ECSM - Recommendations for ALL - PL

Europejski miesiąc bezpieczeństwa cybernetycznego to odbywająca się w październiku unijna kampania propagowania wiedzy na temat bezpieczeństwa cybernetycznego wśród obywateli. Założeniem kampanii jest zmiana sposobu postrzegania zagrożeń cybernetycznych w życiu codziennym – w pracy lub podczas korzystania z sieci prywatnie.

Bezpieczeństwo sieci i informacji dla dydaktyków

Adresaci
Adresatem są dydaktycy, do których zalicza się osoby prowadzące szkolenia, nauczycieli oraz osoby zaangażowane w partnerskie uczenie się w ramach kształcenia formalnego i pozaformalnego, w tym uczenie się przez całe życie. Ważnej roli dydaktyków nie należy pomijać przy wymienianiu stron zainteresowanych technologiami informacyjno-komunikacyjnymi (ICT). 

Wskazówki dotyczące kształcenia w dziedzinie bezpieczeństwa sieci i informacji

 

  • Wyniki badania przeprowadzonego przez ENISA wskazują, że chcąc, aby sesja była jak najlepsza, dydaktyk musi uwzględnić: krótkie wprowadzenie i warsztaty praktyczne oraz anegdoty i przykłady z życia; kompleksowa sesja szkoleniowa może obejmować: odgrywanie scenek, ćwiczenia symulacyjne, zadania zespołowe, grę biznesową w ramach egzaminów, zestaw dobrych prezentacji wideo.

  • Wyzwania, którym trzeba sprostać:
    zrozumienie, że korzystanie z technologii wiąże się z zagrożeniami oraz że zagrożenia te nie dotyczą wyłącznie jednostki, ale mogą nieść ze sobą skutki również dla innych osób. Ważne jest, aby technologię rozumieć, a nie tylko z niej korzystać;
    odwzorowanie rzeczywistych stosunków międzyludzkich oraz zachowań w internecie: netykieta;
    uwzględnienie multidyscyplinarnej wiedzy specjalistycznej (prawniczej, technicznej, organizacyjnej itp.).

  • Model pośrednictwa w kształceniu w dziedzinie bezpieczeństwa sieci i informacji

Zalecenia

  • Dydaktykom i uczniom zaleca się pozytywne nastawienie („dla chcącego nie ma nic trudnego”).

  • Zaleca się zawiązywanie partnerstw publiczno-prywatnych w celu finansowania oraz opracowywania aktualnych materiałów oraz sesji.

Więcej informacji: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Szkolenia z bezpieczeństwa sieci i informacji dla pracowników

Adresaci
Szkolenia odgrywają zasadniczą rolę w uaktualnianiu wiedzy ekspertów ds. bezpieczeństwa informacji oraz pracowników na temat najnowszych postępów w tym obszarze, jak również w rozwijaniu umiejętności mających pomóc w zwalczaniu zagrożeń w sposób racjonalny pod względem kosztów.

Wskazówki

  • Bezpieczeństwo informacji to w obecnych czasach gorący temat z uwagi na bardzo szybki rozwój w tej dziedzinie, która w taki czy inny sposób wpływa na życie każdego z nas. Ludzie muszą mieć dostęp do źródeł, podręczników, poradników i specjalnych szkoleń poświęconych utrzymaniu zadowalającego poziomu bezpieczeństwa i prywatności w codziennych działaniach, które w coraz większym stopniu uzależnione są od technologii informacyjnej.

  • Aby zapewnić ochronę krajowej infrastruktury usługowo-komunikacyjnej o zasadniczym znaczeniu, dostarczającej nam świeżą wodę, energię elektryczną oraz umożliwiającej komunikację, trzeba zapewnić również ekspertów, którzy są w stanie diagnozować i rozwiązywać problemy oraz służyć doradztwem. Istnieje duże zapotrzebowanie na usługi związane z bezpieczeństwem informacji, takie jak reagowanie na incydenty, wydawanie ostrzeżeń i analiza artefaktów w przypadku zaistnienia konieczności. Niejednokrotnie niezbędna jest interwencja zespołu reagowania na incydenty komputerowe (http://www.enisa.europa.eu/activities/cert/). Ponieważ siłę zespołu tworzy siła jego członków, trzeba nieustannie dbać o uaktualnianie wiedzy pracowników, respondentów i osób prowadzących szkolenia, zapewniając tym samym zdolność do reagowania na nowe zagrożenia i łagodzenia ich w możliwie jak najszybszy i najefektywniejszy sposób.

  • Z punktu widzenia osoby prowadzącej szkolenia wykonywanie tego zawodu daje wyjątkową możliwość „wyjścia w teren” i odbioru rzeczywistości z różnych perspektyw, ponieważ komunikacja w sali lekcyjnej powinna być dwukierunkowa. Doświadczenie i aktualna wiedza to niezastąpione elementy, dzięki którym osoba prowadząca szkolenie jest wiarygodna w oczach słuchaczy, ponieważ według informacji zwrotnych słuchacze wysoko cenią przykłady z życia i przypadki zastosowania.

  • W celu przekazania informacji słuchaczom podczas szkolenia można korzystać z kilku różnych metod, na przykład takich jak organizacja warsztatów, specjalnych wydarzeń lub po prostu udostępnienie materiałów do samodzielnej nauki. Oba podejścia mają swoje zalety
    – samodzielna nauka może zapewniać elastyczność i zmniejszać koszty ogólne. Warsztaty zachęcają do komunikacji i stanowią dla uczestników doskonałą sposobność do wymiany doświadczeń i wiedzy.

Zalecenia

ENISA prowadzi szkolenia na miejscu, zapewniając wsparcie zespołom reagowania na incydenty komputerowe i zwiększając potencjał innych grup operacyjnych; materiały szkoleniowe publikowane są w witrynie internetowej ENISA.

Więcej informacji: http://www.enisa.europa.eu/activities/cert/support/exercise

Aktualizacja oprogramowania 


Adresaci

ENISA ostrzega przed zagrożeniami wynikającymi z korzystania z wycofanego oprogramowania, z uwagi na brak wsparcia nie tylko ze strony producenta, ale również stron trzecich, takich jak producenci zabezpieczeń chroniących przed złośliwym oprogramowaniem bądź innego oprogramowania lub komputerowych urządzeń peryferyjnych. Będzie to skutkowało nieustanną podatnością na zagrożenia oraz brakiem możliwości aktualizacji urządzeń peryferyjnych lub aplikacji stron trzecich.

Wskazówki

  • Korzystanie z wycofanego oprogramowania wiąże się z następującymi zagrożeniami:
    Użytkownicy końcowi nie będą mogli sprawdzić integralności oprogramowania, ponieważ podpisane certyfikaty mogą stracić ważność; brak możliwości sprawdzenia integralności pakietu oprogramowania może narażać użytkownika na złośliwe oprogramowanie; potencjalnie zarażone systemy mogą zainfekować całą sieć; może to również skutkować złamaniem zasad strategii zabezpieczeń.

  • Utrata wsparcia dla wycofanego produktu ze strony producenta oprogramowania może mieć następujące konsekwencje: użytkownicy wycofanych systemów nie będą korzystali z aktualizacji zabezpieczeń ani nie będą otrzymywać informacji o zabezpieczeniach; nie będą już zgłaszane ani analizowane nowe luki, zatem nie będzie też już żadnych uaktualnień zabezpieczeń; w konsekwencji niewspierane oprogramowanie może być już zawsze podatne na każde takie zagrożenie, zupełnie jakby był to atak typu „zero-day”; skutkiem braku wsparcia ze strony producentów oprogramowania stron trzecich i sprzętu komputerowego może być uniemożliwienie korzystania z platformy, np. nieznane błędy mogą zatrzymać działanie niewspieranego oprogramowania; niekompatybilność starych systemów operacyjnych z nowymi urządzeniami, niedostępność sterowników dla nowych wersji urządzeń peryferyjnych może uniemożliwić użytkownikom modernizację lub wymianę zużytych lub uszkodzonych urządzeń; zawieszenie wsparcia dla istniejących urządzeń na niewspieranej platformie może uniemożliwić dalsze korzystanie z urządzenia w przypadku awarii; zawieszenie wsparcia przez producentów zainstalowanego oprogramowania stron trzecich może uniemożliwić klientom aktualizację oprogramowania strony trzeciej do nowszych wersji. To samo dotyczy nowych aplikacji. Może to mieć szczególne znaczenie w przypadku niedostępności uaktualnionych wersji zabezpieczeń antywirusowych i chroniących przed złośliwym oprogramowaniem.

Zalecenia

  • Menedżerowie IT powinni dbać o regularne uaktualnianie zabezpieczeń systemów. Niewspierane oprogramowanie należy uznawać za wysokie zagrożenie dla bezpieczeństwa krytycznych komponentów IT, które można złagodzić za sprawą migracji do nowszych rozwiązań lub innych platform. W przypadku systemów krytycznej infrastruktury informacyjnej na zagrożenie mogą być podatni również obywatele, zatem menedżerowie IT ponoszą jeszcze większą odpowiedzialność.

  • Producenci powinni zadbać o zapewnienie odpowiednio długiego czasu na migrację. Na tym etapie ENISA zdecydowane zaleca powiadamianie z wyprzedzeniem oraz gruntowną analizę oczekiwanego wpływu na bezpieczeństwo użytkowników po wycofaniu wsparcia dla produktu.

  • Użytkownicy powinni być świadomi zagrożenia dla bezpieczeństwa i zdawać sobie sprawę z ryzyka, na jakie narażają się nadal korzystając z nieaktualnego oprogramowania.

Więcej informacji: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Ćwiczenia w dziedzinie bezpieczeństwa cybernetycznego dla ekspertów technicznych


Adresaci

ENISA ułatwia ćwiczenia w dziedzinie bezpieczeństwa cybernetycznego na skalę ogólnoeuropejską oraz, ogólniej, wspiera wymianę dobrych praktyk w zakresie współpracy i ćwiczeń na wypadek kryzysu cybernetycznego. ENISA jest siłą sprawczą serii ćwiczeń w dziedzinie bezpieczeństwa cybernetycznego na skalę ogólnoeuropejską pod nazwą Cyber Europe oraz wspólnych ćwiczeń w dziedzinie bezpieczeństwa cybernetycznego UE i USA (Cyber Atlantic) i corocznych konferencji międzynarodowych poświęconych tematom związanym ze współpracą i ćwiczeniami na wypadek kryzysu cybernetycznego. Dotychczas zorganizowano ćwiczenia w dziedzinie kryzysów cybernetycznych na skalę ogólnoeuropejską dwukrotnie: Cyber Europe 2010 oraz Cyber Europe 2012, i raz – w 2011 r. – w ramach współpracy UE i USA, pod nazwą „Cyber Atlantic”. Aktualnie trwają trzecie ogólnoeuropejskie ćwiczenia w dziedzinie kryzysów cybernetycznych – Cyber Europe 2014 (CE2014). Mogą w nich uczestniczyć wszystkie zainteresowane strony z sektorów publicznego i prywatnego państw członkowskich UE i EFTA, w tym z instytucji i organów UE. Przykładowo są to między innymi organy zajmujące się kryzysami cybernetycznymi, takie jak agencje ds. bezpieczeństwa cybernetycznego, krajowe lub rządowe zespoły CERT, krajowe organy regulacyjne oraz podmioty z sektora prywatnego i eksperci z dziedziny bezpieczeństwa sieci i informacji.

Zalecenia

  • Ćwiczenia Cyber Europe 2012 okazały się wartościowe pod względem usprawnienia zarządzania incydentami cybernetycznymi na skalę ogólnoeuropejską. Bardzo ważne jest zatem, by kontynuować działania oraz prace nad rozwojem europejskich ćwiczeń w dziedzinie bezpieczeństwa cybernetycznego. Dalsze ćwiczenia w dziedzinie bezpieczeństwa cybernetycznego powinny obejmować analizę zależności między sektorami oraz powinny w większym stopniu koncentrować się na konkretnych społecznościach.

