ECSM - Recommendations for ALL - LV

Published under European Cybersecurity Month

Eiropas kiberdrošības mēnesis ir informatīva ES kampaņa, kas norisinās oktobrī. Kampaņas mērķis ir veicināt pilsoņu informētību par kiberdrošību. Kampaņa tiecas MAINĪT izpratni par kiberdraudiem, ar ko saskaramies ikdienā, proti, darbā vai izmantojot tiešsaisti privātām vajadzībām.

Tīklu un informācijas drošība pedagogiem

Mērķauditorija
Materiāls paredzēts pedagogiem, t. i., apmācību veicējiem, skolotājiem un līdzīgiem darbiniekiem, kas iesaistīti formālajā un neformālajā izglītībā, tostarp mūžizglītībā. Ikvienā informācijas un komunikācijas tehnoloģiju (IKT) ieinteresēto personu sarakstā ir noteikti jāietver pedagogu būtiskā nozīme!

Tips for NIS Education

ENISA apsekojuma rezultāti rāda: lai nodrošinātu „maksimāli labu apmācību”, pedagogam būtu jāparedz īss ievads un praktiskais darbs; stāsti un reāli piemēri; pilnīgai apmācībai būtu jāietver lomu spēles nodarbības, imitācijas vingrinājumi, darbs komandā; uzņēmējdarbības spēle eksāmenu ietvaros; dažādi labi videomateriāli.
Problēmas, kas ir jāatrisina:
ir jāsaprot, ka tehnoloģijas izmantošana ir saistīta ar riskiem un ka riski neattiecas tikai uz konkrēto personu, bet var skart arī citus cilvēkus; ir svarīgi tehnoloģiju izprast, ne tikai to izmantot;
ir jāpārkartē cilvēku reālās attiecības un rīcība internetā — tīkla etiķete;
ir jāapsver daudzdisciplīnu zinātība (juridiskā, tehniskā, organizatoriskā utt.).
Tīklu un informācijas drošības izglītības starpniecības modelis.

Ieteikumi

Mēs iesakām pedagogiem un apmācāmajiem ieņemt nostāju „viss ir izdarāms”.
Mēs iesakām turpināt publiskā un privātā sektora partnerības, lai finansētu un izstrādātu atjauninātus materiālus un apmācības.

Plašāka informācija: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Tīkla un informācijas drošības apmācība darbiniekiem

Mērķauditorija
Apmācība ir svarīga, lai sniegtu gan informācijas drošības ekspertiem, gan arī darbiniekiem informāciju par jaunāko attīstību šajā jomā, kā arī uzlabotu prasmes nolūkā rentabli apkarot draudus.

Padomi

Informācijas drošība patlaban ir plaši apspriests jautājums, jo tā ļoti strauji attīstās un tādā vai citā veidā skar ikviena cilvēka dzīvi. Cilvēkiem ir jābūt piekļuvei resursiem, mācību materiāliem, zinātībai un konkrētai apmācībai par to, kā uzturēt pieņemamu drošības un privātuma līmeni, veicot savas ikdienas darbības, kas aizvien vairāk balstās uz informācijas tehnoloģiju.
Kad tiek skarts jautājums par tādas mūsu valstu būtiskas pakalpojumu un sakaru infrastruktūras aizsardzību, kas mums nodrošina svaigu ūdeni, elektroenerģiju un saziņas iespējas, ir nepieciešami eksperti, kuri spēj noteikt un atrisināt problēmas, kā arī sniegt konsultācijas. Kad rodas šāda vajadzība, tādi ar informācijas drošību saistīti pakalpojumi kā incidentu risināšana, trauksmes signāli, brīdinājumi un artefaktu analīze ir ļoti pieprasīti. Daudzos gadījumos ir nepieciešama datorapdraudējumu reaģēšanas vienība (http://www.enisa.europa.eu/activities/cert/). Tā kā ikvienas komandas spēku nosaka tās dalībnieku spējas, ir nemitīgi jānodrošina, ka darbinieku, reaģēšanā iesaistīto personu, kā arī apmācību veicēja zināšanu bāze tiek atjaunināta, lai būtu iespējams reaģēt uz pašiem jaunākajiem draudiem un lai mazinātu tos pēc iespējas ātrāk un efektīvāk.
No apmācību veicēja perspektīvas raugoties, apmācību veicēja pozīcija dod lielisku iespēju iesaistīties „praktiskajā darbā” un gūt realitātes sajūtu no dažādiem skatupunktiem, jo saziņai mācību telpā vajadzētu būt divpusējai. Pieredze un aktualizētas zināšanas ir neaizstājams instruments, lai panāktu mērķauditorijas ticību, jo, kā liecina apmācību ietvaros sniegtā atgriezeniskā saite, auditorija augsti novērtē reālus dzīves piemērus un izmantošanas gadījumus.
Var izmantot vairākas atšķirīgas metodikas, lai apmācības auditorijai sniegtu informāciju, piemēram, var organizēt seminārus, konkrētus pasākumus vai vienkārši nodrošināt piekļuvi pašmācības materiālam. Abām pieejām ir savi ieguvumi, jo pašmācība var nodrošināt elastību un samazināt kopējās izmaksas. Seminārveida apmācība sekmē saziņu un sniedz lielisku iespēju cilvēkiem dalīties pieredzē un zināšanās.

Ieteikumi

ENISA ir nodrošinājusi apmācību uz vietas, lai atbalstītu datorapdraudējumu reaģēšanas vienību un citas darbības kopienu spējas, un apmācības materiāls ir publicēts ENISA tīmekļa vietnē.

Plašāka informācija: http://www.enisa.europa.eu/activities/cert/support/exercise

Programmatūras atjauninājumi

Mērķauditorija

ENISA brīdina par riskiem, kas saistīti ar programmatūras, kuras uzturēšana ir pārtraukta, lietošanu, ne tikai tādēļ, ka tādā gadījumā netiek saņemts ražotāja atbalsts, bet arī tādēļ, ka netiek saņemts trešo personu atbalsts — pretļaunprogrammatūras vai cita veida programmatūras, vai datoru perifēro iekārtu ražotāju atbalsts. Tas noved pie pastāvīgas neaizsargātības un neiespējamības atjaunināt perifērās iekārtas vai trešo personu lietojumprogrammas.

Padomi

Programmatūras, kuras uzturēšana ir pārtraukta, lietošana ir netieši saistīta ar turpmāk uzskaitītajiem riskiem.
Galalietotāji nevarēs pārbaudīt programmatūras integritāti, jo var būt beidzies parakstu sertifikātu derīgums; nespēja pārbaudīt programmatūras pakotnes integritāti var pakļaut lietotāju ļaunprogrammatūrai; potenciāli inficētas sistēmas var izplatīt vīrusu visā tīklā; turklāt tas var novest pie neatbilstības drošības politikai.
Programmatūras, kuras uzturēšana ir pārtraukta, ražotāja produkta atbalsta nepieejamība var potenciāli novest pie tā, ka neturpināto sistēmu lietotāji nesaņems drošības atjauninājumus vai paziņojumus; netiks apkopoti, izziņoti un analizēti jauni neaizsargātības gadījumi, tādējādi netiks izdoti jauni drošības ielāpi; attiecīgi programmatūra, kuras uzturēšana ir pārtraukta, var būt pakļauta ikvienam tādam neaizsargātības gadījumam, it kā tas būtu 0 dienas uzbrukuma vektors; trešo personu programmatūras un datoriekārtu ražotāju atbalsta neesība var novest pie platformas izmantošanas neiespējamības, piemēram, nezināmas kļūdas var apturēt programmatūras, kuras uzturēšana ir pārtraukta, darbību; vecu operētājsistēmu nesaderība ar jaunām ierīcēm, draiverprogrammu nepieejamība perifēro iekārtu jaunām versijām var neļaut lietotājiem atjaunināt vai aizstāt lietotas vai salūzušas ierīces; platformā, kuras uzturēšana ir pārtraukta, esošu ierīču atbalsta neturpināšana var novest pie neiespējamības turpināt izmantot ierīci atteices gadījumā; instalētas trešo personu programmatūras ražotāju atbalsta neturpināšana var neļaut klientiem atjaunināt vai salāpīt programmatūru, kas arī ir trešo personu programmatūra, ar jaunākām versijām. Tas attiecas arī uz jaunām lietojumprogrammām. Tas var būt īpaši svarīgi gadījumā, kad nav pieejamas pretvīrusu un pretļaunprogrammatūras risinājumu atjauninātās versijas.

Ieteikumi

IT vadītājiem būtu vienmēr jāatjaunina sistēmas ar jaunākajiem drošības ielāpiem. Programmatūra, kuras uzturēšana ir pārtraukta, būtu jāuzskata par augstu drošības risku kritiskiem IT komponentiem, kas būtu jāmazina, migrējot uz jaunākiem risinājumiem vai citām platformām. Informācijas kritiskās infrastruktūras sistēmu gadījumā pakļautības risks var ietvert iedzīvotājus, tādējādi IT vadītāju atbildība palielinās.
Ražotājiem būtu jāpārliecinās, ka tie nodrošina pietiekamu laiku migrācijai. Šajā posmā ENISA noteikti iesaka izmantot iepriekšējus paziņojumus, kā arī padziļinātu analīzi par paredzamo ietekmi uz lietotāju drošību pēc produkta ražošanas izbeigšanas.
Lietotājiem būtu jāpārliecinās, ka viņi ir informēti par drošības riskiem un saprot, kam viņi sevi pakļauj, turpinot lietot novecojušu programmatūru.

Plašāka informācija: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Kibermācības tehniskajiem ekspertiem

Mērķauditorija

ENISA ir kļuvusi par Eiropas mēroga kibermācību koordinatori un kopumā atbalsta labas prakses apmaiņu sadarbības kiberkrīžu gadījumā un kibermācību jomā. ENISA ir virzītājspēks virknei Eiropas mēroga kibermācību „Kibereiropa”, kā arī ES un ASV kopējām kibermācībām (Cyber Atlantic) un ikgadējām starptautiskajām konferencēm, kas ietver jautājumus par sadarbību kiberkrīžu gadījumā un par kibermācībām. Līdz šim ir tikušas rīkotas divas Eiropas mēroga apmācības par kriberkrīzēm, proti, „Kibereiropa 2010” un „Kibereiropa 2012”, un vienas ES un ASV kibermācības, proti, „Cyber Atlantic” 2011. gadā; pašlaik notiek trešā Eiropas mēroga apmācība par kriberkrīzēm, proti, „Kibereiropa 2014” (CE2014). Tajā var piedalīties visas ES un Eiropas Brīvās tirdzniecības asociācijas (EBTA) ieinteresētās personas no publiskā un privātā sektora, tostarp ES iestādes un struktūras. Piemēram, (bet ne tikai) tādas iestādes, kas risina kiberkrīzes, proti, kiberdrošības aģentūras, valstu vai valdības datorapdraudējumu reaģēšanas vienības, valstu regulatīvās iestādes, kā arī privātā sektora personas un tīklu un informācijas drošības eksperti.

