Kunngjøring av grunnleggende måling av cybersikkerhet i Europa

Ansvarsfraskrivelse: Originalen av denne siden er skrevet på nederlandsk. Denne siden er automatisk oversatt til andre språk ved hjelp av DeepL. Dette kan føre til forskjeller i nyanser, tonefall og betydning. Hvis du er i tvil, bør du alltid konsultere den nederlandske versjonen først. På grunn av de høye kostnadene ved oversettelser kan denne siden ligge etter den nederlandske versjonen når det gjelder innhold. Vi anser den nederlandske versjonen av denne siden som ledende.     

0: Sammendrag

Den 9. eller 10. februar mottok din organisasjon en e-post om åpenhet om myndighetenes sikkerhet på nettet. E-posten kom fra Internet Cleanup Foundation og ble sendt til alle regionale myndigheter og CERT/CISRT-organisasjoner i alle europeiske medlemsland.

Fra 10. mai vil organisasjonens sikkerhet på nettet bli offentliggjort på nettstedet SecurityBaseline.eu. Fra 10. februar til 10. mai vil dette nettstedet være tilgjengelig via den direkte lenken i e-posten du har mottatt. På den måten kan måleresultatene ses, slik at eventuelle forbedringer fortsatt kan gjøres før publisering. Vi måler sikkerheten din på nettet daglig til ukentlig, slik at du også kan se forbedringer. Vi fortsetter å måle, også etter publisering.

De målte tjenestene og den publiserte informasjonen er nøye gjennomtenkt og tilfører ikke nye risikoer til nettmiljøene dine. Vår tilnærming gjør miljøene dine mer transparente, noe som gjør dem mer håndterbare og dermed sikrere. Vi gjør dette på eget initiativ, fra en ideell stiftelse, på fritiden. Som europeiske borgere er vi motiverte til å bidra til å skape et sikkert, suverent og personvernvennlig Europa på nettet, og vi har lang erfaring med å gjøre dette.

Initiativet for å måle Europa er en kopi av vår tilnærming til måling av nettsikkerheten til viktige organisasjoner i Nederland. Vi startet med dette i 2016. Dette har vært så vellykket og praktisk at nettstedet vårt og aktivitetene våre har blitt inkludert i policydokumenter fra det nederlandske sikkerhets- og justisdepartementet og det nederlandske innenriksdepartementet.

Med den økende digitaliseringen av myndigheter og det nylig økte presset på nettbaserte myndigheters suverenitet, bestemte vi oss for å begynne å måle alle myndigheter i Europa. Vi måler myndigheter som den første sektoren i hvert land, fordi de er i stand til å fastsette retningslinjer og lover for seg selv og andre.

Omfattende bakgrunnsinformasjon om oss og dette initiativet finner du på denne siden. Internet Cleanup Foundation ønsker alle et trygt Europa på nett.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Innholdsfortegnelse

1. Hva vil skje
2. Casestudie: Nederland målt siden 2016
3. Tidslinje for gjennomlesning, publisering og omfang
4. Retningslinjer for Internet Cleanup Foundation
5. Tilgjengelighet
6. Hvordan ble kartene og kunngjøringene til
7. Finansiell oversikt

1: Hva kommer til å skje

Fra og med 10. mai vil organisasjonens grunnleggende sikkerhet på nettet bli publisert på https://securitybaseline.eu. Den publiserte informasjonen kan inneholde sårbarheter i din nettbaserte infrastruktur, men øker ikke den eksisterende risikoen. Frem til publiseringen kan du få tilgang til sårbarhetene dine ved å bruke lenkene du har mottatt i e-posten.

Det er tre måneder mellom 10. februar og 10. mai. Vi kaller disse tre månedene for oppkjøringsperioden. Denne perioden er i tråd med tidsrammen som er vanlig innenfor retningslinjene for «Coordinated Vulnerability Disclosure» i flere europeiske medlemsland. I prinsippet er alt vi måler og publiserer allerede offentlig informasjon. Vi bruker derfor ikke denne perioden til å etterleve «Coordinated Vulnerability Disclosure»-prosessen, men til å benytte oss av de eksisterende rutinene og prosessene som er innført i de europeiske medlemslandene for å styrke informasjonssikkerheten.

