[pic] | KOMISJA WSPÓLNOT EUROPEJSKICH |

Bruksela, 15.11.2006

COM(2006)688 wersja ostateczna

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY, EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO I KOMITETU REGIONÓW

w sprawie walki ze spamem, oprogramowaniem szpiegującym i złośliwym

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY, EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO I KOMITETU REGIONÓW

w sprawie walki ze spamem, oprogramo waniem szpiegującym i złośliwym (Tekst mający znaczenie dla EOG)

1. Cel komunikatu

Z każdym dniem coraz bardziej sobie uświadamiamy, jak ważną rolę w codziennym życiu odgrywają nowoczesne sieci i usługi łączności elektronicznej, zarówno w pracy jak i w domu. Szerokie wykorzystanie tych usług zależy od godnych zaufania, bezpiecznych i niezawodnych technologii. Komunikat Komisji w sprawie Strategii na rzecz bezpiecznego społeczeństwa informacyjnego[1] ma na celu ogólną poprawę bezpieczeństwa sieci i informacji oraz zachęca sektor prywatny do poprawy słabych zabezpieczeń sieci i systemów informatycznych, które mogą być wykorzystywane do rozpowszechniania spamu i złośliwego oprogramowania. Komunikat Komisji w sprawie przeglądu ram regulacyjnych UE proponuje nowe przepisy mające na celu poprawę bezpieczeństwa i ochrony prywatności w sektorze łączności elektronicznej[2].

Niniejszy komunikat dotyczy rozwoju sytuacji w zakresie spamu[3] i takich zagrożeń jak oprogramowanie szpiegujące i złośliwe. Podsumowano w nim dotychczasowe wysiłki mające na celu walkę z tymi zagrożeniami oraz określono dalsze działania, które można by podjąć, na przykład:

- wzmocnienie prawa wspólnotowego;

- egzekwowanie prawa;

- współpracę w obrębie państw członkowskich i między państwami członkowskimi;

- dialog polityczny i gospodarczy z państwami trzecimi;

- inicjatywy przedsiębiorstw;

- prace badawczo-rozwojowe.

2. PROBLEM – ZMIENNY CHARAKTER ZAGROŻEŃ

Ilość spamu[4] znacznie zwiększyła się w ostatnich pięciu latach[5]. Źródła branżowe podają, że aktualnie spam stanowi między 50 a 80 % wiadomości wysyłanych do użytkowników końcowych[6]. Nawet jeśli większa część spamu pochodzi spoza UE, państwa europejskie rozpowszechniają obecnie 25 % spamu[7]. Na poziomie światowym koszty spamu oszacowano na 39 miliardów EUR w 2005 r. W Europie oszacowano je na ok. 3,5 miliarda EUR w Niemczech, 1,9 miliarda EUR w Wielkiej Brytanii i 1,4 miliarda EUR we Francji [8]. Rozsyłanie spamu jest uznawane za swoisty rodzaj „działalności gospodarczej” . Osoby masowo rozsyłające wiadomości elektroniczne wynajmują lub sprzedają przedsiębiorstwom zgromadzone przez siebie listy adresów elektronicznych w celach marketingowych. Spam przez Internet jest szczególnie dochodowy dzięki zasięgowi tego środka komunikacji oraz niskim kosztom związanym z masowym wysyłaniem wiadomości. Jednocześnie nawet niewielkie inwestycje w walkę ze spamem mogą przynieść znaczące rezultaty. Na przykład w Holandii udało się ograniczyć spam w języku niderlandzkim o 85 % dzięki zainwestowaniu 570 000 EUR w sprzęt zwalczający spam.

Niechciane wiadomości elektroniczne nie są już tylko niedogodnością, lecz coraz częściej przybierają charakter nieuczciwy i przestępczy. Dobry przykład stanowią wiadomości elektroniczne typu phishing, wyłudzające od użytkowników końcowych poufne dane za pomocą stron internetowych przypominających wyglądem witryny prawdziwych przedsiębiorstw, co powoduje wzrost obaw związanych z ewentualnymi przypadkami kradzieży tożsamości i atakami na dobre imię firm. Stale rośnie rozpowszechnianie programów szpiegujących przez pocztę elektroniczną lub oprogramowanie umożliwiające śledzenie i powiadamianie o zachowaniu użytkowników w sieci. Oprogramowanie szpiegujące pozwala również na gromadzenie takich informacji osobistych jak hasła i numery kart kredytowych.

Masowe rozsyłanie niechcianych wiadomości elektronicznych jest w dużym stopniu ułatwione przez rozpowszechnienie złośliwych kodów, takich jak robaki i wirusy komputerowe. Raz zainstalowane, pozwalają one agresorowi przejąć kontrolę nad zainfekowanym systemem komputerowym i przekształcić go w tzw. „botnet”[9], ukrywając tożsamość prawdziwego spamera. Spamerzy, phisherzy i sprzedawcy programów szpiegujących wynajmują botnety w celach nieuczciwych i przestępczych. Eksperci branżowi szacują, że botnety przekazują ponad 50 % niepożądanych wiadomości[10]. Rozpowszechnianie oprogramowania szpiegującego i innego typu złośliwych kodów, którego ofiarami padają osoby prywatne i przedsiębiorstwa, ma znaczny wpływ na gospodarkę. Globalne skutki finansowe złośliwego oprogramowania zostały w 2005 r. oszacowane na ok. 11 miliardów EUR[11].

3. DOTYCHCZAS WYKONANA PRACA – DZIAŁANIA PODJĘTE OD 2004 R.

W 2002 r. UE przyjęła dyrektywę o prywatności i łączności elektronicznej zakazującą spamu[12] poprzez ustanowienie zasady marketingu dozwolonego jedynie wobec osób fizycznych, które uprzednio wyraziły na to zgodę. W styczniu 2004 r. Komisja przedstawiła komunikat w sprawie spamu, który określa działania, jakie należy podjąć w celu uzupełnienia dyrektywy[13]. W komunikacie tym podkreślono konieczność podjęcia przez różne podmioty działań w zakresie informowania, samoregulacji, rozwiązań technicznych, współpracy i egzekwowania prawa. Komisja zaczęła poruszać kwestię walki ze spamem oraz oprogramowaniem szpiegującym i złośliwym w dialogu z państwami trzecimi. Ponadto dyrektywa o nieuczciwych praktykach handlowych[14] chroni konsumentów przed agresywnymi praktykami handlowymi; współpraca transgraniczna mająca na celu zwalczanie takich praktyk objęta jest rozporządzeniem w sprawie współpracy w dziedzinie ochrony konsumentów[15].

3.1. Działania informacyjne

Komunikat Komisji uwrażliwił użytkowników na problem spamu na poziomie krajowym i międzynarodowym. Na poziomie UE, program „Bezpieczny Internet Plus” wspiera bezpieczniejsze korzystanie z Internetu i nowych technologii sieciowych, szczególnie w przypadku dzieci, w ramach spójnego podejścia Unii Europejskiej.

Państwa członkowskie zainicjowały lub wspierały kampanie uświadamiające użytkownikom problem spamu i możliwości rozwiązania go. Ogólnie dostawcy usług internetowych zobowiązali się do dostarczania swoim klientom rad i pomocy w kwestii ochrony przed programami szpiegującymi i wirusami. W lutym 2004 r. Komisja była gospodarzem warsztatów OECD dotyczących spamu i przyczyniła się też aktywnie do stworzenia zestawu narzędzi antyspamowych (Anti-Spam Toolkit) OECD, stanowiącego obszerny pakiet koncepcji regulacyjnych, rozwiązań technicznych i inicjatyw przedsiębiorstw mających na celu walkę ze spamem.

Na Światowym Szczycie Społeczeństwa Informacyjnego Narodów Zjednoczonych uznano [16], że problemem spamu powinny zająć się odpowiednie organy na poziomie krajowym i międzynarodowym. W 2004 i 2005 r. odbyły się konferencje tematyczne WSIS zorganizowane przez Międzynarodową Unię Telekomunikacyjną (ITU). Program z Tunisu, przyjęty w listopadzie 2005 r., nawołuje do skutecznego zajęcia się coraz poważniejszym problemem spamu[17].

3.2. Współpraca międzynarodowa

Jako że spam stanowi problem transgraniczny, uruchomiono szereg inicjatyw współpracy i mechanizmów transgranicznego egzekwowania prawa. Komisja stworzyła sieć kontaktową krajowych organów odpowiedzialnych za walkę ze spamem (Contact Network of Spam Authorities, CNSA), która regularnie odbywa posiedzenia, przeprowadza wymianę sprawdzonych rozwiązań i współpracuje w zakresie transgranicznego egzekwowania prawa. CNSA ustanowiła procedurę współpracy[18] mającą na celu uproszczenie transgranicznego rozpatrywania skarg dotyczących spamu. Służby Komisji wspierają i uczestniczą, w charakterze obserwatorów, w londyńskim planie przeciwdziałania spamowi (London Action Plan, LAP), który skupia władze odpowiedzialne za egzekwowanie prawa z dwudziestu krajów i który również uchwalił procedurę współpracy transgranicznej. W listopadzie 2005 r. odbyły się wspólne warsztaty UE-CNSA/LAP. OECD uchwaliła, w kwietniu 2006 r., zalecenie w sprawie współpracy transgranicznej przy egzekwowaniu przepisów w zakresie walki ze spamem, zachęcające władze odpowiedzialne za egzekwowanie prawa do wymiany informacji i współpracy[19].

Komisja wspiera też inicjatywy współpracy międzynarodowej . Stany Zjednoczone i Unia Europejska zgodziły się podjąć współpracę mającą na celu rozwiązanie problemu spamu poprzez wspólne inicjatywy w zakresie egzekwowania prawa oraz zbadać możliwości walki z nielegalnym oprogramowaniem szpiegującym i złośliwym. Komisja uczestniczy również w pracach kanadyjskiej grupy roboczej ds. współpracy międzynarodowej w zakresie spamu (Canadian International Collaboration working group on Spam). Podjęto dyskusje z głównymi partnerami międzynarodowymi, takimi jak Chiny i Japonia. W odniesieniu do Azji Komisja zainicjowała wspólne oświadczenie w sprawie międzynarodowej współpracy w dziedzinie ochrony antyspamowej, które zostało przyjęte na konferencji ASEM dotyczącej handlu elektronicznego w lutym 2005 r.[20].

Program z Tunisu, przyjęty w listopadzie 2005 r. przez Światowy Szczyt Społeczeństwa Informacyjnego, podkreśla, że bezpieczeństwo Internetu to dziedzina wymagająca lepszej współpracy międzynarodowej i że kwestię tę należy poruszyć w ramach modelu pogłębionej współpracy w odniesieniu do administrowania Internetem, który zostanie wprowadzony w życie po zakończeniu Szczytu[21].

3.3. Badania naukowe i rozwój technologiczny

Na mocy szóstego programu ramowego na rzecz badań naukowych i rozwoju technologii Komisja rozpoczęła realizację projektów mających na celu pomóc zainteresowanym stronom w zwalczaniu spamu i innych form złośliwego oprogramowania. Projekty te[22] obejmują zarówno ogólny monitoring sieci i wykrywanie ataków, jak i rozwój specjalistycznych technologii filtrowania służących do wykrywania spamu, wiadomości typu phishing oraz złośliwego oprogramowania. Wśród dokonań można wymienić stworzenie wspólnoty badawczej specjalizującej się w zwalczaniu złośliwego oprogramowania oraz rozwój europejskiej infrastruktury do monitorowania przepływu danych w Internecie. Ostatnio rozpoczęte działania dotyczą adaptacyjnych filtrów anty-phishingowych umożliwiających wykrywanie nieznanych zagrożeń i cyberataków. Środki finansowe przeznaczone na te działania wynoszą 13,5 milionów EUR.

3.4. Działania przedsiębiorstw

Komisja z zadowoleniem przyjmuje czynny udział przedsiębiorstw w walce ze spamem. Dostawcy usług zastosowali na ogół środki techniczne zwalczające spam, w szczególności za pomocą lepszych filtrów antyspamowych. Dostawcy usług internetowych oferują usługi pomocy technicznej i dostarczają użytkownikom programy antyspamowe, antyszpiegowskie i zwalczające złośliwe oprogramowanie. Wielu dostawców usług internetowych przewidziało klauzule umowne zabraniające niewłaściwych zachowań w sieci. Niedawno sąd w Wielkiej Brytanii nałożył na spamera grzywnę w wysokości 68 800 EUR za złamanie warunków umowy. Organizacje branżowe wprowadziły sprawdzone rozwiązania w celu zapobiegania atakom internetowym typu phishing oraz poprawy metod filtrowania[23].

Również operatorzy komórkowi podjęli działania i branżowe kodeksy postępowania przewidują wszczęcie działań zwalczających niechciane wiadomości. Stowarzyszenie operatorów telefonii komórkowej (GSM Association) opublikowało w 2006 r. kodeks postępowania dotyczący spamu rozsyłanego na telefony komórkowe. Obecnie Komisja współfinansuje inicjatywę Spotspam – partnerstwo instytucji prywatnych i publicznych mające na celu stworzenie bazy danych ułatwiającej transgraniczne dochodzenia i egzekwowanie prawa w przypadkach spamu[24].

3.5. Działania mające na celu egzekwowanie prawa

Podjęcie walki ze spamem przynosi najwyraźniej rezultaty. Środki filtrujące wprowadzone w Finlandii zmniejszyły ilość spamu w wiadomościach elektronicznych z 80 % do około 30 %. Wiele organów odpowiedzialnych za egzekwowanie prawa podjęło wysiłki zmierzające do zahamowania wysyłania niechcianej korespondencji[25].

Tym niemniej, istnieją duże różnice między państwami członkowskimi co do rzeczywistej liczby prowadzonych dochodzeń. Niektóre organy wszczęły co najmniej sto dochodzeń, które zakończyły się sukcesem i doprowadziły do nałożenia kar za działalność związaną ze spamem. W innych państwach członkowskich liczba śledztw była niewielka bądź nie prowadzono ich w ogóle.

Większość działań była wymierzona w „tradycyjne” formy spamu. Pozostałe z przytoczonych zagrożeń rzadko były powodem wszczęcia dochodzenia , mimo że stwarzają one poważne ryzyko.

4. PRZYSZłE DZIAłANIA – PRACA, KTÓRą NALEżY WYKONAć

4.1. Działania na szczeblu państw członkowskich

Ta część dotyczy działań rządów i organów krajowych, w szczególności związanych z egzekwowaniem prawa i współpracą.

4.1.1. Główne czynniki sukcesu

Utrzymywanie się problemu i jego zmienny charakter wymagają większego zaangażowania ze strony państw członkowskich oraz określenia odpowiednich priorytetów. Działania powinny w szczególności być wymierzone w „zawodowych” spamerów, phisherów oraz rozpowszechnianie szpiegującego i złośliwego oprogramowania. Główne czynniki sukcesu to:

- Duże zaangażowanie administracji centralnej w walkę z nadużyciami internetowymi;

- Jasna odpowiedzialność organizacyjna w zakresie egzekwowania prawa;

- Odpowiednie środki dla organów odpowiedzialnych za egzekwowanie prawa.

Obecnie te czynniki nie są należycie uwzględnione we wszystkich państwach członkowskich.

4.1.2. Koordynacja i integracja na poziomie krajowym

Na mocy dyrektywy o prywatności i łączności elektronicznej oraz ogólnej dyrektywy o ochronie danych osobowych[26] władze krajowe są uprawnione do podejmowania działań przeciwko następującym nielegalnym praktykom:

- wysyłanie niechcianej korespondencji ( spam )[27];

- nielegalny dostęp do terminalu odbiorcy w celu przechowywania informacji, takich jak programy reklamowe lub szpiegujące , lub dostępu do informacji w nich przechowywanych[28];

- infekowanie terminalu odbiorcy poprzez wprowadzanie do niego oprogramowania złośliwego , takiego jak robaki i wirusy, i przekształcanie komputerów w botnety lub wykorzystanie ich do innych celów[29];

- wprowadzanie w błąd użytkowników, aby ujawnili poufne informacje[30], takie jak hasła i numery kart płatniczych, poprzez wiadomości typu phishing .

Niektóre z tych praktyk objęte są również prawem karnym, w tym decyzją ramową w sprawie ataków na systemy informatyczne [31] . Zgodnie z tą decyzją, państwa członkowskie powinny przewidzieć karę do wysokości przynajmniej trzech lat pozbawienia wolności lub pięciu lat, jeżeli przestępstwo zostało popełnione w ramach przestępczości zorganizowanej.

Na poziomie krajowym przepisy te mogą być stosowane przez organy administracyjne i/lub sądy karne. Tam gdzie to stosowne, obowiązki różnych organów i procedury współpracy powinny być jasno określone. Z tego względu konieczne może okazać się podejmowanie decyzji na wysokim szczeblu przez rządy krajowe.

Dotychczas wzrastające nakładanie się aspektów prawnokarnych i administracyjnych spamu i innych zagrożeń nie doprowadziło do wzrostu liczby procedur współpracy w państwach członkowskich pozwalającego na połączenie kompetencji technicznych i śledczych różnych instytucji. Konieczne jest zatem opracowanie protokołów współpracy w zakresie wymiany informacji i rezultatów dochodzeń, danych kontaktowych, pomocy i przekazywania spraw.

Ścisła współpraca organów ścigania, operatorów sieci i dostawców usług internetowych na poziomie krajowym jest również korzystna dla wymiany informacji i wiedzy technicznej oraz dla postępowań przeciwko nadużyciom internetowym. Władze Norwegii i Niderlandów dostarczyły dowodów użyteczności takich publiczno-prywatnych partnerstw.

4.1.3. Środki

Konieczne są środki do gromadzenia dowodów, przeprowadzania dochodzeń i wszczynania postępowań. Władze potrzebują środków technicznych i prawnych i muszą zapoznać się z metodami stosowanymi przez sprawców w celu skutecznego działania.

W związku z tym cennym narzędziem mogą okazać się mechanizmy składania skarg on-line w połączeniu z systemami umożliwiającymi rejestrację i analizę wspomnianych nadużyć. Doświadczenie pokazuje, że niewielkie inwestycje mogą przynieść znaczące rezultaty . Holenderskiemu organowi OPTA udało się ograniczyć spam poprzez stworzenie zespołu pięciu specjalistów pracujących w pełnym wymiarze czasu pracy i wyposażenie go w sprzęt do walki ze spamem o wartości 570 000 EUR. Dzięki tej inwestycji doświadczenie zdobyte w walce ze spamem jest teraz wykorzystywane przy opracowywaniu rozwiązań dotyczących innych problemów.

4.1.4. Współpraca transgraniczna

Spam jest problemem ogólnoświatowym. W przypadku ścigania spamerów władze krajowe będą często musiały polegać na władzach innych krajów i, odwrotnie, będą również wzywane do prowadzenia śledztw wszczętych w innych państwach.

Nawet przyjmując, że przeznaczanie ograniczonych środków krajowych na zajmowanie się problemami innych osób może spotkać się z pewną niechęcią, ważne jest, aby państwa członkowskie zrozumiały, że skuteczna współpraca transgraniczna jest podstawowym elementem walki ze spamem. Niedawno współpraca australijskich i holenderskich organów do walki ze spamem pozwoliła uniemożliwić przygotowywaną na duża skalę operację rozsyłania spamu.

Dotychczas 21 organów europejskich zatwierdziło procedurę współpracy CNSA[32] dotyczącą transgranicznego rozpatrywania skarg; pozostałe władze zachęca się do uczynienia tego w ciągu najbliższych miesięcy. Państwa członkowskie i właściwe władze proszone są w szczególności o wspieranie korzystania z:

- wspólnych dokumentów pro forma CNSA-LAP

- zalecenia OECD i zestawu narzędzi antyspamowych OECD dotyczących egzekwowania prawa w walce ze spamem.

4.1.5 Proponowane działania

Wzywa się państwa członkowskie i ich właściwe organy do:

- jasnego określenia obowiązków instytucji krajowych zaangażowanych w walkę ze spamem;

- zapewnienia skutecznej koordynacji między właściwymi organami;

- zaangażowania podmiotów działających na rynku na poziomie krajowym, wykorzystując ich wiedzę i posiadane przez nie informacje,

- zapewnienia, że niezbędne środki są przeznaczane na egzekwowanie prawa

- uchwalenia procedur współpracy międzynarodowej i działania w odpowiedzi na prośbę o pomoc transgraniczną

4.2. Działania przedsiębiorstw

Ta część obejmuje działania, które mogą być podejmowane przez przedsiębiorstwa w celu zwiększenia zaufania konsumentów i ograniczenia wysyłania niechcianych wiadomości pocztą elektroniczną.

4.2.1. Dostarczanie i instalacja oprogramowania

Oprogramowanie szpiegujące stanowi poważne zagrożenie prywatności użytkowników. Oferty oprogramowania on-line są obecnie bardzo powszechną metodą dostarczania i instalacji oprogramowania szpiegującego na terminalu użytkownika. Oprogramowanie szpiegujące może również być ukryte w programach rozpowszechnianych za pomocą innych środków, takich jak CD-ROM instalacyjne. Niepożądane programy szpiegujące mogą również instalować się na komputerze konsumenta jednocześnie z nabytym przez niego programem.

Poniżej wymienione są szczegółowe działania służące uniemożliwieniu programom szpiegującym dostępu do użytkownika końcowego.

4.2.2. Informowanie konsumenta

Oferty oprogramowania mogą obejmować instalację dodatkowych programów. Gdy te dodatkowe programy działają jako programy szpiegujące, śledząc zachowanie użytkowników (np. w celach marketingowych), pociąga to za sobą przetwarzanie danych osobowych, co jest nielegalne bez zgody użytkownika. Często użytkownik nie jest pytany o zgodę na instalację takiego oprogramowania lub zgoda taka ukryta jest w sformułowaniach zapisanych drobnym drukiem w długiej licencji użytkowania.

Firmy oferujące oprogramowanie zachęca się zatem do jasnego i wyraźnego opisu wszystkich warunków umowy i oferty, w szczególności jeżeli jakiekolwiek komponenty monitorujące zawarte w pakietach oprogramowania przetwarzają dane osobowe.

Samoregulacja i używanie pewnego rodzaju „oznaczenia jakości” mogłyby stanowić sposób na odróżnienie wiarygodnych firm od innych. Kodeksy postępowania mające na celu informowanie użytkownika o warunkach wymagających przetwarzania danych osobowych mogą zostać poddane do zatwierdzenia przez Grupę roboczą ds. ochrony danych osobowych ustanowioną na mocy art. 29.

4.2.3 Klauzule umowne w łańcuchu dostaw

Firmy są często nieświadome , w jaki sposób ogłoszenia reklamowe dotyczące ich produktów i usług są przedstawiane społeczeństwu. Oprogramowanie legalne może zatem być dostarczone w pakiecie wraz z oprogramowaniem szpiegującym wykorzystywanym do uzyskania dostępu do wrażliwych danych, takich jak numery kart kredytowych, poufne dokumenty itp.

Firmy reklamujące lub sprzedające produkty powinny upewnić się, czy działalność ich partnerów handlowych jest zgodna z prawem. Muszą one zrozumieć, jak funkcjonuje łańcuch zależności umownych, sprawdzać zgodność z prawem i uczynić z nadużyć powód do zerwania umowy na różnych etapach łańcucha tak, aby natychmiast zakończyć wszelkie kontakty handlowe z przedsiębiorstwami dopuszczającymi się takich praktyk.

4.2.4 . Środki bezpieczeństwa, za które odpowiedzialni są dostawcy usług

Badanie przeprowadzone przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji ENISA z 2006 r. [33] potwierdza, że dostawcy usług na ogół stosują środki mające na celu walkę ze spamem. Wskazuje ono jednak, że wspomniani dostawcy mogliby w większym stopniu przyczynić się do ogólnego bezpieczeństwa sieci i zaleca położenie większego nacisku na filtrowanie wiadomości elektronicznych wychodzących z sieci dostawcy usług (tzw. filtrowanie egress ). Komisja zachęca dostawców usług do wprowadzenia w życie tego zalecenia.

Grupa robocza ds. ochrony danych osobowych ustanowiona na mocy art. 29 przyjęła opinię dotyczącą kwestii prywatności w związku ze świadczeniem usług monitorowania wiadomości elektronicznych[34], która określa wskazówki dotyczące poufności wiadomości elektronicznych, a dokładniej stosowania filtrów w odniesieniu do wiadomości przesyłanych w trybie on-line zapobiegających wirusom, oprogramowaniu szpiegującemu i nielegalnym treściom.

4.2.5. Proponowane działania

Komisja zachęca:

- przedsiębiorstwa do zapewnienia, że standardy informacji w przypadku zakupu programów użytkowych są zgodne z przepisami w zakresie ochrony danych;

- przedsiębiorstwa do wprowadzenia umownego zakazu nielegalnego wykorzystania oprogramowania w reklamach, monitorowania sposobu, w jaki ogłoszenia reklamowe trafiają do konsumenta oraz podejmowania działań w następstwie nadużyć;

- dostawców usług poczty elektronicznej do stosowania polityki filtrowania gwarantującej zgodność z zaleceniami i wskazówkami w tym zakresie.

4.3. Działania na poziomie europejskim

Komisja będzie nadal poruszać problemy związane ze spamem, oprogramowaniem szpiegującym i złośliwym na forum międzynarodowym, w ramach dwustronnych spotkań i, tam gdzie to stosowne, za pomocą umów z państwami trzecimi, oraz sprzyjać współpracy między zainteresowanymi stronami, w szczególności państwami członkowskimi, właściwymi władzami i przedsiębiorstwami. Komisja podejmie również nowe inicjatywy w zakresie przepisów prawnych i badań naukowych, mające na celu nadanie nowych impulsów walce z nadużyciami, które osłabiają społeczeństwo informacyjne. Komisja kontynuuje obecnie prace nad spójną polityką walki z cyberprzestępczością. Polityka ta zostanie przedstawiona w komunikacie, którego przyjęcie przewidziane jest na początek 2007 r.

4.3.1. Przegląd ram regulacyjnych

Komunikat Komisji[35] w sprawie ram regulacyjnych stosowanych do komunikacji elektronicznej proponuje wzmocnienie przepisów w zakresie ochrony prywatności i bezpieczeństwa. Zgodnie z tą propozycją operatorzy sieci i dostawcy usług byliby zobowiązani do:

- powiadomienia właściwego organu państwa członkowskiego o każdym naruszeniu bezpieczeństwa, które spowodowało utratę danych osobowych i/lub przerwę w dostawie usług;

- powiadomienia klientów o każdym naruszeniu bezpieczeństwa, które spowodowało utratę, zmianę, ujawnienie lub zniszczenie ich danych osobowych.

Krajowe organy regulacyjne byłyby w stanie zagwarantować, że operatorzy stosują odpowiednie zasady bezpieczeństwa, a nowe przepisy mogłyby zostać ustanowione w odniesieniu do szczegółowych środków zaradczych lub wysokości kar , jakie należy przewidzieć za naruszenia przepisów.

4.3.2. Rola Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA )

Propozycje zawierają również przepis uznający rolę doradczą Agencji w zakresie bezpieczeństwa. Inne zadania przewidziane dla Agencji wymienione są w komunikacie Komisji dotyczącym strategii bezpieczeństwa[36] i obejmują:

- stworzenie zaufanego partnerstwa z państwami członkowskimi i zainteresowanymi stronami w celu opracowania odpowiednich ram dla gromadzenia danych dotyczących zdarzeń związanych z zagrożeniem bezpieczeństwa i poziomu zaufania konsumentów.

W kwestii określenia tych ram ENISA będzie ściśle współpracować z Eurostatem w związku ze wspólnotowymi statystykami dotyczącymi społeczeństwa informacyjnego oraz ramami analizy porównawczej i2010[37].

- zbadanie wykonalności europejskiego systemu ostrzegania i wymiany informacji umożliwiającego skuteczne reagowanie na istniejące i pojawiające się zagrożenia sieci elektronicznych.

4.3.3. Prace badawczo-rozwojowe

Przyszły siódmy program ramowy zmierza do dalszego rozwijania wiedzy i technologii w celu zapewnienia bezpieczeństwa usługom i systemom informacyjnym w ścisłej koordynacji z inicjatywami politycznymi. Tematy prac związanych z oprogramowaniem złośliwym powinny obejmować ukryte botnety i wirusy oraz ataki skierowane na usługi telefonii komórkowej i usługi głosowe.

4.3.4. Współpraca międzynarodowa

Jako że Internet jest globalną siecią, walka ze spamem, oprogramowaniem szpiegującym i złośliwym powinna być podejmowana na całym świecie. W związku z tym, Komisja zamierza rozwijać dialog i współpracę z państwami trzecimi w zakresie zwalczania powyższych zagrożeń i związanej z nimi działalności przestępczej. W tym celu Komisja będzie dążyła do tego, by kwestia spamu, oprogramowania szpiegującego i złośliwego stanowiła przedmiot umów między UE i państwami trzecimi, oraz by państwa trzecie, których problem najbardziej dotyczy, zobowiązały się do współpracy z państwami członkowskimi UE zmierzającej do skutecznego zwalczania tych zagrożeń oraz zapewni ścisły nadzór nad respektowaniem wspólnych zobowiązań.

4.3.5. Proponowane działania

Komisja zamierza:

- kontynuować wysiłki podwyższające świadomość społeczeństwa oraz wspierające współpracę pomiędzy zainteresowanymi stronami;

- kontynuować prace nad umowami z państwami trzecimi, uwzględniającymi kwestię walki ze spamem, oprogramowaniem szpiegującym i złośliwym;

- przedłożyć, na początku 2007 r., nowe wnioski legislacyjne wzmacniające przepisy w zakresie ochrony prywatności i bezpieczeństwa w sektorze łączności elektronicznej oraz przedstawić strategię w zakresie cyberprzestępczości;

- odwoływać się do wiedzy ekspertów ENISA w zakresie bezpieczeństwa;

- wspierać prace badawczo-rozwojowe w swoim siódmym programie ramowym.

5. Wnioski

Zagrożenia takie jak spam, oprogramowanie szpiegujące i złośliwe zmniejszają zaufanie do społeczeństwa informacyjnego, szkodzą jego bezpieczeństwu i mają poważne skutki finansowe. Mimo inicjatyw niektórych państw członkowskich, działania podejmowane w całej UE są niewystarczające, ażeby sprostać takiemu rozwojowi sytuacji . Komisja wykorzystuje swoją rolę pośrednika, aby lepiej uświadomić potrzebę większego zaangażowania politycznego w celu zwalczania tych zagrożeń.

Należy zwiększyć wysiłki zmierzające do egzekwowania prawa w celu powstrzymania osób, które świadomie je łamią. Przedsiębiorstwa powinny podjąć dalsze działania W celu uzupełnienia działań w zakresie egzekwowania prawa. Konieczna jest współpraca na poziomie krajowym, zarówno w ramach administracji, jak i pomiędzy organami administracji a przedsiębiorstwami. Komisja będzie rozwijać dialog i współpracę z państwami trzecimi oraz zbada możliwość przedłożenia nowych wniosków legislacyjnych, a także zainicjuje prace badawcze służące polepszeniu ochrony prywatności i bezpieczeństwa w sektorze łączności elektronicznej.

Zintegrowane i, w miarę możliwości, równoległe wprowadzenie w życie działań wymienionych w niniejszym komunikacie może przyczynić się do ograniczenia zagrożeń, które obecnie mają niekorzystny wpływ na społeczeństwo informacyjne i gospodarkę.Komisja będzie sprawować nadzór nad wprowadzaniem w życie tych działań i do 2008 r. określi, czy konieczne są działania dodatkowe.

[1] COM(2006) 251 wersja ostateczna..

2 COM(2006) 334 wersja ostateczna.

[2] COM(2004) 28 wersja ostateczna.

[3] Przez spam rozumie się wysyłanie niezamówionych wiadomości, np. pocztą elektroniczną, w szczególności w celach handlowych. Jednakże niezamówione wiadomości elektroniczne mogą również zawierać oprogramowanie złośliwe lub szpiegujące.

[4] W 2001 r. spam stanowił 7 % globalnej poczty elektronicznej.

[5] Symantec 54 %; Messagelabs 68,6 %; MAAWG 80-85 %.

[6] Q1 2006 (Sophos): Azja 42,8 %, Ameryka Północna 25,6 %, Europa 25,0 %, Ameryka Południowa 5,1 %, Australazja 0,8 %, Afryka 0,6 %, pozostałe 0,1 %.

[7] Ferris research, 2005.

[8] Botnety to zainfekowane komputery używane przez spamerów do masowego wysyłania wiadomości po zainstalowaniu na nich ukrytego oprogramowania przekształcającego komputery w serwery pocztowe bez wiedzy ich użytkowników.

[9] Główne kraje zainfekowane przez botnety (Symantec, Q 3-4 2005): Stany Zjednoczone 26 %, Wielka Brytania 22 %, Chiny 9 %, Francja, Korea Południowa, Kanada 4 %, Tajwan, Hiszpania, Niemcy 3 %, Japonia 2 %.

[10] Computer Economics: the 2005 Malware Report.

[11] Art. 13 dyrektywy 2002/58/WE.

[12] Por. przypis 3.

[13] Punkt 26 załącznika I do dyrektywy 2005/29/WE

[14] Rozporządzenie (WE) 2006/2004.

[15] Światowy Szczyt Społeczeństwa Informacyjnego (WSIS), Genewa, grudzień 2003 r.

[16] Program z Tunisu na rzecz społeczeństwa informacyjnego, pkt 41.

[17] http://europa.eu.int/information_society/policy/ecomm/doc/todays_framework/privacy_protection/spam/cooperation_procedure_cnsa_final_version_20041201.pdf

[18] http://www.oecd-antispam.org/

[19] http://www.asemec-london.org/

[20] Program z Tunisu, pkt 39-47; http://www.itu.int/wsis/docs2/tunis/off/6rev1.doc

[21] www.diadem http://cordis.europa.eu/fp6/projects.htm#search

[22] http://www.maawg.org/home/

[23] http://www.spotspam.net

[24] Badanie przeprowadzone przez CNSA wykazało, że piętnastu spośród osiemnastu ankietowanych członków wniosło oskarżenia w latach 2003-2006.

[25] Dyrektywa 95/46/WE.

[26] Artykuł 13 dyrektywy o prywatności i łączności elektronicznej.

[27] Artykuł 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej.

[28] Por. przypis 28.

[29] Artykuł 6 lit. a) ogólnej dyrektywy o ochronie danych osobowych.

[30] Decyzja ramowa Rady 2005/222/JHA.

[31] Por. przypis 18.

[32] http://www.enisa.eu.int/doc/pdf/deliverables/enisa_security_spam.pdf

[33] Opinia 2/2006, GR 118.

[34] http://europa.eu.int/information_society/policy/ecomm/tomorrow/index_en.htm

[35] Por. przypis 1.

[36] Ramy analizy porównawczej określone przez grupę wysokiego szczebla ekspertów ds. inicjatywy i2010 w dniu 20 kwietnia 2006 r.