  • Ćwiczenia Cyber Europe 2012 stworzyły możliwość współpracy międzynarodowej i wzmocnienia środowiska podmiotów odpowiedzialnych za zarządzanie incydentami cybernetycznymi na skalę ogólnoeuropejską. W sprzyjaniu współpracy międzynarodowej zasadnicze znaczenie ma ułatwianie wymiany dobrych praktyk w zakresie ćwiczeń w dziedzinie bezpieczeństwa cybernetycznego, wymiany doświadczeń i specjalistycznej wiedzy oraz organizacja konferencji. Zaowocuje to wzmocnieniem społeczności, która będzie umiała stawić czoło kryzysom cybernetycznym o wymiarze międzynarodowym. Wszystkie zainteresowane strony uczestniczące w międzynarodowej współpracy na wypadek kryzysu cybernetycznego należy koniecznie przeszkolić pod kątem zastosowania procedur, aby umiały prawidłowo z nich korzystać. Wartości dodanej ćwiczeniom dostarczył udział organizacji z sektora prywatnego. Państwa członkowskie UE i EFTA powinny zatem rozważyć udział sektora prywatnego w kolejnych ćwiczeniach.

  • Europejskie środowisko odpowiedzialne za zarządzanie incydentami cybernetycznymi można umocnić za sprawą wkładu innych europejskich sektorów o krytycznym znaczeniu (np. zdrowia, transportu), mających znaczenie z punktu widzenia postępowania w sytuacjach kryzysowych na dużą skalę.

  • Ćwiczenia Cyber Europe 2014: opracowane na podstawie doświadczeń wyniesionych z dwóch ostatnich ćwiczeń o zasięgu ogólnoeuropejskim, CE2014 są wysoko zaawansowanymi ćwiczeniami w dziedzinie bezpieczeństwa cybernetycznego, prowadzonymi przez cały 2014 r. z myślą o realizacji następujących celów: badanie istniejących procedur i mechanizmów współpracy na potrzeby zarządzania kryzysami cybernetycznymi w Europie; zwiększenie potencjału na poziomie krajowym; badanie aktualnej współpracy sektorów prywatnego i publicznego; analiza procesów eskalacji i deeskalacji (na poziomach technicznym, operacyjnym i strategicznym); zrozumienie problemów obywateli związanych z atakami cybernetycznymi na dużą skalę.

Więcej informacji: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Bezpieczeństwo w chmurze dla wszystkich użytkowników technologii cyfrowych

Adresaci

Pracownicy sektora publicznego i prywatnego odpowiedzialni za bezpieczeństwo informacji, korzystający z usług w chmurze, którzy wprowadzili usługi w chmurze do swojego codziennego życia lub rozważają nabycie usług w chmurze dla swych przedsiębiorstw i organizacji. Adresatami są również wszyscy użytkownicy technologii cyfrowych, którzy używają na co dzień popularnych usług w chmurze (media społecznościowe itp.), korzystając np. z Facebooka, Dropboxa, Instagramu, Twittera i wielu innych serwisów, którzy zyskają dzięki temu wiedzę o sposobie funkcjonowania modelu chmury oraz jego zaletach i wadach, a także będą potrafili ocenić, jakiego rodzaju informacje można umieszczać w chmurze, a jakich umieszczać nie należy. ENISA koncentruje się bardziej na zapewnieniu MŚP i organom administracji publicznej wsparcia w ocenie sytuacji przed przeniesieniem operacji do chmury.

Wskazówki

ENISA sugeruje wszystkim potencjalnym użytkownikom chmury, aby omawiając usługi w chmurze, rozważyli, co następuje:

  • jakie usługi można przenieść do chmury oraz jakie są korzyści przetwarzania w chmurze, ułatwiające życie na co dzień (tj. skalowalność, ogromny potencjał pojemności dyskowej, regularne tworzenie kopii zapasowych, interoperacyjność);

  • jakiego rodzaju dane zostaną przeniesione do chmury i na ile są one ważne dla ich właścicieli (tj. dane osobowe, dane wrażliwe oraz dane dotyczące działalności gospodarczej);

  • jakie są wady przetwarzania w chmurze, które mogą silnie wpłynąć na codzienną pracę, i jakie są możliwe sposoby ich zminimalizowania;

  • w jaki sposób podjąć świadomą decyzję w kwestii rodzaju usług w chmurze, których potrzebujemy (IaaS, PaaS, SaaS), i gdzie przebiega granica naszej odpowiedzialności w przypadku każdego rodzaju usług;

  • należy poświęcić czas na rozmowę z dostawcą usług w chmurze oraz wspólnie uzgodnić warunki i ująć je w umowie o gwarantowanym poziomie usług.

Zalecenia

  • Publikacje ENISA na temat bezpieczeństwa w chmurze stanowią dla wszystkich klientów korzystających z usług w chmurze dobre podręczne źródło informacji na temat sposobów ochrony ich aktywów oraz na temat obowiązków i praw w związku z korzystaniem z usług w chmurze.

  • Bezpieczeństwo w chmurze to jedna z najważniejszych korzyści, jaką należy rozważyć przy zakupie usług w chmurze z uwagi na skalowalność.

Więcej informacji: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Ochrona prywatności wszystkich użytkowników technologii cyfrowych


Adresaci

Adresatami są użytkownicy technologii cyfrowych. Użytkownikom przysługują takie same prawa w sieci (online), jak i poza nią (offline); powinni oni mieć świadomość swoich praw online. Wsparcie użytkownikom mają zapewniać krajowe organy ochrony danych.
„Każda osoba ma prawo do ochrony danych osobowych jej dotyczących” – art. 16 Traktatu z Lizbony.

Wskazówki

  • Zgodnie z ramami prawnymi UE obywatelom Unii Europejskiej przysługuje w otoczeniu cyfrowym szereg praw, takich jak prawo do ochrony danych osobowych i prywatności oraz wolność wypowiedzi i informacji.

  • W sieci nie zawsze przestrzega się zasad ochrony danych i prywatności. Według przeprowadzonego w 2011 r. badania Eurobarometru dotyczącego ochrony danych i tożsamości elektronicznej w Unii Europejskiej 43% użytkowników internetu twierdzi, że podczas uzyskiwania dostępu do serwisu online lub korzystania z niego żądano od nich podania większej liczby danych osobowych niż potrzeba, a 70% Europejczyków obawia się, że ich dane osobowe mogą być wykorzystane do celów innych niż ten, w którym zostały zgromadzone. 75% Europejczyków chce posiadać możliwość wykasowania danych osobowych z witryny internetowej zgodnie z własną decyzją.

  • Wyzwania, którym trzeba sprostać: działania indywidualnych osób nie zawsze odzwierciedlają ich obawy o prywatność; nawet jeżeli użytkownicy obawiają się o swoją prywatność, mogą zdecydować się na udostępnienie swoich danych osobowych w celu zakupu usług lub towarów po obniżonej cenie; tylko jedna trzecia (33%) Europejczyków jest świadoma istnienia krajowych organów publicznych, które odpowiadają za ochronę ich praw w obszarze danych osobowych.

  • I wreszcie obywatele Europy muszą też mieć możliwość rozpoznawania praktyk, które naruszają te ważne zasady, a także podejmowania właściwych działań, w tym korzystania z praw przysługujących osobom, których te dane dotyczą, w stosunku do administratorów niedozwolonych danych, jak również kierowania skarg do właściwych organów, jeżeli zachodzi taka potrzeba. Wiąże się to również z większą świadomością osób, których dotyczą dane, ponieważ pierwszy krok na tej drodze to zapewnienie, by osoby takie zdawały sobie sprawę ze znaczenia ochrony swoich danych przed niepotrzebnym ujawnieniem.

Zalecenia

Użytkownikom zaleca się rozpoznawanie praktyk naruszających ich prawa jako osób, których dane dotyczą, jak również podejmowanie właściwych działań, łącznie z kierowaniem skarg do właściwych organów w stosownych przypadkach. Organy ochrony danych powinny dążyć do zwiększenia wiedzy użytkowników na temat praw przysługujących im na mocy prawa o ochronie danych, a także możliwości oferowanych przez system prawny w celu korzystania z tych praw, w tym możliwości kierowania skarg w przypadkach zbierania i przechowywania nadmiernej ilości danych osobowych.

Więcej informacji

 

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

EUROBAROMETER 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Krajowe organy ochrony danych: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Bezpieczeństwo inteligentnych sieci

Adresaci  

Wszystkie zalecenia kieruje się do Komisji Europejskiej, państw członkowskich, sektora prywatnego i ekspertów ds. infrastruktury krytycznej.
Infrastruktura krytyczna to składnik majątku, system lub jego części zlokalizowane w państwach członkowskich i odgrywające zasadnicze znaczenie w utrzymywaniu podstawowych funkcji społecznych, zdrowia, bezpieczeństwa, dobrostanu ekonomicznego lub społecznego obywateli; zakłócenia w funkcjonowaniu takiej infrastruktury bądź jej zniszczenie mogą mieć poważne następstwa dla państwa członkowskiego, wynikające z braku możliwości utrzymania wspomnianych funkcji. Poniżej zawarte są zalecenia dotyczące bezpieczeństwa inteligentnych sieci.

Zalecenia

  • Zalecenie 1. Komisja Europejska (KE) oraz właściwe organy państw członkowskich powinny podejmować inicjatywy mające na celu doskonalenie ram regulacyjnych i ram polityki w obszarze bezpieczeństwa cybernetycznego inteligentnych sieci na poziomie krajowym i unijnym.

  • Zalecenie 2. KE we współpracy z ENISA i państwami członkowskimi powinna wspierać tworzenie partnerstw publiczno-prywatnych (PPP) w celu koordynowania inicjatyw ukierunkowanych na bezpieczeństwo cybernetyczne inteligentnych sieci.

  • Zalecenie 3. ENISA i KE powinny stymulować inicjatywy mające na celu zwiększenie świadomości oraz inicjatywy w obszarze szkoleń.

  • Zalecenie 4. KE i państwa członkowskie we współpracy z ENISA powinny stymulować inicjatywy mające na celu upowszechnianie i wymianę wiedzy.

  • Zalecenie 5. KE we współpracy z ENISA, państwami członkowskimi i sektorem prywatnym powinna opracować minimalny zestaw środków bezpieczeństwa w oparciu o istniejące standardy i wytyczne.

  • Zalecenie 6. KE i właściwe organy państw członkowskich powinny wspierać tworzenie systemów certyfikowania zabezpieczeń dla komponentów, produktów i organizacji.

  • Zalecenie 7. KE i właściwe organy państw członkowskich powinny stymulować tworzenie stanowisk badawczych i przeprowadzanie ocen bezpieczeństwa.

  • Zalecenie 8. KE i państwa członkowskie we współpracy z ENISA powinny nadal badać i doskonalić strategie koordynowania w przypadku ogólnoeuropejskich incydentów cybernetycznych na dużą skalę mających wpływ na sieci elektroenergetyczne.

  • Zalecenie 9. Właściwe organy państw członkowskich we współpracy z zespołami reagowania na incydenty komputerowe (CERT) powinny podejmować działania mające na celu zaangażowanie CERT jako organów doradczych w rozwiązywanie problemów z zakresu bezpieczeństwa cybernetycznego mających wpływ na sieci elektroenergetyczne.

  • Zalecenie 10. KE i właściwe organy państw członkowskich we współpracy ze środowiskiem akademickim oraz sektorem badań naukowych i rozwoju powinny stymulować badania naukowe w dziedzinie bezpieczeństwa cybernetycznego inteligentnych sieci, korzystając przy tym z istniejących programów badawczych.

Więcej informacji: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations

Źródła:

ENISA

  OTHER

 

We use cookies to ensure we give you the best browsing experience on our website. Find out more on how we use cookies and how you can change your settings.

Ok, I understand No, tell me more