På nettstedet vårt kan du se kart over de ulike lagene i din regjering. På disse kartene er sikkerheten angitt med fargen på et trafikklys: rødt, oransje og grønt. Grønt betyr at alt er i orden, mens rødt betyr at det finnes en eller flere sårbarheter. Oransje krever handling, men ikke like raskt som rødt. Eksemplet på en casestudie av Nederland, lenger ned på denne siden, viser hvordan Nederland ligger an. Dette kartet er allerede offentlig tilgjengelig, ettersom det har vært offentlig informasjon i mange år.

Vi er klar over at vår tilnærming kan vekke spørsmål eller ikke umiddelbart oppfattes som hyggelig eller verdifull. Vi er også klar over at det er store kulturelle forskjeller mellom ulike europeiske land. Målet vårt er å skape et mer robust Europa på nett. Åpenhet er et egnet middel for å nå dette målet. Vi går ut fra at myndighetene ønsker å beskytte europeiske borgere på en god måte. Dette bør gi seg utslag i nettjenester av høy kvalitet. Det er nettopp dette som er uavhengig målbart og verifiserbart: det er det vi tilbyr.

2: Casestudie: Nederland målt siden 2016

Vi begynte å måle de viktigste nettsidene til nederlandske kommuner i 2016. I årenes løp har dette blitt utvidet til å omfatte alle nettstedene til alle nederlandske myndigheter. Vi utfører også de samme målingene på alle nederlandske utdanningsinstitusjoner, helsevesenet og kritisk infrastruktur. Disse dataene er offentlige for alle. Det dreier seg om rundt 330 000 adresser til 10 000 organisasjoner, målt i 25 konklusjoner. Denne informasjonen kan ses av hvem som helst.

I Nederland har initiativet vårt ført til hundretusener av forbedringer av informasjonssikkerheten. Ved å bruke ledende målinger, blant annet fra internet.nl og våre egne personvernmålinger, har vi hjulpet landet vi bor i med å bli og forbli trygt i årevis.

Denne suksessen er også grunnen til at Nederland er det eneste landet som allerede er offentlig synlig på SecurityBaseline.eu: Nesten alle organisasjoner scorer faktisk allerede grønt, mens nesten alle andre europeiske offentlige organisasjoner fortsatt scorer utilstrekkelig sikkert i samme omfang og med samme målestokk. Nederland ligger altså allerede mange år foran resten av Europa. Dette skyldes ikke bare oss, men også at myndighetene har vedtatt og styrer standarder og har lovgivning for kryptering, for eksempel.

Den nederlandske regjeringen har en åpen kultur. Denne kulturen er også nedfelt i lovverket gjennom«Open Government Act«, som gir alle borgere rett til å få tilgang til offentlig informasjon uten å måtte oppfylle noen betingelser. Den nederlandske regjeringen ønsker derfor å være åpen og er derfor tilgjengelig. Myndighetene tør å si ifra om hvor det er behov for forbedringer, og derfor har vårt initiativ for å måle den nederlandske regjeringen også blitt godt mottatt.

Nettstedet vårt og aktivitetene våre er omtalt i policydokumenter fra det nederlandske sikkerhets- og justisdepartementet og innenriksdepartementet.

I Nederland driver vi også med alle typer forskning. Vi har for eksempel gjort følgende funn, artiklene er på nederlandsk:

• Nederlandske myndigheter overser mange tusen steder i sine oversikter (2025)
• Myndighetene ber om tillatelse til å spore besøkende på 100 ulike måter (2024)
• 4 % av offentlige nettsteder legger ut uoppfordrede sporingskjeks for å spore besøkende (2023)
• 33 % av offentlige nettsteder følger ikke loven om å bruke riktig kryptering på nettsteder (2023)
• 7 % av posten til den nederlandske regjeringen går gjennom ikke-europeiske partier (2024)

Skjermbildene nedenfor viser en midlertidig versjon av kartene over nederlandske provinser og kommuner. Dette ble hentet fra SecurityBaseline.eu og er allerede offentlig tilgjengelig fordi nesten alt er i orden.

Skjermbildet nedenfor er hentet fra vårt nederlandske nettsted: basisbeveiliging.nl. Det viser tre myndighetsnivåer. Det som er påfallende, er at fargene på kartene er overveiende røde. Dette skyldes at vi i Nederland ikke bare måler hovedkontoret til en organisasjon, men også alle kontorsteder for prosjekter (for eksempel nye bydeler, nye motorveier, kampanjer og så videre). Vi ser at 62 % av de 26 655 adressene til kommunene som er målt, skårer godt blant kommunene.

3: Tidslinje for gjennomlesning, publisering, omfang

Tidslinjen for publisering er som følger:

• 10. februar 2026: E-post med kort forhåndsvarsel og lenke til denne teksten
• 10. februar 2026: Start av perioden for inspeksjon av målinger og utbedringer
• Inspeksjonsperiode 10. februar – 10. mai:
  • Fullstendige målte myndigheter
  • Stramming av TLS-målinger fra internet.nl i henhold til NCSC-NL 2025-retningslinjene 11
  • Mulig tillegg av ny måling og visualisering av digital suverenitet
  • Bare hoveddomener og underdomener for myndigheter, ingen domener for prosjekter
  • Endringsforespørsler kan gjøres, men kun det offisielle domenet vil bli akseptert eller erstattet. Andre forespørsler om ytterligere domener vil bli oppbevart til etter denne perioden
• 10. mai 2026: Publisering av funn med forskningsartikkel som sammenligner land
• Periode etter 10. mai 2026:
  • Legge til flere myndigheter og nettsteder, eventuelt også prosjektdomener
  • Endringsforespørsler om nye domener godtas

Omfangstabellen nedenfor viser alle nettstedene våre og hvilken informasjon som finnes på dem. Her ser man at SecurityBaseline har et stort antall organisasjoner, over 75 000. Antallet relaterte domener er fortsatt lavt, 120 000. Dette vil vokse til et gjennomsnitt på 10 underdomener per domene.

Nettsted	Organisasjoner	Størrelse på internettadresser	Målinger
SecurityBaseline.eu (det nye nettstedet)	Alle regionale europeiske myndigheter + CSIRT-organisasjoner (76 575)	Hoveddomene + underdomener (120 257)	Alle 25 måleparametere: sikkerhet, personvern og suverenitet
Basisbeveiliging.nl	Hele den nederlandske regjeringen, livsviktig, utdanning, helsevesen, politikk, cybersikkerhet (11,843)	Alle domener så langt vi kan finne dem (361 688)	Alle 25 beregninger: sikkerhet, personvern og suverenitet
Basisbeveiliging.be (ikke lenger nødvendig etter 10. mai)	Regionale myndigheter i Belgia (640)	Hoveddomene + underdomener (5 789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Alle nederlandske myndigheter, livsviktig, utdanning, helsevesen, politikk, cybersikkerhet (11,843)	Alle domener så langt vi kan finne dem (361 688)	94 målinger av nettstedets tilgjengelighet

4: Retningslinjer for Internet Cleanup Foundation

SecurityBaseline publiserer sikkerhetsmålinger på en gjennomtenkt måte. Våre vurderinger er samlet i våre etiske retningslinjer. Vi måler fra daglig til ukentlig.

SecurityBaseline fungerer i henhold til følgende prosess:

Nøyaktig hvilke organisasjonsdomener som måles, er angitt i domenepolicyen. Alle målinger som utføres på disse domenene, er samlet i målepolicyen. Fordi det er umulig å behandle alle beslutninger i IT-infrastrukturen på samme måte, kan organisasjoner erklære unntak. Dette kalles «comply or explain» eller «overhold eller forklar». Mange av disse erklæringene legges automatisk til i målepolicyen ved hjelp av automatiserte unntak. En god erklæring oppfyller en rekke krav.

Nøyaktig hva som publiseres og ikke, er beskrevet i retningslinjene for publisering. Utførte skanninger peker tilbake til SecurityBaseline så tydelig som mulig, om mulig direkte til skanningsinformasjonssiden (kun på engelsk). Alle målinger og publiseringer er underlagt denne ansvarsfraskrivelsen (kun på engelsk).

5: Tilgjengelighet

Internet Cleanup Foundation kan nås på to måter:

1: E-post til info@internetcleanup.foundation. Vi konverterer e-post på fremmedspråk til nederlandsk eller engelsk. Dette kan føre til at nyanser går tapt. All e-post blir lest, men det kan noen ganger ta flere uker før vi finner tid til å svare.
2: Discord: Besøk vår discord-kanal på https://discord.gg/FzadeDrptx og spør etter Elger, Johan eller Wouter. Der finner du også en supportkanal der ulike temaer blir tatt opp.

6: Hvordan ble kartene og kunngjøringene til?

Kartene er basert på offentlige data fra Open Street Map (områder og navn på myndigheter), kombinert med offentlige data fra Wikidata (adresser til nettsteder). For CSIRT-laget ble det samlet inn en liste over organisasjoner og lokasjoner manuelt. Til sammen 90 kart ble satt sammen. Alle europeiske land som har undertegnet EØS-avtalen, er tatt med, i tillegg til Sveits. Vi inkluderer Sveits fordi det er et av de få landene som gjør alle sine internettdomener tilgjengelige via åpne data, noe som er progressivt.

Vi har bevisst gjort regjeringens hovednettsted til en del av CSIRT. Det er selvsagt ikke slik ansvaret formelt er plassert. Vi ser dette mer som et samfunnsansvar. Vi håper at regjeringens hovednettsted på denne måten vil være bedre sikret hvis behovet skulle oppstå.

På grunn av de 24 språkene som snakkes i Europa, er hovedsidene på dette nettstedet og på SecurityBaseline.eu oversatt til alle disse språkene. Oversettelsen ble utført av DeepL, med mindre språket ikke var tilgjengelig (f.eks. maltesisk og islandsk). Det er kostbart å oversette nettsteder i denne størrelsesordenen. Vi er stolte av at mesteparten av all tekst på nettstedet er tilgjengelig på de fleste europeiske språk, inkludert irsk og gresk, selv om det av og til forekommer feil i oversettelsene.

Forhåndsvarslingen til myndigheter og CSIRT-organisasjoner ble gjort via e-post på de offisielle språkene i medlemslandene. Denne forhåndsmeldingen ble sendt til alle e-postadresser til lokale myndigheter og CSIRT-organisasjoner så langt det var mulig å finne dem. Noe av dette kom fra Wikidata, noe ble automatisk samlet inn og filtrert med egenskrevet programvare. Til sammen ble det sendt titusenvis av e-poster. E-poster sendes én gang for å unngå ulemper. Vi forventer at myndigheter snakker med hverandre, og at kommunikasjonslinjene mellom CSIRT og lokale myndigheter er gode. Så hvis vi skulle ha glemt eller ikke får tak i en organisasjon, fungerer dette eksisterende sosiale nettverket som en backstop.

Med 90 nye kart og mange tusen administrasjoner er det en sjanse for at vi kan ta feil noen ganger. Vi beklager ulempene dette medfører. Vi vil bruke perioden til å finjustere kartene og informasjonen på nettsidene ytterligere.

7: Hvordan fungerer dette økonomisk?

Vi er Internet Cleanup Foundation fra Nederland. Vi er et lite team på tre personer som prøver å gjøre verden til et bedre sted med mye kunnskap og et lite budsjett. Kontaktinformasjon og detaljer om stiftelsen vår finner du på siden«Om oss«.

Dette prosjektet gjennomføres på eget initiativ, med egne ressurser og på egen tid. Det kreves ingen betaling eller beløp for å bruke våre funn eller rapporter. Det er heller ingen betalingsvegger for å se informasjon eller gjenbruke den av andre. Alle våre funn er tilgjengelige som åpne data.

Så vi gjør dette initiativet fra oss selv. Men våre daglige aktiviteter støttes økonomisk av blant annet SIDN-fondet, Senter for informasjonssikkerhet og personvern, Statens tilsyn for digital infrastruktur, den nederlandske regjeringen og mer enn 30 deltakende organisasjoner i stiftelsen vår. Vi får tekniske ressurser sponset fra CoBytes, Procolix, SURF, Sentry, Hack42 og GitLab.

Andre inntekter vi får fra:

• Forskningsoppgaver,
• Utvikle nye målemetoder og plattformer,
• Bidrag fra deltakerne til stiftelsen vår,
• Utfører målinger av sektorer på forespørsel.

Det er mulig å sponse eller støtte oss fra statlig hold, så lenge vår uavhengige stilling er garantert. Vennligst kontakt elger@internetcleanup.foundation for dette. For alle andre spørsmål: vennligst bruk adressene i avsnittet om tilgjengelighet.

Det er mulig å bli deltaker i stiftelsen vår. Vi har bevisst ikke gjort denne muligheten tilgjengelig på SecurityBaseline.eu ennå, fordi det kan oppfattes som om vi er et kommersielt foretak. Dette vil bli tilgjengelig senere med tilstrekkelig avklaring. For tidlig deltakelse, vennligst kontakt elger@internetcleanup.foundation.

8: Mer om oss

Kontaktinformasjon og detaljer om stiftelsen vår finner du på siden«Om oss«.