ECSM - Recommendations for ALL - ET
Euroopa küberturvalisuse kuu on oktoobris aset leidev ELi teavituskampaania. Sellega soovitakse parandada kodanike teadlikkust küberturvalisusest. Kampaania eesmärk on MUUTA arusaamasid igapäevaelus – nii tööl kui ka eraviisiliselt internetti kasutades – esinevatest küberohtudest.
Võrgu- ja infoturve haridustöötajatele
Eesmärk
This document is aimed at educators, defined as trainers, teachers, peers involved in formal education and non-formal education, including lifelong learning. Educators play a significant role in any ICT stakeholders map. The significant role of educators must not be omitted from any ICT stakeholder map.
Nõuanded võrgu- ja infoturbealase hariduse vallas
- ENISA uuringu tulemused osutavad sellele, et parim tulemus saadakse siis, kui koolitus hõlmab lühikest sissejuhatust teemasse ja praktilist tegevust ning tegelikust elust pärit lugusid ja näiteid. Süvakursustel võiks rakendada rollimänge, simulatsiooniharjutusi ja rühmatööd. Eksami üheks osaks võiks olla ärimäng. Kasutada tuleks head videomaterjali.
-
Probleemid, mis tuleb lahendada
Arusaamine sellest, et tehnoloogia kasutamisega kaasnevad riskid, ja sellest, et need riskid ei mõjuta mitte ainult üksikisikut, vaid võivad mõjutada ka teisi inimesi. Oluline on tehnoloogiat mõista, mitte seda üksnes kasutada.
Tegelike inimsuhete ja käitumismudelite uus käsitlusviis internetisuhtluses, netikett.
Valdkondadevaheliste (õiguslike, tehniliste, organisatsiooniliste jne) eriteadmiste arvessevõtmine. - Võrgu- ja infoturbealase hariduse vahendamise mudel
Soovitused
- Nii koolitajad kui ka õpilased peaksid säilitama positiivse hoiaku – „Me saame hakkama!”.
- Ajakohaste materjalide ja kursuste rahastamiseks ja väljatöötamiseks tuleks püüelda avaliku ja erasektori partnerluste loomise poole.
Lisateave: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
Võrgu- ja infoturbealane koolitus töötajatele
Eesmärk
Koolitusel on oluline roll selles, et nii infoturbeeksperdid kui ka töötajad oleksid teadlikud viimastest arengusuundadest. Samuti aitab see parandada nende oskusi, et ohtude vastu oleks võimalik kulutõhusalt ja efektiivselt võidelda.
Tips
- Infoturve on praegu ajakohane teema, sest see valdkond areneb väga kiiresti ja puudutab ühel või teisel moel igaühe elu. Inimestele peavad olema kättesaadavad materjalid, juhendid, praktilised nõuanded ja sihtotstarbelised koolitused selle kohta, kuidas säilitada turvalisuse ja privaatsuse piisav tase oma igapäevatoimingutes, mis sõltuvad üha enam infotehnoloogiast.
- Riikide elutähtsate teenuste ja sidetaristu (mis tagavad meile puhta vee, elektri ja suhtlemisvõimalused) kaitsmise valdkonnaga seotud küsimuste puhul on vaja eksperte, kes suudavad kindlaks teha vigu, lahendada probleeme ja anda nõu. Sellise vajaduse tekkides on suur nõudlus infoturbega seotud teenuste, nagu intsidentidega tegelemise, teadete ja hoiatuste edastamise ning tehnilise analüüsi järele. Paljudel juhtudel tuleb kasutada infoturbeintsidentidega tegelevat rühma (CERT; http://www.enisa.europa.eu/activities/cert/). Kuna iga rühm on nii tugev kui selle liikmed, tuleb pidevalt tagada töötajate, intsidentidega otseselt tegelevate isikute ja ka koolitajate teadmistebaasi ajakohasus, et oleks võimalik reageerida kõige uuematele ohtudele ning leevendada neid kõige kiiremal ja tõhusamal viisil.
- Koolitajate seisukohast annab koolitaja amet hea võimaluse tegutseda kohapeal ja saada tegelikust olukorrast ülevaade mitmest vaatenurgast, kuna suhtlemine klassiruumis peaks olema kahesuunaline. Kogemused ja ajakohased teadmised on asendamatud koolituse saajate usalduse saavutamiseks, sest nagu koolituste kohta antud tagasisidest ilmneb, peavad koolituse saajad tegelikust elust pärinevaid näiteid ja kasutusviiside kirjeldusi väga kasulikuks.
- Koolituse saajatele teabe edastamiseks võib kasutada mitut eri metoodikat, näiteks võib korraldada töötubasid ja teemaüritusi või pakkuda lihtsalt juurdepääsu materjalidele iseseisvaks õppeks. Mõlemal lähenemisviisil on oma eelised, sest iseseisev õpe võib pakkuda paindlikkust ja vähendada üldkulusid. Töötoa stiilis koolitusvorm soodustab teabevahetust ning annab inimestele hea võimaluse vahetada oma kogemusi ja teadmisi.
Soovitused
ENISA pakub koolitusi, et toetada CERTide ja muude küberturbe kogukondade suutlikkust, ning koolitusmaterjalid on avaldatud ENISA veebisaidil.
Lisateave: http://www.enisa.europa.eu/activities/cert/support/exercise
Tarkvara uuendamine
Eesmärk
ENISA soovitab mitte kasutada vananenud tarkvara – mitte üksnes seetõttu, et puudub tootjapoolne tugi, vaid ka seepärast, et kolmandate osapoolte tooted, näiteks pahavaratõrje, muud liiki tarkvara või arvuti välisseadmed ei pruugi tootmisest kõrvaldatud tarkvaraga ühilduda. See põhjustab süsteemis püsivaid nõrkusi ning ei võimalda uuendada välisseadmeid ega kolmandate osapoolte rakendusi.
Tips
-
Vananenud tarkvara kasutamine võib tekitada järgmisi riske:
lõppkasutaja ei saa kontrollida tarkvara terviklust, sest allkirjastamissertifikaadid võivad olla aegunud; kuna kasutaja ei suuda kontrollida tarkvarapaketi terviklust, võib tema süsteem olla avatud pahavarale; nakatunud süsteemid võivad levitada nakkust kogu võrgus; sellises olukorras võivad teabeturbe põhimõtted jääda järgimata. - Asjaolu, et vananenud tarkvara tootja toodet enam ei toeta, võib tekitada järgmisi probleeme: vananenud süsteemide kasutajatele ei pakuta enam turvauuendusi või -teateid; uusi nõrkusi käsitlevat teavet ei koguta, edastata ega analüüsita enam, seega ei anta enam välja uusi turvauuendusi; sellest tulenevalt võib iga nõrkus jääda vananenud tarkvara alatiseks ohustama, nagu oleks tegemist nullpäeva ründevektoriga; kolmandatest osapooltest tarkvara- ja riistvaratootjate toe puudumise tõttu ei pruugi olla võimalik platvormi kasutada, nt võivad tundmatud vead takistada vananenud tarkvara toimimist; kuna vanad operatsioonisüsteemid ei ühildu uute seadmetega ja välisseadmete uute versioonide draiverid puuduvad, ei pruugi kasutajatel olla võimalik kasutatud või katkisi seadmeid uuendada või asendada; vananenud platvormi olemasolevate seadmete toe peatamise tõttu ei pruugi tõrgete korral olla võimalik seadme kasutamist jätkata; kui kolmandatest osapooltest tootjad on paigaldatud tarkvara toe peatanud, ei pruugi klientidel olla võimalik ka kolmandate osapoolte tarkvara uuemate versioonide või turvauuendustega uuendada. See kehtib ka uute rakenduste puhul. Olukord võib olla eriti kriitiline juhul, kui viiruse- ja pahavaratõrje lahenduste ajakohastatud versioonid ei ole kättesaadavad.
Soovitused
-
IT-juhid peaksid pidevalt hoolitsema selle eest, et süsteemides rakendataks värskemaid turvauuendusi. Vananenud tarkvara tuleks käsitada suure turvariskina elutähtsate IT-komponentide jaoks ja selle leevendamiseks tuleks üle minna uuematele lahendustele või muudele platvormidele. Elutähtsa taristu infosüsteemide puhul võib riskidega kokkupuutumise oht laieneda ka kodanikele ja seega on IT-juhtide vastutus veelgi suurem.
-
Tootjad peaksid veenduma, et nad annavad piisavalt aega üleminekuks. ENISA soovitab tungivalt kasutada selles etapis eelteateid ja ka põhjalikke analüüse selle kohta, kuidas võib toote toetamise ja arendamise lõpetamine mõjutada kasutajate turvalisust.
-
Kasutajad peaksid veenduma, et nad teavad ja mõistavad turvariske, millega nad aegunud tarkvara kasutamise tagajärjel kokku puutuvad.
Lisateave: http://www.enisa.europa.eu/publications/flash-notes#b_start=0
Küberõppused tehnilistele ekspertidele
Eesmärk
ENISA on võtnud endale kohustuse hõlbustada üleeuroopalisi küberõppusi ning toetada üldisemalt hea tava vahetamist küberkriiside korral tehtava koostöö ja sellealaste õppuste valdkonnas. ENISA juhtimisel toimub üleeuroopaliste küberõppuste seeria Cyber Europe, samuti ELi ja USA ühine küberõppus (Cyber Atlantic) ning iga-aastased rahvusvahelised konverentsid, kus käsitletakse küberkriiside korral tehtava koostöö ja sellealaste õppustega seotud teemasid. Seni on korraldatud kaks üleeuroopalist küberkriisiõppust, Cyber Europe 2010 ja Cyber Europe 2012, ning üks ELi ja USA vaheline küberõppus – Cyber Atlantic 2011. aastal; praegu on käimas kolmas üleeuroopaline küberkriisiõppus Cyber Europe 2014 (CE2014). Osaleda võivad kõik ELi ja EFTA riikide avaliku ja erasektori sidusrühmad, sealhulgas ELi institutsioonid ja asutused. Teiste hulgas osalevad näiteks küberkriisidega tegelevad asutused, nagu küberturvalisuse valdkonna ametid, riigi tasandil või valitsuste juures tegutsevad CERTid, riikide reguleerivad asutused ja erasektori üksused ning võrgu- ja infoturbe eksperdid.
Soovitused
- Cyber Europe 2012 osutus kasulikuks küberintsidentide üleeuroopalise haldamise tõhustamisel. Seepärast on tähtis jätkata jõupingutusi ja Euroopa küberõppuste valdkonda edasi arendada. Tulevastel küberõppustel tuleks uurida sektoritevahelisi sõltuvusseoseid ja keskenduda enam konkreetsetele kogukondadele.
- Cyber Europe 2012 võimaldas teha rahvusvahelisel tasandil koostööd ja tugevdada Euroopa tasandil küberintsidentide haldusega tegelevat kogukonda. Rahvusvahelise koostöö soodustamiseks on väga tähtis hõlbustada küberõppuste valdkonna hea tava, saadud kogemuste ja eriteadmiste vahetamist ning konverentside korraldamist. See loob tugevama kogukonna, mis suudab lahendada piiriüleseid küberkriise. Kõik rahvusvahelistes küberkriisides tehtavas koostöös osalevad sidusrühmad vajavad protseduuride kasutamise alast koolitust, et nad teaksid, kuidas nendega nõuetekohaselt töötada. Õppusele andis lisaväärtust erasektori organisatsioonide osalus. Seepärast peaksid ELi liikmesriigid ja EFTA riigid kaaluma erasektori kaasamist tulevastesse õppustesse.
- Euroopa tasandil küberintsidentide haldusega tegelevat kogukonda tuleks tugevdada, tagades neile laiaulatuslike kriiside lahendamise seisukohast oluliste muude Euroopa elutähtsate sektorite (nt tervishoid, transport) toetuse. Cyber Europe 2014. Tuginedes kahest varasemast üleeuroopalisest õppusest saadud kogemustele, on Cyber Europe 2014 puhul tegemist äärmiselt keeruliste küberõppustega, mida korraldatakse kogu 2014. aasta vältel, et täita järgmised eesmärgid: katsetada olemasolevaid koostöömenetlusi ja -mehhanisme küberkriiside haldamiseks Euroopas; suurendada suutlikkust riikide tasandil; uurida era- ja avaliku sektori vahel praegu toimuvat koostööd; analüüsida eskaleerimis- ja deeskaleerimisprotsesse (tehnilisel, operatiivsel ja strateegilisel tasandil) ning saavutada arusaamine suuremõõtmeliste küberrünnakutega seotud avalike suhete küsimustest.
Lisateave: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
Pilve turvalisus kõikide digitaalsete teenuste kasutajate jaoks
Eesmärk
See osa on mõeldud avaliku ja erasektori infoturbeametnikele, kes kasutavad pilveteenuseid ja on integreerinud need oma igapäevaellu või kes kaaluvad pilveteenuste hankimist oma ettevõtte jaoks. Samuti on see mõeldud kõikidele digitaalsete teenuste kasutajatele, kes kasutavad igapäevaselt populaarseid pilveteenuseid (sotsiaalmeedia jne), näiteks Facebooki, Dropboxi, Instagrami, Twitterit ja paljusid muid teenuseid, et nad teaksid, kuidas pilvemudel toimib ja millised on selle eelised ja puudused, ning et neil oleks võimalik hinnata, millist teavet nad peaksid pilve panema või ei tohiks sinna panna. ENISA keskendub rohkem sellele, et toetada väikeseid ja keskmise suurusega ettevõtjaid (VKEd) ja avalikke haldusasutusi olukorra hindamisel enne pilve kasutamist.
Tips
ENISA soovitab kõikidel potentsiaalsetel pilve kasutajatel keskenduda pilveteenuste üle arutamisel järgmisele:
- millised on need teenused, mille võib pilve panna, ning millised on pilvandmetöötluse eelised, mis hõlbustavad igapäevaelu (st skaleeritavus, ülisuur salvestamispotentsiaal, korrapärane varundamine, koostoimimisvõime);
- mis liiki teavet pilve pannakse ja kui tähtis on see teave selle omanike jaoks (st isikuandmed, tundlikud andmed ja äritegevusega seotud andmed);
- millised on pilvandmetöötluse puudused, mis mõjutaksid oluliselt teie igapäevast tööd, ja millised oleksid lahendused nende leevendamiseks;
- kuidas teha teadlik otsus selle kohta, mis liiki pilveteenust te vajate (IaaS, PaaS, SaaS), ning teha kindlaks, millega piirdub teie vastutus iga liiki teenuse puhul;
- pühendada aega sellele, et arutada olukorda oma pilveteenuse osutajaga ja leppida kokku ühised arusaamad, täpsustades need teenustaseme kokkuleppes.
Soovitused
- ENISA pilveturvalisust käsitlevad väljaanded on tõhus abimaterjal selle kohta, kuidas kõikidel pilveteenuste klientidel on võimalik kaitsta oma vara ning olla pilveteenuste kasutamisel teadlikud oma kohustustest ja õigustest.
- Tänu skaleeritavusele saab pilveteenuste hankimise üheks suurimaks eeliseks pidada pilve turvalisust.
Lisateave: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
Kõikide digitaalteenuste kasutajate privaatsus
Eesmärk
See osa on mõeldud digitaalsete teenuste kasutajatele. Kasutajatel on internetis samad õigused kui väljaspool seda; nad peaksid olema teadlikud oma õigustest internetis. Riikide andmekaitseasutuste ülesanne on kasutajaid toetada.
„Igaühel on õigus oma isikuandmete kaitsele.” – Lissaboni lepingu artikkel 16
Tips
- ELi õigusraamistiku alusel on liidu kodanikel digitaalses keskkonnas mitmesugused õigused, nagu õigus isikuandmete kaitsele ja privaatsusele ning sõna- ja teabevabadus.
- Internetis ei järgita alati andmekaitse ja privaatsuse põhimõtteid. Vastavalt Eurobaromeetri 2011. aasta uuringule, milles käsitleti suhtumist andmekaitsesse ja elektroonilisse identiteeti ELis, ütles 43% internetikasutajatest, et elektroonilistele teenustele juurdepääsu saamiseks või neid teenuseid kasutades on neilt küsitud rohkem isikuandmeid kui vajalik, ning 70% eurooplastest tundis muret selle üle, et nende isikuandmeid võidakse kasutada muul eesmärgil kui see, milleks need koguti. 75% eurooplastest soovib võimalust kustutada veebilehel olevaid isikuandmeid neile sobival ajal.
- Probleemid, mis tuleb lahendada: üksikisikute tegevus ei kajasta alati nende muret privaatsuse üle; isegi kui kasutajad tunnevad privaatsuse üle muret, võivad nad otsustada jagada oma isikuandmeid allahinnatud teenuste või kaupade saamiseks; ainult kolmandik eurooplastest (33%) on teadlik oma riigi andmekaitseasutusest, mis vastutab nende isikuandmetega seotud õiguste kaitsmise eest.
- Lisaks tuleb Euroopa kodanikke võimestada, et nad oskaksid ära tunda isikuandmete kaitse ja privaatsuse põhimõtteid rikkuva tegevuse ning võtta asjakohaseid meetmeid, muu hulgas kasutades nõuetele mittevastavate vastutavate töötlejate suhtes oma õigusi andmesubjektina ja esitades vajaduse korral kaebuse pädevale asutusele. See eeldab ka andmesubjektide teadlikkuse suurendamist, sest esimene samm selles valdkonnas on tagada, et andmesubjektid teavad ja mõistavad seda, kui oluline on kaitsta oma andmeid ebavajaliku avalikustamise eest.
Soovitused
Soovitame kasutajatel teha kindlaks tavad, millega rikutakse andmesubjektide õigusi, ja võtta asjakohaseid meetmeid, muu hulgas esitades vajaduse korral kaebuse pädevale asutusele. Andmekaitseasutused peaksid püüdlema selle poole, et parandada kasutajate teadlikkust õigustest, mis neile andmekaitsealaste õigusaktidega on antud, ja võimalustest, mida õigussüsteem neile nende õiguste kasutamiseks pakub, sealhulgas võimalus esitada isikuandmete ülemäärase kogumise ja salvestamise korral kaebus.
Lisateave
http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat
EUROBAROMEETER 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Riikide andmekaitseasutused: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm
Turvalised arukad võrgud
Eesmärk
Kõik soovitused on suunatud Euroopa Komisjonile, liikmesriikidele, erasektorile ja elutähtsa taristu ekspertidele.
Elutähtis taristu on liikmesriikides asuv vara, süsteem või selle osa, mis on hädavajalik eluliselt tähtsate ühiskondlike toimingute, tervishoiu, turvalisuse, julgeoleku, inimeste majandusliku ja sotsiaalse heaolu toimimiseks ning mille kahjustada saamine või hävimine mõjutaks nimetatud toimingute toimimishäire tulemusena oluliselt liikmesriiki. Allpool on esitatud soovitused seoses turvaliste arukate võrkudega.
Soovitused
- Euroopa Komisjon ja liikmesriikide pädevad asutused peaksid käivitama algatusi arukate võrkude küberturvalisuse alase õigus- ja poliitikaraamistiku tõhustamiseks riikide ja ELi tasandil.
- Komisjon peaks koostöös ENISA ja liikmesriikidega edendama avaliku ja erasektori partnerluse loomist arukate võrkude küberturvalisuse algatuste koordineerimiseks.
- ENISA ja komisjon peaksid toetama teadlikkuse suurendamise ja koolitusalgatusi.
- Komisjon ja liikmesriigid peaksid koostöös ENISAga toetama teabe levitamise ja teadmiste jagamise algatusi.
- Komisjon peaks koostöös ENISA ja liikmesriikide ning erasektoriga töötama välja turvalisuse miinimummeetmed, tuginedes olemasolevatele standarditele ja suunistele.
- Nii komisjon kui ka liikmesriikide pädevad asutused peaksid edendama komponentide, toodete ja organisatsioonilise turvalisuse sertifitseerimiskavade väljatöötamist.
- Komisjon ja liikmesriikide pädevad asutused peaksid soodustama testimissüsteemide ja turvalisuse hindamise kehtestamist.
- Komisjon ja liikmesriigid peaksid koostöös ENISAga täiendavalt uurima ja täpsustama strateegiaid elektrivõrke mõjutavatele laiaulatuslikele üleeuroopalistele küberintsidentidele reageerimise koordineerimiseks.
- Liikmesriikide pädevad asutused peaksid koostöös CERTidega algatama meetmeid selleks, et kaasata CERTid nõustajatena elektrivõrke mõjutavate küberturvalisuse intsidentidega tegelemisse.
- Komisjon ja liikmesriikide pädevad asutused peaksid koostöös akadeemiliste ringkondade ning teadus- ja arendussektoriga soodustama arukate võrkude küberturvalisuse alaseid teadusuuringuid, tuginedes olemasolevatele uurimisprogrammidele.
Viited:
ENISA
- Haridusalased aruanded http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
- CERTi materjalid http://www.enisa.europa.eu/activities/cert/support/exercise
- Flash Notes http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software
- Küberõppused http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
- Pilvandmetöötlust käsitlevad aruanded http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
- Eraelu puutumatus http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat ;
- Arukaid võrke käsitlevad aruanded http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
MUUD
- EUROBAROMEETER 2011 http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
- Riikide andmekaitseasutused http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm