ECSM - Recommendations for ALL - SL
Evropski mesec kibernetske varnosti je zagovorniška kampanja EU, ki poteka v oktobru. Namenjena je spodbujanju ozaveščanja državljanov o kibernetski varnosti. Njen cilj je SPREMENITI dojemanje kibernetskih groženj v vsakdanjem življenju – na delovnem mestu ali pri uporabi spleta zasebno.
Varnost omrežij in informacij za predavatelje
Cilj
Namenjena je predavateljem, ki so opredeljeni kot vodje usposabljanja, učitelji in strokovni kolegi, vključeni v formalno in neformalno izobraževanje, tudi v vseživljenjsko učenje. Pomembna vloga predavateljev ne sme biti izpuščena pri nobenem evidentiranju deležnikov na področju informacijske in komunikacijske tehnologije!
Nasveti za izobraževanje o varnosti omrežij in informacij
-
Izsledki raziskave agencije ENISA kažejo, da mora predavatelj za izvedbo „najboljšega predavanja“ pripraviti kratek uvod in uporabljati praktične vaje, zgodbe in resnične primere. V celoti poglobljena usposabljanja lahko vključujejo: igranje vlog, simulacijske vaje, delo v skupinah, poslovne simulacije kot sestavni del preverjanj in nabor dobrih video posnetkov.
-
Izzivi, ki jih je treba premagati, so:
razumevanje, da uporaba tehnologije lahko pomeni tveganja in da ta niso samo osebna, ampak lahko vplivajo tudi na druge ljudi. Pomembno je razumevanje tehnologije, ne le njena uporaba;ponovna vzpostavitev pravih človeških odnosov in vedenja na svetovnem spletu: omrežni bonton;
upoštevanje multidisciplinarnega strokovnega znanja (pravnega, tehničnega, organizacijskega itd.).
-
Posredniški model izobraževanja o varnosti omrežij in informacij:
Priporočili
- Priporočamo, da predavatelji in njihovi slušatelji razvijejo pristop „zmoremo“.
- Priporočamo tudi javno-zasebna partnerstva za financiranje in razvijanje posodobljenih gradiv in predavanj.
Dodatne informacije: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
Usposabljanje zaposlenih na področju varnosti omrežij in informacij
Cilj
Usposabljanje je bistveni del seznanjanja strokovnjakov s področja varnosti informacij in zaposlenih o najnovejših dogodkih na tem področju, pomembno pa je tudi za izboljšanje spretnosti pri boju proti grožnjam na stroškovno učinkovit način.
Nasveti
-
Varnost informacij je v sedanjih časih zelo pomembna tema, saj se zelo hitro razvija in se tako ali drugače dotika življenja vseh nas. Ljudje morajo imeti dostop do virov, učnih vaj, praktičnih nasvetov in navodil ter posebnega usposabljanja o tem, kako ohraniti ustrezno raven varnosti in zasebnosti pri vsakodnevnih dejavnostih, ki se čedalje bolj opirajo na informacijsko tehnologijo.
-
Ko gre za področja varovanja osnovnih storitev in komunikacijske infrastrukture držav, ki zagotavljajo pitno vodo, elektriko in možnost komuniciranja, je potrebno sodelovanje strokovnjakov, ki so sposobni odpravljati napake, reševati težave in dajati nasvete. Storitve, povezane z varnostjo informacij, kot so obravnavanje incidentov, alarmi, opozorila in ugotavljanje prisotnosti artefaktov, so zelo iskane, ko se pojavi potreba po njih. Ob mnogih priložnostih je potrebna pomoč skupine za odzivanje na računalniške grožnje (http://www.enisa.europa.eu/activities/cert/ ). Ker je vsaka skupina močna le toliko, kolikor so močni njeni člani, je treba posodabljati znanje zaposlenih, tistih, ki rešujejo težave, in vodij usposabljanj, da bi se lahko odzvali na najnovejše grožnje ter jih čim hitreje in učinkoviteje ublažili.
-
Kar zadeva vodje usposabljanj, imajo ti odlično priložnost, da grejo „na teren“ in dobijo občutek za resničnost z različnih vidikov, saj mora biti komunikacija v predavalnici obojesmerna. Izkušnje in najnovejše znanje so nenadomestljivi pri pridobivanju verodostojnosti slušateljev, saj glede na povratne informacije z usposabljanj ti zelo cenijo resnične primere in njihovo navajanje.
-
Za prenos informacij slušateljem se lahko uporabi več različnih metod, kot na primer organizacija delavnic, posebni dogodki ali preprost dostop do gradiva za samostojno učenje. Oba pristopa imata svoje prednosti, saj je lahko samostojno učenje dobro za zagotavljanje prožnosti in zmanjšanje skupnih stroškov, delavnice pa spodbujajo komunikacijo in ponujajo odlično priložnost za izmenjavo izkušenj in znanja udeležencev.
Priporočili
Agencija ENISA izvaja usposabljanja na terenu za podporo skupinam za odzivanje na računalniške grožnje in zagotavlja druge zmogljivosti operativnih skupnosti; učno gradivo je objavljeno na spletišču agencije ENISA.
Dodatne informacije: http://www.enisa.europa.eu/activities/cert/support/exercise
Posodobitve programske opreme
Cilj
Agencija ENISA opozarja na tveganja uporabe opuščene programske opreme, ne samo ker je ne podpira več njen proizvajalec, ampak tudi tretje osebe, kot so proizvajalci zaščitne in druge programske opreme ali dodatne računalniške opreme. Zato je stalno izpostavljena ranljivosti, prav tako ni mogoče posodobiti dodatne opreme ali programov tretjih oseb.
Nasveti
-
Uporaba opuščene programske opreme lahko povzroči izpostavljenost naslednjim tveganjem:
Končni uporabniki ne bodo mogli preveriti celovitosti programske opreme, ker bi lahko potekla digitalna potrdila; zaradi nezmožnosti preverjanja celovitosti programskih paketov bi bil uporabnik lahko izpostavljen zlonamerni programski opremi; morebitni okuženi sistemi lahko okuženost razširijo po vsem omrežju; to lahko tudi povzroči neskladnost z varnostnimi politikami. -
Izguba podpore izdelka, ki je proizvajalec programske opreme z opustitvijo ne zagotavlja več, bi lahko povzročila naslednje: uporabnikom opuščenih sistemov ne bodo več zagotovljene varnostne posodobitve ali obvestila; nove vrste ranljivosti se ne bodo več zbirale, o njih se ne bo več poročalo in ne bodo več analizirane, kar pomeni, da ne bodo izdani novi popravki; zato lahko opuščena programska oprema ostane za vedno izpostavljena vsaki taki ranljivosti, kot bi bila vektor napada ničelnega dne; pomanjkanje podpore programske opreme tretjih oseb in proizvajalcev strojne opreme lahko povzroči nezmožnost uporabe računalniškega okolja, na primer nepoznani hrošči lahko povzročijo prenehanje delovanja programske opreme; nezdružljivost starih operacijskih sistemov z novimi napravami; zaradi nerazpoložljivosti gonilnikov za nove različice dodatne opreme uporabniki rabljenih ali pokvarjenih naprav ne bodo mogli posodobiti ali zamenjati; ukinitev podpore obstoječi napravi opuščenega računalniškega okolja lahko povzroči, da naprave ob okvari ni več mogoče uporabljati; ukinitev podpore tretjih proizvajalcev za nameščeno programsko opremo lahko uporabnikom prepreči nadgradnjo ali namestitev popravkov z novejšimi različicami tudi v programski opremi tretje osebe. To velja tudi za nove programe. To je lahko zlasti pomembno, kadar ni na voljo posodobljenih različic protivirusnih programov in zaščite pred zlonamernimi programi.
Priporočili
-
Vodje na področju informacijske tehnologije morajo sisteme vedno posodabljati z najnovejšimi varnostnimi popravki. Opuščeno programsko opremo je treba šteti za opremo z visokim varnostnim tveganjem za kritične sestavne dele informacijske tehnologije, zato je treba tveganje zmanjšati s prehodom na novejše rešitve ali v druga računalniška okolja. V primeru sistemov kritične informacijske infrastrukture se lahko tveganje izpostavljenosti razširi na državljane, zato je odgovornost vodij na področju informacijske tehnologije toliko večja.
-
Proizvajalci morajo zagotoviti dovolj časa za prehod na nov program. V tej fazi agencija ENISA močno priporoča uporabo vnaprejšnjih opozoril in poglobljeno analizo pričakovanih posledic za varnost uporabnikov po opustitvi izdelka.
-
Uporabniki se morajo zavedati in razumeti, kakšnemu tveganju so izpostavljeni, če uporabljajo zastarelo programsko opremo.
Dodatne informacije: http://www.enisa.europa.eu/publications/flash-notes#b_start=0
Vaje za kibernetsko varnost za tehnične strokovnjake
Cilj
Agencija ENISA si prizadeva postati koordinator za vseevropske vaje za kibernetsko varnost in na splošno podpirati izmenjavo dobrih praks na področju sodelovanja v kibernetskih krizah in pri vajah. Je gonilna sila številnih vseevropskih vaj za kibernetsko varnost „Cyber Europe“ in skupnih vaj za kibernetsko varnost EU in ZDA („Cyber Atlantic“) ter mednarodnih konferenc, ki vključujejo teme s področja sodelovanja v kibernetskih krizah in pri vajah. Do zdaj sta bili organizirani dve vseevropski vaji za kibernetske krize, in sicer „Cyber Europe 2010“ in „Cyber Europe 2012“, ter ena vaja za kibernetsko varnost EU in ZDA v letu 2011, tj. „Cyber Atlantic“; zdaj poteka tretja vseevropska vaja za kibernetske krize, tj. „Cyber Europe 2014 (CE2014)“. Sodelujejo lahko vsi deležniki javnega in zasebnega sektorja držav EU in Efte, tudi institucije in organi EU. Primeri vključujejo, ampak niso omejeni na javne organe, ki se ukvarjajo s kibernetskimi krizami, kot so agencije za kibernetsko varnost, nacionalne ali vladne skupine za odzivanje na računalniške grožnje, nacionalni regulativni organi ter subjekti zasebnega prava in strokovnjaki za varnost omrežij in informacij.
Priporočili
-
Vaja „Cyber Europe 2012“ se je izkazala za koristno za izboljševanje vseevropskega obvladovanja kibernetskih incidentov. Zato je pomembno nadaljevati ta prizadevanja in v Evropi še naprej razvijati področje vaj za kibernetsko varnost. Na prihodnjih vajah za kibernetsko varnost bi bilo treba proučiti medsektorske odvisnosti in se bolj osredotočiti na posamezne skupnosti.
-
Vaja „Cyber Europe 2012“ je zagotovila priložnost za sodelovanje na mednarodni ravni in okrepitev evropske skupnosti za obvladovanje kibernetskih incidentov. Za spodbujanje mednarodnega sodelovanja je pomembno olajšati izmenjavo dobrih praks pri vajah za kibernetsko varnost, pridobljenih spoznanj, strokovnega znanja in izkušenj z organizacijo konferenc. To bo zagotovilo močnejšo skupnost, ki se bo sposobna spopadati z nadnacionalnimi kibernetskimi krizami. Vse deležnike na področju mednarodnega sodelovanja v kibernetskih krizah je treba usposobiti za uporabo postopkov, da bodo vedeli, kako jih ustrezno uporabljati. Vključenost organizacij iz zasebnega sektorja kot akterjev je tej vaji zagotovila dodano vrednost. Zato bi morale države članice EU in države Efte premisliti o vključitvi zasebnega sektorja v prihodnje vaje.
-
Evropsko skupnost za obvladovanje kibernetskih incidentov bi bilo mogoče okrepiti s prispevki drugih evropskih kritičnih sektorjev (npr. zdravstvenega in prevoznega), ki so pomembni za obvladovanje obsežnih kriz.
-
Vaja „Cyber Europe 2014“: na podlagi spoznanj, pridobljenih na prejšnjih dveh vseevropskih vajah, je CE2014 izredno dobro pripravljena vaja za kibernetsko varnost, ki poteka v letu 2014 in s katero bi lahko bili doseženi naslednji cilji: preverjanje veljavnih postopkov sodelovanja in mehanizmov za obvladovanje kibernetskih kriz v Evropi; povečanje zmogljivosti na nacionalni ravni; proučitev sedanjega sodelovanja med zasebnim in javnim sektorjem; analiza postopkov stopnjevanja in umirjanja (tehnična, operativna in strateška raven); razumevanje vprašanja v zvezi z javnimi zadevami, povezanimi z obsežnimi kibernetskimi napadi.
Dodatne informacije: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
Varnost v oblaku za vse uporabnike digitalnih storitev
Cilj
Ciljna skupina so pristojni za varnost informacij v javnem in zasebnem sektorju, ki uporabljajo storitve v oblaku in so jih vključili v vsakdanje življenje ali razmišljajo, da bi jih naročili za svoje podjetje. Naslavlja tudi vse uporabnike digitalnih storitev, ki uporabljajo splošno priljubljene storitve v oblaku (družbene medije itd.), kot so Facebook, Dropbox, Instagram, Twitter in številni drugi, da bodo spoznali delovanje računalništva v oblaku, njegove prednosti in slabosti ter da bodo lahko ocenili, katere informacije lahko shranijo v oblak oziroma katerih ne smejo. Agencija ENISA se bolj osredotoča na podporo malim in srednjim podjetjem ter organom javne uprave, da bodo pred prehodom v oblak lahko ocenili stanje.
Nasveti
Agencija ENISA vsem morebitnim uporabnikom oblaka priporoča, naj pri odločanju o storitvah v oblaku storijo naslednje:
-
razmislijo, katere storitve so primerne za oblak in kakšne so koristi računalništva v oblaku, ki bodo olajšale vsakodnevno življenje (npr. nadgradljivost, veliko prostora za shranjevanje, redno varnostno kopiranje in interoperabilnost);
-
razmislijo, katere vrste informacij bodo prenesene v oblak in kako pomembne so te informacije za njihove imetnike (npr. osebni, občutljivi ali poslovni podatki);
-
razmislijo, katere so slabosti računalništva v oblaku, ki bi lahko zelo vplivale na vsakodnevno delo, in poiščejo načine za njihovo ublažitev;
-
razmislijo, kako sprejeti informirano odločitev o vrsti storitve v oblaku, ki jo potrebujejo (IaaS, PaaS, SaaS), in se podučijo, katere so njihove omejitve dolžnosti pri vsaki vrsti storitve;
-
dovolj časa naj posvetijo temu, da se s svojim ponudnikom storitev v oblaku pogovorijo in dogovorijo o skupnem razumevanju ter ta dogovor vključijo v sporazum o ravni storitve.
Priporočili
-
Publikacije o varnosti v oblaku agencije ENISA so dober priročnik o tem, kako lahko vsi uporabniki oblaka zavarujejo svojo lastnino ter spoznajo svoje dolžnosti in pravice pri uporabi storitev v oblaku.
-
Zaradi nadgradljivosti je treba varnost v oblaku šteti za eno največjih koristi pri naročanju storitev v oblaku.
Dodatne informacije: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
Zasebnost za vse uporabnike digitalnih storitev
Cilj
Ciljna skupina so vsi uporabniki digitalnih storitev. Uporabniki imajo na spletu enake pravice kot drugod; zavedati se morajo svojih pravic na spletu. Nacionalni organi za varstvo podatkov so na voljo za pomoč uporabnikom.
„Vsakdo ima pravico do varstva osebnih podatkov, ki se nanašajo nanj.“ – člen 16 Lizbonske pogodbe
Nasveti
-
V skladu s pravnim okvirom EU uživajo državljani Evropske unije vrsto pravic v digitalnem okolju, kot so varstvo osebnih podatkov in zasebnosti ter svoboda izražanja in obveščanja.
-
Načela varstva podatkov in zasebnosti na spletu niso vedno upoštevana. Raziskava Eurobarometer 2011 o odnosu do varstva podatkov in elektronske identitete v EU je pokazala, da je 43 % uporabnikov spleta menilo, da je bilo pri dostopanju ali uporabi spletne storitve zahtevanih več osebnih podatkov, kot bi bilo potrebno, 70 % Evropejcev pa skrbi, da bi lahko bili njihovi osebni podatki uporabljeni za namen, ki ni tisti, za katerega so bili zbrani. 75 % Evropejcev želi zbrisati osebne podatke na spletišču, kadar se za to odločijo.
-
Izzivi, ki jih je treba premagati, so: dejanja posameznikov ne izražajo vedno njihovih skrbi glede zasebnosti; kljub temu da so uporabniki zaskrbljeni glede svoje zasebnosti, se lahko odločijo, da svoje osebne podatke posredujejo za nabavo storitev ali blaga s popustom. Samo tretjina (33 %) Evropejcev pozna nacionalne javne organe, pristojne za varstvo pravic v zvezi s svojimi osebnimi podatki.
-
Evropske državljane je treba tudi naučiti, da bodo prepoznali prakse, ki kršijo ta pomembna načela, in ustrezno ukrepali, vključno z uveljavljanjem svojih pravic kot posamezniki, na katere se nanašajo podatki, pri upravljavcih neskladnih podatkov in s sporočanjem pritožb pristojnim organom, kadar je to potrebno. To tudi pomeni, da se je povečalo zavedanje posameznikov, na katere se nanašajo osebni podatki, saj je prvi korak na tej poti zagotovitev, da se zavedajo in razumejo, kako pomembna je zaščita varstva podatkov pred nepotrebnim razkritjem.
Priporočili
Uporabnikom priporočamo, da prepoznajo prakse, ki kršijo pravico do varovanja podatkov, ki se nanašajo nanje, in da ustrezno ukrepajo, vključno s sporočanjem pritožb pristojnim organom, kadar je to potrebno. Organi za varstvo podatkov bi si morali prizadevati za izboljšanje ozaveščenosti uporabnikov o njihovih pravicah, ki izhajajo iz zakonodaje o varstvu podatkov, in možnostih, ki jim jih ponuja pravni sistem pri uveljavljanju njihovih pravic, vključno s pritožbami v primerih pretiranega pridobivanja in hranjenja osebnih podatkov
Dodatne informacije
http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat
EUROBAROMETER 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Nacionalni organi za varstvo podatkov: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm
Varna inteligentna energetska omrežja
Cilj
Vsa priporočila so naslovljena na Evropsko komisijo (Komisija), države članice, zasebni sektor in strokovnjake za kritično infrastrukturo.
„Kritična infrastruktura“ pomeni infrastrukturno zmogljivost, sistem ali njun del, ki se nahaja v državah članicah in je bistven za vzdrževanje ključnih družbenih funkcij, zdravja, varnosti, zaščite, gospodarske in družbene blaginje ljudi ter katerih okvara ali uničenje bi imelo v državi članici resne posledice zaradi nezmožnosti vzdrževanja teh funkcij. V nadaljevanju so navedena priporočila o varnih inteligentnih energetskih omrežjih.
Priporočili
-
Priporočilo 1. Komisija in pristojni organi držav članic bi morali prevzeti pobudo za izboljšanje regulativnega in političnega okvira o kibernetski varnosti inteligentnega energetskega omrežja na nacionalni ravni in ravni EU.
-
Priporočilo 2. Komisija bi morala v sodelovanju z agencijo ENISA in državami članicami spodbujati ustanavljanje javno-zasebnih partnerstev, ki bi usklajevala pobude o kibernetski varnosti inteligentnega energetskega omrežja.
-
Priporočilo 3. Agencija ENISA in Komisija bi morali spodbujati večjo ozaveščenost in dajati pobude za usposabljanja.
-
Priporočilo 4. Komisija in države članice bi morale v sodelovanju z agencijo ENISA spodbujati ukrepe za razširjanje in izmenjavo znanja.
-
Priporočilo 5. Komisija bi morala v sodelovanju z agencijo ENISA, državami članicami in zasebnim sektorjem oblikovati minimalni sklop varnostnih ukrepov, ki bi temeljili na veljavnih standardih in smernicah.
-
Priporočilo 6. Komisija in pristojni organi držav članic bi morali spodbujati razvoj varnostnih shem za potrjevanje sestavnih delov, izdelkov in organizacijske varnosti.
-
Priporočilo 7. Komisija in pristojni organi držav članic bi morali spodbujati uvajanje preskusnih naprav in ocenjevanje varnosti.
-
Priporočilo 8. Komisija in države članice bi morale v sodelovanju z agencijo ENISA še naprej proučevati in izboljševati strategije za usklajevanje obsežnih vseevropskih kibernetičnih incidentov, ki prizadenejo energetska omrežja.
-
Priporočilo 9. Pristojni organi držav članic bi morali v sodelovanju s skupinami za odzivanje na računalniške grožnje začeti dejavnosti za vključitev skupin za odzivanje na računalniške grožnje tako, da bi te prevzele svetovalno vlogo pri obravnavanju vprašanj kibernetske varnosti, ki zadevajo energetska omrežja.
-
Priporočilo 10. Komisija in pristojni organi držav članic bi morali v sodelovanju z akademskim svetom in sektorjem raziskav in razvoja spodbujati raziskave na področju kibernetske varnosti inteligentnih energetskih omrežij, od česar bi imeli koristi tudi sedanji raziskovalni programi.
Dodatne informacije: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
References:
ENISA
- Poročila o izobraževanju http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
- Gradivo skupine za odzivanje na računalniške grožnje http://www.enisa.europa.eu/activities/cert/support/exercise
- Flash Notes http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software
- Vaje za kibernetsko varnost http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
- Poročila o računalništvu v oblaku http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
- Zasebnost http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat ;
- Poročila o inteligentnih energetskih omrežjih http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
OTHER
- EUROBAROMETER 2011 http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
- Nacionalni organi za varstvo podatkov: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm