Uppförandekod

Friskrivningsklausul: Originalet till denna sida är skrivet på nederländska. Denna sida har översatts automatiskt till andra språk med hjälp av DeepL. Detta kan resultera i skillnader i nyans, ton och betydelse. Om du är osäker ska du alltid först läsa den nederländska versionen. På grund av de höga kostnaderna för översättningar kan denna sida innehållsmässigt ligga efter den nederländska versionen. Vi betraktar den nederländska versionen av denna sida som ledande.

Uppförandekod för Internet Cleanup Foundation version 1.0

Volontärerna i Internet Cleanup Foundation bedriver sin verksamhet i enlighet med denna uppförandekod.

  1. Internet Cleanup Foundation är en holländsk stiftelse med syfte att göra internet säkert. De underliggande målen är ett motståndskraftigt samhälle mot hot på nätet och att alla kan använda internet på ett säkert sätt. Vi gör detta delvis genom att ge insikt i digitala tjänsters tillgänglighet, integritet och sekretess. Till exempel genom att visualisera tillämpningen av digitala säkerhetsåtgärder.
  2. Denna uppförandekod lägger en etisk grund för vår verksamhet. Detta är viktigt eftersom det handlar om att arbeta med potentiellt känsliga uppgifter och, i de flesta fall, utan föregående samtycke eller behandlingsavtal.
  3. Vi arbetar med:
    1. (automatiserad) domänsökning och automatiserad mätning av (skyddsåtgärder mot) sårbarheter i digital infrastruktur
    2. Visualisering i enorm skala av tillämpning/brist på säkerhetskrav när det är etiskt godtagbart att publicera det (se publiceringspolicy).
    3. kommunicera dessa resultat på ett så offentligt sätt som möjligt, i syfte att åtgärda eventuella sårbarheter
    4. Samarbete med betrodda organisationer för att åtgärda dessa sårbarheter
  4. Vi är medvetna om att vi rör oss på gränsen till vad som är juridiskt tillåtet. Därför ligger noggranna överväganden till grund för våra aktiviteter. Aktiviteterna måste alltid följa följande grunder:
    1. Samhällsnytta: vi agerar i allmänhetens intresse eftersom vi anser att internet ska vara en säker plats för alla. Vår verksamhet motiveras inte av ekonomiska, politiska eller individuella intressen.
    2. Proportionalitet: Målet är att öka tillgängligheten, integriteten och konfidentialiteten för onlinetjänster, med det högre målet att göra samhället säkrare. Våra insatser syftar till att öka säkerheten och inte försvaga den.
    3. Subsidiaritetsprincipen: den lösning som uppnår målet med minst påverkan väljs alltid.
  5. Vi är noggranna: mätningar är verifierbara, underbyggda och tydligt formulerade. Vi skapar och använder mätverktyg som är av hög kvalitet och som inte orsakar skador på system eller infrastruktur. Mätningar görs aldrig utöver vad som är nödvändigt för att påvisa sårbarhet eller avsaknad av en säkerhetsåtgärd.
  6. Vi är medvetna om komplexiteten i internet och den digitala infrastrukturen. Därför tillämpas principen ”följ eller förklara” på mätningar. Detta skapar en standard för vilka undantag från grundläggande säkerhet som är godtagbara i vilken situation. Denna policy publiceras offentligt så att organisationer kan följa den. En förklaring accepteras om den handlar om en lösning som är ”by design”. För förklaringar som tyder på mätfel fokuseras mätverktygen ytterligare och mätningen uppdateras.
  7. Vi mäter och publicerar på nationell nivå och riktar oss till hela branscher och relevanta paraplyorganisationer. Vi behandlar alla organisationer lika och förväntar oss att de ska uppfylla samma säkerhetskrav.
  8. Sårbarheter publiceras om möjligt i enlighet med denna uppförandekod. Publiceringen har ett antal egenskaper som vi uttryckligen strävar efter:
    1. Det blir tydligt för personer med mindre kunskap om digital säkerhet hur väl organisationerna hanterar säkerheten. De kan dra slutsatser av detta och trycka på för att förbättra sig,
    2. Säkerheten blir påtaglig för förarna, vilket gör att de kan styra mot den i stället för att segla i blindo,
    3. Det gör att en stor personalorganisation inte behöver hantera och följa upp varje sårbarhet individuellt,
    4. Öppenheten ökar: om omfattningen av onlinetjänster och deras kvalitet. Denna bild saknas i många organisationer, och därför glöms till exempel system bort, förblir opatchade och blir alltmer sårbara.
    5. Vi offentliggör det som redan är offentligt, samtidigt som vi skyddar det som bör skyddas. Med andra ord: ”Öffentliche Daten nützen, private Daten schützen”.
  9. Publicerade mätningar är aktuella. De upprepas regelbundet och är i de allra flesta fall inte äldre än 2 månader. Det innebär att varje organisation som mäts har kontroll över sin egen bedömning.
  10. Vi rapporterar grundläggande säkerhetsbrister genom att kommunicera dem offentligt och så brett som möjligt. Ägaren av systemen är ansvarig för att åtgärda bristerna.
  11. Alla som deltar i stiftelsens verksamhet känner till dessa uppföranderegler och ser till att de följs. Om någon inte följer dessa uppföranderegler vidtas åtgärder. En sådan åtgärd är till exempel att neka tillträde till projekt och infrastruktur.
  12. Innan information om nya grupper av organisationer publiceras kommer paraplyorganisationer att kontaktas för att meddela och effektivisera publiceringen för en mjuklandning med de ansvariga. Efter en landningsperiod på minst en månad kommer publiceringen att fortsätta.
  13. Nya typer av mätningar meddelas till paraplyorganisationerna. Detta ger dem möjlighet att vidarebefordra dem till sina deltagare för snabb uppföljning.
  14. Vi tillämpar hackerparollerna ”var snälla mot varandra” och ”alla varelser är välkomna” på socialt uppförande i stiftelsen.

Denna uppförandekod är inspirerad av den som gäller för Dutch Institute for Vulnerability Disclosure, som vi tackar för.