ECSM - Recommendations for ALL - CS
Evropský měsíc kybernetické bezpečnosti je kampaní EU, která probíhá v měsíci říjnu. Je zaměřena na posílení povědomí občanů o kybernetické bezpečnosti. Cílem kampaně je ZMĚNIT vnímání kybernetických hrozeb v každodenním životě – v práci nebo při soukromém připojení na internet.
Bezpečnost sítí a informací pro vzdělávací pracovníky
Cíl
Zaměřuje se na vzdělávací pracovníky, jimiž se rozumí školitelé, učitelé a ostatní vzdělávací pracovníci ve formálním a neformálním vzdělávání včetně celoživotního vzdělávání. Významná úloha vzdělávacích pracovníků nesmí být opomenuta v žádném schématu zúčastněných stran v oblasti IKT.
Tipy pro vzdělávání v oblasti bezpečnosti sítí a informací
- Výsledky průzkumu agentury ENISA ukazují, že aby byl kurz co nejúčinnější, měl by vzdělávací pracovník využít: krátký úvod a praktická cvičení, příhody a příklady ze života a školicí část při plném zapojení účastníků, která může obsahovat: hraní rolí, simulační cvičení, týmové aktivity, obchodní hru jako součást zkoušek, mix dobrých videí.
-
Výzvy, jimž je třeba čelit:
Pochopit, že využívání technologií obnáší rizika, a pochopit, že tato rizika se netýkají jen jednotlivce, ale mohou mít dopad i na ostatní. Je důležité technologii pochopit, a ne ji jen využívat.
Znovu zmapovat mezilidské vztahy a chování na internetu: „netiketa“.
Vzít v úvahu mezioborovou odbornost (právní, technickou, organizační atd.). - Model zprostředkování prostřednictvím vzdělávání v oblasti bezpečnosti sítí a informací
Doporučení
- Doporučujeme, aby vzdělávací pracovníci i jejich studenti zaujímali pozitivní přístup.
- Vyhledávat partnerství veřejného a soukromého sektoru za účelem financování a přípravy moderních materiálů a kurzů.
Více informací: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
Školení o bezpečnosti sítí a informací pro zaměstnance
Cíl
Školení je základním prostředkem, jak zpřístupnit odborníkům na bezpečnost i zaměstnancům aktuální informace týkající se nejnovějšího vývoje v této oblasti a jak posílit jejich dovednosti v nákladově efektivním boji proti hrozbám.
Tipy
- Bezpečnost informací je v současné době velmi aktuálním tématem, neboť se velmi rychle vyvíjí a nějakým způsobem se dotýká života každého z nás. Lidé potřebují přístup ke zdrojům, návodům a pokynům i specializovaným školením týkajícím se toho, jak při svých každodenních činnostech, při nichž čím dál více využívají informační technologie, zachovat přijatelnou úroveň bezpečnosti a soukromí.
- Pokud jde o oblast ochrany nejdůležitějších služeb a komunikačních infrastruktur států, jako je zásobování vodou, elektřinou a umožnění komunikace, jsou zapotřebí odborníci, kteří jsou schopni odstraňovat a řešit problémy a poskytovat rady. Po službách souvisejících s bezpečností informací, jako jsou řešení incidentů, výstrahy, varování a analýza produktů, je v případě potřeby vysoká poptávka. V mnoha případech je zapotřebí zásah skupiny pro reakci na počítačové hrozby (http://www.enisa.europa.eu/activities/cert/ ). Jelikož každá skupina je tak silná, jak silní jsou její členové, je zapotřebí neustále aktualizovat znalosti zaměstnanců, kontaktních osob i školitelů, aby byli schopni reagovat na nejnovější hrozby a co nejrychleji a nejefektivněji je zmírňovat.
- Z hlediska školitele poskytuje školení jedinečnou příležitost „vyrazit do terénu“ a poznat realitu z různých úhlů pohledu, jelikož komunikace ve třídě by měla být obousměrná. Zkušenosti a aktuální informace jsou pro získání důvěry účastníků školení nenahraditelné, což potvrzují zpětné vazby ze školení, neboť účastníci školení si velice cení skutečných příkladů ze života a praktického užívání.
- K předání informací účastníkům školení lze využít několika různých metod, například lze připravit workshopy a specializované akce či jim jednoduše poskytnout přístup k materiálům pro samostudium. Obě metody mají své klady, jelikož samostudium může být vhodné vzhledem tomu, že umožňuje flexibilitu a snížení celkových nákladů. Školení na způsob workshopů podporuje komunikaci a je jedinečnou příležitostí ke sdílení zkušeností a znalostí.
Doporučení
Agentura ENISA poskytuje školení v místě na podporu schopností skupiny pro reakci na počítačové hrozby a dalších operačních uskupení; podklady pro školení jsou zveřejňovány na webových stránkách agentury ENISA.
Více informací: http://www.enisa.europa.eu/activities/cert/support/exercise
Aktualizace softwaru
Cíl
Agentura ENISA varuje před riziky souvisejícími s využíváním zastaralého softwaru nejen kvůli chybějící podpoře od výrobců, ale i od třetích stran, jako jsou výrobci aplikací proti škodlivému softwaru, dalšího softwaru či periferních zařízení. To vede k trvalému vystavení hrozbám a nemožnosti aktualizovat periferní zařízení či aplikace třetích stran.
Tipy
-
Využívání zastaralého softwaru obnáší vystavení následujícím rizikům:
Koncoví uživatelé nebudou schopni zkontrolovat neporušenost softwaru, protože podpisové certifikáty mohou být propadlé; nemožnost zkontrolovat neporušenost softwarového balíčku může uživatele vystavovat škodlivému softwaru; potenciálně nakažené systémy mohou šířit infekci dále po síti; může to rovněž vést k nedodržování bezpečnostních politik. - Ztráta podpory produktu ze strany výrobce u zastaralého softwaru by mohla potenciálně vést k následujícímu: Uživatelé zastaralých systémů nebudou moci využívat bezpečnostní aktualizace a zprávy; údaje o nových ohroženích již nebudou shromažďovány, oznamovány ani analyzovány, a tudíž nebudou vydávány ani nové bezpečnostní opravy (patches), v důsledku čehož může být zastaralý software natrvalo vystaven takovým ohrožením, jako by se jednalo o „0-day“ vektor útoku; chybějící podpora od výrobců softwaru a hardwaru, kteří jsou třetími stranami, může vést k nedostupnosti platformy, např. kvůli neznámým programátorským chybám může být zastaralý software nefunkční; neslučitelnost starých operačních systémů s novými zařízeními, nedostupnost ovladačů pro nové verze periferních zařízení může uživatelům zabraňovat v aktualizaci nebo výměně starých či poškozených zařízení; ukončení podpory stávajících zařízení na zastaralé platformě může způsobit, že nebude možné nadále využívat zařízení v případě selhání; ukončení podpory od výrobců instalovaného softwaru, kteří jsou třetí stranou, může zákazníkům znemožnit provést aktualizace či opravy i u softwaru třetích stran, pro nějž existují novější verze. Totéž se týká i nových aplikací. Obzvláště závažné to může být v případě nedostupnosti aktualizovaných verzí antivirových programů a aplikací proti škodlivému softwaru.
Doporučení
-
Vedoucí pracovníci v oblasti IT by měli systémy vždy udržovat aktualizované a vybavené nejnovějšími bezpečnostními aktualizacemi. Zastaralý software by měl být považován za vysoké bezpečnostní riziko pro kritické součásti IT, přičemž toto riziko by mělo být zmírňováno přecházením na novější řešení nebo jiné platformy. V případě informačních systémů kritických infrastruktur se vystavení riziku může přenášet na občany, a odpovědnost vedoucích pracovníků v oblasti IT je tudíž větší.
-
Výrobci by se měli ujistit, že poskytují dostatek času na přechod na jiné verze. V této fázi agentura ENISA důrazně doporučuje využití předběžných oznámení i hloubkových analýz očekávaného dopadu na bezpečnost uživatelů poté, co již produkt nebude aktualizován.
-
Uživatelé by se měli ujistit, že jsou si vědomi bezpečnostních rizik, jimž se vystavují tím, že nadále využívají zastaralý software, a chápou je.
Více informací: http://www.enisa.europa.eu/publications/flash-notes#b_start=0
Kybernetická cvičení pro technické odborníky
Cíl
Agentura ENISA se zavázala, že bude zpřístupňovat kybernetická cvičení na celoevropské úrovni a obecněji podporovat výměnu osvědčených postupů v oblasti spolupráce a cvičení pro případ počítačové krize. Agentura ENISA je hnací silou řady celoevropských kybernetických cvičení Cyber Europe i společných kybernetických cvičení EU-USA (Cyber Atlantic) a každoročních mezinárodních konferencí zabývajících se tématy z oblasti spolupráce a cvičení pro případ počítačové krize. Doposud byla uspořádána dvě celoevropská cvičení pro případ počítačové krize, Cyber Europe 2010 a Cyber Europe 2012, a jedno kybernetické cvičení EU-USA, „Cyber Atlantic“ v roce 2011; třetí celoevropské cvičení pro případ počítačové krize, Cyber Europe 2014 (CE2014), právě probíhá. Zúčastnit se mohou všechny zúčastněné strany ze zemí EU a ESVO z veřejného i soukromého sektoru, včetně orgánů a institucí EU. Účastní se například orgány zabývající se počítačovou krizí, jako jsou agentury pro kybernetickou bezpečnost, vnitrostátní či vládní skupiny pro reakci na počítačové hrozby, vnitrostátní regulační orgány, dále subjekty ze soukromého sektoru, odborníci na bezpečnost sítí a informací a další subjekty.
Doporučení
- Ukázalo se, že cvičení Cyber Europe 2012 je z hlediska zlepšování celoevropského řízení kybernetických incidentů přínosné. Je proto důležité v oblasti evropských kybernetických cvičení vyvíjet další úsilí a dále ji rozvíjet. Budoucí kybernetická cvičení by měla zkoumat meziodvětvové závislosti a více se zaměřit na konkrétní společenství.
- Cvičení Cyber Europe 2012 poskytlo příležitost ke spolupráci na mezinárodní úrovni a k posílení evropské komunity pracovníků zabývajících se řízením kybernetických incidentů. K tomu, aby se posílila mezinárodní spolupráce, je zásadní umožnit výměnu osvědčených postupů v souvislosti s kybernetickými cvičeními, nabytými zkušenostmi, získanou odborností a přípravou konferencí. Vznikne tak silnější společenství, které je schopné řešit nadnárodní počítačové krize. Všechny zúčastněné strany v oblasti spolupráce týkající se mezinárodní počítačové krize musejí být vyškoleny ohledně používání postupů, aby věděly, jak s nimi vhodně pracovat. Přidanou hodnotou tohoto cvičení bylo aktivní zapojení organizací ze soukromého sektoru. Členské státy EU a ESVO by proto měly zvážit zapojení soukromého sektoru do příštích cvičení.
- Evropská komunita pracovníků zabývajících se řešením kybernetických incidentů by se mohla obohatit poznatky z ostatních evropských kritických odvětví (např. zdravotnictví, doprava), jež mohou mít význam při řešení rozsáhlých krizí. Cvičení Cyber Europe 2014: Díky zkušenostem ze dvou předchozích evropských cvičení je CE2014 vysoce sofistikovaným kybernetickým cvičením, které se koná v průběhu roku 2014 a má následující cíle: otestovat stávající postupy spolupráce a mechanismy řízení počítačových krizí v Evropě; posílit schopnosti na vnitrostátní úrovni; prozkoumat stávající spolupráci mezi soukromým a veřejným sektorem; analyzovat postupy zhoršování a zmírňování krize (na technické, operační a strategické úrovni); pochopit otázky týkající se veřejných záležitostí v souvislosti s rozsáhlými kybernetickými útoky.
Více informací: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
Bezpečnost cloudu pro veškeré uživatele digitálních zařízení
Cíl
Pracovníci zajišťující bezpečnost informací ve veřejném i v soukromém sektoru, kteří využívají cloudové služby a začlenili je do své každodenní praxe, či zvažují zajištění cloudových služeb pro své podniky. Obrací se rovněž na všechny uživatele digitálních zařízení, kteří každodenně využívají oblíbené cloudové služby (sociální média atd.), jako např. Facebook, Dropbox, Instagram, Twitter a mnoho dalších, s cílem obeznámit je s tím, jak cloudový model funguje, jaké jsou jeho výhody a jaké jsou jeho nevýhody tak, aby byli schopni sami posoudit, jaký druh informací by měli a neměli umísťovat na „cloud“. Agentura ENISA se více zaměřuje na pomoc malým a středním podnikům a orgánům veřejné správy, aby byly schopny posoudit situaci před tím, než cloud využijí.
Tipy
Agentura ENISA navrhuje veškerým potenciálním uživatelům cloudu, aby se při diskusi o cloudových službách zabývali následujícím:
- Jaké služby je možné přesunout na cloud a jaké jsou výhody cloud computingu, které usnadní každodenní činnost (např. rozšiřitelnost, obrovská skladovací kapacita, pravidelné zálohování, interoperabilita)?
- Jaký druh informací bude přesunut na cloud a jak důležité jsou tyto informace pro jejich vlastníky (např. osobní údaje, citlivé údaje, obchodní údaje)?
- Jaké jsou nevýhody cloud computingu, které by měly velký dopad na jejich každodenní práci, a lze nalézt způsob, jak je zmírnit?
- Jak učinit informativní rozhodnutí o druhu cloudové služby, kterou potřebujete (IaaS, PaaS, SaaS), a zjistit, kde jsou hranice vaší odpovědnosti u každého druhu služby?
- Věnovat čas diskusi s poskytovatelem cloudových služeb, dosáhnout shody na společném pojetí a uvést je v dohodě o úrovni služeb.
Doporučení
- Publikace agentury ENISA o bezpečnosti cloudu jsou dobrou příručkou informující všechny zákazníky cloudu o tom, jak mohou chránit svůj majetek a jaké jsou jejich závazky a práva při využívání cloudových služeb.
- Bezpečnost na cloudu musí být vzhledem k jeho rozšiřitelnosti považována při poskytování cloudových služeb za jeden z nejpodstatnějších prvků.
Více informací: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
Soukromí pro všechny uživatele digitálních zařízení
Cíl
Zaměřuje se na uživatele digitálních zařízení. Uživatelé mají stejná práva v on-line prostředí, jako kdyby byli off-line; měli by si být vědomi svých práv v on-line prostředí. Posláním státních orgánů pro ochranu údajů je pomáhat uživatelům.
„Každý má právo na ochranu osobních údajů, které se jej týkají.“ – článek 16, Lisabonská smlouva
Tipy
- V souladu s právním rámcem EU mají občané Evropské unie v digitálním prostředí soubor práv, jako je ochrana osobních údajů a soukromí, svoboda projevu a informací.
- Zásady ochrany údajů a soukromí nejsou v on-line prostředí vždy dodržovány. Podle průzkumu Eurobarometru z roku 2011 o přístupu k ochraně údajů a elektronické identitě v EU 43 % uživatelů internetu uvádí, že byli při přístupu ke službám on-line dotázáni na více osobních informací, než bylo nutné, a 70 % Evropanů je znepokojeno tím, že jejich osobní údaje mohou být použity k jinému účelu, než k jakému byly sděleny. 75 % Evropanů chce mít možnost vymazat osobní informace na webové stránce, kdykoliv se k tomu rozhodnou.
- Výzvy, jimž je třeba čelit: Činy jednotlivců ne vždy odráží jejich obavy týkající se soukromí; i když mají uživatelé obavy o své soukromí, mohou se rozhodnout sdílet své osobní údaje kvůli zlevněným službám nebo zboží; pouze jedna třetina (33 %) Evropanů ví o tom, že existuje státní veřejný orgán odpovědný za ochranu jejich práv týkajících se osobních údajů.
- Konečně, evropští občané musí být schopni rozpoznat praktiky, které porušují tyto důležité zásady, a podniknout odpovídající kroky včetně uplatnění svých práv subjektu údajů vůči správcům údajů, kteří tyto zásady nedodržují, a to případně i prostřednictvím podání stížnosti příslušnému orgánu. Z toho vyplývá, že je nutné zvýšit povědomí subjektů údajů jakožto první krok k zajištění toho, aby subjekty údajů znaly význam ochrany svých údajů před zbytečným zpřístupněním a uvědomovaly si jej.
Doporučení
Doporučujeme uživatelům, aby si všímali praktik, které porušují jejich práva subjektů údajů, a podnikali odpovídající kroky včetně případného podání stížností příslušným orgánům. Orgány pro ochranu údajů by se měly zaměřit na zlepšování povědomí uživatelů ohledně jejich práv vyplývajících z právních předpisů o ochraně údajů a o možnostech, které jim právní systém poskytuje za účelem uplatňování těchto práv, včetně podání stížnosti v případech nadměrného shromažďování a uchovávání osobních údajů.
Více informací
http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat
EUROBAROMETR 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Vnitrostátní orgány pro ochranu údajů: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm
Bezpečné inteligentní sítě
Cíl
Veškerá doporučení jsou určena Evropské komisi, členským státům, soukromému sektoru a odborníkům v oblasti kritických infrastruktur.
Kritickou infrastrukturou se rozumí prostředky, systémy a jejich části nacházející se v členském státě, které jsou zásadní pro zachování nejdůležitějších společenských funkcí, zdraví, bezpečnosti, zabezpečení nebo dobrých hospodářských či sociálních podmínek obyvatel a jejichž narušení nebo zničení by mělo pro členský stát závažný dopad v důsledku selhání těchto funkcí. Níže jsou uvedena doporučení pro bezpečné inteligentní sítě.
Doporučení
- Odpovědné orgány Evropské komise (EK) a členských států by měly přistoupit ke krokům vedoucím ke zlepšení regulačního a politického rámce pro kybernetickou bezpečnost inteligentních sítí na vnitrostátní úrovni i na úrovni EU.
- EK by měla ve spolupráci s agenturou ENISA a členskými státy podpořit vytvoření partnerství veřejného a soukromého sektoru (PPP) s cílem koordinovat iniciativy v oblasti kybernetické bezpečnosti inteligentních sítí.
- Agentura ENISA a EK by měly posílit iniciativy ke zvyšování povědomí a konání školení.
- EK a členské státy by ve spolupráci s agenturou ENISA měly posílit iniciativy k šíření a sdílení znalostí.
- EK by ve spolupráci s agenturou ENISA, členskými státy a soukromým sektorem měla vyvinout soubor minimálních bezpečnostních opatření založený na stávajících standardech a pokynech.
- Příslušné orgány EK i členských států by měly podpořit rozvoj systémů osvědčování bezpečnosti součástí, produktů a organizační bezpečnosti.
- Odpovědné orgány EK a členských států by měly posílit vytváření zkušeben a posuzování bezpečnosti.
- EK a členské státy by ve spolupráci s agenturou ENISA měly dále studovat a upřesnit strategie koordinace rozsáhlých celoevropských kybernetických incidentů ovlivňujících energetické sítě.
- Odpovědné orgány členských států by ve spolupráci se skupinami pro reakci na počítačové hrozby měly zahájit činnosti, jejichž cílem by bylo zapojit skupiny pro reakci na počítačové hrozby tak, aby měly poradní úlohu při řešení otázek kybernetické bezpečnosti ovlivňujících energetické sítě.
- Odpovědné orgány EK a členských států by ve spolupráci s akademickým prostředím a odvětvím výzkumu a vývoje měly posílit výzkum kybernetické bezpečnosti inteligentních sítí a zhodnotit přitom stávající výzkumné programy.
Odkazy:
ENISA
- Zprávy o vzdělávání http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
- Materiály skupiny pro reakci na počítačové hrozby http://www.enisa.europa.eu/activities/cert/support/exercise
- Upozornění http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software
- Kybernetická cvičení http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
- Zprávy o cloudu http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
- Soukromí http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat ;
- Zprávy o inteligentních sítích http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
OSTATNÍ
- EUROBAROMETR 2011 http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
- Vnitrostátní orgány pro ochranu údajů http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm