SLIDE 1
Cybersecurity Capacity Assessment of the Republic of - - PowerPoint PPT Presentation
Cybersecurity Capacity Assessment of the Republic of - - PowerPoint PPT Presentation
Cybersecurity Capacity Assessment of the Republic of Kosovo Lara Pace Kosovo June 2015 CMM - Five Dimensions Levels of Maturity
SLIDE 2
SLIDE 3
- Start-‑up: ¡At ¡this ¡level ¡either ¡nothing ¡exists, ¡or ¡it ¡is ¡very ¡embryonic ¡in ¡nature. ¡ ¡ ¡
¡
- FormaEve: ¡Some ¡features ¡of ¡the ¡indicators ¡have ¡begun ¡to ¡grow ¡and ¡be ¡formulated, ¡
but ¡may ¡be ¡ad-‑hoc, ¡disorganized, ¡poorly ¡defined ¡-‑ ¡or ¡simply ¡"new". ¡However, ¡evidence ¡
- f ¡this ¡acAvity ¡can ¡be ¡clearly ¡evidenced. ¡
¡
- Established: ¡The ¡elements ¡of ¡the ¡sub-‑factor ¡are ¡in ¡place, ¡and ¡working. ¡ ¡
¡
- Strategic: ¡Choices ¡have ¡been ¡made ¡about ¡which ¡parts ¡of ¡the ¡indicator ¡are ¡important, ¡
and ¡which ¡are ¡less ¡important ¡for ¡the ¡parAcular ¡organizaAon/naAon. ¡ ¡ ¡ ¡
- Dynamic: ¡There ¡are ¡clear ¡mechanisms ¡in ¡place ¡to ¡alter ¡strategy ¡depending ¡on ¡the ¡
prevailing ¡circumstances. ¡Rapid ¡decision-‑making, ¡reallocaAon ¡of ¡resources, ¡and ¡constant ¡ aGenAon ¡to ¡the ¡changing ¡environment ¡are ¡features ¡of ¡this ¡level. ¡
Levels ¡of ¡Maturity ¡
SLIDE 4
Dimension ¡1 ¡ Cybersecurity ¡Policy ¡and ¡Strategy ¡ ¡ ¡
¡D1-‑1: ¡NaAonal ¡Cybersecurity ¡Strategy ¡ ¡ ¡D1-‑2: ¡Incident ¡Response ¡ ¡ ¡D1-‑3: ¡CriAcal ¡NaAonal ¡Infrastructure ¡(CNI) ¡ProtecAon ¡ ¡D1-‑4: ¡Crisis ¡Management ¡ ¡D1-‑5: ¡Cyber ¡Defence ¡ConsideraAon ¡ ¡ ¡D1-‑6: ¡Digital ¡Redundancy ¡
Capacity ¡Dimensions ¡
SLIDE 5
Dimension ¡2 ¡ Cyber ¡culture ¡and ¡society ¡ ¡ ¡D2-‑1: ¡Cybersecurity ¡Mind-‑set ¡
¡D2-‑2: ¡Cybersecurity ¡Awareness ¡ ¡D2-‑3: ¡Confidence ¡and ¡trust ¡on ¡the ¡Internet ¡ ¡D2-‑4: ¡Privacy ¡online ¡
Capacity ¡Dimensions ¡
SLIDE 6
Dimension ¡3 ¡ ¡Cybersecurity ¡educa9on, ¡training ¡and ¡skills ¡ ¡
¡D3-‑1: ¡NaAonal ¡availability ¡of ¡cyber ¡educaAon ¡and ¡training ¡ ¡D3-‑2: ¡NaAonal ¡development ¡of ¡cybersecurity ¡educaAon ¡ ¡D3-‑3: ¡Corporate ¡training ¡and ¡educaAonal ¡iniAaAves ¡within ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡companies ¡ ¡ ¡D3-‑4: ¡Corporate ¡Governance, ¡Knowledge ¡and ¡Standards ¡
Capacity ¡Dimensions ¡
SLIDE 7
Dimension ¡4 ¡ Legal ¡and ¡regulatory ¡frameworks ¡ ¡
¡D4-‑1: ¡Cybersecurity ¡legal ¡frameworks ¡ ¡D4-‑2: ¡Legal ¡invesAgaAon ¡ ¡D4-‑3: ¡Responsible ¡Disclosure ¡
Capacity ¡Dimensions ¡
SLIDE 8
Dimension ¡5 ¡ Standards, ¡organisa9ons, ¡and ¡technologies ¡ ¡
¡
¡D5-‑1: ¡Adherence ¡to ¡standards ¡
¡D5-‑2: ¡NaAonal ¡Infrastructure ¡Resilience ¡ ¡D5-‑3: ¡Cybersecurity ¡marketplace ¡
Capacity ¡Dimensions ¡
SLIDE 9
¡ ¡
Cybersecurity ¡Capacity ¡Assessment ¡ ¡ ¡of ¡the ¡Republic ¡of ¡Kosovo ¡2015 ¡
SLIDE 10
- No ¡naAonal ¡cybersecurity ¡strategy ¡exists ¡
NaEonal ¡Cybersecurity ¡ Strategy ¡
- A ¡naAonal ¡CERT, ¡KOS-‑CERT ¡is ¡now ¡being ¡
- developed. ¡
Incident ¡Response ¡
- No ¡formal ¡list ¡of ¡CNI ¡assets ¡has ¡been ¡
developed ¡ ¡
- Response ¡planning ¡for ¡an ¡aGack ¡on ¡criAcal ¡
assets ¡is ¡under ¡discussion, ¡but ¡no ¡formal ¡ plan ¡exists ¡
CriEcal ¡NaEonal ¡ Infrastructure ¡ ¡
Dimension ¡1 ¡ Cybersecurity ¡Policy ¡and ¡Strategy ¡
SLIDE 11
- Cybersecurity ¡exercises ¡at ¡the ¡naAonal ¡level ¡
have ¡not ¡been ¡conducted, ¡only ¡planned ¡ within ¡the ¡Kosovo ¡Police= ¡
Crisis ¡Management ¡
- No ¡cyber-‑defence ¡policy ¡or ¡strategy ¡exists ¡ ¡
Cyber ¡Defense ¡ ConsideraEon ¡
- Emergency-‑response ¡asset ¡prioriAes ¡and ¡
standard ¡operaAng ¡procedures ¡are ¡ established ¡in ¡the ¡event ¡of ¡a ¡ communicaAons ¡disrupAon ¡in ¡the ¡ emergency-‑response ¡network ¡
Digital ¡Redundancy ¡ ¡
Dimension ¡1 ¡ Cybersecurity ¡Policy ¡and ¡Strategy ¡
SLIDE 12
- Cybersecurity ¡has ¡been ¡recognized ¡as ¡a ¡
priority ¡across ¡the ¡Government, ¡private ¡ sector ¡and ¡society-‑at-‑large ¡ ¡
Cybersecurity ¡Mind-‑set ¡
- NAPDP ¡has ¡created ¡a ¡plan ¡for ¡increasing ¡
awareness ¡of ¡ciAzens. ¡This ¡effort ¡is ¡sAll ¡in ¡ progress, ¡not ¡necessarily ¡covering ¡all ¡groups ¡ ¡
Dimension ¡2 ¡ Cyber ¡culture ¡and ¡society ¡
Cybersecurity ¡Awareness ¡
SLIDE 13
- E-‑government ¡services ¡are ¡currently ¡under ¡
development ¡with ¡a ¡conAnuous ¡increase ¡of ¡ e-‑service ¡provision ¡
Confidence ¡and ¡trust ¡on ¡ the ¡Internet ¡
- The ¡government ¡adheres ¡to ¡the ¡EU ¡
DeclaraAon ¡of ¡Human ¡Rights ¡and ¡Strasbourg ¡ ConvenAon ¡and ¡the ¡Law ¡on ¡Data ¡Privacy, ¡is ¡ now ¡under ¡development ¡ ¡ ¡
Privacy ¡Online ¡
Dimension ¡2 ¡ Cyber ¡culture ¡and ¡society ¡
SLIDE 14
- There ¡are ¡educaAonal ¡offerings ¡in ¡
informaAon ¡security ¡and ¡training ¡is ¡usually ¡ provided ¡by ¡Law ¡Enforcement ¡and ¡by ¡various ¡ private ¡organisaAons ¡within ¡the ¡American ¡ University ¡of ¡Kosovo ¡
NaEonal ¡Availability ¡of ¡ Cyber ¡EducaEon ¡and ¡ Training ¡
- There ¡are ¡incenAves ¡for ¡training ¡and ¡
educaAon, ¡while ¡state ¡budget ¡for ¡training, ¡ research ¡and ¡development ¡have ¡been ¡
- allocated. ¡Research ¡is ¡among ¡the ¡main ¡
- bjecAves ¡of ¡the ¡higher ¡educaAon ¡strategy ¡
NaEonal ¡development ¡of ¡ cybersecurity ¡educaEon ¡
Dimension ¡3 ¡ Cybersecurity ¡educaEon, ¡training ¡and ¡skills ¡
SLIDE 15
- Cybersecurity ¡training ¡programmes ¡are ¡
executed ¡but ¡in ¡an ¡ad-‑hoc ¡manner. ¡Although ¡ appropriate ¡skillsets ¡may ¡exist ¡within ¡the ¡ workforce, ¡experts ¡with ¡such ¡skills ¡are ¡not ¡ easy ¡to ¡allocate ¡
Training ¡and ¡educaEonal ¡ iniEaEves ¡within ¡public ¡ and ¡private ¡sector ¡
- Awareness ¡of ¡cybersecurity ¡at ¡the ¡C-‑level ¡
management ¡remains ¡limited ¡
Corporate ¡Governance, ¡ Knowledge ¡and ¡Standards ¡
Dimension ¡3 ¡ Cybersecurity ¡educaEon, ¡training ¡and ¡skills ¡
SLIDE 16
- Currently ¡no ¡stand-‑alone ¡cybersecurity ¡Law ¡but ¡
there ¡are ¡references ¡to ¡ICT ¡within ¡the ¡Law ¡on ¡ Electronic ¡CommunicaAons ¡ ¡
- The ¡Law ¡on ¡ProtecAon ¡of ¡Personal ¡Data ¡(03/
L-‑172) ¡defines ¡the ¡rights, ¡responsibiliAes, ¡ principles ¡and ¡measures ¡concerning ¡the ¡ protecAon ¡of ¡personal ¡data ¡
- The ¡SubstanAve ¡Law ¡on ¡Cyber ¡Crime ¡of ¡Kosovo ¡
covers ¡the ¡prevenAon ¡and ¡combat ¡of ¡cybercrime ¡
- Cybercrime ¡is ¡part ¡of ¡the ¡Criminal ¡Code ¡in ¡
- Kosovo. ¡In ¡addiAon ¡to ¡the ¡above ¡menAoned ¡
Criminal ¡Law, ¡parAal ¡legislaAon ¡exists ¡in ¡ Procedural ¡Cybercrime ¡Code ¡
Cybersecurity ¡Legal ¡ Frameworks ¡
Dimension ¡4 ¡ Legal ¡and ¡regulatory ¡frameworks ¡ ¡
SLIDE 17
- Some ¡invesAgaAve ¡capacity ¡exists ¡for ¡
computer-‑related ¡crimes, ¡in ¡accordance ¡with ¡ domesAc ¡law ¡
- The ¡Cyber ¡Crime ¡InvesAgaAon ¡Unit ¡within ¡the ¡
Kosovo ¡Police ¡has ¡the ¡technical ¡capacity ¡and ¡ training ¡to ¡invesAgate ¡computer-‑related ¡ crimes ¡
- Some ¡training ¡on ¡cybercrime ¡maGers ¡is ¡
provided ¡for ¡prosecutors ¡and ¡the ¡judiciary ¡
Legal ¡InvesEgaEon ¡
Dimension ¡4 ¡ Legal ¡and ¡regulatory ¡frameworks ¡ ¡
Responsible ¡ReporEng ¡
- There ¡is ¡no ¡formal ¡disclosure ¡framework ¡ ¡
SLIDE 18
- InformaAon-‑security ¡standards ¡have ¡been ¡
idenAfied ¡for ¡use. ¡The ¡private ¡sector ¡ adheres ¡to ¡internaAonal ¡standards ¡such ¡as ¡ ISO ¡
- Procurement, ¡cyber-‑security ¡standards, ¡
pracAces ¡and ¡procedures ¡are ¡currently ¡ under ¡development ¡naAonally ¡
Adherence ¡to ¡standards ¡
Dimension ¡5 ¡ Standards, ¡organisaEons, ¡and ¡technologies ¡ ¡ ¡
Cybersecurity ¡ CoordinaEng ¡ OrganisaEons ¡
- There ¡is ¡no ¡clear ¡command ¡structure ¡for ¡
cyber ¡security ¡in ¡the ¡defence ¡apparatus ¡
- A ¡naAonal ¡CERT, ¡KOS-‑CERT ¡is ¡now ¡being ¡
- developed. ¡
SLIDE 19
- Deployment ¡of ¡technology ¡infrastructure ¡
and ¡processes ¡is ¡performed ¡in ¡public ¡and ¡ private ¡sectors ¡but ¡not ¡in ¡a ¡strategic ¡manner ¡ ¡
- NaAonal ¡infrastructure ¡regarding ¡
cybersecurity ¡is ¡managed ¡informally, ¡with ¡ no ¡documented ¡processes, ¡roles ¡and ¡ responsibiliAes ¡
NaEonal ¡Infrastructure ¡ Resilience ¡
Dimension ¡5 ¡ Standards, ¡organisaEons, ¡and ¡technologies ¡ ¡ ¡
Cybersecurity ¡ Marketplace ¡
- There ¡are ¡no ¡cybersecurity ¡technologies ¡
produced ¡domesAcally ¡
- The ¡need ¡for ¡a ¡market ¡in ¡cybercrime ¡
insurance ¡has ¡not ¡been ¡idenAfied ¡
SLIDE 20
¡
- Development ¡of ¡a ¡NaAonal ¡Cybersecurity ¡Strategy ¡
- Establishment ¡of ¡a ¡naAonal ¡programme ¡for ¡promoAng ¡ ¡
¡ ¡ ¡ ¡ ¡standards’ ¡adopAon ¡in ¡procurement ¡or ¡socware ¡development ¡
- ConducAng ¡crisis ¡and ¡risk ¡management ¡ ¡
¡ ¡ ¡ ¡ ¡exercises-‑simulaAons ¡at ¡a ¡naAonal ¡level ¡
- Strengthening ¡formal ¡coordinaAon ¡ ¡
¡ ¡ ¡ ¡ ¡regarding ¡CriAcal ¡NaAonal ¡Infrastructure ¡ ¡ ¡ ¡ ¡ ¡ ¡(CNI) ¡and ¡informaAon ¡sharing ¡between ¡ ¡ ¡ ¡ ¡ ¡ ¡public ¡and ¡private ¡sector ¡
¡ Moving ¡Forward ¡
Strategy ¡
CoordinaAon ¡
Standards ¡
SLIDE 21
¡
- Expanding ¡the ¡awareness ¡campaign ¡programme ¡ ¡
¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡to ¡cover ¡various ¡target ¡groups ¡and ¡link ¡the ¡programme ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡to ¡the ¡naAonal ¡cybersecurity ¡strategy ¡ ¡
- Promote ¡trust ¡in ¡e-‑government ¡and ¡e-‑commerce ¡ ¡
¡services ¡through ¡regulaAon ¡ ¡ ¡
- ¡ ¡ ¡Engraining ¡informaAon ¡security ¡training ¡and ¡ ¡
¡educaAon ¡through ¡all ¡stages ¡of ¡educaAon ¡ ¡
- AllocaAng ¡resources ¡to ¡cybersecurity ¡educaAon ¡ ¡
¡and ¡training ¡for ¡public ¡universiAes ¡ ¡
- ConducAng ¡cybersecurity ¡training ¡for ¡ ¡
¡public ¡sector ¡employees ¡and ¡board ¡members ¡ ¡
Moving ¡forward ¡(2) ¡
Training ¡
Awareness ¡ E d u c a A
- n ¡
SLIDE 22
- Providing ¡training ¡and ¡educaAon ¡of ¡prosecutors ¡and ¡Judges ¡
¡ ¡ ¡ ¡ ¡ ¡on ¡computer ¡related ¡crimes ¡ ¡
- Developing ¡responsible ¡disclosure ¡policy ¡within ¡public ¡ ¡
¡ ¡ ¡ ¡ ¡ ¡sector ¡and ¡private ¡sector ¡ ¡ ¡
- Strengthening ¡government’s ¡capacity ¡to ¡adapt ¡or ¡ ¡
¡ ¡ ¡ ¡ ¡ ¡adopt ¡internaAonal ¡standards ¡ ¡
- Establishing ¡a ¡naAonal ¡Command ¡and ¡Control ¡Centre ¡
- CoordinaAng ¡performance ¡of ¡the ¡naAonal ¡CERT, ¡ ¡
¡ ¡ ¡ ¡ ¡currently ¡under ¡development, ¡allocaAng ¡sufficient ¡resources ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡and ¡accredited ¡training ¡to ¡its ¡employees ¡ ¡
- InvesAng ¡in ¡ICT ¡research ¡and ¡cooperaAon ¡between ¡ ¡
¡ ¡ ¡ ¡ ¡academia, ¡research ¡and ¡industry ¡
Moving ¡forward ¡(3) ¡
Responsible ¡ Disclosure ¡
¡ ¡Standards ¡ C E R T ¡
SLIDE 23