ECSM - Recommendations for ALL - SK

Published under European Cybersecurity Month

Európsky mesiac kybernetickej bezpečnosti je podporná kampaň EÚ, ktorá prebieha v októbri. Jej cieľom je zlepšiť informovanosť občanov o kybernetickej bezpečnosti. Kampaň je zameraná na ZMENU vnímania počítačových hrozieb v každodennom živote – či už v práci, alebo počas súkromného používania internetu

Sieťová a informačná bezpečnosť pre pedagógov

Cieľ
Zameriava sa na pedagógov, ktorí sa vymedzujú ako inštruktori, učitelia a partneri zapojení do formálneho a neformálneho vzdelávania vrátane celoživotného vzdelávania. Vzhľadom na svoju významnú úlohu musia byť pedagógovia súčasťou každého prehľadu zainteresovaných strán z oblasti IKT.

Tipy pre vzdelávanie v oblasti sieťovej a informačnej bezpečnosti

Z výsledkov prieskumu agentúry ENISA vyplýva, že v rámci „najlepšieho školenia“ by mal pedagóg zohľadniť: krátky úvod a praktické cvičenia; príbehy a príklady zo skutočného života; súčasťou školenia zameraného na plné ponorenie do problematiky môžu byť: činnosti založené na hraní rolí, simulačné cvičenia a tímové činnosti; podnikateľská hra ako súčasť skúšok; mix užitočných videí;
Výzvy, ktoré treba prekonať:
Pochopiť, že používanie technológie prináša riziká a že tieto riziká sa netýkajú len nás, ale môžu mať vplyv aj na iných ľudí. Je dôležité rozumieť technológii, a nie ju len používať;
Nanovo zmapovať skutočné ľudské vzťahy a správanie na internete: tzv. netiketa;
Zohľadniť multidisciplinárne odborné znalosti (právnické, technické, organizačné atď.);
Štruktúrovaný model vzdelávania v oblasti sieťovej a informačnej bezpečnosti

Odporúčanie

Odporúčame, aby pedagógovia a ich študenti uplatňovali pozitívne orientovaný prístup;
Vytvárajte verejno-súkromné partnerstvá na financovanie a vypracúvanie aktuálnych materiálov a školení.

Viac informácií: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Odborná príprava v oblasti sieťovej a informačnej bezpečnosti pre zamestnancov

Cieľ
Odborná príprava je pre odborníkov na informačnú bezpečnosť, ako aj pre zamestnancov dôležitou súčasťou aktualizácie ich poznatkov o najnovšom vývoji v tejto oblasti, pričom sa prostredníctvom nej zlepšujú aj zručnosti potrebné na nákladovo efektívny boj proti hrozbám.

Tipy

Informačná bezpečnosť je v súčasnosti horúcou témou, keďže sa vyvíja veľmi rýchlo, a či už takým alebo onakým spôsobom sa dotýka života každého z nás. Ľudia potrebujú prístup k zdrojom, výučbovým programom, inštruktážam a špecializovaným školeniam zameraným na témy, ako si udržať prijateľnú úroveň bezpečnosti a súkromia pri vykonávaní svojich každodenných činností, ktoré sa čoraz viac opierajú o informačné technológie;
Pokiaľ ide o oblasť ochrany dôležitých služieb a komunikačnej infraštruktúry jednotlivých krajín, prostredníctvom ktorej máme zabezpečený prístup k čerstvej vode a elektrickej energii a schopnosť komunikovať, treba mať k dispozícii odborníkov, ktorí dokážu riešiť a odstraňovať problémy a poskytnúť poradenstvo. O služby súvisiace s informačnou bezpečnosťou, ako je napríklad riešenie incidentov, výstrahy, varovania alebo analýza artefaktov, je v prípade núdze veľký záujem. Pri mnohých príležitostiach sú potrebné služby tímu reakcie na núdzové počítačové situácie (http://www.enisa.europa.eu/activities/cert/). Keďže každý tím je taký silný ako jeho členovia, treba neustále aktualizovať vedomostnú základňu zamestnancov, špecialistov na zásah a tiež školiteľov, aby dokázali zareagovať na najnovšie hrozby a čo najrýchlejšie a najefektívnejšie ich zmierniť;
Z pohľadu školiteľa mu jeho úloha poskytuje vynikajúcu príležitosť ponoriť sa do „problematiky“ a získať reálny prehľad z rôznych perspektív, keďže komunikácia v triede by mala byť obojstranná. Skúsenosti a aktuálne poznatky sú nenahraditeľnou súčasťou získavania dôveryhodnosti medzi účastníkmi odbornej prípravy, keďže na základe spätnej väzby zo školení si účastníci vysoko cenia príklady zo skutočného života a možnosti uplatnenia;
Na informovanie účastníkov odbornej prípravy možno použiť niekoľko rôznych metód, ako je napríklad organizovanie seminárov a špecializovaných podujatí alebo jednoducho poskytnutie prístupu k materiálom na samoštúdium. Oba prístupy majú svoje výhody, keďže samoštúdium by mohlo byť prínosné z hľadiska zabezpečenia flexibility a zníženia celkových nákladov. Formát založený na seminároch zase podporuje komunikáciu a poskytuje ľuďom vynikajúcu príležitosť podeliť sa o svoje skúsenosti a poznatky.