Ieteikumi

„Kibereiropa 2012” apliecināja savu lietderīgumu, uzlabojot Eiropas mēroga kiberincidentu pārvaldību. Tādēļ ir svarīgi turpināt īstenot centienus un papildus attīstīt Eiropas kibermācību jomu. Turpmākās kibermācībās būtu jāizpēta starpnozaru atkarība un lielāka uzmanība jāpievērš konkrētām kopienām.
„Kibereiropa 2012” nodrošināja iespēju uzsākt starptautiska līmeņa sadarbību un nostiprināt Eiropas kiberincidentu pārvaldības kopienu. Lai veicinātu starptautisko sadarbību, ir būtiski sekmēt labas prakses apmaiņu kibermācību jomā, gūtās pieredzes un zinātības apmaiņu, kā arī konferenču organizēšanu. Tas nodrošinās spēcīgāku kopienu, kas spēj risināt starptautiskas kiberkrīzes. Visas ieinteresētās personas starptautiskās sadarbības kiberkrīžu gadījumā jomā ir jāapmāca procedūru izmantošanā, lai tās zinātu, kā ar tām atbilstīgi strādāt. Šai apmācībai pievienoto vērtību nodrošināja privātā sektora organizāciju kā dalībnieku iesaistīšanās. Tādēļ ES dalībvalstīm un EBTA valstīm būtu jāapsver privātā sektora iesaistīšana turpmākās apmācībās.
Eiropas kiberincidentu pārvaldības kopienu varētu nostiprināt, ja ieguldījumu sniegtu citas Eiropas kritiskās nozares (piemēram, veselības aprūpes, transporta nozare), kam ir nozīme liela mēroga krīžu risināšanā.
„Kibereiropa 2014”: pamatojoties uz gūto pieredzi divu iepriekšējo Eiropas mēroga kibermācību ietvaros, CE2014 ir ļoti sarežģītas kibermācības, kas notiek 2014. gada gaitā, lai sasniegtu šādus mērķus — testētu esošās sadarbības procedūras un mehānismus kiberkrīžu pārvaldībai Eiropā; uzlabotu spējas valstu līmenī; izskatītu esošo sadarbību starp privāto un publisko sektoru; analizētu eskalācijas un deeskalācijas procesus (tehniskā, darbības un stratēģiskā līmenī); izprastu sabiedriskās attiecības jautājumos, kas saistīti ar liela mēroga kiberuzbrukumiem.

Plašāka informācija: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Mākoņdatošanas drošība visiem digitālā satura lietotājiem

Mērķauditorija

Mērķauditorija ir publiskā un privātā sektora informācijas drošības darbinieki, kas izmanto mākoņpakalpojumus un ir integrējuši tos savā ikdienā vai kas apsvērtu iespēju iegādāties mākoņpakalpojumus savai uzņēmējdarbībai. Tāpat mērķauditorija ir visi digitālā satura lietotāji, kas izmanto ikdienas populāros mākoņpakalpojumus (sociālos plašsaziņas līdzekļus utt.), piemēram, Facebook, Dropbox, Instagram, Twitter un daudzus citus, lai viņi zinātu, kā funkcionē mākoņdatošanas modelis, kādi ir ieguvumi un kādi ir trūkumi, kā arī lai spētu novērtēt, kādu informāciju viņiem vajadzētu vai nevajadzētu izvietot „mākonī”. ENISA vairāk koncentrē uzmanību uz atbalsta sniegšanu maziem un vidējiem uzņēmumiem un publiskā sektora pārvaldes struktūrām situācijas novērtēšanā pirms pārejas uz mākoņdatošanu.

Padomi

ENISA ierosina uzdot turpmāk uzskaitītos jautājumus visiem potenciālajiem mākoņdatošanas lietotājiem, kad tie apsver mākoņpakalpojumus:

Kādus pakalpojumus var izvietot „mākonī” un kādi ir mākoņdatošanas ieguvumi, kas atvieglos jūsu ikdienu (t. i., mērogojamība, liels uzglabāšanas potenciāls, regulāras dublējumkopijas, savstarpēja izmantojamība)?
Kāda veida informācija tiks pārvietota uz „mākoni” un cik svarīga ir šī informācija tās īpašniekiem (t. i., personas dati, slepeni dati vai ar uzņēmējdarbību saistīti dati)?
Kādi ir mākoņdatošanas trūkumi, kam būtu būtiska ietekme uz jūsu ikdienas darbu, un kā var rast veidus, lai tos mazinātu?
Kā pieņemt informētu lēmumu par jums vajadzīgo mākoņpakalpojuma veidu (IaaS, PaaS, SaaS) un uzzināt, cik liela ir jūsu atbildība saistībā ar katru pakalpojuma veidu?
Ieguldiet laiku, lai apspriestos ar savu mākoņpakalpojuma sniedzēju un panāktu vienotu izpratni, izklāstot to pakalpojuma līmeņa līgumā.

Ieteikumi

ENISA publikācijas par mākoņdatošanas drošību ir piemērota rokasgrāmata par to, kā visi mākoņpakalpojumu klienti var aizsargāt savus aktīvus un apzināties savu atbildību un tiesības, izmantojot mākoņpakalpojumus.
Mākoņdatošanas drošība ir jāuzskata par vienu no lielākajiem ieguvumiem, lai iegādātos mākoņpakalpojumus mērogojamības apsvērumu dēļ.

Plašāka informācija: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Privātums visiem digitālā satura lietotājiem

Mērķauditorija

Mērķauditorija ir digitālā satura lietotāji. Lietotājiem ir tādas pašas tiesības tiešsaistē kā bezsaistē; viņiem būtu jāapzinās savas tiešsaistes tiesības. Valstu datu aizsardzības iestāžu uzdevums ir atbalstīt lietotājus.
„Ikvienai personai ir tiesības uz savu personas datu aizsardzību” (Lisabonas līguma 16. pants).

Padomi

Saskaņā ar ES tiesisko regulējumu Eiropas Savienības pilsoņiem digitālajā vidē ir nodrošināta virkne tiesību, piemēram, personas datu un privātuma aizsardzība, vārda brīvība un informācija.
Tiešsaistē ne vienmēr tiek ievēroti datu aizsardzības un privātuma principi. Kā apliecina Eirobarometra 2011. gada apsekojums par attieksmi pret datu aizsardzību un elektronisko identitāti ES, 43 % interneta lietotāju apgalvo, ka viņiem ir prasīta personiskāka informācija nekā vajadzīgs, kad viņi piekļuvuši kādam tiešsaistes pakalpojumam vai to izmantojuši, un 70 % eiropiešu ir nobažījušies par to, ka viņu personas datus, iespējams, izmanto citam mērķim, nevis tam, kam tie apkopoti. Savukārt 75 % eiropiešu vēlas iespēju izdzēst personas informāciju tīmekļa vietnē, ja viņi izlemj to darīt.
Problēmas, kas ir jāatrisina: tas, ka cilvēku rīcība ne vienmēr atspoguļo viņu rūpes par privātumu; pat ja lietotājiem rūp viņu privātums, viņi var izlemt kopīgot personas datus, lai saņemtu pakalpojumus vai preces ar atlaidi; tikai viena trešdaļa (33 %) eiropiešu ir informēta, ka pastāv valsts publiskā sektora iestāde, kas atbild par viņu tiesību aizsardzību saistībā ar viņu personas datiem.
Visbeidzot, Eiropas iedzīvotājiem ir arī jānodrošina tiesības tādas prakses identificēšanā, kas pārkāpj šos svarīgos principus, un atbilstīgas rīcības īstenošanā, tostarp izmantojot savas datu subjektu tiesības pret neatbilstīgiem datu pārziņiem un attiecīgos gadījumos iesniedzot sūdzības kompetentajām iestādēm. Tas arī netieši nozīmē, ka tiek uzlabota datu subjektu informētība, jo pirmais solis šajā ceļā ir nodrošināt, ka datu subjekti zina un izprot savu datu aizsargāšanas nozīmi pret nevajadzīgu izpaušanu.

Ieteikumi

Mēs iesakām lietotājiem identificēt praksi, kas pārkāpj viņu datu subjekta tiesības, un īstenot atbilstīgu rīcību, tostarp attiecīgos gadījumos iesniedzot sūdzības kompetentajām iestādēm. Datu aizsardzības iestādēm būtu jācenšas uzlabot lietotāju informētību par viņu tiesībām, kas izriet no datu aizsardzības tiesību aktiem, un par iespējām, kuras viņiem piedāvā tiesību sistēma, lai izmantotu savas tiesības, tostarp iesniedzot sūdzību personas datu pārmērīgas apkopošanas un uzglabāšanas gadījumos.

Plašāka informācija

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

EIROBAROMETRA 2011. gada apsekojums: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Valstu datu aizsardzības iestādes: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Droši viedie elektrotīkli

Mērķauditorija

Visi ieteikumi ir adresēti Eiropas Komisijai, dalībvalstīm, privātajam sektoram un kritiskās infrastruktūras ekspertiem.
Kritiskā infrastruktūra ir resurss, sistēma vai tās daļas, kas izvietotas dalībvalstīs un ir būtiskas svarīgu sabiedrības funkciju, veselības aprūpes, drošības, aizsargātības, cilvēku ekonomiskās vai sociālās labklājības uzturēšanā un kuru darbības traucējumi vai iznīcināšana būtiski ietekmētu dalībvalsti, jo nebūtu iespējams uzturēt minētās funkcijas. Turpmāk uzskaitīti ieteikumi drošiem viediem elektrotīkliem.

Ieteikumi

1. ieteikums. Eiropas Komisijai (EK) un dalībvalstu kompetentajām iestādēm būtu jāuzņemas iniciatīvas, lai uzlabotu tiesisko un politikas regulējumu par viedo elektrotīklu kiberdrošību valsts un ES līmenī.
2. ieteikums. EK sadarbībā ar ENISA un dalībvalstīm būtu jāveicina publiskā un privātā sektora partnerības (PPP) izveide, lai koordinētu viedo elektrotīklu kiberdrošības iniciatīvas.
3. ieteikums. ENISA un EK būtu jāsekmē informētības un apmācības iniciatīvas.
4. ieteikums. EK un dalībvalstīm sadarbībā ar ENISA būtu jāsekmē izplatīšanas un zināšanu apmaiņas iniciatīvas.
5. ieteikums. EK sadarbībā ar ENISA, dalībvalstīm un privāto sektoru būtu jāizstrādā drošības pasākumu minimums, pamatojoties uz esošajiem standartiem un pamatnostādnēm.
6. ieteikums. Gan EK, gan dalībvalstu kompetentajām iestādēm būtu jāveicina drošības sertifikācijas shēmu izstrāde komponentu, produktu un organizatoriskajai drošībai.
7. ieteikums. EK un dalībvalstu kompetentajām iestādēm būtu jāsekmē testgultņu un drošības novērtējumu izstrāde.
8. ieteikums. EK un dalībvalstīm sadarbībā ar ENISA būtu jāturpina izskatīt un uzlabot stratēģijas tādu liela mēroga Eiropas līmeņa kiberincidentu koordinēšanai, kas skar elektroenerģijas tīklus.
9. ieteikums. Dalībvalstu kompetentajām iestādēm sadarbībā ar datorapdraudējumu reaģēšanas vienībām būtu jāuzsāk darbības, lai datorapdraudējumu reaģēšanas vienības iesaistītu kā konsultantus tādu kiberdrošības jautājumu risināšanā, kas skar elektroenerģijas tīklus.
10. ieteikums. EK un dalībvalstu kompetentajām iestādēm sadarbībā ar akadēmiskajām aprindām un pētniecības un izstrādes nozari būtu jāsekmē pētniecība par viedo elektrotīklu kiberdrošību, izmantojot esošās pētniecības programmas.