Spodbujanje kibernetske varnosti za MSP v Evropi Vodnik z vprašanji in odgovori
Global Digital Foundation
Co-funded by the European Union
00
KAZALO VSEBINE
SO MALA 01 ZAKAJ IN SREDNJE VELIKA PODJETJA (MSP) TAKO ZELO POMEMBNA POGLAVJE
Stran 02–04
KAJ JE 02 MOGOČE NAREDITI POGLAVJE
Stran 05–13
PODPORA NA 03 EVROPSKI RAVNI POGLAVJE
Stran 14–19
POGLAVJE
04 Stran 20
KORISTNE INFORMACIJE O KIBERNETSKI VARNOSTI TER VIRI ZA MALA IN SREDNJE VELIKA PODJETJA (MSP)
Kibernetska varnost za MSP v Evropi
01
SO MALA 01 ZAKAJ IN SREDNJE VELIKA PODJETJA (MSP) TAKO ZELO POMEMBNA POGLAVJE
02
ZAKAJ SO MALA IN SREDNJE VELIKA PODJETJA (MSP) TAKO ZELO POMEMBNA ZA EVROPO? MSP prispevajo h gospodarstvu EU z ustvarjanjem kakovostnih delovnih mest. Spodbujanje in zaščita MSP v Evropi sta ključni prednostni politični nalogi oblikovalcev politik EU.
25mio
V Evropi je 25 milijonov MSP.
100mio
99 %
MSP predstavljajo več kot 99 % vseh podjetij v Evropi.
+
50 %
MSP v Evropi zaposlujejo 100 milijonov ljudi.
MSP prispevajo k več kot polovici BDP EU.
MSP podpirajo gradnjo bolj inovativne družbe.
MSP so gonilna sila digitalnega preoblikovanja in gospodarske rasti.
ZAKAJ BI MORALA IMETI MALA IN SREDNJE VELIKA PODJETJA (MSP) MOČNO RAVEN ZAŠČITE PRED KIBERNETSKIM KRIMINALOM?
Po podatkih Svetovnega gospodarskega foruma (WEF) se je v prvih mesecih leta 2020, ko so začele veljati omejitve, povezane s pandemijo covida-19, število napadov z lažnim predstavljanjem povečalo za 667 %. Številna MSP niso bila pripravljena na kibernetske napade, saj mnogi
Nedavne omejitve zaradi pandemije
zaposleni niso vedeli, kako se ubraniti pred
covida-19 so pospešile potrebo MSP
njimi. Zmotno bi bilo domnevati, da so cilji
po nadaljnji digitalizaciji poslovanja in
kibernetskih napadov samo velika podjetja.
ponudbe. Digitalizacija velikega deleža
Obstajajo jasni dokazi, da kibernetski
evropskih MSP je potekala zelo hitro.
kriminalci sistematično napadajo tudi sektor
To rast digitalizacije je žal zaznamovalo
MSP.
povečanje števila kibernetskih napadov. Kibernetska varnost za MSP v Evropi
03
•
V raziskavi agencije ENISA iz leta 2021
ko so leta 2021 predstavljali le 1 %.
je 57 % MSP menilo, da bo njihovo
Številni napadi, pri katerih so ogrožena
podjetje zaradi kibernetskega napada
omrežja ali podatki strank, so povezani
prenehalo poslovati. To vodi do zelo
s kršitvijo varnosti dobavitelja.
negativnih posledic za napadeno MSP. V širšem smislu pa tudi spodkopava
•
•
Višja raven kibernetske varnosti za
zaupanje podjetij in ovira proces
MSP bo dodatno zaščitila kibernetsko
digitalne preobrazbe po vsej Evropi.
odpornost EU. MSP podpirajo kritične
Kibernetski napadi na MSP imajo
sektorje evropskega gospodarstva,
lahko disruptivni učinek na gospo-
saj zagotavljajo storitve in izdelke
darstvo EU.
ponudnikom informacijske tehnologije ali upravljavcem komunalnih storitev.
Kibernetska varnost MSP je ključnega
Kibernetski napadalci se za vdor v sicer
pomena za zaščito dobavne verige v
varna omrežja kritične infrastrukture
Evropi. Kibernetsko varnost dobavne
pri dobaviteljih MSP odločajo zato, da
verige lahko opredelimo kot odpornost
dobijo dostop do ključnih omrežij in
vsakega podjetja, izdelka in storitve, ki
podatkov.
sodelujejo pri dobavi končnega izdelka ali rešitve končnemu uporabniku.
•
Kibernetska varnost MSP je bistven
Število napadov na dobavno verigo
element za ohranjanje varnosti prebi-
eksponentno narašča. V poročilu
valcev Evrope. Če tehnologija ni varna,
ENISA Threat Landscape Report 2022
MSP pa jo uporabljajo, to privede do
piše, da bodo napadi na dobavno
ranljivosti in predstavlja večje tveganje
verigo leta 2022 predstavljali 17 %
za uporabnike.
vseh kibernetskih napadov, medtem
04
2021
2022
1,0 %
17,0 %
Napadi na dobavno verigo so predstavljali le 1 % vseh kibernetskih napadov.
Napadi na dobavno verigo so predstavljali 17 % vseh kibernetskih napadov.
JE MOGOČE 02 KAJ NAREDITI POGLAVJE
Kibernetska varnost za MSP v Evropi
05
KAKŠNI SO KLJUČNI IZZIVI ZA MALA IN SREDNJE VELIKA PODJETJA (MSP) PRI SPODBUJANJU VIŠJIH STANDARDOV KIBERNETSKE VARNOSTI IN KIBERNETSKEGA ZNANJA? Ključna skrb MSP je nadaljevanje ali razširitev poslovnih priložnosti ter varno in zanesljivo poslovanje. Za dosego tega cilja morajo MSP upoštevati spreminjajoče se okolje kibernetskih groženj. Ključni izzivi, povezani s kibernetsko varnostjo MSP:
Človeški dejavnik
Pomanjkanje znanja in usposobljenosti
Glede na poročilo Verizon 2022 Data Brea-
MSP se soočajo s težavami pri dostopu do
ches Investigations 82 % kršitev varnosti
usposobljenih strokovnjakov za varnost,
podatkov vključuje človeški dejavnik. To je
ki bi jim svetovali glede vključevanja
povezano s pomanjkanjem ozaveščenosti
kibernetske varnosti v njihovo poslovanje.
nekaterih zaposlenih in uporabnikov o
Po študiji ISC2 Cybersecurity Workforce
kibernetski varnosti. Težko se je spopadati
Study 2021 je v Evropi primanjkovalo več
z izzivi, do katerih pride zaradi človeškega
kot 200.000 stro-kovnjakov za kibernetsko
delovanja in navad. Varovanje občutljivih
varnost. Vse to povečuje odgovornost vodij
podatkov in njihova zaščita pred krajo bi
in zaposlenih v MSP, da so na tekočem s
morala biti osrednji element usposabljanja
stalno spreminjajočimi se kibernetskimi
zaposlenih o kibernetskih grožnjah.
grožnjami. V poročilu Fortinet Cybersecurity Skills Gap Report 2022 piše, da je 80 %
Naložba
organizacij utrpelo eno ali več kršitev, ki bi jih lahko pripisali pomanjkanju znanja
93 % MSP je mikro podjetij z manj kot 10
o kibernetski varnosti in/ali pomanjkanju
zaposlenimi in brez posebnega osebja za
ozaveščenosti o kibernetski varnosti
IT ali varnost. Tako kot požarno ali hišno
na delovnem mestu. Agencija ENISA je
zavarovanje so tudi naložbe v kibernetsko
aprila 2022 objavila evropski okvir znanj s
varnost ključnega pomena za zaščito
področja kibernetske varnosti ECSF (Euro-
izdelkov in storitev MSP. Za oceno kiber-
pean Cy-bersecurity Skills Framework). V
netskega tveganja ter opredelitev kritičnih
tem okviru so opredeljena ključna znanja in
procesov in sredstev, ki jih je treba zaščititi,
spretnosti s področja kibernetske varnosti,
sta potrebna čas in strokovno znanje.
ki so zahtevana na delovnem mestu. Okvir
Odpraviti je treba situacije, ko se podjetja
zagotavlja tudi ustrezna orodja za zapos-
potrebe po kibernetski varnosti zavedo šele
lene v kadrovskih službah, s katerimi lahko
po večjem incidentu – ko je že prepozno.
bolje razumejo, kaj točno je potrebno za zaposlitev osebja za kibernetsko varnost.
