Küberturvalisuse alusmõõtmise väljakuulutamine Euroopas

Vastutusest loobumine: Selle lehekülje originaal on kirjutatud hollandi keeles. See lehekülg on automaatselt tõlgitud teistesse keeltesse, kasutades DeepL. See võib põhjustada erinevusi nüansside, toonide ja tähenduse osas. Kahtluse korral vaadake alati esmalt hollandikeelset versiooni. Tõlkimise kõrge maksumuse tõttu võib see lehekülg jääda hollandikeelsest versioonist sisuliselt maha. Peame selle lehekülje hollandikeelset versiooni juhtivaks.     

0: Kokkuvõte

Teie organisatsioon sai 9. või 10. veebruaril e-kirja, mis käsitles valitsuse veebiturvalisuse läbipaistvust. See e-kiri tuli Internet Cleanup Foundationilt ja see saadeti kõigile Euroopa liikmesriikide piirkondlikele valitsustele ja CERT / CISRT organisatsioonidele.

Alates 10. maist muutub teie organisatsiooni veebiturvalisus avalikuks SecurityBaseline.eu veebisaidil. Alates 10. veebruarist kuni 10. maini on see veebisait kättesaadav saadud e-kirjas oleva otselinki kaudu. Selle kaudu saab mõõtmistulemusi vaadata, nii et enne avaldamist saab veel parandusi teha. Me mõõdame teie veebiturvalisust iga päev kuni nädalas, nii et ka parandusi saab näha. Me jätkame mõõtmist ka pärast avaldamist.

Mõõdetud teenused ja avaldatud teave on hoolikalt kaalutud ja ei lisa uusi riske teie võrgukeskkonda. Meie lähenemisviis muudab teie keskkonnad läbipaistvamaks, muutes need paremini hallatavaks ja seega turvalisemaks. Me teeme seda omal algatusel, mittetulundusühingust, vabal ajal. Euroopa kodanikena on meil sisemine motivatsioon mängida oma osa turvalise, suveräänse ja eraelu puutumatust arvestava Euroopa loomisel internetis ning meil on selles valdkonnas laialdased kogemused.

Euroopa mõõtmise algatus kordab meie lähenemist Madalmaade peamiste organisatsioonide veebiturvalisuse mõõtmisele. Alustasime sellega 2016. aastal. See on olnud nii edukas ja praktiline, et meie veebisait ja tegevus on lisatud Madalmaade julgeoleku- ja justiitsministeeriumi ning Madalmaade siseministeeriumi ja kuningriigi suhete ministeeriumi poliitikadokumentidesse.

Seoses valitsuste suureneva digitaliseerimisega ja hiljuti suurenenud survega veebipõhiste valitsuste suveräänsusele otsustasime hakata mõõtma kõiki Euroopa valitsusi. Mõõdame valitsusi esimese sektorina riikide kaupa, sest nad on võimelised kehtestama endale ja teistele suuniseid ja seadusi.

Põhjalik taustteave meie ja selle algatuse kohta on sellel leheküljel. Internet Cleanup Foundation soovib kõigile turvalist Euroopat internetis.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Sisukord

1. Mis juhtub
2. Juhtumiuuring: Madalmaad, mida mõõdetakse alates 2016. aastast
3. Läbivaatamise, avaldamise ja ulatuse ajakava
4. Interneti Puhastamise Sihtasutuse poliitika
5. Juurdepääsetavus
6. Kuidas tekkisid kaardid ja teadaanded
7. Finantsülevaade

1: Mis juhtub

Alates 10. maist avaldatakse teie organisatsiooni põhiline veebiturvalisus aadressil https://securitybaseline.eu. Avaldatud teave võib sisaldada teie veebitaristu haavatavusi, kuid ei suurenda olemasolevat riski. Kuni avaldamiseni saate juurdepääsu oma haavatavustele, kasutades selles e-kirjas saadud linke.

Veebruari 10. ja mai 10. kuupäeva vahel on kolm kuud. Me nimetame neid kolme kuud tõusuperioodiks. See ajavahemik on kooskõlas mitme Euroopa liikmesriigi kooskõlastatud haavatavuse avalikustamise suuniste raames kehtiva ajakavaga. Põhimõtteliselt on kõik, mida me mõõdame ja avaldame, juba avalik teave. Seega ei kasuta me seda ajavahemikku selleks, et täita kooskõlastatud haavatavuse avalikustamise protsessi, vaid selleks, et kasutada Euroopa liikmesriikides olemasolevaid teid ja protsesse, mis on kehtestatud infoturbe tugevdamiseks.

Meie veebisaidil näete oma valitsuse erinevate kihtide kaarte. Nendel kaartidel on turvalisus tähistatud valgusfoori värviga: punane, oranž ja roheline. Roheline tähendab, et kõik on korras ja punane tähendab, et esineb üks või mitu haavatavust. Oranž nõuab küll tegutsemist, kuid vähem kiiresti kui punane. Selle lehekülje lõpus olev Hollandi näitelugu näitab, kuidas Madalmaad toimivad. See kaart on juba avalikkusele kättesaadav, sest see on olnud avalik teave juba aastaid.

Oleme teadlikud, et meie lähenemine võib tekitada küsimusi või et seda ei peeta kohe meeldivaks või väärtuslikuks. Samuti oleme teadlikud, et Euroopa eri riikide kultuurid on väga erinevad. Meie eesmärk on muuta Euroopa internetis vastupidavamaks. Läbipaistvus on selle eesmärgi saavutamiseks sobiv vahend. Me eeldame, et valitsus tahab Euroopa kodanikke hästi kaitsta. See peaks väljenduma kvaliteetsetes võrguteenustes. Just see on sõltumatult mõõdetav ja kontrollitav: just seda me pakume.

2: Juhtumiuuring: Madalmaad, mida mõõdetakse alates 2016. aastast

Alustasime Hollandi omavalitsuste peamiste veebisaitide mõõtmist 2016. aastal. Aastate jooksul on see laienenud kõigi Madalmaade valitsuste veebilehtedele. Samuti teostame samu mõõtmisi kõigi Hollandi haridusasutuste, tervishoiu ja kriitilise tähtsusega infrastruktuuri puhul. Need andmed on kõigile avalikud. See hõlmab umbes 330 000 aadressi 10 000 organisatsioonist, mida on mõõdetud 25 järelduses. Seda teavet saab igaüks vaadata.

Madalmaades on meie algatus viinud sadade tuhandete infoturbe parandamiseni. Kasutades juhtivaid mõõtmisi, näiteks internet.nl ja meie enda privaatsusmõõtmisi, oleme aastaid aidanud riigil, kus me elame, muutuda ja jääda turvaliseks.

See edu on ka põhjus, miks Madalmaad on ainus riik, mis on juba avalikult nähtav SecurityBaseline.eu-s: peaaegu kõik organisatsioonid on juba saanud rohelise hinde, samas kui peaaegu kõik teised Euroopa valitsusasutused on sama ulatuse ja mõõtmiste puhul ikka veel ebapiisavalt turvalised. Seega on Madalmaad ülejäänud Euroopast juba mitu aastat ees. See ei ole tingitud mitte ainult meist, vaid ka sellest, et valitsus on võtnud vastu ja juhib standardeid ning et tal on näiteks krüpteerimist käsitlevad õigusaktid.

Hollandi valitsusel on avatud kultuur. See kultuur on sätestatud ka õigusaktides“Avatud valitsemise seaduse” kaudu: see annab igale kodanikule õiguse pääseda ligi avalikule teabele, ilma et ta peaks täitma mingeid tingimusi. Madalmaade valitsus soovib seega olla läbipaistev ja on seetõttu juurdepääsetav. Valitsus julgeb näidata, kus on vaja parandusi, mistõttu meie algatus Hollandi valitsuse mõõtmiseks on samuti hästi vastu võetud.

Meie veebisait ja tegevus on kajastatud Madalmaade julgeoleku- ja justiitsministeeriumi ning siseministeeriumi ja kuningriigi suhete ministeeriumi poliitikadokumentides.

Hollandis teeme ka igasuguseid teadusuuringuid. Näiteks oleme teinud järgmised avastused, artiklid on hollandikeelsed:

• Hollandi valitsus jätab oma ülevaadetes (2025) vahele tuhandeid objekte.
• Valitsus küsib luba külastajate jälgimiseks 100 erineval viisil (2024)
• 4% valitsuse veebilehtedest postitavad soovimatuid jälgimisküpsiseid külastajate jälgimiseks (2023)
• 33% valitsusasutuste veebisaitidest ei järgi seadust, et kohaldada veebisaitidel nõuetekohast krüpteerimist (2023)
• 7 % Madalmaade valitsusele saadetavast postist läheb läbi Euroopa-väliste osapoolte (2024).

Järgnevatel ekraanipiltidel on näidatud Madalmaade provintside ja omavalitsuste kaartide esialgne versioon. See on võetud SecurityBaseline.eu veebisa idilt ja on juba avalikult vaadatav, sest peaaegu kõik on korras.

Alljärgnev ekraanipilt on võetud meie hollandikeelselt veebilehelt: basisbeveiliging.nl. See näitab kolme valitsuse tasandit. Tähelepanuväärne on see, et kaardid on valdavalt punased. See tuleneb sellest, et Madalmaades ei mõõdeta mitte ainult organisatsiooni põhikohti, vaid ka näiteks kõiki projektide (uued linnaosad, uued kiirteed, kampaaniad jne) asukohti. On näha, et omavalitsuste hulgas on 62% 26 655 mõõdetud omavalitsuse aadressist saanud hea tulemuse.

3: Läbivaatamise, avaldamise ja ulatuse ajakava

Avaldamise ajakava on järgmine:

• 10. veebruar 2026: e-kiri koos lühikese eelteatega ja lingiga käesolevale tekstile.
• 10. veebruar 2026: mõõtmiste ja paranduste kontrolliperioodi algus
• Kontrolliperiood 10. veebruar – 10. mai:
  • Täielik mõõdetud asutus
  • Interneti.nl-i TLS-mõõtmiste karmistamine vastavalt NCSC-NL 2025 suunistele 11
  • Võimalik uue mõõtmise ja visualiseerimise lisamine digitaalse suveräänsuse kohta
  • Ainult peamised domeenid ja alamdomeenid, projektide domeenid puuduvad.
  • Muutmistaotlusi võib esitada, ainult ametlik domeen võetakse vastu või asendatakse. Muud taotlused täiendavate domeenide kohta jäetakse alles pärast seda perioodi
• 10. mai 2026: tulemuste avaldamine koos riikide võrdlemise teadusartikliga
• Ajavahemik pärast 10. maid 2026:
  • Rohkemate asutuste ja saitide lisamine, võimaluse korral ka projektidomeenide lisamine.
  • Uute domeenide muutmistaotlused aktsepteeritud

Alljärgnevas tabelis on esitatud kõik meie veebisaidid ja teave, mida neilt võib leida. Siit on näha, et SecurityBaseline’i organisatsioonide arv on suur – üle 75 000. Seotud domeenide arv on veel väike, 120 000: see kasvab keskmiselt 10 alamdomeeni domeeni kohta.

Veebileht	Organisatsioonid	Interneti-aadresside suurus	Mõõtmised
SecurityBaseline.eu (uus veebisait)	Kõik Euroopa piirkondlikud asutused + CSIRT-organisatsioonid (76 575)	Põhidomeen + alamdomeenid (120,257)	Kõik 25 mõõdikut: turvalisus, eraelu puutumatus ja suveräänsus
basisbeveiliging.nl	Kogu Hollandi valitsus, elutähtsad, haridus, tervishoid, poliitika, küberturvalisus (11,843)	Kõik domeenid, niipalju kui me neid leiame (361,688)	Kõik 25 mõõdikut: turvalisus, eraelu puutumatus ja suveräänsus
basisbeveiliging.be (pärast 10. maid enam ei ole vaja)	Belgia piirkondlikud omavalitsused (640)	Põhidomeen + alamdomeenid (5 789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Kõik Hollandi valitsus, elutähtsad küsimused, haridus, tervishoid, poliitika, küberturvalisus (11,843)	Kõik domeenid, niipalju kui me neid leiame (361,688)	94 mõõdikut veebisaidi juurdepääsetavuse kohta

4: Interneti Puhastamise Sihtasutuse poliitika

SecurityBaseline avaldab turvamõõtmisi kaalutletud viisil. Meie kaalutlused on koondatud meie tegevusjuhendisse. Me mõõdame iga päev kuni nädalas.

SecurityBaseline töötab järgmise protsessi kohaselt:

Milliseid organisatsioonide valdkondi täpselt mõõdetakse, on sätestatud valdkonnapoliitikas. Kõik nendes valdkondades tehtud mõõtmised on koondatud mõõtmispoliitikasse. Kuna kõiki otsuseid IT-infrastruktuuris ei ole võimalik ühtemoodi käsitleda, võivad organisatsioonid deklareerida erandeid. Seda nimetatakse “comply or explain” ehk “täida või selgita”. Paljud neist deklaratsioonidest lisatakse mõõtmispoliitikasse automaatselt automaatseid erandeid. Hea deklaratsioon vastab mitmele nõudele.

Mida täpselt avaldatakse ja mida mitte , on kirjeldatud avaldamispoliitikas. Läbiviidud skaneeringud viitavad võimalikult selgelt tagasi SecurityBaseline’ile, võimaluse korral otse skaneerimisinfo lehele ( ainult inglise keeles ). Kõik mõõtmised ja avaldamised on allutatud käesolevale vastutuse võtmise kohustusele ( ainult inglise keeles).

5: Ligipääsetavus

Interneti Puhastamise Sihtasutusega saab ühendust kahel viisil:

1: e-kiri aadressile info@internetcleanup.foundation. Me konverteerime võõrkeelsed e-kirjad hollandi või inglise keelde. Selle tulemusena võib kaduda nüanss. Kõik kirjad loetakse, kuid mõnikord võib kuluda mitu nädalat, enne kui leiame aega vastata.
2: Discord: külastage meie discord-kanalit aadressil https://discord.gg/FzadeDrptx küsige Elgeri, Johani või Wouteri järele. Sealt leiate ka tugikanali, kus käsitletakse erinevaid teemasid.

6: Kuidas tekkisid kaardid ja teadaanded?

Kaardid põhinevad Open Street Map’i avalikel andmetel (piirkonnad ja valitsuste nimed), mis on kombineeritud Wikidata avalike andmetega (veebisaitide aadressid). CSIRTi kihi jaoks koguti organisatsioonide ja asukohtade loetelu käsitsi. Kokku koostati 90 kaarti. Mõõdetud on kõik Euroopa riigid, kes on allkirjastanud Euroopa Majanduspiirkonna lepingu, ning Šveits. Lisame Šveitsi, sest see on üks väheseid riike, mis teeb kõik oma internetidomeenid avatud andmete kaudu kättesaadavaks, mis on järkjärguline.

Me oleme teadlikult teinud valitsuse peamise veebisaidi CSIRTi osaks. Loomulikult ei ole vastutus ametlikult nii pandud. Me näeme seda pigem sotsiaalse vastutusena. Loodame, et selle tee kaudu on valitsuse peamine veebisait vajaduse korral paremini kaitstud.

Kuna Euroopas räägitakse 24 keelt, on selle veebisaidi ja SecurityBaseline.eu põhilehed tõlgitud kõikidesse nimetatud keeltesse. Tõlke teostas DeepL, välja arvatud juhul, kui keel ei olnud kättesaadav (nt malta ja islandi keel). Sellises mahus veebilehtede tõlkimine on kulukas. Oleme uhked, et enamik veebilehe tekstist on kättesaadav enamikus Euroopa keeltes, sealhulgas iiri ja kreeka keeles, kuigi tõlgetes esineb mõnikord vigu.

Valitsustele ja CSIRT-organisatsioonidele edastati eelteade liikmesriikide ametlikes keeltes saadetud e-kirjade kaudu. See eelteade saadeti kõigile kohalike omavalitsuste ja CSIRT-organisatsioonide e-posti aadressidele, niivõrd kui need olid leitavad. Osa neist tuli Wikidata’st, osa koguti automaatselt ja filtreeriti isekirjeldatud tarkvara abil. Kokku saadeti kümneid tuhandeid e-kirju. E-kirjad saadeti üks kord, et vältida ebamugavusi. Eeldame, et valitsused räägivad üksteisega ning et CSIRTi ja kohalike omavalitsuste vahelised sidemed on head. Seega, kui me oleme unustanud või ei saa mõne organisatsiooniga ühendust, on see olemasolev sotsiaalvõrgustik tagavaraks.

90 uue kaardi ja paljude tuhandete administratsioonide puhul on võimalus, et me võime mõnikord eksida. Vabandame ebamugavuste pärast. Me kasutame selle aja, et veelgi täpsustada kaardid ja teave saitidel.

7: Kuidas see rahaliselt toimib?

Me oleme Hollandist pärit Internet Cleanup Foundation. Me oleme väike kolmest inimesest koosnev meeskond, kes püüab maailma paremaks muuta, kasutades palju teadmisi ja väikest eelarvet. Kontaktandmed ja üksikasjad meie sihtasutuse kohta leiate leheküljelt“Meie kohta“.

See projekt viiakse ellu omal algatusel, omavahenditega ja omal ajal. Meie tulemuste või aruannete kasutamise eest ei nõuta mingit tasu ega summat. Samuti ei ole makseseinu teabe vaatamise või selle taaskasutamise eest teiste poolt. Kõik meie tulemused on kättesaadavad avatud andmetena.

Nii et me teeme seda algatust iseendast. Kuid meie igapäevast tegevust toetavad rahaliselt muu hulgas SIDNi fond, Infoturbe- ja eraelu puutumatuse kaitse keskus, Digitaalse infrastruktuuri riiklik inspektsioon, Madalmaade valitsus ja rohkem kui 30 meie sihtasutuse osalevat organisatsiooni. Tehnilisi ressursse sponsoreerivad meid CoBytes, Procolix, SURF, Sentry, Hack42 ja GitLab.

Muud tulud, mida me saame:

• Uurimisülesanded,
• Uute mõõtmiste ja platvormide väljatöötamine,
• Osalejate sissemaksed meie sihtasutusele,
• Sektorite mõõtmiste teostamine taotluse korral.

Meid on võimalik sponsoreerida või toetada valitsuse poolt, kui meie sõltumatu positsioon on tagatud. Palun võtke selleks ühendust elger@internetcleanup.foundation. Kõikide muude küsimuste puhul: palun kasutage aadressid jaotises “Saavutatavus”.

Meie sihtasutuse liikmeks on võimalik saada. Me ei ole seda võimalust veel teadlikult SecurityBaseline.eu-s kättesaadavaks teinud, sest see võib tunduda nii, nagu oleksime kommertsettevõte. See muutub kättesaadavaks hiljem, kui seda piisavalt selgitatakse. Varajase osaluse saamiseks võtke palun ühendust aadressil elger@internetcleanup.foundation.

8: Rohkem infot meie kohta

Kontaktandmed ja üksikasjad meie sihtasutuse kohta leiate leheküljelt“Meie kohta“.