Codice di condotta

Disclaimer: l'originale di questa pagina è scritto in olandese. Questa pagina è stata tradotta automaticamente in altre lingue utilizzando il sito DeepL. Ciò può comportare differenze di sfumature, tono e significato. In caso di dubbi, consulta sempre prima la versione olandese. A causa dell'elevato costo delle traduzioni, questa pagina potrebbe essere in ritardo rispetto alla versione olandese in termini di contenuti. Consideriamo la versione olandese di questa pagina come principale.

Codice di condotta Internet Cleanup Foundation versione 1.0

I volontari della Internet Cleanup Foundation svolgono le loro attività nel rispetto di questo codice di condotta.

  1. La Internet Cleanup Foundation è una fondazione olandese che ha l’obiettivo di rendere internet sicuro. Gli obiettivi di fondo sono una società resiliente contro le minacce online e la possibilità per tutti di utilizzare internet in modo sicuro. Lo facciamo in parte fornendo informazioni sulla disponibilità, l’integrità e la riservatezza dei servizi digitali. Ad esempio, visualizzando l’applicazione delle misure di sicurezza digitali.
  2. Il presente codice di condotta costituisce una base etica per le nostre attività. Si tratta di un aspetto essenziale, in quanto si tratta di lavorare con dati potenzialmente sensibili e, nella maggior parte dei casi, senza un consenso preventivo o un accordo di elaborazione.
  3. Ci occupiamo di:
    1. la ricerca (automatizzata) di domini e la misurazione automatizzata di (misure di protezione contro) le vulnerabilità dell’infrastruttura digitale
    2. visualizzare su scala immensa l’applicazione/la mancanza di requisiti di sicurezza quando è eticamente accettabile pubblicarla (vedi politica di pubblicazione)
    3. comunicare queste scoperte nel modo più pubblico possibile, con l’obiettivo di risolvere le vulnerabilità.
    4. Collaborare con organizzazioni fidate per risolvere queste vulnerabilità
  4. Siamo consapevoli di essere al limite di ciò che è legalmente consentito. Per questo motivo, alla base delle nostre attività ci sono considerazioni attente. Le attività devono sempre rispettare le seguenti basi:
    1. Utilità sociale: agiamo nell’interesse pubblico perché crediamo che Internet debba essere un luogo sicuro per tutti. Le nostre attività non sono motivate da interessi finanziari, politici o individuali.
    2. Proporzionalità: l’obiettivo è aumentare la disponibilità, l’integrità e la riservatezza dei servizi online, con l’obiettivo superiore di rendere la società più sicura. I nostri sforzi mirano ad aumentare la sicurezza e non a indebolirla.
    3. Sussidiarietà: viene sempre scelta la soluzione che raggiunge l’obiettivo con il minor impatto possibile.
  5. Siamo meticolosi: le misurazioni sono verificabili, motivate e formulate in modo chiaro. Creiamo e utilizziamo strumenti di misurazione di alta qualità e che non causino danni ai sistemi o alle infrastrutture. Le misurazioni non vanno mai oltre quanto necessario per dimostrare la vulnerabilità o la mancanza di una misura di sicurezza.
  6. Siamo consapevoli della complessità di Internet e dell’infrastruttura digitale. Pertanto, il principio “rispetta o spiega” viene applicato alle misurazioni. Questo crea uno standard che stabilisce quali eccezioni alla sicurezza di base sono accettabili in quali situazioni. Questa politica viene pubblicata pubblicamente in modo che le organizzazioni possano rispettarla. Una spiegazione viene accettata se riguarda una soluzione “progettata”. Per le spiegazioni che indicano errori di misurazione, gli strumenti di misurazione vengono ulteriormente focalizzati e la misurazione aggiornata.
  7. Misuriamo e pubblichiamo su scala nazionale e ci rivolgiamo a interi settori e alle relative organizzazioni di riferimento. Trattiamo tutte le organizzazioni allo stesso modo e ci aspettiamo che tutte soddisfino gli stessi requisiti di sicurezza.
  8. Le vulnerabilità vengono pubblicate, se possibile, secondo questo codice di condotta. La pubblicazione ha una serie di caratteristiche a cui aspiriamo esplicitamente:
    1. Le persone che non hanno una conoscenza approfondita della sicurezza digitale si rendono conto di come le organizzazioni gestiscono la sicurezza. Possono trarre delle conclusioni e fare pressione per migliorare,
    2. La sicurezza diventa tangibile per i conducenti, consentendo loro di orientarsi verso di essa invece di navigare alla cieca,
    3. In questo modo si evita che un’enorme organizzazione di personale debba affrontare e seguire ogni vulnerabilità individualmente,
    4. Sta emergendo la trasparenza: sulla portata dei servizi online e sulla loro qualità. Questo quadro manca in molte organizzazioni e per questo motivo, ad esempio, i sistemi vengono dimenticati, rimangono senza patch e diventano sempre più vulnerabili.
    5. Stiamo rendendo pubblico ciò che è già pubblico, mentre proteggiamo ciò che dovrebbe essere protetto. In altre parole, “Öffentliche Daten nützen, private Daten schützen”.
  9. Le misurazioni pubblicate sono attuali. Vengono ripetute regolarmente e nella maggior parte dei casi non risalgono a più di due mesi fa. Di conseguenza, ogni organizzazione sottoposta a misurazione ha il controllo della propria valutazione.
  10. Segnaliamo le vulnerabilità di sicurezza di base comunicandole pubblicamente e nel modo più ampio possibile. Il proprietario dei sistemi è responsabile della risoluzione dei problemi riscontrati.
  11. Tutti coloro che partecipano alle attività della fondazione sono a conoscenza di queste regole di condotta e si assicurano che vengano rispettate. Se qualcuno non rispetta queste regole di condotta, vengono presi dei provvedimenti. Uno di questi provvedimenti è, ad esempio, il rifiuto di accedere a progetti e infrastrutture.
  12. Prima di pubblicare informazioni su nuovi gruppi di organizzazioni, le organizzazioni ombrello saranno contattate per annunciare e semplificare la pubblicazione per un atterraggio morbido con i responsabili. Dopo un periodo di atterraggio di almeno un mese, si procederà alla pubblicazione.
  13. I nuovi tipi di misurazioni vengono annunciati alle organizzazioni di riferimento. In questo modo hanno l’opportunità di trasmetterli ai loro partecipanti per un rapido follow-up.
  14. Applichiamo gli slogan hacker “siate eccellenti gli uni con gli altri” e “tutte le creature sono benvenute” alle buone maniere sociali nella fondazione.

Questo codice di condotta si ispira a quello dell’Istituto olandese per la divulgazione delle vulnerabilità, che ringraziamo.