[pic] | EUROOPAN YHTEISÖJEN KOMISSIO |

Bryssel, 15.11.2006

KOM(2006)688 lopullinen

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

Roskapostin sekä vakoilu- ja haittaohjelmien torjunta

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE, NEUVOSTOLLE, EUROOPAN TALOUS- JA SOSIAALIKOMITEALLE JA ALUEIDEN KOMITEALLE

Roskapostin sekä vakoilu- ja haittaohjelmien torjunta (ETAn kannalta merkityksellinen)

1. Tiedonannon tarkoitus

Yhteiskunnassa tiedostetaan entistä enemmän, kuinka keskeisessä asemassa sähköisen viestinnän verkot ja palvelut ovat jokapäiväisessä elämässä niin työpaikalla kuin kotonakin. Palvelujen laajan yleistymisen edellytyksenä on, onko saatavilla turvallista ja luotettavaa teknologiaa. Komission antamassa tiedonannossa turvallisen tietoyhteiskunnan strategiasta [1] pyritään parantamaan verkko- ja tietoturvaa yleisellä tasolla ja kehotetaan yksityistä sektoria kiinnittämään huomiota verkko- ja tietojärjestelmien haavoittuvuuteen. Tätä haavoittuvuutta väärinkäyttämällä voidaan levittää roskapostia ja haittaohjelmia. Komission tiedonannossa sähköisiä viestintäverkkoja ja -palveluja koskevan EU:n sääntelyjärjestelmän uudelleentarkastelusta [2] ehdotetaan uusia sääntöjä tietoturvan ja yksityisyyden suojan lujittamiseksi sähköisen viestinnän alalla.

Tässä tiedonannossa tarkastellaan roskapostin kehittymistä[3] ja erilaisia uhkia, kuten vakoilu- ja haittaohjelmia. Siinä arvioidaan tähänastisia ponnisteluja näiden uhkien torjumiseksi ja yksilöidään muita mahdollisia toimia, kuten:

- yhteisön lainsäädännön vahvistaminen

- lainvalvonta

- yhteistyö jäsenvaltioissa ja niiden välillä

- poliittinen ja taloudellinen vuoropuhelu kolmansien maiden kanssa

- alan aloitteet

- t&k-toiminta.

2. Ongelma – uhkien luonteen muuttuminen

Roskaposti[4] on lisääntynyt huomattavasti viimeksi kuluneiden viiden vuoden aikana[5]. Alan lähteet raportoivat, että tällä hetkellä roskapostin osuus loppukäyttäjille suunnatuista viesteistä on 50–80 prosenttia[6]. Vaikka suurin osa roskapostista on peräisin EU:n ulkopuolelta, Euroopan maiden osuus välitetyistä roskapostiviesteistä on jo 25 prosenttia[7]. Roskapostin maailmanlaajuisiksi kustannuksiksi vuonna 2005 on arvioitu 39 miljardia euroa. Keskeisten eurooppalaisten kansantalouksien kustannukset on arvioitu seuraavasti: Saksa noin 3,5 miljardia euroa, Yhdistynyt kuningaskunta 1,9 miljardia euroa ja Ranska 1,4 miljardia euroa[8]. Roskapostia pidetään jo omana ”liiketoimintanaan”. Roskapostittajat vuokraavat tai myyvät haalimistaan sähköpostiosoitteista koottuja luetteloja yhtiöille markkinointitarkoituksiin. Roskapostin lähettäminen Internetin kautta on erityisen kannattavaa. Tämä johtuu median tavoittavuudesta ja massiivisten viestimäärien alhaisista lähetyskustannuksista. Toisaalta vaatimattomatkin investoinnit roskapostin torjumiseksi saattavat tuottaa merkittäviä tuloksia. Esimerkiksi Alankomaissa sikäläisen roskapostin määrä väheni 85 prosenttia 570 000 euron investoinneilla roskapostin torjuntalaitteistoihin.

Ei-toivottujen sähköpostiviestien luonne on muuttunut: ne eivät ole enää pelkkä riesa sinänsä, vaan niihin liittyy yhä enemmän petollista ja rikollista toimintaa. Tunnettu esimerkki on verkkourkinta: siinä loppukäyttäjille lähetettävissä sähköpostiviesteissä heitä houkutellaan antamaan luottamuksellista tietoa imitoiduilla verkkosivuilla, jotka ovat edustavinaan todellisia yhtiöitä. Tämä mahdollistaa identiteettihuijauksen ja yhtiöiden maineen tahraamisen. Käyttäjien verkkokäyttäytymistä seuraavien ja siitä raportoivien vakoiluohjelmien levittäminen sähköpostin tai ohjelmistojen kautta lisääntyy jatkuvasti. Vakoiluohjelmilla voidaan kerätä myös henkilökohtaisia tietoja, kuten salasanoja ja luottokorttinumeroita.

Haitallisten koodien, kuten matojen ja virusten, leviäminen helpottaa huomattavasti ei-toivottujen sähköpostiviestien lähettämistä massiivisessa mittakaavassa. Kun tällainen koodi on asentunut tietokoneeseen, hyökkääjä voi kaapata koneen hallintaansa ja muuttaa sen bottiverkoksi [9], minkä avulla voidaan kätkeä todellisen roskapostittajan identiteetti. Roskapostittajat, verkkourkkijat ja vakoiluohjelmien myyjät vuokraavat bottiverkkoja petolliseen ja rikolliseen toimintaan. Alan asiantuntijat arvioivat, että bottiverkot välittävät yli 50 prosenttia haitallisista sähköpostiviesteistä[10]. Vakoiluohjelmien ja kuluttajia ja yrityksiä vastaan suunnattujen muuntyyppisten haitallisten koodien yleistymisellä on huomattavia taloudellisia seurauksia. Haittaohjelmien maailmanlaajuisiksi taloudellisiksi kustannuksiksi on arvioitu 11 miljardia euroa vuonna 2005[11].

3. TÄHÄNASTINEN TYÖ – VUODESTA 2004 TOTEUTETUT TOIMET

EU antoi vuonna 2002 henkilötietojen käsittelyä ja yksityisyyden suojaa sähköisen viestinnän alalla koskevan direktiivin , jossa kielletään roskaposti [12]. Direktiivissä säädetään periaatteesta, jonka mukaan suoramarkkinointi luonnolliselle henkilölle on sallittua ainoastaan, jos tämä on antanut siihen suostumuksensa. Tammikuussa 2004 komissio antoi roskapostia koskevan tiedonannon, jossa yksilöitiin toimenpiteitä direktiivin täydentämiseksi[13]. Komissio korosti, että tarvitaan eri toimijoiden panosta tiedottamisen, itsesääntelyn/teknisten toimenpiteiden, yhteistyön ja lainvalvonnan alalla. Komissio on alkanut sisällyttää roskapostin sekä vakoilu- ja haittaohjelmien torjunnan kolmansien maiden kanssa käymäänsä vuoropuheluun. Lisäksi on annettu sopimattomia kaupallisia menettelyjä koskeva direktiivi[14], joka suojaa kuluttajia aggressiivisilta kaupallisilta menettelyiltä; näiden menettelyjen torjumisesta rajat ylittävässä yhteistyössä säädetään puolestaan kuluttajansuojaa koskevasta yhteistyöstä annetussa asetuksessa[15].

3.1. Tiedotustoimet

Komission tiedonannolla tehtiin roskapostiongelmaa tunnetuksi kansallisella tasolla ja maailmanlaajuisesti. EU:n tasolla Safer Internet plus –ohjelmassa edistetään Internetin ja uuden verkkoteknologian käytön turvallisuutta erityisesti lasten osalta. Kyseessä on osa EU:n laajempaa yhtenäistä lähestymistapaa.

Jäsenvaltiot ovat käynnistäneet tai tukeneet kampanjoita lisätäkseen käyttäjien tietoisuutta roskapostista ja sen torjumisesta. Internet-palveluntarjoajat ovat yleensä ottaneet vastuuta neuvomalla ja avustamalla asiakkaitaan suojautumaan vakoiluohjelmilta ja viruksilta. Komissio toimi isäntänä roskapostiaiheisessa OECD:n seminaarissa tammikuussa 2004. Komissio on myös osallistunut aktiivisesti OECD:n Anti-Spam Toolkitin kehittämiseen. Kyseessä on laaja kokonaisuus sääntelynäkökohtia, teknisiä ratkaisuja ja alan aloitteita roskapostin torjumiseksi.

YK:n tietoyhteiskunta-aiheisessa huippukokouksessa[16] tunnustettiin , että roskapostia on torjuttava asianmukaisilla kansallisilla ja kansainvälisillä tasoilla. ITU on järjestänyt aiheesta WSIS-konferensseja vuonna 2004 ja 2005. Marraskuussa 2005 hyväksytyssä WSIS:n Tunisin toimintaohjelmassa kehotetaan puuttumaan konkreettisesti roskapostin aiheuttamaan huomattavaan ja koko ajan kasvavaan ongelmaan[17].

