Ogłoszenie podstawowych pomiarów cyberbezpieczeństwa w Europie

Zastrzeżenie: Oryginał tej strony został napisany w języku niderlandzkim. Ta strona została automatycznie przetłumaczona na inne języki za pomocą DeepL. Może to skutkować różnicami w niuansach, tonie i znaczeniu. W razie wątpliwości należy zawsze najpierw zapoznać się z wersją holenderską. Ze względu na wysokie koszty tłumaczeń, niniejsza strona może pozostawać w tyle za wersją holenderską pod względem treści. Uważamy holenderską wersję tej strony za wiodącą.     

0: Podsumowanie

W dniu 9 lub 10 lutego Twoja organizacja otrzymała wiadomość e-mail dotyczącą przejrzystości w zakresie rządowego bezpieczeństwa online. Wiadomość ta pochodziła od Internet Cleanup Foundation i została wysłana do wszystkich rządów regionalnych i organizacji CERT / CISRT we wszystkich europejskich państwach członkowskich.

Od 10 maja informacje o bezpieczeństwie online organizacji będą dostępne na stronie SecurityBaseline.eu. Od 10 lutego do 10 maja strona ta będzie dostępna za pośrednictwem bezpośredniego linku w otrzymanej wiadomości e-mail. W ten sposób będzie można zapoznać się z wynikami pomiarów, aby jeszcze przed publikacją wprowadzić ewentualne ulepszenia. Pomiary bezpieczeństwa online przeprowadzamy codziennie lub co tydzień, aby można było zaobserwować poprawę. Kontynuujemy pomiary nawet po publikacji.

Zmierzone usługi i opublikowane informacje są starannie przemyślane i nie zwiększają ryzyka w środowisku online. Nasze podejście sprawia, że środowiska są bardziej przejrzyste, dzięki czemu są łatwiejsze w zarządzaniu, a tym samym bezpieczniejsze. Robimy to z własnej inicjatywy, z fundacji non-profit, w wolnym czasie. Jako obywatele Europy jesteśmy wewnętrznie zmotywowani do odegrania naszej roli w tworzeniu bezpiecznej, suwerennej i przyjaznej dla prywatności Europy online i mamy w tym duże doświadczenie.

Inicjatywa Measure Europe powiela nasze podejście do pomiaru bezpieczeństwa online kluczowych organizacji w Holandii. Rozpoczęliśmy ją w 2016 roku. Okazało się to tak skuteczne i praktyczne, że nasza strona internetowa i działania zostały uwzględnione w dokumentach politycznych holenderskiego Ministerstwa Bezpieczeństwa i Sprawiedliwości oraz holenderskiego Ministerstwa Spraw Wewnętrznych i Stosunków Królestwa.

Wraz z rosnącą cyfryzacją rządów i zwiększoną ostatnio presją na suwerenność rządów online, zdecydowaliśmy się rozpocząć pomiar wszystkich rządów w Europie. Mierzymy rządy jako pierwszy sektor według kraju, ponieważ są one w stanie ustalać wytyczne i prawa dla siebie i innych.

Obszerne informacje ogólne o nas i tej inicjatywie znajdują się na tej stronie. Fundacja Internet Cleanup życzy wszystkim bezpiecznej Europy online.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Spis treści

1. Co się stanie
2. Studium przypadku: Holandia mierzona od 2016 r.
3. Harmonogram przeglądania, publikacji i zakresu
4. Polityka Fundacji Oczyszczania Internetu
5. Dostępność
6. Jak powstały mapy i ogłoszenia?
7. Przegląd finansowy

1: Co się wydarzy

Od 10 maja podstawowe informacje o bezpieczeństwie online organizacji będą publikowane na stronie https://securitybaseline.eu. Opublikowane informacje mogą zawierać luki w infrastrukturze online, ale nie zwiększają istniejącego ryzyka. Do czasu publikacji można uzyskać dostęp do luk w zabezpieczeniach, korzystając z linków otrzymanych w tej wiadomości e-mail.

Istnieją trzy miesiące między 10 lutego a 10 maja. Te trzy miesiące nazywamy okresem przygotowawczym. Okres ten jest zgodny z ramami czasowymi wspólnymi dla wytycznych „Coordinated Vulnerability Disclosure” kilku europejskich państw członkowskich. Zasadniczo wszystko, co mierzymy i publikujemy, jest już informacją publiczną. Nie wykorzystujemy więc tego okresu, aby zachować zgodność z procesem Coordinated Vulnerability Disclosure, ale aby wykorzystać istniejące drogi i procesy w europejskich państwach członkowskich, które zostały wprowadzone w celu wzmocnienia bezpieczeństwa informacji.

Na naszej stronie internetowej można zobaczyć mapy różnych warstw rządu. Na tych mapach bezpieczeństwo jest oznaczone kolorem sygnalizacji świetlnej: czerwonym, pomarańczowym i zielonym. Zielony oznacza, że wszystko jest w porządku, a czerwony oznacza, że występuje jedna lub więcej luk w zabezpieczeniach. Pomarańczowy kolor wymaga działania, ale mniej szybko niż czerwony. Przykładowe studium przypadku Holandii, w dalszej części tej strony, pokazuje, jak radzi sobie Holandia. Mapa ta znajduje się już w domenie publicznej, ponieważ jest informacją publiczną od wielu lat.

Jesteśmy świadomi, że nasze podejście może budzić wątpliwości lub nie być od razu postrzegane jako przyjemne lub wartościowe. Zdajemy sobie również sprawę, że kultury poszczególnych krajów europejskich znacznie się różnią. Naszym celem jest stworzenie bardziej odpornej Europy online. Przejrzystość jest odpowiednim środkiem do osiągnięcia tego celu. Zakładamy, że rząd chce dobrze chronić europejskich obywateli. Powinno się to przekładać na wysoką jakość usług online. Właśnie to jest niezależnie mierzalne i weryfikowalne: to właśnie oferujemy.

2: Studium przypadku: Holandia mierzona od 2016 r.

Pomiar głównych stron internetowych holenderskich gmin rozpoczęliśmy w 2016 roku. Z biegiem lat rozszerzyliśmy to na wszystkie strony internetowe wszystkich holenderskich rządów. Przeprowadzamy również takie same pomiary we wszystkich holenderskich instytucjach edukacyjnych, służbie zdrowia i infrastrukturze krytycznej. Dane te są publicznie dostępne dla wszystkich. Obejmują one około 330 000 adresów 10 000 organizacji mierzonych w 25 wnioskach. Informacje te mogą być przeglądane przez każdego.

W Holandii nasza inicjatywa doprowadziła do setek tysięcy ulepszeń w zakresie bezpieczeństwa informacji. Korzystając z wiodących pomiarów, takich jak internet.nl i nasze własne pomiary prywatności, od lat pomagamy krajowi, w którym żyjemy, stać się i pozostać bezpiecznym.

Sukces ten jest również powodem, dla którego Holandia jest jedynym krajem już publicznie widocznym na SecurityBaseline.eu: w rzeczywistości prawie wszystkie organizacje uzyskały już wynik zielony, podczas gdy w tym samym zakresie i pomiarach prawie wszystkie inne europejskie organizacje rządowe nadal uzyskują wynik niewystarczająco bezpieczny. Tak więc Holandia jest już wiele lat przed resztą Europy. Dzieje się tak nie tylko dzięki nam, ale także dzięki przyjęciu i sterowaniu przez rząd standardami oraz wprowadzeniu przepisów dotyczących na przykład szyfrowania.

Holenderski rząd ma otwartą kulturę. Kultura ta jest również zapisana w ustawodawstwie poprzez„Open Government Act„: daje to każdemu obywatelowi prawo dostępu do informacji publicznych bez konieczności spełnienia jakichkolwiek warunków. Dlatego też holenderski rząd chce być przejrzysty i dlatego jest dostępny. Rząd ma odwagę wskazać, gdzie potrzebne są ulepszenia, dlatego też nasza inicjatywa pomiaru holenderskiego rządu również została dobrze przyjęta.

Nasza strona internetowa i działania pojawiają się w dokumentach politycznych holenderskiego Ministerstwa Bezpieczeństwa i Sprawiedliwości oraz Ministerstwa Spraw Wewnętrznych i Stosunków Królestwa.

W Holandii prowadzimy również wszelkiego rodzaju badania. Na przykład dokonaliśmy następujących odkryć, artykuły są w języku niderlandzkim:

• Holenderski rząd pomija w swoich przeglądach wiele tysięcy obiektów (2025)
• Rząd prosi o pozwolenie na śledzenie odwiedzających na 100 różnych sposobów (2024)
• 4% stron rządowych publikuje niechciane ciasteczka śledzące w celu śledzenia odwiedzających (2023)
• 33% witryn rządowych nie przestrzega prawa w zakresie stosowania odpowiedniego szyfrowania na stronach internetowych (2023)
• 7% poczty kierowanej do holenderskiego rządu przechodzi przez partie spoza Europy (2024)

Poniższe zrzuty ekranu przedstawiają tymczasową wersję map holenderskich prowincji i gmin. Zostały one pobrane z SecurityBaseline.eu i są już publicznie dostępne, ponieważ prawie wszystko jest w porządku.

Poniższy zrzut ekranu pochodzi z naszej holenderskiej strony: basisbeveiliging.nl. Pokazuje on trzy warstwy rządu. Uderzające jest to, że kolor na mapach jest głównie czerwony. Wynika to z faktu, że w Holandii mierzymy nie tylko główną lokalizację organizacji, ale także wszystkie lokalizacje projektów (nowe dzielnice, nowe autostrady, kampanie itp.). Można zauważyć, że wśród gmin 62% z 26 655 adresów gmin uzyskało dobry wynik.

3: Harmonogram przeglądania, publikacja, zakres

Harmonogram publikacji jest następujący:

• 10 lutego 2026 r.: wiadomość e-mail z krótkim wyprzedzeniem i linkiem do tego tekstu
• 10 lutego 2026: Początek okresu kontroli pomiarów i ulepszeń
• Okres inspekcji od 10 lutego do 10 maja:
  • Kompletne zmierzone władze
  • Zaostrzenie pomiarów TLS z internet.nl zgodnie z wytycznymi NCSC-NL 2025 11
  • Możliwe dodanie nowego pomiaru i wizualizacji suwerenności cyfrowej
  • Rządy tylko głównych domen i subdomen, bez domen dla projektów.
  • Można składać wnioski o zmianę, tylko oficjalna domena zostanie zaakceptowana lub zastąpiona. Inne wnioski o dodatkowe domeny będą rozpatrywane po upływie tego okresu.
• 10 maja 2026 r.: Publikacja wyników wraz z artykułem badawczym porównującym kraje
• Okres po 10 maja 2026 r:
  • Dodanie większej liczby urzędów i witryn, ewentualnie także domen projektów
  • Wnioski o zmianę dla nowych domen są akceptowane

Poniższa tabela przedstawia wszystkie nasze strony internetowe i informacje, które można na nich znaleźć. Widać tutaj, że liczba organizacji SecurityBaseline jest duża i wynosi ponad 75 000. Liczba powiązanych domen jest nadal niska i wynosi 120 000: wzrośnie ona do średnio 10 subdomen na domenę.

Strona internetowa	Organizacje	Rozmiar adresów internetowych	Pomiary
SecurityBaseline.eu (nowa strona internetowa)	Wszystkie regionalne władze europejskie + organizacje CSIRT (76 575)	Domena główna + subdomeny (120 257)	Wszystkie 25 wskaźników: bezpieczeństwo, prywatność i suwerenność
Basisbeveiliging.nl	Cały holenderski rząd, życie, edukacja, opieka zdrowotna, polityka, cyberbezpieczeństwo (11,843)	Wszystkie domeny, o ile możemy je znaleźć (361,688)	Wszystkie 25 wskaźników: bezpieczeństwo, prywatność i suwerenność
Basisbeveiliging.be (po 10 maja nie będzie już potrzebny)	Władze regionalne Belgii (640)	Domena główna + subdomeny (5,789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Cały holenderski rząd, życie, edukacja, opieka zdrowotna, polityka, cyberbezpieczeństwo (11,843)	Wszystkie domeny, o ile możemy je znaleźć (361,688)	94 wskaźniki dostępności stron internetowych

4: Polityka Fundacji Oczyszczania Internetu

SecurityBaseline publikuje pomiary bezpieczeństwa w przemyślany sposób. Nasze rozważania są zawarte w naszym kodeksie postępowania. Dokonujemy pomiarów od codziennych do cotygodniowych.

SecurityBaseline działa zgodnie z następującym procesem:

Dokładnie to, które domeny organizacji są mierzone, jest określone w zasadach dotyczących domen. Wszystkie pomiary wykonywane w tych domenach są zawarte w polityce pomiarów. Ponieważ niemożliwe jest traktowanie wszystkich decyzji w infrastrukturze IT w ten sam sposób, organizacje mogą zadeklarować wyjątki. Nazywa się to „przestrzegaj lub wyjaśnij” lub „przestrzegaj lub wyjaśnij”. Wiele z tych deklaracji jest automatycznie dodawanych przez zautomatyzowane wyjątki do polityki pomiarowej. Dobra deklaracja spełnia szereg wymagań.

To, co dokładnie zostanie opublikowane, a co nie, jest opisane w zasadach publikacji. Wykonane skany wskazują z powrotem na SecurityBaseline tak wyraźnie, jak to możliwe, w miarę możliwości bezpośrednio na stronę scaninfo (tylko w języku angielskim). Wszystkie pomiary i publikacje podlegają niniejszemu zastrzeżeniu (tylko w języku angielskim).

5: Dostępność

Z Internet Cleanup Foundation można skontaktować się na dwa sposoby:

1: Email do info@internetcleanup.foundation. Wiadomości e-mail w językach obcych zostaną przekonwertowane na język holenderski lub angielski. W rezultacie mogą zostać utracone niuanse. Cała poczta jest czytana, ale czasami może minąć kilka tygodni, zanim znajdziemy czas na odpowiedź.
2: Discord: Odwiedź nasz kanał discord pod adresem https://discord.gg/FzadeDrptx i zapytaj o Elgera, Johana lub Woutera. Znajdziesz tam również kanał wsparcia, na którym poruszane są różne tematy.

6: Jak powstały mapy i ogłoszenia?

Mapy są oparte na danych publicznych z Open Street Map (obszary i nazwy rządów), w połączeniu z danymi publicznymi z Wikidata (adresy stron internetowych). W przypadku warstwy CSIRT lista organizacji i lokalizacji została zebrana ręcznie. W sumie skompilowano 90 map. Wszystkie kraje europejskie, które podpisały traktat o Europejskim Obszarze Gospodarczym, zostały uwzględnione wraz ze Szwajcarią. Uwzględniamy Szwajcarię, ponieważ jest to jeden z niewielu krajów, który udostępnia wszystkie swoje domeny internetowe za pośrednictwem otwartych danych, co jest postępowe.

Celowo uczyniliśmy główną rządową stronę internetową częścią CSIRT. Oczywiście nie jest to sposób, w jaki odpowiedzialność jest formalnie inwestowana. Postrzegamy to bardziej jako odpowiedzialność społeczną. Mamy nadzieję, że dzięki temu główna strona rządowa będzie lepiej zabezpieczona w razie potrzeby.

Ze względu na 24 języki używane w Europie, główne strony tej witryny i SecurityBaseline.eu zostały przetłumaczone na wszystkie te języki. Tłumaczenie zostało wykonane przez DeepL, chyba że dany język nie był dostępny (np. maltański i islandzki). Tłumaczenie stron internetowych na taką skalę okazuje się kosztowne. Jesteśmy dumni, że większość tekstu na stronie jest dostępna w większości języków europejskich, w tym irlandzkim i greckim, chociaż czasami w tłumaczeniach występują błędy.

Wstępne ogłoszenie skierowane do samorządów i organizacji CSIRT odbyło się za pośrednictwem wiadomości e-mail w językach urzędowych państwa członkowskiego. To wstępne ogłoszenie zostało wysłane na wszystkie adresy e-mail samorządów lokalnych i organizacji CSIRT, o ile można je było znaleźć. Część z nich pochodziła z Wikidata, część została automatycznie zebrana i przefiltrowana za pomocą samodzielnie napisanego oprogramowania. W sumie wysłano dziesiątki tysięcy e-maili. E-maile są wysyłane raz, aby uniknąć niedogodności. Oczekujemy, że rządy rozmawiają ze sobą i że linie komunikacyjne między CSIRT a władzami lokalnymi są dobre. Jeśli więc zapomnimy lub nie będziemy mogli skontaktować się z daną organizacją, ta istniejąca sieć społecznościowa posłuży nam jako wsparcie.

Przy 90 nowych mapach i wielu tysiącach administracji istnieje prawdopodobieństwo, że czasami się mylimy. Przepraszamy za niedogodności. Wykorzystamy ten czas na dopracowanie map i informacji na stronach.

7: Jak to wygląda finansowo?

Jesteśmy fundacją Internet Cleanup Foundation z Holandii. Jesteśmy małym, trzyosobowym zespołem, który stara się uczynić świat lepszym miejscem, dysponując dużą wiedzą i niewielkim budżetem. Informacje kontaktowe i szczegóły dotyczące naszej fundacji można znaleźć na stronie„O nas„.

Ten projekt jest realizowany z naszej własnej inicjatywy, przy użyciu naszych własnych zasobów i w naszym własnym czasie. Do korzystania z naszych ustaleń lub raportów nie jest wymagana żadna płatność ani kwota. Nie ma również żadnych opłat za przeglądanie informacji lub ich ponowne wykorzystanie przez innych. Wszystkie nasze ustalenia są dostępne jako otwarte dane.

Inicjatywę tę realizujemy więc wewnętrznie. Ale nasze codzienne działania są wspierane finansowo między innymi przez Fundusz SIDN, Centrum Bezpieczeństwa Informacji i Ochrony Prywatności, Państwową Inspekcję Infrastruktury Cyfrowej, rząd holenderski i ponad 30 organizacji uczestniczących w naszej fundacji. Zasoby techniczne sponsorują CoBytes, Procolix, SURF, Sentry, Hack42 i GitLab.

Inne dochody, z których czerpiemy:

• Zadania badawcze,
• Opracowanie nowych pomiarów i platform,
• Wpłaty uczestników na rzecz naszej fundacji,
• Wykonywanie pomiarów sektorów na żądanie.

Możliwe jest sponsorowanie lub wspieranie nas przez rząd, o ile zagwarantowana jest nasza niezależna pozycja. W tym celu prosimy o kontakt pod adresem elger@internetcleanup.foundation. W przypadku wszystkich innych pytań: prosimy o korzystanie z adresów w sekcji Dostępność.

Istnieje możliwość zostania uczestnikiem naszej fundacji. Celowo nie udostępniliśmy jeszcze tej opcji na SecurityBaseline.eu, ponieważ może to być postrzegane jako przedsięwzięcie komercyjne. Opcja ta zostanie udostępniona w późniejszym terminie po odpowiednim wyjaśnieniu. W celu wcześniejszego uczestnictwa prosimy o kontakt pod adresem elger@internetcleanup.foundation.

8: Więcej o nas

Informacje kontaktowe i szczegóły dotyczące naszej fundacji można znaleźć na stronie„O nas„.