Code of Conduct Internet Cleanup Foundation versie 1.0
Vrijwilligers van de Internet Cleanup Foundation voeren hun activiteiten uit volgens deze code of conduct.
- De Internet Cleanup Foundation is een Nederlandse stichting met als doel het internet veilig te maken. De onderliggende doelen zijn een weerbare maatschappij tegen online dreigingen en dat iedereen op een veilige manier gebruik kan maken van het internet. We doen dit o.a. door inzicht te geven in de beschikbaarheid, integriteit en vertrouwelijkheid van digitale dienstverlening. Bijvoorbeeld door visualisatie van de toepassing van digitale veiligheidsmaatregelen.
- Deze code of conduct legt een ethisch fundament voor onze activiteiten. Dit is essentieel omdat er wordt gewerkt met mogelijk gevoelige gegevens en in de meeste gevallen zonder voorafgaande toestemming of verwerkingsovereenkomst.
- We houden ons onder andere bezig met:
- het (geutomatiseerd) zoeken naar domeinen en geautomatiseerd meten van (beschermingsmaatregelen tegen) kwetsbaarheden op digitale infrastructuur
- het op immense schaal de toepassing/gebrek aan veiligheidseisen visualiseren wanneer het ethisch acceptabel is om dit te publiceren (zie publicatiebeleid)
- het communiceren over deze bevindingen op een zo publiek mogelijke manier, met als doel eventuele kwetsbaarheden te laten oplossen
- samenwerken met vertrouwde organisaties om deze kwetsbaarheden te laten oplossen
- We zijn ons bewust dat we ons begeven op de rand van wat juridisch toegestaan is. Daarom staan zorgvuldige afwegingen aan de basis van onze activiteiten. Activiteiten moeten altijd voldoen aan de volgende grondslagen:
- Maatschappelijk nut: we handelen in het algemeen belang omdat we vinden dat het internet een veilige plaats moet zijn voor iedereen. Onze activiteiten worden niet gemotiveerd door financiele, politieke of individuele belangen.
- Proportionaliteit: het doel is de beschikbaarheid, integriteit en vertrouwelijkheid van online dienstverlening te vergroten, met als hoger doel de maatschappij veiliger te maken. Onze inspanningen hebben als doel veiligheid te vergroten en niet te verzwakken.
- Subsidiariteit: er wordt altijd gekozen voor de oplossing die met de minste impact het doel bereikt.
- We zijn zorgvuldig: metingen zijn verifieerbaar, onderbouwd en helder geformuleerd. We maken en gebruiken meetinstrumenten die kwalitatief hoogstaand zijn en veroorzaken geen schade aan systemen of infrastructuur. Er wordt nooit verder gemeten dan wat noodzakelijk is voor het aantonen van de kwetsbaarheid of ontbreken van een beveiligingsmaatregel.
- We zijn bewust van de complexiteit van het internet en digitale infrastructuur. Daarom wordt het comply or explain principe toegepast op metingen. Hierdoor ontstaat een standaard van welke uitzonderingen op basisveiligheid in welke situatie acceptabel is. Dit beleid wordt openbaar gepubliceerd zodat organisaties zich hiernaar kunnen voegen. Een uitleg wordt geaccepteerd als dit gaat over een oplossing die ‘by design’ is. Bij uitleg dat duidt op meetfouten worden de meetingstrumenten verder toegespitst en de meting bijgewerkt.
- Wij meten en publiceren op landelijke schaal en richten ons op hele branches en relevante overkoepelende organisaties. We behandelen alle organisaties als gelijkwaardig en verwachten dat deze allemaal aan dezelfde veiligheidseisen moeten voldoen.
- Kwetsbaarheden worden gepubliceerd als het kan volgens deze code of conduct. Publicatie heeft een aantal eigenschappen die we expliciet nastreven:
- Het wordt voor mensen met minder kennis van digitale veiligheid duidelijk hoe goed organisaties omgaan met veiligheid. Ze kunnen hier conclusies uit trekken en druk leggen om te verbeteren,
- Veiligheid wordt tastbaar voor bestuurders, waardoor ze op deze veiligheid kunnen sturen in plaats van blind varen,
- Er wordt voorkomen dat er een gigantische personele organisatie nodig is om iedere kwetsbaarheid individueel te moeten aankaarten en opvolgen,
- Er ontstaat transparantie: van de omvang van online dienstverlening en de kwaliteit hiervan. Dit beeld ontbreekt bij menig organisatie, daardoor raken bijvoorbeeld systemen vergeten, blijven ze ongepatcht en worden ze steeds kwetsbaarder.
- Er wordt publiek gemaakt wat al publiek is, terwijl we afschermen wat afgeschermd moet worden. In andere zin: “Öffentliche Daten nützen, private Daten schützen”.
- Gepubliceerde metingen zijn actueel. Ze worden regelmatig herhaald en zijn in uitsterste gevallen niet ouder dan 2 maanden. Hierdoor heeft iedere organisatie die wordt gemeten zelf grip op de beoordeling.
- We maken melding van kwetsbaarheden in basisveiligheid door deze publiek en zo breed mogelijk te communiceren. De eigenaar van de systemen is verantwoordelijk voor het oplossen van de bevindingen.
- Iedereen die betrokken is bij activiteiten van de stichting is op de hoogte is van deze gedragsregels en zorgt dat deze wordt nageleefd. Wanneer iemand zich niet houdt aan deze gedragsregels worden er maatregelen getroffen. Zo’n maatregel is bijvoorbeeld ontzegging van de toegang tot projecten en infrastructuur.
- Voordat informatie over nieuwe groepen organsiaties wordt gepubliceerd zal contact worden opgenomen met koepelorganisaties om de publicatie aan te kondigen en te stroomlijnen voor een zachte landing bij de verantwoordelijken. Na een landingsperiode van ten minste een maand wordt overgegaan op publicatie.
- Nieuwe soorten metingen worden aangekondigd bij de koepelorganisaties. Zij krijgen hierdoor de kans om deze door te zetten naar hun deelnemers voor snelle opvolging.
- Wij hanteren de hackerslogans “be excellent to each other” en “all creatures welcome” bij sociale omgangsvormen in de stichting.
Deze code of conduct is geïnspireeerd op die van de Dutch Institute for Vulnerability Disclosure waarvoor dank.