COMUNICAÇÃO DA COMISSÃO AO CONSELHO, PARLAMENTO EUROPEU, COMITÉ ECONÓMICO E SOCIAL E COMITÉ DAS REGIÕES - Segurança das redes e da informação: Proposta de abordagem de uma política europeia

Resumo

A segurança está a tronar-se uma prioridade absoluta, dado que as comunicações e a informação se tornaram um factor essencial no desenvolvimento económico e social. As redes e os sistemas da informação servem actualmente de suporte a serviços e transportam dados numa escala que ainda há poucos anos era inconcebível. A sua disponibilidade é vital para outras infra-estruturas, como o abastecimento de água e de electricidade. Como todos (empresas, cidadãos, administrações públicas) desejam explorar as possibilidades das redes de comunicações, a segurança destes sistemas está a tronar-se um pré-requisito para novos progressos.

Neste contexto, o Conselho Europeu de Estocolmo, realizado em 23-24 de Março de 2001, estabeleceu nas suas conclusões que o Conselho, juntamente com a Comissão, irá elaborar uma estratégia global de segurança das redes electrónicas, incluindo acções práticas de execução, que deverá ser apresentada ao Conselho Europeu de Göteborg. A presente comunicação é a resposta da Comissão Europeia a esse pedido.

II.

A segurança tornou-se um desafio-chave para os políticos, mas a definição de uma resposta política adequada é uma tarefa cada vez mais complexa. Os serviços de comunicações já não são oferecidos por operadores estatais de telecomunicações, mas sim por muitos operadores e fornecedores de serviços privados, em regime concorrencial e cada vez mais a nível europeu e mundial. As redes estão a convergir: servem de suporte aos mesmos serviços, estão cada vez mais interligadas e utilizam em parte a mesma infra-estrutura.

Para garantir um nível mínimo de segurança, foi criado um conjunto substancial de legislação no âmbito do quadro das telecomunicações e da legislação para a protecção dos dados a nível nacional e comunitário. Estas disposições jurídicas devem ser aplicadas com eficácia num ambiente em rápida mudança. Devem também evoluir no futuro, como se vê já com a proposta do novo quadro das telecomunicações ou com as próximas propostas ligadas ao debate sobre a cibercriminalidade. Assim, é necessário que os políticos compreendam as questões de segurança subjacentes e o seu papel na melhoria da segurança.

A segurança tornou-se um produto que se compra e vende no mercado e que faz parte de cláusulas contratuais. Habitualmente pressupõe-se que o mecanismo dos preço equilibrará os custos da oferta de segurança com a necessidade específica de segurança. No entanto, muitos riscos de segurança permanecem sem solução e noutros casos as soluções surgem lentamente no mercado, como resultado de certas imperfeições deste. A adopção de medidas políticas específicas para colmatar estas imperfeições pode reforçar o processo do mercado e, simultaneamente, melhorar o funcionamento do quadro jurídico. Tais medidas devem integrar-se numa abordagem europeia para garantir o mercado interno, proporcionar os benefícios de soluções comuns e permitir uma acção efectiva a nível mundial.

As medidas políticas propostas em relação à segurança das redes e da informação devem ser vistas no contexto das actuais políticas de telecomunicações, protecção de dados e combate à cibercriminalidade. Uma política de segurança das redes e da informação constituirá o elemento que falta neste quadro político. O diagrama seguinte apresenta estas três áreas políticas e ilustra com alguns exemplos o modo como se interrelacionam:

>REFERÊNCIA A UM GRÁFICO>

III.

A segurança das redes e da informação pode ser entendida como a capacidade de uma rede ou sistema da informação para resistir, com um dado nível de confiança, a eventos acidentais ou acções maliciosas. Estes eventos ou acções podem comprometer a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados ou transmitidos e dos serviços conexos oferecidos através dessa rede ou sistema. Estes incidentes de segurança podem ser agrupados do seguinte modo:

| | As comunicações electrónicas podem ser interceptadas e os dados copiados ou alterados, o que pode causar danos tanto através da invasão da privacidade das pessoas como através da exploração dos dados interceptados.

| | O acesso não autorizado a computadores e redes informáticas é feito habitualmente com a intenção maliciosa de copiar, alterar ou destruir dados.

| | Os ataques causadores de perturbações na Internet tornaram-se bastante comuns; no futuro, a rede telefónica pode tornar-se também mais vulnerável.

| | O software malicioso, como os vírus, pode incapacitar computadores e apagar ou alterar dados. Alguns ataques recentes com vírus foram extremamente devastadores e originaram custos muito elevados.

| | A falsa identidade de pessoas ou entidades pode causar danos substanciais; por exemplo, os clientes podem descarregar software malicioso de um sítio Web que se apresenta como uma fonte merecedora de confiança, os contratos podem ser repudiados, informações confidenciais podem ser enviadas para pessoas que as não deveriam receber.

| | Muitos incidentes de segurança devem-se a eventos não previstos e não intencionais, como desastres naturais (inundações, trovoadas, sismos), falhas de hardware ou software ou ainda erro humano.

IV.

Medidas propostas:

| | Sensibilização: deve ser lançada uma campanha pública de informação e educação e devem ser promovidas as melhores práticas.

| | Sistema europeu de alerta e informação: os Estados-Membros devem reforçar as suas equipas de resposta a emergências informáticas (CERT) e melhorar a coordenação entre elas. A Comissão irá examinar com os Estados-Membros o modo de organizar a nível europeu a recolha de dados, a análise e o planeamento de respostas avançadas para as actuais e novas ameaças à segurança.

| | Apoio tecnológico: o apoio à investigação e desenvolvimento no domínio da segurança dever ser um elemento-chave do 6º Programa-Quadro e estar integrado numa estratégia mais vasta de melhoria da segurança das redes e da informação.

| | Apoio à normalização e certificação orientadas para o mercado: as organizações europeias de normalização são convidadas a acelerar os seus trabalhos sobre interoperabilidade. A Comissão continuará a apoiar as assinaturas electrónicas e o desenvolvimento do IPv6 e do IPSec e avaliará a necessidade de uma iniciativa no plano jurídico para o reconhecimento mútuo de certificados. Os Estados-Membros devem efectuar uma revisão de todas as normas de segurança nesta matéria.

| | Quadro jurídico: a Comissão criará um inventário das medidas nacionais que foram tomadas em consonância com a legislação comunitária neste domínio. Os Estados-Membros devem apoiar a livre circulação de produtos de cifragem. A Comissão irá propor legislação relativa à cibercriminalidade.

| | Segurança nas administrações: os Estados-Membros devem incorporar soluções de segurança eficazes e interoperáveis nas suas actividades de administração em linha e concursos públicos electrónicos. Os Estados-Membros devem recorrer às assinaturas electrónicas quando oferecem serviços públicos. A Comissão reforçará os seus requisitos de segurança nos seus sistemas de comunicações e informação.

| | Cooperação internacional: a Comissão reforçará o dialogo com organizações e parceiros internacionais sobre segurança das redes e da informação.

A próxima etapa será a discussão do quadro e das acções propostas pelos Estados-Membros e pelo Parlamento Europeu. O Conselho Europeu de Göteborg, a realizar nos dias 15 e 16 de Junho, poderá fornecer orientações sobre o caminho a seguir.

A Comissão propõe-se lançar uma discussão aprofundada com a indústria e os utilizadores sobre a execução na prática das acções propostas. Poderão ser enviados comentários para eeurope@cec.eu.int até final de Agosto de 2001. Assim, a presente comunicação é também um convite aos interessados para apresentarem comentários com vista a estabelecer um conjunto concreto e final de acções. Este processo pode traduzir-se num roteiro a elaborar até final de 2001.

***

Segurança das redes e da informação: Proposta de abordagem de uma política europeia

Índice

1. Introdução

2. Análise das questões associadas à segurança das redes e da informação

2.1. O que é a segurança das redes e da informação-

2.2. Panorama das ameaças à segurança

2.2.1. Intercepção das comunicações

2.2.2. Acesso não autorizado a computadores e redes informáticas

2.2.3. Perturbações do funcionamento da rede

2.2.4. Execução de software malicioso que altera ou destrói dados

2.2.5. Falsa identificação maliciosa

2.2.6. Eventos ambientais e não intencionais

2.3. Novos desafios

3. Abordagem de uma política europeia

3.1. Fundamentação de uma política pública

3.2. Sensibilização

3.3. Um sistema europeu de alerta e informação

3.4. Apoio tecnológico

3.5. Apoio à normalização e certificação orientadas para o mercado

3.6. Quadro jurídico

3.7. Segurança nas administrações

3.8. Cooperação internacional

4. Próximas etapas

1. Introdução

Têm aumentado as preocupações sobre a segurança das redes electrónicas e dos sistemas da informação, a par do rápido aumento do número de utilizadores das redes e do valor das suas transacções. A segurança atingiu agora um ponto crítico, tornando-se um pré-requisito para o crescimento dos negócios electrónicos e o funcionamento de toda a economia. A combinação de diversos factores tem empurrado a segurança da informação e das comunicações para o cimo da agenda política na UE:

| | Os governos deram-se conta do grau de dependência das suas economias e dos seus cidadãos em relação ao funcionamento eficaz das redes de comunicações, tendo alguns deles iniciado a revisão das suas disposições no domínio da segurança.

| | A Internet criou uma conectividade mundial que permite a ligação de milhões de redes, pequenas e grandes, de centenas de milhões de computadores pessoais e ainda, de forma crescente, de outros dispositivos, incluindo os telemóveis. Este processo reduziu significativamente os custos de acesso de atacantes remotos a informações económicas valiosas.

| | Foi largamente noticiada a difusão de alguns vírus na Internet que causaram sérios prejuízos, destruindo a informação e bloqueando o acesso à rede. Estes problemas de segurança não se confinam a um ou outro país, atingindo rapidamente os vários Estados-Membros.

| | Os Conselhos Europeus de Lisboa e da Feira, ao lançarem o plano de acção eEurope 2002, consideraram que a Internet era um factor essencial de produtividade das economias da UE.

Neste contexto, o Conselho Europeu de Estocolmo, realizado em 23-24 de Março de 2001, estabeleceu nas suas conclusões que o Conselho, juntamente com a Comissão, irá elaborar uma estratégia global de segurança das redes electrónicas, incluindo acções práticas de execução, que deverá ser apresentada ao Conselho Europeu de Göteborg. A presente comunicação é a resposta da Comissão Europeia a esse pedido.

