Oznámení o základním měření kybernetické bezpečnosti v Evropě

Odmítnutí odpovědnosti: Originál této stránky je v nizozemštině. Tato stránka byla automaticky přeložena do jiných jazyků pomocí DeepL. To může mít za následek rozdíly v nuancích, tónu a významu. V případě pochybností vždy nejprve nahlédněte do nizozemské verze. Vzhledem k vysokým nákladům na překlady může tato stránka obsahově zaostávat za nizozemskou verzí. Nizozemskou verzi této stránky považujeme za vedoucí.     

0: Shrnutí

Vaše organizace obdržela 9. nebo 10. února e-mail o transparentnosti vládní online bezpečnosti. Tento e-mail přišel od nadace Internet Cleanup Foundation a byl zaslán všem regionálním vládám a organizacím CERT / CISRT všech evropských členských států.

Od 10. května bude online bezpečnost vaší organizace zveřejněna na webových stránkách SecurityBaseline.eu. Od 10. února do 10. května bude tato webová stránka dostupná prostřednictvím přímého odkazu v obdrženém e-mailu. Prostřednictvím tohoto způsobu si lze prohlédnout výsledky měření, aby bylo možné ještě před zveřejněním provést případná zlepšení. Bezpečnost na internetu měříme denně až týdně, aby bylo možné sledovat i zlepšení. V měření pokračujeme i po zveřejnění.

Měřené služby a zveřejněné informace jsou pečlivě promyšlené a nepřinášejí do vašeho online prostředí nová rizika. Díky našemu přístupu jsou vaše prostředí transparentnější, lépe spravovatelná, a tedy i bezpečnější. Děláme to z vlastní iniciativy, z neziskové nadace, ve svém volném čase. Jako evropští občané jsme vnitřně motivováni podílet se na vytváření bezpečné, suverénní a soukromé online Evropy a máme s tím bohaté zkušenosti.

Iniciativa měření v Evropě kopíruje náš přístup k měření online bezpečnosti klíčových organizací v Nizozemsku. S tímto projektem jsme začali v roce 2016. Byla natolik úspěšná a praktická, že naše webové stránky a aktivity byly zahrnuty do politických dokumentů nizozemského ministerstva bezpečnosti a spravedlnosti a nizozemského ministerstva vnitra a vztahů s královstvím.

Vzhledem k rostoucí digitalizaci vlád a v poslední době zvýšenému tlaku na suverenitu online vlád jsme se rozhodli začít měřit všechny vlády v Evropě. Vlády měříme jako první sektor podle zemí, protože jsou schopny stanovit pokyny a zákony pro sebe i ostatní.

Rozsáhlé základní informace o nás a této iniciativě najdete na této stránce. Nadace Internet Cleanup přeje všem bezpečnou online Evropu.

Elger Jonker, Johan Bloemberg, Wouter Goyen

Obsah

1. Co se stane
2. Případová studie: Nizozemsko měřeno od roku 2016
3. Časová osa nahlížení, zveřejnění a rozsah působnosti
4. Politika nadace Internet Cleanup Foundation
5. Přístupnost
6. Jak mapy a oznámení vznikly?
7. Finanční přehled

1: Co se stane

Od 10. května budou na adrese https://securitybaseline.eu zveřejněny základní informace o online zabezpečení vaší organizace. Zveřejněné informace mohou obsahovat zranitelná místa ve vaší online infrastruktuře, ale nezvyšují stávající riziko. Až do zveřejnění můžete získat přístup ke svým zranitelnostem pomocí odkazů, které jste obdrželi v tomto e-mailu.

Mezi 10. únorem a 10. květnem jsou tři měsíce. Těmto třem měsícům říkáme období náběhu. Toto období je v souladu s časovým rámcem běžným v rámci pokynů „koordinovaného zveřejňování zranitelností“ několika evropských členských států. V zásadě platí, že vše, co měříme a zveřejňujeme, je již veřejnou informací. Toto období tedy nevyužíváme k tomu, abychom se podřídili procesu „Coordinated Vulnerability Disclosure“, ale abychom využili stávající cesty a procesy v rámci evropských členských států, které byly zavedeny za účelem posílení bezpečnosti informací.

Na našich webových stránkách uvidíte mapy různých vrstev vaší vlády. Na těchto mapách je bezpečnost označena barvou semaforu: červenou, oranžovou a zelenou. Zelená znamená, že je vše v pořádku, a červená, že je přítomna jedna nebo více zranitelností. Oranžová barva sice vyžaduje opatření, ale méně rychle než červená. Příkladová případová studie Nizozemska, která je uvedena níže na této stránce, ukazuje, jak si Nizozemsko vede. Tato mapa je již veřejně dostupná, protože je již mnoho let veřejnou informací.

Jsme si vědomi toho, že náš přístup může vyvolat otázky nebo že nebude okamžitě vnímán jako příjemný či hodnotný. Jsme si také vědomi toho, že kultury v různých evropských zemích se značně liší. Naším cílem je vytvořit odolnější online Evropu. Transparentnost je vhodným prostředkem k dosažení tohoto cíle. Předpokládáme, že vláda chce dobře chránit evropské občany. To by se mělo projevit ve vysoké kvalitě online služeb. Právě ta je nezávisle měřitelná a ověřitelná: to je to, co nabízíme.

2: Případová studie: Nizozemsko měřeno od roku 2016

Hlavní webové stránky nizozemských obcí jsme začali měřit v roce 2016. V průběhu let se rozšířilo na všechny webové stránky všech nizozemských samospráv. Stejná měření provádíme také na všech nizozemských vzdělávacích institucích, zdravotnických zařízeních a kritické infrastruktuře. Tato data jsou veřejná pro všechny. Zahrnuje přibližně 330 000 adres 10 000 organizací měřených v 25 závěrech. Tyto informace si může prohlédnout kdokoli.

V Nizozemsku vedla naše iniciativa ke stovkám tisíc zlepšení v oblasti bezpečnosti informací. Pomocí špičkových měření, například z portálu internet.nl, a našich vlastních měření ochrany soukromí pomáháme zemi, ve které žijeme, stát se bezpečnou a zůstat v ní po celá léta.

Tento úspěch je také důvodem, proč je Nizozemsko jedinou zemí, která je již veřejně viditelná na SecurityBaseline.eu: téměř všechny organizace již mají zelené skóre, zatímco ve stejném rozsahu a měřeních mají téměř všechny ostatní evropské vládní organizace stále nedostatečné skóre. Nizozemsko je tedy již mnoho let před zbytkem Evropy. A to nejen díky nám, ale také díky tomu, že vláda přijala a řídí standardy a má například legislativu pro šifrování.

Nizozemská vláda má otevřenou kulturu. Tato kultura je zakotvena i v legislativě prostřednictvím„zákona o otevřeném vládnutí“: ten dává každému občanovi právo na přístup k veřejným informacím, aniž by musel splňovat jakékoli podmínky. Nizozemská vláda tedy chce být transparentní, a proto je přístupná. Vláda si troufá naznačit, kde je třeba zlepšení, a proto se také naše iniciativa měření nizozemské vlády setkala s příznivým ohlasem.

Naše webové stránky a aktivity se objevují v politických dokumentech nizozemského ministerstva bezpečnosti a spravedlnosti a ministerstva vnitra a vztahů s královstvím.

V Nizozemsku také provádíme všechny druhy výzkumu. Učinili jsme například následující objevy, články jsou v nizozemštině:

• Nizozemská vláda ve svých přehledech opomíjí tisíce lokalit (2025)
• Vláda žádá o povolení sledovat návštěvníky 100 různými způsoby (2024)
• 4 % vládních webů zveřejňuje nevyžádané sledovací sušenky ke sledování návštěvníků (2023)
• 33 % vládních webů nedodržuje zákon o používání správného šifrování na webových stránkách (2023).
• 7 % pošty adresované nizozemské vládě jde přes mimoevropské strany (2024).

Níže uvedené snímky obrazovky ukazují prozatímní verzi map nizozemských provincií a obcí. Ta byla převzata z webu SecurityBaseline.eu a je již veřejně přístupná, protože je v ní téměř vše v pořádku.

Níže uvedený snímek obrazovky pochází z našich nizozemských stránek: basisbeveiliging.nl. Jsou zde zobrazeny tři úrovně státní správy. Nápadné je, že na mapách převažuje červená barva. Je to proto, že v Nizozemsku měříme nejen hlavní sídlo organizace, ale také například všechna místa pro projekty (nové okresy, nové dálnice, kampaně atd.). Je vidět, že mezi obcemi má 62 % z 26 655 měřených adres obcí dobré hodnocení.

3: Časová osa čtení, zveřejnění, rozsah

Časový harmonogram zveřejnění je následující:

• 10. února 2026: E-mail se stručným upozorněním a odkazem na tento text
• 10. února 2026: Začátek období kontroly měření a zlepšení
• Kontrolní období 10. února – 10. května:
  • Kompletní měřené orgány
  • Zpřísnění měření TLS z internet.nl podle pokynů NCSC-NL 2025 11
  • Možné doplnění nového měření a vizualizace digitální suverenity
  • Vlády pouze hlavních domén a subdomén, žádné domény pro projekty
  • Žádosti o změnu je možné podávat, akceptována nebo nahrazena bude pouze oficiální doména. Ostatní žádosti o další domény budou ponechány až po uplynutí tohoto období.
• 10. května 2026: Zveřejnění výsledků s výzkumným článkem srovnávajícím země
• Období po 10. květnu 2026:
  • Přidání dalších autorit a webů, případně také projektových domén
  • Přijímání žádostí o změnu pro nové domény

Níže uvedená tabulka obsahuje seznam všech našich webových stránek a informací, které na nich lze nalézt. Zde je vidět, že počet organizací SecurityBaseline je velký a přesahuje 75 000. Počet souvisejících domén je zatím nízký a činí 120 000: tento počet poroste až do průměrného počtu 10 subdomén na jednu doménu.

Webové stránky	Organizace	Velikost internetových adres	Měření
SecurityBaseline.eu (nové webové stránky)	Všechny regionální evropské orgány + organizace CSIRT (76 575)	Hlavní doména + subdomény (120 257)	Všech 25 metrik: bezpečnost, soukromí a suverenita
basisbeveiliging.nl	Celá nizozemská vláda, životně důležité, školství, zdravotnictví, politika, kybernetická bezpečnost (11 843)	Všechny domény, pokud je dokážeme najít (361 688)	Všech 25 metrik: bezpečnost, soukromí a suverenita
basisbeveiliging.be (po 10. květnu již není potřeba)	Regionální vlády Belgie (640)	Hlavní doména + subdomény (5 789)	FTP, DMARC, DKIM, SPF, DNSSEC
Basistoegankelijk.nl	Všechny nizozemské úřady, životně důležité, školství, zdravotnictví, politika, kybernetická bezpečnost (11 843)	Všechny domény, pokud je můžeme najít (361 688)	94 metrik týkajících se přístupnosti webových stránek

4: Politika nadace Internet Cleanup

SecurityBaseline zveřejňuje bezpečnostní měření promyšleným způsobem. Naše úvahy jsou obsaženy v našem kodexu chování. Měření provádíme denně až týdně.

SecurityBaseline funguje podle následujícího postupu:

Které domény organizací jsou přesně měřeny, je uvedeno v doménové politice. Všechna měření prováděná v těchto doménách jsou zahrnuta do politiky měření. Protože není možné přistupovat ke všem rozhodnutím v IT infrastruktuře stejně, mohou organizace deklarovat výjimky. Tomuto postupu se říká „comply or explain“ neboli „dodržuj nebo vysvětli“. Mnohé z těchto deklarací jsou automaticky přidávány pomocí automatizovaných výjimek do politiky měření. Dobrá deklarace splňuje řadu požadavků.

Co přesně bude a nebude zveřejněno , je popsáno v zásadách zveřejňování. Provedené skeny odkazují co nejjasněji zpět na SecurityBaseline, pokud možno přímo na stránku scaninfo ( pouze v angličtině ). Všechna měření a publikace podléhají tomuto prohlášení o vyloučení odpovědnosti ( pouze v angličtině).

5: Dostupnost

Nadaci Internet Cleanup Foundation můžete kontaktovat dvěma způsoby:

1: E-mail na adresu info@internetcleanup.foundation. E-maily v cizích jazycích převedeme do nizozemštiny nebo angličtiny. V důsledku toho může dojít ke ztrátě nuance. Všechny e-maily čteme, ale někdy může trvat i několik týdnů, než si najdeme čas na odpověď.
2: Discord: Navštivte náš discord kanál na adrese https://discord.gg/FzadeDrptx a ptejte se na Elgera, Johana nebo Woutera. Najdete tam také kanál podpory, kde se řeší různá témata.

6: Jak vznikly mapy a oznámení?

Mapy jsou založeny na veřejných datech z Open Street Map (oblasti a názvy vlád) v kombinaci s veřejnými daty z Wikidata (adresy webových stránek). Pro vrstvu CSIRT byl seznam organizací a míst shromážděn ručně. Celkem bylo sestaveno 90 map. Měřeny jsou všechny evropské země, které podepsaly Smlouvu o Evropském hospodářském prostoru, a Švýcarsko. Švýcarsko jsme zahrnuli proto, že je jednou z mála zemí, která zpřístupňuje všechny své internetové domény prostřednictvím otevřených dat, což je progresivní.

Záměrně jsme hlavní vládní webové stránky učinili součástí CSIRT. Takto samozřejmě není odpovědnost formálně vložena. Vnímáme to spíše jako společenskou odpovědnost. Doufáme, že touto cestou budou hlavní vládní webové stránky lépe zabezpečeny, pokud to bude potřeba.

Vzhledem k tomu, že v Evropě se mluví 24 jazyky, byly hlavní stránky tohoto webu a SecurityBaseline.eu přeloženy do všech těchto jazyků. Překlad byl proveden na adrese DeepL, pokud daný jazyk nebyl k dispozici (např. maltština a islandština). Překlad webových stránek v takovém rozsahu se ukazuje jako nákladný. Jsme hrdí na to, že většina veškerého textu na stránkách je k dispozici ve většině evropských jazyků, včetně irštiny a řečtiny, i když se v překladech občas vyskytují chyby.

Předběžné oznámení vládám a organizacím CSIRT bylo provedeno prostřednictvím e-mailů v úředních jazycích členských států. Toto předběžné oznámení bylo zasláno na všechny e-mailové adresy místních vlád a organizací CSIRT, pokud byly k nalezení. Část z nich pocházela z Wikidat, část byla shromážděna automaticky a filtrována pomocí vlastního softwaru. Celkem byly rozeslány desítky tisíc e-mailů. E-maily byly odeslány jednorázově, aby se předešlo nepříjemnostem. Očekáváme, že vlády spolu mluví a že komunikační linky mezi CSIRT a místními vládami jsou dobré. Pokud bychom tedy na nějakou organizaci zapomněli nebo se jí nemohli dovolat, slouží tato existující sociální síť jako záloha.

S 90 novými mapami a mnoha tisíci správami existuje možnost, že se někdy spleteme. Za nepříjemnosti se omlouváme. Období peripetií využijeme k dalšímu doladění map a informací na stránkách.

7: Jak to vychází finančně?

Jsme nizozemská nadace Internet Cleanup Foundation. Jsme malý tým tří lidí, kteří se snaží udělat svět lepším místem s velkým množstvím znalostí a malým rozpočtem. Kontaktní informace a podrobnosti o naší nadaci najdete na stránce„O nás“.

Tento projekt realizujeme z vlastní iniciativy, z vlastních zdrojů a ve vlastním čase. Za použití našich zjištění a zpráv není požadována žádná platba ani částka. Stejně tak neexistují žádné platební stěny za prohlížení informací nebo jejich další využití jinými osobami. Všechna naše zjištění jsou k dispozici jako otevřená data.

Tuto iniciativu tedy děláme sami ze sebe. Naše každodenní aktivity však finančně podporují mimo jiné Fond SIDN, Centrum pro bezpečnost informací a ochranu soukromí, Státní inspektorát pro digitální infrastrukturu, nizozemská vláda a více než 30 zúčastněných organizací naší nadace. Technické zdroje nám sponzorsky poskytují společnosti CoBytes, Procolix, SURF, Sentry, Hack42 a GitLab.

Další příjmy plynoucí z:

• Výzkumné úkoly,
• Vývoj nových měření a platforem,
• Příspěvky účastníků naší nadaci,
• Provádění měření sektorů na vyžádání.

Je možné nás sponzorovat nebo podporovat ze strany vlády, pokud je zaručeno naše nezávislé postavení. V této věci se prosím obraťte na elger@internetcleanup.foundation. Pro všechny ostatní dotazy: použijte prosím adresy v sekci Dosažitelnost.

Je možné stát se účastníkem naší nadace. Tuto možnost jsme na SecurityBaseline.eu zatím záměrně nezpřístupnili, protože by to mohlo být vnímáno, jako bychom byli komerčním podnikem. Tato možnost bude k dispozici později po dostatečném objasnění. V případě zájmu o včasnou účast se prosím obraťte na elger@internetcleanup.foundation.

8: Více o nás

Kontaktní informace a podrobnosti o naší nadaci najdete na stránce„O nás“.