Käytännesäännöt

Vastuuvapauslauseke: Tämän sivun alkuperäinen versio on kirjoitettu hollanniksi. Tämä sivu on käännetty automaattisesti muille kielille käyttämällä DeepL. Tämä saattaa aiheuttaa eroja vivahteissa, sävyssä ja merkityksessä. Jos olet epävarma, tutustu aina ensin hollanninkieliseen versioon. Käännösten korkeiden kustannusten vuoksi tämä sivu saattaa jäädä sisällöltään jälkeen hollanninkielisestä versiosta. Pidämme tämän sivun hollanninkielistä versiota johtavana.

Käytännesäännöt Internet Cleanup Foundation versio 1.0

Internet Cleanup Foundationin vapaaehtoiset toimivat näiden käytännesääntöjen mukaisesti.

  1. Internet Cleanup Foundation on alankomaalainen säätiö, jonka tavoitteena on tehdä internetistä turvallinen. Tavoitteena on, että yhteiskunta kestää verkkouhkia ja että kaikki voivat käyttää internetiä turvallisesti. Teemme tämän osittain tarjoamalla tietoa digitaalisten palvelujen saatavuudesta, eheydestä ja luottamuksellisuudesta. Esimerkiksi visualisoimalla digitaalisten turvatoimien soveltamista.
  2. Nämä käytännesäännöt luovat eettisen perustan toiminnallemme. Tämä on välttämätöntä, koska työskentelyssä käsitellään mahdollisesti arkaluonteisia tietoja ja useimmissa tapauksissa ilman ennakkosuostumusta tai käsittelysopimusta.
  3. Me käsittelemme:
    1. digitaalisen infrastruktuurin haavoittuvuuksien (automaattinen) haku ja automaattinen mittaus (suojaustoimenpiteet digitaalisen infrastruktuurin haavoittuvuuksia vastaan).
    2. turvallisuusvaatimusten soveltamisen tai noudattamatta jättämisen visualisointi valtavassa mittakaavassa, kun sen julkaiseminen on eettisesti hyväksyttävää (ks. julkaisupolitiikka).
    3. tiedottaminen näistä havainnoista mahdollisimman julkisesti, jotta kaikki haavoittuvuudet saataisiin korjattua.
    4. Työskentely luotettavien organisaatioiden kanssa näiden haavoittuvuuksien korjaamiseksi.
  4. Olemme tietoisia siitä, että kuljemme oikeudellisesti sallitun rajoilla. Siksi toimintamme perustana on huolellinen harkinta. Toiminnan on aina oltava seuraavien perusteiden mukaista:
    1. Yhteiskunnallinen hyöty: toimimme yleisen edun nimissä, koska uskomme, että internetin pitäisi olla turvallinen paikka kaikille. Toimintamme ei perustu taloudellisiin, poliittisiin tai yksilöllisiin intresseihin.
    2. Suhteellisuus: tavoitteena on parantaa verkkopalvelujen saatavuutta, eheyttä ja luottamuksellisuutta, ja korkeampana tavoitteena on tehdä yhteiskunnasta turvallisempi. Pyrimme lisäämään turvallisuutta eikä heikentämään sitä.
    3. Toissijaisuus: valitaan aina se ratkaisu, jolla tavoite saavutetaan vähimmällä vaikutuksella.
  5. Olemme huolellisia: mittaukset ovat todennettavissa, perusteltuja ja selkeästi muotoiltuja. Luomme ja käytämme mittausvälineitä, jotka ovat korkealaatuisia ja jotka eivät vahingoita järjestelmiä tai infrastruktuuria. Mittauksia ei koskaan tehdä enempää kuin on tarpeen haavoittuvuuden tai turvatoimen puuttumisen osoittamiseksi.
  6. Olemme tietoisia internetin ja digitaalisen infrastruktuurin monimutkaisuudesta. Siksi mittauksiin sovelletaan noudata tai selitä -periaatetta. Näin luodaan standardi siitä, mitkä poikkeukset perusturvallisuudesta ovat hyväksyttäviä missäkin tilanteessa. Tämä politiikka julkaistaan julkisesti, jotta organisaatiot voivat noudattaa sitä. Selitys hyväksytään, jos se koskee ratkaisua, joka on ”sisäänrakennettu”. Jos selitykset osoittavat mittausvirheitä, mittaustyökaluja tarkennetaan ja mittausta päivitetään.
  7. Mittaamme ja julkaisemme tietoja kansallisella tasolla ja kohdistamme ne kokonaisille toimialoille ja asianomaisille kattojärjestöille. Kohtelemme kaikkia organisaatioita tasavertaisina ja odotamme niiden kaikkien täyttävän samat turvallisuusvaatimukset.
  8. Haavoittuvuudet julkaistaan mahdollisuuksien mukaan näiden käytännesääntöjen mukaisesti. Julkaisemisessa on useita ominaisuuksia, joihin nimenomaisesti pyrimme:
    1. Digitaalisen turvallisuuden tuntemattomammille ihmisille on selvää, miten hyvin organisaatiot hoitavat tietoturvan. He voivat tehdä tästä johtopäätöksiä ja painostaa parantamaan toimintaansa,
    2. Turvallisuus tulee kuljettajille käsin kosketeltavaksi, jolloin he voivat ohjata sitä kohti sen sijaan, että ajavat sokeasti,
    3. Näin vältytään siltä, että valtava henkilöstöorganisaatio joutuisi käsittelemään ja seuraamaan jokaista haavoittuvuutta erikseen,
    4. Verkkopalveluiden laajuus ja laatu ovat tulossa avoimiksi. Tämä kuva puuttuu monesta organisaatiosta, minkä vuoksi esimerkiksi järjestelmät unohtuvat, jäävät korjaamatta ja muuttuvat yhä haavoittuvammiksi.
    5. Julkistamme sen, mikä on jo julkista, ja suojaamme sen, mikä pitäisi suojata. Toisin sanoen: ”Öffentliche Daten nützen, private Daten schützen”.
  9. Julkaistut mittaukset ovat voimassa. Niitä toistetaan säännöllisesti, ja ne ovat useimmiten enintään 2 kuukautta vanhoja. Näin ollen kukin mitattava organisaatio voi itse tehdä oman arvionsa.
  10. Raportoimme perusturvallisuuden haavoittuvuuksista tiedottamalla niistä julkisesti ja mahdollisimman laajasti. Järjestelmien omistaja on vastuussa havaintojen ratkaisemisesta.
  11. Kaikki säätiön toimintaan osallistuvat ovat tietoisia näistä käytännesäännöistä ja varmistavat, että niitä noudatetaan. Jos joku ei noudata näitä käyttäytymissääntöjä, ryhdytään toimenpiteisiin. Yksi tällainen toimenpide on esimerkiksi pääsykielto hankkeisiin ja infrastruktuuriin.
  12. Ennen uusien järjestöryhmien tietojen julkaisemista kattojärjestöihin otetaan yhteyttä, jotta ne voivat ilmoittaa julkaisemisesta ja virtaviivaistaa julkaisemista, jotta vastuuhenkilöt pääsevät pehmeästi asiaan. Vähintään kuukauden kestäneen laskeutumisjakson jälkeen julkaiseminen jatkuu.
  13. Uusista mittaustyypeistä ilmoitetaan kattojärjestöille. Tämä antaa niille mahdollisuuden välittää ne osallistujilleen nopeaa seurantaa varten.
  14. Sovellamme säätiön sosiaalisiin käytöstapoihin hakkerisloganeita ”olkaa erinomaisia toisillenne” ja ”kaikki olennot tervetulleita”.

Nämä käytännesäännöt perustuvat Alankomaiden haavoittuvuuksien paljastamisinstituutin käytännesääntöihin, joista kiitos.