Um ambiente em mudança

Tendo-se tornado a segurança um desafio-chave para os responsáveis políticos, a definição de uma resposta política adequada é uma tarefa cada vez mais complexa. Ainda há poucos anos, a segurança das redes era essencialmente da competência dos monopólios estatais que ofereciam serviços especializados através das redes públicas, nomeadamente da rede telefónica. A segurança dos sistemas informáticos estava confinada a grandes organizações e incidia nos controlos de acesso. A definição de uma política de segurança era uma tarefa relativamente simples. Entretanto, a situação mudou consideravelmente, devido à variedade de evoluções no contexto alargado do mercado, como a liberalização, a convergência e a mundialização:

Actualmente, as redes são detidas e geridas essencialmente pelo sector privado. Os serviços de comunicações são oferecidos em regime de concorrência, sendo a segurança uma componente da oferta do mercado. No entanto, muitos clientes continuam a ignorar o nível dos riscos de segurança a que estão sujeitos quando se ligam a uma rede, tomando as suas decisões numa situação de informação incompleta.

As redes e os sistemas da informação estão a convergir. Estão cada vez mais interligados, oferecendo o mesmo tipo de serviços integrados e personalizados e, em certa medida, partilhando a mesma infra-estrutura. Os equipamentos terminais (computadores, telemóveis, etc.) tornaram-se elementos activos na arquitectura das redes, podendo ser ligados a diferentes redes.

As redes são internacionais. Uma parte significativa das comunicações de hoje é transfronteiras ou transita através de países terceiros (sem que, por vezes, o utilizador final se dê conta de tal), pelo que as soluções para os riscos de segurança devem ter em conta esta situação. Na sua maioria, as redes são construídas recorrendo a produtos comerciais de fornecedores internacionais. Os produtos de segurança devem ser compatíveis com normas internacionais.

Relevância de uma acção a nível político

Este processo restringe a capacidade dos governos de influenciar o nível de segurança das comunicações electrónicas dos seus cidadãos e empresas. No entanto e pelas razões a seguir expostas, tal não implica que o sector público tenha deixado de desempenhar um papel significativo.

Em primeiro lugar, está em vigor na Comunidade regulamentação diversa que tem implicações específicas no plano da segurança das redes e da informação. Concretamente, o quadro europeu das telecomunicações e da protecção de dados contém disposições aplicáveis aos operadores e fornecedores de serviços que se destinam a garantir um nível de segurança adequado aos riscos em causa.

Em segundo lugar, existe uma preocupação crescente com a segurança nacional à medida que os sistemas da informação e as redes de comunicação se tornam um factor crítico para outras infra-estruturas (p. ex. abastecimento de água e electricidade) e outros mercados (p.ex., o mercado financeiro mundial).

Por último, justifica-se a acção dos governos em resposta a imperfeições do mercado. Os preços no mercado nem sempre reflectem com precisão os custos e os benefícios dos investimentos na melhoria da segurança das redes e os fornecedores e os utilizadores nem sempre ficam sujeitos a todas as consequências do seu comportamento. O controlo das redes está disperso, podendo os pontos fracos de um sistema ser explorados para atacar outro sistema. A complexidade das redes dificulta a avaliação, pelos utilizadores, dos perigos potenciais.

Assim, a presente comunicação pretende identificar as questões em que é necessária uma acção pública suplementar ou reforçada a nível europeu ou nacional.

O Capítulo 2 define a segurança das redes e da informação, descreve as principais ameaças à segurança e faz uma avaliação das soluções actuais. Pretende proporcionar um nível de compreensão da segurança das redes e da informação necessário para fazer luz sobre as soluções políticas propostas. Não pretende apresentar um panorama técnico exaustivo das questões de segurança.

O Capítulo 3 propõe uma abordagem de uma política europeia destinada a melhorar a segurança das redes e da informação. Baseia-se numa análise da necessidade de complementar as soluções do mercado com acções políticas. Enumera uma série de medidas políticas concretas, como pedido pelo Conselho Europeu de Estocolmo. A política proposta deve ser vista como parte do quadro existente para os serviços de comunicações electrónicas e a protecção dos dados e - mais recentemente - para a política de combate à cibercriminalidade.

2. Análise das questões associadas à segurança das redes e da informação

2.1. O que é a segurança das redes e da informação-

As redes são sistemas nos quais os dados são armazenados e processados e através dos quais são transmitidos. São formadas por componentes de transmissão (cabos, ligações sem fios, satélites, encaminhadores, pontos de interconexão, nós de comutação, etc.) e serviços de suporte (sistema de nomes de domínio, incluindo os servidores-raíz, serviço de identificação da linha que chama, serviços de autenticação, etc.). Há uma gama crescente de aplicações (sistemas de entrega de correio electrónico, programas de navegação, etc.) e equipamentos terminais (telefones fixos, servidores, computadores pessoais, telemóveis, organizadores pessoais, aparelhos domésticos, máquinas industriais, etc.) ligados a redes.

Pode considerar-se que os requisitos genéricos de segurança das redes e dos sistemas da informação consistem nas seguintes características interrelacionadas:

i) Disponibilidade - significa que os dados estão acessíveis e os serviços estão operacionais, apesar de eventuais eventos perturbadores, como cortes de energia, calamidades naturais, acidentes ou ataques. Esta característica é especialmente crítica em contextos onde as falhas nas redes de comunicações podem causar quebras noutras redes críticas, como as do transporte aéreo ou do abastecimento de energia.

ii) Autenticação - é a confirmação da identidade reivindicada por entidades ou utilizadores. São necessários métodos de autenticação adequados para muitas aplicações e serviços, como a celebração de um contrato em linha, o controlo do acesso a determinados dados e serviços (p. ex., para teletrabalhadores) e a autenticação de sítios Web (p. ex., para bancos na Internet). A autenticação deve prever a possibilidade de anonimato, já que muitos serviços não exigem a identidade do utilizador, mas apenas a confirmação segura de determinados critérios (as chamadas credenciais anónimas), como a capacidade de pagamento.

iii) Integridade - é a confirmação de que os dados enviados, recebidos ou armazenados estão completos e inalterados. Esta característica é especialmente importante para a autenticação no contexto da celebração de contratos ou quando a exactidão dos dados é vital (dados médicos, projecto industrial, etc.).

iv) Confidencialidade - é a protecção das comunicações ou dos dados armazenados contra a intercepção e a leitura por pessoas não autorizadas. É especialmente necessária na transmissão de dados sensíveis, sendo um dos requisitos na abordagem do problema da privacidade sentido pelos utilizadores das redes de comunicações.

É necessário abranger todos os eventos que ameacem a segurança e não apenas os de natureza maliciosa. Do ponto de vista dos utilizadores, ameaças como incidentes ambientais ou erros humanos que afectem o funcionamento da rede podem ter custos tão elevados como os dos ataques maliciosos. Assim, a segurança das redes e da informação pode ser entendida como a capacidade de uma rede ou sistema da informação para resistir, com um dado nível de confiança, a eventos acidentais ou acções maliciosas que comprometem a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados ou transmitidos e dos serviços conexos oferecidos ou acessíveis através dessa rede ou sistema.

2.2. Panorama das ameaças à segurança

As empresas que dependem da rede para as suas vendas ou para organizar as suas entregas podem ficar paralisadas na sequência de um ataque que bloqueie o funcionamento do serviço. Pode haver intercepção e utilização abusiva de informações pessoais e financeiras. Pode haver ameaças à segurança nacional. Estes exemplos fornecem uma indicação das ameaças decorrentes de uma segurança inadequada. Há que distinguir ataques intencionais (secções 2.2.1 a 2.2.5) e eventos não-intencionais (secção 2.2.6). O objectivo destas secções é especificar os tipos de riscos de segurança com vista a definir uma base para o estabelecimento de um quadro político para a melhoria da segurança, como indicado na secção 3.

2.2.1. Intercepção das comunicações

As comunicações electrónicas podem ser interceptadas e os dados copiados ou alterados. A intercepção pode realizar-se de diversos modos, incluindo o acesso físico às linhas da rede (p. ex., ligação com fios) e a monitorização das transmissões via rádio. Os pontos mais críticos para a intercepção do tráfego de comunicações são os pontos de gestão e concentração da rede, como encaminhadores, pontos de interconexão, nós de comutação e serviços de operações da rede.

Deve fazer-se uma distinção entre intercepção maliciosa ou ilegal de comunicações e actividades legais de intercepção. A intercepção de comunicações por motivos de segurança pública está autorizada em casos específicos para um número reduzido de fins, em todos os Estados-Membros da UE. Está em vigor um quadro jurídico nos termos do qual os organismos encarregados de fazer respeitar a lei podem obter mandatos judiciais ou, no caso de dois Estados-Membros, uma autorização pessoal de um ministro para a intercepção de comunicações.

Potenciais danos - A intercepção ilegal pode causar danos tanto através da invasão da privacidade das pessoas como da exploração dos dados interceptados, como senhas (passwords) ou dados relativos a cartões de crédito, para fins comerciais ou para sabotagem. É considerada como um dos maiores inibidores da implantação do comércio electrónico na Europa.

Potenciais soluções - A defesa contra intercepções pode ser realizada pelos operadores, tornando a rede segura, como lhes é exigido, inter alia, nos termos da Directiva 97/66/CE [1], e pelos utilizadores, cifrando os dados transmitidos através da rede.

[1] Directiva relativa à protecção dos dados nas telecomunicações (JO L 24 de 30.1.1998)

Para os operadores, a protecção da rede contra potenciais intercepções é uma tarefa complexa e dispendiosa. Tradicionalmente, os operadores de telecomunicações têm introduzido segurança na rede através do controlo do acesso físico às instalações e de orientações para o pessoal. O tráfego só ocasionalmente era cifrado. Nos casos em que se implantaram soluções sem fios, existe o ónus de garantir uma cifragem adequada das transmissões rádio. Os operadores de comunicações móveis cifram o tráfego entre o telemóvel e a estação de base. A robustez da cifragem na maioria dos países da UE é inferior à tecnicamente possível, dados os requisitos de facilitação da intercepção legal. Pela mesma razão, a cifragem pode ser activada ou desactivada nas estações de base sem que o utilizador se aperceba de tal.

Os utilizadores podem decidir cifrar dados ou voz independentemente do regime de segurança da rede. Os dados cifrados adequadamente, ainda que interceptados, são incompreensíveis para qualquer pessoa, com excepção do destinatário autorizado. Existe software e hardware de cifragem largamente difundido para praticamente todos os tipos de comunicações [2]. Determinados produtos especiais podem cifrar uma conversação telefónica ou uma transmissão por fax. As mensagens de correio electrónico podem ser cifradas recorrendo a software especial ou software integrado num processador de texto ou numa aplicação-cliente de correio electrónico. O problema para os utilizadores consiste no facto de a cifragem do correio electrónico ou das comunicações vocais obrigar o destinatário a ter meios para tornar a informação inteligível. Os equipamentos ou o software devem ser interoperáveis. Devem também conhecer a chave de decifração, o que significa que deve existir um mecanismo para receber a chave, incluindo a própria autenticação da chave. O custo da cifragem, em dinheiro e em esforço, é significativo e os utilizadores frequentemente não têm informações sobre os riscos de segurança e os benefícios desta, pelo que não é fácil tomarem as melhores decisões.

[2] Ver comunicação da Comissão com o título "Garantir a segurança e a confiança nas comunicações electrónicas", 8 de Outubro de 1997, COM (1997) 503 final.

>REFERÊNCIA A UM GRÁFICO>

Um sistema seguro habitualmente utilizado na Internet é o "Secure Socket Layer" (SSL). O SSL cifra a comunicação entre um servidor Web e um navegador Web do utilizador. No passado, os controlos das exportações restritivos dos EUA eram um inibidor da implantação desta tecnologia, especialmente da versão mais robusta (128 bits). Recentemente, o regime de controlos das exportações dos EUA foi revisto na sequência da adopção de um regime comunitário mais liberal para as exportações de produtos e tecnologias de dupla utilização [3]. As estatísticas indicam que o número de servidores Web seguros na Europa é muito inferior ao dos EUA (ver gráfico).

[3] Regulamento (CE) nº 1334/2000 do Conselho que cria um regime comunitário de controlo das exportações de produtos e tecnologias de dupla utilização (JO L 159 de 30.6.2000)

Operadores, utilizadores e produtores defrontam-se com o problema de normas concorrentes e não interoperáveis. Por exemplo, no domínio do correio electrónico seguro, duas normas [4] estão em concorrência por uma posição dominante. A influência da Europa tem sido aqui limitada. O resultado é uma profusão de produtos não europeus que aplicam estas normas, estando o acesso a eles por parte dos utilizadores europeus dependente da política de controlo das exportações dos EUA. Embora haja dúvidas quanto ao nível de segurança oferecido por muitos destes produtos (cf. Echelon [5]), alguns governos da UE estão a estudar a eventual utilização de software de fonte aberta para aumentar o nível de confiança nos produtos de cifragem. No entanto, trata-se de uma fase-piloto [6], ainda sem coordenação, pelo que as forças do mercado podem revelar-se mais fortes do que o esforço de governos isolados. Esta questão pode ser abordada através de uma avaliação exaustiva dos produtos comerciais e de fonte aberta.

[4] S-MIME (secure multiple Internet mail extensions) e OpenPGP (Pretty Good Privacy) são normas IETF (Internet Engineering Task Force).

[5] O sistema ECHELON destina-se, alegadamente, a interceptar comunicações normais de correio electrónico, fax, telex e telefone, realizadas através das redes mundiais de telecomunicações. Ver também as actividades do Comité Temporário do Parlamento Europeu para o Echelon em:

[6] O Governo alemão está a financiar um projecto baseado na norma OpenPGP, denominado GNUPG (http://www.gnupg.org).

2.2.2. Acesso não autorizado a computadores e redes informáticas

O acesso não autorizado a um computador ou rede informática é efectuado habitualmente com a intenção maliciosa de copiar, alterar ou destruir dados. Esta prática, denominada, em termos técnicos, intrusão, pode realizar-se de muitos modos diferentes, incluindo a exploração de informação interna, ataques por dicionário, ataques maciços (que exploram a tendência das pessoas para utilizar senhas (passwords) previsíveis), engenharia social (que explora a tendência das pessoas para divulgar informações a pessoas aparentemente de confiança) e intercepção de senhas. Tem lugar, frequentemente, no interior das organizações (ataques internos).

Potenciais danos - Algumas intrusões não autorizadas resultam mais de um desafio intelectual do que da perspectiva de ganhos monetários. No entanto, o que começa por ser uma actividade perturbadora (muitas vezes denominada 'hacking') põe a nu as vulnerabilidades das redes da informação e incentiva a exploração desses pontos fracos por pessoas com intenções criminosas ou maliciosas. A protecção contra o acesso não autorizado às suas informações pessoais, incluindo as de natureza financeira, contas bancárias e informações sobre saúde, constitui um direito dos cidadãos. Para o sector público e as empresas, as ameaças vão da espionagem económica à potencial alteração de dados internos ou públicos, incluindo a corrupção de sítios Web.

Potenciais soluções - Os métodos mais comuns de protecção contra o acesso não autorizado consistem em realizar controlos através de senhas (passwords) e instalar barreiras corta-fogo (firewalls). No entanto, a protecção assim obtida é limitada, devendo ser complementada com outros controlos de segurança, como o reconhecimento de ataques, a detecção de intrusões e os controlos a nível de aplicações (incluindo os que envolvem a utilização de cartões inteligentes). A eficácia dos controlos depende do modo como a sua funcionalidade se ajusta aos riscos associados a um ambiente específico. Há que alcançar um equilíbrio entre a protecção da rede e as vantagens do acesso livre. Dadas as rápidas alterações e consequentes novas ameaças às redes, é necessário efectuar uma revisão contínua independente dos controlos de segurança da rede. Enquanto os utilizadores e os fornecedores não estiverem plenamente conscientes da potencial vulnerabilidade da sua rede, continuarão a não ser exploradas potenciais soluções. O gráfico acima apresenta o panorama da actual utilização de produtos se segurança na União Europeia (estatísticas baseadas num levantamento realizado em Fevereiro de 2001 no contexto do exercício de avaliação do desempenho da iniciativa eEurope 2002).

>REFERÊNCIA A UM GRÁFICO>

2.2.3. Perturbações do funcionamento da rede

Hoje, as redes estão em grande medida digitalizadas e são controladas por computadores. No passado, uma causa habitual de perturbações na rede eram as falhas no sistema informático que controlava a rede, sendo os ataques às redes dirigidos essencialmente a esses computadores. Actualmente, os ataques mais devastadores exploram, habitualmente, os pontos vulneráveis dos componentes das redes (sistemas operativos, encaminhadores, nós de comutação, servidores de nomes, etc.).

Embora no passado os ataques causadores de perturbações no sistema telefónico não tenham constituído uma grande preocupação, os ataques na Internet são bastante comuns. A razão é que os sinais de controlo nas comunicações telefónicas estão separados do tráfego e podem ser protegidos, enquanto a Internet permite que os utilizadores tenham acesso a computadores de gestão fundamentais. No entanto, a rede telefónica pode tornar-se mais vulnerável no futuro, dado que integrará elementos essenciais da Internet e que o seu plano de controlo será aberto a terceiros.

Os ataques podem assumir diversas formas:

| | Ataques aos servidores de nomes: A Internet depende do funcionamento do Domain Name System (DNS) através do qual nomes familiares (p. ex., www.europa.eu.int), são convertidos em endereços da rede abstractos (p. ex., IP n° 147.67.36.16) e vice-versa. Caso haja uma falha numa parte do DNS, não será possível localizar alguns sítios Web e os sistemas de encaminhamento de correio electrónico poderão deixar de funcionar. A ocorrência de corrupção nos servidores-raíz do DNS ou noutros servidores de nomes de topo pode conduzir a perturbações generalizadas. No início do presente ano, foram descobertos alguns pontos vulneráveis no software utilizado pela maioria dos servidores de nomes [7].

[7] Fonte: CERT/CC em http://www.cert.org/advisories/CA-2001-02.html

| | Ataques ao encaminhamento: O encaminhamento na Internet está altamente descentralizado. Cada encaminhador informa periodicamente os encaminhadores vizinhos das redes que conhece e do modo de aceder a elas. O ponto fraco deste processo reside no facto de esta informação não poder ser verificada, dado que, por concepção, o conhecimento que cada encaminhador tem da topologia da rede é mínimo. Consequentemente, qualquer encaminhador pode apresentar-se como a melhor via para qualquer destino, preparando o terreno para a intercepção, bloqueamento ou alteração do tráfego para esse destino.

| | Inundação e ataques que bloqueiam o serviço: Estas formas de ataque perturbam o funcionamento da rede, sobrecarregando-a com mensagens artificiais que bloqueiam ou reduzem os acessos legítimos. É um fenómeno semelhante ao do bloqueamento de terminais fax com mensagens longas e repetidas. Os ataques de inundação tentam sobrecarregar os servidores Web ou saturar a capacidade de processamento dos fornecedores de serviços Internet (FSI) com mensagens geradas automaticamente.

Potenciais danos - Ocorreram interrupções devastadoras para alguns sítios Web de alto nível. Segundo alguns estudos, um ataque recente provocou danos no valor de várias centenas de milhões de euros, para além dos danos não quantificáveis à reputação desses sítios. As empresas dependem cada vez mais da disponibilidade dos seus sítios Web para as suas actividades; especialmente vulneráveis são as empresas que dependem dos seus sítios Web para fornecimentos no regime "just in time".

Potenciais soluções - Os ataques aos servidores DNS são, em princípio, facilmente controlados com extensões dos protocolos DNS, utilizando, por exemplo, extensões DNS seguras baseadas em criptografia de chave pública. No entanto, tal implica a instalação de novo software nas máquinas-clientes, pelo que esta solução não se generalizou. Além disso, é necessário tornar mais eficaz o processo administrativo que permite aumentar a confiança entre domínios DNS.

Os ataques ao sistema de encaminhamento são bem mais difíceis de contrariar. A Internet foi concebida para maximizar a flexibilidade no encaminhamento, dado que tal reduz a probabilidade de o serviço se perder caso uma parte da infra-estrutura da rede fique inoperante. Não existem meios eficazes para tornar seguros os protocolos de encaminhamento, especialmente nos encaminhadores da espinha dorsal.

O volume de dados transmitidos não permite uma filtragem pormenorizada, pois uma verificação deste tipo obrigaria à paragem das redes. Por este motivo, as redes só executam funções básicas de filtragem e controlo do acesso, sendo as funções de segurança mais específicas (p. ex., a autenticação, a integridade, cifragem) executadas nas fronteiras das redes, ou seja, nos terminais e nos servidores de rede que funcionam como pontos terminais.

2.2.4. Execução de software malicioso que altera ou destrói dados

Os computadores funcionam com software. Infelizmente, o software pode também ser utilizado para desactivar um computador e apagar ou alterar dados. Como descrito acima, se um computador tiver funções de gestão de uma rede, o seu mau funcionamento pode ter sérias consequências. Um vírus é uma forma de software malicioso. É um programa que reproduz o seu próprio código, introduzindo-se noutros programas de modo que o código do vírus é executado quando o programa infectado é executado.

Existem vários outros tipos de software malicioso: alguns causam danos apenas no computador em que foram copiados e outros difundem-se para outros computadores em rede. Por exemplo, há programas (coloridamente denominados 'bombas lógicas') que se mantêm em hibernação até serem activados por um evento, como uma data específica (frequentemente sexta-feira 13). Outros programas aparentam ser benignos, mas, quando abertos, lançam um ataque malicioso (conhecidos como 'cavalos de Tróia'). Outros programas (denominados 'vermes') não infectam os restantes programas como os vírus, mas criam réplicas de si próprios que, por sua vez, continuam a reproduzir-se até afogar o sistema.

Potenciais danos - Os vírus podem ser muito destrutivos, como revelam os altos custos associados a alguns ataques recentes (p. ex., 'I Love you', 'Melissa' e 'Kournikova'). O gráfico abaixo mostra, em panorama, o número crescente de vírus que os utilizadores da Internet na UE encontraram entre Outubro de 2000 e Fevereiro de 2001 (por Estado-Membro). Em média, cerca de 11% dos utilizadores europeus da Internet sofreram a infiltração de um vírus no seu PC doméstico.

>REFERÊNCIA A UM GRÁFICO>

Potenciais soluções - A principal defesa consiste na utilização de software antivírus, disponível sob várias formas. Por exemplo, os detectores e desinfectantes de vírus identificam e eliminam os vírus conhecidos. O seu ponto fraco principal reside no facto de dificilmente fazerem frente aos novos vírus, mesmo quando actualizados periodicamente. Outro exemplo de defesa antivírus é o verificador de integridade. Para infectar um computador, um vírus deve introduzir alterações no sistema. A verificação de integridade poderá identificar essas alterações, mesmo quando são causadas por vírus desconhecidos.

Apesar da existência de produtos de defesa relativamente bem desenvolvidos, os problemas com o software malicioso têm aumentado. Existem para tal duas razões principais. Em primeiro lugar, a abertura da Internet permite que os atacantes aprendam uns com os outros e desenvolvam métodos para contornar os mecanismos de protecção. Em segundo lugar, a Internet continua a crescer e a ganhar novos utilizadores, muitos dos quais não têm consciência da necessidade de tomar medidas preventivas. A segurança depende do grau de utilização do software de protecção.

2.2.5. Falsa identificação maliciosa

Quando estabelece uma ligação na rede ou recebe dados, o utilizador deduz a identidade do seu interlocutor com base no contexto da comunicação. A rede oferece alguns indicadores, mas o maior risco de ataque vem de pessoas que conhecem o contexto, ou seja, "iniciados". Quando os utilizadores marcam um número ou escrevem um endereço Internet no computador, devem obter ligação com o destino previsto. Isto é suficiente para muitas aplicações, mas não para interacções-chave empresariais, médicas, financeiras ou oficiais que exigem um nível mais elevado de autenticação, integridade e confidencialidade.

Potenciais danos - A falsa identificação de pessoas ou entidades pode causar danos de diversas formas. Os clientes podem descarregar software malicioso de um sítio Web que se apresenta como uma fonte de confiança. Poderão transmitir informações confidenciais a pessoas que não as deviam receber. A falsa identificação pode conduzir ao repúdio de contratos, etc. O maior dano é talvez o facto de a ausência de autenticação entravar potenciais actividades comerciais. Muitos estudos mostraram que as preocupações com a segurança são uma das principais razões para a não-realização de negócios através da Internet. Se as pessoas tiverem a certeza de que a identidade do seu interlocutor é efectivamente a que este reivindica, o nível de confiança nas transacções através da Internet irá aumentar.

Potenciais soluções - As tentativas de introdução da autenticação nas redes em conjunto com a introdução do SSL revelaram-se já úteis na garantia de um certo nível de confidencialidade. As redes privadas virtuais (VPN) utilizam o SSL e o IPsec de modo que as comunicações possam realizar-se através da Internet não-segura e de canais abertos, mantendo um dado nível de segurança. No entanto, estas soluções têm uma utilidade limitada, dado que se baseiam em certificados electrónicos e que não há garantia de que esses certificados não sejam falsos. Essa garantia pode ser dada por terceiros, muitas vezes denominados ' Autoridade de Certificação' ou, na Directiva Assinaturas Electrónicas [8], 'Prestador de Serviços de Certificação'. O problema que impede a generalização desta solução é semelhante ao da cifragem - necessidade de interoperabilidade e gestão das chaves. Numa VPN, este problema não existe, dado que podem ser desenvolvidas soluções próprias, mas nas redes públicas trata-se de um obstáculo considerável.

[8] Directiva 1999/93/CE de 13 de Dezembro de 1999 relativa a um quadro legal comunitário para as assinaturas electrónicas (JO L 13 de 19.1.2000, p. 12).

