Kibernetinio saugumo bazinio vertinimo Europoje paskelbimas

Atsakomybės apribojimas: šio puslapio originalas parašytas olandų kalba. Šis puslapis buvo automatiškai išverstas į kitas kalbas naudojant DeepL. Dėl to gali skirtis niuansai, tonas ir prasmė. Jei abejojate, visada pirmiausia peržiūrėkite olandišką versiją. Dėl didelių vertimų išlaidų šis puslapis turinio požiūriu gali atsilikti nuo olandiškos versijos. Šio puslapio olandiškąją versiją laikome pagrindine.     

0: santrauka

Vasario 9 arba 10 d. jūsų organizacija gavo el. laišką apie vyriausybės internetinio saugumo skaidrumą. Šį el. laišką išsiuntė „Internet Cleanup Foundation” ir jis buvo išsiųstas visų Europos valstybių narių regioninėms vyriausybėms ir CERT / CISRT organizacijoms.

Nuo gegužės 10 d. jūsų organizacijos internetinis saugumas bus viešai skelbiamas svetainėje SecurityBaseline.eu. Nuo vasario 10 d. iki gegužės 10 d. šią svetainę bus galima pasiekti per tiesioginę nuorodą gautame el. laiške. Tokiu būdu bus galima peržiūrėti matavimo rezultatus, kad prieš juos paskelbiant dar būtų galima atlikti bet kokius patobulinimus. Saugumą internete matuojame kasdien arba kas savaitę, kad taip pat būtų galima pastebėti patobulinimus. Matavimus tęsiame ir po publikacijos.

Matuojamos paslaugos ir skelbiama informacija yra kruopščiai apgalvotos ir nesukelia naujos rizikos jūsų internetinei aplinkai. Mūsų metodas užtikrina skaidresnę jūsų aplinką, todėl ją galima lengviau valdyti, o tai reiškia, kad ji yra saugesnė. Tai darome savo iniciatyva, iš ne pelno fondo, laisvalaikiu. Esame Europos piliečiai, todėl esame motyvuoti prisidėti prie saugios, suverenios ir privatumą užtikrinančios interneto Europos kūrimo ir turime daug patirties šioje srityje.

Iniciatyva „Measure Europe” atkartoja mūsų požiūrį į pagrindinių Nyderlandų organizacijų interneto saugumo vertinimą. Šią veiklą pradėjome 2016 m. Ši iniciatyva buvo tokia sėkminga ir praktiška, kad mūsų interneto svetainė ir veikla buvo įtraukta į Nyderlandų saugumo ir teisingumo ministerijos bei Nyderlandų vidaus reikalų ir Karalystės santykių ministerijos politikos dokumentus.

Didėjant vyriausybių skaitmeninimui ir pastaruoju metu didėjant spaudimui dėl internetinių vyriausybių suverenumo, nusprendėme pradėti matuoti visas Europos vyriausybes. Vyriausybes matuojame kaip pirmąjį sektorių pagal šalis, nes jos gali nustatyti gaires ir įstatymus sau ir kitiems.

Šiame puslapyje pateikiama išsami informacija apie mus ir šią iniciatyvą. Interneto švaros fondas linki visiems saugios Europos internete.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Turinys

1. Kas nutiks
2. Atvejo analizė: Nyderlandai, matuojama nuo 2016 m.
3. Skaitymo, skelbimo ir taikymo srities grafikas
4. „Internet Cleanup Foundation” politika
5. Prieinamumas
6. Kaip atsirado žemėlapiai ir pranešimai
7. Finansinė apžvalga

1: Kas įvyks

Nuo gegužės 10 d. pagrindiniai jūsų organizacijos interneto saugumo reikalavimai bus skelbiami svetainėje https://securitybaseline.eu. Paskelbtoje informacijoje gali būti jūsų interneto infrastruktūros pažeidžiamumų, tačiau ji nepadidina esamos rizikos. Iki publikavimo savo pažeidžiamumus galite pasiekti naudodamiesi tame el. laiške gautomis nuorodomis.

Nuo vasario 10 d. iki gegužės 10 d. yra trys mėnesiai. Šiuos tris mėnesius vadiname kilimo laikotarpiu. Šis laikotarpis atitinka kelių Europos valstybių narių „Koordinuoto pažeidžiamumo atskleidimo” gairėse numatytą bendrą laikotarpį. Iš esmės viskas, ką matuojame ir skelbiame, jau yra vieša informacija. Taigi šį laikotarpį naudojame ne tam, kad laikytumėmės „Koordinuoto pažeidžiamumų atskleidimo” proceso, o tam, kad pasinaudotume Europos valstybėse narėse esamais keliais ir procesais, kurie buvo įdiegti siekiant sustiprinti informacijos saugumą.

Mūsų svetainėje rasite įvairių jūsų valdžios sluoksnių žemėlapius. Šiuose žemėlapiuose saugumas žymimas šviesoforo spalva: raudona, oranžine ir žalia. Žalia spalva reiškia, kad viskas tvarkoje, o raudona – kad yra viena ar daugiau pažeidžiamųjų vietų. Dėl oranžinės spalvos reikia imtis veiksmų, tačiau ne taip greitai kaip dėl raudonos. Toliau šiame puslapyje pateiktame Nyderlandų atvejo tyrime parodyta, kaip sekasi Nyderlandams. Šis žemėlapis jau yra viešai prieinamas, nes jau daugelį metų yra viešai skelbiama informacija.

Žinome, kad mūsų požiūris gali kelti klausimų arba gali būti ne iš karto suvoktas kaip malonus ar vertingas. Taip pat žinome, kad skirtingų Europos šalių kultūros labai skiriasi. Mūsų tikslas – sukurti atsparesnę internetinę Europą. Skaidrumas yra tinkama priemonė šiam tikslui pasiekti. Darome prielaidą, kad vyriausybė nori gerai apsaugoti Europos piliečius. Tai turėtų pasireikšti aukštos kokybės interneto paslaugomis. Būtent tai, ką galima nepriklausomai išmatuoti ir patikrinti: tai ir siūlome.

2: Atvejo analizė: Nyderlandai matuojami nuo 2016 m.

Pagrindines Nyderlandų savivaldybių interneto svetaines pradėjome matuoti 2016 m. Bėgant metams, ši veikla išsiplėtė iki visų Nyderlandų vyriausybių interneto svetainių. Tokius pačius matavimus taip pat atliekame visose Nyderlandų švietimo įstaigose, sveikatos priežiūros įstaigose ir ypatingos svarbos infrastruktūros objektuose. Šie duomenys yra vieši visiems. Tai apima apie 330 000 adresų iš 10 000 organizacijų, matuojamų 25 išvadose. Šią informaciją gali peržiūrėti bet kas.

Nyderlanduose mūsų iniciatyva padėjo pagerinti informacijos saugumą šimtais tūkstančių kartų. Naudodamiesi pirmaujančiais internet.nl ir mūsų pačių privatumo matavimais, jau daugelį metų padedame šaliai, kurioje gyvename, tapti ir išlikti saugiai.

Dėl šios sėkmės Nyderlandai taip pat yra vienintelė šalis, jau viešai matoma SecurityBaseline.eu: iš tiesų beveik visos organizacijos jau gavo žalią balą, kai tuo tarpu beveik visos kitos Europos vyriausybinės organizacijos pagal tą pačią taikymo sritį ir matavimus vis dar gauna nepakankamai saugių balų. Taigi Nyderlandai jau daug metų lenkia likusią Europą. Taip yra ne tik dėl mūsų, bet ir dėl to, kad vyriausybė priėmė ir valdo standartus ir turi teisės aktus, pavyzdžiui, dėl šifravimo.

Olandijos vyriausybė laikosi atviros kultūros. Ši kultūra taip pat įtvirtinta teisės aktuose –„Atviros vyriausybės įstatyme”: juo kiekvienam piliečiui suteikiama teisė gauti viešąją informaciją, netaikant jokių sąlygų. Taigi Nyderlandų vyriausybė nori būti skaidri ir todėl yra prieinama. Vyriausybė išdrįsta nurodyti, kur reikia patobulinimų, todėl mūsų iniciatyva išmatuoti Nyderlandų vyriausybę taip pat buvo palankiai įvertinta.

Mūsų interneto svetainė ir veikla yra įtraukta į Nyderlandų saugumo ir teisingumo ministerijos bei Vidaus reikalų ir santykių su karalyste ministerijos strateginius dokumentus.

Nyderlanduose taip pat atliekame įvairius tyrimus. Pavyzdžiui, atlikome šiuos atradimus, straipsniai pateikti olandų kalba:

• Nyderlandų vyriausybė savo apžvalgose nepastebi daugybės tūkstančių objektų (2025 m.)
• Vyriausybė prašo leidimo sekti lankytojus 100 skirtingų būdų (2024)
• 4 % vyriausybinių svetainių skelbia neprašytus sekimo sausainius lankytojams sekti (2023 m.)
• 33 proc. vyriausybinių svetainių nesilaiko teisės aktų, kad svetainėse būtų taikomas tinkamas šifravimas (2023 m.)
• 7 % Nyderlandų vyriausybei siunčiamos korespondencijos siunčiama per ne Europos šalis (2024 m.)

Toliau pateikiamose ekrano nuotraukose matyti tarpinė Nyderlandų provincijų ir savivaldybių žemėlapių versija. Ji buvo paimta iš SecurityBaseline.eu ir jau yra viešai matoma, nes beveik viskas sutvarkyta.

Toliau pateikta ekrano nuotrauka paimta iš mūsų olandiškos svetainės basisbeveiliging.nl. Jame matyti trys valdžios lygmenys. Į akis krinta tai, kad žemėlapiuose vyrauja raudona spalva. Taip yra todėl, kad Nyderlanduose matuojame ne tik pagrindinę organizacijos vietą, bet ir visas projektų (pavyzdžiui, naujų rajonų, naujų greitkelių, kampanijų ir pan.) vietas. Matyti, kad tarp savivaldybių 62 proc. iš 26 655 išmatuotų savivaldybių adresų įvertinti gerai.

3: Skaitymo, skelbimo, apimties grafikas

Paskelbimo tvarkaraštis yra toks:

• 2026 m. vasario 10 d.: el. laiškas su trumpu išankstiniu pranešimu ir nuoroda į šį tekstą
• 2026 m. vasario 10 d.: matavimų ir patobulinimų tikrinimo laikotarpio pradžia
• Tikrinimo laikotarpis vasario 10 d. – gegužės 10 d:
  • Visiškai išmatuotos institucijos
  • TLS matavimų iš internet.nl sugriežtinimas pagal NCSC-NL 2025 gaires 11
  • Galimas naujas skaitmeninės nepriklausomybės matavimas ir vizualizavimas
  • Tik pagrindinių domenų ir subdomenų vyriausybės, jokių projektų domenų
  • Pakeitimų prašymai gali būti teikiami, tik oficialus domenas bus priimtas arba pakeistas. Kiti prašymai dėl papildomų domenų bus laikomi iki šio laikotarpio pabaigos
• 2026 m. gegužės 10 d.: išvadų paskelbimas kartu su moksliniu straipsniu, kuriame lyginamos šalys
• Laikotarpis po 2026 m. gegužės 10 d:
  • Daugiau institucijų ir svetainių, galbūt ir projektų domenų įtraukimas
  • Priimtos naujų domenų pakeitimo užklausos

Toliau esančioje apimties lentelėje pateiktos visos mūsų svetainės ir jose pateikiama informacija. Čia matyti, kad „SecurityBaseline” organizacijų skaičius yra didelis – daugiau nei 75 000. Susijusių domenų skaičius vis dar nedidelis – 120 000: jis augs, kai vienam domenui teks vidutiniškai 10 subdomenų.

Svetainė	Organizacijos	Interneto adresų dydis	Matavimai
SecurityBaseline.eu (nauja svetainė)	Visos regioninės Europos valdžios institucijos + CSIRT organizacijos (76 575)	Pagrindinis domenas ir subdomenai (120 257)	Visi 25 rodikliai: saugumas, privatumas ir suverenumas
Basisbeveiliging.nl	Visa Nyderlandų vyriausybė, gyvybiškai svarbi, švietimas, sveikatos priežiūra, politika, kibernetinis saugumas (11 843)	Visi domenai, kiek jų galime rasti (361 688)	Visi 25 rodikliai: saugumas, privatumas ir suverenumas
Basisbeveiliging.be (po gegužės 10 d. nebereikia)	Belgijos regioninės valdžios institucijos (640)	Pagrindinis domenas ir subdomenai (5 789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Visi Nyderlandų vyriausybės, gyvybiškai svarbūs, švietimo, sveikatos priežiūros, politikos ir kibernetinio saugumo klausimai (11 843)	Visi domenai, kiek jų galime rasti (361 688)	94 svetainių prieinamumo rodikliai

4: „Internet Cleanup Foundation” politika

„SecurityBaseline” saugumo matavimus skelbia apgalvotai. Mūsų svarstymai yra įtraukti į mūsų elgesio kodeksą. Mes matuojame kasdien arba kas savaitę.

„SecurityBaseline” veikia taip:

Kurios tiksliai organizacijų sritys yra vertinamos, nurodoma sričių politikoje. Visi šiose srityse atliekami matavimai įtraukiami į matavimo politiką. Kadangi neįmanoma visų IT infrastruktūros sprendimų vertinti vienodai, organizacijos gali deklaruoti išimtis. Tai vadinama „laikykis arba paaiškink” arba „laikykis arba paaiškink”. Daugelis šių deklaracijų automatiškai įtraukiamos į matavimo politiką automatinėmis išimtimis. Gera deklaracija atitinka keletą reikalavimų.

Kas konkrečiai bus ir kas nebus skelbiama , aprašyta skelbimo politikoje. Atlikti nuskaitymai kuo aiškiau nukreipia atgal į „SecurityBaseline”, jei įmanoma, tiesiogiai į skenuojamąjį puslapį ( tik anglų kalba ). Visiems matavimams ir publikacijoms taikoma ši atsakomybės atsisakymo sąlyga ( tik anglų kalba).

5: prieinamumas

Su „Interneto švaros fondu” galima susisiekti dviem būdais:

1: el. paštu info@internetcleanup.foundation. Elektroninius laiškus užsienio kalbomis konvertuosime į olandų arba anglų kalbą. Dėl to gali būti prarastas niuansas. Visus laiškus perskaitome, tačiau kartais gali praeiti kelios savaitės, kol rasime laiko atsakyti.
2: Discord: Apsilankykite mūsų Discord kanale https://discord.gg/FzadeDrptx klauskite Elgerio, Johano arba Wouterio. Ten taip pat rasite palaikymo kanalą, kuriame aptariamos įvairios temos.

6: Kaip atsirado žemėlapiai ir pranešimai

Žemėlapiai pagrįsti viešais „Open Street Map” duomenimis (teritorijos ir vyriausybių pavadinimai) ir viešais „Wikidata” duomenimis (svetainių adresai). CSIRT sluoksniui organizacijų ir vietovių sąrašas buvo surinktas rankiniu būdu. Iš viso sudaryta 90 žemėlapių. Matuojamos visos Europos šalys, pasirašiusios Europos ekonominės erdvės sutartį, ir Šveicarija. Įtraukėme Šveicariją, nes ji yra viena iš nedaugelio šalių, kuri visus savo interneto domenus pateikia per atviruosius duomenis, o tai yra progresyvu.

Pagrindinę vyriausybės svetainę sąmoningai pavertėme CSIRT dalimi. Žinoma, taip formaliai atsakomybė neperduodama. Mes į tai žiūrime labiau kaip į socialinę atsakomybę. Tikimės, kad šiuo keliu einant pagrindinė vyriausybės interneto svetainė bus geriau apsaugota, jei iškiltų poreikis.

Kadangi Europoje kalbama 24 kalbomis, pagrindiniai šios svetainės ir SecurityBaseline.eu puslapiai išversti į visas šias kalbas. Vertimą atliko DeepL, išskyrus atvejus, kai kalba nebuvo prieinama (pvz., maltiečių ir islandų). Tokio masto interneto svetainių vertimas pasirodė esąs brangus. Didžiuojamės, kad didžioji dalis viso svetainės teksto yra daugumoje Europos kalbų, įskaitant airių ir graikų, nors kartais vertimuose pasitaiko klaidų.

Vyriausybėms ir CSIRT organizacijoms apie tai iš anksto pranešta elektroniniu paštu oficialiomis valstybių narių kalbomis. Šis išankstinis pranešimas buvo išsiųstas visais vietos valdžios institucijų ir CSIRT organizacijų el. pašto adresais, kiek jų buvo galima rasti. Dalis jų buvo gauta iš „Wikidata”, dalis – automatiškai surinkta ir filtruota naudojant savarankiškai sukurtą programinę įrangą. Iš viso buvo išsiųsta dešimtys tūkstančių el. laiškų. Kad būtų išvengta nepatogumų, laiškai išsiųsti vieną kartą. Tikimės, kad vyriausybės bendrauja tarpusavyje ir kad CSIRT ir vietos valdžios institucijų ryšių linijos yra geros. Taigi, jei pamirštume arba negalėtume pasiekti organizacijos, šis esamas socialinis tinklas tarnauja kaip atsarginė priemonė.

Turėdami 90 naujų žemėlapių ir daugybę tūkstančių administracijų, tikėtina, kad kartais klystame. Atsiprašome už nepatogumus. Pasinaudosime perklausos laikotarpiu, kad dar labiau patikslintume žemėlapius ir informaciją svetainėse.

7: Kaip tai veikia finansiškai?

Esame ” Internet Cleanup Foundation” iš Nyderlandų. Esame nedidelė trijų žmonių komanda, kuri, turėdama daug žinių ir nedidelį biudžetą, stengiasi padaryti pasaulį geresnį. Kontaktinę informaciją ir išsamią informaciją apie mūsų fondą rasite puslapyje„Apie mus„.

Šį projektą vykdome savo iniciatyva, savo lėšomis ir savo laiku. Už naudojimąsi mūsų išvadomis ar ataskaitomis nereikalaujama jokio užmokesčio ar sumos. Taip pat nėra jokių mokėjimo sienų už informacijos peržiūrą ar jos pakartotinį naudojimą kitiems. Visos mūsų išvados yra prieinamos kaip atviri duomenys.

Taigi šią iniciatyvą vykdome iš savo vidaus. Tačiau kasdienę mūsų veiklą finansiškai remia SIDN fondas, Informacijos saugumo ir privatumo apsaugos centras, Valstybinė skaitmeninės infrastruktūros inspekcija, Nyderlandų vyriausybė ir daugiau nei 30 mūsų fondo organizacijų ir kt. Techninius išteklius remia bendrovės „CoBytes”, „Procolix”, SURF, „Sentry”, „Hack42” ir „GitLab”.

Kitos pajamos, kurias gauname iš:

• Mokslinių tyrimų užduotys,
• kurti naujus matavimus ir platformas,
• Dalyvių įnašai į mūsų fondą,
• Sektorių matavimų atlikimas pagal užsakymą.

Vyriausybė gali mus remti ar remti, jei tik užtikrinama mūsų nepriklausoma pozicija. Dėl to prašome kreiptis el. paštu elger@internetcleanup.foundation. Visais kitais klausimais: kreipkitės adresais, nurodytais skyriuje „Pasiekiamumas”.

Galima tapti mūsų fondo dalyviu. Kol kas sąmoningai nesuteikėme šios galimybės svetainėje SecurityBaseline.eu, nes tai gali būti vertinama taip, tarsi būtume komercinė įmonė. Tai bus galima padaryti vėliau, pateikus pakankamai paaiškinimų. Dėl ankstyvo dalyvavimo kreipkitės adresu elger@internetcleanup.foundation.

8: Daugiau apie mus

Kontaktinę informaciją ir išsamią informaciją apie mūsų fondą rasite puslapyje„Apie mus„.