ECSM - Recommendations for ALL - HR
ECSM je kampanja podrške EU-a koja se održava u listopadu. Cilj joj je promicati svijest o kibernetičkoj sigurnosti među građanima. Cilj je kampanje PROMIJENITI percepcije o kibernetičkim prijetnjama u svakodnevnom životu – na poslu i kod korištenja internetom u privatom životu
Sigurnost mreža i podataka za nastavno osoblje
Cilj
Namijenjena je za nastavno osoblje čija definicija uključuje predavače, učitelje, kolege koji sudjeluju u formalnom i neformalnom obrazovanju, uključujući cjeloživotno učenje. Važna uloga nastavnog osoblja ne smije se izostaviti s karte dionika IKT-a!
Savjeti za obrazovanje u području sigurnosti mreža i podataka
- Na temelju rezultata ankete koju je provela ENISA može se zaključiti da kod pripremanja „najboljeg predavanja” nastavnik mora uzeti u obzir: kratak uvod i praktičan rad; priče i primjere iz svakodnevnog života; tečajevi potpunog uranjanja mogu uključivati: aktivnosti igranja uloga, simulacije, aktivnosti timskog rada, poslovnu igru kao dio ispita, mješavinu dobrih videozapisa;
-
Izazovi koje treba prevladati:
shvaćanje da uporaba tehnologije podrazumijeva rizike i shvaćanje da rizici nisu samo osobni već da mogu utjecati i na druge ljude. Važno je razumjeti tehnologiju, a ne se samo njome koristiti;
reorganizacija stvarnih ljudskih odnosa i ponašanja na internetu: pravila lijepog ponašanja
na internetu; - Model posredovanja u obrazovanju u području sigurnosti mreža i usluga (NIS)
Preporuka
- Preporučujemo da nastavnici i njihovi učenici zauzmu „pozitivan” stav
- Preporučujemo uspostavu javno-privatnih partnerstva za financiranje i razvoj ažurnih materijala i tečajeva.
Više informacija: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
Osposobljavanje u području sigurnosti mreža i usluga za zaposlenike
Cilj
Osposobljavanje je važno kako bi stručnjaci u području informacijske sigurnosti i zaposlenici bili u tijeku s novostima u tom području te radi jačanja vještina za troškovno učinkovito suzbijanje prijetnji.
Tips
- Sigurnost podataka u današnje je vrijeme važna tema jer se razvija velikom brzinom i na neki način utječe na život svih ljudi. Ljudi moraju imati pristup resursima, tutorijalima, savjetima i posebnim tečajevima osposobljavanja na temu održavanja prihvatljive razine sigurnosti i privatnosti u obavljanju svakodnevnih aktivnosti koje se u većoj ili manjoj mjeri oslanjaju na informacijsku tehnologiju;
- Postoji potreba za stručnjacima u području zaštite vitalnih usluga i komunikacijske infrastrukture koja nam osigurava pitku vodu, električnu energiju i mogućnost komunikacije koji mogu utvrditi i riješiti probleme te dati savjete. Kad se javi potreba, nastaje velika potražnja za uslugama povezanima sa sigurnošću podataka, kao što je postupanje s uzbunama, upozorenjima i analiza artifakta. U mnogim prilikama javlja se potreba za timom za hitnu pomoć u slučaju problema s računalom (http://www.enisa.europa.eu/activities/cert/ ). Budući da snaga tima ovisi o snazi njegovih članova, potrebno je stalno obnavljati znanje zaposlenika, terenskih radnika i predavača kako bi oni mogli reagirati na najnovije prijetnje i ublažiti ih na najbrži i najučinkovitiji način;
- Iz perspektive predavača, njegova mu uloga osigurava izvrsnu priliku za izlazak na „teren“ i stjecanje osjećaja za stvarnost iz različitih perspektiva jer bi komunikacija u učionici trebala biti dvosmjerna. Iskustvo i ažurno znanje neophodni su za stjecanje vjerodostojnosti među sudionicima osposobljavanja jer se temelje na povratnim informacijama s tečajeva. Publika cijeni primjere iz stvarnog života i primjere o primjeni;
- Za prenošenje informacija publici moguće je upotrebljavati nekoliko različitih metodologija, na primjer, organizacija radionica, posebnih događanja ili jednostavno davanje pristupa materijalima za samostalno učenje. Oba pristupa imaju svoje prednosti jer bi samostalno učenje moglo biti dobro za osiguranje fleksibilnosti i smanjenje ukupnih troškova. Formatom radionice potiče se komunikacija i ljudima se pruža izvrsna prilika za razmjenu iskustva i znanja.
Preporuke
ENISA omogućuje osposobljavanje na licu mjesta za pružanje potpore timu za hitnu pomoć u slučaju problema s računalom i drugim operativnim sposobnostima zajednica, materijal za osposobljavanje objavljuje se na web-mjestu ENISA-e.
Više informacija: http://www.enisa.europa.eu/activities/cert/support/exercise
Ažuriranja računalnih programa
Cilj
ENISA upozorava na rizike koje donosi uporaba računalnih programa koji su se prestali proizvoditi, ne samo zbog nedostatka potpore od proizvođača već i od trećih strana, kao što su proizvođači antivirusnih programa ili drugih vrsta programa ili dodatne računalne opreme. Posljedica toga je stalna izloženost i nemogućnost ažuriranja dodatne opreme ili aplikacija trećih strana.
Tips
-
Uporaba računalnog programa koji se prestao koristiti donosi sljedeće rizike:
krajnji korisnici neće moći provjeriti cjelovitost računalnog programa jer je potpisivanje certifikata možda isteklo; zbog nemogućnosti provjere cjelovitosti paketa programa korisnik bi mogao biti izložen virusima; potencijalno zaraženim sustavima zaraza bi se mogla proširiti po cijeloj mreži; osim toga, posljedica toga može biti neusklađenost sa sigurnosnim politikama; - Zbog nedostatka potpore za proizvod od proizvođača računalnog programa koji se prestao proizvoditi moglo bi se dogoditi sljedeće: korisnici sustava koji su se prestali koristiti neće imati koristi od ažuriranja sigurnosnih značajki ili obavijesti; neće se više prikupljati, prijavljivati i analizirati nove ranjivosti, pa se stoga neće objavljivati ni nove sigurnosne zakrpe; zbog toga bi računalni program koji se preostao koristiti mogao zavijek biti izložen takvoj ranjivosti kao da se radi o vektoru 0-dana napada; izostankom potpore računalnih programa trećih strana i proizvođača opreme mogla bi se uzrokovati nemogućnost uporabe platforme, odnosno, računalni program koji se prestao koristiti mogao bi prestati raditi zbog nepoznatih virusa; neusklađenost starih operativnih sustava s novim uređajima, zbog nedostupnosti pogonskih programa za nove verzije dodatne opreme, korisnici neće moći ažurirati ili zamijeniti korištene ili pokvarene uređaje; obustavom potpore za postojeće uređaje na platformi koja se prestala koristiti mogla bi se uzrokovati nemogućnost daljnje uporabe uređaja u slučaju kvara; obustavom potpore proizvođača postavljenog računalnog programa treće strane mogli bi se korisnici onemogućiti u ažuriranju ili popravljanju računalnog programa treće strane s novim verzijama. To se također primjenjuje na nove aplikacije. To može biti posebno važno u slučaju nedostupnosti ažuriranih verzija antivirusnih programa.
Preporuke
- Upravitelji u području IT-a trebali bi uvijek sustave ažurirati najnovijim sigurnosnim zakrpama. Računalni program koji se prestao koristiti trebao bi se smatrati visokim sigurnosnim rizikom za ključne sastavnice IT-a i trebao bi se ublažiti migracijom na novija rješenja ili druge platforme. U slučaju informacijskih sustava ključnih infrastruktura, rizik od izloženosti može se proširiti na građane i zbog toga upravitelji u području IT-a imaju veću odgovornost.
- Proizvođači bi se trebali pobrinuti da ostave dovoljno vremena za migraciju. U toj fazi ENISA strogo preporučuje uporabu prethodnih upozorenja i dubinsku analizu očekivanog učinka prestanka proizvodnje proizvoda na sigurnost korisnika.
- Korisnici bi trebali osigurati da su svjesni sigurnosnih rizika i da razumiju sigurnosne rizike kojima se izlažu ako se nastave koristiti zastarjelim računalnim programom.
Više informacija: http://www.enisa.europa.eu/publications/flash-notes#b_start=0
Kibernetičke vježbe za tehničke stručnjake
Cilj
ENISA djeluje kao paneuropski posrednik za kibernetičke vježbe i, općenito, podržava razmjenu dobre prakse u području Suradnje i vježbi u slučaju kibernetičke krize. ENISA je pokretač niza paneuropskih kibernetičkih vježbi Cyber Europe kao i zajedničke kibernetičke vježbe (Cyber Atlantic) i godišnje Međunarodne konferencije kojom su obuhvaćene teme u području suradnje i vježbi u slučaju kibernetičke krize. Do sada su organizirane dvije paneuropske vježbe za slučaj kibernetičke krize, Cyber Europe 2010. i Cyber Europe 2012. te jedna vježba EU-a i SAD-a „Cyber Atlantic” u 2011., a trenutačno je u tijeku treća paneuropska kibernetička vježba, Cyber Europe 2014. (CE214). Sudjelovanje je otvoreno svim dionicima iz javnog i privatnog sektora EU-a i iz EFTA-e, uključujući institucije i tijela EU-a. Primjeri uključuju tijela koja se bave kibernetičkim krizama, kao što su agencije za kibernetičku sigurnost, nacionalni ili državni CERT-ovi, državna regulatorna tijela te tijela iz privatnog sektora i stručnjakei za sigurnost mreža i podataka.
Preporuka
- Vježba Cyber Europe 2012. pokazala se važnom za poboljšanje paneuropskog upravljanja kibernetičkim incidentima. Stoga je ključno nastaviti ulagati napore i dalje razviti područje europskih kibernetičkih vježbi. Budućim bi se kibernetičkim vježbama trebale istražiti ovisnosti među sektorima te bi se one trebale više usredotočiti na posebne zajednice;
- Vježbom Cyber Europe 2012. omogućena je suradnja na međunarodnoj razini i jačanje europske zajednice za upravljanje kibernetičkim incidentima. Za poticanje međunarodne suradnje od ključne je važnosti olakšati razmjenu dobre prakse u kibernetičkim vježbama, naučenih pouka, stručnosti i organizaciju konferencija. Time će se osigurati snažnija zajednica koja je sposobna odgovoriti na transnacionalne kibernetičke krize. Svi dionici u području međunarodne kibernetičke suradnje moraju biti osposobljeni za uporabu postupaka kako bi znali kako primjereno s njima raditi. Sudjelovanje organizacija iz privatnog sektora predstavljalo je dodanu vrijednost u toj vježbi. Stoga bi države članice EU-a i države EFTA-e trebale razmotriti uključivanje privatnog sektora u buduće vježbe;
- Europsku zajednicu za upravljanje kibernetičkim incidentima potrebno je ojačati ulaznim vrijednostima ostalih europskih ključnih sektora (npr. zdravlje, prijevoz) koji su važni za suzbijanje velikih kriza. Cyber Europe 2014. Na temelju pouka naučenih u dvije prethodne paneuropske vježbe, CE2014 profinjena je kibernetička vježba koja se provodi tijekom 2014. u cilju ostvarenja sljedećih ciljeva: ispitivanje postojećih postupaka i mehanizama suradnje za upravljanje kibernetičkim krizama u Europi; jačanje sposbnosti na nacionalnoj razini; istraživanje postojeće suradnje između privatnog i javnog sektora; analiza postupaka eskalacija i suzbijanja (tehnička, operativna i strateška razina); razumijevanje pitanja javnih poslova povezanih s velikim kibernetičkim napadima.
Više informacija: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
Sigurnost oblaka za sve digitalne korisnike
Cilj
Djelatnici za sigurnost podataka u javnom i privatnom sektoru koji koriste i integrirali su usluge oblaka u svakodnevni život ili će razmisliti o nabavi usluga oblaka za svoja poduzeća. Također je upućena svim digitalnim korisnicima koji svakodnevno koriste popularne usluge oblaka (društveni mediji itd.), npr. Facebook, Dropbox, Instagram, Twitter i ostali, kako bi saznali kako model oblaka funkcionira, koje su njegove prdnosti i koji su mu nedostaci te kako bi mogli ocijeniti kakve bi podatke trebali, a kakve ne bi trebali pohraniti u „oblak“. ENISA se više bavi pružanjem potpore MSP-ovima i tijelima javne uprave za ocjenjivanje situacije prije prelaska na oblak.
Savjeti
ENISA svim potencijalnim korisnicima oblaka predlaže da izvrše sljedeće aktivnosti prilikom rasprave o uslugama oblaka:
- Koje se usluge mobu pohraniti na oblak i koje su koristi računalstva u oblaku kojim će im se olakšati svakodnevni život (npr. postupnost, velikih potencijal za pohranu, redovite sigurnosne kopije, interoperabilnost);
- Koje će se vrste podataka premještati u oblak i koliko su ti podaci važni njihovim vlasnicima (npr. osobni podaci, osjetljivi podaci i poslovni podaci)?
- Koji su nedostaci računalstva u oblaku koji bi mogli imati veliku utjecaj na vaš svakodnevni rad i pokušajte pronaći načine za uklanjanje tih nedostataka?
- Kako donijeti informiranu odluku u vrsti usluge u oblaku koja vam je potrebna (IaaS, PaaS, SaaS) i naučiti koja su ograničenja vaših odgovornosti u svakoj vrsti usluge;
- Uložite vrijeme u rasprave sa svojim davateljem usluga u oblaku (CSP) i dogovorite se oko kompromisa koji će biti naveden u ugovoru o razini usluge (SLA);
Preporuka
-
Publikacije ENISA-e o sigurnosti u oblaku dobar su udžbenik na temu kako svi korisnici usluga u oblaku mogu zaštititi svoju imovinu i naučiti koja prava i obveze imaju prilikom uporabe usluga u oblaku.
- Sigurnost u oblaku mora se smatrati jednom od najvećih koristi za pružanje usluga oblaka zbog mogučnosti proširenja.
Više informacija: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
Privatnost za sve digitalne korisnike
Cilj
Usmjerena je na digitalne korisnike. Korisnici imaju na internetu ista prava kao i van interneta. Trebali bi biti svjesni vlastitih prava. Uloga je nacionalnih tijela za zaštitu podataka pružiti potporu korisnicima.
„Svatko ima pravo na zaštitu vlastitih osobnih podataka” - članak 16. Ugovora iz Lisabona
Savjeti
-
U skladu s pravnim okvirom EU-a, građani Europske unije imaju niz prava u digitalnom okruženju, kao što su zaštita osobnih podataka i privatnosti, sloboda izražavanja i informiranja;
-
Načela zaštite podataka i privatnosti na internetu ne poštuju se uvijek. Prema istraživanju Eurobarometra iz 2011. o stavovima o zaštiti podataka i elektroničkom identitetu u EU-u, 43 % korisnika interneta izjavilo je da su od njih prilikom pristupanja internetskoj usluzi ili prije korištenja internetske usluge tražili više podataka nego što je bilo potrebno, a 70 % Europljana zabrinuto je da bi se njihovi osobni podaci mogli koristiti u svrhe koje nisu one zbog kojih su prikupljeni. Ukupno 75 % Europljana želi obrisati osobne podatke na web-mjestu kad god to odluče učiniti;
-
Izazovi koje treba prevladati: postupci ljudi ne pokazuju uvijek njihovu zabrinutost za privatnost; čak i ako su zabrinuti za svoju privatnost, korisnici mogu odlučiti podijeliti svoje osobne podatke za proizvode ili usluge koji su na sniženju; samo jedna trećina (33 %) Europljana svjesna je postojanja nacionalnog javnog tijela koje je odgovorno za zaštitu njihovih prava u vezi s osobnim podacima;
-
I konačno, građani Europe također moraju biti osnaženi za utvrđivanje praksi kojima se krše ta važna načela i za poduzimanje odgovarajućih radnji, uključujući ostvarivanjem njihovih prava kao osoba čiji se podaci obrađuju u odnosu na nadzornike podataka koji ne poštuju pravila i podnošenje prigovora nadležnim tijelima, ako je primjenjivo. To također podrazumijeva jačanje svijesti osobe čiji se podaci obrađuju jer je prvi korak na tom putu osigurati da osobe čiji se podaci obrađuju znaju i da su svjesne važnosti zaštite svojih podataka od nepotrebnog otkrivanja.
Preporuka
Korisnicima preporučujemo da utvrde praksu kojom se krše njihova prava osobe čiji se podaci obrađuju i da poduzmu odgovarajuće mjere, uključujući podnošenjem prigovora nadležnim tijelima, ako je primjenjivo. Cilj nadležnih tijela za zaštitu podataka treba biti povećati svijest o njihovim pravima koja proizlaze iz zakonodavstva o zaštiti podataka i o mogućnostima koje im nudi pravni sustav za ostvarivanje prava, uključujući podnošenjem prigovora u slučaju pretjeranog prikupljanja i pohrane osobnih podataka.
Više informacija
http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat
EUROBAROMETAR 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Nacionalna tijela za zaštitu podataka: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm
Sigurne pametne mreže
Cilj
Sve su preporuke upućene Europskoj komisiji, državama članicama, privatnom sektoru i stručnjacima za ključnu infrastrukturu.
Ključna infrastruktura uključuje imovinu, sustav ili njihov dio koji se nalazi u državama članicama i neophodan je za održavanje vitalnih društvenih funkcija, zdravlja, sigurnosti, zaštite, gospodarske i socijalne dobrobiti ljudi, i čiji bi poremećaj rada ili čije bi uništenje, kao posljedica neuspjelog održavanja tih funkcija, moglo imati velike posljedice u državi članici. U nastavku su navedene preporuke o sigurnim pametnim mrežama.
Preporuke
- Preporuka 1.: Europska komisija (EK) i nadležna tijela država članica (DČ) trebali bi poduzeti inicijative za poboljšanje regulatornog okvira i okvira politika o kibernetičkoj sigurnosti pametnih mreža na nacionalnoj razini i razini EU-a.
- Preporuka 2.: EK bi u suradnji s ENISA-om i DČ-ima trebala promicati stvaranje javno-privatnih partnerstava (JPP) za koordinaciju inicijativa za sigurnost pametnih mreža.
- Preporuka 3.: ENISA i EK trebali bi poticati jačanje svijesti i inicijative za osposobljavanje.
- Preporuka 4.: EK i DČ u suradnji s ENISA-om trebali bi poticati inicijative za širenje i podjelu znanja.
- Preporuka 5.: EK, u suradnji s ENISA-om i DČ i privatnim sektorom, treba razviti minimalni skup sigurnosnih mjera utemeljenih na postojećim standardnima i preporukama.
- Preporuka 6.: EK i nadležna tijela DČ-a trebala bi promicati razvoj mehanizama za potvrđivanje sigurnosti sastavnica, proizvoda i ustrojstvene sigurnosti.
- Preporuka 7.: EK i nadležna tijela DČ-a trebala bi poticati stvaranje okvira za testiranje i ocjenu sigurnosti.
- Preporuka 8.: EK i DČ bi, u suradnji s ENISA-om, trebali dalje proučavati i razrađivati strategije za koordinaciju velikih paneuropskih kibernetičkih incidenata koji utječu na električne mreže.
- Preporuka 9.: Nadležna tijela DČ u suradnji s CERT-voima trebala bi pokrenuti aktivnosti u cilju uključivanja CERT-ova u savjetodavnu ulogu u rješavanju pitanja kibernetičke sigurnosti koja utječu na električne mreže.
- Preporuka 10.: EK i nadležna tijela DČ u su radnji s Akademijom i sektorom istraživanja i razvoja trebala bi poticati istraživanje kibernetičke sigurnosti SG-a uz polugu postojećih istraživačkih programa.
Literatura:
ENISA
- Izvješća o obrazovanju http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
- Materijal CERT-a http://www.enisa.europa.eu/activities/cert/support/exercise
- Flash Notes http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software
- Kibernetičke vježbe http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
- Izvješća o oblaku http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
- Privatnost http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat ;
- Izvješća o pametnoj mreži http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
OSTALO
- EUROBAROMETAR 2011 http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
- Nacionalna tijela za zaštitu podataka http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm