Tegevusjuhend

Vastutusest loobumine: Selle lehekülje originaal on kirjutatud hollandi keeles. See lehekülg on automaatselt tõlgitud teistesse keeltesse, kasutades DeepL. See võib põhjustada erinevusi nüansside, toonide ja tähenduse osas. Kahtluse korral vaadake alati esmalt hollandikeelset versiooni. Tõlkimise kõrge maksumuse tõttu võib see lehekülg jääda hollandikeelsest versioonist sisuliselt maha. Peame selle lehekülje hollandikeelset versiooni juhtivaks.

Internet Cleanup Foundation’i tegevusjuhend versioon 1.0

Internet Cleanup Foundationi vabatahtlikud tegutsevad vastavalt sellele tegevusjuhendile.

  1. Internet Cleanup Foundation on Hollandi sihtasutus, mille eesmärk on muuta internet turvaliseks. Selle eesmärk on tagada ühiskonna vastupidavus internetiohtude vastu ja see, et kõik saaksid internetti turvaliselt kasutada. Teeme seda osaliselt sellega, et anname ülevaate digitaalteenuste kättesaadavusest, terviklikkusest ja konfidentsiaalsusest. Näiteks visualiseerides digitaalsete turvameetmete rakendamist.
  2. See tegevusjuhend loob eetilise aluse meie tegevusele. See on oluline, sest see hõlmab tööd potentsiaalselt tundlike andmetega ja enamasti ilma eelneva nõusoleku või töötlemislepinguta.
  3. Me tegeleme:
    1. (automatiseeritud) domeenide otsing ja (kaitsemeetmete) automaatne mõõtmine digitaalse infrastruktuuri haavatavuste vastu.
    2. ohutusnõuete rakendamise/mittekohaldamise visualiseerimine tohutus mahus, kui selle avaldamine on eetiliselt vastuvõetav (vt avaldamispoliitika)
    3. nende leidude võimalikult avalikustamine, eesmärgiga kõrvaldada kõik nõrgad kohad.
    4. Koostöö usaldusväärsete organisatsioonidega, et need nõrgad kohad kõrvaldada.
  4. Me oleme teadlikud, et me astume õiguslikult lubatu piiril. Seetõttu on meie tegevuse aluseks hoolikas kaalutlus. Tegevus peab alati vastama järgmistele alustele:
    1. Sotsiaalne kasu: me tegutseme avalikes huvides, sest usume, et internet peaks olema kõigile turvaline koht. Meie tegevus ei ole ajendatud rahalistest, poliitilistest või individuaalsetest huvidest.
    2. Proportsionaalsus: eesmärk on suurendada võrguteenuste kättesaadavust, terviklikkust ja konfidentsiaalsust, kusjuures kõrgem eesmärk on muuta ühiskond turvalisemaks. Meie jõupingutused on suunatud turvalisuse suurendamisele, mitte selle nõrgendamisele.
    3. Subsidiaarsus: alati valitakse lahendus, millega saavutatakse eesmärk kõige väiksema mõjuga.
  5. Me oleme hoolikad: mõõtmised on kontrollitavad, põhjendatud ja selgelt sõnastatud. Loome ja kasutame kvaliteetseid mõõtmisvahendeid, mis ei kahjusta süsteeme ega infrastruktuuri. Me ei mõõda kunagi rohkem, kui on vaja haavatavuse või turvameetme puudumise tõendamiseks.
  6. Oleme teadlikud interneti ja digitaalse infrastruktuuri keerukusest. Seetõttu kohaldatakse mõõtmiste suhtes põhimõtet “täida või selgita”. See loob standardi selle kohta, millised erandid põhiturvalisusest on millises olukorras vastuvõetavad. See poliitika on avaldatud avalikult, et organisatsioonid saaksid seda järgida. Selgitus on vastuvõetav, kui tegemist on lahendusega, mis on “kavandatud”. Selgituste puhul, mis viitavad mõõtmisvigadele, keskendutakse täiendavalt mõõtmisvahenditele ja ajakohastatakse mõõtmist.
  7. Me mõõdame ja avaldame andmeid riiklikul tasandil ning oleme suunatud tervetele tööstusharudele ja asjaomastele katusorganisatsioonidele. Me kohtleme kõiki organisatsioone võrdselt ja eeldame, et nad kõik täidavad samu ohutusnõudeid.
  8. Haavatavused avaldatakse võimaluse korral vastavalt sellele tegevusjuhendile. Avaldamisel on mitu omadust, mille poole me selgesõnaliselt püüame:
    1. Inimestele, kellel on vähem teadmisi digitaalsest turvalisusest, saab selgeks, kui hästi organisatsioonid turvalisusega hakkama saavad. Nad saavad sellest teha järeldusi ja survestada, et neid parandada,
    2. Ohutus muutub juhtide jaoks käegakatsutavaks, võimaldades neil pimesi sõitmise asemel selle poole liikuda,
    3. Sellega välditakse vajadust, et suur personaliorganisatsioon peaks iga haavatavusega eraldi tegelema ja seda jälgima,
    4. Tekib läbipaistvus: võrguteenuste ulatus ja kvaliteet. See pilt puudub paljudes organisatsioonides, mistõttu näiteks süsteemid ununevad, jäävad parandamata ja muutuvad üha haavatavamaks.
    5. Me avalikustame selle, mis on juba avalik, ja varjame selle, mis peaks olema varjatud. Teisisõnu: “Öffentliche Daten nützen, private Daten schützen”.
  9. Avaldatud mõõtmised on praegused. Neid korratakse regulaarselt ja enamasti ei ole need vanemad kui 2 kuud. Selle tulemusena on iga mõõdetav organisatsioon ise oma hinnangu üle kontrolli all.
  10. Me teatame põhilistest turvaaukudest, edastades need avalikult ja võimalikult laialt. Süsteemide omanik vastutab leidude lahendamise eest.
  11. Kõik sihtasutuse tegevuses osalejad on nendest käitumisreeglitest teadlikud ja tagavad nende järgimise. Kui keegi ei järgi neid käitumisreegleid, võetakse meetmeid. Üheks selliseks meetmeks on näiteks projektidele ja infrastruktuurile juurdepääsu keelamine.
  12. Enne uute organisatsioonide rühmade kohta teabe avaldamist võetakse ühendust katusorganisatsioonidega, et teatada ja ühtlustada avaldamine, et vastutavad isikud saaksid pehme maandumise. Pärast vähemalt kuu aega kestnud maandumisperioodi jätkub avaldamine.
  13. Katusorganisatsioonidele teatatakse uut tüüpi mõõtmistest. See annab neile võimaluse edastada need oma osalejatele kiireks järelmeetmete võtmiseks.
  14. Rakendame häkkerite loosungeid “olge üksteise suhtes suurepärased” ja “kõik olendid on teretulnud” sihtasutuse sotsiaalsetele viisakustele.

See tegevusjuhend on inspireeritud Hollandi haavatavuse avalikustamise instituudi tegevusjuhendist, mille eest täname.