ECSM - Recommendations for ALL - HU
Az EKH az EU októberben megrendezendő felvilágosító kampánya. Célja a kiberbiztonság tudatosítása a polgárok körében. A kampány célja a számítógépes fenyegetésekkel kapcsolatban a munkahelyen és a privát internethasználat során alkotott általános felfogás MEGVÁLTOZTATÁSA.
Hálózat- és információbiztonság oktatóknak
Célcsoport
E kiadvány a hivatalos és nem hivatalos oktatásban – beleértve az egész életen át tartó tanulást – oktatóként, tanárként vagy pályatársként részt vevő oktatóknak szól. Az oktatók kiemelkedő szerepe nem hagyható figyelmen kívül az IKT területen érintett felek meghatározása során!.
Tippek a hálózati információbiztonság (NIS) oktatásához
- Az ENISA-felmérés eredményei alapján egy „kiváló tanfolyamhoz” az oktatónak az alábbiakat kell figyelembe vennie: rövid bevezetés és interaktív laborok; történetek és a való életből vett példák; a témában való teljes elmélyülésen alapuló tanfolyam lehetséges tartalma: szerepjátszási tevékenységek, szimulációs gyakorlatok, csoportmunka; üzleti játék a vizsga részét képezi; jó videókat tartalmazó válogatás;
- Kihívások:
Annak felismerése, hogy a technológia használata kockázatokkal jár, és nem csak mi, hanem rajtunk keresztül mások is szembesülhetnek ezekkel a kockázatokkal. Fontos ismerni és nem csak használni a technológiát;NIS Education brokerage model
-
NIS Oktatás közvetítési modell
Ajánlás
- Az oktatóknak és diákjaiknak azt javasoljuk, hogy megoldásorientált hozzáállással lássanak munkához;
- Állami-magán partnerségi kapcsolatok kialakítása a naprakész tananyagok és tanfolyamok finanszírozásához és fejlesztéséhez.
További információk: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
Hálózat- és információbiztonsági képzés munkavállalók részére
Cél
A képzés alapvetően fontos ahhoz, hogy mind az információbiztonsági szakemberek, mind pedig a munkavállalók naprakész ismeretekkel rendelkezzenek ezen a területen, és fejlesszék képességeiket a fenyegetések költségtakarékos módon történő kezeléséhez.
Tippek
- A mai világban az információbiztonság kérdése gyakran merül fel, mert nagyon gyors fejlődésen megy keresztül, és valamilyen formában mindenkinek az életére hatással van. Az emberek számára hozzáférést kell biztosítani olyan tematikájú forrásokhoz, oktatóanyagokhoz, magyarázó anyagokhoz és célzott tanfolyamokhoz, amelyek lehetővé teszik az elfogadható mértékű biztonság és magánélet fenntartását az egyre inkább az információs technológiára épülő mindennapi tevékenységek során;
- Az országok friss vizet, villamos energiát és kommunikációs lehetőségeket biztosító nélkülözhetetlen szolgáltatásainak és kommunikációs infrastruktúrájának védelméhez szükség van a javításokat elvégző, problémákat megoldó és tanácsadást biztosító szakemberekre. Szükség esetén jelentős kereslet merül fel olyan információbiztonsági szolgáltatások iránt, mint az eseménykezelés, riasztás, figyelmeztetés és hibaelemzés. Sok esetben van szükség egy hálózatbiztonsági vészhelyzeteket elhárító csoport (CERT) munkájára (http://www.enisa.europa.eu/activities/cert/). Mivel minden csapat annyira erős, mint amennyire a tagjai, folyamatosan szükséges naprakész szinten tartani a munkavállalók, az elhárítók, valamint az oktató tudásbázisát, hogy képesek legyenek fellépni a legújabb fenyegetésekkel szemben és azokat a lehető leggyorsabb és leghatékonyabb módon mérsékelni;
- Az oktató szempontjából az oktatói pozíció kiváló lehetőséget nyújt a „terepmunkára” és a valóság különböző nézőpontokból történő értelmezésére, mivel az előadótermi kommunikációnak kétirányúnak kell lennie. A tapasztalat és a naprakész tudás elengedhetetlen része a hiteles oktatásnak a tanfolyam résztvevői számára; a tanfolyamokkal kapcsolatos visszajelzések alapján a résztvevők nagyra értékelik a való életből vett példákat és eseteket;
- Különböző módszertanok alkalmazhatók az információ átadására a tanfolyam résztvevői részére, mint például workshopok, célzott rendezvények vagy egyszerűen az önálló tanuláshoz alkalmas anyagokhoz való hozzáférés biztosítása. Mindkét megközelítésnek van előnye. Az önálló tanulás rugalmasságot biztosít és csökkenti az összköltséget. A workshop alapú módszer ösztönzi a kommunikációt és a résztvevőknek kiváló lehetőséget nyújt a tapasztalatcserére és a tudás átadására.
Ajánlások
Az ENISA helyszíni képzéseket tart a hálózatbiztonsági vészhelyzeteket elhárító csoport és más operatív közösségek képességeinek támogatására, továbbá oktatóanyagokat tesz közzé az ENISA honlapon.
További információk: http://www.enisa.europa.eu/activities/cert/support/exercise
Szoftverfrissítések
Cél
Az ENISA figyelmeztet a már nem forgalmazott szoftverek használatával járó kockázatokra, mivel nem csupán a gyártó, de a harmadik felek – például a kártevőirtó és más típusú szoftverek, illetve a számítógépes perifériák gyártói – sem biztosítják többé azok támogatását. Ez a gyakorlat tartós sebezhetőséget okoz, illetve akadályozza a perifériák és harmadik felek alkalmazásainak frissítését.
Tippek
-
A már nem forgalmazott szoftver használata az alábbi kockázatoknak való kitettséggel jár:
A végfelhasználók nem lesznek képesek ellenőrizni a szoftver sértetlenségét, mivel az aláírási tanúsítványok lejárhatnak; a felhasználó kártevő programoknak lehet kitéve, mivel a szoftvercsomag sértetlenségének ellenőrzése nem lehetséges; az esetleg fertőzött rendszerek tovább terjeszthetik a fertőzést az egész hálózaton belül; mindez a biztonsági szabályzatok megsértéséhez vezethet. -
Ha a már nem forgalmazott szoftver gyártója megszünteti a termék támogatását, ez az alábbi következményeket vonhatja maga után: a már nem forgalmazott rendszerek felhasználói nem kapnak biztonsági frissítéseket, illetve értesítéseket; a sebezhetőség új formáit már nem listázzák, jelentik és elemzik, így új biztonsági javítócsomagokat nem készítenek; ebből következően a már nem forgalmazott szoftver ilyen jellegű sebezhetősége örökre megmaradhat, mintha nulladik napi támadási vektor lenne. A harmadik felek által gyártott szoftverhez és hardverhez kapcsolódó támogatás megszűnése a platform használatának akadályoztatásával járhat, pl. az ismeretlen programhibák akadályozhatják a már nem forgalmazott szoftver futását; a régi operációs rendszerek inkompatibilitása új eszközökkel, a meghajtók hiánya a perifériák új verzióihoz akadályozhatja a felhasználókat a használt vagy tönkrement eszközök bővítésében vagy cseréjében; meghibásodás esetén a meglévő eszközök támogatásának megszűnése a már nem forgalmazott platformon az eszközök használatát ellehetetlenítheti; a harmadik felek által gyártott telepített szoftverhez kapcsolódó támogatás megszűnése akadályozhatja a felhasználókat a harmadik felek által szállított szoftverek új verzióinak frissítésében, illetve a javítócsomag általi frissítésében. Ugyanez vonatkozik az új alkalmazásokra. Ez különösen kritikus helyzetet idézhet elő a vírus- és kártevőirtó alkalmazások frissítéseinek a hiánya esetén.
Ajánlások
- Az informatikai vezetőknek minden esetben gondoskodniuk kell a rendszerek legfrissebb biztonsági javítócsomaggal történő frissítéséről. A kritikus informatikai elemek szempontjából a már nem forgalmazott szoftvereket magas biztonsági kockázatúnak kell minősíteni, és a kockázatot mérsékelni kell újabb megoldásokra és más platformokra való migrálással. A kritikus információs infrastruktúrák esetében a sebezhetőség kockázata az állampolgárokra is kiterjedhet, így megnő az informatikai vezetők felelőssége.
- A gyártóknak elegendő időt kell biztosítaniuk a migrálásra. Ebben a szakaszban a termék forgalmazásának megszűnését követően az ENISA határozottan javasolja az előzetes értesítések alkalmazását és a felhasználók biztonságára gyakorolt hatás részletes elemzését.
- A felhasználóknak fel kell ismerniük és meg kell érteniük az elavult szoftver használatával járó, őket érintő biztonsági kockázatot.
További információk: http://www.enisa.europa.eu/publications/flash-notes#b_start=0
Kibergyakorlatok technikai szakértőknek
Cél
Az ENISA a páneurópai kibergyakorlatok bonyolítójaként működik közre, illetve általánosabb értelemben támogatja a bevált módszerek cseréjét a kiberválság-helyzeti együttműködés és gyakorlatok területén. Az e területen felmerülő témákban az ENISA fő kezdeményezője a Cyber Europe páneurópai kibergyakorlat sorozatnak, az EU–amerikai közös kibergyakorlatnak (Cyber Atlantic) és az éves nemzetközi konferenciáknak. Eddig két páneurópai kiberválság-kezelési gyakorlat került megrendezésre: a Cyber Europe 2010 és a Cyber Europe 2012; valamint, egy EU-amerikai kibergyakorlatot – „Cyber Atlantic” – tartottak 2011-ben. A harmadik páneurópai kiberválság-kezelési gyakorlat – Cyber Europe 2014 (CE2014) – jelenleg is tart. Valamennyi uniós és EFTA-országbeli, az állami és a magánszektorban működő érdekelt fél részt vehet a gyakorlatokon, ideértve az uniós intézményeket és szerveket is. Ilyen résztvevők lehetnek például (de nem kizárólagosan) a kiberválság kezeléséért felelős hatóságok, pl. a kiberbiztonsági hivatalok, a nemzeti vagy kormányzati hálózatbiztonsági vészhelyzeteket elhárító csoportok (CERT-ek), továbbá magánvállalkozások és NIS szakemberek.
Ajánlások
- A Cyber Europe 2012 hasznosnak bizonyult a páneurópai kiberesemény-kezelés fejlesztésében. Ezért fontos az erőfeszítéseket folytatni és tovább fejleszteni az európai kibergyakorlatok területén. A jövőbeli kibergyakorlatoknak az ágazatközi függőségi viszonyokat kellene majd feltárniuk, nagyobb figyelmet fordítva a konkrét közösségekre;
- A Cyber Europe 2012 lehetőséget teremtett a nemzetközi szintű együttműködésre és az európai kiberesemény-kezelési közösség erősítésére. A nemzetközi együttműködés támogatása érdekében alapvetően fontos a kibergyakorlatok, a tanulságok, a szakismeretek és a konferenciaszervezés vonatkozásában a bevált módszerek cseréjének elősegítése. Ez biztosítja az erősebb közösség létrejöttét, amely képes kezelni a határokon átnyúló kiberválságokat. A kiberválság-kezeléssel kapcsolatos nemzetközi együttműködésben részt vevő valamennyi érdekelt felet ki kell képezni az adott eljárások használatára, hogy megfelelően alkalmazhassák azokat. A magánszektorban aktív szervezetek szereplőkként való részvétele hozzáadott értéket képviselt ebben a gyakorlatban. Ezért az uniós tagállamoknak és az EFTA-országoknak meg kellene fontolniuk a magánszektor részvételét a jövőbeli gyakorlatokon;
- Az európai kiberesemény-kezelési közösség erősíthető a nagyméretű válságok kezelésében érintett egyéb európai kritikus szektorok (pl. egészségügy, közlekedés) hozzájárulásával;
- Cyber Europe 2014: A korábbi két páneurópai gyakorlat során levont tanulságok alapján a CE2014 egy a 2014. év során megrendezett, kiemelten magas színvonalú gyakorlat, amely az alábbi célkitűzések megvalósítását szolgálja: az Európában előforduló kiberválságok kezelését szolgáló meglévő együttműködési eljárások és mechanizmusok tesztelése; nemzeti szintű képességek fejlesztése; az állami és magánszektor közötti meglevő együttműködés vizsgálata; az eszkalációs és deeszkalációs folyamatok elemzése (technikai, operatív és stratégiai szinten); a nagyméretű számítógépes támadásokhoz kapcsolódó közügyek ismerete.
További információ: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
Biztonságos felhőalapú szolgáltatások minden digitális felhasználónak
Célcsoport
Idetartoznak azon állami és magánszektorban aktív információbiztonsági vezetők, akik használják és integrálják a felhőalapú szolgáltatásokat a mindennapokban, vagy elképzelhetőnek tartják a felhőalapú szolgáltatások beszerzését vállalkozásaik számára. A célcsoport magában foglal továbbá minden olyan digitális felhasználót is, aki napi szinten használja a népszerű felhőalapú szolgáltatásokat (pl. közösségi média: Facebook, Dropbox, Instagram, Twitter és sok más szolgáltatás). A cél az, hogy e felhasználók megértsék a felhőalapú modell működését, tisztában legyenek annak előnyeivel és hátrányaival, és hogy képesek legyenek megítélni, hogy milyen jellegű információt ajánlott és nem ajánlott a „felhőben” elhelyezni. Az ENISA elsősorban a kkv-kat és közigazgatási szerveket támogatja abban, hogy a felhőalapú szolgáltatásra történő váltás előtt felmérjék a helyzetet.
Tippek
Az ENISA minden potenciális felhőalapú szolgáltatás felhasználójának azt javasolja, hogy a felhőalapú szolgáltatások használatának mérlegelése során vegye figyelembe az alábbiakat:
-
Mely szolgáltatások végezhetők el a felhőben, illetve melyek a felhőalapú számítástechnika hétköznapjainkat megkönnyítő előnyei (azaz méretezhetőség, nagy tárolókapacitás, rendszeres biztonsági mentések, interoperabilitás)?
-
Milyen típusú információ kerül áthelyezésre a felhőbe, és mennyire fontos ez az információ a tulajdonosa számára (azaz személyes adatok, bizalmas adatok, és üzleti adatok)?
-
Melyek a felhőalapú számítástechnika azon hátrányai, amelyek jelentős hatással lennének mindennapos munkájára, és miként csökkenthető ez a hatás?
-
Hogyan hozzunk tájékozott döntést a nekünk megfelelő típusú felhőalapú szolgáltatásról (IaaS, PaaS, SaaS) és ismerjük fel felelősségünk korlátait az egyes szolgáltatástípusok tekintetében?
-
Szánjunk időt a felhőalapú szolgáltatójával (CSP) történő konzultációra, és jussunk vele közös megállapodásra, amelyet szolgáltatási szintre vonatkozó megállapodás (SLA) rögzítsen.
Ajánlások
Az ENISA felhőbiztonságról szóló kiadványai hasznos kézikönyvek arról, hogy a felhőalapú szolgáltatást igénybe vevők milyen módon tudják megvédeni tulajdonukat. A felhasználók tájékozódhatnak továbbá a felhőalapú szolgáltatások használatával kapcsolatos felelősségükről és jogaikról.
- A méretezhetőségnek köszönhetően a felhő biztonsága a felhőalapú szolgáltatások beszerzésének egyik legnagyobb előnye.
További információk: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
Adatvédelem minden digitális felhasználónak
Célcsoport
E célcsoportba a digitális felhasználók tartoznak. A felhasználókat ugyanazok a jogok illetik meg online, mint offline; tudatában kell lenniük online jogaiknak. A nemzeti adatvédelmi hatóságok a felhasználóknak támogatást biztosítanak.
Lisszaboni Szerződés, 16. cikk: „Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.”
Tippek
- Az Európai Unió jogi szabályozása alapján az Európai Unió polgárai különféle jogokat élveznek a digitális környezetben, mint például a személyes adatok és a magánélet védelme, a szólás és az információ szabadsága;
- Az adatvédelem és magánélet védelmének elvét nem mindig tisztelik online. Az EU-n belüli adatvédelemhez és elektronikus személyazonossághoz kapcsolódó nézetekre vonatkozó 2011. évi Eurobarométer felmérés szerint az internetfelhasználók 43%-a azt állítja, hogy az online szolgáltatásokhoz való hozzáférés, illetve azok használata során a szükségesnél több személyes adatot kértek tőlük, míg az európaiak 70%-a úgy véli, hogy a személyes adatokat az adott céltól eltérő célokra is használhatják. Az európaiak 75%-a azt szeretné, ha akkor törölhetne személyes adatokat, amikor csak akar.
- Kihívások: Az emberek cselekedetei nem mindig tükrözik adatvédelmi aggályaikat; még ha tudatosulnak is adatvédelmi aggályok a felhasználókban, leértékelt árú szolgáltatásokért vagy termékekért cserében a személyes adatok megosztása mellett dönthetnek; az európaiak csupán egyharmada (33%) előtt ismert a személyes adatokra vonatkozó jogaik védelméért felelős nemzeti hatóság létezése.
- Végül az európai polgárokat fel kell jogosítani arra, hogy feltárhassák az ilyen fontos elveket sértő gyakorlatokat és megtehessék a szükséges lépéseket, ideértve jogaik gyakorlását érintett minőségükben a szabálytalan adatkezelőkkel szemben, és szükség esetén panaszok bejelentését az illetékes hatóságoknál. Ez egyben az érintettek fokozott tájékozottságát is feltételezi, mivel az első lépés ezen az úton annak biztosítása, hogy az érintettek felismerik és értik az adataik felesleges megosztásával szembeni védelem fontosságát.
Ajánlás
Javasoljuk, hogy a felhasználók tárják fel az érintettek jogait sértő gyakorlatokat, és tegyék meg a szükséges lépéseket, ideértve szükség esetén a panaszok bejelentését az illetékes hatóságoknál. Az adatvédelmi hatóságok törekedjenek a felhasználók tudatosságának javítására mind az adatvédelmi jogszabályokból eredő jogaikkal, mind az ezen jogok jogrend által biztosított gyakorlási lehetőségeivel kapcsolatban, ideértve a személyes adatok túlzott mértékű gyűjtése és tárolása eseteinek a bejelentését.
.
További információk
http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat
2011. évi Eurobarométer felmérés: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Nemzeti adatvédelmi hatóságok: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm
Biztonságos intelligens hálózatok
Célcsoport
Valamennyi ajánlás az Európai Bizottság, a tagállamok, a magánszektor és a kritikus infrastruktúra szakembereinek részére készült.
A kritikus infrastruktúra a tagállamokban található azon eszközök, rendszerek vagy ezek részei, amelyek elengedhetetlenek a létfontosságú társadalmi feladatok ellátásához, az egészségügyhöz, a biztonsághoz, az emberek gazdasági és szociális jólétéhez, és amelyek megzavarása vagy megsemmisítése e feladatok folyamatos ellátásának hiánya miatt súlyos következményekkel járna valamely tagállamban. A biztonságos intelligens hálózatokra vonatkozó ajánlások az alábbiakban vannak felsorolva.
Ajánlások
1. sz. ajánlás Az Európai Bizottság és a tagállamok illetékes hatóságai nemzeti és uniós szinten kezdeményezzék az intelligens hálózati kiberbiztonságra vonatkozó szabályozási és szakpolitikai keretek fejlesztését.
2. sz. ajánlás Az Európai Bizottság és a tagállamok az ENISA-val együttműködésben támogassák a köz- és magánszféra közötti partnerségeket (PPP-k) az intelligens hálózati biztonsági kezdeményezések koordinálására.
3. sz. ajánlás Az ENISA és az Európai Bizottság támogassa a szemléletformálásra és képzésre vonatkozó kezdeményezéseket.
4. sz. ajánlás Az Európai Bizottság és a tagállamok az ENISA-val való együttműködésben támogassák az ismeretek terjesztésére és megosztására vonatkozó kezdeményezéseket.
5. sz. ajánlás Az Európai Bizottság az ENISA-val, a tagállamokkal és a magánszektorral való együttműködésben dolgozzon ki a meglévő normákon és útmutatásokon alapuló biztonsági intézkedéscsomagot.
6. sz. ajánlás Mind az Európai Bizottság, mind pedig a tagállamok illetékes hatóságai támogassák az alkatrészekre, termékekre és szervezeti biztonságra vonatkozó biztonsági tanúsítvány kifejlesztését.
7. sz. ajánlás Az Európai Bizottság és a tagállamok illetékes hatóságai támogassák a tesztrendszerek és a biztonsági felmérések létrehozását.
8. sz. ajánlás Az Európai Bizottság és a tagállamok az ENISA-val együttműködésben elemezzék tovább és finomítsák a villamosenergia-hálózatot érintő nagyméretű páneurópai kiberesemények koordinálását szolgáló stratégiákat.
9. sz. ajánlás A tagállamok illetékes hatóságai a CERT-ekkel együttműködésben kezdeményezzenek olyan tevékenységeket, amelyek során a CERT-ek tanácsadói szerephez jutnak a villamosenergia-hálózatot érintő kiberbiztonsági kérdések kezelésében.
10. sz. ajánlás Az Európai Bizottság és a tagállamok illetékes hatóságai az egyetemekkel és a kutatási-fejlesztési ágazattal együttműködésben támogassa a meglévő kutatási programokra támaszkodó kiberbiztonsági kutatásokat az érdekelt felek körében.
További információk: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
Hivatkozások:
ENISA
- Oktatásügyi jelentések http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
- CERT anyagok http://www.enisa.europa.eu/activities/cert/support/exercise
- Gyorshírek http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software
- Kibergyakorlatok http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
- Felhővel kapcsolatos jelentések http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
- Adatvédelem http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat ;
- Okoshálózatra vonatkozó jelentések http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
EGYÉB
- 2011. évi Eurobarométer felmérés http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
- Nemzeti adatvédelmi hatóságok http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm