Olemme pieni kolmen hengen tiimi, joka yrittää tehdä maailmasta paremman paikan runsaalla tietämyksellä ja pienellä budjetilla. Yhteystiedot ja säätiömme yksityiskohdat löytyvät”Tietoja meistä” -sivulta.

Tämä hanke toteutetaan omasta aloitteestamme, omilla resursseillamme ja omalla ajallamme. Tulostemme tai raporttiemme käyttäminen ei edellytä mitään maksua tai summaa. Myöskään tietojen katselusta tai niiden uudelleenkäytöstä muiden toimesta ei peritä maksuja. Kaikki havaintomme ovat saatavilla avoimena datana.

Teemme tämän aloitteen itsestämme käsin. Mutta päivittäistä toimintaamme tukevat taloudellisesti muun muassa SIDN-rahasto, tietoturva- ja yksityisyydensuojakeskus, digitaalisen infrastruktuurin valtion tarkastusvirasto, Alankomaiden hallitus ja yli 30 säätiöömme osallistuvaa organisaatiota. Saamme teknisiä resursseja sponsoroituna CoBytesilta, Procolixilta, SURFilta, Sentryltä, Hack42:lta ja GitLabilta.

Muut tulot, jotka saamme:

• Tutkimustehtävät,
• Kehitetään uusia mittauksia ja alustoja,
• Osallistujien maksut säätiöllemme,
• Suorittaa pyydettäessä alakohtaisia mittauksia.

Hallitus voi sponsoroida tai tukea meitä, kunhan riippumaton asemamme taataan. Ota yhteyttä osoitteeseen elger@internetcleanup.foundation. Kaikissa muissa kysymyksissä: käyttäkää tavoitettavuusosion osoitteita.

Säätiömme jäseneksi on mahdollista tulla. Emme ole vielä tietoisesti tarjonneet tätä mahdollisuutta SecurityBaseline.eu-sivustolla, koska se saattaisi vaikuttaa siltä, että olemme kaupallinen yritys. Tämä tulee saataville myöhemmin, kun asiaa on riittävästi selvitetty. Jos haluat osallistua varhaisessa vaiheessa, ota yhteyttä osoitteeseen elger@internetcleanup.foundation.

8: Lisää meistä

Yhteystiedot ja säätiömme yksityiskohdat löytyvät”Tietoja meistä” -sivulta.