Kodeks postępowania - Internet Cleanup Foundation

Zastrzeżenie: Oryginał tej strony został napisany w języku niderlandzkim. Ta strona została automatycznie przetłumaczona na inne języki za pomocą DeepL. Może to skutkować różnicami w niuansach, tonie i znaczeniu. W razie wątpliwości należy zawsze najpierw zapoznać się z wersją holenderską. Ze względu na wysokie koszty tłumaczeń, niniejsza strona może pozostawać w tyle za wersją holenderską pod względem treści. Uważamy holenderską wersję tej strony za wiodącą.

Kodeks postępowania Internet Cleanup Foundation wersja 1.0

Wolontariusze Fundacji Sprzątanie Internetu prowadzą swoje działania zgodnie z niniejszym kodeksem postępowania.

Internet Cleanup Foundation to holenderska fundacja, której celem jest zapewnienie bezpieczeństwa w Internecie. Podstawowym celem jest stworzenie społeczeństwa odpornego na zagrożenia online i zapewnienie każdemu możliwości bezpiecznego korzystania z Internetu. Robimy to częściowo poprzez zapewnienie wglądu w dostępność, integralność i poufność usług cyfrowych. Na przykład poprzez wizualizację zastosowania cyfrowych środków bezpieczeństwa.
Niniejszy kodeks postępowania stanowi etyczną podstawę naszej działalności. Ma to zasadnicze znaczenie, ponieważ wiąże się z pracą z potencjalnie wrażliwymi danymi i, w większości przypadków, bez uprzedniej zgody lub zgody na przetwarzanie.
Zajmujemy się:
1. (zautomatyzowane) wyszukiwanie domen i zautomatyzowany pomiar (środków ochrony przed) luk w zabezpieczeniach infrastruktury cyfrowej
2. wizualizowanie na ogromną skalę stosowania/braku wymogów bezpieczeństwa, gdy publikacja jest etycznie dopuszczalna (patrz polityka publikacji)
3. komunikowanie tych ustaleń w możliwie najbardziej publiczny sposób, w celu usunięcia wszelkich luk w zabezpieczeniach
4. Współpraca z zaufanymi organizacjami w celu usunięcia tych luk w zabezpieczeniach.
Jesteśmy świadomi, że poruszamy się na granicy tego, co jest prawnie dopuszczalne. Dlatego podstawą naszych działań są staranne rozważania. Działania muszą być zawsze zgodne z poniższymi zasadami:
1. Korzyści społeczne: działamy w interesie publicznym, ponieważ uważamy, że internet powinien być bezpiecznym miejscem dla każdego. Nasze działania nie są motywowane interesami finansowymi, politycznymi ani indywidualnymi.
2. Proporcjonalność: celem jest zwiększenie dostępności, integralności i poufności usług online, a nadrzędnym celem jest uczynienie społeczeństwa bezpieczniejszym. Nasze wysiłki mają na celu zwiększenie bezpieczeństwa, a nie jego osłabienie.
3. Subsydiarność: zawsze wybierane jest rozwiązanie, które osiąga cel przy najmniejszym wpływie.
Jesteśmy skrupulatni: pomiary są weryfikowalne, uzasadnione i jasno sformułowane. Tworzymy i wykorzystujemy narzędzia pomiarowe, które są wysokiej jakości i nie powodują uszkodzeń systemów lub infrastruktury. Pomiary nigdy nie wykraczają poza to, co jest konieczne do wykazania podatności lub braku środka bezpieczeństwa.
Jesteśmy świadomi złożoności Internetu i infrastruktury cyfrowej. Dlatego do pomiarów stosowana jest zasada „przestrzegaj lub wyjaśnij”. Tworzy to standard określający, jakie wyjątki od podstawowego bezpieczeństwa są dopuszczalne w danej sytuacji. Polityka ta jest publikowana publicznie, aby organizacje mogły jej przestrzegać. Wyjaśnienie jest akceptowane, jeśli dotyczy rozwiązania „zaprojektowanego”. W przypadku wyjaśnień, które wskazują na błędy pomiarowe, narzędzia pomiarowe są dalej ukierunkowane, a pomiary aktualizowane.
Dokonujemy pomiarów i publikujemy je na skalę krajową i kierujemy je do całych branż i odpowiednich organizacji parasolowych. Traktujemy wszystkie organizacje na równi i oczekujemy, że wszystkie będą spełniać te same wymogi bezpieczeństwa.
Luki w zabezpieczeniach są publikowane w miarę możliwości zgodnie z niniejszym kodeksem postępowania. Publikacja ma wiele cech, do których wyraźnie dążymy:
1. Dla osób z mniejszą wiedzą na temat bezpieczeństwa cyfrowego staje się jasne, jak dobrze organizacje radzą sobie z bezpieczeństwem. Mogą wyciągnąć z tego wnioski i naciskać na poprawę,
2. Bezpieczeństwo staje się namacalne dla kierowców, pozwalając im kierować się w jego stronę zamiast płynąć na oślep,
3. Pozwala to uniknąć konieczności zajmowania się i śledzenia każdej podatności indywidualnie przez ogromną organizację pracowników,
4. Pojawia się przejrzystość: zakresu usług online i ich jakości. W wielu organizacjach brakuje tego obrazu, dlatego na przykład systemy są zapominane, pozostają niezałatane i stają się coraz bardziej podatne na ataki.
5. Upubliczniamy to, co już jest publiczne, jednocześnie chroniąc to, co powinno być chronione. Innymi słowy, „Öffentliche Daten nützen, private Daten schützen”.
Opublikowane pomiary są aktualne. Są one regularnie powtarzane i w większości przypadków nie są starsze niż 2 miesiące. W rezultacie każda mierzona organizacja ma kontrolę nad własną oceną.
Zgłaszamy podstawowe luki w zabezpieczeniach, informując o nich publicznie i tak szeroko, jak to możliwe. Właściciel systemu jest odpowiedzialny za usunięcie usterek.
Każda osoba zaangażowana w działalność fundacji jest świadoma tych zasad postępowania i dba o ich przestrzeganie. Jeśli ktoś nie przestrzega tych zasad postępowania, podejmowane są odpowiednie kroki. Jednym z takich środków jest na przykład odmowa dostępu do projektów i infrastruktury.
Przed opublikowaniem informacji o nowych grupach organizacji, skontaktujemy się z organizacjami parasolowymi, aby ogłosić i usprawnić publikację w celu miękkiego lądowania z osobami odpowiedzialnymi. Po co najmniej miesięcznym okresie oczekiwania publikacja będzie kontynuowana.
Nowe rodzaje pomiarów są ogłaszane organizacjom patronackim. Daje im to możliwość przekazania ich swoim uczestnikom w celu szybkiego podjęcia działań następczych.
Stosujemy hakerskie slogany „bądźcie dla siebie nawzajem dobrzy” i „wszystkie stworzenia mile widziane” do manier społecznych w fundacji.

Niniejszy kodeks postępowania jest inspirowany kodeksem holenderskiego Instytutu Ujawniania Podatności, za który dziękujemy.