Regler for god oppførsel

Ansvarsfraskrivelse: Originalen av denne siden er skrevet på nederlandsk. Denne siden er automatisk oversatt til andre språk ved hjelp av DeepL. Dette kan føre til forskjeller i nyanser, tonefall og betydning. Hvis du er i tvil, bør du alltid konsultere den nederlandske versjonen først. På grunn av de høye kostnadene ved oversettelser kan denne siden ligge etter den nederlandske versjonen når det gjelder innhold. Vi anser den nederlandske versjonen av denne siden som ledende.

Code of Conduct Internet Cleanup Foundation versjon 1.0

Frivillige i Internet Cleanup Foundation utfører sine aktiviteter i henhold til disse etiske retningslinjene.

  1. Internet Cleanup Foundation er en nederlandsk stiftelse som har som mål å gjøre internett trygt. De underliggende målene er et samfunn som er motstandsdyktig mot trusler på nettet, og at alle kan bruke internett på en trygg måte. Dette gjør vi blant annet ved å gi innsikt i digitale tjenesters tilgjengelighet, integritet og konfidensialitet. For eksempel ved å visualisere anvendelsen av digitale sikkerhetstiltak.
  2. Disse etiske retningslinjene legger et etisk grunnlag for vår virksomhet. Dette er viktig ettersom vi arbeider med potensielt sensitive opplysninger, og i de fleste tilfeller uten forutgående samtykke eller behandlingsavtale.
  3. Vi arbeider med:
    1. (automatisert) domenesøk og automatisert måling av (beskyttelsestiltak mot) sårbarheter i digital infrastruktur
    2. visualisere anvendelsen/mangelen på sikkerhetskrav i stor skala når det er etisk akseptabelt å publisere det (se publiseringspolicy)
    3. kommunisere disse funnene på en så offentlig måte som mulig, med sikte på å få løst eventuelle sårbarheter
    4. Samarbeid med pålitelige organisasjoner for å løse disse sårbarhetene
  4. Vi er klar over at vi beveger oss på kanten av hva som er juridisk tillatt. Derfor ligger nøye overveielser til grunn for aktivitetene våre. Aktivitetene må alltid være i samsvar med følgende grunnlag:
    1. Samfunnsnytte: Vi handler i allmennhetens interesse fordi vi mener at internett bør være et trygt sted for alle. Våre aktiviteter er ikke motivert av økonomiske, politiske eller individuelle interesser.
    2. Forholdsmessighet: Målet er å øke tilgjengeligheten, integriteten og konfidensialiteten til nettbaserte tjenester, med et overordnet mål om å gjøre samfunnet tryggere. Innsatsen vår tar sikte på å øke sikkerheten, ikke svekke den.
    3. Subsidiaritet: Den løsningen som oppnår målet med minst mulig innvirkning, blir alltid valgt.
  5. Vi er grundige: Målingene er etterprøvbare, underbyggede og klart formulerte. Vi utvikler og bruker måleverktøy av høy kvalitet som ikke forårsaker skade på systemer eller infrastruktur. Vi foretar aldri målinger utover det som er nødvendig for å påvise sårbarhet eller mangel på sikkerhetstiltak.
  6. Vi er klar over kompleksiteten i internett og den digitale infrastrukturen. Derfor bruker vi «følg eller forklar»-prinsippet på målinger. Dette skaper en standard for hvilke unntak fra grunnleggende sikkerhet som er akseptable i hvilke situasjoner. Disse retningslinjene publiseres offentlig, slik at organisasjoner kan etterleve dem. En forklaring godtas hvis den handler om en løsning som er «by design». For forklaringer som indikerer målefeil, fokuseres måleverktøyene ytterligere, og målingen oppdateres.
  7. Vi måler og publiserer på nasjonal skala og retter oss mot hele bransjer og relevante paraplyorganisasjoner. Vi behandler alle organisasjoner som likeverdige og forventer at alle oppfyller de samme sikkerhetskravene.
  8. Sårbarheter publiseres om mulig i henhold til disse etiske retningslinjene. Publiseringen har en rekke funksjoner som vi eksplisitt etterstreber:
    1. Det blir tydelig for personer med mindre kunnskap om digital sikkerhet hvor godt organisasjoner håndterer sikkerheten. De kan trekke konklusjoner av dette og presse på for å forbedre seg,
    2. Sikkerheten blir håndgripelig for sjåførene, slik at de kan styre mot den i stedet for å seile i blinde,
    3. På den måten slipper en stor stabsorganisasjon å måtte håndtere og følge opp hver enkelt sårbarhet,
    4. Det begynner å bli åpenhet om omfanget av nettbaserte tjenester og kvaliteten på dem. Dette bildet mangler i mange organisasjoner, og derfor blir for eksempel systemer glemt, forblir upatchet og blir stadig mer sårbare.
    5. Vi offentliggjør det som allerede er offentlig, mens vi skjermer det som bør skjermes. Med andre ord: «Öffentliche Daten nützen, private Daten schützen».
  9. Publiserte målinger er oppdaterte. De gjentas regelmessig og er i de fleste tilfeller ikke eldre enn to måneder. Det betyr at hver organisasjon som måles, har kontroll over sin egen vurdering.
  10. Vi rapporterer grunnleggende sikkerhetshull ved å kommunisere dem offentlig og så bredt som mulig. Eieren av systemene er ansvarlig for å utbedre funnene.
  11. Alle som er involvert i stiftelsens aktiviteter, er kjent med disse atferdsreglene og sørger for at de overholdes. Hvis noen ikke overholder disse reglene, blir det iverksatt tiltak. Et slikt tiltak er for eksempel å nekte tilgang til prosjekter og infrastruktur.
  12. Før publisering av informasjon om nye grupper av organisasjoner vil paraplyorganisasjoner bli kontaktet for å kunngjøre og effektivisere publiseringen for en myk landing med de ansvarlige. Etter en landingsperiode på minst én måned vil publiseringen fortsette.
  13. Nye typer målinger meldes inn til paraplyorganisasjonene. Dette gir dem mulighet til å videresende dem til sine deltakere for rask oppfølging.
  14. Vi bruker hackerparolene «vær gode mot hverandre» og «alle skapninger er velkomne» på den sosiale omgangsformen i stiftelsen.

Disse etiske retningslinjene er inspirert av retningslinjene til det nederlandske Institute for Vulnerability Disclosure, som vi takker for.