ECSM - Recommendations for ALL - NL
De Europese maand van de cyberveiligheid is een EU-campagne die in oktober plaatsvindt. Het doel hiervan is de burgers bewuster te maken op het gebied van cyberveiligheid. De campagne beoogt verandering te brengen in hoe wij tegen cyberdreigingen in het dagelijks leven aankijken – op het werk of thuis.
Netwerk- en informatiebeveiliging voor docenten
Doel en doelgroep
De doelgroep bestaat uit docenten, dat wil zeggen trainers, leraren en andere op het vlak van het onderwijs werkzame personen die betrokken zijn bij formeel en informeel onderwijs, met inbegrip van permanente educatie. De belangrijke rol van docenten moet altijd worden erkend bij het in kaart brengen van de belanghebbenden in de ICT!
Tips voor onderwijs op het gebied van netwerk- en informatiebeveiliging
-
Uit de resultaten van een Enisa-onderzoek komt naar voren dat een docent voor een 'optimale sessie' moet denken aan: een korte introductie en praktijkoefeningen; verhalen en praktijkvoorbeelden; een trainingssessie met 'volledige onderdompeling' omvat bijvoorbeeld: rollenspelen, simulatieoefeningen, teamworkactiviteiten; bedrijfsspelen als onderdeel van de examens en verschillende goede video's;
-
Problemen die moeten worden overwonnen:
Begrijpen dat het gebruik van technologie risico's met zich meebrengt en dat die risico's niet slechts persoonlijk zijn, maar ook op anderen van invloed kunnen zijn. Het is van belang dat technologie wordt begrepen en dat er niet alleen maar gebruik van wordt gemaakt;
Het opnieuw overdenken van echte menselijke interacties en gedragingen op het internet: nettiquette;
Denk hierbij aan multidisciplinaire expertise (juridische, technische, organisatorische enz.); -
Model voor onderwijs op het gebied van netwerk- en informatiebeveiliging
Aanbevelingen
-
Wij adviseren docenten en hun studenten te vertrouwen op eigen kunnen;
-
Probeer publiek-private partnerschappen te sluiten voor de financiering en ontwikkeling van actuele materialen en sessies.
Verdere informatie: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
Netwerk- en informatiebeveiligingstraining voor werknemers
Doel en doelgroep
Training is van essentieel belang om informatiebeveiligingsdeskundigen en werknemers op de hoogte te houden van de meest recente ontwikkelingen op dit gebied, alsmede om vaardigheden te verbeteren met het oog op een kostenefficiënte bestrijding van dreigingen.
Tips
-
Informatiebeveiliging staat momenteel sterk in de belangstelling, omdat de ontwikkelingen op dit gebied zeer snel gaan en iedereen hier op een of andere manier mee te maken heeft. Mensen moeten toegang hebben tot hulpmiddelen, handleidingen, gebruiksaanwijzingen en speciale trainingen rond thema's die gericht zijn op het behoud van een acceptabel veiligheids- en privacyniveau in hun dagelijkse activiteiten, die in toenemende mate van informatietechnologie afhankelijk zijn;
-
Voor de bescherming van cruciale nationale diensten en communicatie-infrastructuur die ons voorzien van vers water, elektriciteit en communicatiemogelijkheden, is er behoefte aan deskundigen die problemen kunnen vaststellen en oplossen en advies kunnen geven. Er is veel vraag naar informatiebeveiligingsdiensten zoals incidentenafhandeling, alarmering, waarschuwingen en artefactanalyse, op het moment dat er zich problemen voordoen. In veel gevallen is er behoefte aan een computercrisisteam (http://www.enisa.europa.eu/activities/cert/). Omdat ieder team zo sterk is als zijn leden, moet de kennis van de werknemers, troubleshooters en trainers steeds op peil worden gehouden om op de nieuwste dreigingen te kunnen reageren en deze zo snel en efficiënt mogelijk het hoofd te kunnen bieden;
-
Als trainer kan men heel goed 'het veld ingaan' om een idee te krijgen van de werkelijkheid vanuit verschillende invalshoeken, omdat de communicatie in de klas van beide kanten moet komen. Ervaring en actuele kennis zijn onontbeerlijk om het vertrouwen van de trainingsdeelnemers te winnen. Uit feedback van trainingen blijkt dat deelnemers veel waarde hechten aan praktijkvoorbeelden en use cases;
-
De informatie kan tijdens trainingen op verschillende manieren worden overgebracht aan de deelnemers, bijvoorbeeld door middel van workshops, speciale evenementen of eenvoudigweg door toegang te bieden tot materiaal voor zelfstudie. Beide benaderingen hebben zo hun voordelen, omdat zelfstudie flexibiliteit kan creëren en de algemene kosten kan verminderen. Een workshop bevordert de communicatie en biedt uitstekende mogelijkheden voor de uitwisseling van kennis en ervaringen.
Aanbevelingen
Het Enisa heeft trainingen op locatie gegeven ter ondersteuning van computercrisisteams en andere vaardigheden van operationele gemeenschappen. Op de website van het Enisa wordt trainingsmateriaal gepubliceerd.
Verdere informatie: http://www.enisa.europa.eu/activities/cert/support/exercise
Software updates
Doel en doelgroep
Het Enisa waarschuwt voor de risico's van het gebruik van niet langer ondersteunde software, niet alleen omdat deze niet meer door de producent wordt ondersteund, maar ook niet door derden zoals producenten van anti-malware- of andere soorten software, of computerrandapparatuur. Doorgaan met zulk gebruik creëert voortdurende kwetsbaarheid en maakt bijwerking van randapparatuur of toepassingen van derden onmogelijk.
Tips
-
Door het gebruik van niet langer ondersteunde software ontstaat blootstelling aan de volgende risico's:
Eindgebruikers zijn niet in staat om de integriteit van de software te controleren, omdat de ondertekening van certificaten verlopen kan zijn; doordat de integriteit van het softwarepakket niet kan worden gecontroleerd, kan de gebruiker worden blootgesteld aan malware; door geïnfecteerde systemen zou het gehele netwerk besmet kunnen raken; dit kan ook leiden tot niet-naleving van veiligheidsbeleid; -
Het wegvallen van productondersteuning door de producent van de niet langer ondersteunde software kan leiden tot de volgende problemen: gebruikers van niet langer ondersteunde systemen ontvangen geen beveiligingsupdates of -berichten; nieuwe kwetsbaarheden worden niet meer geïnventariseerd, gemeld en geanalyseerd, waardoor er geen nieuwe beveiligingspatches worden uitgebracht; ten gevolge hiervan kan de niet langer ondersteunde software voortdurend aan dergelijke kwetsbaarheden blijven blootstaan, alsof het om een zero-day-aanvalsvector gaat; door gebrek aan ondersteuning door producenten van andere software en hardware zou het platform kunnen wegvallen, zodat bijvoorbeeld de niet langer ondersteunde software door onbekende programmafouten niet meer werkt; door incompatibiliteit van oude operationele systemen met nieuwe apparaten en het ontbreken van drivers voor nieuwe versies van randapparatuur kunnen gebruikers gebruikte of defecte apparatuur niet upgraden of vervangen; de beëindiging van steun voor bestaande apparaten op het niet langer ondersteunde platform kan ertoe leiden dat het apparaat in geval van mankementen helemaal niet meer gebruikt kan worden; door stopzetting van de steun van andere producenten van geïnstalleerde software kunnen klanten ook de software van deze producenten niet langer upgraden of herstellen aan de hand van nieuwere versies. Dit geldt ook voor nieuwe toepassingen. Dit vormt met name een risico indien er geen bijgewerkte versies van virus- en malwarebestrijdingsprogramma's beschikbaar zijn.
Aanbevelingen
-
IT-managers dienen de systemen altijd up-to-date te houden met de nieuwste beveiligingspatches. Niet langer ondersteunde software moet als een groot veiligheidsrisico voor belangrijke IT-onderdelen worden beschouwd. Dit risico moet worden verkleind door over te stappen op nieuwere oplossingen of andere platforms. In het geval van kritieke infrastructuur-informatiesystemen kan het blootstellingsrisico zich uitstrekken tot burgers, wat de verantwoordelijkheid van de IT-managers des te groter maakt.
-
Producenten moeten ervoor zorgen dat ze voldoende tijd voor migratie bieden. Het Enisa beveelt ten zeerste aan in deze fase van tevoren informatie te verstrekken en een diepgaande analyse te maken van de te verwachten gevolgen voor de veiligheid van de gebruikers als het product niet langer wordt ondersteund.
-
Gebruikers moeten ervoor zorgen dat ze zich bewust zijn van en inzicht hebben in het veiligheidsrisico dat ze door het blijven gebruiken van verouderde software lopen.
Verdere informatie: http://www.enisa.europa.eu/publications/flash-notes#b_start=0
Cyberoefeningen voor technische deskundigen
Doel en doelgroep
Het Enisa heeft zich ingezet voor de facilitering van pan-Europese cyberoefeningen en, meer in het algemeen, de ondersteuning van de uitwisseling van goede praktijken op het gebied van cybercrisissamenwerking en -oefeningen. Het Enisa heeft een leidende rol gespeeld bij de reeks pan-Europese cyberoefeningen Cyber Europe en de gemeenschappelijke cyberoefening van de EU en de Verenigde Staten (Cyber Atlantic) en bij de jaarlijkse internationale conferenties over onderwerpen op het gebied van cybercrisissamenwerking en -oefeningen. Tot nog toe zijn er twee pan-Europese cybercrisisoefeningen georganiseerd, Cyber Europe 2010 en Cyber Europe 2012, en één EU-VS-cyberoefening, de "Cyber Atlantic", in 2011; momenteel is de derde pan-Europese cybercrisisoefening, Cyber Europe 2014 (CE2014), gaande. Alle EU- en EVA-belanghebbenden uit de publieke en particuliere sector kunnen hieraan deelnemen, met inbegrip van de EU-instellingen en organen. Voorbeelden hiervan zijn onder andere instanties op het gebied van cybercrisis, zoals agentschappen voor cyberveiligheid, nationale of gouvernementele CERT's (computercrisisteams), nationale regelgevende autoriteiten plus de instanties en netwerk- en informatiebeveiligingsdeskundigen uit de particuliere sector.
Aanbevelingen
-
Cyber Europe 2012 bleek uiterst nuttig te zijn wat betreft de verbetering van het pan-Europese beheer van cyberincidenten. Daarom is het van belang om deze inspanningen te blijven verrichten en het Europese cyberoefeningengebied verder te ontwikkelen. Toekomstige cyberoefeningen moeten gericht zijn op het onderzoek naar intersectorale afhankelijkheden, met meer aandacht voor specifieke gemeenschappen;
-
Cyber Europe 2012 bood de mogelijkheid van internationale samenwerking en versterking van de Europese gemeenschap voor het beheer van cyberincidenten. Ter bevordering van internationale samenwerking is het van groot belang mogelijkheden te creëren voor de uitwisseling van goede praktijken op het vlak van cyberoefeningen, opgedane ervaring, expertise en de organisatie van conferenties. Dit zal leiden tot een sterkere gemeenschap die in staat is transnationale cybercrises aan te pakken. Alle belanghebbenden op het gebied van internationale cybercrisissamenwerking moeten worden getraind in het gebruik van procedures om hier adequaat mee te kunnen werken. De betrokkenheid van organisaties uit de particuliere sector was een toegevoegde waarde voor deze oefening. Daarom moeten EU-lidstaten en EVA-landen overwegen de particuliere sector ook bij toekomstige oefeningen te betrekken;
-
De Europese gemeenschap voor cyberincidentenbeheer kan worden versterkt met de inbreng vanuit andere belangrijke Europese sectoren (bv. gezondheidszorg, vervoer) die van belang zijn bij de aanpak van grootschalige crises;
-
Cyber Europe 2014: Door de ervaring die is opgedaan met de twee vorige pan-Europese oefeningen is CE2014 een uiterst geperfectioneerde cyberoefening, die gedurende geheel 2014 wordt uitgevoerd ter verwezenlijking van de volgende doelstellingen: testen van de bestaande samenwerkingsprocedures en -mechanismen voor het beheer van cybercrises in Europa; verbeteren van nationale capaciteiten; onderzoeken van de bestaande samenwerking tussen de particuliere en de publieke sector; analyseren van escalatie- en de-escalatieprocessen (op technisch, operationeel en strategisch niveau); inzicht krijgen in het publieke aspect van kwesties in verband met grootschalige cyberaanvallen.
Verdere informatie: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
Cloudveiligheid voor alle digitale gebruikers
Doel en doelgroep
Informatiebeveiligingsmedewerkers uit de publieke en private sector die gebruikmaken van clouddiensten en deze tot onderdeel van hun dagelijks leven hebben gemaakt of overwegen om voor hun bedrijf een beroep te gaan doen op clouddiensten. Het thema cloudveiligheid is ook gericht op alle digitale gebruikers die gebruikmaken van alledaagse populaire clouddiensten (social media enz.) zoals Facebook, Dropbox, Instagram, Twitter en vele andere, opdat zij weten hoe het cloudmodel functioneert. Zij moeten hiervan de voor- en nadelen kennen en kunnen beoordelen welke soort informatie ze in de 'cloud' kunnen opslaan en welke niet. Het Enisa richt zich meer op de ondersteuning van KMO's en openbare instanties bij de beoordeling van de situatie voordat zij van clouddiensten gebruik gaan maken.
Tips
Het Enisa raadt alle potentiële cloudgebruikers aan bij het bespreken van clouddiensten het volgende te overwegen en te doen:
-
Welke diensten kunnen in de cloud plaatsvinden en welke voordelen biedt het werken in de cloud voor het dagelijks leven (bv. schaalbaarheid, een enorme opslagcapaciteit, regelmatige back-ups, interoperabiliteit)?
-
Welke soort informatie wordt in de cloud opgeslagen en hoe belangrijk is die informatie voor de eigenaren hiervan (bv. persoonsgegevens, gevoelige gegevens en bedrijfsgerelateerde gegevens)?
-
Wat zijn de nadelen van werken in de cloud die grote gevolgen zouden hebben voor het dagelijks leven en hoe kunnen die worden beperkt?
-
Hoe kan een weloverwogen besluit worden genomen over de soort clouddienst die benodigd is (IaaS, PaaS, SaaS) en wat zijn voor u de grenzen van uw verantwoordelijkheid voor elke soort dienst?
-
Investeer tijd in een gesprek met uw clouddienstprovider en maak een gezamenlijke afspraak die wordt vastgelegd in de overeenkomst inzake het dienstverleningsniveau (SLA).
Aanbevelingen
-
Enisa-publicaties over veiligheid in de cloud vormen een goede handleiding waarin is vastgelegd hoe alle cloudgebruikers hun activa kunnen beschermen en wat bij het gebruik van clouddiensten hun verantwoordelijkheden en rechten zijn.
-
Schaalbaarheid is wat betreft de veiligheid in de cloud één van de belangrijkste factoren bij het aanschaffen van clouddiensten.
Verdere informatie: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
Privacy voor alle digitale gebruikers
Doel en doelgroep
Gericht op digitale gebruikers. Gebruikers hebben online dezelfde rechten als offline; ze moeten zich bewust zijn van hun onlinerechten. Nationale autoriteiten voor gegevensbescherming zijn er ter ondersteuning van gebruikers.
'Eenieder heeft recht op bescherming van zijn persoonsgegevens' - artikel 16, Verdrag van Lissabon
Tips
-
Krachtens het rechtskader van de EU genieten burgers van de Europese Unie een aantal rechten in de digitale omgeving, zoals de bescherming van persoonsgegevens en vrijheid van meningsuiting en informatie;
-
De beginselen van gegevensbescherming en privacy worden online niet altijd in acht genomen. Volgens de Eurobarometer-enquête van 2011 over gedrag op het gebied van gegevensbescherming en elektronische identiteit in de EU, zegt 43 % van de internetgebruikers dat bij de toegang tot of het gebruik van internetdiensten van hen meer persoonlijke informatie is gevraagd dan nodig is. Verder is 70 % van de Europeanen bang dat hun persoonsgegevens gebruikt kunnen worden voor een ander doel dan dat waarvoor ze werden verzameld. Bovendien wil 75 % van de Europeanen dat persoonlijke informatie op een website kan worden geschrapt op elk moment dat iemand hiertoe besluit;
-
Problemen die moeten worden overwonnen: acties van individuen geven niet altijd hun zorgen over de privacy weer; zelfs als gebruikers bezorgd zijn over hun privacy, kunnen ze besluiten persoonsgegevens te delen ten behoeve van kortingen op diensten of goederen; slechts een derde (33 %) van de Europeanen is op de hoogte van het bestaan van een nationale overheidsinstantie die verantwoordelijk is voor de bescherming van hun rechten met betrekking tot hun persoonsgegevens;
-
Ten slotte moet de Europese burgers ook worden geleerd hoe zij de praktijken die inbreuk maken op deze belangrijke beginselen kunnen onderkennen en hoe zij passende maatregelen kunnen nemen, ook door het uitoefenen van hun rechten als betrokkene ten opzichte van verantwoordelijken voor de verwerking van gegevens die niet aan de verplichtingen voldoen en door het indienen van klachten bij de bevoegde autoriteiten, indien van toepassing. Dit betekent ook dat betrokkenen zich bewuster moeten worden van deze materie, aangezien er allereerst voor moet worden gezorgd dat zij weten en begrijpen wat het belang is van de bescherming van hun gegevens tegen onnodige openbaarmaking.
Aanbevelingen
Wij adviseren gebruikers om praktijken aan te geven waarbij de rechten met betrekking tot hun gegevens worden geschonden en passende actie te ondernemen, onder andere door het indienen van klachten bij de bevoegde autoriteiten, indien van toepassing. De gegevensbeschermingsautoriteiten moeten zich ten doel stellen om gebruikers bewuster te maken van hun rechten op grond van de gegevensbeschermingswetgeving en de mogelijkheden die het rechtssysteem hun biedt om deze rechten uit te oefenen, onder andere door klachten in te dienen in geval van buitensporige verzameling en bewaring van persoonsgegevens.
Verdere informatie
http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat
EUROBAROMETER 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Nationale gegevensbeschermingsautoriteiten: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm
Veilige slimme netwerken
Doel en doelgroep
Alle aanbevelingen zijn gericht tot de Europese Commissie, de lidstaten, de particuliere sector en deskundigen op het gebied van kritieke infrastructuur.
Kritieke infrastructuur is een voorziening, systeem of een deel daarvan op het grondgebied van een lidstaat die resp. dat van essentieel belang is voor het behoud van vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn, en waarvan de verstoring of vernietiging in een lidstaat aanzienlijke gevolgen zou hebben doordat die functies ontregeld zouden raken. Hieronder staan aanbevelingen met betrekking tot veilige slimme netwerken
Aanbevelingen
-
Aanbeveling 1. De bevoegde autoriteiten van de Europese Commissie (EC) en de lidstaten zouden initiatieven moeten ontplooien ter verbetering van het regelgevend en beleidskader inzake cyberveiligheid van slimme netwerken op nationaal en EU-niveau.
-
Aanbeveling 2. De EC zou zich in samenwerking met het Enisa en de lidstaten moeten inzetten voor de oprichting van een publiek-privaat partnerschap (PPP) om initiatieven op het gebied van cyberveiligheid van slimme netwerken te coördineren.
-
Aanbeveling 3. Het Enisa en de EC zouden bewustmakings- en trainingsinitiatieven moeten bevorderen.
-
Aanbeveling 4. De EC en de lidstaten zouden in samenwerking met het Enisa verspreidings- en kennisuitwisselingsinitiatieven moeten bevorderen.
-
Aanbeveling 5. De EC zou samen met het Enisa, de lidstaten en de particuliere sector op basis van bestaande normen en richtsnoeren een reeks minimale veiligheidsmaatregelen moeten ontwikkelen.
-
Aanbeveling 6. De bevoegde autoriteiten van de EC en de lidstaten zouden de ontwikkeling moeten aanmoedigen van beveiligingscertificeringsregelingen voor onderdelen, producten en beveiliging binnen organisaties.
-
Aanbeveling 7. De bevoegde autoriteiten van de EC en de lidstaten zouden de ontwikkeling van proefopstellingen en veiligheidsbeoordelingen moeten aanmoedigen.
-
Aanbeveling 8. De EC en de lidstaten zouden in samenwerking met het Enisa nader onderzoek moeten doen naar strategieën voor de coördinatie van grootschalige pan-Europese cyberincidenten die van invloed zijn op energienetwerken en deze strategieën vervolgens moeten verfijnen.
-
Aanbeveling 9. De bevoegde autoriteiten van de lidstaten zouden in samenwerking met CERT's stappen moeten zetten om CERT's in een adviserende rol te betrekken bij de aanpak van cyberveiligheidskwesties die energienetwerken treffen.
-
Aanbeveling 10. De bevoegde autoriteiten van de EC en de lidstaten zouden in samenwerking met de academische wereld en de O&O-sector onderzoek naar cyberveiligheid van slimme netwerken moeten bevorderen, steunend op bestaande onderzoeksprogramma's.
Verdere informatie: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
Referentiemateriaal:
ENISA
- Onderwijsrapporten http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
- CERT materiaal http://www.enisa.europa.eu/activities/cert/support/exercise
- Korte berichten http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software
- Cyberoefeningen http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
- Cloudrapporten http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
- Privacy http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat ;
- Rapporten over slimme netwerken http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
OVERIGE
- EUROBAROMETER 2011 http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
- Nationale gegevensbeschermingsautoriteiten http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm