Luna europeană a securității cibernetice (European Cyber Security Month -
ECSM) este o campanie de sensibilizare a UE, care are loc în luna
octombrie.
Scopul acesteia este de a promova securitatea cibernetică în
rândul cetățenilor și de A LE SCHIMBA percepția asupra amenințărilor
cibernetice în viața de zi cu zi, atunci când utilizează internetul la
locul de muncă sau acasă.
Mesajul este
Securitatea cibernetică este o responsabilitate a tuturor! Opreşte-te. Gândeşte-te. Conectează-te
Securitatea cibernetică este o responsabilitate a tuturor! Opreşte-te. Gândeşte-te. Conectează-te
În 2014 ENISA va încerca să sporească gradul de implicare ale sectorului privat și celui public în această inițiativă prin organizarea de acţiuni comune.
În contextul Lunei europene a securităţii informatice , ENISA va
publica noi materiale, inclusiv în limba română, în scopul de informa, a ţine
la curent şi a educa utilizatorii digitali.
Primul set de materiale – 7 sinteze
informative însoţite de recomandări cu privire la subiecte referitoare la
securitate.
Recomandările includ indicaţii privind
securitatea reţelor şi a informaţiilor adresate
educatorilor şi angajaţilor,
riscurile asociate cu utilizarea software-urilor abandonate, securitatea
serviciilor de cloud computing pentru toți utilizatorii digitali (cum ar fi mass-media sociale), drepturile privind protecția datelor online, și lecții
accesibile privind crearea şi menţinerea reţelelor inteligente sigure.
Materialele au fost elaborate de experţii
ENISA
Secururitatea rețelelor și a informațiilor pentru educatori
Publicul-țintă
Se adresează educatorilor - formatori, profesori, omologi implicați în educația formală și informală, inclusiv în învățarea pe tot parcursul vieții. Atunci când se definește cine sunt părțile interesate din sectorul TIC, nu trebuie să se omită rolul fundamental al educatorilor.
Indicații
privind educația în
domeniul securității
rețelelor și a informațiilor
- Rezultatele unui sondaj ENISA indică faptul că, pentru a oferi „cel mai bun curs” posibil, educatorul trebui să ia în considerare următoarele elemente: o scurtă introducere și ateliere practice; întâmplări și exemple din viața de zi cu zi; sesiuni de formare cu implicarea totală a participanților, care să includă activități practice, exerciții de simulare, activități în echipă; jocuri antreprenoriale ca probă de examen; un ansamblu de imagini video de calitate.
- Provocări care trebuie depășite:
- Înțelegerea faptului că utilizarea tehnologiei implică riscuri și că aceste riscuri nu sunt doar personale, ci pot avea repercusiuni și asupra altor persoane. Este important să se înțeleagă și tehnologia, nu doar utilizarea sa.
- Redefinirea relațiilor și a comportamentelor umane reale pe internet: conceptul de Netiquette („eticheta pe net”).
- Realizarea unei expertize multidisciplinare (juridică, tehnică, organizațională etc.).
- Modelul de intermediere privind educația în domeniul securității rețelelor și a informațiilor.
Recomandări
- Recomandăm ca educatorii și elevii lor să adopte o atitudine constructivă.
- Realizarea de parteneriate public-privat pentru a finanța și crea materiale și cursuri actualizate.
Informații suplimentare: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
Formarea în domeniul securității rețelelor și a informațiilor pentru angajați
Publicul-țintă
Formarea este esențială pentru a le permite experților și angajaților din domeniul securității informațiilor să fie la zi cu ultimele evoluții în acest domeniu și, de asemenea, să-și îmbunătățească competențele în vederea combaterii amenințărilor în mod rentabil.
Formarea este esențială pentru a le permite experților și angajaților din domeniul securității informațiilor să fie la zi cu ultimele evoluții în acest domeniu și, de asemenea, să-și îmbunătățească competențele în vederea combaterii amenințărilor în mod rentabil.