Odporúčanie

Agentúra ENISA zabezpečuje školenia na mieste určené na podporu tímov reakcie na núdzové počítačové situácie a na rozvoj spôsobilostí iných operačných skupín, pričom materiály určené na odbornú prípravu sú uverejnené na webovej lokalite agentúry ENISA.

Viac informácií: http://www.enisa.europa.eu/activities/cert/support/exercise

Aktualizácie softvéru

Cieľ

Agentúra ENISA varuje pred rizikami vyplývajúcimi z používania softvéru, ktorému skončila podpora, a to nielen z dôvodu chýbajúcej podpory od výrobcu, ale aj od tretích strán, ako sú výrobcovia programov proti škodlivému softvéru (anti-malware) alebo iného druhu softvéru, alebo výrobcovia počítačových periférnych zariadení. Takéto konanie bude mať za následok trvalú zraniteľnosť a stratu možnosti aktualizácie periférnych zariadení alebo aplikácií tretích strán

Tipy

Používanie softvéru, ktorému skončila podpora, prináša vystavenie týmto rizikám:
Koncoví používatelia si nebudú môcť skontrolovať spoľahlivosť softvéru, pretože platnosť podpisových osvedčení už možno uplynula; keďže si používateľ nemôže overiť spoľahlivosť softvérového balíka, mohol by byť vystavený škodlivému softvéru; prostredníctvom potenciálne infikovaných systémov sa nákaza môže rozšíriť do celej siete; to by tiež mohlo viesť k porušovaniu bezpečnostných politík;
Strata produktovej podpory zo strany výrobcu softvéru by potenciálne mohla mať tieto následky: používatelia systémov, ktorým skončila podpora, nebudú môcť využívať bezpečnostné aktualizácie ani dostávať bezpečnostné upozornenia; už sa nebudú zhromažďovať, nahlasovať a analyzovať nové zraniteľné miesta, a preto sa nebudú vydávať nové bezpečnostné aktualizácie; následne môže softvér, ktorému sa skončila podpora, ostať natrvalo vystavený útokom využívajúcim každé takéto zraniteľné miesto, akoby šlo o vektor napadnutia počas nultého dňa (0-day attack); chýbajúca podpora zo strany tretích výrobcov softvéru a hardvéru by mohla viesť k nepoužiteľnosti platformy, napr. neznáme poruchy môžu zastaviť fungovanie softvéru, ktorému skončila podpora; nezlučiteľnosť starých operačných systémov s novými zariadeniami a nepoužiteľnosť riadiacich softvérov pre nové verzie periférnych zariadení môžu používateľom brániť v modernizácii alebo náhrade opotrebovaných alebo poškodených zariadení; prerušenie podpory súčasných zariadení na platforme, ktorej podpora sa skončila, môže mať za následok znemožnenie ďalšieho používania zariadenia v prípade poruchy; prerušenie podpory zo strany tretích výrobcov nainštalovaného softvéru môže zákazníkom zabrániť v modernizácii alebo aktualizácii softvéru tretej strany prostredníctvom novších verzií. To platí aj pre nové aplikácie. Môže to byť mimoriadne kritické v prípade nedostupnosti aktualizovaných verzií antivírusových riešení a riešení zameraných na ochranu pred škodlivým softvérom.

Odporúčanie

Manažéri IT by mali neustále aktualizovať systémy prostredníctvom najnovších bezpečnostných aktualizácii. Softvér, ktorému skončila podpora, by sa mal považovať za vysoké bezpečnostné riziko pre kritické komponenty IT a toto riziko by sa malo zmierňovať prechodom na novšie riešenia alebo iné platformy. V prípade systémov kritickej informačnej infraštruktúry sa riziko vystavenia môže rozšíriť na občanov, čím sa zodpovednosť manažérov IT zväčšuje.
Výrobcovia by mali zaručiť poskytnutie dostatočného času na prechod. Počas tejto fázy agentúra ENISA dôrazne odporúča používanie predbežných upozornení a tiež dôkladnú analýzu očakávaného vplyvu na bezpečnosť používateľov po tom, ako sa skončí podpora produktu.
Používatelia by sa mali uistiť o tom, že poznajú a chápu bezpečnostné riziko, ktorému sa vystavujú, keď naďalej používajú zastaraný softvér.

Viac informácií: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Kybernetické cvičné simulácie pre technických odborníkov

Cieľ

Agentúra ENISA sa angažuje ako podporovateľ celoeurópskych kybernetických cvičných simulácií a všeobecnejšie podporuje výmenu osvedčených postupov v oblasti spolupráce a cvičných simulácií zameraných na kybernetickú krízu. Z podnetu agentúry ENISA sa konalo niekoľko celoeurópskych kybernetických cvičných simulácií s názvom Kybernetická Európa, ako aj spoločná kybernetická cvičná simulácia EÚ a USA (Kybernetický Atlantik) a výročné medzinárodné konferencie pokrývajúce témy v oblasti spolupráce a cvičných simulácií zameraných na kybernetickú krízu. Doteraz boli zorganizované dve celoeurópske cvičné simulácie zamerané na kybernetickú krízu, a to Kybernetická Európa 2010 a Kybernetická Európa 2012, a jedna kybernetická cvičná simulácia EÚ a USA s názvom Kybernetický Atlantik, ktorá sa uskutočnila v roku 2011; tretia celoeurópska kybernetická cvičná simulácia, Kybernetická Európa 2014 (KE2014), práve prebieha. Môžu sa do nej zapojiť všetky zainteresované strany z EÚ a Európskeho združenia voľného obchodu (EZVO) z verejného a súkromného sektora vrátane inštitúcií a orgánov EÚ. Ako príklady možno uviesť okrem iného orgány zaoberajúce sa kybernetickou krízou, ako sú agentúry pre kybernetickú bezpečnosť, národné alebo vládne tímy reakcie na núdzové počítačové situácie (CERT), národné regulačné orgány a subjekty zo súkromného sektora a odborníci na sieťovú a informačnú bezpečnosť.

Odporúčanie

Cvičná simulácia Kybernetická Európa 2012 sa ukázala ako cenná pri podpore celoeurópskeho riadenia kybernetických incidentov. Je preto dôležité pokračovať v tomto úsilí a ďalej rozvíjať oblasť európskych kybernetických cvičných simulácií. Budúce kybernetické cvičné simulácie by mali preskúmať medzisektorové závislé vzťahy a mali by sa viac zameriavať na špecifické komunity;
Cvičná simulácia Kybernetická Európa 2012 poskytla príležitosť na medzinárodnú spoluprácu a posilnenie európskeho spoločenstva pre riadenie kybernetických incidentov. Na posilnenie medzinárodnej spolupráce je nevyhnutné uľahčovať výmenu osvedčených postupov v oblasti kybernetických cvičných simulácií, získaných ponaučení, odborných znalostí a organizovania konferencií. Tým sa zaistí silnejšie spoločenstvo, ktoré dokáže riešiť nadnárodné kybernetické krízy. Všetky zainteresované strany pôsobiace v oblasti medzinárodnej spolupráce týkajúcej sa kybernetickej krízy musia byť vyškolené na uplatňovanie príslušných postupov, aby vedeli, ako s nimi náležite narábať. Pridanou hodnotou tejto cvičnej simulácie bolo zapojenie organizácií zo súkromného sektora. Členské štáty EÚ a krajiny EZVO by preto mali zvážiť zapojenie súkromného sektora aj do budúcich cvičných simulácií;
Európske spoločenstvo pre riadenie kybernetických incidentov by sa mohlo posilniť prostredníctvom príspevku ďalších európskych kritických sektorov (napr. zdravotníctva, dopravy), ktoré sú dôležité pre zvládanie rozsiahlych kríz;
Cvičná simulácia Kybernetická Európa 2014: na základe ponaučení získaných z dvoch predchádzajúcich celoeurópskych cvičných simulácií predstavuje KE2014 vysoko sofistikovanú kybernetickú cvičnú simuláciu, ktorá prebieha počas celého roka 2014 v snahe dosiahnuť tieto ciele: otestovať súčasné postupy spolupráce a mechanizmy riadenia kybernetických kríz v Európe; zdokonaliť vnútroštátne spôsobilosti; preskúmať súčasnú spoluprácu medzi súkromným a verejným sektorom; analyzovať postupy stupňovania a zmierňovania (na technickej, operačnej a strategickej úrovni); pochopiť otázky týkajúce sa vecí verejných, ktoré súvisia s rozsiahlymi kybernetickými útokmi.

Viac informácií: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Bezpečnosť cloudu pre všetkých používateľov digitálnych technológií

Cieľ

Pracovníci pôsobiaci v oblasti informačnej bezpečnosti z verejného a zo súkromného sektora, ktorí používajú služby cloudu a začlenili ich do svojho každodenného života alebo ktorí by uvažovali o obstaraní služieb cloudu pre svoj podnik. Okrem toho aj všetkci používatelia digitálnych technológií, ktorí každodenne používajú obľúbené služby cloudu (sociálne médiá atď.), napr. Facebook, Dropbox, Instagram, Twitter a mnohé ďalšie, aby vedeli, ako funguje model cloudu, aké sú výhody a nevýhody, a aby dokázali posúdiť, aký druh informácií by mali alebo nemali ukladať do „cloudu“. Agentúra ENISA sa viac zameriava na podporu malých a stredných podnikov (MSP) a orgánov verejnej správy, s cieľom dosiahnuť, aby zvážili situáciu ešte predtým, ako začnú využívať služby cloudu.

Tipy

Agentúra ENISA navrhuje všetkým potenciálnym používateľom cloudu, aby sa v rámci diskusie o službách cloudu zamerali na tieto činnosti:

Aké služby sa môžu začleniť do cloudu a aké sú výhody cloud computingu, ktoré im uľahčia každodenný život (t. j. rozšíriteľnosť, obrovský potenciál uchovávania údajov, pravidelné zálohovanie, interoperabilita);
Aký druh informácií bude prenesený do cloudu a aké dôležité sú tieto informácie pre ich vlastníkov (t. j. osobné údaje, citlivé údaje a obchodné údaje)?
Aké sú nevýhody cloud computingu, ktoré by mali zásadný vpyv na vašu každodennú prácu? Pokúste sa nájsť spôsoby, ako ich zmierniť;
Ako urobiť informované rozhodnutie o druhu služby cloudu, ktorý potrebujete (IaaS, PaaS, SaaS), a ako zistiť, kde sú hranice vašej zodpovednosti pri každom druhu služby;
Investujte čas do diskusie s vaším poskytovateľom služieb cloudu a zhodnite sa na spoločnom stanovisku, ktoré zapracujete do dohody o úrovni poskytovaných služieb;

Odporúčanie

Publikácie agentúry ENISA o bezpečnosti cloudu sú dobrou príručkou o tom, ako môžu všetci používatelia cloudu chrániť svoje vlastníctvo a poznať svoje práva a povinnosti pri využívaní služieb cloudu.
Bezpečnosť v rámci cloudu sa musí považovať za jednu z najväčších výhod obstarania služieb cloudu z dôvodu rozšíriteľnosti.

Viac informácií: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Súkromie pre všetkých používateľov digitálnych technológií

Cieľ

Zameriava sa na používateľov digitálnych technológií. Používatelia majú na internete rovnaké práva, ako keď sú offline. Mali by poznať svoje práva na internete. Na podporu používateľov boli zriadené vnútroštátne orgány pre ochranu osobných údajov.
„Každý má právo na ochranu osobných údajov, ktoré sa ho týkajú“ – článok 16 Lisabonskej zmluvy

Tipy

Podľa právneho rámca EÚ prináleží občanom Európskej únie v digitálnom prostredí celý rad práv, ako je napríklad ochrana osobných údajov a súkromia, sloboda prejavu a právo na informácie;
Zásady ochrany údajov a súkromia sa na internete nie vždy dodržiavajú. Podľa prieskumu Eurobarometra za rok 2011 o stanoviskách k ochrane údajov a elektronickej identite v Európskej únii 43 % používateľov internetu uvádza, že pri získavaní prístupu k online službám alebo pri ich využívaní sa od nich požaduje viac osobných informácií, ako je nevyhnutné, a 70 % Európanov sa obáva, že sa ich osobné údaje môžu použiť na iný účel, než na aký boli zhromaždené, pričom 75 % Európanov chce mať možnosť vymazať osobné údaje na webovej lokalite, kedykoľvek sa tak rozhodnú;
Výzvy, ktoré treba prekonať: konanie jednotlivcov nie vždy odráža ich obavy o súkromie; aj keď sa používatelia obávajú o svoje súkromie, môžu sa rozhodnúť poskytnúť osobné údaje výmenou za zlacnené služby alebo tovary; len jedna tretina (33 %) Európanov vie o existencii vnútroštátneho verejného orgánu zodpovedného za ochranu ich práv týkajúcich sa ich osobných údajov;
Na záver, európskych občanov treba podporiť aj pri odhaľovaní postupov, ktoré sú v rozpore s týmito dôležitými zásadami, a pri prijímaní náležitých opatrení, a to aj prostredníctvom uplatňovania ich práv ako dotknutých osôb voči prevádzkovateľom, ktorí porušujú predpisy, a v prípade potreby prostredníctvom podávania sťažností na príslušných úradoch. Tým sa zároveň zvýši informovanosť dotknutých osôb, keďže prvým krokom na tejto ceste je zabezpečiť, aby dotknuté osoby poznali a chápali dôležitosť ochrany svojich údajov pred zbytočným zverejňovaním.

Odporúčanie

Odporúčame používateľom, aby odhaľovali postupy, prostredníctvom ktorých sa porušujú ich práva dotknutých osôb, a aby prijímali náležité opatrenia, v prípade potreby aj prostredníctvom podávania sťažností na príslušných úradoch. Orgány pre ochranu osobných údajov by sa mali zamerať na zlepšovanie informovanosti používateľov o ich právach, ktoré im vyplývajú z právnych predpisov o ochrane údajov, a o možnostiach, ktoré im na uplatňovanie týchto práv ponúka právny systém, a to aj prostredníctvom podávania sťažností v prípadoch nadmerného zhromažďovania a uchovávania osobných údajov.

Viac informácií

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

EUROBAROMETER 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Vnútroštátne orgány pre ochranu osobných údajov: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Bezpečné inteligentné siete

Cieľ

Všetky odporúčania sú určené Európskej komisii, členským štátom, súkromnému sektoru a odborníkom pôsobiacim v oblasti kritickej infraštruktúry.
Kritická infraštruktúra je aktívum, systém alebo jeho časť nachádzajúca sa v členských štátoch, ktorá je nevyhnutná na zachovanie životne dôležitých spoločenských funkcií, zdravia, ochrany a bezpečnosti, hospodárskeho blahobytu alebo spoločenskej pohody ľudí a ktorej poškodenie alebo zničenie by malo v dôsledku nezachovania týchto funkcií značný vplyv na daný členský štát. Nasledujú odporúčania týkajúce sa bezpečných inteligentných sietí.

Odporúčanie

Odporúčanie č. 1. Európska komisia (EK) a príslušné orgány členských štátov by mali iniciovať zlepšenie regulačného a politického rámca týkajúceho sa kybernetickej bezpečnosti inteligentných sietí na vnútroštátnej úrovni a na úrovni EÚ.
Odporúčanie č. 2. EK v spolupráci s agentúrou ENISA a členskými štátmi by mala podporiť vytvorenie verejno-súkromného partnerstva na koordináciu iniciatív v oblasti kybernetickej bezpečnosti inteligentných sietí.
Odporúčanie č. 3. Agentúra ENISA a EK by mali podporovať iniciatívy zamerané na zvyšovanie informovanosti a odbornú prípravu.
Odporúčanie č. 4. EK a členské štáty v spolupráci s agentúrou ENISA by mali podporovať iniciatívy zamerané na šírenie informácií a výmenu poznatkov.
Odporúčanie č. 5. EK, v spolupráci s agentúrou ENISA, členskými štátmi a súkromným sektorom, by mala vypracovať minimálny súbor bezpečnostných opatrení založených na súčasných normách a usmerneniach.
Odporúčanie č. 6. EK a príslušné orgány členských štátov by mali podporiť vytvorenie systémov osvedčovania bezpečnosti súčiastok a výrobkov a organizačnej bezpečnosti.
Odporúčanie č. 7. EK a príslušné orgány členských štátov by mali podporovať vytváranie testovacích zariadení a posúdenia bezpečnosti.
Odporúčanie č. 8. EK a členské štáty by v spolupráci s agentúrou ENISA mali dôkladnejšie preskúmať a vylepšiť stratégie na koordináciu rozsiahlych celoeurópskych kybernetických incidentov, ktoré majú vplyv na elektrické siete.
Odporúčanie č. 9. Príslušné orgány členských štátov by v spolupráci s tímami reakcie na núdzové počítačové situácie (CERT) mali iniciovať činnosti zamerané na zapojenie tímov CERT, ktoré by zohrávali poradnú úlohu pri riešení otázok kybernetickej bezpečnosti, ktoré majú vplyv na elektrické siete.
Odporúčanie č. 10. EK a príslušné orgány členských štátov by v spolupráci s akademickou obcou a so sektorom výskumu a vývoja mali posilniť výskum v oblasti kybernetickej bezpečnosti inteligentných sietí, ktorý vychádza zo súčasných výskumných programov.