ECSM - Recommendations for ALL - EL

Ο Ευρωπαϊκός Μήνας Ασφάλειας στον Κυβερνοχώρο είναι μια ενωσιακή εκστρατεία υποστήριξης που οργανώνεται τον Οκτώβριο. Στόχος της είναι η ευαισθητοποίησης των πολιτών στην ασφάλεια στον κυβερνοχώρο. Με την εκστρατεία επιδιώκεται να ΑΛΛΑΞΟΥΝ οι αντιλήψεις σχετικά με τις απειλές του κυβερνοχώρου στην καθημερινή ζωή –  στην εργασία ή κατά την ιδιωτική χρήση του διαδίκτύου.

Ασφάλεια δικτύων και πληροφοριών για εκπαιδευτικούς

Κοινό-στόχος 
 Η παρούσα σύσταση απευθύνεται στους εκπαιδευτικούς, οι οποίοι ορίζονται ως οι εκπαιδευτές, το διδακτικό προσωπικό και οι ομότιμοι, που μετέχουν στην επίσημη εκπαίδευση ή σε ανεπίσημες εκπαιδευτικές διαδικασίες, συμπεριλαμβανομένης της διά βίου μάθησης. Ο σημαντικός ρόλος των εκπαιδευτικών δεν πρέπει να παραλείπεται από κανέναν χάρτη ενδιαφερόμενων μερών της τεχνολογίας πληροφοριών και επικοινωνιών! 

Συμβουλές για την εκπαίδευση σε θέματα ασφάλειας δικτύων και πληροφοριών

  • Σύμφωνα με τα αποτελέσματα έρευνας του ENISA, για τη «βέλτιστη εκπαιδευτική συνεδρία» ο εκπαιδευτικός θα πρέπει να λαμβάνει υπόψη τα εξής: σύντομη εισαγωγή και πρακτικά εργαστήρια• ιστορίες και παραδείγματα από την πραγματική ζωή• μια πλήρης εντατική εκπαιδευτική συνεδρία μπορεί να περιλαμβάνει παιχνίδια ρόλων, ασκήσεις προσομοίωσης και ομαδικές δραστηριότητες• επιχειρηματικό παιχνίδι στο πλαίσιο των εξετάσεων• συλλογή καλών βίντεο.

  • Προκλήσεις:
    Κατανόηση του ότι η χρήση τεχνολογίας συνεπάγεται κινδύνους και ότι οι κίνδυνοι δεν είναι μόνο προσωπικοί, αλλά μπορούν να επηρεάσουν και άλλους ανθρώπους. Είναι σημαντικό να κατανοούμε την τεχνολογία και όχι απλώς να τη χρησιμοποιούμε.
    Αναχαρτογράφηση των ανθρωπίνων σχέσεων και συμπεριφορών στο διαδίκτυο: κώδικας συμπεριφοράς στο διαδίκτυο (Netiquette).
    Εξέταση του ενδεχομένου αξιοποίησης διεπιστημονικής εμπειρογνωσίας (νομική, τεχνική, οργανωτική κ.λπ.).

  • Μοντέλο διαμεσολάβησης στην εκπαίδευση σε θέματα ασφάλειας δικτύων και πληροφοριών.

Σύσταση

  • Συνιστούμε να υιοθετούν οι εκπαιδευτικοί και οι εκπαιδευόμενοι θετική και αποφασιστική στάση.

  • Επιδίωξη συμπράξεων δημόσιου-ιδιωτικού τομέα για τη χρηματοδότηση και την ανάπτυξη επικαιροποιημένου υλικού και εκπαιδευτικών συνεδριών.

Περισσότερες πληροφορίες: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Κατάρτιση υπαλλήλων στην ασφάλεια δικτύων και πληροφοριών

Κοινό-στόχος 
Η κατάρτιση αποτελεί αναπόσπαστο μέρος της συνεχούς ενημέρωσης, τόσο των εμπειρογνωμόνων σε θέματα ασφάλειας των πληροφοριών όσο και των υπαλλήλων, σχετικά με τις τελευταίες εξελίξεις στον συγκεκριμένο τομέα, όπως και της προσπάθειας ενίσχυσης των δεξιοτήτων για την αντιμετώπιση των απειλών με οικονομικά αποδοτικό τρόπο.

