ECSM - Recommendations for ALL - SV

European Cyber security month (ECSM) är en informationskampanj som anordnas av EU oktober 2014. Syftet är att öka medvetenheten om itsäkerhet bland allmänheten. Kampanjens mål är att FÖRÄNDRA uppfattningarna om it-säkerhetshot i vardagen – vare sig du använder internet på arbetsplatsen eller i hemmet.

Nät- och informationssäkerhet för utbildare

Målgrupp
Den här delen av kampanjen riktar sig till utbildare, det vill säga lärare och andra verksamma inom formell och icke-formell utbildning, inklusive livslångt lärande. Utbildarnas viktiga roll får inte glömmas bort i något sammanhang som gäller IKT-aktörer!

Tips för utbildning om nät- och informationssäkerhet

  • Resultaten från en av Enisas undersökningar visar att utbildare bör tänka på följande för att göra handledningen så effektiv som möjligt: korta introduktioner och praktiska övningar, berättelser och exempel ur verkliga livet. En heltäckande praktisk lektion kan omfatta rollspel, simulationsövningar, grupparbeten och företagsspel som en del av slutproven, en lämplig blandning av bra videofilmer osv.
  • Utmaningar: Det är viktigt att förstå att teknikanvändningen medför risker och att riskerna inte bara rör användaren personligen, utan också kan påverka andra. Det är alltså viktigt att förstå tekniken och inte bara att kunna använda den. Förändra människors relationer och beteenden på internet: nätetikett. Eventuellt anlita tvärvetenskaplig expertis (juridisk, teknisk, organisatorisk osv.).
  • Modell för utbildning i nät- och informationssäkerhet

Rekommendationer

  • Vi rekommenderar utbildare och elever att ha en positiv inställning. Allt är möjligt!
  • Söka offentlig-privata partnerskap för finansiering och utveckling av aktuellt utbildningsmaterial och utbildningar.

Mer information: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Utbildning i nät- och informationssäkerhet för anställda

Målgrupp
Utbildning är viktigt för att uppdater både informationssäkerhetsexperter och anställda om den senaste utvecklingen på området och för att höja kompetensen så att hot kan bekämpas på ett kostnadseffektivt sätt.

Tips

  • Informationssäkerhet är en brännande fråga i våra dagar eftersom utvecklingen på området går mycket snabbt och it-säkerhet på ett eller annat sätt påverkar alla. Allmänheten behöver tillgång till resurser, handledning och konkreta tips. Det krävs dessutom särskild utbildning om hur man upprätthåller en godtagbar säkerhets- och integritetsnivå i vardagen, eftersom vi blir alltmer beroende av informationsteknik.
  • I fråga om skyddet av ländernas centrala samhällstjänster och kommunikationsinfrastruktur, t.ex. tillhandahållande av dricksvatten och el samt kommunikationsmöjligheter, krävs experter som kan lokalisera och lösa problem och bistå med råd. Det råder stor efterfrågan på tjänster med inriktning på it-säkerhet, såsom incidenthantering, larm, varningar och artefaktanalyser när behov uppstår. I många sammanhang föreligger ett behov av incidenthanteringsorganisationer (Cert) (http://www.enisa.europa.eu/activities/cert/). Eftersom det är medlemmarna som utgör gruppens styrka, är det viktigt att kunskapsbasen för anställda, säkerhetspersonal och utbildare hålls aktuell så att dessa grupper är rustade för att reagera på de senaste hoten och så snabbt och kostnadseffektivt som möjligt. begränsa effekterna därav.
  • Eftersom kommunikationen vid utbildningstillfällena bör vara dubbelriktad, får du som utbildare ett värdefullt tillfälle att ˮkomma ut på fältetˮ och uppleva verkligheten ur olika perspektiv. Erfarenhet och aktuell kunskap är ett absolut måste för att vinna kursdeltagarnas förtroende. Kursutvärderingar visar att deltagare uppskattar fallstudier med exempel ur verkliga livet och från olika användningsområden.
  • Du kan använda olika metoder för att förmedla informationen till kursdeltagarna, t.ex. seminarier, särskilda evenemang eller självstudiematerial. Båda metoderna har sina fördelar, men självstudiematerial har fördelen att det är flexibelt och minskar den totala kostnaden. Samtidigt uppmuntrar seminarier till kommunikation och ger deltagarna ett utmärkt tillfälle att dela med sig av sin erfarenhet och kunskap.

Rekommendationer

Enisa anordnar utbildningar på plats för att stödja incidenthanteringsorganisationer och andra operativa organisationers kapacitet. Utbildningsmaterialet publiceras på Enisas webbplats.

Mer information: http://www.enisa.europa.eu/activities/cert/support/exercise

Uppdateringar av programvara


Målgrupp

Enisa varnar för riskerna med att använda föråldrad programvara. Man måste ha klart för sig att inte bara tillverkarna drar in sin support, utan även tredjeparter, t.ex. tillverkare av skydd mot sabotageprogram, andra programvarutyper eller kringutrustning för datorer. Detta leder till en ständig sårbarhetsexponering och obefintliga möjligheter att uppdatera kringutrustning eller tredjepartstillämpningar.

Tips

  • Användning av föråldrad programvara medför exponering för följande risker:
    Slutanvändarna kan inte kontrollera programvarans integritet eftersom certifikaten kan ha löpt ut. Om användarna inte kan kontrollera programvarupaketets integritet, kan de exponeras för sabotageprogram. Eventuellt infekterade program kan sprida infektionen i hela nätverket, vilket i sin tur kan leda till att säkerhetspolicyn i praktiken frångås.

  • Indragen support från tillverkaren av den föråldrade programvaran kan leda till följande: Användare av system som inte längre understöds får inga säkerhetsuppdateringar eller nyheter. Tillverkarna kartlägger, rapporterar och analyserar inte längre nya sårbarheter, vilket innebär att inga nya säkerhetslösningar lanseras. Detta leder i sin tur till att den föråldrade programvaran för alltid fortsätter att vara exponerad för sårbarheter, som om den var en dagnollattackvektor. Om underhållet av programvaran från tredjeparter och maskinvarutillverkare dras in, kan detta leda till att plattformen inte längre kan användas, t.ex. kan den föråldrade programvaran sluta att fungera p.g.a. att okända buggar och gamla operativsystem blir inkompatibla med ny utrustning. Om det saknas drivrutiner för nya versioner av kringutrustning, kan användarna inte uppgradera eller ersätta använda apparater eller apparater som gått sönder. Indraget underhåll för befintliga apparater i den föråldrade plattformen kan leda till att de inte längre kan användas i samband med driftsstörningar. Om tredjepartstillverkare drar in underhållet av installerad programvara kan detta även leda till att kunderna inte heller kan uppgradera programvaran eller komplettera programvara från tredjeparter med nyare versioner. Detsamma gäller nya tillämpningar, vilket kan bli särskilt allvarligt om det saknas uppdaterade versioner av antivirus- och sabotageprogramlösningar.

Rekommendationer

  • It-chefer bör alltid se till att systemen är uppdaterade med de senaste säkerhetslösningarna. Föråldrad programvara bör betraktas som en hög säkerhetsrisk för kritiska it-komponenter, vilken bör begränsas genom migrering till nyare lösningar eller andra plattformar. När det gäller informationssystem för kritiska infrastrukturer kan exponeringsrisken breddas till att omfatta medborgarna, vilket innebär ett ökat ansvar för it-chefer.
  • Tillverkarna bör se till att det ges tillräckligt med tid för migreringen. Under denna fas rekommenderar Enisa starkt användning av såväl förhandsmeddelanden som djupgående analyser av de förväntade effekterna på användarsäkerheten när produkten inte längre tillhandahålls.
  • Användarna bör försäkra sig om att de känner till och förstår den säkerhetsrisk som de exponerar sig för genom att fortsätta använda inaktuell programvara.

Mer information: http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software

It-säkerhetsövningar för tekniska experter

Målgrupp

Enisa har åtagit sig att fungera som en Europatäckande kontaktpunkt för övningar och mer allmänt att stödja utbytet av god praxis på området samarbete och övningar kring it-kriser. Enisa är drivkraften bakom de Europatäckande it-säkerhetsövningarna Cyber Europe den gemensamma cyberövningen EU–USA (Cyber Atlantic) och den årliga International Conferences om samarbete och övningar vid it-kriser. Hittills har två Europatäckande krisövningar anordnats, Cyber Europe 2010 och Cyber Europe 2012, och en cyberövning för EU–USA, ”Cyber Atlantic” 2011. Den tredje Europatäckande krisövningen, Cyber Europe 2014 (CE2014), löper för närvarande. Alla aktörer från den offentliga och privata sektorn i EU- och Eftaländerna kan delta, också EU:s institutioner och organ. Några exempel på deltagare är myndigheter med ansvar för it-kriser, såsom it-säkerhetsorgan, nationella eller statliga organisationer för incidenthantering, nationella tillsynsmyndigheter, organisationer från den privata sektorn och experter på nät- och informationssäkerhet.

Rekommendationer

  • Cyber Europe 2012 gav värdefulla erfarenheter som kan stärka den alleuropeiska incidenthanteringen. Det är därför viktigt att fortsätta med dessa insatser och vidareutveckla de europeiska it-säkerhetsövningarna. I framtida övningar bör man undersöka beroendeförhållanden mellan olika sektorer, och övningarna bör vara mer inriktade på särskilda målgrupper.
  • Cyber Europe 2012 gav möjlighet till samarbete på internationell nivå och en förstärkning av de europeiska incidenthanteringsaktörernas ställning. För att främja internationellt samarbete är det viktigt att underlätta utbytet av god praxis om it-säkerhetsövningar, lärdomar, sakkunskap och anordnande av konferenser. Detta kommer att stärka it-säkerhetsorganen så att de kan hantera transnationella it-kriser. Alla aktörer inom det internationella it-säkerhetssamarbetet bör få utbildning i hur de relevanta förfarandena ska användas så att de kan arbeta med dem på rätt sätt. Det var av särskilt värde att organisationer från den privata sektorn deltog i övningen som aktörer. EU-medlemsstaterna och Efta-länderna bör därför överväga att involvera den privata sektorn i framtida övningar.
  • De europeiska incidenthanteringsorganen kan stärkas med hjälp av bidrag från andra viktiga sektorer i Europa (t.ex. hälsa och transport) som är relevanta för hanteringen av storskaliga kriser.
  • Cyber Europe 2014: Cyber Europe 2014 bygger vidare på lärdomarna från de två föregående Europatäckande övningarna. Övningarna under 2014 är mycket avancerade och har följande mål: testa de befintliga förfarandena och mekanismerna för samarbetet om hantering av it-kriser i Europa, stärka kapaciteten på nationell nivå, utforska det befintliga samarbetet mellan den offentliga och den privata sektorn, analysera eskalering och eskaleringsförfaranden (teknisk, operativ och strategisk nivå) och ge insikter i de samhällsproblem som hänger samman med storskaliga cyberattacker.

Mer information: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Molnsäkerhet för alla användare av digitala tjänster


Målgrupp

Ansvariga för it-säkerheten inom den offentliga och den privata sektorn som har integrerat molntjänster i sitt dagliga arbete eller kan tänka sig att upphandla molntjänster för sin verksamhet. Målgruppen omfattar även alla användare av vanliga populära molntjänster (sociala medier osv.), t.ex. Facebook, Dropbox, Instagram, Twitter och många andra tjänster, så att de vet hur molnmodellen fungerar och känner till för- och nackdelarna med den. Syftet är att de ska kunna bedöma vilken typ av information som inte bör placeras i ”molnet”. Enisa inriktar sig mer på att hjälpa små och medelstora företag och offentliga förvaltningar att bedöma situationen innan de går över till att använda molntjänster.

Tips

Enisa rekommenderar alla eventuella molnanvändare att tänka på följande när de diskuterar molntjänster:

  • Vilka tjänster kan ingå i molnet och vilka fördelar har molndatorer som kan underlätta det dagliga arbetet (t.ex. skalbarhet, enorma lagringsmöjligheter, regelbundna säkerhetskopior och driftskompatibilitet).
  • Vilken typ av information kommer att flyttas till molnet och hur viktig är denna information för ägarna (t.ex. personuppgifter, känsliga uppgifter och affärsrelaterade uppgifter)?
  • Har molndatorer några nackdelar som allvarligt kan påverka det dagliga arbetet och hur kan dessa risker i så fall begränsas?
  • Hur fattar du ett välgrundat beslut om vilken typ av molntjänst du behöver (IaaS, PaaS eller SaaS)? Här är det viktigt att du sätter dig in i gränserna för ditt ansvar för varje typ av tjänst.
  • Ta dig tid att diskutera med din molntjänstleverantör och enas om en gemensam överenskommelse som ni formaliserar i ett servicenivåavtal.

Rekommendationer

  • Enisas publikationer om molnsäkerhet är en användbar handbok för alla molntjänstkunder som vill skydda sina tillgångar och sätta sig in i sina ansvarsskyldigheter och rättigheter när de använder molntjänster.
  • Molnsäkerhet måste, tack vare skalbarheten, betraktas som en av de största fördelarna vid upphandlingen av molntjänster.

Mer information: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Integritet för alla användare av digitala tjänster


Målgrupp

Målgruppen är användare av digitala tjänster. Användarna har samma rättigheter på nätet som utanför nätet – det är viktigt att de känner till sina näträttigheter. Nationella uppgiftsskyddsmyndigheter är till för att stödja användarna.

“Var och en har rätt till skydd av de personuppgifter som rör honom eller henne” - artikel 16 i Lissabonfördraget

Tips

  • Enligt EU:s regelverk har Europeiska unionens medborgare en rad rättigheter i den digitala miljön, t.ex. skydd av personuppgifter och integritet, uttrycksfrihet och informationsfrihet.
  • Principerna för uppgiftsskydd och integritet respekteras inte alltid på nätet. Enligt en Eurobarometerundersökning om attityder till uppgiftsskydd och elektroniska identiteter i EU från 2011 uppger 43 procent av användarna att de har ombetts lämna ut fler personuppgifter än nödvändigt när de fått åtkomst till eller använt en nättjänst, och 70 procent av européerna är oroliga för att deras personuppgifter kan komma att användas för andra ändamål än de som de samlades in för. 75 procent av européerna vill ha möjligheten att kunna radera personuppgifter på en webbplats när de vill.
  • Problem att tänka på: En individs oro för sin integritet framgår inte alltid av des handlande. Även om användarna kan känna oro kan de ändå bestämma sig för att uppge personuppgifter om de vill köpa rabatterade tjänster eller varor. Bara en tredjedel (33 procent) av européerna är medvetna om att det finns en nationell myndighet med ansvar för att skydda deras rättigheter på personuppgiftsområdet.
  • EU-medborgarna behöver slutligen också stärkas i sin förmåga att känna igen metoder som innebär att dessa viktiga principer inte efterlevs och vidta lämpliga åtgärder. Detta kan bl.a. ske genom att de utövar sina rättigheter som registrerade gentemot registeransvariga som bryter mot reglerna och genom att lämna in klagomål till de behöriga myndigheterna om så krävs. Detta innebär även att de registrerade måste göras medvetna om sina rättigheter, eftersom de först måste känna till och förstå hur viktigt det är att skydda personuppgifter mot onödigt offentliggörande.

Rekommendationer

Vi rekommenderar användarna att identifiera vilka metoder som innebär överträdelser av deras rättigheter som registrerade och vidta lämpliga åtgärder, bl.a. genom att lämna in klagomål till de behöriga myndigheterna om så krävs. Dataskyddmyndigheterna bör arbeta för att förbättra användarnas kunskap om sina rättigheter enligt uppgiftsskyddslagstiftningen och om rättssystemets möjligheter att utöva dessa rättigheter, bl.a. rätten att klaga på överdriven insamling och lagring av personuppgifter.

Mer information

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

Eurobarometerundersökning 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Nationella uppgiftsskyddsmyndigheter: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Säkra smarta nät

Målgrupp  

Alla rekommendationer riktas till Europeiska kommissionen, medlemsstaterna, den privata sektorn och experter på kritiska infrastrukturer.

Kritiska infrastrukturer är anläggningar, system eller delar av dessa belägna i medlemsstaterna som är nödvändiga för att upprätthålla centrala samhällsfunktioner, hälsa, säkerhet, trygghet och människors ekonomiska eller sociala välfärd och där driftsstörning eller förstörelse av dessa skulle få betydande konsekvenser i en medlemsstat till följd av att man inte lyckas upprätthålla dessa funktioner. Nedan följer rekommendationer om säkra smarta nät.

Recommendations

  • Europeiska kommissionen och medlemsstaternas behöriga myndigheter bör ta initiativ för att förbättra regelverket och den politiska ramen för it-säkerhet i smarta nät på både nationell nivå och EU-nivå.
  • Kommissionen bör i samarbete med Enisa och medlemsstaterna främja inrättandet av ett offentlig-privat partnerskap för att samordna initiativen på området it-säkerhet i smarta nät.
  • Enisa och kommissionen bör främja informations- och utbildningsinitiativ.
  • Kommissionen och medlemsstaterna bör i samarbete med Enisa främja initiativ för spridning och utbyte av kunskap.
  • Kommissionen bör i samarbete med Enisa och medlemsstaterna samt den privata sektorn ta fram en minimiuppsättning säkerhetsåtgärder som baseras på befintliga standarder och riktlinjer.
  • Både kommissionen och medlemstaternas behöriga myndigheter bör främja utvecklingen av säkerhetscertifieringssystem för komponenter, produkter samt organisatorisk säkerhet.
  • Kommissionen och medlemsstaternas behöriga myndigheter bör främja inrättande av testbäddar och säkerhetsbedömningar.
  • Kommissionen och medlemsstaterna bör i samarbete med Enisa ytterligare undersöka och finslipa strategierna för att samordna insatserna vid storskaliga Europaomfattande säkerhetsincidenter som påverkar strömförsörjningsnäten.
  • Medlemsstaternas behöriga myndigheter bör i samarbete med incidenthanteringsorganisationerna vidta åtgärder så att dessa görs delaktiga och kan spela en rådgivande roll i hanteringen av it-säkerhetsproblem som påverkar strömförsörjningsnäten.
  • Kommissionen och medlemstaternas behöriga myndigheter bör i samarbete med den akademiska världen och FoU-sektorn främja forskning om it-säkerhet i smarta nät genom att bygga vidare på befintliga forskningsprogram.

Mer information: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations

Hänvisningar:

ENISA

 Övrigt

 

Browse the Topics

This site uses cookies to offer you a better browsing experience.
Aside from essential cookies we also use tracking cookies for analytics.
Find out more on how we use cookies.

Accept all cookies Accept only essential cookies