[pic] | EUROOPAN YHTEISÖJEN KOMISSIO |

Bryssel, 31.5.2006

KOM(2006) 251 lopullinen

KOMISSION TIEDONANTO NEUVOSTOLLE, EUROOPAN PARLAMENTILLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

Turvallisen tietoyhteiskunnan strategia – "Lisää vuoropuhelua, yhteistyötä ja vaikutusmahdollisuuksia" {SEC(2006) 656}

SISÄLLYSLUETTELO

s1. Johdanto 3

2. Tietoyhteiskunnan turvallisuuden parantaminen: keskeiset haasteet 4

3. Dynaaminen lähestymistapa turvalliseen tietoyhteiskuntaan 6

3.1. Vuoropuhelu 8

3.2. Yhteistyö 8

3.3. Vaikutusmahdollisuuksien lisääminen 9

4. Päätelmät 10

KOMISSION TIEDONANTO NEUVOSTOLLE, EUROOPAN PARLAMENTILLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

Turvallisen tietoyhteiskunnan strategia – "Lisää vuoropuhelua, yhteistyötä ja vaikutusvaltaa"

JOHDANTO

Tiedonannossa "i2010 – kasvua ja työllisyyttä edistävä eurooppalainen tietoyhteiskunta"[1] korostettiin, kuinka tärkeää verkko- ja tietoturva on yhtenäisen eurooppalaisen tietoalueen perustamisen kannalta. Verkko- ja tietojärjestelmien käytettävyys, luotettavuus ja turvallisuus ovat yhä keskeisemmässä asemassa talouksiemme ja yhteiskunnan rakenteiden kannalta.

Tämän tiedonannon tarkoituksena on antaa uutta vauhtia vuonna 2001 tiedonannossa "Verkko- ja tietoturva: Ehdotus eurooppalaiseksi lähestymistavaksi"[2] esitellylle Euroopan yhteisön strategialle. Tässä tiedonannossa tarkastellaan tietoyhteiskunnan turvallisuusuhkien nykytilaa ja määritellään, mitä lisätoimenpiteitä verkko- ja tietoturvan parantamiseksi olisi toteutettava.

Kunnianhimoinen tavoite on jäsenvaltioiden ja Euroopan yhteisön tasolla saadun kokemuksen perusteella kehittää edelleen Euroopalle dynaamista ja kokonaisvaltaista turvallisuuskulttuuriin pohjautuvaa strategiaa, joka perustuu vuoropuheluun, yhteistyöhön ja vaikutusmahdollisuuksien lisäämiseen.

Euroopan yhteisö on kehittänyt kolmitahoisen lähestymistavan tietoyhteiskunnan turvallisuushaasteiden käsittelemiseksi: erityiset verkko- ja tietoturvatoimenpiteet, sähköisen viestinnän sääntelyjärjestelmä (joka sisältää myös yksityiseen ja tietosuojaan liittyvät kysymykset) ja tietoverkkorikollisuuden torjunta. Vaikka näitä kolmea näkökohtaa voidaan tietyssä määrin kehitellä erikseen, ne ovat siinä määrin toisistaan riippuvaisia, että tarvitaan koordinoitua strategiaa. Tässä tiedonannossa esitetään tuo strategia, ja luodaan siten puitteet verkko- ja tietoturvaa koskevan yhtenäisen lähestymistavan viemiseksi eteenpäin ja viimeistelemiseksi.

Vuoden 2001 tiedonannossa verkko- ja tietoturva määritellään verkon tai tietojärjestelmän tietyn tasoiseksi kyvyksi kestää onnettomuuksia tai ilkivaltaa, jotka vaarantavat tallennettujen tai siirrettyjen tietojen ja muiden verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen käytettävyyden, aitouden, eheyden ja luottamuksellisuuden. Euroopan yhteisö on viime vuosina toteuttanut joukon toimia parantaakseen verkko- ja tietoturvaa.

Sähköisen viestinnän sääntelyjärjestelmään, jonka tarkistus on parhaillaan käynnissä, sisältyy turvallisuuteen liittyviä säännöksiä. Erityisesti henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annettu direktiivi[3] velvoittaa yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajan varmistamaan tarjoamiensa palvelujen turvallisuuden. Säännöksiä roskapostin[4] ja vakoiluohjelmien[5] torjumiseksi on annettu.

Luottamus ja turvallisuus ovat tärkeitä myös Euroopan yhteisön tutkimus- ja kehitysohjelmissa. Kuudennessa tutkimuksen puiteohjelmassa näitä kysymyksiä käsitellään useissa hankkeissa. Turvallisuusaiheista tutkimusta vahvistetaan edelleen seitsemännessä puiteohjelmassa perustamalla Euroopan turvallisuustutkimusohjelma (ESRP)[6]. Lisäksi Safer Internet plus -ohjelma tukee verkostointihankkeita ja parhaiden toimintatapojen vaihtoa tietoverkkojen haitallisten sisältöjen torjumiseksi.

Turvallisuusuhkiin vastaamiseksi Euroopan yhteisö muun muassa päätti vuonna 2004 perustaa Euroopan verkko- ja tietoturvaviraston. Virasto osallistuu sellaisen verkko- ja tietoturvakulttuurin kehittämiseen, josta on hyötyä Euroopan unionin (EU) kansalaisille, kuluttajille, yrityksille ja julkisen sektorin organisaatioille.

EU:lla toimii aktiivisesti myös näitä aiheita käsittelevillä kansainvälisillä foorumeilla, kuten OECD:ssä, Euroopan neuvostossa tai YK:ssa. Tietoyhteiskuntahuippukokouksessa Tunisissa EU tuki voimakkaasti keskusteluja verkkojen ja tietojen käytettävyydestä, luotettavuudesta ja turvallisuudesta. Tunisin toimintaohjelma[7] ja Tunisin sitoumus sisältävät maailmanlaajuista tietoyhteiskuntaa koskevan poliittisen keskustelun seuraavat vaiheet, jotka maailmanjohtajat hyväksyivät. Toimintaohjelmassa korostetaan tarvetta jatkaa tietoverkkorikollisuuden ja roskapostin torjuntaa, samalla kun varmistetaan yksityisyyden suoja ja sananvapaus. Siinä todetaan tarve saavuttaa yhteinen käsitys Internetin turvallisuuskysymyksistä ja lisätä yhteistyötä, jotta helpotettaisiin tietoturvaan liittyvän tiedon keräämistä ja levittämistä sekä turvallisuusuhkien torjumiseen tähtäävien hyvien toimintatapojen vaihtoa kaikkien sidosryhmien kesken.

Tietoyhteiskunnan turvallisuuden parantaminen: keskeiset haasteet

Kansainvälisistä, eurooppalaisista ja kansallisista ponnisteluista huolimatta turvallisuus on edelleen haastava ongelma.

Ensinnäkin tietojärjestelmiin kohdistuvien hyökkäysten motiivina on yhä enemmän hyöty pikemminkin kuin vain halu tuottaa häiriötä sen itsensä vuoksi. Tietoja haravoidaan laittomasti ja yhä enemmän käyttäjän tietämättä, samaan aikaan kun erilaisten haittaohjelmien[8] määrä (ja kehitystahti) kasvaa nopeasti. Roskaposti on tästä kehityksestä hyvä esimerkki: siitä on tullut väline virusten levittämiseen ja petolliseen ja rikolliseen toimintaan, kuten vakoilu-, verkkourkinta-[9] ja muiden haittaohjelmien levittämiseen. Sen laaja levinneisyys nojaa yhä enemmän botnet-verkkojen[10] käyttöön, toisin sanoen hyökkäyksille alttiita palvelimia ja tietokoneita käytetään välittäjinä niiden omistajien tietämättä.

Kannettavien laitteiden (muun muassa 3G-matkapuhelinten ja kannettavien videopelien) ja matkaviestinverkkopalvelujen käyttö lisääntyy jatkuvasti, mikä asettaa uusia haasteita, kun IP-pohjaiset palvelut kehittyvät nopeasti. Näistä voi mahdollisesti jatkossa kehittyä tavallisempi hyökkäysreitti kuin henkilökohtaisista tietokoneista, koska viimeksi mainittujen turvataso on jo merkittävän korkea. Kaikki uudet viestintä- ja tietojärjestelmät tarjoavatkin väistämättä uusia mahdollisuuksia vihamielisille hyökkäyksille.

Toinen merkittävä kehityssuunta on toimintaympäristöön sulautetun tietotekniikan käyttöönotto. Siinä älykkäät laitteet hyödyntävät läsnä-älyä tietokone- ja verkkotekniikan tuella (esim. RFID[11], IPv6 ja anturiverkot). Täysin yhteenliitetty ja verkotettu arkielämä lupaa merkittäviä mahdollisuuksia, mutta se luo myös uusia turvallisuuteen ja yksityisyydensuojaan liittyviä riskejä. Vaikka yleiset käyttöjärjestelmät ja sovellukset edistävät yhteenliitettävyyttä ja tieto- ja viestintätekniikan käyttöönottoa, ne voivat myös lisätä riskejä. Mitä enemmän esimerkiksi ostetaan kaupasta valmiita ohjelmistoja, sitä suurempia ovat vaikutukset, kun niiden heikkouksia hyödynnetään tai ne eivät toimi. "Monokulttuurien" syntyminen käyttöjärjestelmiin ja ohjelmistoihin voi suuresti helpottaa turvallisuusuhkien, kuten haittaohjelmien ja virusten, lisääntymistä ja leviämistä. Monimuotoisuus, avoimuus ja yhteentoimivuus ovat turvallisuuden olennaisia tekijöitä, ja niitä olisi edistettävä.

Tietotekniikka-alan merkitys Euroopan taloudelle ja eurooppalaiselle yhteiskunnalle kokonaisuudessaan on kiistaton. Tietotekniikka on innovaation tärkeä osa, ja se edustaa lähes 40:tä prosenttia tuottavuuden lisäyksestä. Lisäksi tämä erittäin innovatiivinen ala vastaa yli neljännestä Euroopan koko t&k-panostuksesta, ja sillä on keskeinen asema koko taloudessa taloudellisen kasvun ja työpaikkojen luomisessa. Yhä useammat eurooppalaiset elävät todellisessa tietoon perustuvassa yhteiskunnassa, jossa tietotekniikan käyttö on nopeasti lisääntynyt inhimillisen sosiaalisen ja taloudellisen vuorovaikutuksen keskeisenä toimintona. Eurostatin mukaan 89 prosenttia EU:n yrityksistä käytti Internetiä aktiivisesti vuonna 2004, ja noin 50 prosenttia kuluttajista oli äskettäin käyttänyt Internetiä.[12]

Verkko- ja tietoturvaloukkausten vaikutus voi ulottua talousnäkökohtia paljon pitemmälle. Yleisesti pelätään, etteivät käyttäjät turvallisuusongelmien takia halua ottaa käyttöön tietotekniikkaa, kun taas käytettävyys, luotettavuus ja turvallisuus ovat ehdottomia edellytyksiä, jotta perusoikeudet voidaan verkossa taata.

Lisäksi elintärkeät infrastruktuurit (kuten liikenne, energia) ovat yhä riippuvaisempia niiden kunkin tietojärjestelmien eheydestä, koska eri verkot liitetään yhä enenevässä määrin yhteen.

Euroopassa sekä liikeyritykset että kansalaiset aliarvioivat edelleen riskejä. Tämä johtuu monista syistä, joista tärkein näyttää olevan yritysten osalta se, että turvallisuuteen tehtyjen investointien tuottoa on vaikea hahmottaa, ja kansalaisten osalta se, että he eivät ole tietoisia omasta vastuustaan kokonaisvaltaisessa turvallisuusketjussa.

Kun otetaan huomioon tietotekniikan ja tietojärjestelmien läsnäolo kaikkialla, verkko- ja tietoturva on jokaista koskettava haaste:

- Julkishallintojen on puututtava omien järjestelmiensä turvallisuuteen, ei pelkästään suojatakseen julkisen sektorin tietoja vaan myös antaakseen esimerkkiä hyvistä toimintatavoista muille toimijoille.

- Yritysten on käsiteltävä verkko- ja tietoturvaa ensisijaisesti voimavarana ja kilpailuedun osatekijänä eikä "negatiivisena kustannuksena".

- Yksittäisten käyttäjien on ymmärrettävä, että heidän kotijärjestelmänsä ovat kriittisessä asemassa kokonaisvaltaisen "turvallisuusketjun" kannalta.

Voidakseen menestyksekkäästi ratkaista edellä kuvattuja ongelmia kaikkien sidosryhmien on saatava luotettavaa tietoa tietoturvahäiriöistä ja -suuntauksista. Luotettavaa ja vertailukelpoista tietoa tällaisista häiriöistä on kuitenkin monista syistä vaikea saada. Niitä ovat muun muassa nopeus, jolla turvallisuushäiriöt voivat esiintyä, sekä joidenkin organisaatioiden haluttomuus paljastaa ja julkistaa tietoturvaloukkauksia. Turvallisuuskulttuurin luomisen peruskiviä on kuitenkin ongelman parempi tunteminen.

On tärkeää, että valistusohjelmat, joilla pyritään tuomaan esiin turvallisuusuhkia, eivät heikennä kuluttajien ja käyttäjien luottamusta keskittymällä pelkästään turvallisuuden kielteisiin näkökohtiin. Verkko- ja tietoturva onkin, aina kun se on mahdollista, esitettävä positiivisena mahdollisuutena pikemminkin kuin rasitteena ja kustannuksena. Sitä on tarkasteltava voimavarana, jonka avulla voidaan rakentaa kuluttajien luottamusta, tietojärjestelmiä käyttävien yritysten kilpailuetuna ja palveluntarjoajien laatukysymyksenä sekä julkisella että yksityisellä sektorilla.

Päättäjien keskeinen haaste on luoda kokonaisvaltainen lähestymistapa, jossa on yksilöitävä eri sidosryhmien tehtävät. Sen avulla on varmistettava verkko- ja tietoturvaan välittömästi tai välillisesti vaikuttavien eri julkisten politiikkojen ja säännösten asianmukainen koordinointi. Markkinoiden vapauttaminen, sääntelyn poistaminen ja lähentyminen ovat synnyttäneet eri sidosryhmiin monia eri toimijoita, mikä ei helpota tehtävää. Verkko- ja tietoturvaviraston panos on tämän tavoitteen saavuttamisessa tärkeä. Edistääkseen Euroopan tietotekniikkatoimialan kilpailukykyä ja hyvin toimivia sisämarkkinoita virasto voisi toimia keskuksena, joka jakaa tietoja, edistää yhteistyötä kaikkien sidosryhmien välillä ja vaihtaa suositeltavia käytäntöjä sekä Euroopassa että muun maailman kanssa.

Dynaaminen lähestymistapa turvalliseen tietoyhteiskuntaan

Turvallisen tietoyhteiskunnan on perustuttava tehokkaaseen verkko- ja tietoturvaan ja laajalle levinneeseen turvallisuuskulttuuriin . Tätä varten Euroopan komissio ehdottaa dynaamista ja yhdennettyä lähestymistapaa , johon kaikki sidosryhmät osallistuvat ja joka perustuu vuoropuheluun, yhteistyöhön ja vaikutusmahdollisuuksien lisäämiseen. Koska turvallisuuskulttuurin luomisessa julkisella ja yksityisellä sektorilla on toisiaan täydentävät tehtävät, tämän alan poliittisten aloitteiden on perustuttava sidosryhmien avoimeen ja osallistavaan monenväliseen vuoropuheluun.

Tämä lähestymistapa ja siihen liittyvät toimet täydentävät ja monipuolistavat komission suunnitelmaa jatkaa kattavien ja dynaamisten toimintalinjakehysten kehittämistä useilla eri aloitteilla vuonna 2006:

1. roskapostin ja eri uhkien, kuten vakoilu- ja muiden haittaohjelmien, kehityksen käsittely näitä erityisaiheita koskevassa tiedonannossa

2. ehdotukset lainvalvontaviranomaisten välisen yhteistyön parantamiseksi ja sellaisten uusien rikollisuuden muotojen käsittelemiseksi, jotka hyödyntävät Internetiä ja heikentävät elintärkeiden infrastruktuurien toimintaa. Tämä on erityisen tietoverkkorikollisuutta koskevan tiedonannon aihe.

Nämä aloitteet täydentävät myös toimia, joita suunnitellaan Euroopan elintärkeiden infrastruktuurien suojaamisohjelmasta annetun komission vihreän kirjan[13] tavoitteiden saavuttamiseksi. Vihreä kirja laadittiin vastaukseksi neuvoston joulukuussa 2004 esittämään pyyntöön. Vihreällä kirjalla aloitettu prosessi johtaa luultavasti toimintasuunnitelmaan, jossa yhdistetään elintärkeiden infrastruktuurien suojelun kokonaisvaltainen lähestymistapa alakohtaisiin politiikkoihin, myös tietotekniikka-alaan. Tietotekniikkaa koskevassa alakohtaisessa politiikassa tutkittaisiin sidosryhmien monenvälisen vuoropuhelun avulla, mitkä ovat asiaankuuluvat taloudelliset, liike- ja yhteiskuntaelämän liikkeellepanevat voimat, jotta turvallisuutta voitaisiin tehostaa ja verkko- ja tietojärjestelmien joustavuutta lisätä.

Lisäksi sähköisen viestinnän sääntelyjärjestelmän tarkistuksessa 2006 otetaan huomioon myös verkko- ja tietoturvaa parantavat tekijät, kuten palveluntarjoajien toteuttamat tekniset ja organisatoriset toimenpiteet, tietoturvaloukkausten ilmoittamista koskevat säännökset ja velvoitteiden noudattamatta jättämisen ehkäiseminen ja seuraamukset

Ratkaisujen, palvelujen ja tietoturvatuotteiden toimittaminen loppukäyttäjille on pitkälti yksityisen sektorin asia. Siksi on strategisesti tärkeää, että Euroopan teollisuus on sekä tietoturvatuotteiden ja -palvelujen vaativa käyttäjä että verkko- ja tietoturvatuotteiden ja -palvelujen kilpailukykyinen tarjoaja.

Kansallisten hallitusten on kyettävä yksilöimään ja toteuttamaan parhaat toimintatavat päätöksenteossaan ja sitouduttava näkyvästi näihin tavoitteisiin hoitamalla omia tietojärjestelmiään turvallisesti. Jäsenvaltioiden ja EU:n viranomaiset ovat keskeisessä asemassa, jotta käyttäjät saavat asianmukaista tietoa, jonka avulla he voivat myötävaikuttaa omaan turvallisuuteensa. Painopisteenä on oltava tietoisuuden lisääminen verkko- ja tietoturvakysymyksistä sekä asianmukaisen ja oikea-aikaisen tiedon antaminen uhista, riskeistä ja hälytyksistä sekä parhaista toimintavoista sähköistä turvallisuutta käsittelevien Internet-portaalien kautta. Tätä tavoitetta ajatellen verkko- ja tietoturvaviraston eräs päätavoite voisi olla tutkia, onko mahdollista perustaa monikielinen eurooppalainen tiedonjako- ja hälytysjärjestelmä , joka perustuisi olemassa oleville tai suunnitelluille kansallisille julkisille ja yksityisille aloitteille ja linkittäisi ne yhteen.

Verkko- ja tietoturvallisuuden maailmanlaajuinen ulottuvuus vaatii komissiota lisäämään sekä kansainvälisesti että yhdessä jäsenvaltioiden kanssa ponnisteluja edistää verkko- ja tietoturvaa koskevaa maailmanlaajuista yhteistyötä erityisesti toteuttamalla tietoyhteiskuntahuippukokouksessa (WSIS) marraskuussa 2005 hyväksytty toimintaohjelma.

Lopuksi tutkimus ja kehitys auttaa erityisesti EU:n tasolla kehittämään uusia ja innovatiivisia yhteistyökumppanuuksia, joilla vauhditetaan Euroopan tietotekniikkatoimialan kasvua yleisesti ja Euroopan tietoturvatoimialan kasvua erityisesti. Komissio pyrkiikin varmistamaan, että EU:n seitsemännessä puiteohjelmassa osoitetaan riittävät rahoitusvarat verkko- ja tietoturvaa ja luotettavuustekniikoita koskevaan tutkimukseen.

Vuoropuhelu

Ensimmäisenä askeleena julkisviranomaisten välisen vuoropuhelun tehostamiseksi komissio ehdottaa, että aloitetaan kansallisten verkko- ja tietoturvaan liittyvien politiikkojen vertaileva arviointi, mihin sisällytetään myös julkista sektoria erityisesti koskevat turvallisuuspolitiikat. Arvioinnin avulla on helpompi yksilöidä tehokkaimmat toimintatavat, jotka voidaan sitten mahdollisuuksien mukaan ottaa laajemmin käyttöön koko EU:ssa, jolloin julkishallinnoista tulee turvallisuusalan parhaiden toimintatapojen edistäjä. Sähköisellä tunnistamisella voisi esimerkiksi äskettäin hyväksytyn sähköistä hallintoa koskevan toimintasuunnitelman osana olla tässä suhteessa tärkeä asema.

Jos arviointi organisoidaan asianmukaisesti, sen tulosten avulla voidaan myös yksilöidä parhaat toimintatavat, joilla voidaan saada pk-yritykset ja kansalaiset tietoisiksi tarpeesta käsitellä verkko- ja tietoturvaan liittyviä haasteita ja vaatimuksia sekä parantaa heidän valmiuksiaan tehdä niin. Verkko- ja tietoturvaviraston olisi toimittava aktiivisesti sekä tässä vuoropuhelussa että parhaiden toimintatapojen vakiinnuttamisessa ja vaihtamisessa.

Tarvitaan rakenteellista monenvälistä sidosryhmien keskustelua siitä, miten nykyisiä välineitä ja säännöksiä voidaan parhaiten hyödyntää, jotta saadaan aikaan asianmukainen yhteiskunnallinen tasapaino turvallisuuden ja perusoikeuksien, erityisesti yksityisyyden suojelun välillä. Tähän keskusteluun tuovat oman osansa tulevalla Suomen puheenjohtajakaudella pidettäväksi suunniteltu konferenssi " i2010 – Towards a Ubiquitous European Information Society " (Kohti eurooppalaista ubiikkitietoyhteiskuntaa) sekä RFID:n vaikutuksia turvallisuuteen ja yksityisyyteen koskeva kuuleminen osana komission äskettäin käynnistämää laajempaa kuulemista. Lisäksi komissio järjestää

- liikeyrityksille tarkoitetun tapahtuman, jolla pyritään saamaan teollisuus sitoutumaan turvallisuuskulttuurin tehokkaaseen toteuttamiseen teollisuudessa

- seminaarin, jossa pohditaan tapoja lisätä tietoisuutta turvallisuuskysymyksistä ja vahvistaa loppukäyttäjien luottamusta sähköisten verkkojen ja tietojärjestelmien käyttöön.

Yhteistyö

Tehokkaassa päätöksenteossa on ymmärrettävä selkeästi haasteiden luonne ja laajuus. Tämä edellyttää paitsi luotettavia ja ajantasaisia tilasto- ja taloustietoja sekä tietoturvahäiriöistä että kuluttajien ja käyttäjien luottamuksen tasosta, myös ajantasaisia tietoja Euroopan tietoturvatoimialan koosta ja suuntauksista. Komissio aikoo pyytää verkko- ja tietoturvavirastoa kehittämään luottamuksellisen kumppanuussuhteen jäsenvaltioihin ja sidosryhmiin , jotta voidaan kehittää asianmukainen tietojenkeruujärjestelmä, myös menettelyt ja mekanismit tietoturvahäiriöitä ja kuluttajien luottamusta koskevien EU:n laajuisten tietojen keräämiseksi ja analysoimiseksi.

Koska markkinoilla on EU:ssa erityisluonne ja ne ovat voimakkaasti pirstoutuneita, komissio pyytää samanaikaisesti jäsenvaltioita, yksityistä sektoria ja tutkimusyhteisöä luomaan strategisen kumppanuuden , jotta voidaan varmistaa, että käytettävissä on tietoja tietoturvatoimialasta ja tuotteiden ja palvelujen kehittyvistä markkinasuuntauksista EU:ssa.

Jotta Euroopan valmiuksia vastata verkkoturvauhkiin voitaisiin parantaa, komissio pyytää verkko- ja tietoturvavirastoa tutkimaan, onko mahdollista toteuttaa eurooppalainen tiedonjako- ja hälytysjärjestelmä , jolla voidaan edistää tehokkaita tapoja reagoida nykyisiin ja tuleviin sähköisten verkkojen uhkiin. Tällaisen järjestelmän edellytys on monikielinen EU-portaali, joka antaa kohdennettua tietoa uhista, riskeistä ja hälytyksistä.

Vaikutusmahdollisuuksien lisääminen

Kunkin sidosryhmän vaikutusvallan lisääminen on edellytys tietoisuuden lisäämiseksi tietoturvatarpeista ja -riskeistä, jotta verkko- ja tietoturvaa voidaan parantaa.

Tähän liittyen komissio pyytää jäsenvaltioita

- osallistumaan aloitteellisesti ehdotettuun kansallisten verkko- ja tietoturvapolitiikkojen vertailevaan arviointiin

- edistämään läheisessä yhteistyössä verkko- ja tietoturvaviraston kanssa tiedotuskampanjoita tehokkaiden tietoturvatekniikoiden, -käytäntöjen ja -menetelmien eduista, hyödyistä ja tuloksista

- käynnistämään sähköisiä hallintopalveluja ja edistämään hyviä tietoturvakäytäntöjä, jotka voitaisiin sitten ulottaa myös muille aloille

- kannustamaan verkko- ja tietoturvaohjelmien kehittämistä osana korkea-asteen koulutuksen opetussuunnitelmaa.

Komissio pyytää myös yksityisen sektorin sidosryhmiä tekemään aloitteita, jotta voitaisiin

- kehittää asianmukainen määritelmä ohjelmistotuottajien ja Internet-palveluntarjoajien vastuusta suhteessa riittävän ja todennettavan tietoturvatason tarjoamiseen. Tähän tarvitaan sellaisten vakioitujen prosessien tukea, jotka täyttävät yleisesti hyväksytyt turvastandardit ja parhaita toimintatapoja koskevat säännöt.

- edistää monimuotoisuutta, avoimuutta, yhteentoimivuutta, käytettävyyttä ja kilpailua tietoturvan avaintekijöinä sekä lisätä tietoturvaa tehostavien tuotteiden, prosessien ja palvelujen käyttöönottoa käyttäjätunnusvarkauksien ja muiden yksityisyyttä loukkaavien hyökkäysten ehkäisemiseksi ja torjumiseksi

- levittää hyviä tietoturvatoimintoja verkko-operaattoreille, palveluntarjoajille ja pk-yrityksille tietoturvan ja liiketoiminnan jatkuvuuden perusedellytyksinä

- edistää liikealan, erityisesti pk-yritysten, koulutusohjelmia, jotta työntekijöillä on tarvittavat tiedot ja taidot tehokkaiden tietoturvakäytäntöjen toteuttamiseen.

- pyrkiä luomaan kohtuuhintaiset turvavarmentamisjärjestelmät sellaisille tuotteille, prosesseille ja palveluille, jotka koskevat EU:n erityisiä tarpeita (erityisesti yksityisyyteen liittyen)

- ottaa vakuutusala mukaan kehittämään asianmukaiset riskinhallintavälineet ja -menetelmät tietoteknisten riskien käsittelemiseksi ja edistää riskinhallintakulttuuria eri organisaatioissa ja yrityksissä (erityisesti pk-yrityksissä).

Päätelmät

EU:n tietojärjestelmiin ja -verkkoihin liittyvien turvallisuushaasteiden tunnistaminen ja kohtaaminen edellyttää kaikkien sidosryhmien täysimääräistä sitoutumista. Tämä pyritään saavuttamaan tässä tiedonannossa hahmotellulla lähestymistavalla: vahvistamalla sidosryhmien monenvälistä lähestymistapaa. Se perustuisi yhteisiin etuihin, kunkin osapuolen tehtävien yksilöimiseen ja dynaamisten puitteiden luomiseen tehokkaan julkisen päätöksenteon ja yksityisen sektorin aloitteiden edistämiseksi.

Komissio raportoi vuoden 2007 puolivälissä neuvostolle ja parlamentille aloitetuista toiminnoista, alustavista havainnoista ja yksittäisten aloitteiden etenemisestä, myös verkko- ja tietoturvaviraston, jäsenvaltioiden ja yksityisen sektorin tekemien aloitteiden osalta. Tarvittaessa komissio ehdottaa verkko- ja tietoturvallisuuden suositusta.

[1] KOM(2005) 229 lopullinen, 1.6.2005.

[2] KOM(2001) 298 lopullinen, 6.6.2001.

[3] Direktiivi 2002/58/EY.

[4] Ei-toivottua markkinointiviestintää.

[5] Vakoiluohjelmat ovat seurantaohjelmia, jotka otetaan käyttöön ilmoittamatta tästä asianmukaisesti käyttäjälle tai pyytämättä tämän hyväksyntää, sekä siten, ettei käyttäjä voi valvoa ohjelmien toimintaa.

[6] ESPR:ää valmistellaan turvallisuutta koskevan tutkimuksen valmistelutoimen yhteydessä ajanjaksolla 2004–2006.

[7] Kohti maailmanlaajuista kumppanuutta tietoyhteiskunnan alalla: Tietoyhteiskuntahuippukokouksen (WSIS) Tunisin vaiheen jatkotoimet. KOM(2006) 181 lopullinen, 27.4.2006.

[8] Haittaohjelma on vihamielinen, haitallinen ohjelma.

[9] Verkkourkinta ( phishing ) on Internet-petoksen muoto, jolla pyritään varastamaan arvokkaita tietoja, kuten luottokorttien ja pankkitilien numeroita, käyttäjätunnuksia ja salasanoja.

[10] Botnet-verkot ovat verkkoapulaisten käyttämiä verkkoja. Verkkoapulaiset eli botit (<- engl. robot ) ovat etäohjattavia sovelluksia, jotka asennetaan uhrikoneelle salaa.

[11] Radio Frequency Identification (radiotekniikkaan perustuva etätunnistus).

12 Eurostat, Internet activities in the European Union , 40/2005.

[12] KOM(2005) 576 lopullinen, 17.11.2005.