3.2. Kansainvälinen yhteistyö

Roskaposti on valtioiden rajat ylittävä ongelma, ja lukuisia yhteistyöaloitteita ja rajat ylittäviä lainvalvontamekanismeja onkin toteutettu. Komissio on perustanut roskapostikysymystä käsittelevien viranomaisten yhteysverkoston (CNSA), joka kokoontuu säännöllisesti. Verkostossa vaihdetaan parhaita käytänteitä ja harjoitetaan rajat ylittävää lainvalvontayhteistyötä. CNSA on laatinut yhteistyömenettelyn[18] helpottamaan valitusten käsittelyä valtioiden rajat ylittävän roskapostin osalta. Komission yksiköt tukevat ja osallistuvat tarkkailijana Lontoon toimintasuunnitelmaan (LPA) , joka tuo yhteen lainvalvontaviranomaiset 20 maasta ja jossa on myös hyväksytty yhteistyömenettely rajat ylittäviä toimenpiteitä varten. Marraskuussa 2005 pidettiin yhteinen EU CNSA – LAP –seminaari. OECD hyväksyi huhtikuussa 2006 suosituksen rajat ylittäväksi yhteistyöksi roskapostin torjuntaan liittyvän lainvalvonnan alalla. Siinä lainvalvontaviranomaisia vaaditaan jakamaan tietoa ja työskentelemään yhdessä[19].

Komissio edistää myös kansainvälisiä yhteistyöaloitteita. Yhdysvallat ja EU ovat sopineet, että ne ”tekevät yhteistyötä roskapostin torjumiseksi yhteisin lainvalvontahankkein ja selvittävät tapoja torjua laittomia vakoilu- ja haittaohjelmia.” Komissio osallistuu roskapostia käsittelevän kanadalaisen kansainvälisen yhteistyöryhmän toimintaan. Keskeisten kansainvälisten kumppaneiden kuten Kiinan ja Japanin kanssa käydään keskusteluja. Aasian osalta komissio pani alulle yhteisen julkilausuman kansainvälisestä roskapostin vastaisesta yhteistyöstä. Julkilausuma hyväksyttiin sähköistä kaupankäyntiä käsitelleessä ASEM-konferenssissa helmikuussa 2005[20].

Tietoyhteiskuntaa käsitelleessä YK:n huippukokouksessa marraskuussa 2005 hyväksytyssä Tunisin toimintaohjelmassa korostetaan sitä, että Internetin turvallisuus on alue, jolla tarvitaan parempaa kansainvälistä yhteistyötä, ja että tätä kysymystä on käsiteltävä Internetin hallinnoinnin laajennetun yhteistyömallin puitteissa; tämä malli toteutetaan huippukokouksen tuloksena[21].

3.3. Tutkimus ja teknologian kehittäminen

Komissio on tutkimuksen ja teknologian kehittämisen kuudennessa puiteohjelmassa käynnistänyt hankkeita, joissa eri sidosryhmiä autetaan torjumaan roskapostia ja muita haittaohjelmien muotoja. Näissä hankkeissa[22] on käsitelty muun muassa yleistä verkon valvontaa, hyökkäysten havaitsemista ja suodatinteknologian kehittämistä roskapostin, verkkourkinnan ja haittaohjelmien havaitsemiseksi. Hankkeiden yhtenä tuloksena perustettiin tutkimusyhteisö, joka on erikoistunut haittaohjelmien hallintaan ja eurooppalaisen infrastruktuurin kehittämiseen Internet-liikenteen valvomiseksi. Uusimpia tutkimuskohteita ovat mukautuvat verkkourkintasuodattimet, jotka pystyvät tunnistamaan tuntemattomia uhkia, sekä verkkohyökkäykset. Näille hankkeille varatut määrärahat ovat 13,5 miljoonaa euroa.

3.4. Alan toimet

Komissio on tyytyväinen alan toimijoiden aloitteellisuuteen roskapostin suhteen. Palveluntarjoajat ovat yleensä toteuttaneet teknisiä toimia, kuten roskapostisuodattimia roskapostin torjumiseksi. Ne ovat perustaneet asiakaspalvelutukia ja tarjonneet käyttäjille ohjelmia roskapostin sekä vakoilu- ja haittaohjelmien torjuntaan. Monilla palveluntarjoajilla on sopimuslausekkeita , joilla kielletään verkon väärinkäyttö. Yhdistyneessä kuningaskunnassa eräälle roskapostittajalle langetettiin hiljattain siviilituomioistuimessa 68 800 euron sakko sopimuksen rikkomisesta. Alan järjestöt ovat määritelleet parhaita käytäntöjä verkkourkinnan estämiseksi ja suodatusmenetelmien parantamiseksi[23].

Matkaviestintäoperaattorit ovat laatineet käytännesääntöjä, joiden mukaan ei-toivottuja viestejä vastaan voidaan ryhtyä toimiin. GSM-järjestö on julkaissut vuonna 2006 matkapuhelimien roskapostia koskevat käytännesäännöt. Komissio on parhaillaan mukana Spotsam-hankkeessa yhtenä rahoittajista. Kyseessä on julkisen ja yksityisen sektorin yhteishanke, jossa pyritään luomaan tietokanta helpottamaan roskapostitapausten tutkintaa ja lainvalvontaa rajojen ylitse[24].

3.5. Lainvalvonta

On selvää, että roskapostin vastainen taistelu tuottaa tuloksia. Suomessa määrätyt suodatustoimet vähensivät roskapostin osuuden lähetetyistä sähköpostiviesteistä 80 prosentista noin 30 prosenttiin. Monet viranomaistahot ovat ryhtyneet pysäyttämään roskapostittajia lainvalvontatoimin[25].

Syytteeseen asettamisen määrissä on kuitenkin huomattavia eroja jäsenvaltioiden välillä. Eräät viranomaiset ovat käynnistäneet toista sataa selvitystä, jotka ovat onnistuneesti johtaneet roskapostin lähettämisen lopettamiseen ja rankaisutoimiin. Joissakin jäsenvaltioissa tutkittuja tapauksia on puolestaan ollut vain kourallinen tai ei yhtään.

Useimmat toimet on kohdistettu roskapostin ”perinteisiin muotoihin”; muut todetut uhkat eivät ole juurikaan johtaneet syytetoimiin , vaikka ne aiheuttavat huomattavia riskejä.

4. TULEVAISUUS: MITÄ ON TEHTÄVÄ?

4.1. Toimet jäsenvaltioiden tasolla

Tässä jaksossa käsitellään hallituksille ja viranomaisille suunnattuja toimia, jotka liittyvät ennen muuta lainvalvontaan ja yhteistyöhön.

4.1.1. Kriittiset tekijät onnistumisen kannalta

Ongelman sitkeys ja alati muuttuva luonne edellyttävät jäsenvaltioilta suurempaa osallistumista ja priorisointia. Toiminnassa on erityisesti keskityttävä ”ammattimaisiin” roskapostittajiin, verkkourkkijoihin sekä vakoilu- ja haittaohjelmien levittämiseen. Kriittisiä tekijöitä onnistumisen kannalta ovat:

- valtionhallinnon vahva sitoutuminen verkkoväärinkäytösten torjuntaan

- selkeät organisatoriset vastuut lainvalvonnassa

- lainvalvontaviranomaisen riittävät resurssit.

Tällä hetkellä nämä tekijät eivät ole todellisuutta kaikissa jäsenvaltioissa.

4.1.2. Kansallisen tason koordinointi ja yhteistyö

Sähköisen viestinnän tietosuojadirektiivissä ja yleisessä tietosuojadirektiivissä[26] kansallisille viranomaisille annetaan valtuudet toimia seuraavia laittomia käytäntöjä vastaan:

- ei-toivotun viestinnän ( roskapostin ) lähettäminen [27]

- laiton pääsy päätelaitteelle joko tiedon tallentamiseksi – esimerkiksi mainos - ja vakoiluohjelmien muodossa – tai laitteelle tallennettujen tietojen saamiseksi[28]

- päätelaitteen saastuttaminen haittaohjelmilla kuten madoilla ja viruksilla ja tietokoneiden muuttaminen bottiverkoiksi tai muuhun käyttöön[29]

- käyttäjien huijaaminen antamaan arkaluonteista tietoa[30], kuten salasanoja ja luottokorttitietoja, verkkourkintaviestein.

Jotkin näistä käytännöistä kuuluvat lisäksi rikosoikeuden piiriin; tästä esimerkkinä on puitepäätös tietojärjestelmiin kohdistuvista hyökkäyksistä[31] . Puitepäätöksen mukaan jäsenvaltioiden on säädettävä rikosoikeudellisista seuraamuksista, jotka enimmillään ovat vähintään kolme vuotta vankeutta tai viisi vuotta vankeutta, jos teon taustalla on järjestäytynyt rikollisuus.

Kansallisella tasolla näiden säännösten täytäntöönpanon valvonnasta voivat vastata hallinnolliset elimet ja/tai rikosoikeusviranomaiset. Tällaisissa tapauksissa eri viranomaisten vastuut ja yhteistyömenettelyt on määriteltävä selkeästi. Tämä saattaa edellyttää korkean tason päätöksiä kansallisissa hallinnoissa.

Roskapostin ja muiden uhkien yhä enemmän toisiinsa lomittuvat rikosoikeudelliset ja hallinnolliset näkökohdat eivät ole jäsenvaltioissa tähän mennessä heijastuneet vastaavana kehityksenä yhteistyömenettelyissä, jotka tuovat yhteen eri virastojen teknisen ja tutkinnallisen osaamisen. Tarvitaan yhteistyökäytäntöjä tietojenvaihtoon ja tiedusteluun, yhteydenpitoon, avustamiseen ja tapausten siirtämiseen.

Myös lainvalvontaviranomaisten, verkko-operaattoreiden ja Internet-palveluntarjoajien tiivis kansallisen tason yhteistyö lisää tietojenvaihtoa, teknistä osaamista ja verkkoväärinkäytösten selvittämistä. Norjan ja Alankomaiden viranomaiset ovat raportoineet tällaisten julkis-yksityisten kumppanuuksien hyödyllisyydestä.

4.1.3. Resurssit

Todisteiden kerääminen, tutkintatyö ja syytteiden nostaminen kysyvät resursseja. Viranomaiset tarvitsevat teknisiä ja oikeudellisia resursseja, ja niiden on perehdyttävä väärinkäyttäjien toimintatapoihin voidakseen saada nämä kuriin.

Verkossa toimivat valituksentekomekanismit ja niihin liittyvät väärinkäytösten kirjaus- ja analysointijärjestelmät voivat olla tässä tärkeä väline. Kokemus on osoittanut, että vaatimattomatkin investoinnit voivat tuottaa huomattavia tuloksia. Roskapostin vähentäminen Alankomaissa onnistui perustamalla OPTA:aan (Alankomaiden viranomainen) viiden hengen kokopäiväinen työryhmä ja investoimalla 570 000 euroa roskapostin torjuntalaitteisiin. Tämän investoinnin myötä saatiin roskapostin torjunnasta kokemusta, jota käytetään nyt muiden ongelma-alueiden ratkaisemiseen.

4.1.4. Rajat ylittävä yhteistyö

Roskaposti on globaali ongelma. Kansallisten viranomaisten on usein turvauduttava muiden maiden viranomaisiin syytteiden nostamiseksi roskapostittajia vastaan, ja ne saavat vastaavasti tutkimuspyyntöjä muista maista.

Vaikka valtioissa saattaakin esiintyä haluttomuutta osoittaa vähäisiä kansallisia resursseja muiden kansojen ongelmien ratkomiseen, on tärkeää että jäsenvaltiot tunnustavat, että tehokas rajat ylittävä yhteistyö on keskeinen tekijä roskapostin torjunnassa. Äskettäin Australian ja Alankomaiden viranomaiset saivat yhteistyössä lopetettua laajan roskapostioperaation.

Tähän päivään mennessä 21 eurooppalaista viranomaistahoa on hyväksynyt CNSA-yhteistyömenettelyn[32] rajat ylittävien valitusten käsittelyssä; jäljelle jääviä viranomaisia pyydetään tekemään samoin seuraavien kuukausien kuluessa. Jäsenvaltioita ja toimivaltaisia viranomaisia kehotetaan erityisesti edistämään seuraavia välineitä:

- CNSA:n ja LAP:n yhdessä laatimat pro forma -malliasiakirjat

- roskapostia koskeva OECD:n suositus ja Toolkit-toimenpidekokonaisuus.

4.1.5 Ehdotetut toimet

Jäsenvaltioita ja toimivaltaisia viranomaisia pyydetään:

- määrittelemään selkeät vastuualueet roskapostin torjunnasta vastaaville kansallisille virastoille

- varmistamaan toimivaltaisten viranomaisten välinen tehokas yhteistyö

- ottamaan kansallisen tason markkinatoimijat toimintaan mukaan ja hyödyntämään heidän osaamistaan ja tietojaan

- varmistamaan, että lainvalvontaan annetaan riittävästi resursseja

- noudattamaan kansainvälisiä yhteistyömenettelyjä ja vastaamaan muiden valtioiden avunpyyntöihin.

4.2. Alan yritysten toimet

Tässä jaksossa käsitellään toimia, joita alan yritykset voivat tehdä lisätäkseen kuluttajien luottamusta ja vähentääkseen haitallisten sähköpostiviestien lähettämistä.

4.2.1. Ohjelmistojen toimittaminen ja asennus

Vakoiluohjelmat muodostavat vakavan uhan käyttäjien yksityisyydelle. Verkossa tapahtuvasta ohjelmistojen tarjonnasta on tullut paljon käytetty menetelmä vakoiluohjelmien toimittamiseen ja asentamiseen käyttäjien päätelaitteisiin. Vakoiluohjelmia voi olla myös kätkettynä muihin asennusvälineisiin, kuten CD-ROM-levyihin. Ei-toivotut vakoiluohjelmat saattavat asentua samalla, kun käyttäjä asentaa haluamiaan ohjelmia.

Seuraavassa esitellään toimia, joilla pyritään estämään vakoiluohjelmien päätyminen loppukäyttäjille.

4.2.2. Kuluttajatiedotus

Ohjelmistojen tarjontaan saattaa sisältyä lisäohjelmien asentamista. Jos tällainen lisäohjelma toimii vakoiluohjelmana ja valvoo loppukäyttäjien käyttäytymistä (esimerkiksi markkinointitarkoituksiin), kyseessä on henkilötietojen käsittely, joka on laitonta ilman käyttäjän lupaa. Useissa tapauksissa käyttäjiltä ei kysytä lupaa tällaisten ohjelmien asentamiseen tai niistä on vain pienellä painettu merkintä pitkässä loppukäyttäjän lisenssisopimuksessa.

Ohjelmistotuotteita tarjoavia yhtiöitä kannustetaan kuvaamaan selkeästi ja näkyvästi kaikki tuotteen käyttöehdot, varsinkin jos tuotteeseen liittyy henkilötietojen käsittelyä ohjelman sisältämissä valvontamekanismeissa.

Itsesääntely ja jonkinlainen ”hyväksymisleima” voisivat olla keino erottaa luotettavat yhtiöt ei-luotettavista yhtiöistä. Ns. 29 artiklan mukaiselle tietosuojatyöryhmälle voidaan lähettää hyväksyttäväksi käytännesääntöjä, joissa käyttäjiä neuvotaan käyttöehdoista, joihin liittyy henkilötietojen käsittelyä.

4.2.3 Sopimuslausekkeet toimitusketjussa

Yhtiöt eivät useinkaan tiedä , kuinka niiden tuotteiden ja palvelujen mainokset teknisesti toimitetaan yleisölle. Laillisiin ohjelmiin saatetaan pakata vakoiluohjelmia, joilla päästään käsiksi arkaluonteisiin tietoihin, kuten luottokorttitietoihin, luottamuksellisiin asiakirjoihin jne.

Tuotteita mainostavien ja/tai myyvien yhtiöiden on varmistettava, että niiden yhteistyökumppaneiden toimet ovat laillisia. Yhtiön on tunnettava sopimusketju kaikkine suhteineen, valvottava lain noudattamista ja tehtävä väärinkäytöksistä peruste sopimuksen irtisanomiselle koko ketjussa, jotta yhteys väärin käyttäytyviin yhtiöihin voidaan katkaista välittömästi.

4.2.4 . Palveluntarjoajien tarjoamat turvatoimet

ENISA:n selvityksessä vuodelta 2006[33] vahvistetaan , että palveluntarjoajat ovat yleensä ottaen ryhtyneet toimiin roskapostin torjumiseksi. Selvityksessä kuitenkin todetaan, että palveluntarjoajat voisivat vaikuttaa enemmänkin verkon yleiseen turvallisuuteen, ja siinä suositellaan panostamaan palveluntarjoajan verkosta lähtevän sähköpostin suodattamiseen. Komissio kannustaa palveluntarjoajia noudattamaan tätä suositusta.

Edellä mainittu 29 artiklan mukainen tietosuojatyöryhmä antoi lausunnon sähköpostin seulontapalveluihin liittyvistä yksityisyyskysymyksistä[34]. Lausunnossa annetaan ohjeita sähköpostiviestien luottamuksellisuuteen ja tarkemmin sähköisten viestien suodattamiseen liittyen, jotta voitaisiin tehostaa virusten, roskapostin ja laittoman sisällön torjuntaa.

4.2.5. Ehdotetut toimet

Komissio kehottaa:

- yhtiöitä varmistamaan, että ohjelmistosovellusten ostamiseen liittyvät standarditiedot ovat tietosuojalainsäädännön mukaisia

- yhtiöitä kieltämään sopimusperusteisesti ohjelmistojen laittoman käytön mainoksissa, valvomaan sitä, kuinka mainokset tavoittavat kuluttajat, ja seuraamaan väärinkäytöksiä

- sähköpostin palveluntarjoajia soveltamaan suodatuspolitiikkaa, joka varmistaa sähköpostien suodatusta koskevan suosituksen ja ohjeistuksen noudattamisen.

4.3. Toiminta Euroopan tasolla

Komissio aikoo jatkaa roskapostiin, vakoilu- ja haittaohjelmiin liittyvien kysymysten ratkomista kansainvälisillä foorumeilla, kahdenvälisissä yhteyksissä ja, mahdollisuuksien mukaan, kolmansien maiden kanssa tehtävien sopimusten kautta. Se aikoo edistää sidosryhmien, kuten jäsenvaltioiden, toimivaltaisten viranomaisten ja alan toimijoiden välistä yhteistyötä. Lisäksi komissio aikoo tehdä lainsäädännön ja tutkimuksen alalla uusia aloitteita, joilla pyritään saamaan lisäpuhtia tietoyhteiskuntaa uhkaavien väärinkäytösten torjuntaan. Parhaillaan komissio laatii yhdenmukaista politiikkaa tietoverkkorikollisuuden torjumiseksi. Komissio suunnittelee esittelevänsä tämän politiikan tiedonannossa, joka on määrä antaa vuoden 2007 alussa.

4.3.1. Sääntelyjärjestelmän uudelleentarkastelu

Komission tiedonannossa sähköistä viestintää koskevasta sääntelyjärjestelmästä [35] ehdotetaan sääntöjen tiukentamista yksityisyyden suojan ja tietoturvan alalla. Ehdotuksen mukaan verkko-operaattorit ja palveluntarjoajat velvoitettaisiin:

- ilmoittamaan jäsenvaltion toimivaltaiselle viranomaiselle kaikki tietoturvaloukkaukset, jotka ovat johtaneet henkilötietojen menettämiseen ja/tai palvelun tarjonnan keskeytymiseen.

- ilmoittamaan asiakkailleen kaikki tietoturvaloukkaukset, jotka ovat johtaneet henkilökohtaisten asiakastietojen menettämiseen, muuttamiseen, vuotamiseen tai tuhoutumiseen.

Kansallisilla sääntelyviranomaisilla olisi ehdotuksen mukaan valtuudet varmistaa, että operaattorit harjoittavat riittävää tietoturvapolitiikkaa. Lisäksi voitaisiin antaa uusia sääntöjä erityisratkaisuista tai ohjeellisesta seuraamusten tasosta rikkomistapauksissa.

4.3.2. ENISA:n rooli

Ehdotuksiin sisältyy myös ENISA:n neuvoa-antavan roolin tunnustaminen tietoturva-asioissa. Muita ENISA:n tehtäviä on kuvattu tietoyhteiskunnan turvallisuusstrategiaa koskevassa tiedonannossa[36], ja niitä ovat:

.- luottamuksellisen kumppanuussuhteen kehittäminen jäsenvaltioihin ja sidosryhmiin, jotta voidaan kehittää asianmukainen tietojenkeruujärjestelmä tietoturvahäiriöitä ja kuluttajien luottamuksen tasoja varten

ENISA koordinoi kyseistä järjestelmää läheisessä yhteistyössä Eurostatin kanssa, jotta voitaisiin tuottaa yhteisön tilastoja tietoyhteiskunnasta ja i2010-hankkeen vertailuanalyyseistä[37].

.- sen tutkiminen, onko mahdollista toteuttaa eurooppalainen tiedonjako- ja hälytysjärjestelmä, jolla voidaan edistää tehokkaita tapoja reagoida nykyisiin ja tuleviin sähköisten verkkojen uhkiin.

4.3.3. Tutkimus ja kehitys

Tulevassa tutkimuksen ja kehityksen seitsemännessä puiteohjelmassa pyritään jatkamaan tietämyksen ja teknologian kehittämistä tietopalvelujen ja –järjestelmien turvallisuuden takaamiseksi. Tutkimusta ja poliittisia aloitteita koordinoidaan tiiviisti. Haittaohjelmiin liittyviä aiheita ovat oletettavasti bottiverkot ja virukset sekä hyökkäykset matkaviestintä- ja puheensiirtopalveluja vastaan.

4.3.4. Kansainvälinen yhteistyö

Internet on maailmanlaajuinen verkko, joten sitoutumisen roskapostin sekä vakoilu- ja haittaohjelmien torjuntaan on oltava maailmanlaajuista. Komissio aikookin tehostaa vuoropuhelua ja yhteistyötä kolmansien maiden kanssa taistelussa näitä uhkia ja niihin liittyvää rikollisuutta vastaan. Tätä varten komissio pyrkii varmistamaan, että roskaposti, vakoilu- ja haittaohjelmat sisällytetään EU:n ja kolmansien maiden välisiin sopimuksiin. Se pyrkii saamaan eniten kohteiksi joutuneilta kolmansilta mailta lujan sitoumuksen työskennellä yhdessä EU:n jäsenvaltioiden kanssa näiden uhkien torjumiseksi ja se aikoo seurata tiiviisti yhteisten tavoitteiden saavuttamisponnisteluja.

4.3.5. Ehdotetut toimet

Komissio aikoo:

- jatkaa tietoisuuden lisäämistä ja sidosryhmien välisen yhteistyön vaalimista

- jatkaa kolmansien maiden kanssa tehtävien sopimusten kehittämistä ja sisällyttää niihin roskapostin sekä vakoilu- ja haittaohjelmien torjunnan

- esittää vuoden 2007 alussa uusia lainsäädäntöehdotuksia, joilla lujitetaan sääntöjä tietoturvan ja yksityisyyden suojan alalla, ja esitellä tietoverkkorikollisuutta koskevan politiikan

- ottaa ENISA:n asiantuntemuksen avuksi tietoturva-asioissa

- tukea tutkimusta ja kehitystä seitsemännessä puiteohjelmassa.

5. Päätelmä

Roskapostin sekä vakoilu- ja haittaohjelmien tapaiset uhat heikentävät luottamusta tietoyhteiskuntaan ja itse tietoyhteiskunnan turvallisuutta, ja niillä on huomattavia taloudellisia vaikutuksia. Vaikka joissakin jäsenvaltioissa on ryhdytty toimiin, EU:ssa kokonaisuutena ei toimita tarpeeksi tämän kehityksen torjumiseksi. Komissio käyttää välittäjän rooliaan lisätäkseen tietoisuutta siitä, että tarvitaan enemmän poliittista sitoutumista näiden uhkien torjumiseksi.

Lainvalvontaa on tehostettava, jotta lakia tietoisesti rikkovat saadaan pysäytettyä. Tarvitaan myös alan itsensä toimia lainvalvontaa täydentämään. Kansallisella tasolla tarvitaan yhteistyötä hallinnon sisällä sekä hallinnon ja elinkeinoelämän välillä. Komissio aikoo tehostaa vuoropuhelua ja yhteistyötä kolmansien maiden kanssa ja selvittää mahdollisuuksia uusien lainsäädäntöehdotusten tekoon. Se aikoo käynnistää tutkimustoimia lujittaakseen tietoturvaa ja yksityisyyden suojaa sähköisen viestinnän alalla.

Tässä tiedonannossa yksilöityjen toimien yhdistetty ja mahdollisuuksien mukaan rinnakkainen toteuttaminen voi auttaa vähentämään uhkia, jotka tällä hetkellä vaarantavat tietoyhteiskunnan ja talouden hyötyjä.Komissio aikoo seurata näiden toimien toteuttamista ja arvioida vuoteen 2008 mennessä, tarvitaanko lisätoimia.

[1] KOM(2006) 251.lopullinen

[2] KOM (2006) 334 lopullinen

[3] KOM(2004) 28.lopullinen

[4] Roskapostilla tarkoitetaan ei-toivottua viestintää – esimerkiksi sähköpostia – jolla on kaupallisia tarkoitusperiä. Ei-toivotut sähköpostiviestit voivat lisäksi sisältää haitta- ja vakoiluohjelmia.

[5] Vuonna 2001 roskaposti muodosti 7 prosenttia maailmanlaajuisesta sähköpostiliikenteestä.

[6] Symantec 54 %; Messagelabs 68,6 %; MAAWG 80-85 %.

[7] Vuoden 2006 ensimmäinen neljännes (Sophos): Aasia 42,8 %, Pohjois-Amerikka 25,6 %, Eurooppa 25,0 %, Etelä-Amerikka 5,1 %, Australaasia 0,8 %, Afrikka 0,6 %, Muut 0,1 %.

[8] Ferris research, 2005.

[9] Bottiverkot (botnets) ovat kaapattuja tietokoneita, joita roskapostittajat käyttävät sähköpostiviestien laajamittaiseen lähettämiseen. Tämä tapahtuu asentamalla koneeseen kätkettyjä ohjelmia, jotka muuttavat tietokoneen sähköpostipalvelimeksi käyttäjän tietämättä.

[10] Bottiverkkojen eniten saastuttamat maat Symantecin mukaan (vuosineljännekset 3-4 2005): Yhdysvallat 26 %, Yhdistynyt kuningaskunta 22 %, Kiina 9 %, Ranska, Etelä-Korea, Kanada 4 %, Taiwan, Espanja, Saksa 3 %, Japani 2 %.

[11] Computer Economics: the 2005 Malware Report.

[12] Direktiivin 2002/58 13 artikla.

[13] Ks. alaviite 3.

[14] Direktiivin 2005/29/EY liitteessä 1 oleva 26 kohta.

[15] Asetus (EY) N:o 2006/2004.

[16] WSIS, Geneve, joulukuu 2003.

[17] Tunisin toimintaohjelma, kappale 41.

[18] http://europa.eu.int/information_society/policy/ecomm/doc/todays_framework/privacy_protection/spam/cooperation_procedure_cnsa_final_version_20041201.pdf

[19] http://www.oecd-antispam.org/

[20] http://www.asemec-london.org/

[21] Tunisin toimintaohjelman kappaleet 39–47: http://www.itu.int/wsis/docs2/tunis/off/6rev1.doc

[22] www.diadem http://cordis.europa.eu/fp6/projects.htm#search

[23] http://www.maawg.org/home/

[24] http://www.spotspam.net

[25] CNSA:n kyselyssä todettiin, että viisitoista kahdeksastatoista vastaajasta nosti syytteitä vuosina 2003–2006.

[26] Direktiivi 95/46/EY.

[27] Sähköisen viestinnän tietosuojadirektiivin 13 artikla.

[28] Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohta.

[29] Ks. alaviite 28.

[30] Yleisen tietosuojadirektiivin 6 artiklan a kohta.

[31] Neuvoston puitepäätös 2005/222/YOS.

[32] Ks. alaviite 18.

[33] http://www.enisa.eu.int/doc/pdf/deliverables/enisa_security_spam.pdf

[34] Lausunto 2/2006, WP 118.

[35] http://europa.eu.int/information_society/policy/ecomm/tomorrow/index_en.htm

[36] Ks. alaviite 1.

[37] i2010 korkean tason ryhmän ehdotus vertailuanalyysien indikaattoreiksi 20. huhtikuuta 2006.