ECSM - Recommendations for ALL - LT

Published under European Cybersecurity Month

EKSM – tai spalio mėnesį vykdoma ES populiarinimo kampanija. Jos paskirtis – padėti piliečiams geriau suprasti kibernetinio saugumo reikšmę. Jos tikslas – PAKEISTI kasdieniame gyvenime – naudojantis internetu tiek darbe, tiek namuose – kylančios kibernetinės grėsmės suvokimą.

Tinklų ir informacijos saugumas švietėjams

Tikslinė grupė
Skiriama švietėjams, t. y. dėstytojams, mokytojams, taip pat formaliojo ir neformaliojo švietimo veikloje, įskaitant mokymosi visą gyvenimą veiklą, dalyvaujantiems bendramoksliams. Apibrėžiant IRT suinteresuotųjų šalių grupes nedera pamiršti reikšmingo švietėjų vaidmens!

Tips for NIS Education

ENISA atliktas tyrimas rodo, kad, siekdamas geriausio rezultato, švietėjas turėtų: pateikti trumpą įžangą ir pasiūlyti pratybas, tikras istorijas ir gyvenimiškus pavyzdžius; kad būtų įtraukus, užsiėmimas galėtų susidėti iš šių elementų: užduočių pasidalijant vaidmenis, imitavimo pratimų, veiklos grupėse, verslo simuliavimo žaidimo (kaip egzamino dalies), įvairios tinkamos vaizdo medžiagos.
Į ką būtina atsižvelgti:
reikia suprasti, kad naudojimasis technologijomis susijęs su grėsmėmis ir kad tos grėsmės gali ne tik kilti pačiam besinaudojančiajam, bet ir paveikti kitus. Svarbu ne tik mokėti naudotis technologijomis, bet ir jas suprasti,
tikrus žmonių santykius ir elgseną reikia perkelti į internetą: tinklo etiketas (angl. netiquette),
reikia naudotis daugiadalyke kompetencija (teisine, technine, organizacine ir t. t.).
Tarpininkavimas TIS švietimo srityje

Rekomendacija

Švietėjams ir jų studentams rekomenduojame vadovautis požiūriu „aš galiu“;\
įgyvendinant viešojo ir privačiojo sektorių partnerystę finansuoti ir rengti aktualią medžiagą ir užsiėmimus.

Daugiau informacijos: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Darbuotojams skirti tinklų ir informacijos saugumo mokymai

Tikslinė grupė
Mokymai yra labai svarbūs siekiant, kad ir informacijos saugumo ekspertai, ir darbuotojai būtų informuojami apie šios srities naujoves ir kad būtų ugdomi jų gebėjimai ekonomiškai racionaliai kovoti su grėsmėmis.

Patarimai

Šiais laikais informacijos saugumas yra „karšta“ tema, nes tai sritis, kuri labai sparčiai kinta ir vienaip ar kitaip veikia kiekvieno žmogaus gyvenimą. Žmonėms turi būti sudarytos sąlygos gauti išteklių, mokomosios medžiagos, instrukcijų ir specializuotą mokymą tema, kaip kasdienėje veikloje, kuri vis dažniau grindžiama informacinėmis technologijomis, užsitikrinti pakankamą saugumą ir privatumą.
Kad būtų galima užtikrinti valstybių gyvybiškai svarbių paslaugų ir ryšių infrastruktūros, per kurią gauname gėlą vandenį, elektros energiją ir galimybę bendrauti, apsaugą, reikalingi ekspertai, galintys pašalinti nesklandumus, išspręsti problemas ir patarti. Kai kyla problemų, su informacijos saugumu susijusios paslaugos, tokios kaip incidentų valdymas, perspėjimas, įspėjimas ir artefaktų analizė, tampa labai paklausios. Dažnai prireikia kompiuterinių incidentų tyrimo tarnybos (http://www.enisa.europa.eu/activities/cert/) paslaugų. Kiekviena komanda stipri tiek, kiek stiprūs jos nariai, todėl siekiant, kad būtų tinkamai reaguojama į naujausias grėsmes ir kad jos būtų kuo greičiau ir kuo veiksmingiau sušvelninamos, darbuotojų, nesklandumų šalintojų ir dėstytojų žinias reikia nuolat atnaujinti.
Dėstytojų padėtis išsiskiria tuo, kad jie turi puikią galimybę susipažinti su dalyku ir jį praktiškai įvertinti iš skirtingų pusių, nes komunikacija su studentais yra abikryptė. Remiantis studentų pastabomis apie išklausytus mokymus, labai svarbu, kad dėstytojas pateiktų neišgalvotų pavyzdžių ir faktų; taigi patirtis ir naujausios žinios – nepakeičiami elementai siekiant užsitarnauti auditorijos pasitikėjimą.
Esama skirtingų informacijos pateikimo auditorijai būdų, pavyzdžiui, gali būti rengiami seminarai, specialūs renginiai arba tiesiog sudaromos sąlygos gauti savišvietai skirtos medžiagos. Abu būdai savotiškai patrauklūs: savišvieta patogi tuo, kad suteikia galimybę planuoti laiką ir patirti mažiau išlaidų, o seminaruose ir panašaus pobūdžio užsiėmimuose skatinama bendrauti ir suteikiama puiki galimybė dalytis patirtimi ir žiniomis

Rekomendacija

ENISA rengia mokymus vietoje ir taip remia kompiuterinių incidentų tyrimo tarnybas ir ugdo kitus bendruomenių veiklos pajėgumus; mokymo medžiaga skelbiama ENISA svetainėje.

Daugiau informacijos: http://www.enisa.europa.eu/activities/cert/support/exercise

Programinės įrangos atnaujinimas

Tikslinė grupė

ENISA įspėja apie grėsmes, susijusias su nebeatnaujinamos programinės įrangos naudojimu. Šios grėsmės kyla ne tik dėl to, kad jų nebepalaiko gamintojas, bet ir dėl to, kad jų nebepalaiko trečiosios šalys, pavyzdžiui, apsaugos nuo kenkėjiškų ir panašių programų, taip pat išorinių įtaisų kūrėjai. Naudojant tokias programas, kyla nuolatinė pažeidžiamumo grėsmė, o galimybės atnaujinti išorinius įtaisus arba trečiųjų šalių programas – menkos.

Patarimai

Naudojant nebeatnaujinamą programinę įrangą, gali kilti įvairiopa grėsmė.
Galutiniai naudotojai negalės patikrinti, ar programinė įranga nepažeista, nes pasirašymo liudijimai gali būti nebegaliojantys; neturėdamas galimybės patikrinti, ar programinės įrangos paketas nepažeistas, naudotojas gali nukentėti nuo kenkėjiškos programos; tokių programų galimai paveiktos sistemos gali perduoti užkratą visam tinklui; be to, taip galima pažeisti saugumo politiką.
Nebeatnaujinamos programinės įrangos gamintojo nebepalaikomi produktai gali sukelti įvairiopų problemų. Nebeatnaujinamų sistemų naudotojai negaus saugumo naujinių ir pranešimų; informacija apie pažeidžiamumą nebebus renkama, pranešama ir analizuojama, todėl nebus teikiama naujų saugumo taisinių; taigi nebeatnaujinama programinė įranga gali likti pažeidžiama visam laikui, tarsi būtų „nulinės dienos“ atakos vektorius; dėl trečiųjų šalių pagamintos programinės ir aparatinės įrangos palaikymo stokos naudotojai gali prarasti galimybę naudotis platforma, pavyzdžiui, dėl nežinomų riktų nebeatnaujinamos programinės įrangos gali nepavykti paleisti; pasenusios operacinės sistemos gali būti nesuderinamos su naujais įtaisais, o jų tvarkyklės gali netikti naujoms išorinių įtaisų versijoms, todėl naudotojai gali prarasti galimybę atlikti naujovinimą arba pakeisti panaudotą ar sugadintą įtaisą nauju; jei esami nebeatnaujinamos platformos įtaisai nebepalaikomi, įvykus trikčiai gali būti prarasta galimybė toliau naudotis įtaisu; dėl trečiųjų šalių pagamintos įdiegtosios programinės įrangos palaikymo stokos naudotojai gali prarasti galimybę atlikti naujovinimą arba pataisyti taip pat trečiųjų šalių programinę įrangą naujesnėmis versijomis. Taip gali atsitikti ir su naujomis taikomosiomis programomis. Grėsmė gali būti ypač didelė nesant atnaujintų antivirusinės įrangos arba apsaugos nuo kenkėjiškų programų sprendimų versijų.

Rekomendacija

IT administratoriai turėtų pasirūpinti, kad sistemos būtų nuolat atnaujinamos pagal naujausius saugumo taisinius. Nebeatnaujinama programinė įranga turėtų būti laikoma didele grėsme ypatingos svarbos IT komponentų saugumui ir, siekiant tą grėsmę sušvelninti, reikėtų pereiti prie naujesnių sprendimų arba pradėti naudotis kitomis platformomis. Kalbant apie ypatingos svarbos infrastruktūrų informacines sistemas, kyla grėsmė, kad bus atskleisti ir piliečių duomenys, taigi IT administratoriai įgyja dar daugiau atsakomybės.
Gamintojai turėtų užtikrinti, kad perėjimui būtų skiriama pakankamai laiko. Šiuo etapu ENISA primygtinai rekomenduoja teikti išankstinius pranešimus ir nuodugniai išanalizuoti, kaip naudotojų saugumui atsilieps tai, kad nebebus galimybės produktą atnaujinti.
Naudotojai turėtų žinoti ir suprasti, kokia grėsmė jiems kyla toliau naudojantis pasenusia programine įranga.

Daugiau informacijos: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Technikos ekspertų pratybos kibernetinio saugumo srityje

Tikslinė grupė

ENISA dalyvauja visos Europos kibernetinio saugumo pratybose kaip vedlys ir apskritai remia gerosios patirties mainus bendradarbiavimo ir pratybų ištikus kibernetinėms krizėms srityje. ENISA yra įvairių visoje Europoje vykdomų kibernetinio saugumo pratybų Cyber Europe, bendrų ES ir JAV kibernetinio saugumo pratybų Cyber Atlantic ir kasmečių tarptautinių konferencijų, kuriose nagrinėjami bendradarbiavimo ir pratybų ištikus kibernetinėms krizėms klausimai, varomoji jėga. Iki šiol surengtos dvejos kibernetinio saugumo pratybos visos Europos mastu („Cyber Europe 2010“ ir „Cyber Europe 2012“) ir vienos ES ir JAV mastu („Cyber Atlantic 2011“); šiuo metu visos Europos mastu vykdomos trečiosios kibernetinio saugumo pratybos – „Cyber Europe 2014“. Dalyvauti gali visos ES ir ELPA viešojo ir privačiojo sektorių suinteresuotosios šalys, įskaitant ES institucijas ir įstaigas, pavyzdžiui, tokios už kibernetinių krizių klausimų sprendimą atsakingos institucijos kaip kibernetinio saugumo agentūros, nacionalinės arba vyriausybinės kompiuterinių incidentų tyrimo tarnybos (CERT), nacionalinės reguliavimo institucijos, taip pat privačiojo sektoriaus subjektai, TIS ekspertai ir kt.

Rekomendacija

Vykdant pratybas „Cyber Europe 2012“ buvo sėkmingai padidintas visos Europos kibernetinių incidentų valdymo pajėgumas. Todėl svarbu tęsti pradėtą darbą ir toliau plėtoti Europos kibernetinio saugumo pratybų sritį. Ateityje kibernetinio saugumo pratybose daugiau dėmesio turėtų būti skiriama sektorių tarpusavio priklausomybei ir specifinėms bendruomenėms.
Pratybos „Cyber Europe 2012“ Europos kibernetinių incidentų valdymo bendruomenei suteikė galimybę bendradarbiauti tarptautiniu mastu ir sustiprėti. Siekiant paskatinti tarptautinį bendradarbiavimą, labai svarbu sudaryti sąlygas dalytis su kibernetinio saugumo pratybomis susijusia gerąja patirtimi, išmoktomis pamokomis, kompetencija ir rengti konferencijas. Tai padės užtikrinti, kad bendruomenė turėtų daugiau galių ir pajėgtų susidoroti su tarptautinėmis kibernetinėmis krizėmis. Visos suinteresuotosios šalys, veikiančios tarptautinio bendradarbiavimo ištikus kibernetinėms krizėms srityje, turi būti apmokomos taikyti procedūras, kad sugebėtų jomis tinkamai pasinaudoti. Įtraukus privačiojo sektoriaus organizacijas, padidėjo šių pratybų pridėtinė vertė. Todėl ES valstybės narės ir ELPA šalys, ateityje vykdydamos tokias pratybas, turėtų apsvarstyti galimybę į jas įtraukti privatųjį sektorių.
Europos kibernetinių incidentų valdymo bendruomenė galėtų sustiprėti, jei prisidėtų kiti ypatingos svarbos Europos sektoriai (pavyzdžiui, sveikatos ar transporto), kurie reikšmingi siekiant suvaldyti dideles krizes.
„Cyber Europe 2014“. Remiantis patirtimi, įgyta Europos mastu vykdant dvejas ankstesnes pratybas, 2014 m. įgyvendinamos labai sudėtingos kibernetinio saugumo pratybos „Cyber Europe 2014“, kuriomis siekiama: išbandyti esamas bendradarbiavimo procedūras ir mechanizmus, skirtus kibernetinėms krizėms Europoje suvaldyti; didinti nacionalinio lygmens pajėgumą; ištirti, kaip šiuo metu bendradarbiauja viešasis ir privatusis sektoriai; išanalizuoti pratybų aprėpties išplėtimą ir susiaurinimą (techniniu, veiklos ir strateginiu lygmenimis); suprasti viešųjų ryšių reikalus, susijusius su didelio masto kibernetinėmis atakomis.

Daugiau informacijos: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Debesijos saugumas visiems skaitmeninių technologijų naudotojams

Tikslinė grupė

Viešojo ir privačiojo sektorių informacijos saugumo pareigūnai, kurie debesijos paslaugomis naudojasi kasdienėms reikmėms arba planuoja užsakyti debesijos paslaugas verslo reikmėms. Tikslinei grupei taip pat priskiriami visi skaitmeninių technologijų naudotojai, besinaudojantys kasdienėmis populiariosiomis debesijos paslaugomis (socialinės medijos ir kt.), pavyzdžiui, „Facebook“, „Dropbox“, „Instagram“, „Twitter“ ir daugeliu kitų, siekiant juos informuoti apie tai, kaip debesijos modelis veikia ir kokie jo privalumai bei trūkumai, ir išmokyti įvertinti tai, ar tam tikros rūšies informaciją derėtų kelti į debesiją, ar ne. Pagrindinį dėmesį ENISA skiria MVĮ ir viešojo administravimo įstaigoms, kad, prieš pradėdamos naudotis debesijos paslaugomis, jos sugebėtų įvertinti situaciją.

Patarimai

Visiems potencialiems debesijos paslaugų naudotojams, svarstantiems galimybę naudotis debesijos paslaugomis, ENISA pataria apgalvoti šiuos klausimus:

Kokias paslaugas ketinate perkelti į debesiją ir kokie yra debesijos kompiuterijos privalumai, pasitarnausiantys kasdienėms reikmėms (t. y. išplečiamumas, galimybė naudotis ypač didele atmintimi, reguliarus atsarginių kopijų darymas, funkcinis suderinamumas)?
Kokios rūšies informaciją ketinate perkelti į debesiją ir kokia šios informacijos svarba jos savininkams (t. y. asmens duomenų, neskelbtinų duomenų ir su verslu susijusių duomenų)?
Kokie debesijos kompiuterijos trūkumai galėtų padaryti didelį poveikį jūsų kasdieniam darbui? Kaip bandytumėte šiuos trūkumus sušvelninti?
Kaip ketinate apsispręsti, kokia debesijos paslauga jums reikalinga (IaaS, PaaS, SaaS), ir nusistatyti savo atsakomybės ribas kiekvienos rūšies paslaugų atžvilgiu?
Skirkite laiko pokalbiui su savo debesijos paslaugų teikėju, siekite abipusio supratimo ir įtvirtinkite jį susitarime dėl paslaugų lygio.

Rekomendacija

ENISA leidiniai debesijos saugumo tematika – naudinga priemonė visiems debesijos paslaugų naudotojams, siekiantiems apsaugoti savo turtą ir sužinoti su debesijos paslaugomis susijusias savo pareigas ir teises.
Užsakant debesijos paslaugas išplečiamumo sumetimais, debesijos saugumas turi būti laikomas vienu didžiausių privalumų.

Daugiau informacijos: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Privatumas visiems skaitmeninių technologijų naudotojams

Tikslinė grupė

Tikslinė grupė – skaitmeninių technologijų naudotojai. Internete naudotojai turi tokias pačias teises kaip ir ne internete; jie turėtų žinoti apie savo teises internete. Paramą naudotojams teikia nacionalinės duomenų apsaugos institucijos.
Lisabonos sutarties 16 straipsnis: „Kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą“.

Patarimai

ES teisinėje sistemoje nustatyta, kad skaitmeninėje aplinkoje Europos Sąjungos piliečiai gali naudotis įvairiomis teisėmis, pavyzdžiui, teise į asmens duomenų ir privatumo apsaugą, teise į saviraiškos ir informacijos laisvę.
Internete duomenų ir privatumo apsaugos principų laikomasi ne visada. 2011 m. „Eurobarometro“ tyrimo apie požiūrį į duomenų apsaugą ir elektroninę tapatybę ES duomenimis, 43 % interneto naudotojų teigia, kad jungiantis prie internetinės paslaugos arba ja naudojantis, jų prašyta pateikti daugiau asmeninės informacijos negu reikia, o 70 % europiečių baiminasi, kad jų asmens duomenys gali būti panaudoti kitu tikslu negu buvo teigiama jos prašant. 75 % europiečių nori turėti galimybę bet kada ištrinti asmeninę informaciją iš interneto svetainės.
Į ką būtina atsižvelgti? Žmonių veiksmai ne visada dera su jų noru užsitikrinti privatumą. Net ir tie naudotojai, kurie rūpinasi savo privatumu, gali ryžtis pasidalyti savo asmens duomenimis, norėdami įsigyti prekių ar paslaugų su nuolaida. Tik trečdalis (33 %) europiečių žino, kad veikia nacionalinės valdžios institucijos, ginančios su asmens duomenimis susijusias jų teises.
Europos piliečiai turi mokėti atpažinti šiuos svarbius principus pažeidžiančias veikas ir imtis atitinkamų veiksmų, pavyzdžiui, gintis savo, kaip duomenų subjektų, teises reikalavimų nesilaikančių duomenų rinkėjų atžvilgiu ir prireikus teikti skundus kompetentingoms institucijoms. Tuo tikslu taip reikia, kad duomenų subjektai taptų geriau informuoti: juk pirmas žingsnis šia kryptimi – tai užtikrinti, kad duomenų subjektai žinotų ir suprastų, kaip svarbu saugoti savo duomenis, kad jie nebūtų atskleisti be reikalo.

Rekomendacija

Naudotojams rekomenduojame išmokti atpažinti veikas, pažeidžiančias jų, kaip duomenų subjektų, teises, ir prireikus imtis atitinkamų veiksmų, pavyzdžiui, prireikus teikti skundus kompetentingoms institucijoms. Duomenų apsaugos institucijos turėtų siekti geriau informuoti naudotojus apie duomenų apsaugos teisės aktuose nustatytas jų teises ir apie teisinėje sistemoje numatytas galimybes šiomis teisėmis pasinaudoti, pavyzdžiui, apie galimybę skųstis, jei prašoma pateikti ir saugoma per daug asmens duomenų.

Daugiau informacijos

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

2011 m. „Eurobarometras“ : http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Nacionalinės duomenų apsaugos institucijos : http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Saugūs išmanieji tinklai

Tikslinė grupė

Visos rekomendacijos skiriamos Europos Komisijai, valstybėms narėms, privačiajam sektoriui ir ypatingos svarbos infrastruktūros ekspertams.
Ypatingos svarbos infrastruktūra yra turtas, sistema arba jos dalis, sukurta (-s) valstybėse narėse ir turinti (-s) labai didelę reikšmę užtikrinant visuomenei gyvybiškai svarbias funkcijas: žmonių sveikatą, saugą, saugumą, ekonominę ir socialinę gerovę; šiai infrastruktūrai sutrikus arba žlugus, valstybė narė patirtų didelę žalą, nes nepajėgtų užtikrinti minėtų funkcijų. Toliau pateikiamos rekomendacijos, kaip užtikrinti išmaniųjų tinklų saugumą.

Rekomendacija

1 rekomendacija. Europos Komisija ir valstybių narių kompetentingos institucijos turėtų imtis iniciatyvos ir pagerinti išmaniųjų tinklų kibernetiniam saugumui skirtą reguliavimo ir politikos sistemą nacionaliniu ir ES lygmenimis.
2 rekomendacija. Europos Komisija, bendradarbiaudama su ENISA ir valstybėmis narėmis, turėtų skatinti viešojo ir privačiojo sektorių partnerystės organizacijų, kurios koordinuotų išmaniųjų tinklų kibernetinio saugumo iniciatyvas, kūrimą.
3 rekomendacija. ENISA ir Europos Komisija turėtų skatinti informuotumo didinimo ir mokymo iniciatyvas.
4 rekomendacija. Europos Komisija ir valstybės narės, bendradarbiaudamos su ENISA, turėtų skatinti sklaidos ir žinių mainų iniciatyvas.
5 rekomendacija. Europos Komisija, bendradarbiaudama su ENISA, valstybėmis narėmis ir privačiuoju sektoriumi, turėtų parengti galiojančiais standartais ir gairėmis pagrįstų būtiniausių saugumo priemonių rinkinį.
6 rekomendacija. Tiek Europos Komisija, tiek valstybių narių kompetentingos institucijos turėtų skatinti kurti saugumo sertifikavimo schemas, skirtas komponentams, produktams ir organizaciniam saugumui.
7 rekomendacija. Europos Komisija ir valstybių narių kompetentingos institucijos turėtų skatinti kurti bandymams skirtas platformas (angl. test bed) ir atlikti saugumo vertinimą.
8 rekomendacija. Europos Komisija ir valstybės narės, bendradarbiaudamos su ENISA, turėtų toliau nagrinėti ir tobulinti strategijas, kuriomis siekiama koordinuoti didelio masto visai Europai reikšmingus kibernetinius incidentus, galinčius turėti įtakos elektros tinklams.
9 rekomendacija. Valstybių narių kompetentingos institucijos, bendradarbiaudamos su kompiuterinių incidentų tyrimo tarnybomis (CERT), turėtų inicijuoti veiklą, kuria paskatintų CERT imtis patariamojo vaidmens sprendžiant kibernetinio saugumo klausimus, galinčius turėti įtakos elektros tinklams.
10 rekomendacija. Europos Komisija ir valstybių narių kompetentingos institucijos, bendradarbiaudamos su akademine bendruomene ir mokslinių tyrimų ir technologinės plėtros sektoriumi, turėtų skatinti mokslinius tyrimus išmaniųjų tinklų kibernetinio saugumo srityje ir taip prisidėti prie šiuo metu vykdomų mokslinių tyrimų programų.