Συμβουλές

  • Η ασφάλεια των πληροφοριών αποτελεί σήμερα ένα ζήτημα που παρουσιάζει πολύ μεγάλο ενδιαφέρον, καθώς πρόκειται για ένα πεδίο που αναπτύσσεται με ταχύτατους ρυθμούς και αφορά με τον έναν ή τον άλλο τρόπο τις ζωές όλων μας. Οι άνθρωποι χρειάζονται πρόσβαση σε πόρους, εκπαιδευτικό υλικό, οδηγούς, τεχνογνωσία και εξειδικευμένα προγράμματα κατάρτισης σχετικά με το πώς μπορούν να διατηρούν αποδεκτό επίπεδο ασφάλειας και προστασίας της ιδιωτικότητας κατά την εκτέλεση των καθημερινών δραστηριοτήτων τους, οι οποίες βασίζονται ολοένα και περισσότερο στην τεχνολογία πληροφοριών.

  • Όσον αφορά το πεδίο της προστασίας των εθνικών υποδομών ζωτικής σημασίας για υπηρεσίες και επικοινωνίες, που μας παρέχουν πόσιμο νερό, ηλεκτρική ενέργεια και τη δυνατότητα επικοινωνίας, υπάρχει ανάγκη εμπειρογνωμόνων οι οποίοι να μπορούν να επιλύουν τεχνικά και άλλα προβλήματα και να δίνουν συμβουλές. Η ζήτηση για υπηρεσίες που σχετίζονται με την ασφάλεια των πληροφοριών, όπως η διαχείριση συμβάντων, τα σήματα συναγερμού, οι προειδοποιήσεις και η ανάλυση σφαλμάτων είναι πολύ υψηλή, όταν προκύπτει σχετική ανάγκη. Σε πολλές περιπτώσεις, είναι αναγκαία μια ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT) (http://www.enisa.europa.eu/activities/cert/). Καθώς η ισχύς κάθε ομάδας εξαρτάται από την ισχύ των μελών της, είναι διαρκής η ανάγκη να επικαιροποιούνται συνεχώς οι γνώσεις των υπαλλήλων, των αρμόδιων για την παροχή βοήθειας καθώς και των εκπαιδευτών, προκειμένου να μπορούν να αντιδρούν στις νέες απειλές και να τις μετριάζουν με τον ταχύτερο και αποτελεσματικότερο τρόπο. 

  • Ο εκπαιδευτής, χάρη στον ρόλο του, έχει μια εξαιρετική ευκαιρία να βρίσκεται στο «πεδίο της δράσης» και να αποκτά αίσθηση της πραγματικότητας, αν ληφθούν υπόψη οι διαφορετικές οπτικές γωνίες, καθώς η επικοινωνία στην αίθουσα διδασκαλίας θα πρέπει να είναι αμφίδρομη. Η εμπειρία και οι επικαιροποιημένες γνώσεις είναι αναντικατάστατα στοιχεία της αξιοπιστίας του εκπαιδευτικού στη συνείδηση των εκπαιδευόμενων, δεδομένου ότι, με βάση σχόλια και παρατηρήσεις από προγράμματα κατάρτισης, οι εκπαιδευόμενοι εκτιμούν ιδιαιτέρως τα παραδείγματα από την πραγματική ζωή και τις περιπτώσεις χρήσης (use cases).

  • Μπορούν να χρησιμοποιηθούν πολλές διαφορετικές μέθοδοι για τη μετάδοση των πληροφοριών στους εκπαιδευόμενους, για παράδειγμα με τη διοργάνωση σεμιναρίων και ειδικών εκδηλώσεων ή απλώς με την παροχή πρόσβασης σε υλικό αυτοεκμάθησης. Και οι δύο προσεγγίσεις παρουσιάζουν πλεονεκτήματα, καθώς η αυτοεκμάθηση μπορεί να παρέχει ευελιξία και να μειώνει το συνολικό κόστος. Η εκπαίδευση μέσω σεμιναρίων ενθαρρύνει την επικοινωνία και αποτελεί εξαιρετική ευκαιρία για ανταλλαγή εμπειριών και γνώσεων μεταξύ των συμμετεχόντων.

Σύσταση

Ο ENISA προσφέρει επιτόπια κατάρτιση προς υποστήριξη των ικανοτήτων των ομάδων αντιμετώπισης έκτακτων αναγκών στην πληροφορική και άλλων επιχειρησιακών κοινοτήτων. Εκπαιδευτικό υλικό διατίθεται στον δικτυακό τόπο του ENISA. 

Περισσότερες πληροφορίες: http://www.enisa.europa.eu/activities/cert/support/exercise

Ενημερώσεις λογισμικού


Κοινό-στόχος 

Ο ENISA προειδοποιεί για τους κινδύνους που ενέχει η χρήση λογισμικού που έχει καταργηθεί από τον κατασκευαστή, λόγω της έλλειψης υποστήριξης όχι μόνο από τον κατασκευαστή, αλλά και από τρίτους, όπως οι κατασκευαστές προϊόντων προστασίας από κακόβουλο λογισμικό ή άλλων ειδών λογισμικού ή περιφερειακών. Η χρήση του εν λόγω λογισμικού έχει ως αποτέλεσμα τη σταθερή έκθεση σε τρωτότητα και την αδυναμία ενημέρωσης των περιφερειακών ή των εφαρμογών τρίτων.

Συμβουλές

  • Η χρήση λογισμικού που έχει καταργηθεί από τον κατασκευαστή συνεπάγεται έκθεση στους εξής κινδύνους:
    οι τελικοί χρήστες δεν μπορούν να ελέγξουν την ακεραιότητα του λογισμικού, επειδή η υπογραφή πιστοποιητικών μπορεί να έχει λήξει• η αδυναμία ελέγχου της ακεραιότητας του πακέτου λογισμικού μπορεί να εκθέσει τον χρήστη σε κακόβουλο λογισμικό• πιθανώς προσβεβλημένα συστήματα ενδέχεται να μεταδώσουν τη μόλυνση σε ολόκληρο το δίκτυο• επίσης, αυτό θα μπορούσε να οδηγήσει σε μη συμμόρφωση με τις πολιτικές ασφάλειας.

  • Η απώλεια υποστήριξης προϊόντος από τον κατασκευαστή λογισμικού που έχει καταργηθεί μπορεί να έχει τις εξής συνέπειες: οι χρήστες τέτοιων συστημάτων δεν θα επωφελούνται από ενημερώσεις ή ειδοποιήσεις ασφάλειας• πλέον δεν θα συλλέγονται, αναφέρονται ή αναλύονται πληροφορίες για νέα σημεία τρωτότητας, συνεπώς δεν πρόκειται να κυκλοφορούν διορθωτικές εκδόσεις (patch) ασφάλειας• ως εκ τούτου, το λογισμικό που έχει καταργηθεί από τον κατασκευαστή μπορεί να παραμένει εκτεθειμένο σε αδυναμίες αυτού του είδους για πάντα, σαν να επρόκειτο για φορέα επίθεσης «ημέρας μηδέν» (0-day attack)• η έλλειψη υποστήριξης από κατασκευαστές λογισμικού και υλικού τρίτων θα μπορούσε να οδηγήσει σε μη διαθεσιμότητα της πλατφόρμας για χρήση, π.χ. άγνωστα σφάλματα μπορεί να διακόψουν τη λειτουργία λογισμικού του οποίου οι ενημερώσεις έχουν σταματήσει• η ασυμβατότητα παλαιών λειτουργικών συστημάτων με νέες συσκευές, η μη διαθεσιμότητα προγραμμάτων οδήγησης για νέες εκδόσεις περιφερειακών μπορεί να εμποδίσουν τους χρήστες να αναβαθμίσουν ή να αντικαταστήσουν μεταχειρισμένες ή άχρηστες συσκευές• η αναστολή της υποστήριξης των υφιστάμενων συσκευών στην πλατφόρμα που έχει καταργηθεί μπορεί να οδηγήσει σε αδυναμία χρήσης της συσκευής σε περίπτωση βλάβης• η αναστολή της υποστήριξης από τρίτους κατασκευαστές εγκατεστημένου λογισμικού μπορεί να εμποδίσει τους πελάτες να αναβαθμίσουν ή διορθώσουν ακόμη και λογισμικό τρίτων με νεότερες εκδόσεις. Αυτό ισχύει και για τις νέες εφαρμογές και μπορεί να είναι κρίσιμης σημασίας σε περίπτωση μη διαθεσιμότητας ενημερωμένων εκδόσεων λύσεων προστασίας από ιούς και κακόβουλο λογισμικό.

Σύσταση

  • Οι διαχειριστές συστημάτων τεχνολογίας πληροφοριών ( ΤΠ) θα πρέπει να μεριμνούν ώστε τα συστήματά τους να διαθέτουν πάντα τις τελευταίες διορθωτικές εκδόσεις ασφάλειας. Το λογισμικό που έχει καταργηθεί από τον κατασκευαστή θα πρέπει να θεωρείται υψηλός κίνδυνος για την ασφάλεια των στοιχείων ΤΠ ζωτικής σημασίας. Ο εν λόγω κίνδυνος θα πρέπει να περιορίζεται μέσω της μετάβασης σε νεότερες λύσεις ή άλλες πλατφόρμες. Στην περίπτωση των πληροφοριακών συστημάτων υποδομών ζωτικής σημασίας, ο κίνδυνος έκθεσης μπορεί να επεκτείνεται στους πολίτες και, συνεπώς, η ευθύνη των διαχειριστών συστημάτων ΤΠ είναι μεγαλύτερη. 

  • Οι κατασκευαστές θα πρέπει να βεβαιώνονται ότι παρέχουν αρκετό χρόνο για τη μετάβαση. Κατά τη διάρκεια αυτής της φάσης, ο ENISA συνιστά ένθερμα τη χρήση προειδοποιήσεων και την ενδελεχή ανάλυση των αναμενόμενων επιπτώσεων στην ασφάλεια των χρηστών μετά την κατάργηση του προϊόντος. 

  • Οι χρήστες θα πρέπει να βεβαιώνονται ότι γνωρίζουν και κατανοούν τον κίνδυνο ασφάλειας στον οποίο εκτίθενται όταν συνεχίζουν να χρησιμοποιούν παρωχημένο λογισμικό.

Περισσότερες πληροφορίες: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Ασκήσεις στον κυβερνοχώρο για τεχνικούς εμπειρογνώμονες

Κοινό-στόχος 

Ο ENISA έχει αναλάβει τη δέσμευση να αποτελεί φορέα διευκόλυνσης πανευρωπαϊκών ασκήσεων στον κυβερνοχώρο και, γενικότερα, την υποστήριξη της ανταλλαγής ορθών πρακτικών στον τομέα της συνεργασίας και των ασκήσεων για την αντιμετώπιση κρίσεων στον κυβερνοχώρο. Ο ENISA αποτελεί την κινητήρια δύναμη των πανευρωπαϊκών ασκήσεων στον κυβερνοχώρο Cyber Europe, την κοινή άσκηση ΕΕ-ΗΠΑ στον κυβερνοχώρο (Cyber Atlantic) και τις ετήσιες διεθνείς διασκέψεις με θέματα που αφορούν τη συνεργασία και τη διεξαγωγή ασκήσεων για την αντιμετώπιση κρίσεων στον κυβερνοχώρο. Μέχρι σήμερα έχουν οργανωθεί δύο πανευρωπαϊκές ασκήσεις αντιμετώπισης κρίσεων στον κυβερνοχώρο, η Cyber Europe 2010 και η Cyber Europe 2012, και μία κοινή άσκηση ΕΕ-ΗΠΑ στον κυβερνοχώρο, η «Cyber Atlantic», το 2011, ενώ βρίσκεται σε εξέλιξη η τρίτη πανευρωπαϊκή άσκηση αντιμετώπισης κρίσεων στον κυβερνοχώρο, η Cyber Europe 2014 (CE2014),. Μπορούν να συμμετέχουν όλα τα ενδιαφερόμενα μέρη του δημόσιου και ιδιωτικού τομέα από την ΕΕ και την ΕΖΕΣ, συμπεριλαμβανομένων οργάνων και οργανισμών της ΕΕ. Στα ενδιαφερόμενα μέρη περιλαμβάνονται, μεταξύ άλλων, αρχές που διαχειρίζονται τις κρίσεις στον κυβερνοχώρο, όπως υπηρεσίες ασφάλειας στον κυβερνοχώρο, εθνικές ή κυβερνητικές CERT, εθνικές ρυθμιστικές αρχές, καθώς και επιχειρήσεις του ιδιωτικού τομέα και εμπειρογνώμονες επί της ασφάλειας δικτύων και πληροφοριών.

Σύσταση

  • Η άσκηση Cyber Europe 2012 αποδείχτηκε πολύτιμη όσον αφορά την ενίσχυση της διαχείρισης πανευρωπαϊκών συμβάντων στον κυβερνοχώρο. Ως εκ τούτου, είναι σημαντικό να συνεχιστούν οι προσπάθειες και να ενισχυθεί περαιτέρω ο τομέας των ευρωπαϊκών ασκήσεων στον κυβερνοχώρο. Κατά τις μελλοντικές ασκήσεις στον κυβερνοχώρο θα πρέπει να διερευνηθούν οι διατομεακές εξαρτήσεις και να επικεντρωθεί περισσότερο το ενδιαφέρον σε συγκεκριμένες κοινότητες.

  • Η άσκηση Cyber Europe 2012 προσέφερε μια ευκαιρία συνεργασίας σε διεθνές επίπεδο και ενίσχυσης της ευρωπαϊκής κοινότητας διαχείρισης συμβάντων στον κυβερνοχώρο. Καίριας σημασίας για την προαγωγή της διεθνούς συνεργασίας είναι η διευκόλυνση της ανταλλαγής ορθών πρακτικών διεξαγωγής ασκήσεων στον κυβερνοχώρο, διδαγμάτων που έχουν αντληθεί και εμπειρογνωσίας, καθώς και της διοργάνωσης συνεδρίων. Με τον τρόπο αυτό θα εξασφαλιστεί ισχυρότερη κοινότητα, ικανή να αντιμετωπίζει τις διακρατικές κρίσεις στον κυβερνοχώρο. Όλα τα ενδιαφερόμενα μέρη στον τομέα της διεθνούς συνεργασίας για την αντιμετώπιση κρίσεων στον κυβερνοχώρο πρέπει να εκπαιδευτούν στη χρήση διαδικασιών ώστε να γνωρίζουν πώς να τις χρησιμοποιούν με επάρκεια. Η ενεργός συμμετοχή επιχειρήσεων του ιδιωτικού τομέα προσέδωσε προστιθέμενη αξία στη συγκεκριμένη άσκηση. Κατά συνέπεια, τα κράτη μέλη της ΕΕ και οι χώρες της ΕΖΕΣ θα πρέπει να εξετάσουν το ενδεχόμενο συμμετοχής του ιδιωτικού τομέα σε μελλοντικές ασκήσεις. 

  • Η ευρωπαϊκή κοινότητα διαχείρισης συμβάντων στον κυβερνοχώρο θα μπορούσε να ενδυναμωθεί μέσω της λήψης πληροφοριών από άλλους ευρωπαϊκούς τομείς κρίσιμης σημασίας (π.χ. υγεία, μεταφορές) οι οποίοι είναι συναφείς με τη διαχείριση κρίσεων μεγάλης κλίμακας.

  • Cyber Europe 2014: Βάσει των διδαγμάτων που αποκομίστηκαν από τις δύο προηγούμενες πανευρωπαϊκές ασκήσεις, η άσκηση CE2014 είναι μια υπερσύγχρονη άσκηση στον κυβερνοχώρο, που θα διεξάγεται καθόλη τη διάρκεια του 2014 με σκοπό την επίτευξη των εξής στόχων: δοκιμή των υφιστάμενων διαδικασιών και μηχανισμών συνεργασίας για τη διαχείριση κρίσεων στον κυβερνοχώρο στην Ευρώπη• ενίσχυση των ικανοτήτων σε εθνικό επίπεδο• διερεύνηση της υφιστάμενης συνεργασίας μεταξύ ιδιωτικού και δημόσιου τομέα• ανάλυση των διαδικασιών κλιμάκωσης και αποκλιμάκωσης (σε τεχνικό, επιχειρησιακό και στρατηγικό επίπεδο)• κατανόηση των ζητημάτων δημόσιας πολιτικής και διοίκησης που συνδέονται με τις επιθέσεις μεγάλης κλίμακας στον κυβερνοχώρο.

Περισσότερες πληροφορίες: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Ασφάλεια στο υπολογιστικό νέφος (cloud) για όλους τους χρήστες ψηφιακών υπηρεσιών


Κοινό-στόχος 

Οι αρμόδιοι για την ασφάλεια των πληροφοριών υπάλληλοι του δημόσιου και του ιδιωτικού τομέα που χρησιμοποιούν και έχουν ενσωματώσει υπηρεσίες υπολογιστικού νέφους στην καθημερινή ζωή τους ή εξετάζουν το ενδεχόμενο να ζητήσουν την προμήθεια υπηρεσιών αυτού του είδους για τις επιχειρήσεις τους. Η σύσταση απευθύνεται επίσης σε όλους τους χρήστες ψηφιακών υπηρεσιών που χρησιμοποιούν συνήθεις δημοφιλείς υπηρεσίες υπολογιστικού νέφους (μέσα κοινωνικής δικτύωσης κ.λπ.), π.χ. Facebook, Dropbox, Instagram, Twitter και άλλα, ώστε να γνωρίζουν πώς λειτουργεί το μοντέλο υπολογιστικού νέφους και ποια είναι τα οφέλη και τα μειονεκτήματά του και να είναι σε θέση να αξιολογούν το είδος των πληροφοριών που πρέπει ή δεν πρέπει να τοποθετούν στο «νέφος». O ENISA εστιάζει περισσότερο στην υποστήριξη των μικρομεσαίων επιχειρήσεων και των φορέων δημόσιας διοίκησης για την αξιολόγηση της κατάστασης πριν από τη μετάβαση στο υπολογιστικό νέφος. 

Συμβουλές

O ENISA συνιστά σε όλους τους δυνητικούς χρήστες υπολογιστικού νέφους να απαντούν στα ακόλουθα ερωτήματα όταν εξετάζουν το ενδεχόμενο χρήσης υπηρεσιών υπολογιστικού νέφους:

  • Ποιες υπηρεσίες μπορούν να συμπεριληφθούν στο νέφος και ποια τα οφέλη του υπολογιστικού νέφους που θα διευκολύνουν την καθημερινή ζωή μου (π.χ., κλιμακωσιμότητα, τεράστιες δυνατότητες αποθήκευσης, τακτική δημιουργία αντιγράφων ασφάλειας, διαλειτουργικότητα);

  • Ποιο είδος πληροφοριών θα μεταφερθεί στο νέφος και πόσο σημαντικές είναι αυτές οι πληροφορίες για τους ιδιοκτήτες τους (δηλαδή, δεδομένα προσωπικού χαρακτήρα, ευαίσθητα δεδομένα και επιχειρηματικά δεδομένα); 

  • Ποια μειονεκτήματα του υπολογιστικού νέφους θα είχαν σοβαρό αντίκτυπο στην καθημερινή εργασία μου και θα προσπαθούσα να βρω τρόπους να τα μετριάσω;

  • Πώς μπορώ να λάβω απόφαση κατόπιν ενημέρωσης σχετικά με το είδος της υπηρεσίας υπολογιστικού νέφους που χρειάζομαι (IaaS, PaaS, SaaS) και να μάθω ποια είναι τα όρια των ευθυνών μου σε κάθε είδος υπηρεσίας;

  • Να αφιερώσουν χρόνο για να συζητήσουν με τον πάροχο υπηρεσιών υπολογιστικού νέφους και να καταλήξουν σε κοινή απόφαση, συμπεριλαμβάνοντάς την στη συμφωνία σε επίπεδο Υπηρεσιών.

Σύσταση

  • Οι δημοσιεύσεις του ENISA σχετικά με την ασφάλεια στο υπολογιστικό νέφος αποτελούν χρήσιμο εγχειρίδιο για τον τρόπο με τον οποίο όλοι οι πελάτες υπηρεσιών υπολογιστικού νέφους μπορούν να προστατεύουν τα στοιχεία ενεργητικού τους και να γνωρίζουν τις ευθύνες και τα δικαιώματά τους όταν χρησιμοποιούν αυτές τις υπηρεσίες. 

  • Η ασφάλεια στο υπολογιστικό νέφος πρέπει να θεωρείται ένα από τα μεγαλύτερα πλεονεκτήματα κατά την προμήθεια των σχετικών υπηρεσιών, λόγω της κλιμακωσιμότητας.

Περισσότερες πληροφορίες: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Ιδιωτικότητα για όλους τους χρήστες ψηφιακών υπηρεσιών


Κοινό-στόχος 

Απευθύνεται σε όλους τους χρήστες ψηφιακών υπηρεσιών. Οι χρήστες έχουν τα ίδια δικαιώματα εντός και εκτός διαδικτύου. Πρέπει να γνωρίζουν τα δικαιώματα που έχουν όταν συνδέονται στο διαδίκτυο. Ο ρόλος των εθνικών αρχών προστασίας των δεδομένων είναι να υποστηρίζουν τους χρήστες.
«Κάθε πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν» - άρθρο 16 της Συνθήκης της Λισαβόνας

Συμβουλές

  • Σύμφωνα με το νομικό πλαίσιο της Ευρωπαϊκής Ένωσης, οι πολίτες της απολαύουν διάφορα δικαιώματα στο ψηφιακό περιβάλλον, όπως η προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικότητας, η ελευθερία έκφρασης και ενημέρωσης.

  • Οι αρχές της προστασίας των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικότητας δεν τηρούνται πάντα στο διαδίκτυο. Σύμφωνα με έρευνα του Ευρωβαρόμετρου, του 2011, για τις θέσεις όσον αφορά την προστασία των δεδομένων και την ηλεκτρονική ταυτότητα στην ΕΕ, το 43% των χρηστών του διαδικτύου δηλώνουν ότι τους έχουν ζητηθεί περισσότερες πληροφορίες προσωπικού χαρακτήρα από όσες είναι απαραίτητες κατά την πρόσβαση ή τη χρήση διαδικτυακών υπηρεσιών και το 70% των Ευρωπαίων ανησυχούν ότι τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν μπορεί να χρησιμοποιηθούν για διαφορετικούς σκοπούς από αυτούς για τους οποίους συλλέχθηκαν. Το 75% των Ευρωπαίων επιθυμεί να έχει τη δυνατότητα να διαγράψει τις πληροφορίες προσωπικού χαρακτήρα σε έναν δικτυακό τόπο όποτε το αποφασίσει.

  • Προκλήσεις που πρέπει να αντιμετωπιστούν: οι ενέργειες των ατόμων δεν αντικατοπτρίζουν πάντα τις ανησυχίες τους όσον αφορά την ιδιωτικότητα• ακόμη και εάν οι χρήστες ανησυχούν για την ιδιωτικότητά τους, μπορεί να αποφασίσουν να κοινοποιήσουν δεδομένα προσωπικού χαρακτήρα με αντάλλαγμα υπηρεσίες ή προϊόντα σε έκπτωση. Μόνο το ένα τρίτο (33%) των Ευρωπαίων γνωρίζουν την ύπαρξη εθνικής δημόσιας αρχής, αρμόδιας για την προστασία των δικαιωμάτων τους όσον αφορά τα δεδομένα προσωπικού χαρακτήρα. 

  • Τέλος, οι ευρωπαίοι πολίτες πρέπει επίσης να αποκτήσουν την ικανότητα να αναγνωρίζουν τις πρακτικές που παραβιάζουν αυτές τις σημαντικές αρχές και να λαμβάνουν τα κατάλληλα μέτρα, μεταξύ άλλων ασκώντας τα δικαιώματά τους ως υποκείμενα των δεδομένων κατά των υπευθύνων επεξεργασίας που δεν συμμορφώνονται και υποβάλλοντας καταγγελίες στις αρμόδιες αρχές, κατά περίπτωση. Αυτό προϋποθέτει επίσης την ευαισθητοποίηση των υποκειμένων των δεδομένων, καθώς το πρώτο βήμα σε αυτή τη διαδικασία είναι να διασφαλιστεί ότι τα υποκείμενα των δεδομένων γνωρίζουν και κατανοούν τη σημασία της προστασίας των δεδομένων τους έναντι άσκοπης κοινοποίησής τους.

Σύσταση

Συνιστούμε στους χρήστες να εντοπίζουν τις πρακτικές που παραβιάζουν τα δικαιώματά τους ως υποκειμένων των δεδομένων και να λαμβάνουν τα κατάλληλα μέτρα, συμπεριλαμβανομένης της υποβολής καταγγελιών στις αρμόδιες αρχές, κατά περίπτωση. Οι αρχές προστασίας των δεδομένων θα πρέπει να στοχεύουν στην ευαισθητοποίηση των χρηστών όσον αφορά τα δικαιώματά τους που απορρέουν από τη νομοθεσία περί προστασίας των δεδομένων και τις δυνατότητες που τους παρέχονται από το νομικό σύστημα για την άσκηση αυτών των δικαιωμάτων, συμπεριλαμβανομένης της δυνατότητας καταγγελίας σε περιπτώσεις αλόγιστης συλλογής και αποθήκευσης δεδομένων προσωπικού χαρακτήρα.

Περισσότερες πληροφορίες

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

ΕΥΡΩΒΑΡΟΜΕΤΡΟ 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

ΕΘΝΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Ασφαλή έξυπνα δίκτυα

Κοινό-στόχος   

Όλες οι συστάσεις απευθύνονται στην Ευρωπαϊκή Επιτροπή, τα κράτη μέλη, τον ιδιωτικό τομέα και τους εμπειρογνώμονες επί υποδομών ζωτικής σημασίας.
Υποδομές ζωτικής σημασίας είναι τα περιουσιακά στοιχεία, συστήματα ή μέρη αυτών που βρίσκονται εντός των κρατών μελών και τα οποία είναι ουσιώδη για τη διατήρηση των λειτουργιών ζωτικής σημασίας της κοινωνίας, της υγείας, της ασφάλειας, της οικονομικής και κοινωνικής ευημερίας των μελών της, και των οποίων η διακοπή λειτουργίας ή η καταστροφή θα είχε σημαντικό αντίκτυπο για ένα κράτος μέλος, ως αποτέλεσμα της αδυναμίας διατήρησης των λειτουργιών αυτών. Ακολουθούν συστάσεις για τα ασφαλή έξυπνα δίκτυα.

Σύσταση

  • Σύσταση 1. Η Ευρωπαϊκή Επιτροπή και οι αρμόδιες αρχές των κρατών μελών θα πρέπει να αναλάβουν πρωτοβουλίες για τη βελτίωση του ρυθμιστικού πλαισίου και του πλαισίου πολιτικής για την ασφάλεια των έξυπνων δικτύων στον κυβερνοχώρο σε εθνικό και ενωσιακό επίπεδο. 

  • Σύσταση 2. Η Ευρωπαϊκή Επιτροπή, σε συνεργασία με τον ENISA και τα κράτη μέλη, θα πρέπει να προωθήσει τη σύσταση σύμπραξης δημόσιου και ιδιωτικού τομέα για τον συντονισμό των πρωτοβουλιών που αφορούν την ασφάλεια των έξυπνων δικτύων στον κυβερνοχώρο. 

  • Σύσταση 3. Ο ENISA και η Ευρωπαϊκή Επιτροπή θα πρέπει να προωθήσουν τις πρωτοβουλίες ευαισθητοποίησης και κατάρτισης. 

  • Σύσταση 4. Η Ευρωπαϊκή Επιτροπή και τα κράτη μέλη, σε συνεργασία με τον ENISA, θα πρέπει να προωθήσουν πρωτοβουλίες διάδοσης και ανταλλαγής γνώσεων. 

  • Σύσταση 5. Η Ευρωπαϊκή Επιτροπή, σε συνεργασία με τον ENISA, τα κράτη μέλη και τον ιδιωτικό τομέα, θα πρέπει να καταρτίσει μια ελάχιστη δέσμη μέτρων ασφάλειας βάσει των υφιστάμενων προτύπων και κατευθυντήριων γραμμών. 

  • Σύσταση 6. Η Ευρωπαϊκή Επιτροπή και οι αρμόδιες αρχές των κρατών μελών θα πρέπει να προωθήσουν την ανάπτυξη συστημάτων πιστοποίησης της ασφαλείας για τα στοιχεία συστημάτων, τα προϊόντα και την οργανωτική ασφάλεια. 

  • Σύσταση 7. Η Ευρωπαϊκή Επιτροπή και οι αρμόδιες αρχές των κρατών μελών θα πρέπει να προωθήσουν τη δημιουργία κλινών δοκιμών και τη διενέργεια εκτιμήσεων ασφάλειας. 

  • Σύσταση 8. Η ΕΕ και τα κράτη μέλη, σε συνεργασία με τον ENISA, θα πρέπει να μελετήσουν και να βελτιώσουν περαιτέρω τις στρατηγικές για τον συντονισμό της αντιμετώπισης πανευρωπαϊκών συμβάντων μεγάλης κλίμακας που επηρεάζουν τα ενεργειακά δίκτυα. 

  • Σύσταση 9. Οι αρμόδιες αρχές των κρατών μελών, σε συνεργασία με τις ομάδες CERT, θα πρέπει να δρομολογήσουν δράσεις προκειμένου να αναλάβουν οι εν λόγω ομάδες συμβουλευτικό ρόλο όσον αφορά την αντιμετώπιση προβλημάτων ασφάλειας στον κυβερνοχώρο που επηρεάζουν τα ενεργειακά δίκτυα. 

  • Σύσταση 10. Η Ευρωπαϊκή Επιτροπή και οι αρμόδιες αρχές των κρατών μελών, σε συνεργασία με την ακαδημαϊκή κοινότητα και τον τομέα της έρευνας και ανάπτυξης, θα πρέπει να προωθήσουν την έρευνα με αντικείμενο την ασφάλεια των έξυπνων δικτύων στον κυβερνοχώρο, αξιοποιώντας τα υφιστάμενα ερευνητικά προγράμματα.

Περισσότερες πληροφορίες: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations

Παραπομπές:

ENISA

  ΑΛΛΑ

 

We use cookies to ensure we give you the best browsing experience on our website. Find out more on how we use cookies and how you can change your settings.

Ok, I understand No, tell me more