24:42 Project
Het 24:42 Project, ook wel Project 24:42 genoemd, is een project bestaande uit vrijwilligers met als doel het helpen verbeteren van het gebruik van digitale veiligheids- en encryptiestandaarden bij voornamelijk Nederlandse (overheids)organisaties.
Visie
De leden van het Project zijn van mening dat goede encryptie van internetverkeer essentieel is voor de digitale samenleving. Denk aan het veilig kunnen versturen van privacy-gevoelige informatie, zoals persoonlijk data, het veilig kunnen maken van afspraken bij overheden en/of organisaties en het online betalingsverkeer.
Het (moedwillig) verzwakken van deze encryptie maakt volgens de leden dit digitale verkeer onveilig voor burgers, bedrijven en de overheid.
Responsible Disclosure
Verder is het Project ook van mening dat een breed gedragen ondersteuning en daarbij behorend gebruik van het Responsible Disclosure-principe meerdere grote voordelen met zich meebrengt in de digitale sector. Naast het veiligheidsaspect waarbij organisaties sneller op de hoogte gebracht kunnen worden van (het voorkomen van) mogelijke lekken/kwetsbaarheden in de eigen netwerken door duidelijk aangegeven contactpunten en de daarbij behorende vermindering in meldtijd, draagt het door de preventieve werking op termijn ook bij aan een vermindering van kosten.
Verder heeft het gebruik van een Responsible Disclosure-beleid ook een positieve werking op de actuele digitale kennis van een organisatie en haar medewerkers, doordat deze vaker en sneller in contact zullen komen met digitale onderzoekers en/of ethische hackers. Hierdoor zullen organisaties en haar medewerkers een beter beeld krijgen van wat er in de digitale wereld speelt en welke invloed dit heeft op haar eigen netwerken. Talent
Bovendien zal het Responsible Disclosure-principe ook een positieve invloed hebben op studenten en andere (jonge) talenten, omdat deze groep doormiddel van het Responsible Disclosure-principe meer kansen krijgt om zich op een eerlijke en positieve manier te ontwikkelen in de richting van de digitale security.
Het Project is van mening dat er niet angstig gekeken moet worden naar deze groep, maar dat deze groep een gelijkwaardige en eerlijke kans verdient om binnen het Responsible Disclosure-gedachtengoed ook zonder angst voor eventuele gevolgen/vervolging hun talenten te laten ontwikkelen. Dit vergroot de digitale volwassenheid en vermindert de kans dat het talent van deze groep verdwijnt of door criminelen misbruikt word. Onderzoek en Melding
Het Project gebruikt verschillende open-source technieken en eigen databases om het verkeer naar de website van de organisatie en haar subdomeinen te testen. Het Project ziet het dan ook als haar taak om bij het ontdekken van het gebruik van verzwakte SSL/TLS-verbindingen of het ontbreken van de juiste veiligheidsupdates deze via een zo verantwoord mogelijke manier te melden bij de organisatie. Deze melding zal, indien aanwezig, gedaan worden volgens de norm die is opgesteld in het Responsible Disclosure-beleid van de betreffende organisatie.
Indien er geen handelingen verricht worden door de betreffende organisatie zonder antwoord op de melding zal er indien nodig contact worden opgenomen met andere instanties, bijvoorbeeld het Nationaal Cyber Security Center Nederland.