ECSM - Recommendations for ALL - DA

I oktober fører EU kampagne for større sikkerhed på nettet. Kampagnen skal skabe opmærksomhed om cybersikkerhed blandt borgerne. Formålet er at ÆNDRE folks opfattelse af farer på internettet i dagligdagen – når man er på arbejde eller bruger internettet derhjemme.

Net- og informationssikkerhed for undervisere

Målgruppe
Vejledningen henvender sig til undervisere, dvs. instruktører, lærere, fagfæller, der beskæftiger sig med formel og uformel uddannelse, herunder livslang læring. Undervisernes vigtige rolle må ikke overses, når vi ser på, hvem der er aktiv inden for ikt!

Tips til undervisning i NIS

  • En ENISA-undersøgelse viser, at underviserne får de bedste resultater, hvis der er en kort introduktion efterfulgt af hands-on-øvelser,  historier og eksempler fra det virkelige liv, fuldtidsundervisning, der kan indeholde: rollespil, simulationsøvelser, gruppeaktiviteter, virksomhedsspil som led i eksamener, udvalg af gode videoer.
  • Udfordringer, der skal tackles:
    En forståelse at, at brugen af teknologi indebærer risici, og at disse risici ikke kun er personlige, men også kan have konsekvenser for andre mennesker. Det er vigtigt at forstå teknologien og ikke kun bruge den.
    Et nyt kort over ægte menneskelige forhold og adfærd på internettet: Netikette
    Overvej tværfaglig knowhow (juridisk, teknisk, organisatorisk osv.)

  • Mæglermodellen for NIS-uddannelse

Henstilling

  • Vi anbefaler, at undervisere og kursister indtager en positiv holdning
  • Dan partnerskaber mellem det offentlige og det private for at finansiere og udvikle opdaterede materialer og undervisningsforløb.

Læs mere: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Net- og informationssikkerhed for ansatte

Målgruppe
Uddannelse er afgørende for at holde informationssikkerhedseksperterne og det øvrige personale opdateret med den seneste udvikling på området og samtidig for at øge kvalifikationerne, så truslerne kan bekæmpes omkostningseffektivt.

Tips

  • Informationssikkerhed er et varmt emne, fordi det udvikler sig hastigt og påvirker alle menneskers hverdag på den ene eller anden måde. Folk skal have adgang til materialer, vejledninger og målrettede kurser om, hvordan de opnår et tilpas niveau for sikkerhed og beskyttelse af privatlivets fred, mens de udfører deres daglige aktiviteter, som i stigende grad er afhængige af informationsteknologien.
  • Når det drejer sig om beskyttelse af landenes livsvigtige tjenesteydelser og kommunikationsinfrastruktur, der sørger for, at vi får frisk vand, elektricitet og mulighed for at kommunikere, er der behov for eksperter, som kan finde og løse problemer og levere rådgivning. Når behovet opstår, er der meget stor efterspørgsel efter tjenester i forbindelse med sikkerhed, f.eks. beredskab, alarmer, advarsler og artefaktanalyser. I mange tilfælde er der behov for en it-beredskabsenhed (http://www.enisa.europa.eu/activities/cert/ ). Et hvert hold er afhængigt af holdmedlemmerne, og derfor er der konstant behov for at holde de ansattes, beredskabspersonalets og også undervisernes viden opdateret for at reagere på de nyeste trusler og afbøde dem hurtigst muligt og på den mest effektive måde.
  • Fra underviserens synspunkt giver rollen en god mulighed for at tage ud i "felten" og opleve virkeligheden fra flere perspektiver, da der bør være tovejskommunikation i klasseværelset. Erfaring og aktuel viden er afgørende for at skabe tillid blandt kursisterne. Feedback fra kurser viser, at deltagerne finder det meget vigtigt at høre eksempler fra det virkelige liv og bruge casestudier.
  • Der kan bruges forskellige metoder til at give informationer videre til deltagerne, f.eks. workshops, målrettede arrangementer eller blot adgang til selvstudiematerialer. Begge metoder har deres metoder, da selvstudier kan give mere fleksibilitet og nedsætte de samlede omkostninger. Workshops opmuntrer til kommunikation og giver gode muligheder for at udveksle erfaringer og viden. 

Henstilling

ENISA har holdt kurser på stedet for at støtte it-beredskabspersonalets og andre operationelle samfunds kapacitet. Der er offentliggjort uddannelsesmateriale på ENISA's website. 

Læs mere: http://www.enisa.europa.eu/activities/cert/support/exercise

Softwareopdateringer


Målgruppe

ENISA advarer om risikoen ved forældet software, der ikke længere opdateres ("discontinued software"), ikke kun på grund af den manglende støtte fra producenten, men også fra tredjemand, f.eks. producenter af antivirus eller andet software eller ydre computerenheder. Det vil føre til vedvarende sårbarhed og manglende mulighed for at opdatere de ydre enheder eller tredjepartsapplikationer.

Tips

  • Der er forskellige risici ved at bruge software, der ikke længere opdateres:
    Slutbrugerne kan ikke kontrollere softwarens integritet, fordi certifikaterne kan være udløbet. Hvis brugeren ikke kan kontrollere en softwarepakkes integritet, er der risiko for at blive angrebet af malware. Potentielt inficerede systemer kan sprede en infektion til hele nettet. Det kan også føre til, at sikkerhedspolitikken ikke overholdes.

  • Tab af støtte fra producenten af den software, der ikke længere opdateres, kan have følgende konsekvenser: brugere af forældede systemer får ikke sikkerhedsopdateringer eller -meddelelser. Der indsamles, indberettes eller analyseres ikke nye sikkerhedshuller, og derfor udsendes der ikke nye "patches". Således kan denne software være sårbar over for alle disse sikkerhedshuller helt uden beskyttelse. Manglende støtte fra producenter af tredjepartssoftware og hardware kan gøre det umuligt at bruge en platform, f.eks. fordi ukendte virus betyder, at den forældede software ikke fungerer. Hvis gamle styresystemer ikke kan fungere sammen med nye enheder, eller hvis der ikke findes drivere til de nye versioner af de ydre computerenheder, kan det forhindre brugerne i at opgradere brugte eller ødelagte enheder. Hvis der ikke længere findes støtte til de eksisterende enheder på en forældet platform, kan det være umuligt at tage den i brug igen, hvis den går ned. Hvis producenterne af tredjepartssoftware holder op med at understøtte installeret software, kan dette forhindre kunderne i at installere opdateringer eller patches til tredjepartssoftwaren. Dette gælder også for nye applikationer. Det er særlig alvorligt, hvis der ikke findes opdaterede versioner af software mod virus og malware.

Henstilling

  • It-cheferne bør altid holde systemerne opdateret med de seneste sikkerhedspatches. Software, der ikke længere opdateres, bør anses for en stor sikkerhedsrisiko for kritiske it-komponenter, og denne risiko bør afbødes ved at gå over til nyere løsninger eller andre platforme. Når der er tale om informationssystemer for kritiske infrastrukturer, kan risikoeksponeringen overføres til borgerne, og derfor har de it-ansvarlige et større ansvar.

  • Producenterne bør sikre, at der er tid nok til at foretage en overflytning. ENISA anbefaler kraftigt, at der i denne fase bruges forhåndsmeddelelser og en grundig analyse af de forventede konsekvenser for brugernes sikkerhed, når produktet ikke længere opdateres.

  • Brugerne bør sikre sig, at de har kendskab til og forstår den sikkerhedsrisiko, de udsætter sig for ved fortsat at bruge forældet software.

Læs mere: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Cyberøvelser for tekniske eksperter

Målgruppe

ENISA fungerer som fælleseuropæisk koordinator af cyberøvelser og har mere overordnet støttet udveksling af god praksis inden for cyberkrisesamarbejde og -øvelser. ENISA er drivkraften bag de fælleseuropæiske cyberøvelser, der kaldes Cyber Europe samt de fælles cyberøvelser mellem EU og USA, (Cyber Atlantic) og de årlige internationale konferencer om forskellige aspekter af cyberkrisesamarbejde og -øvelser. Indtil videre er der organiseret to cyberkriseøvelser, Cyber Europe 2010 og Cyber Europe 2012, og én øvelse mellem EU og USA, "Cyber Atlantic" i 2012. Den tredje fælleeuropæiske cyberkriseøvelse, Cyber Europe 2014 (CE2014) er i gang lige nu. Alle EU- og EFTA-interessenter fra både det offentlige og det private kan deltage, også EU's institutioner og organer. Der kan f.eks. være tale om myndigheder, der beskæftiger sig med cyberkriser, f.eks. cybersikkerhedsagenturer, nationale eller statslige it-beredskabsenheder, nationale reguleringsmyndigheder, private virksomheder og NIS-eksperter.

Henstilling

    • Cyber Europe 2012 var medvirkende til at styrke håndteringen af cyberkriser på europæisk plan.  Det er derfor vigtigt at gå videre med arbejdet og udvikle det europæiske område for cyberøvelser yderligere. I fremtiden bør cyberøvelserne udforske afhængigheder mellem forskellige sektorer og fokusere mere på bestemte samfund.
    • Cyber Europe 2012 gav mulighed for at samarbejde på internationalt plan og styrke det europæiske samfund, der styrer cyberkriser. For at skabe internationalt samarbejde er det nødvendigt at øge udvekslingen af god praksis inden for cyberøvelser, indhøstede erfaringer, knowhow og afholdelse af konferencer. Det vil skabe et stærkere samfund, der kan klare cyberkriser på tværs af landegrænserne.  Alle interessenter inden for internationalt cyberkrisesamarbejde skal oplæres i brug af procedurer, så de ved, hvordan de skal arbejde med dem. Der medvirkede også organisationer fra den private sektor, og det gav merværdi til øvelsen. Landene i EU og EFTA bør derfor overveje at inddrage det private erhvervsliv i fremtidige øvelser. 
    • Det europæiske samfund for cyberkrisestyring kan styrkes ved hjælp af input fra andre kritiske sektorer i Europa (f.eks. sundhed og transport), der er relevante for håndtering af større kriser.
    • Cyber Europe 2014: På grundlag af erfaringerne fra de to sidste fælleseuropæiske øvelser holdes der med CE2014 højt udviklede cyberøvelser i 2014 for med henblik på at: Teste de nuværende samarbejdsprocedurer og -mekanismer til at styre cyberkriser i Europa. Styrke kapaciteten på nationalt plan. Udforske det nuværende samarbejde mellem den private og den offentlige sektor. Analysere processerne for henholdsvis op- og nedtrapning (på teknisk, operationelt og strategisk plan). Forstå, hvilke offentlige spørgsmål der har forbindelse med større cyberangreb.

Læs mere: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Sikkerhed i skyen for alle digitale brugere


Målgruppe

De, som arbejder med informationssikkerhed i den offentlige og private sektor, og som har integreret tjenester i skyen ("cloud computing") i deres daglige arbejde, eller som vil overveje at indkøbe tjenester i skyen til deres virksomhed. Målgruppen indeholder også alle digitale brugere, der bruger almindelige populære tjenester i skyen, f.eks. sociale medier som Facebook, Instagram, Twitter og mange andre, så de ved, hvordan "cloud-modellen" fungerer, hvilke fordele og ulemper den har. De skal også kunne vurdere, hvilke slags informationer der kan eller ikke kan sendes "op i skyen". ENISA fokuserer i stigende grad på at hjælpe smv'er og offentlige myndigheder med at vurdere situationen, før de lægger indhold i skyen. 

Tips

ENISA anbefaler, at alle mulige brugere af tjenester i skyen gør følgende, når de diskuterer brugen af sådanne tjenester:

  • Hvilke tjenester kan bruges i skyen, og hvordan kan cloud computing bruges til at gøre hverdagen lettere (f.eks. skalerbarhed, meget stor lagerkapacitet, regelmæssig backup, interoperabilitet)?
  • Hvilke oplysninger kan lagres i skyen, og hvor vigtige er disse oplysninger for ejerne (f.eks. persondata, følsomme data og forretningsrelaterede data)?
  • Hvilke ulemper er der ved cloud computing, som kunne få konsekvenser for det daglige arbejde, og hvordan kan de afbødes?
  • Hvordan træffer man en begrundet beslutning om, hvilke tjenester i skyen der er behov for (IaaS, PaaS, SaaS), og hvordan er ens ansvar begrænset for hver type tjeneste?
  • Brug tid på at diskutere med udbyderen af tjenesten i skyen og kom til forståelse, som skal stå i serviceleveranceaftalen.

Henstilling

  • ENISA's publikationer udgør en god håndbog om, hvordan kunder, der bruger tjenester i skyen, kan beskytte deres aktiver og kende deres ansvar og rettigheder, når de bruger disse tjenester. 
  • Sikkerhed i skyen må anses for en af de største fordele ved at bruge skytjenester på grund af skalerbarheden.

Læs mere: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Privatliv for alle digitale brugere


Målgruppe

Digitale brugere. Alle brugere bør have de samme rettigheder online, som de har offline. De bør være klar over deres rettigheder online. De nationale databeskyttelsesmyndigheder er der for at beskytte brugerne.
“Enhver har ret til beskyttelse af personoplysninger om vedkommende selv” - artikel 16 i Lissabontraktaten

Tips

  • I henhold til EU's retlige rammer har borgerne i Den Europæiske Union en række rettigheder i det digitale miljø, f.eks. beskyttelse af persondata og privatliv, ytrings- og informationsfrihed.
  • Principperne for databeskyttelse og privatlivets fred overholdes ikke altid på nettet. Ifølge en Eurobarometerundersøgelse fra 2011 om holdningen til databeskyttelse og elektronisk identitet i EU mener 43 % af internetbrugerne, at de er blevet bedt om flere personoplysninger end nødvendigt, når de vil have adgang til eller bruge en tjeneste på internettet, og 70 % af europæerne er bekymrede over, at deres personoplysninger kan bruges til et andet formål, end de blev indsamlet til. 75 % af europæerne vil kunne slette personlige oplysninger på et website, når de selv beslutter at gøre det.
  • Udfordringer, der skal tackles: Folks handlinger svarer ikke altid til deres bekymringer for deres privatliv. Selv om brugerne er bekymrede for deres privatliv, kan de beslutte at dele personoplysninger for at købe varer eller tjenesteydelser til nedsat pris. Kun en tredjedel (33 %) af europæerne ved, at der findes en national offentlig myndighed, der har ansvar for at beskytte deres rettigheder med hensyn til personoplysninger. 
  • Endelig skal borgerne i EU også kunne konstatere, hvordan disse vigtige principper overtrædes, og de skal kunne tage de nødvendige skridt, f.eks. ved at udøve deres rettigheder som registrerede over for dataansvarlige, der ikke overholder reglerne, og i givet fald kunne klage til de kompetente myndigheder. Dette betyder også, at de registrerede skal have et bedre kendskab til forholdene, da det første skridt på vejen er, at de kender til og forstår betydningen af at sikre deres oplysninger mod unødvendig offentliggørelse.

Henstilling

Vi anbefaler, at brugerne skaffer sig kendskab til, hvordan deres rettigheder som registrerede krænkes, og at de tager de nødvendige skridt, bl.a. ved at indgive klage til de kompetente myndigheder, hvor det er muligt. Databeskyttelsesmyndighederne bør arbejde på at øge brugernes kendskab til deres rettigheder som følge af lovgivningen om databeskyttelse og de muligheder, retssystemet giver dem for at udøve disse rettigheder, bl.a. ved at klage, når der sker uforholdsmæssig indsamling og lagring af oplysninger.

Læs mere

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

EUROBAROMETER 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Nationale databeskyttelsesmyndigheder: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Sikre og smarte net

Målgruppe  

Alle henstillinger er rettet til Europa-Kommissionen, EU-landene, den private sektor og eksperter i kritisk infrastruktur.
Kritisk infrastruktur er et aktiv, et system eller en del deraf, der befinder sig i medlemslandene, og som er væsentlig for opretholdelsen af vitale samfundsmæssige funktioner og menneskers sundhed, sikkerhed og økonomiske eller sociale velfærd, og hvis afbrydelse eller ødelæggelse i væsentlig grad ville påvirke et medlemsland som følge af, at disse funktioner ikke kan opretholdes. Her følger henstillingerne om, hvordan smarte net kan gøres sikre.

Henstilling

  • Kommissionen og EU-landenes kompetente myndigheder bør tage initiativ til at forbedre de reguleringsmæssige og lovmæssige rammer om cybersikkerhed i smarte net, både nationalt og på EU-plan. 
  • Kommissionen bør samarbejde med ENISA og landene om at skabe et offentligt-privat partnerskab til koordinering af cybersikkerhedsinitiativer for smarte net.
  • ENISA og Kommissionen bør fremme opmærksomheds- og oplæringsinitiativer.
  • Kommissionen og landene bør sammen med ENISA fremme initiativer til udbredelse af kendskab og videndeling.
  • EC bør sammen med ENISA, EU-landene og den private sektor udvikle et grundlæggende sæt sikkerhedsforanstaltninger på grundlag af de gældende standarder og retningslinjer. 
  • Både Kommissionen og de kompetente myndigheder i EU-landene bør fremme udviklingen af sikkerhedscertificeringsordninger for komponenter, produkter og organisationssikkerhed.
  • Kommissionen og de kompetente myndigheder i EU-landene bør fremme udviklingen af afprøvningsfaciliteter og sikkerhedsvurderinger.
  • Kommissionen og EU-landene bør i samarbejde med ENISA undersøge og fintune strategierne til koordinering af storstilede europæiske cyberkriser, der påvirker forsyningsnettene. 
  • De kompetente myndigheder i EU-landene bør samarbejde med CERTs om at starte aktiviteter, så CERTs kan spille en aktiv rolle i håndteringen af cybersikkerhedsproblemer, der påvirker forsyningsnettene.
  • Kommissionen og de kompetente myndigheder i EU-landene bør sammen med de højere læreanstalter og forsknings- og udviklingssektoren fremme forskningen i cybersikkerhed i smarte net med udgangspunkt i de eksisterende forskningsprogrammer. 

Læs mere: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations

Referencer:

ENISA

  ANDET

 

Browse the Topics

This site uses cookies to offer you a better browsing experience.
Aside from essential cookies we also use tracking cookies for analytics.
Find out more on how we use cookies.

Accept all cookies Accept only essential cookies