Odmietnutie zodpovednosti: Pôvodná verzia tejto stránky je napísaná v holandčine. Táto stránka bola automaticky preložená do iných jazykov pomocou DeepL. To môže mať za následok rozdiely v nuansách, tóne a význame. V prípade pochybností si vždy najprv prečítajte holandskú verziu. Vzhľadom na vysoké náklady na preklady môže táto stránka obsahovo zaostávať za holandskou verziou. Holandskú verziu tejto stránky považujeme za vedúcu.
0: Zhrnutie
Vaša organizácia dostala 9. alebo 10. februára e-mail o transparentnosti vládnej online bezpečnosti. Tento e-mail prišiel od nadácie Internet Cleanup Foundation a bol zaslaný všetkým regionálnym vládam a organizáciám CERT/CISRT všetkých európskych členských štátov.
Od 10. mája bude online bezpečnosť vašej organizácie zverejnená na webovej stránke SecurityBaseline.eu. Od 10. februára do 10. mája bude táto webová stránka dostupná prostredníctvom priameho odkazu v doručenom e-maile. Prostredníctvom neho si možno prezrieť výsledky merania, aby bolo možné ešte pred zverejnením vykonať prípadné zlepšenia. Vašu online bezpečnosť meriame denne až týždenne, aby bolo možné vidieť aj zlepšenia. V meraní pokračujeme aj po zverejnení.
Merané služby a zverejnené informácie sú starostlivo zvážené a nepridávajú do vášho online prostredia nové riziká. Vďaka nášmu prístupu sú vaše prostredia prehľadnejšie, lepšie sa spravujú, a tým sú aj bezpečnejšie. Robíme to z vlastnej iniciatívy, z neziskovej nadácie, vo svojom voľnom čase. Ako európski občania máme vnútornú motiváciu podieľať sa na vytváraní bezpečnej, suverénnej a súkromnej online Európy a máme v tomto smere bohaté skúsenosti.
Iniciatíva merania v Európe kopíruje náš prístup k meraniu online bezpečnosti kľúčových organizácií v Holandsku. Začali sme s tým v roku 2016. Bolo to také úspešné a praktické, že naše webové sídlo a aktivity boli zahrnuté do strategických dokumentov holandského ministerstva bezpečnosti a spravodlivosti a holandského ministerstva vnútra a vzťahov s kráľovstvom.
Vzhľadom na rastúcu digitalizáciu vlád a nedávno zvýšený tlak na suverenitu online vlád sme sa rozhodli začať merať všetky vlády v Európe. Vlády meriame ako prvý sektor podľa krajín, pretože sú schopné určovať usmernenia a zákony pre seba aj pre ostatných.
Rozsiahle základné informácie o nás a tejto iniciatíve nájdete na tejto stránke. Nadácia Internet Cleanup Foundation želá všetkým bezpečnú online Európu.
Elger Jonker, Johan Bloemberg, Wouter Goyen
Obsah
- Čo sa stane
- Prípadová štúdia: Holandsko merané od roku 2016
- Časový harmonogram čítania, zverejnenia a rozsahu
- Politika Nadácie Internet Cleanup
- Prístupnosť
- Ako vznikli mapy a oznámenia
- Finančný prehľad
1: Čo sa stane
Od 10. mája budú na stránke https://securitybaseline.eu zverejnené základné informácie o online zabezpečení vašej organizácie. Zverejnené informácie môžu obsahovať zraniteľnosti vašej online infraštruktúry, ale nezvyšujú existujúce riziko. Do zverejnenia môžete získať prístup k zraniteľnostiam pomocou odkazov, ktoré ste dostali v tomto e-maile.
Od 10. februára do 10. mája uplynú tri mesiace. Tieto tri mesiace nazývame obdobím nábehu. Toto obdobie je v súlade s časovým rámcom, ktorý je spoločný v rámci usmernení „Koordinovaného zverejňovania zraniteľnosti“ viacerých európskych členských štátov. V zásade platí, že všetko, čo meriame a zverejňujeme, je už verejnou informáciou. Toto obdobie teda nevyužívame na to, aby sme splnili požiadavky procesu „Coordinated Vulnerability Disclosure“, ale aby sme využili existujúce cesty a procesy v rámci európskych členských štátov, ktoré boli zavedené na posilnenie informačnej bezpečnosti.
Na našej webovej stránke nájdete mapy rôznych vrstiev vašej vlády. Na týchto mapách je bezpečnosť označená farbou semaforu: červenou, oranžovou a zelenou. Zelená znamená, že všetko je v poriadku, a červená znamená, že je prítomná jedna alebo viac zraniteľností. Oranžová farba si síce vyžaduje opatrenia, ale menej rýchlo ako červená. Príkladová prípadová štúdia Holandska, uvedená ďalej na tejto stránke, ukazuje, ako si Holandsko počína. Táto mapa je už verejne dostupná, pretože je verejnou informáciou už mnoho rokov.
Sme si vedomí toho, že náš prístup môže vyvolávať otázky alebo nemusí byť hneď vnímaný ako príjemný či hodnotný. Sme si tiež vedomí, že kultúry v jednotlivých európskych krajinách sa výrazne líšia. Naším cieľom je vytvoriť odolnejšiu online Európu. Transparentnosť je vhodným prostriedkom na dosiahnutie tohto cieľa. Predpokladáme, že vláda chce dobre chrániť európskych občanov. To by sa malo premietnuť do vysokej kvality online služieb. Práve tá je nezávisle merateľná a overiteľná: to je to, čo ponúkame.
2: Prípadová štúdia: Holandsko merané od roku 2016
Hlavné webové stránky holandských obcí sme začali merať v roku 2016. V priebehu rokov sa rozšírilo na všetky webové stránky všetkých holandských samospráv. Rovnaké merania vykonávame aj na všetkých holandských vzdelávacích inštitúciách, zdravotníctve a kritickej infraštruktúre. Tieto údaje sú verejné pre všetkých. Zahŕňa približne 330 000 adries 10 000 organizácií meraných v 25 záveroch. Tieto informácie si môže pozrieť ktokoľvek.
V Holandsku viedla naša iniciatíva k stovkám tisícok zlepšení v oblasti informačnej bezpečnosti. Pomocou špičkových meraní, napríklad z internet.nl, a našich vlastných meraní ochrany súkromia pomáhame krajine, v ktorej žijeme, stať sa bezpečnou a zostať v nej už roky.
Tento úspech je tiež dôvodom, prečo je Holandsko jedinou krajinou, ktorá je už verejne viditeľná na SecurityBaseline.eu: v skutočnosti už takmer všetky organizácie získali zelené skóre, zatiaľ čo v rovnakom rozsahu a meraniach takmer všetky ostatné európske vládne organizácie stále dosahujú nedostatočne bezpečné skóre. Holandsko je teda už teraz o mnoho rokov vpredu pred zvyškom Európy. Nie je to len vďaka nám, ale aj vďaka tomu, že vláda prijala a riadi normy a má napríklad legislatívu pre šifrovanie.
Holandská vláda má otvorenú kultúru. Táto kultúra je zakotvená aj v legislatíve prostredníctvom„zákona o otvorenej vláde“: ten dáva každému občanovi právo na prístup k verejným informáciám bez toho, aby musel splniť akékoľvek podmienky. Holandská vláda chce byť preto transparentná, a preto je prístupná. Vláda sa odváži poukázať na to, kde sú potrebné zlepšenia, a preto sa stretla s pozitívnym ohlasom aj naša iniciatíva na meranie holandskej vlády.
Naša webová stránka a aktivity sa objavujú v politických dokumentoch holandského ministerstva bezpečnosti a spravodlivosti a ministerstva vnútra a vzťahov s kráľovstvom.
V Holandsku tiež vykonávame všetky druhy výskumu. Urobili sme napríklad nasledujúce objavy, články sú v holandčine:
- Holandská vláda vo svojich prehľadoch vynecháva tisíce lokalít (2025)
- Vláda žiada o povolenie sledovať návštevníkov 100 rôznymi spôsobmi (2024)
- 4 % vládnych stránok zverejňuje nevyžiadané sledovacie sušienky na sledovanie návštevníkov (2023)
- 33 % vládnych stránok nedodržiava zákon o riadnom šifrovaní webových stránok (2023)
- 7 % pošty holandskej vláde ide cez neeurópske strany (2024)
Nasledujúce snímky zobrazujú predbežnú verziu máp holandských provincií a obcí. Táto bola prevzatá zo stránky SecurityBaseline.eu a je už verejne prístupná, pretože takmer všetko je v poriadku.
Nasledujúci obrázok je z našej holandskej stránky: basisbeveiliging.nl. Zobrazujú sa na nej tri úrovne verejnej správy. Zarážajúce je, že farba na mapách je prevažne červená. Je to preto, že v Holandsku meriame nielen hlavné sídlo organizácie, ale aj všetky miesta pre projekty (napríklad nové okresy, nové diaľnice, kampane a podobne). Je vidieť, že medzi obcami dosiahlo dobré výsledky 62 % z 26 655 meraných adries obcí.
3: Časová os čítania, zverejnenie, rozsah
Časový harmonogram zverejnenia je nasledovný:
- 10. február 2026: E-mail s krátkym upozornením a odkazom na tento text
- 10. február 2026: Začiatok obdobia kontroly meraní a zlepšení
- Kontrolné obdobie 10. februára – 10. mája:
- Úplné merané orgány
- Sprísnenie meraní TLS z internet.nl podľa usmernení NCSC-NL 2025 11
- Možné doplnenie nového merania a vizualizácie digitálnej suverenity
- Vlády len hlavných domén a subdomén, žiadne domény pre projekty
- Žiadosti o zmenu je možné podať, akceptovaná alebo nahradená bude len oficiálna doména. Ostatné žiadosti o ďalšie domény sa budú uchovávať až do uplynutia tohto obdobia
- 10. máj 2026: Uverejnenie zistení s výskumným článkom porovnávajúcim krajiny
- Obdobie po 10. máji 2026:
- Pridanie ďalších autorít a lokalít, prípadne aj projektových domén
- Prijímanie žiadostí o zmenu pre nové domény
V nasledujúcej tabuľke s rozsahom sú uvedené všetky naše webové stránky a informácie, ktoré na nich nájdete. Tu je vidieť, že počet organizácií SecurityBaseline je veľký – viac ako 75 000. Počet súvisiacich domén je stále nízky a predstavuje 120 000: tento počet narastie na priemer 10 subdomén na doménu.
| Webová lokalita | Organizácie | Veľkosť internetových adries | Merania |
|---|---|---|---|
| SecurityBaseline.eu (nová webová stránka) | Všetky regionálne európske orgány + organizácie CSIRT (76 575) | Hlavná doména + subdomény (120 257) | Všetkých 25 metrík: bezpečnosť, súkromie a suverenita |
| Basisbeveiliging.nl | Celá holandská vláda, životne dôležité, vzdelávanie, zdravotníctvo, politika, kybernetická bezpečnosť (11 843) | Všetky domény, pokiaľ ich vieme nájsť (361 688) | Všetkých 25 metrík: bezpečnosť, súkromie a suverenita |
| Basisbeveiliging.be (po 10. máji už nie je potrebné) | Regionálne vlády Belgicka (640) | Hlavná doména + subdomény (5 789) | FTP, DMARC, DKIM, SPF, DNSSEC |
| Basistoegankelijk.nl | Všetky holandské vlády, životne dôležité, vzdelávanie, zdravotníctvo, politika, kybernetická bezpečnosť (11 843) | Všetky domény, pokiaľ ich vieme nájsť (361 688) | 94 metrík o prístupnosti webových stránok |
4: Politika Nadácie Internet Cleanup
SecurityBaseline zverejňuje bezpečnostné merania uvážlivým spôsobom. Naše úvahy sú zahrnuté v našom kódexe správania. Merania vykonávame denne až týždenne.
SecurityBaseline funguje podľa nasledujúceho postupu:
Ktoré domény organizácií sa merajú, je presne uvedené v doménovej politike. Všetky merania vykonané v týchto doménach sú zahrnuté v politike merania. Keďže nie je možné pristupovať ku všetkým rozhodnutiam v IT infraštruktúre rovnako, organizácie môžu deklarovať výnimky. Tento postup sa nazýva „dodržuj alebo vysvetli“ alebo „dodržuj alebo vysvetli“. Mnohé z týchto vyhlásení sú automaticky pridané automatizovanými výnimkami do politiky merania. Dobré vyhlásenie spĺňa niekoľko požiadaviek.
Čo presne bude a čo nebude zverejnené , je opísané v pravidlách zverejňovania. Vykonané skeny odkazujú čo najjasnejšie na SecurityBaseline, podľa možnosti priamo na stránku scaninfo ( len v angličtine ). Na všetky merania a publikácie sa vzťahuje toto vyhlásenie o odmietnutí zodpovednosti ( len v angličtine).
5: Prístupnosť
Nadáciu Internet Cleanup Foundation môžete kontaktovať dvoma spôsobmi:
1: E-mail na adresu info@internetcleanup.foundation. E-maily v cudzích jazykoch prevedieme do holandčiny alebo angličtiny. V dôsledku toho môže dôjsť k strate nuansy. Všetku poštu čítame, ale niekedy môže trvať niekoľko týždňov, kým si nájdeme čas na odpoveď.
2: Discord: Navštívte náš discord kanál na https://discord.gg/FzadeDrptx a pýtajte sa na Elgera, Johana alebo Woutera. Nájdete tam aj kanál podpory, kde sa riešia rôzne témy.
6: Ako vznikli mapy a oznámenia
Mapy sú založené na verejných údajoch z Open Street Map (oblasti a názvy vlád) v kombinácii s verejnými údajmi z Wikidata (adresy webových stránok). Pre vrstvu CSIRT bol zoznam organizácií a miest zozbieraný ručne. Celkovo bolo zostavených 90 máp. Merané sú všetky európske krajiny, ktoré podpísali Zmluvu o Európskom hospodárskom priestore, spolu so Švajčiarskom. Švajčiarsko sme zahrnuli, pretože je jednou z mála krajín, ktoré sprístupňujú všetky svoje internetové domény prostredníctvom otvorených údajov, čo je progresívne.
Zámerne sme z hlavnej vládnej webovej stránky urobili súčasť CSIRT. Samozrejme, takto sa formálne neinvestuje zodpovednosť. Vnímame to skôr ako spoločenskú zodpovednosť. Dúfame, že touto cestou bude hlavná vládna webová stránka lepšie zabezpečená v prípade potreby.
Vzhľadom na 24 jazykov, ktorými sa hovorí v Európe, boli hlavné stránky tejto webovej stránky a SecurityBaseline.eu preložené do všetkých týchto jazykov. Preklad vykonala stránka DeepL, pokiaľ daný jazyk nebol k dispozícii (napr. maltčina a islandčina). Preklad webových stránok v takomto rozsahu sa ukazuje ako nákladný. Sme hrdí na to, že väčšina všetkých textov na stránke je k dispozícii vo väčšine európskych jazykov vrátane írčiny a gréčtiny, hoci v prekladoch sa niekedy vyskytujú chyby.
Predbežné oznámenie vládam a organizáciám CSIRT sa uskutočnilo prostredníctvom e-mailov v úradných jazykoch členských štátov. Toto predbežné oznámenie bolo zaslané na všetky e-mailové adresy miestnych samospráv a organizácií CSIRT, pokiaľ ich bolo možné nájsť. Niektoré z nich pochádzali z Wikidát, niektoré boli automaticky zozbierané a filtrované pomocou vlastného softvéru. Celkovo boli odoslané desiatky tisíc e-mailov. E-maily sa odoslali raz, aby sa predišlo nepríjemnostiam. Očakávame, že vlády sa medzi sebou rozprávajú a že komunikačné linky medzi CSIRT a miestnymi samosprávami sú dobré. Ak by sme teda na nejakú organizáciu zabudli alebo sa jej nemôžeme dovolať, táto existujúca sociálna sieť slúži ako záloha.
S 90 novými mapami a mnohými tisíckami administrácií je pravdepodobné, že sa niekedy mýlime. Ospravedlňujeme sa za nepríjemnosti. Obdobie peripetií využijeme na ďalšie doladenie máp a informácií na stránkach.
7: Ako je to s financiami?
Sme holandská nadácia Internet Cleanup Foundation. Sme malý tím troch ľudí, ktorí sa snažia urobiť svet lepším miestom s množstvom vedomostí a malým rozpočtom. Kontaktné informácie a podrobnosti o našej nadácii nájdete na stránke„O nás„.
Tento projekt realizujeme z vlastnej iniciatívy, z vlastných zdrojov a vo vlastnom čase. Za použitie našich zistení alebo správ sa nevyžaduje žiadna platba ani suma. Neexistujú ani žiadne platobné steny za prezeranie informácií alebo ich opätovné použitie inými osobami. Všetky naše zistenia sú k dispozícii ako otvorené údaje.
Túto iniciatívu teda robíme sami od seba. Naše každodenné aktivity však finančne podporuje okrem iného Fond SIDN, Centrum pre informačnú bezpečnosť a ochranu súkromia, Štátny inšpektorát pre digitálnu infraštruktúru, holandská vláda a viac ako 30 zúčastnených organizácií našej nadácie. Technické zdroje nám sponzorsky poskytujú spoločnosti CoBytes, Procolix, SURF, Sentry, Hack42 a GitLab.
Ostatné príjmy, ktoré získavame z:
- Výskumné úlohy,
- Vývoj nových meraní a platforiem,
- Príspevky účastníkov do našej nadácie,
- Vykonávanie meraní sektorov na požiadanie.
Je možné, aby nás vláda sponzorovala alebo podporovala, ak je zaručené naše nezávislé postavenie. V tejto veci sa obráťte na elger@internetcleanup.foundation. Pre všetky ostatné otázky: použite prosím adresy v sekcii Dosiahnuteľnosť.
Je možné stať sa účastníkom našej nadácie. Túto možnosť sme na stránke SecurityBaseline.eu zatiaľ zámerne nezverejnili, pretože by to mohlo byť vnímané, ako keby sme boli komerčným podnikom. Táto možnosť bude k dispozícii neskôr po dostatočnom objasnení. V prípade záujmu o skoršiu účasť sa obráťte na elger@internetcleanup.foundation.
8: Viac o nás
Kontaktné informácie a podrobnosti o našej nadácii nájdete na stránke„O nás„.