Kodex chování

Odmítnutí odpovědnosti: Originál této stránky je v nizozemštině. Tato stránka byla automaticky přeložena do jiných jazyků pomocí DeepL. To může mít za následek rozdíly v nuancích, tónu a významu. V případě pochybností vždy nejprve nahlédněte do nizozemské verze. Vzhledem k vysokým nákladům na překlady může tato stránka obsahově zaostávat za nizozemskou verzí. Nizozemskou verzi této stránky považujeme za vedoucí.

Kodex chování Nadace pro vyčištění internetu verze 1.0

Dobrovolníci Nadace pro čištění internetu se při své činnosti řídí tímto kodexem chování.

  1. Internet Cleanup Foundation je nizozemská nadace, jejímž cílem je zajistit bezpečnost internetu. Základními cíli jsou odolnost společnosti vůči online hrozbám a to, aby každý mohl bezpečně používat internet. Toho dosahujeme částečně tím, že poskytujeme přehled o dostupnosti, integritě a důvěrnosti digitálních služeb. Například vizualizací aplikace digitálních bezpečnostních opatření.
  2. Tento kodex chování vytváří etický základ pro naši činnost. Je to nezbytné, protože jde o práci s potenciálně citlivými údaji a ve většině případů bez předchozího souhlasu nebo dohody o zpracování.
  3. Zabýváme se:
    1. (automatizované) vyhledávání domén a automatizované měření (ochranných opatření proti) zranitelností digitální infrastruktury.
    2. vizualizace uplatňování/nedodržování bezpečnostních požadavků v obrovském měřítku, pokud je eticky přijatelné ji zveřejnit (viz zásady zveřejňování).
    3. sdělování těchto zjištění co nejveřejnějším způsobem s cílem odstranit případné zranitelnosti.
    4. Spolupráce s důvěryhodnými organizacemi na odstranění těchto zranitelností.
  4. Jsme si vědomi toho, že se pohybujeme na hraně toho, co je právně přípustné. Proto je základem naší činnosti pečlivá rozvaha. Činnosti musí být vždy v souladu s následujícími základy:
    1. Společenský přínos: jednáme ve veřejném zájmu, protože věříme, že internet by měl být bezpečným místem pro každého. Naše činnost není motivována finančními, politickými nebo individuálními zájmy.
    2. Proporcionalita: cílem je zvýšit dostupnost, integritu a důvěrnost online služeb, přičemž vyšším cílem je zvýšit bezpečnost společnosti. Naše úsilí směřuje ke zvýšení bezpečnosti, nikoli k jejímu oslabení.
    3. Subsidiarita: vždy se volí řešení, které dosáhne cíle s nejmenším dopadem.
  5. Jsme pečliví: měření jsou ověřitelná, podložená a jasně formulovaná. Vytváříme a používáme kvalitní měřicí nástroje, které nepoškozují systémy ani infrastrukturu. Měření nikdy neprovádíme nad rámec toho, co je nezbytné k prokázání zranitelnosti nebo absence bezpečnostního opatření.
  6. Jsme si vědomi složitosti internetu a digitální infrastruktury. Proto se při měřeních uplatňuje zásada comply or explain. Tím se vytváří standard, jaké výjimky ze základního zabezpečení jsou v jaké situaci přípustné. Tyto zásady jsou zveřejněny, aby je organizace mohly dodržovat. Vysvětlení je přijatelné, pokud se týká řešení, které je „by design“. V případě vysvětlení, která ukazují na chyby měření, jsou nástroje měření dále zaměřeny a měření aktualizováno.
  7. Měříme a publikujeme v celostátním měřítku a zaměřujeme se na celá odvětví a příslušné zastřešující organizace. Ke všem organizacím přistupujeme stejně a očekáváme, že všechny budou splňovat stejné bezpečnostní požadavky.
  8. Zranitelnosti jsou zveřejňovány pokud možno v souladu s tímto kodexem chování. Zveřejnění má řadu vlastností, o které výslovně usilujeme:
    1. Lidem s menšími znalostmi digitální bezpečnosti je jasné, jak dobře organizace bezpečnost zvládají. Mohou z toho vyvodit závěry a tlačit na zlepšení,
    2. Bezpečnost se pro řidiče stává hmatatelnou a umožňuje jim řídit se jí, místo aby se jí řídili naslepo,
    3. Díky tomu není nutné, aby se obrovské množství zaměstnanců zabývalo každou zranitelností zvlášť a sledovalo ji,
    4. Vzniká transparentnost: rozsah online služeb a jejich kvalita. Tento obraz chybí v mnoha organizacích, a proto se například na systémy zapomíná, zůstávají neopravené a jsou stále zranitelnější.
    5. Zveřejňujeme to, co už je veřejné, a zároveň chráníme to, co by chráněno být mělo. Jinými slovy: „Öffentliche Daten nützen, private Daten schützen“.
  9. Zveřejněná měření jsou aktuální. Pravidelně se opakují a ve většině případů nejsou starší než dva měsíce. Výsledkem je, že každá měřená organizace má kontrolu nad svým vlastním hodnocením.
  10. Základní bezpečnostní chyby hlásíme tak, že o nich informujeme veřejně a v co nejširší míře. Za vyřešení zjištěných nedostatků je odpovědný vlastník systémů.
  11. Každý, kdo se podílí na činnosti nadace, si je vědom těchto pravidel chování a dbá na jejich dodržování. Pokud někdo tato pravidla chování nedodržuje, jsou přijata opatření. Jedním z takových opatření je například odepření přístupu k projektům a infrastruktuře.
  12. Před zveřejněním informací o nových skupinách organizací budou kontaktovány zastřešující organizace, aby oznámily a zefektivnily zveřejnění pro měkké přistání u odpovědných osob. Po uplynutí alespoň měsíční lhůty pro přistání se přistoupí k publikaci.
  13. Zastřešujícím organizacím jsou oznamovány nové typy měření. Ty tak mají možnost předat je svým účastníkům k rychlému sledování.
  14. Hesla hackerů „buďte k sobě navzájem skvělí“ a „všechny bytosti vítány“ aplikujeme na společenské chování v nadaci.

Tento kodex chování je inspirován kodexem nizozemského Institutu pro odhalování zranitelností, za který děkujeme.