Indicații
- În prezent, securitatea informațiilor este un subiect de actualitate, deoarece evoluează extrem de rapid și, într-un fel sau altul, ne influențează viața. Este necesar ca cetățenii să aibă acces la resurse, materiale informative, ghiduri de utilizare și sesiuni de formare menite să asigure un nivel acceptabil de securitate și confidențialitate în desfășurarea activităților lor de zi cu zi, care depind din ce în ce mai mult de tehnologiile informației.
- În ceea ce privește aspectele legate de protecția serviciilor și a infrastructurilor naționale vitale de comunicații care ne furnizează apă potabilă, energie electrică și mijloace de comunicare, se observă o lipsă de specialiști care să poată interveni în situații de urgență, soluționa probleme și oferi consiliere. Serviciile legate de securitatea informațiilor, cum ar fi tratarea incidentelor, alertele, avertismentele și analiza artefactelor, sunt foarte solicitate, atunci când este necesar. De multe ori, este nevoie de intervenția centrelor de răspuns la incidente de securitate cibernetică (Computer Emergency Response Team - CERT) (http://www.enisa.europa.eu/activities/cert). Întrucât puterea unei echipe depinde de membrii acesteia, există o nevoie constantă de a menține la zi baza de cunoștințe a angajaților, a respondenților și a formatorilor, pentru a putea reacționa la cele mai noi amenințări și pentru a le contracara în modul cel mai rapid și mai eficient posibil.
- Statutul de formator îi oferă acestuia o ocazie excelentă de a merge „pe teren” și de a descoperi realitatea din perspective diferite, având în vedere faptul că în sala de clasă comunicarea trebuie să fie bidirecțională. Formatorul trebuie să dispună de experiență și cunoștințe actualizate pentru a obține credibilitate în rândul cursanților. În urma feedbackului primit în ceea ce privește activitatea de formare, se constată că elevii apreciază deosebit de mult exemplele din viața reală și cazurile trăite.
- Pot fi utilizate metodologii diferite pentru a transmite informații cursanților. De exemplu, prin organizarea de ateliere de lucru, evenimente specifice sau, pur și simplu, prin punerea la dispoziție de materiale de studiu individual. Ambele abordări au avantajele lor, studiul individual permițând flexibilitate și reducând costul global. Formula „atelier” încurajează comunicarea și reprezintă o ocazie excelentă pentru participanți de a-și împărtăși experiența și cunoștințele.
Recomandări
ENISA oferă cursuri de formare la
fața locului, pentru a sprijini CERT și pentru a consolida competențele altor comunități operaționale. Materialul de formare este publicat pe site-ul ENISA.
Actualizarea software-urilor
Publicul-țintă
ENISA avertizează cu privire la riscurile
legate de utilizarea software-urilor abandonate, nu numai din cauza lipsei de
sprijin din partea fabricantului, ci și din partea terților (fabricanți de programe antimalware, de alte tipuri de
software sau de periferice). Acest lucru conduce la o expunere
permanentă la vulnerabilități și la imposibilitatea de a actualiza
perifericele sau aplicațiile terților.
Indicații
·
Utilizarea unui software abandonat implică
expunerea la următoarele riscuri: utilizatorii finali nu vor fi în măsură
să verifice integritatea software-ului, deoarece s-ar putea ca certificatele de
semnătură să fie expirate; neavând posibilitatea de a verifica integritatea
pachetului de software, utilizatorul poate fi expus amenințărilor programelor malware; sistemele potențial afectate pot răspândi infecția în toată rețeaua;
de asemenea, acest lucru ar putea conduce la nerespectarea politicii de
securitate.
- Pierderea accesului la sprijinul tehnic din partea fabricantului software-ului abandonat ar putea avea următoarele efecte: utilizatorii acestor sisteme nu vor beneficia de actualizări și de avize de securitate; eventualele noi vulnerabilități nu vor mai fi colectate , raportate și analizate și, prin urmare, nu vor mai fi lansate noi corecții de securitate; în consecință, software-ul abandonat poate rămâne permanent expus la astfel de vulnerabilități, ca și cum ar fi un vector de atac de tipul „ziua 0”; lipsa sprijinului din partea fabricanților de software și de hardware terți ar putea conduce la imposibilitatea de a utiliza platforma, de exemplu erori necunoscute ar putea opri funcționarea software-ului abandonat; incompatibilitatea dintre sistemele de operare vechi și dispozitivele noi și indisponibilitatea operatorilor noilor versiuni ale perifericelor îi pot împiedica pe utilizatori să-și actualizeze sau să-și înlocuiască dispozitivele uzate sau avariate; suspendarea sprijinului din partea dispozitivelor existente pe platforma abandonată poate duce la imposibilitatea de a utiliza dispozitivul în caz de eșec; suspendarea sprijinului din partea producătorilor terți de software instalat îi poate împiedica pe clienți să actualizeze sau să aplice corecțiile la versiuni mai recente de software ale terților. Acest lucru este valabil și pentru aplicațiile noi. Această situație poate fi deosebit de critică în cazul în care nu sunt disponibile versiuni actualizate de programe antivirus și antimalware.
Recomandări
- Responsabilii IT trebuie să actualizeze în permanență sistemele în funcție de cele mai recente corecții de securitate. Software-urile abandonate ar trebui să fie considerate un risc de securitate ridicat pentru componentele informatice esențiale. Este necesar ca ele să fie înlocuite cu soluții noi sau cu alte platforme. În cazul sistemelor de infrastructură critică de informații, riscul de expunere poate afecta și cetățenii și, prin urmare, răspunderea responsabililor IT este mai mare.
- Fabricanții trebuie să se asigure că oferă suficient timp pentru migrare. În timpul acestei faze, ENISA recomandă insistent utilizarea de notificări și, de asemenea, realizarea unei analize aprofundate a impactului așteptat asupra securității utilizatorilor după ce produsul va fi abandonat.
·
Utilizatorii trebuie să se asigure că înțeleg și
cunosc riscul de securitate la care se expun dacă aleg să utilizeze în
continuare software-uri învechite.
Informații suplimentare: http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software
Exerciții de securitate cibernetică pentru experții tehnici
Publicul-țintă
ENISA s-a angajat să îndeplinească rolul de facilitator de exerciții de securitate cibernetică paneuropene și, mai general, să sprijine schimbul de bune
practici privind cooperarea și exercițiile în caz de criză cibernetică. ENISA este
forța motrice a unei serii de exerciții de securitate cibernetică paneuropene (Cyber Europe), precum și a exercițiului comun
UE-SUA (Cyber Atlantic) și
al unor conferințe
internaționale anuale axate pe teme
privind cooperarea și exercițiile în caz de criză cibernetică. Până în
prezent, au fost organizate două exerciții
critice de securitate cibernetică paneuropene (Cyber Europe 2010 și Cyber Europe 2012) și, în 2011, un exercițiu
de securitate cibernetică UE-SUA (Cyber Atlantic); în prezent, este în curs de
desfășurare cel de-al treilea exercițiu paneuropean în caz de criză cibernetică
(Cyber Europe 2014 - CE2014). Pot participa toate părțile interesate din sectorul public și privat din UE și
AELS, inclusiv instituțiile și organismele UE. De exemplu, autorități competente în materie de criză
cibernetică, cum ar fi agențiile de
securitate cibernetică, centrele naționale
sau guvernamentale de răspuns la incidente de securitate cibernetică (CERT) ,
autoritățile naționale de reglementare, entitățile
din sectorul privat și experții în domeniul securității cibernetice
Indicații
- Cyber Europe 2012 s-a dovedit util pentru ameliorarea gestionării incidentelor cibernetice paneuropene. Prin urmare, este important să se continue eforturile și să se dezvolte spațiul european al exercițiilor de securitate cibernetică. Viitoarele exerciții de securitate cibernetică ar trebui să analizeze dependențele intersectoriale și să se concentreze mai mult pe comunități specifice.
- Cyber Europe 2012 a fost o oportunitate de cooperare la nivel internațional și de consolidare a comunității europene de gestionare a incidentelor cibernetice. Pentru a stimula cooperarea internațională, sunt esențiale facilitarea schimbului de bune practici, de experiență și de expertiză în materie de exerciții de securitate cibernetică și organizarea de conferințe. Acest lucru va asigura o comunitate mai puternică, în măsură să combată crizele de securitate cibernetică transnaționale. Toate părțile interesate din domeniul cooperării internaționale în materie de criză cibernetică trebuie să dispună de informații cu privire la utilizarea procedurilor, pentru a ști cum să lucreze cu acestea în mod corespunzător. Implicarea organizațiilor din sectorul privat în calitate de actori a avut valoare adăugată în acest exercițiu. Prin urmare, statele membre ale UE și țările AELS ar trebui să ia în considerare implicarea sectorului privat în exercițiile viitoare.
- Comunitatea de gestionare a incidentelor cibernetice europene ar putea fi consolidată prin contribuții din partea altor sectoare europene vitale (ex. sănătate, transport) care sunt relevante pentru gestionarea crizelor de mare amploare.
- Cyber Europe 2014: bazându-se pe lecțiile învățate în cele două exerciții paneuropene anterioare, CE2014 este un exercițiu de securitate cibernetică extrem de sofisticat, care se desfășoară pe parcursul anului 2014 și vizează îndeplinirea următoarelor obiective: testarea procedurilor și a mecanismelor de cooperare existente pentru gestionarea crizelor în Europa, ameliorarea capacităților la nivel național, explorarea cooperării existente între sectorul public și cel privat, analizarea proceselor de escaladare și de atenuare (pe plan tehnic, operațional și strategic), înțelegerea problemelor din domeniul afacerilor publice legate de atacurile cibernetice de mare amploare.
Informații suplimentare: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
Securitatea serviciilor de cloud computing pentru toți utilizatorii digitali
Publicul-țintă
Agenții responsabili cu securitatea informațiilor din sectorul public și privat care utilizează servicii de cloud
computing în viața de zi cu zi sau care
intenționează să recurgă la astfel de servicii
pentru activitatea lor profesională. Sunt vizați, de asemenea, toți utilizatorii digitali care utilizează, zi de zi,
servicii de cloud computing cunoscute (rețele de socializare etc.), de exemplu Facebook, Dropbox, Instagram, Twitter și multe altele, pentru ca aceștia să cunoască modul în care funcționează modelul de cloud computing, care sunt
avantajele și dezavantajele sale și să fie în măsură să evalueze ce tip de informații ar trebui sau nu ar trebui să fie introduse în
„cloud”. ENISA se concentrează mai mult pe sprijinirea IMM-urilor și a organismelor de administrație publică pentru a evalua situația înainte de a trece la cloud computing.
Indicații
ENISA le sugerează tuturor potențialilor utilizatori de cloud computing să țină cont de următoarele aspecte atunci când
examinează serviciile de cloud computing:
- Care sunt serviciile care pot fi plasate în „cloud” și care sunt avantajele tehnologiei de cloud computing care îi vor ajuta în viața de zi cu zi (ex. scalabilitate, potențial uriaș de stocare, copii de securitate periodice, interoperabilitate)?
- Ce tip de informații vor fi transferate în „cloud” și cât de importante sunt acestea pentru proprietarii lor (ex. date cu caracter personal, date sensibile și date comerciale)?
- Care sunt dezavantajele cloud computingului care ar putea avea un impact puternic asupra activității dumneavoastră de zi cu zi și în ce mod ar putea fi acestea atenuate?
- Cum poate fi luată o decizie în cunoștință de cauză privind tipul de servicii de cloud computing de care aveți nevoie (IaaS, PaaS, SaaS) și care sunt limitele responsabilităților dumneavoastră pentru fiecare tip de serviciu?
- De asemenea, utilizatorii potențiali trebuie să discute cu furnizorul de servicii de cloud computing și să ajungă la o înțelegere comună, care să fie menționată în acordul privind nivelul serviciilor (SLA).
Recomandări
- Publicațiile ENISA privind serviciile de cloud computing reprezintă un ghid util cu privire la modul în care clienții acestor servicii își pot proteja bunurile și își pot cunoaște drepturile și responsabilitățile care le revin atunci când utilizează aceste servicii.
- Securitatea în „cloud” trebuie considerată ca fiind unul dintre cele mai mari avantaje ale serviciilor de cloud computing, datorită scalabilității lor.
Protecția datelor cu caracter personal pentru toți utilizatorii digitali
Publicul-țintă
Sunt vizați utilizatorii digitali. Utilizatorii au aceleași drepturi, online și offline; ei trebuie să fie conștienți de
drepturile lor online. Autoritățile naționale de protecție a datelor sunt menite să-i sprijine pe
utilizatori.
„Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc” (articolul 16 din Tratatul de la Lisabona)
„Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc” (articolul 16 din Tratatul de la Lisabona)
Indicații
- Conform cadrului juridic al UE, cetățenii Uniunii Europene beneficiază de o serie de drepturi în mediul digital, cum ar fi protecția vieții private și a datelor cu caracter personal, a libertății de exprimare și a informațiilor.
- Principiile protecției datelor și a vieții private nu sunt întotdeauna respectate online. Potrivit sondajului Eurobarometru din 2011 privind atitudinile referitoare le protecția datelor și identitatea electronică în Uniunea Europeană, 43% dintre utilizatorii de internet declară că li s-au solicitat mai multe date cu caracter personal decât sunt necesare pentru accesarea sau utilizarea unui serviciu online și 70% dintre cetățenii europeni sunt îngrijorați de faptul că datele lor cu caracter personal pot fi utilizate în alt scop decât cel pentru care au fost colectate. 75% dintre cetățenii europeni doresc să poată șterge informațiile cu caracter personal de pe un site internet, ori de câte ori doresc să facă acest lucru.
- Provocări care trebuie depășite: acțiunile persoanelor fizice nu reflectă întotdeauna îngrijorările lor legate de protecția vieții private; chiar dacă utilizatorii sunt preocupați de respectarea vieții lor private, ei pot decide să comunice date cu caracter personal în schimbul achiziționării de bunuri sau servicii la preț redus; numai o treime (33%) dintre europeni sunt conștienți de existența unei autorități publice naționale responsabilă pentru protejarea drepturilor lor cu privire la datele cu caracter personal;
- Nu în ultimul rând, cetățenii europeni trebuie să fie, de asemenea, abilitați să identifice practici care încalcă aceste principii importante și să ia măsurile necesare, inclusiv prin exercitarea drepturilor lor în calitate de titulari ai datelor în relațiile cu responsabilii cu prelucrarea datelor care nu acționează în conformitate cu principiile sus-menționate și prin înregistrarea plângerilor la autoritățile competente, după caz. Acest lucru implică, de asemenea, o mai mare sensibilizare a persoanelor vizate, întrucât primul pas este garantarea faptului că ele sunt informate și înțeleg importanța protecției datelor împotriva divulgării inutile a acestora.
Recomandări
Recomandăm utilizatorilor să identifice practicile care încalcă drepturile
pe care le au în calitate de titulari ai acestor date și să ia măsuri corespunzătoare, inclusiv prin înregistrarea de
plângeri la autoritățile competente,
după caz. Autoritățile responsabile cu
protecția datelor ar trebui să
urmărească o mai bună sensibilizare a utilizatorilor în ceea ce privește drepturile lor instituite prin legislația în materie de protecție a datelor și
posibilitățile de exercitare a acestor
drepturi pe care le oferă sistemul juridic, inclusiv prin formularea de
plângeri în cazul culegerii și stocării
excesive de date cu caracter personal.legislation and on the possibilities
offered to them by the legal system to exercise these rights; like for example
by complaining in cases of excessive collection and storage of personal data.
Informații
suplimentare
EUROBAROMETER 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
Autorități naționale
responsabile cu protecția
datelor: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm
Rețele inteligente sigure
Publicul-țintă
Recomandările se adresează
Comisiei Europene, statelor membre, sectorului privat și specialiștilor în infrastructuri critice.
"Infrastructură critică" înseamnă un element, un sistem sau o componentă a acestuia, aflat pe teritoriul statelor membre, care este esențial pentru menținerea funcțiilor societale vitale, a sănătății, a siguranței, a securității, a bunăstării sociale sau economice a persoanelor, și a căror perturbare sau distrugere ar avea un impact semnificativ într-un stat membru ca urmare a incapacității de a menține respectivele funcții. Mai jos sunt enumerate recomandări în acest domeniu.
"Infrastructură critică" înseamnă un element, un sistem sau o componentă a acestuia, aflat pe teritoriul statelor membre, care este esențial pentru menținerea funcțiilor societale vitale, a sănătății, a siguranței, a securității, a bunăstării sociale sau economice a persoanelor, și a căror perturbare sau distrugere ar avea un impact semnificativ într-un stat membru ca urmare a incapacității de a menține respectivele funcții. Mai jos sunt enumerate recomandări în acest domeniu.
Recomandări
- Comisia Europeană (CE) și autoritățile competente din statele membre ar trebui să întreprindă inițiative pentru a îmbunătăți cadrul de reglementare și de politică privind securitatea cibernetică a rețelelor inteligente la nivel național și european.
- CE, în cooperare cu ENISA și cu statele membre, ar trebui să promoveze crearea unui parteneriat public-privat (PPP) pentru coordonarea inițiativelor privind securitatea cibernetică a rețelelor inteligente.
- ENISA și CE ar trebui să promoveze inițiative de sensibilizare și de formare.
- CE și statele membre, în cooperare cu ENISA, ar trebui să promoveze inițiative de difuzare și de schimb de cunoștințe.
- CE, în colaborare cu ENISA, cu statele membre și cu sectorul privat, ar trebui să dezvolte un set minim de măsuri de securitate bazate pe normele și orientările existente.
- CE și autoritățile competente din statele membre ar trebui să promoveze dezvoltarea unor sisteme de certificare a securității pentru produse, pentru componente și pentru securitatea organizațională.
- CE și autoritățile competente din statele membre ar trebui să promoveze crearea de bancuri de încercare și efectuarea de evaluări privind securitatea.
- CE și statele membre, în cooperare cu ENISA, ar trebui să analizeze mai aprofundat și să își perfecționeze strategiile de coordonare a incidentelor cibernetice paneuropene de mare amploare care afectează sistemele electroenergetice.
- Autoritățile competente din statele membre, în cooperare cu centrele de răspuns la incidente de securitate cibernetică (CERT), ar trebui să inițieze activități care să confere CERT un rol consultativ în problemele de securitate cibernetică care afectează sistemele electroenergetice.
- CE și autoritățile competente din statele membre, în cooperare cu mediul academic și cu sectorul cercetării și dezvoltării, ar trebui să promoveze cercetarea în domeniul securității cibernetice a rețelelor inteligente în baza programelor de cercetare existente.
Informații suplimentare: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
Referințe:
ENISA
- Rapoarte privind educația http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1
- Documentație privind CERT http://www.enisa.europa.eu/activities/cert/support/exercise
- Buletine informative http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software
- Exerciții de securitate cibernetică http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation
- Rapoarte privind cloud computing http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing
- Protecția datelor cu caracter personal http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat ;
- Rapoarte privind rețelele inteligente http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations
ALTELE
- EUROBAROMETER 2011 http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
- Autoritățile naționale pentru protecția datelor http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm