ECSM - Recommendations for ALL - FI

Published under European Cybersecurity Month

Euroopan kyberturvallisuuskuukausi on vuosittain lokakuussa toteutettava kampanja, jolla edistetään tietoisuutta kyberturvallisuudesta. Kampanjan tavoitteena on MUOKATA käsityksiä kyberuhista päivittäisessä ympäristössämme – työssä ja vapaa-aikana.

Verkko- ja tietoturvallisuus kouluttajille

Kohderyhmä
Kohderyhmänä ovat kouluttajat, joihin kuuluvat opettajat sekä virallisen ja epävirallisen koulutuksen ja elinikäisen oppimisen piirissä toimivat vertaiskouluttajat. Kouluttajien merkittävä asema on huomioitava jokaisessa tietotekniikan sidosryhmäkartassa.

Vinkkejä verkko- ja tietoturvallisuuskoulutukseen

ENISAn tutkimuksen mukaan koulutustilaisuus on antoisin, kun kouluttaja sisällyttää siihen lyhyen johdatuksen aihepiiriin ja käytännön harjoituksia, tarinoita ja tosielämän esimerkejä. Koulutukseen voi sisältyä eläytymisharjoituksia, rooliharjoituksia, ryhmätyötä, yrityspeli osana tenttiä ja videoita.

Haasteita ratkaistavaksi:

On ymmärrettävä, että teknologian hyödyntäminen tuo mukanaan riskejä, jotka eivät ole vain henkilökohtaisia vaan voivat vaikuttaa myös muihin ihmisiin. Myös teknologian käyttäjän on tärkeää ymmärtää teknologiaa.
On kartoitettava uudelleen aidot ihmissuhteet ja nettikäyttäytyminen: netiketti.
On huomioitava monialaosaaminen (esim. juridinen, tekninen ja organisatorinen).

Verkko- ja tietoturvallisuuskoulutuksen välittajämalli

Suositus

Kouluttajien ja oppilaiden tulisi omaksua positiivinen asenne.
Julkisen ja yksityisen sektorin kumppanuuksilla tulisi pyrkiä rahoittamaan ja kehittämään ajantasaista aineistoa ja tilaisuuksia.
Lisätietoja: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Verkko- ja tietoturvakoulutusta työntekijöille

Kohderyhmä
Koulutus on keskeisessä asemassa, jotta sekä tietoturva-asiantuntijat että työntekijät pysyvät ajan tasalla alan uusimmista kehityssuuntauksista ja jotta voidaan parantaa valmiuksia kustannustehokkaaseen uhkien torjuntaan.

Vinkkejä

Tietoturva on ajankohtainen aihe, sillä se kehittyy erittäin nopeasti ja koskettaa tavalla tai toisella jokaista. Tarvitaan apukeinoja, opetusohjelmia, oppaita ja aihekohtaista koulutusta, joissa perehdytään hyväksyttävän turvallisuus- ja yksityisyystason ylläpitämiseen päivittäisissä toiminnoissa, jotka pohjautuvat yhä enemmän tietotekniikkaan.
Maiden elintärkeitä palveluiden ja viestintäinfrastruktuurin avulla varmistetaan puhtaan veden ja sähkön saatavuus sekä viestintämahdollisuudet. Näiden palveluiden turvaamisessa tarvitaan asiantuntijoita, jotka kykenevät kartoittamaan vikoja, selvittämään ongelmatilanteita ja antamaan neuvontaa. Tietoturvapalveluiden, kuten loukkausten käsittelyyn, hälytyksiin, varoituksin ja artefaktianalyysiin liittyvien palveluiden kysyntä on akuutissa tilanteessa suurta. Tietotekniikan kriisiryhmiä (CERT) tarvitaan monissa tilanteissa (http://www.enisa.europa.eu/activities/cert/ ). Jokainen ryhmä on juuri niin vahva kuin jäsenensä. Siksi työntekijöiden, kriisiryhmään kuuluvien henkilöiden ja kouluttajien tietopohjan on jatkuvasti pysyttävä ajantasaisena. Näin kyetään vastaamaan uusimpiin uhkiin ja voidaan lieventää niiden vaikutuksia mahdollisimman nopeasti ja tehokkaasti.
Kouluttajan tehtävä tarjoaa erinomaiset kenttätyömahdollisuudet ja todellisen näköalapaikan. Opetustilanteessa tulisikin pyrkiä kaksisuuntaiseen viestintään. Koulutuksista saatujen palautteiden perusteella koulutusyleisö arvostaa erityisesti tosielämän esimerkkejä ja käyttötapauksia. Siksi kokemus ja ajantasainen tieto ovatkin keskeisiä koulutettavien luottamuksen saavuttamisessa.
Koulutusyleisölle voidaan jakaa tietoa useiden eri menetelmien avulla, esimerkiksi järjestämällä työpajoja, aihekohtaisia tilaisuuksia tai tarjoamalla itseopiskeluaineistoa. Molemmissa lähestymistavoissa on hyvät puolensa, sillä itseopiskelu voi tuoda joustavuutta ja vähentää kokonaiskustannuksia. Työpajatyyppinen opiskelu kannustaa vuorovaikutukseen ja tarjoaa erinomaisen mahdollisuuden kokemusten ja tietojen jakamiseen.

Suosituksia

ENISA on järjestänyt tietotekniikan kriisiryhmien ja muiden toimijoiden valmiuksia tukevaa koulutusta toimijan tiloissa. Koulutusmateriaali julkaistaan ENISAn verkkosivustolla.

Lisätietoja: http://www.enisa.europa.eu/activities/cert/support/exercise

Ohjelmistopäivitykset

Kohderyhmä

ENISA varoittaa sellaisten ohjelmistojen käytöstä, joiden tuki on päättynyt. Tällaisiin ohjelmistoihin liittyvät riskit, jotka aiheutuvat valmistajien lisäksi myös kolmansien osapuolten, kuten haittaohjelmien torjuntaohjelmien tai muiden ohjelmistojen tai tietokoneen oheislaitteiden valmistajien tuen päättymisestä. Tämä johtaa jatkuvaan haavoittumisalttiuteen, eikä oheislaitteita tai kolmannen osapuolen sovelluksia voida enää päivittää.

Vinkkejä

Tällaisten ohjelmistojen käyttöön liittyy seuraavia riskejä:
Loppukäyttäjät eivät pysty varmistumaan ohjelmiston eheydestä, sillä allekirjoitusvarmenteet voivat olla vanhentuneita. Koska ohjelmistopaketin eheyttä ei voida varmistaa, käyttäjä voi altistua haittaohjelmille. Saastuneet järjestelmät voivat saastuttaa koko verkon. Tietoturvapolitiikkaa ei ehkä pystytä noudattamaan.
Ohjelmistovalmistajan tarjoaman tuotetuen päättymisellä voi olla seuraavia seurauksia: Kyseisten järjestelmien käyttäjät eivät saa turvapäivityksiä tai –ilmoituksia. Uusista haavoittuvuuksista ei enää koota tietoa, niistä ei raportoida eikä niitä analysoida, eikä uusia tietoturvapäivityksiä enää julkaista. Kyseiset ohjelmistot voivat siksi jäädä ikuisesti alttiiksi tällaisille haavoittuvuuksille kuin kyseessä olisi nollapäivähaavoittuvuus. Kolmansien osapuolten ohjelmisto- ja laitevalmistajien tuen päättyminen voi estää ympäristön käytön, esim. tuntemattomat ohjelmointivirheet voivat estää ohjelmiston toiminnan. Vanhojen käyttöjärjestelmien yhteensopimattomuus uusien laitteiden kanssa ja oheislaitteiden uusiin versioihin tarkoitettujen ajureiden puuttuminen voivat estää käytettyjen tai rikkoontuneiden laitteiden päivittämisen tai korvaamisen uudella. Ei-tuetussa ympäristössä käytettävien nykyisten laitteiden tuen keskeytyminen voi estää laitteen käytön häiriötilanteessa. Sama koskee myös uusia sovelluksia. Tämä voi olla erityisen ratkaisevaa virustorjunta- ja haittaohjelmien torjuntaohjelmien kohdalla, jos versiota ei ole mahdollista päivittää.

Suosituksia

Tietohallinnosta vastaavien tulisi aina huolehtia uusimpien tietoturvapäivityksien asentamisesta järjestelmiin. Ei-tuetut ohjelmistot tulisi nähdä merkittävänä kriittisten tietoteknisten komponenttien turvallisuusriskinä, ja niiden määrä tulisi pitää kurissa hankkimalla uudempia ratkaisuja tai muita ympäristöjä. Kriittisen infrastruktuurin tietojärjestelmissä altistumisriski voi ulottua kansalaisiin, minkä vuoksi myös tietohallinnosta vastaavien vastuu kasvaa.
Valmistajien tulisi varmistaa, että tarjottu siirtymäaika on riittävä. Siirtymävaiheessa ENISA suosittaa painokkaasti ennakkoilmoitusten käyttöä ja tuotteen tuotannon päättymisestä käyttäjien turvatasoon kohdistuvien odotettujen vaikutusten perusteellista analyysia.
Käyttäjien tulisi varmistaa, että he tuntevat ja ymmärtävät turvariskit, joille altistuvat käyttäessään vanhentunutta ohjelmistoa.

Lisätietoja: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Kyberharjoituksia teknisille asiantuntijoille

Kohderyhmä

ENISA on sitoutunut toimimaan välittäjänä Euroopan laajuisissa kyberharjoituksissa ja hyvien käytäntöjen vaihdon tukijana kyberkriisiyhteistyön ja -harjoitusten alalla. ENISA on Euroopan laajuisen kyberharjoitussarjan (Cyber Europe), EU:n ja Yhdysvaltojen yhteisen kyberharjoituksen (Cyber Atlantic) sekä vuotuisen kyberkriisiyhteistyötä ja -harjoituksia käsittelevän konferenssin (International Conférences) toimeenpaneva taho. Toistaiseksi on järjestetty kaksi Euroopan laajuista kyberkriisiharjoitusta, Cyber Europe 2010 ja Cyber Europe 2012, sekä yksi EU:n ja Yhdysvaltojen yhteinen kyberkriisiharjoitus Cyber Atlantic vuonna 2011. Kolmas Euroopan laajuinen kyberkriisiharjoitus, Cyber Europe 2014 (CE2014), on parhaillaan meneillään. Kaikki EU:n ja EFTAn julkisen ja yksityisen sektorin sidosryhmät, myös EU:n toimielimet ja muut elimet voivat osallistua. Tällaisia toimijoita ovat muun muassa viranomaiset, jotka toimivat kyberkriisien parissa, kuten kyberturvallisuuskeskukset, kansalliset tai hallinnolliset CERT-ryhmät, kansalliset sääntelyviranomaiset sekä yksityisen sektorin toimijat ja verkko- ja tietoturvallisuusasiantuntijat..

Suosituksia

Cyber Europe 2012 osoittautui arvokkaaksi harjoitukseksi Euroopan laajuisen kyberloukkausten hallinnan parantamisessa. Siksi on tärkeää jatkaa Euroopan laajuisten kyberharjoitusten kehittämistä. Tulevissa kyberharjoituksissa tulisi selvittää sektorien välisiä riippuvuussuhteita ja keskittyä tiettyihin yhteisöihin.
Cyber Europe 2012 tarjosi mahdollisuuden kansainvälisen tason yhteistyöhön ja vahvisti Euroopan kyberloukkausten hallintajoukkoja. Kansainvälisen yhteistyön edistämiseksi on tärkeää helpottaa kyberharjoituksiin liittyvien hyvien käytäntöjen, saatujen kokemusten ja asiantuntemuksen vaihtoa sekä konferenssien järjestämistä. Näin varmistetaan vahvempi yhteisö, joka kykenee ratkaisemaan kansainvälisiä kyberkriisejä. Kaikki kansainvälisten kyberkriisien parissa toimivat sidosryhmät tarvitsevat koulutusta käytettävissä menetelmissä voidakseen hyödyntää niitä asianmukaisesti. Yksityisen sektorin organisaatioiden osallistuminen toi harjoitukseen lisäarvoa. Siksi EU:n jäsenvaltioiden ja EFTA-valtioiden tulisi harkita yksityisen sektorin osallistamista tuleviin harjoituksiin;
Euroopan kyberkriisinhallintajoukkoja voidaan vahvistaa muiden laajamittaisten kriisien hallinnassa keskeisessä asemassa olevien Euroopan kriittisen sektorien (kuten terveysalan ja kuljetusalan) panoksella.
Cyber Europe 2014: CE2014-harjoitus pohjautuu kahdesta aiemmasta Euroopan laajuisesta harjoituksesta saatuihin kokemuksiin. Huippuunsa hiotut kyberharjoitukset toteutetaan vuoden 2014 aikana, ja niiden tavoitteina on testata kyberkriisien hallinnassa käytettyjä nykyisiä eurooppalaisia yhteistyömenetelmiä ja –mekanismeja, parantaa kansallisen tason voimavaroja, tutkia nykyistä yksityisen ja julkisen sektorin yhteistyötä, analysoida kehittymis- ja heikentymisprosesseja (teknisellä, operatiivisella ja strategisella tasolla) ja ymmärtää yhteiskuntasuhteita koskevia kysymyksiä, jotka liittyvät laajamittaisiin kyberhyökkäyksiin.

Lisätietoja: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Turvalliset pilvipalvelut kaikille digitaalisen sisällön käyttäjille

Kohderyhmä

Kohderyhmänä ovat julkisen ja yksityisen sektorin tietoturvavastaavat, jotka hyödyntävät integroituja pilvipalveluja arkikäytössä tai jotka pitävät pilvipalvelujen hankkimista liiketoiminnalliseen käyttöön mahdollisena. Kohderyhmään kuuluvat myös kaikki digitaalisen sisällön käyttäjät, jotka käyttävät suosittuja pilvipalveluja (esim. sosiaalista mediaa), kuten Facebook-, Dropbox-, Instagram- ja Twitter-palveluita tai vastaavia. Käyttäjien tulisi tietää, miten pilvimalli toimii, mitkä ovat sen hyödyt ja millaista sisältöä pilveen kannattaa tai ei kannata ladata. ENISAn antama tuki painottuu pk-yrityksiin ja julkishallinnon elimiin, joita tuetaan tilanteen arvioinnissa ennen pilvipalveluihin siirtymistä.

Vinkkejä

ENISA suosittaa selvittämään seuraavat seikat pilvipalvelujen käyttöönottoa pohdittaessa:

Mitkä palvelut voidaan siirtää pilveen, ja mitkä pilvipalveluiden tuomat edut helpottavat päivittäistä toimintaa (esim. skaalattavuus, valtava tallennustila, säännöllinen varmuuskopiointi, yhteentoimivuus)?;
Minkä tyyppistä tietoa pilveen siirretään, ja kuinka tärkeää kyseinen tieto on omistajalleen (esim. henkilötiedot, arkaluonteiset tiedot ja liiketoimintaa koskevat tiedot)?
Millä pilvipalveluiden haitoilla olisi merkittäviä vaikutuksia päivittäisiin työtehtäviin, ja miten niitä voitaisiin lieventää?
Miten tehdään valistunut päätös siitä, minkä tyyppistä pilvipalvelua tarvitaan (IaaS, PaaS, SaaS)? Miten vastuut jakautuvat kunkin palvelutyypin kohdalla?
Keskustelkaa pilvipalveluiden tarjoajan kanssa ja kirjatkaa yhteisesti sovitut asiat palvelutasosopimukseen.

Suosituksia

Pilvipalvelujen turvallisuutta koskevat ENISAn julkaisut ovat erinomainen käsikirja pilvipalveluiden käyttäjille. Niiden avulla voi selvittää, kuinka tieto-omaisuus suojataan ja mitkä ovat omat vastuut ja oikeudet pilvipalveluita käytettäessä.
Pilvipalveluiden turvallisuus on nähtävä yhtenä merkittävimmistä hyödyistä, kun pilvipalveluita hankitaan skaalattavuuden vuoksi.

Lisätietoja: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Yksityisyydensuoja kaikille digitaalisen sisällön käyttäjille

Kohderyhmä

Kohderyhmänä ovat digitaalisen sisällön käyttäjät. Käyttäjillä on verkkoympäristössä samat oikeudet kuin verkon ulkopuolella, ja heidän tulisi tuntea oikeutensa. Kansallisten tietosuojaviranomaisten tehtävänä on tarjota käyttäjille tukea.

"Jokaisella on oikeus henkilötietojensa suojaan." – Lissabonin sopimuksen 16 artikla.

Vinkkejä

EU:n oikeudellisessa kehyksessä Euroopan unionin kansalaisilla on digitaalisessa ympäristössä useita oikeuksia, kuten henkilötietojen ja yksityisyyden suoja, sananvapaus ja tiedonvälityksen vapaus.
Yksityisyys- ja tietosuojaperiaatteita ei aina kunnioiteta verkossa. Vuoden 2011 Eurobarometrissa kartoitettiin asenteita tietosuojaa ja sähköistä henkilöllisyyttä kohtaan EU:ssa. Internetin käyttäjistä 43 prosentilta on pyydetty tarpeettoman kattavia henkilötietoja verkkopalvelujen käytön yhteydessä, ja 70 prosenttia eurooppalaisista on huolissaan henkilötietojensa mahdollisesta käytöstä muuhun tarkoitukseen kuin siihen, mihin ne alun perin on kerätty. Eurooppalaisista 75 prosenttia haluaa poistaa henkilökohtaiset tiedot verkkosivustolta valitsemanaan ajankohtana.
Haasteita ratkaistavaksi: Yksityishenkilöt eivät aina toimi omien yksityisyydensuojaa koskevien periaatteidensa mukaisesti: vaikka henkilötietojen antaminen epäilyttää, kuluttaja voi silti päättää jakaa henkilötietojaan palveluista tai tavaroista annettavaa alennusta vastaan. Vain kolmannes (33 %) eurooppalaisista tietää, mikä taho toimii heidän oman maansa kansallisena tietosuojaviranomaisena.
Eurooppalaisten on kyettävä tunnistamaan näitä tärkeitä periaatteita loukkaavat käytännöt ja ryhtymään tarvittaviin toimiin. Rekisteröity voi esimerkiksi käyttää valitusoikeuttaan toimivaltaisille viranomaisille, jos rekisterinpitäjä ei noudata velvoitteitaan. Tietoisuus rekisteröidyn oikeuksista lisääntyy sitä mukaa, kun rekisteröidyt ymmärtävät, kuinka tärkeää on suojata omat tietonsa ja estää niiden turha jakaminen.

Suositus

Suosittelemme käyttäjiä tunnistamaan käytännöt, jotka loukkaavat rekisteröidyn oikeuksia, ja ryhtymään aiheellisiin toimiin esimerkiksi tekemällä tarvittaessa valituksen toimivaltaisille viranomaisille Tietosuojaviranomaisten tulisi pyrkiä parantamaan käyttäjien tietoisuutta tietosuojalainsäädännön turvaamista oikeuksista ja oikeudellisen järjestelmän tarjoamista mahdollisuuksista harjoittaa näitä oikeuksia, kuten valitusoikeus liian laajasta henkilötietojen keräämisestä ja säilyttämisestä.

Lisätietoja

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

EUROBAROMETRI 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Kansalliset tietosuojaviranomaiset: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Turvalliset älykkäät verkot

Kohderyhmä

Kaikki suositukset kohdistetaan Euroopan komissiolle, jäsenvaltioille, yksityiselle sektorille ja kriittisen infrastruktuurin asiantuntijoille.
Kriittinen infrastruktuuri on jäsenvaltiossa sijaitseva voimavara tai järjestelmä tai sen osa, joka on keskeinen yhteiskunnan elintärkeiden toimintojen, terveyden, turvallisuuden tai ihmisten taloudellisen tai sosiaalisen hyvinvoinnin kannalta. Kriittisen infrastruktuurin häiriintyminen tai tuhoutuminen aiheuttaisi poikkeamia näissä toiminnoissa, millä olisi merkittävä vaikutus jäsenvaltioon. Seuraavassa esitetään turvallisia älykkäitä verkkoja koskevia suosituksia.

Suosituksia

Suositus 1 Euroopan komission ja jäsenvaltioiden toimivaltaisten viranomaisten tulisi ryhtyä toimeen parantaakseen älykkäiden verkkojen kyberturvallisuutta koskevaa sääntely- ja poliittista järjestelmää kansallisella ja EU:n tasolla.
Suositus 2 Euroopan komission tulisi yhteistyössä ENISAn ja jäsenvaltioiden kanssa edistää julkisen ja yksityisen sektorin kumppanuutta älykkäiden verkkojen kyberturvallisuutta koskevien aloitteiden koordinoimiseksi.
Suositus 3 ENISAn ja Euroopan komission tulisi edistää valistus- ja koulutusaloitteita.
Suositus 4 Euroopan komission ja jäsenvaltioiden tulisi yhteistyössä ENISAn kanssa edistää tietoisuuden levittämiseen ja jakamiseen tähtääviä aloitteita.
Suositus 5 Euroopan komission tulisi yhteistyössä ENISAN, jäsenvaltioiden ja yksityisen sektorin kanssa määritellä standardeihin ja ohjeisiin perustuvat vähimmäisturvatoimet.
Suositus 6 Sekä Euroopan komission että jäsenvaltioiden toimivaltaisten viranomaisten tulisi edistää komponenttien, tuotteiden ja organisaatioiden turvallisuutta koskevien turvavarmentamis¬järjestelmien kehittämistä.
Suositus 7 Euroopan komission ja jäsenvaltioiden toimivaltaisten viranomaisten tulisi edistää koeympäristöjen ja turvallisuusarviointien kehittämistä.
Suositus 8 Euroopan komission ja jäsenvaltioiden tulisi yhteistyössä ENISAn kanssa tarkastella ja tarkentaa koordinointistrategioita sellaisten laajamittaisten Euroopan laajuisten kyberloukkausten varalta, jotka vaikuttavat sähköverkkoihin.
Suositus 9 Jäsenvaltioiden toimivaltaisten viranomaisten tulisi yhteistyössä CERT-ryhmien kanssa käynnistää toimenpiteet, joilla CERT-ryhmät valjastetaan neuvonantajiksi sellaisissa kyberturvallisuusasioissa, jotka vaikuttavat sähköverkkoihin.
Suositus 10 Euroopan komission ja jäsenvaltioiden toimivaltaisten viranomaisten tulisi yhteistyössä tiedemaailman ja tutkimus- ja kehittämissektorin kanssa edistää komission pääsihteeristön kyberturvallisuusalan tutkimusta, joka tukee nykyisiä tutkimusohjelmia.