06
KAKŠNE PRAKTIČNE UKREPE JE TREBA SPREJETI ZA IZBOLJŠANJE KIBERNETSKE VARNOSTI ZA MALA IN SREDNJE VELIKA PODJETJA (MSP) V EVROPI? Obstajajo štirje ključni ukrepi, ki jih je treba upoštevati pri oblikovanju varnostne strategije, ki lahko zmanjša tveganje prekinitve delovanja, ogrožanja podatkov in izgube podatkov:
•
prepoznavanje kritičnih procesov in virov podjetja, varnostnih groženj, ranljivosti in tveganj;
•
izvajanje varnostnih ukrepov, kot so strog nadzor dostopa, ozaveščanje in usposabljanje, upravljanje ranljivosti in popravkov, varnostno kopiranje podatkov in postopki obnovitve;
•
uporaba posodobljenih postopkov za preprečevanje zlonamerne programske opreme, odkrivanje varnostnih incidentov in poročanje osebja/ uporabnikov;
•
vzdrževanje načrtov za odpravljanje posledic incidentov ter vzpostavitev ustreznih komunikacijskih struktur za sodelovanje z zainteresiranimi stranmi.
Kibernetska varnost za MSP v Evropi
07
08
KAJ BI MORALA MALA IN SREDNJE VELIKA PODJETJA (MSP) NAREDITI ZA ZMANJŠANJE NAJPOGOSTEJŠIH VRST KIBERNETSKIH GROŽENJ?
je treba uvesti popravke ranljivosti in varnostne ukrepe za izdelke/storitve, ki jih uporabljajo (na katere opozorijo dobavitelji ali nacionalni organi).
•
Namestiti in vzdrževati je treba protivirusni program, saj je to ključni korak
Najpogostejše vrste napadov na MSP so
pri zaščiti operacijskih sistemov in
zlonamerna programska oprema, lažno
aplikacij MSP pred drugimi grožnjami.
predstavljanje, spletni napadi, izsiljevalska programska oprema in distribuirani napadi z zavrnitvijo storitve (DDoS).
Varno varnostno kopiranje podatkov
•
Ključne podatke za poslovne
Strog nadzor dostopa: varno
dejavnosti je treba varnostno kopirati
upravljanje gesel
na vsaj dveh lokacijah zunaj omrežja
•
podjetja. Pri več kot 60 % vseh kibernetskih napadov so napadalci zlorabili
•
S šifriranjem celotnega diska je mogoče poskrbeti, da bodo v primeru
gesla predstavljajo resnično tveganje
izgube ali kraje trdega diska podatki
za kibernetsko varnost.
ostali varni. Šifrirne ključe je mogoče varno zaščititi.
Uporabiti je treba zapletena in enolična gesla z najmanj 12 znaki,
Namestitev in vzdrževanje
črkami, številkami in simboli. Za
požarnega zidu
ustvarjanje, upravljanje in shranjevanje gesel v šifrirani obliki je priporočljivo uporabljati orodje za upravljanje gesel.
•
•
poverilnice uporabnikov. Slaba in šibka
•
Za izboljšanje varnosti je treba namestiti požarni zid, ki zaupanja vredno omrežje izolira od omrežja
Uporabiti/aktivirati je treba večkratno
brez ustrezne ravni zaupanja. Redno je
preverjanja pristnosti (MFA) za aplika-
treba nameščati varnostne popravke
cije in sisteme, ki jih MSP uporabljajo
požarnega zidu. Uporabljati je treba
ali dajejo na voljo. MFA je dodatna
seznam dovoljenih povezav (z nastavi-
stopnja varnostne zaščite za MSP.
tvijo privzete zavrniteve). Ta dovoljuje samo določen podatkovni promet, ki ga zahtevajo storitve, ki jih uporablja
Upravljanje ranljivosti
•
podjetje. Redno je treba posodabljati MSP morajo prepoznati in odpraviti
programsko opremo požarnega zidu in
ranljivosti svojih izdelkov. Pravočasno
po možnosti postopek avtomatizirati.
Kibernetska varnost za MSP v Evropi
09
Brezžično omrežje/zaščiten brezžičen
Navidezno zasebno omrežje (VPN) za
dostop Wi-Fi (WPA)
dostop zunaj omrežja podjetja
•
•
Kjer koli je to mogoče, je treba
Z dobro zavarovanim omrežjem VPN
uporabiti protokol WPA3 in zapleteno
lahko zagotovite varen oddaljen
enolično geslo s šifriranjem omrežja
dostop do omrežja in aplikacij.
Wi-Fi, ki vsebuje vsaj 20 črk, številk in posebnih znakov.
Vzdrževanje načrta za obnovitev po incidentih in katastrofah
•
Opredeliti in vzdrževati je treba načrt za odzivanje na varnostne incidente in obnovitev po katastrofi, da bodo MSP lahko ponovno vzpostavila nadzor nad svojimi poslovnimi dejavnostmi in podatki.
ZAKAJ JE POMEMBNO, DA VODJE MALIH IN SREDNJE VELIKIH PODJETIJ (MSP) JASNO OPREDELIJO ODGOVORNOSTI, POVEZANE Z VPRAŠANJI KIBERNETSKE VARNOSTI?
•
Vodje MSP morajo svojim zaposlenim zelo jasno sporočiti, kaj se od njih pričakuje za ublažitev kibernetskih napadov na delovnem mestu.
•
Izvesti je treba ustrezno usposabljanje o kibernetski varnosti s poudarkom na upravljanju gesel, varnostnemu kopiranju podatkov in odzivanju na kibernetski napad. Pri usposabljanju lahko poudarite, da je 82 % kršitev varnosti podatkov posledica človeške napake.
•
Priporočljivo je, da se pripravi načrt, kako komunicirati z zainteresiranimi stranmi v primeru incidenta kibernetske varnosti.
Pri usposabljanju lahko poudarite, da je 82 % kršitev varnosti podatkov posledica človeške napake.
10
82 %
Posledica človeške napake
KAJ LAHKO MALA IN SREDNJE VELIKA PODJETJA (MSP) NAREDIJO, DA PREPREČIJO VDOR ZLONAMERNE PROGRAMSKE OPREME V NJIHOVE SISTEME? Glavni nameni zlonamerne kode:
01
02
03
šifriranje, spreminjanje ali kraja informacij, npr. zaradi zahteve po odkupnini ali preprodaje podatkov;
nadzor podatkovnih tokov, na primer dobiček podjetja;
prevzem nadzora nad napravo, npr. za povzročitev incidenta.
Ključni ukrepi za zaščito MSP pred zlonamerno programsko opremo:
•
Namestiti in vzdrževati je treba
KAKO LAHKO POŽARNI ZIDOVI IZBOLJŠAJO VARNOST MALIH IN SREDNJE VELIKIH PODJETIJ (MSP)?
specializirano programsko opremo za preprečevanje zlonamerne programske
Požarni zid poskuša izboljšati varnost
opreme. Takšno programsko opremo
tako, da notranje sisteme, aplikacije in
je mogoče namestiti v mobilne
podatke izolira od omrežja brez ustrezne
naprave, operacijske sisteme in
ravni zaupanja, kot je internet.
omrežja. Programska oprema pregleduje vhodne podatke in išče
Pravila, ki opredeljujejo dostop do omrežja, morajo biti specifična.
blokira uporabo sumljive ali dokazano
Opredelite lahko varnostne smernice
zlonamerne kode ali jo prestavi v
podjetja.
karanteno. Na trgu je na voljo veliko različnih vrst programske opreme za
•
•
zlonamerno programsko opremo ter
•
Izvajati je treba redne revizije požarnih
zaščito pred zlonamerno programsko
zidov. Na primer, označiti je treba
opremo.
vsako nepooblaščeno spremembo konfiguracije požarnega zidu.
Uporabniki/zaposleni morajo biti pozorni in ne smejo klikati sumljivih povezav v e-poštnih sporočilih ali odpirati sumljivih prilog.
•
Podatke je treba varnostno kopirati. Kibernetska varnost za MSP v Evropi
11
KAKO LAHKO MALA IN SREDNJE VELIKA PODJETJA (MSP) PREPOZNAJO NAPADE Z LAŽNIM PREDSTAVLJANJEM? Napadi z lažnim predstavljanjem so vrsta napada socialnega inženiringa. To pomeni, da so cilji napada ljudje, ne ranljivosti sistema. V osnovi je tovrstni napad podoben običajni goljufiji. Lažno predstavljanje pravzaprav ni zapleten tehnični napad. Potreben je le dober razlog, na primer lažna trditev, da uporabnik klikne zlonamerno povezavo, odpre zlonamerno datoteko ali URL ali vnese/pošlje zaupne podatke. S prepoznavanjem običajnih scenarijev goljufij lahko preprečite, da bi MSP postala žrtve napadov z lažnim predstavljanjem. Z razumevanjem različnih vrst napadov z lažnim predstavljanjem bodo vodje in zaposleni v MSP razvili instinkt za preverjanje e-pošte in drugih sporočil, preden bodo kliknili povezave ali priloge v njih.
Vprašanja, ki bi si jih morali zastaviti zaposleni v malih in srednje velikih podjetjih, da bi preprečili napad z lažnim predstavljanjem: Ali je sporočilo želeno oz. pričakovano? Če ni, odgovorite na vsa spodnja vprašanja in poskusite prepoznati poizkus napada z lažnim predstavljanjem. Ali je pošiljatelj pristen, torej ali uporablja pravilno e-pošto, profil ali telefonsko številko podjetja? V nasprotnem primeru gre morda za poskus napada z lažnim predstavljanjem. Ali sporočilo nakazuje nujnost, zastrašujočo posledico ali pa morda obljublja veliko nagrado? Če je odgovor pritrdilen, gre morda za napad z lažnim predstavljanjem. Ali je videti, da sporočilo prihaja od banke, poštne službe, davčne uprave ali organa pregona? Če je odgovor pritrdilen, gre morda za poskus napada z lažnim predstavljanjem, ki je lahko posledica razširjene vrste napadov z lažnim predstavljanjem. Te organizacije običajno uporabljajo varne komunikacijske kanale (npr. aplikacije). Če dvomite, pojdite neposredno v aplikacijo/spletno stran »pošiljatelja« in se prijavite ter preverite, ali se morda prikažejo sporočila. Ali je sporočilo videti nenavadno, so v njem tiskarske napake, ali je napisano zelo splošno? Če je odgovor pritrdilen, gre morda za poskus napada z lažnim predstavljanjem.
12
KAJ LAHKO MALA IN SREDNJE VELIKA PODJETJA (MSP) NAREDIJO V PRIMERU NAPADA Z LAŽNIM PREDSTAVLJANJEM? Napadi z lažnim predstavljanjem so resnična grožnja za MSP. Upoštevati je
Europolova spletna stran, »No More Ransom« in sodelovanje z njihovo lokalno ekipo CSIRT (nacionalni odzivni center za kibernetsko varnost).
KAKO SE LAHKO MALA IN SREDNJE VELIKA PODJETJA (MSP) IZOGNEJO SPLETNEMU NAPADU?
treba ta navodila:
• •
Spletni napad zlorablja varnostne pomanNikoli ne klikajte povezave, če sumite,
jkljivosti internetne infrastrukture za izvedbo
da gre za napad z lažnim predstavl-
kibernetskega napada, na primer napad na
janjem.
spletno mesto podjetja, spletno mesto e-trgovine, spletni dnevnik ali mehanizem za
Sporočilo označite kot lažno preds-
iskanje. Primeri spletnega napada vključu-
tavljanje in ga posredujte svojemu
jejo namestitev zlonamerne kode za prido-
oddelku za IT, uporabljeni platformi
bivanje občutljivih informacij, kot so zbirka
ali organizaciji, za katero se izdaja
podatkov o potrošnikih ali podrobnosti o
pošiljatelj sporočila.
plačilih, spreminjanje podatkov na spletnem mestu, brisanje podatkov in onemogočanje
•
Izbrišite sporočilo.
dostopa do spletnega mesta.
•
V primeru napada z lažnim predsta-
•
vljanjem obvestite ekipo za varnost/ IT ter spremenite gesla in kode PIN za vse pomembne račune (e-pošta,
•
Za zaščito pred spletnimi napadi je treba upoštevati ta navodila:
•
Redno posodabljajte operacijske
banka, storitve preverjanja pristnosti,
sisteme. Ažurno nameščajte najnovejše
operacijski sistemi in storitve v oblaku).
varnostne posodobitve.
Če je napad z lažnim predstavljanjem
•
Omogočite varnostne mehanizme,
uspešen, so lahko sistemi in podatki
kot so močno preverjanje pristnosti za
ogroženi, dostop do njih pa je
skrbniški dostop, šifriranje in varnostno
onemogočen. V tem primeru lahko
kopiranje.
MSP prejmejo sporočilo z izsiljevalsko programsko opremo. Na voljo je
•
Nadzorujte in spremljajte spletna
nekaj koristnih virov z nasveti, kako
mesta, da boste lahko odkrili ter
ukrepati v primeru napada z izsilje-
preprečili ranljivosti in prenos zlona-
valsko programsko opremo, na primer
merne kode.
Kibernetska varnost za MSP v Evropi
13
NA 03 PODPORA EVROPSKI RAVNI POGLAVJE
14
KAKŠNA JE POLITIKA EU ZA PODPORO MALIM IN SREDNJE VELIKIH PODJETJEM (MSP) Z VIDIKA KIBERNETSKE VARNOSTI? EU k izboljšanju kibernetske varnosti za MSP pristopa na dva načina: z vlaganji in predpisi. Akt EU o kibernetski varnosti (2019)
•
Eden od vzvodov politike, ki spodbuja in podpira kibernetsko varnost MSP v EU, je Akt EU o kibernetski varnosti iz leta 2019. Predstavlja podlago za okrepljen razvoj sistemov certificiranja kibernetske varnosti po vsej EU.
•
Takšni sistemi certificiranja lahko koristijo MSP, ki želijo od svojih dobaviteljev dobiti zagotovilo o kibernetski varnosti, in delujejo kot instrument za spodbujanje in zagotavljanje konkurenčne prednosti MSP, ki vlagajo v kibernetsko varnost. V pripravi so trije pomembni sistemi certificiranja EU za kibernetsko varnost, ki se osredotočajo na storitve v oblaku (EUCS), 5G in vzpostavitev skupnih meril (EUCC) za zaupanja vredne izdelke IKT v EU. Oblak in 5G sta infrastrukturna gradnika, ki bosta omogočila močnejšo digitalizacijo MSP in razvoj novih storitev. Shema skupnih meril potrjuje varnostne lastnosti izdelkov IKT, kar lahko MSP uporabijo kot del svoje ponudbe izdelkov in storitev.
Kibernetska varnost za MSP v Evropi
15
NIS2/Akt o kibernetski odpornosti (CRA)
•
Nova direktiva NIS2 (2020) bo uvedla vrsto ukrepov, ki bodo od izvajalcev nekaterih pomembnih storitev v EU zahtevali izvajanje varnostnih ukrepov in izvedbo ocene tveganja kibernetske varnosti ponudnikov. V izjemnih primerih lahko vključujejo tudi nekatera MSP iz držav članic EU.
•
Evropska komisija je septembra 2022 objavila Akt o kibernetski odpornosti (CRA), ki se osredotoča na izboljšanje kibernetske varnosti izdelkov z digitalnim elementom (npr. proizvajalcev digitalnih izdelkov). V skladu s tem predlogom akta CRA morajo takšni izdelki pred uvedbo na trg EU izpolnjevati stroge zahteve glede kibernetske varnosti, obvladovanja incidentov in ranljivosti, analize tveganja in obveščanja. Upravljanje in zakonodajni pristop akta CRA temeljita na postopku novega zakonodajnega okvira (NLF), ki se trenutno uporablja za certificiranje varnosti proizvodov za trg EU.
Horizon Europe/Digital Europe
•
Kar zadeva naložbe, je EU v okviru programa za raziskave, inovacije in znanost Horizon Europe za obdobje 2021–2027 namenila 10 milijard evrov za skupne ukrepe na področju kibernetske varnosti. Na voljo so tudi sredstva iz programa Digital Europe za MSP za spodbujanje višje ravni kibernetske varnosti v Evropi. Te pobude MSP ponujajo več možnosti za širitev njihovega vpliva v Evropi pri razvoju novih, inovativnih izdelkov in storitev, povezanih s kibernetsko varnostjo.
EU je namenila 10 milijard evrov za sodelovanje na področju kibernetske varnosti v okviru raziskave Horizon Europe, programa za inovacije in znanost 2021–2027.
16
InvestEU/Mehanizem EU za okrevanje in odpornost
•
Evropsko leto znanj 2023
•
Evropska komisija in države članice
Kibernetska varnost je tudi del
EU pripravljajo številne nove pobude
programa InvestEU, finančnega
na področju kibernetskega znanja,
instrumenta, ki bo podpiral močnejše
povezane s ki-bernetsko varnostjo, v
vrednostne verige kibernetske varnosti
okviru izvajanja dejavnosti v okviru
v Evropi. V okviru Mehanizma EU za
evropskega leta znanj 2023.
okrevanje in odpornost številne države EU sprejemajo načrte, ki vsebujejo številne dodatne naložbe v kibernetsko varnost.
KAKO LAHKO PROGRAM EIT DIGITAL ŠE DODATNO PODPRE MALA IN SREDNJE VELIKA PODJETJA (MSP) PRI ZAGOTAVLJANJU VIŠJE RAVNI KIBERNETSKE VARNOSTI? EIT Digital predstavlja prihodnost inovacij z mobilizacijo vseevropskega odprtega inovacijskega ekosistema vrhunskih evropskih podjetij, MSP, zagonskih podjetij, univerz in raziskovalnih inštitutov, v katerem sodeluje več deležnikov. Študenti, raziskovalci, inženirji, poslovni razvijalci in vlagatelji lahko rešujejo tehnološke, strokovne, spretnostne, poslovne in kapitalske potrebe digitalnega podjetništva. EIT Digital gradi naslednjo generacijo digitalnih podjetij, digitalnih izdelkov in storitev. Tako se razvijajo digitalni podjetniški talenti, podjetjem in podjetnikom pa je z zagotavljanjem tehnologije, talentov in podpore za rast omogočeno, da so v prvi liniji digitalnih inovacij. EIT Digital odgovarja na posebne inovacijske potrebe, na primer z iskanjem pravih partnerjev za uvajanje tehnologije na trg, podpiranjem širjenja digitalnih tehnoloških podjetij, privabljanjem talentov ter razvijanjem digitalnega znanja in spretnosti.
Kibernetska varnost za MSP v Evropi
17
EIT Digital kot največji ekosistem za digitalne inovacije v Evropi na več načinov prispeva k višjim standardom kibernetske varnosti MSP. To je namenjeno povečanju števila evropskih proizvodov in storitev kibernetske varnosti, ki trenutno predstavljajo približno 16 % svetovnega trga kibernetske varnosti. EIT Digital izvaja različne pobude v podporo zagonskim podjetjem in rastočim MSP:
EU
predstavljajo
izdelki in storitve evropske kibernetske varnosti
•
EIT Digital s svojim pospeševalnikom
Program EIT Digital Venture zagotavlja finančno podporo in usposabljanje
podjetja s področja kibernetske
evropskim podjetnikom za zagon
varnosti in podpira njihov razvoj. To
novih tehnoloških podjetij.
razpoložljivosti rešitev za kibernetsko varnost MSP.
•
•
identificira nova evropska zagonska
še dodatno prispeva k raznolikosti in
•
16 %
na globalnem trgu kibernetske varnosti.
•
Program EIT Digital Masters Cybersecurity odpravlja vrzeli v znanju. Ta pobuda že poteka v številnih
Program EIT Digital DeepHack
evropskih državah, med drugim
združuje digitalne inovatorje in podjet-
na Nizozemskem, v Italiji, Franciji,
nike za reševanje ključnih poslovnih
na Madžarskem, v Romuniji in na
izzivov, tudi na področju kibernetske
Finskem. Vprašanja, ki jih obravnavajo
varnosti.
ti tečaji, so povezana z izboljšanjem pomanjkljivega znanja na področju
Pobuda EIT Digital Innovation Factory
varnosti računalništva v oblaku,
združuje evropske partnerje za ustvar-
varnosti aplikacij, upravljanja kiber-
janje naslednje generacije digitalnih
netskega tveganja, varnostne analize,
podjetij, izdelkov in storitev.
kriptografije, varnosti omrežne infrastrukture, potrjevanja sistemov in varnega upravljanja podatkov.
18
KAKO LAHKO EVROPSKI STROKOVNI CENTER ZA KIBERNETSKO VARNOST IN OMREŽJE ZAGOTOVITA VIŠJE STANDARDE KIBERNETSKE VARNOSTI ZA MALA IN SREDNJE VELIKA PODJETJA (MSP)?
•
Ena od nalog Evropskega strokovnega centra za kibernetsko varnost (ECCC) je podpirati in usklajevati številne raziskovalne in inovacijske projekte, povezane z vprašanji kibernetske varnosti v Evropi. To je eden od primerov usklajenih prizadevanj po vsej EU, s katerimi želijo MSP omogočiti izvedbo raziskovalnih dejavnosti na področju kibernetske varnosti pretvorijo v inovativne izdelke in rešitve za trg.
•
Letne prednostne naloge ECCC na področju kibernetske varnosti lahko dodatno močno podprejo MSP pri sodelovanju v pobudah Horizon Europe in Digital Europe.
•
ECCC tesno sodeluje z mrežo nacionalnih koordinacijskih središč (NCC) v 27 državah članicah EU. To sodelovanje lahko razširi podporne programe za kibernetsko varnost MSP v posameznih državah članicah EU in enotno po vsej EU.
•
Podpora krepitvi zmogljivosti v 27 državah članicah EU za spodbujanje višjih standardov kibernetske varnosti in večjo razširjenost certificiranja kibernetske varnosti.
Kibernetska varnost za MSP v Evropi
19
04
KORISTNE INFORMACIJE O KIBERNETSKI VARNOSTI TER VIRI ZA MALA IN SREDNJE VELIKA PODJETJA (MSP)
ENISA (Agencija Evropske unije za kibernetsko varnost)
• • • • • •
Kibernetska varnost za MSP (2021). https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes Orodje za varnost MSP v oblaku (2021). https://www.enisa.europa.eu/topics/cloud-and-big-data/cloud-security/security-for-smes/sme-guide-tool Evropski mesec kibernetske varnosti. https://cybersecuritymonth.eu/ Bodite ozaveščeni, bodite pripravljeni – namigi za kibernetsko varnost za MSP. https://www.youtube.com/watch?v=epJTYOdW3sU&t=24s&ab_channel=ENISAvideos Smernice za kulturo kibernetske varnosti. Vedenjski vidiki kibernetske varnosti (2021). https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspectsof-cybersecurity/at_download/fullReport Evropski okvir znanj s področja kibernetske varnosti 2022. https://www.enisa.europa.eu/topics/cybersecurity-education/european-cybersecurity-skills-framework
Europol
•
V primeru napada z izsiljevalsko programsko opremo lahko MSP poiščejo podporo za načrte odziva in ključe za dešifriranje v skladu s priporočili agencije Europol. https://www.europol.europa.eu/activities-services/public-awareness-and-prevention-guides
ETSI
•
Kibernetska varnost za MSP. 1. del: Osnove standardizacije kibernetske varnosti. https://www.etsi.org/deliver/etsi_tr/103700_103799/10378701/01.01.01_60/tr_10378701v010101p.pdf
OECD
•
Digitalna varnost v MSP 2021. https://www.oecd-ilibrary.org/sites/cb2796c7-en/index.html?itemId=/content/component/ cb2796c7-en#chapter-d1e7025
Svetovni gospodarski forum
•
Kaj morajo MSP narediti za varno kibernetsko prihodnost 2021? https://www.weforum.org/agenda/2021/06/cybersecurity-for-smes-europe/
CyberWatching.eu
•
Vodniki za MSP: https://cyberwatching.eu/smes-guides
CSIRT (Nacionalni odzivni centri za kibernetsko varnost) v EU27
•
20
https://csirtsnetwork.eu/
• • • •
Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) https://www.gov.si/drzavni-organi/vladne-sluzbe/urad-vlade-za-informacijsko-varnost/ Nacionalni odzivni center SI-CERT https://www.cert.si/ Sekcija za kibernetsko varnost pri Združenju za telekomunikacije in informatiko GZS https://www.gzs.si/sekv/ Digitalno inovacijsko stičišče Slovenije https://dihslovenia.si/
Avtorske pravice © 2023 Huawei Technologies Co., Ltd. Vse pravice pridržane. Informacije v tem dokumentu lahko vsebujejo napovedne izjave, med drugim tudi izjave o prihodnjih finančnih in poslovnih rezultatih, prihodnjih ponudbah izdelkov, novih tehnologijah itd. Obstajajo številni dejavniki, zaradi katerih lahko pride do dejanskih odstopanj rezultatov in razvoja od tistih, ki so izraženi ali nakazani v napovednih izjavah. Zato so te informacije na voljo le v referenčne namene in ne pomenijo niti ponudbe niti sprejema. Podjetje Huawei lahko informacije spremeni kadar koli in brez predhodnega obvestila.