Izjava o omejitvi odgovornosti: izvirnik te strani je napisan v nizozemščini. Ta stran je bila samodejno prevedena v druge jezike z uporabo spletne strani DeepL. To lahko povzroči razlike v odtenkih, tonu in pomenu. Če ste v dvomih, se vedno najprej posvetujte z nizozemsko različico. Zaradi visokih stroškov prevodov lahko ta stran vsebinsko zaostaja za nizozemsko različico. Nizozemsko različico te strani obravnavamo kot vodilno.
0: Povzetek
Vaša organizacija je 9. ali 10. februarja prejela e-pošto o preglednosti vladne spletne varnosti. To e-pošto je poslala fundacija Internet Cleanup Foundation vsem regionalnim vladam in organizacijam CERT/ CISRT vseh evropskih držav članic.
Od 10. maja bo spletna varnost vaše organizacije objavljena na spletnem mestu SecurityBaseline.eu. Od 10. februarja do 10. maja bo to spletišče na voljo prek neposredne povezave v prejetem elektronskem sporočilu. Na ta način si boste lahko ogledali rezultate meritev, tako da boste lahko še pred objavo izvedli morebitne izboljšave. Vašo spletno varnost merimo od dnevno do tedensko, tako da so vidne tudi izboljšave. Z meritvami nadaljujemo tudi po objavi.
Izmerjene storitve in objavljene informacije so skrbno premišljene in ne povečujejo novih tveganj v vaših spletnih okoljih. Z našim pristopom so vaša okolja bolj pregledna, zato jih je lažje upravljati in so zato bolj varna. To počnemo na lastno pobudo, v okviru neprofitne fundacije in v svojem prostem času. Kot evropski državljani smo notranje motivirani, da prispevamo k ustvarjanju varne, suverene in zasebnosti prijazne spletne Evrope, in imamo pri tem bogate izkušnje.
Pobuda za merjenje v Evropi povzema naš pristop k merjenju spletne varnosti ključnih organizacij na Nizozemskem. S tem smo začeli leta 2016. Ta je bila tako uspešna in praktična, da so bili naše spletno mesto in dejavnosti vključeni v strateške dokumente nizozemskega ministrstva za varnost in pravosodje ter nizozemskega ministrstva za notranje zadeve in odnose s kraljestvom.
Zaradi vse večje digitalizacije vlad in nedavno povečanega pritiska na suverenost spletnih vlad smo se odločili, da začnemo meriti vse vlade v Evropi. Vlade merimo kot prvi sektor po državah, saj lahko določajo smernice in zakone zase in za druge.
Obširne informacije o nas in tej pobudi so na tej strani. Fundacija Internet Cleanup Foundation želi vsem varno spletno Evropo.
Elger Jonker, Johan Bloemberg, Wouter Goyen
Vsebina
- Kaj se bo zgodilo
- Študija primera: Nizozemska, merjena od leta 2016
- Časovni okvir obravnave, objave in področja uporabe
- Politika fundacije Internet Cleanup
- Dostopnost
- Kako so nastali zemljevidi in obvestila
- Finančni pregled
1: Kaj se bo zgodilo
Od 10. maja bo osnovna spletna varnost vaše organizacije objavljena na spletni strani https://securitybaseline.eu. Objavljene informacije lahko vsebujejo ranljivosti vaše spletne infrastrukture, vendar ne povečujejo obstoječega tveganja. Do objave lahko do svojih ranljivosti dostopate prek povezav, ki ste jih prejeli v navedenem elektronskem sporočilu.
Med 10. februarjem in 10. majem so trije meseci. Tem trem mesecem pravimo obdobje vzpona. To obdobje je v skladu s časovnim okvirom, ki je skupen smernicam “usklajenega razkritja ranljivosti” več evropskih držav članic. Načeloma je vse, kar merimo in objavljamo, že informacija javnega značaja. Zato tega obdobja ne uporabljamo za izpolnjevanje postopka usklajenega razkrivanja ranljivosti, temveč za uporabo obstoječih poti in postopkov v evropskih državah članicah, ki so bili vzpostavljeni za krepitev informacijske varnosti.
Na našem spletnem mestu boste videli zemljevide različnih ravni vaše vlade. Na teh zemljevidih je varnost označena z barvo semaforja: rdeča, oranžna in zelena. Zelena pomeni, da je vse v redu, rdeča pa, da je prisotna ena ali več ranljivosti. Oranžna barva zahteva ukrepanje, vendar manj hitro kot rdeča. Primer študije primera za Nizozemsko, ki je naveden v nadaljevanju te strani, prikazuje, kako je Nizozemska uspešna. Ta zemljevid je že v javni domeni, saj je že več let javna informacija.
Zavedamo se, da lahko naš pristop sproži vprašanja ali da se ne bo takoj zdel prijeten ali koristen. Zavedamo se tudi, da se kulture v različnih evropskih državah zelo razlikujejo. Naš cilj je ustvariti odpornejšo spletno Evropo. Preglednost je ustrezno sredstvo za dosego tega cilja. Predvidevamo, da želi vlada dobro zaščititi evropske državljane. To bi se moralo odraziti v visokokakovostnih spletnih storitvah. Prav to je tisto, kar je neodvisno merljivo in preverljivo: to je tisto, kar ponujamo.
2: Študija primera: Nizozemska, merjena od leta 2016
Glavna spletna mesta nizozemskih občin smo začeli meriti leta 2016. Z leti se je merjenje razširilo na vsa spletna mesta vseh nizozemskih vlad. Enake meritve izvajamo tudi za vse nizozemske izobraževalne ustanove, zdravstveno varstvo in kritično infrastrukturo. Ti podatki so javni za vse. Vključujejo približno 330 000 naslovov 10 000 organizacij, izmerjenih v 25 sklepih. Te podatke si lahko ogleda vsakdo.
Na Nizozemskem je naša pobuda omogočila več sto tisoč izboljšav informacijske varnosti. Z uporabo vodilnih meritev, ki jih izvajajo na primer internet.nl, in lastnih meritev zasebnosti že leta pomagamo državi, v kateri živimo, da postane in ostane varna.
Ta uspeh je tudi razlog, da je Nizozemska edina država, ki je že javno vidna na portalu SecurityBaseline.eu: skoraj vse organizacije so namreč že dosegle zeleno oceno, medtem ko so v enakem obsegu in meritvah skoraj vse druge evropske vladne organizacije še vedno ocenjene kot nezadostno varne. Nizozemska je torej že več let pred preostalo Evropo. To ni samo naša zasluga, ampak tudi zasluga vlade, ki je sprejela in usmerja standarde ter ima na primer zakonodajo za šifriranje.
Nizozemska vlada ima odprto kulturo. Ta kultura je zapisana tudi v zakonodaji z“Zakonom o odprti vladi”: ta daje vsakemu državljanu pravico do dostopa do javnih informacij, ne da bi moral izpolnjevati kakršne koli pogoje. Nizozemska vlada želi biti pregledna in je zato dostopna. Vlada si upa nakazati, kje so potrebne izboljšave, zato je bila tudi naša pobuda za merjenje nizozemske vlade dobro sprejeta.
Naša spletna stran in dejavnosti so objavljene v strateških dokumentih nizozemskega ministrstva za varnost in pravosodje ter ministrstva za notranje zadeve in odnose s kraljevino.
Na Nizozemskem izvajamo tudi vse vrste raziskav. Na primer, odkrili smo naslednja odkritja, članki so v nizozemščini:
- Nizozemska vlada v svojih pregledih pogreša več tisoč območij (2025)
- Vlada prosi za dovoljenje za sledenje obiskovalcev na 100 različnih načinov (2024)
- 4 % vladnih spletišč objavlja neželene sledilne piškotke za sledenje obiskovalcev (2023).
- 33 % vladnih spletnih mest ne spoštuje zakona o uporabi ustreznega šifriranja na spletnih straneh (2023)
- 7 % pošte nizozemski vladi pošljejo neevropske stranke (2024)
Na spodnjih slikah je prikazana začasna različica zemljevidov nizozemskih provinc in občin. Ta je bila pridobljena s spletne strani SecurityBaseline.eu in je že javno dostopna, saj je skoraj vse v redu.
Spodnja slika zaslona je vzeta z našega nizozemskega spletnega mesta: basisbeveiliging.nl. Na njej so prikazane tri ravni oblasti. Presenetljivo je, da je barva na zemljevidih pretežno rdeča. To je zato, ker na Nizozemskem ne merimo le glavnega sedeža organizacije, temveč tudi vse sedeže projektov (na primer novih okrožij, novih avtocest, kampanj in tako naprej). Vidimo lahko, da je med občinami 62 % od 26 655 izmerjenih naslovov občin dobilo dobro oceno.
3: Časovni razpored branja, objave, področje uporabe
Časovni razpored objave je naslednji:
- 10. februar 2026: e-pošta s kratkim predhodnim obvestilom in povezavo do tega besedila
- 10. februar 2026: začetek obdobja pregleda meritev in izboljšav
- Inšpekcijsko obdobje od 10. februarja do 10. maja:
- Popolni izmerjeni organi
- Poostritev meritev TLS iz internet.nl v skladu s smernicami NCSC-NL 2025 11
- Morebitno dodajanje novih meritev in vizualizacije digitalne suverenosti
- Samo glavne domene in poddomene vlade, brez domen za projekte
- Zahteve za spremembe so možne, sprejeta ali zamenjana pa bo le uradna domena. Drugi zahtevki za dodatne domene bodo shranjeni do konca tega obdobja.
- 10. maj 2026: objava ugotovitev z raziskovalnim člankom o primerjavi držav
- Obdobje po 10. maju 2026:
- dodajanje več organov in spletnih mest, po možnosti tudi projektnih domen
- Sprejete zahteve za spremembe za nove domene
V spodnji preglednici so prikazana vsa naša spletna mesta in informacije, ki jih lahko najdete na njih. Iz nje je razvidno, da je število organizacij SecurityBaseline veliko, saj jih je več kot 75 000. Število povezanih domen je še vedno majhno in znaša 120 000: to število bo naraslo na povprečno 10 poddomen na domeno.
| Spletna stran | Organizacije | Velikost internetnih naslovov | Meritve |
|---|---|---|---|
| SecurityBaseline.eu (novo spletno mesto) | Vsi regionalni evropski organi + organizacije CSIRT (76 575) | Glavna domena + poddomene (120 257) | Vseh 25 metrik: varnost, zasebnost in suverenost |
| Basisbeveiliging.nl | Celotna nizozemska vlada, vitalne zadeve, izobraževanje, zdravstvo, politika, kibernetska varnost (11.843) | Vse domene, kolikor jih lahko najdemo (361.688) | Vseh 25 metrik: varnost, zasebnost in suverenost |
| Basisbeveiliging.be (po 10. maju ni več potrebno) | Regionalne vlade Belgije (640) | Glavna domena + poddomene (5.789) | FTP, DMARC, DKIM, SPF, DNSSEC |
| Basistoegankelijk.nl | Vse nizozemske vlade, vitalne zadeve, izobraževanje, zdravstvo, politika, kibernetska varnost (11.843) | Vse domene, kolikor jih lahko najdemo (361.688) | 94 metrik o dostopnosti spletnih strani |
4: Politika fundacije Internet Cleanup
SecurityBaseline objavlja varnostne meritve na premišljen način. Naši premisleki so vključeni v naš kodeks ravnanja. Meritve izvajamo dnevno do tedensko.
SecurityBaseline deluje po naslednjem postopku:
Katera področja organizacij se merijo, je natančno navedeno v politiki področij. Vse meritve, opravljene na teh področjih, so vključene v politiko meritev. Ker je nemogoče vse odločitve v infrastrukturi IT obravnavati enako, lahko organizacije prijavijo izjeme. To se imenuje “upoštevaj ali pojasni” ali “spoštuj ali pojasni”. Številne od teh izjav so samodejno dodane z avtomatiziranimi izjemami v politiko meritev. Dobra izjava izpolnjuje več zahtev.
Kaj točno bo objavljeno in kaj ne, je opisano v pravilniku o objavljanju. Opravljena skeniranja čim jasneje kažejo nazaj na SecurityBaseline, po možnosti neposredno na stran scaninfo ( samo v angleščini ). Za vse meritve in objave velja ta izjava o omejitvi odgovornosti ( samo v angleščini).
5: Dostopnost
Do fundacije Internet Cleanup se lahko obrnete po dveh poteh:
1: Pošljite e-pošto na naslov info@internetcleanup.foundation. Elektronska sporočila v tujih jezikih bomo pretvorili v nizozemščino ali angleščino. Zaradi tega se lahko izgubi niansiranost. Vso pošto preberemo, vendar lahko včasih traja več tednov, preden najdemo čas za odgovor.
2: Discord: Obiščite naš kanal Discord na naslovu https://discord.gg/FzadeDrptx vprašajte za Elgerja, Johana ali Wouterja. Tam boste našli tudi kanal za podporo, v katerem obravnavamo različne teme.
6: Kako so nastali zemljevidi in obvestila
Zemljevidi temeljijo na javnih podatkih iz Open Street Map (območja in imena vlad) v kombinaciji z javnimi podatki iz Wikidata (naslovi spletnih strani). Za sloj CSIRT je bil seznam organizacij in lokacij zbran ročno. Skupaj je bilo sestavljenih 90 zemljevidov. Izmerjene so vse evropske države, ki so podpisale Pogodbo o Evropskem gospodarskem prostoru, in Švica. Švico smo vključili, ker je ena redkih držav, ki vse svoje internetne domene daje na voljo prek odprtih podatkov, kar je napredno.
Namenoma smo glavno vladno spletno mesto naredili za del skupine CSIRT. Seveda to ni način, kako se uradno nalaga odgovornost. Na to gledamo bolj kot na družbeno odgovornost. Upamo, da bo po tej poti glavno vladno spletišče bolje zavarovano, če se bo pojavila potreba.
Zaradi 24 jezikov, ki se govorijo v Evropi, so glavne strani tega spletnega mesta in SecurityBaseline.eu prevedene v vse te jezike. Prevod je opravila spletna stran DeepL, razen če jezik ni bil na voljo (npr. malteščina in islandščina). Prevajanje spletnih strani v takšnem obsegu se je izkazalo za drago. Ponosni smo, da je večina vseh besedil na spletišču na voljo v večini evropskih jezikov, vključno z irščino in grščino, čeprav so v prevodih včasih napake.
Vlade in organizacije CSIRT so bile predhodno obveščene po elektronski pošti v uradnih jezikih držav članic. Predhodno obvestilo je bilo poslano na vse elektronske naslove lokalnih vlad in organizacij CSIRT, kolikor jih je bilo mogoče najti. Nekaj jih je bilo pridobljenih iz Wikidata, nekaj pa samodejno zbranih in filtriranih z lastno programsko opremo. Skupaj je bilo poslanih več deset tisoč elektronskih sporočil. Elektronska sporočila so poslana enkrat, da bi se izognili nevšečnostim. Pričakujemo, da se vlade med seboj pogovarjajo in da so komunikacijske linije med skupino CSIRT in lokalnimi vladami dobre. Če bi torej pozabili ali ne bi mogli doseči organizacije, nam to obstoječe socialno omrežje služi kot oporna točka.
Z 90 novimi zemljevidi in več tisoč upravami se lahko kdaj tudi zmotimo. Za nevšečnosti se opravičujemo. Čas, ki ga bomo izkoristili za branje, bomo izkoristili za nadaljnje izboljšave zemljevidov in informacij na straneh.
7: Kako je s finančnimi sredstvi?
Smo fundacija Internet Cleanup iz Nizozemske. Smo majhna ekipa treh ljudi, ki si z veliko znanja in majhnim proračunom prizadeva izboljšati svet. Kontaktne podatke in podrobnosti o naši fundaciji najdete na strani“O nas“.
Ta projekt izvajamo na lastno pobudo, z lastnimi sredstvi in v lastnem času. Za uporabo naših ugotovitev ali poročil ni potrebno nobeno plačilo ali znesek. Prav tako ni nobenih plačilnih sten za ogled informacij ali njihovo ponovno uporabo s strani drugih. Vse naše ugotovitve so na voljo kot odprti podatki.
Zato to pobudo izvajamo od sebe. Naše vsakodnevne dejavnosti pa med drugim finančno podpirajo sklad SIDN, Center za informacijsko varnost in varstvo zasebnosti, Državni inšpektorat za digitalno infrastrukturo, nizozemska vlada in več kot 30 sodelujočih organizacij naše fundacije. Tehnične vire sponzorirajo družbe CoBytes, Procolix, SURF, Sentry, Hack42 in GitLab.
Drugi prihodki, ki jih dobimo iz:
- Raziskovalne naloge,
- Razvoj novih meritev in platform,
- Prispevki udeležencev naši fundaciji,
- Izvajanje meritev sektorjev na zahtevo.
Vlada nas lahko sponzorira ali podpira, če je zagotovljen naš neodvisni položaj. Za to se obrnite na elger@internetcleanup.foundation. Za vsa druga vprašanja: uporabite naslove v razdelku Dosegljivost.
Lahko postanete udeleženec naše fundacije. Te možnosti na spletni strani SecurityBaseline.eu namenoma še nismo dali na voljo, saj bi se to lahko zdelo, kot da smo komercialno podjetje. Ta možnost bo na voljo pozneje z zadostnimi pojasnili. Za zgodnje sodelovanje se obrnite na elger@internetcleanup.foundation.
8: Več o nas
Kontaktne podatke in podrobnosti o naši fundaciji najdete na strani“O nas“.