A Directiva Assinaturas Electrónicas melhora a base jurídica para garantir uma autenticação electrónica mais fácil na UE. Fornece um quadro em que o mercado se pode desenvolver, mas que proporciona também incentivos para o desenvolvimento de assinaturas mais seguras para reconhecimento legal. Está em curso o processo de transposição da directiva para as legislações nacionais.

2.2.6. Eventos ambientais e não-intencionais

Muitos incidentes com implicações na segurança devem-se a eventos não previstos e não intencionais causados por:

| | desastres naturais (p. ex., trovoadas, inundações, incêndios, sismos)

| | terceiros sem relação contratual com o operador ou o utilizador (p. ex., interrupção do serviço por obras de construção)

| | terceiros com relação contratual com o operador ou o utilizador (p. ex., falhas de hardware ou software em componentes ou programas fornecidos)

| | erro humano ou gestão deficiente do operador (incluindo o fornecedor de serviços) ou do utilizador (p. ex., problemas na gestão da rede, instalação incorrecta de software).

Potenciais danos: Os desastres naturais causam perturbações na disponibilidade das redes. Infelizmente, é justamente durante estes eventos que é mais necessário o funcionamento das linhas de comunicações. As falhas do hardware e uma deficiente concepção do software podem criar vulnerabilidades que originam perturbações imediatas ou são exploradas pelos atacantes. Uma má gestão da capacidade da rede pode conduzir a congestionamentos que entravam ou perturbam o funcionamento dos canais de comunicação.

Neste contexto, uma questão crucial é a distribuição de responsabilidades entre as partes. Na maioria dos casos, os utilizadores não têm responsabilidade, mas têm poucas ou nenhumas possibilidades de obter a responsabilização de terceiros.

Potencial solução: Os riscos dos incidentes ambientais são bem conhecidos dos operadores de redes de telecomunicações, que criaram redundâncias e protecções para a infra-estrutura nas suas redes. O aumento da concorrência pode ter um impacto ambivalente no comportamento dos operadores. Por um lado, tendo em conta os preços, os operadores podem ser levados a reduzir essas redundâncias; por outro, a existência de um maior número de operadores no mercado devido à liberalização permite que os utilizadores passem para outro operador em caso de indisponibilidade (tal como um passageiro é transferido para outra companhia aérea quando o seu voo foi cancelado). No entanto, a legislação comunitária neste domínio exige que os Estados-Membros tomem todas as medidas necessárias para garantir a disponibilidade das redes públicas em caso de ruptura nas redes por motivo de catástrofe ou desastre natural (ver as Directivas Interligação (97/33/CE [9]) e Telefonia Vocal (98/10/CE [10])). De um modo geral, nesta área sabe-se muito pouco sobre o nível de segurança, devido ao número crescente de redes interligadas.

[9] JO L 199 de 26.7.1997

[10] JO L 101 de 1.4.1998

A concorrência entre fornecedores de hardware e software deve exercer pressão no sentido de melhorar a segurança dos seus produtos. No entanto, a concorrência não é suficientemente forte para suscitar investimentos na segurança, que nem sempre é o elemento essencial nas decisões de compra. As falhas de segurança são muitas vezes descobertas demasiado tarde, quando os danos foram já causados. A preservação de comportamentos de concorrência leal nos mercados das tecnologias da informação criará melhores condições de segurança.

O risco de erros humanos e de erros operacionais pode ser reduzido com melhor formação e sensibilização. A instauração de uma política de segurança adequada a nível das empresas contribuirá para diminuir estes riscos.

2.3. Novos desafios

A segurança das redes e da informação tornar-se-á, muito provavelmente, um elemento-chave no desenvolvimento da sociedade da informação, dado que a ligação em rede desempenha um papel crescente na vida económica e social. Há duas grandes razões a ter em conta: os crescentes danos potenciais e os novos progressos tecnológicos.

i) As redes e sistemas da informação transportam dados cada vez mais sensíveis e informações com um valor económico cada vez maior que constituem incentivos crescentes à realização de ataques. Estes ataques podem ser em escala reduzida e não ter consequências a nível nacional (p. ex., no caso de desfiguração de um sítio Web pessoal ou de reformatação de um disco rígido por um vírus). No entanto, as perturbações podem também ocorrer a níveis muito mais críticos, a ponto de produzir interferências com comunicações muito sensíveis, cortes de energia importantes ou perdas significativas de negócios através de ataques bloqueadores de serviços ou de violações da confidencialidade. É difícil avaliar a extensão exacta dos danos reais e potenciais devidos a quebras na segurança das redes. Não existe um sistema de informação sistemática e muitas empresas preferem não confirmar a existência de ataques, com receio de publicidade negativa. Assim, as provas existentes são essencialmente testemunhos individuais. Os custos em causa são, além dos custos directos (perda de receitas, perda de informações valiosas, custos de mão-de-obra para restaurar a rede), muitos custos não-materiais difíceis de avaliar associados aos ataques, nomeadamente deterioração da reputação.

ii) A segurança das redes e da informação é uma questão dinâmica. O ritmo das mudanças tecnológicas gera continuamente novos desafios; os problemas de ontem desaparecem e as soluções de hoje já não fazem sentido. O mercado oferece quase diariamente novas aplicações, serviços e produtos. No entanto, alguns processos constituirão desafios significativos para uma política de segurança privada e pública:

| | Através das redes serão transmitidos diferentes objectos digitais, como objectos multimedia, software descarregável ou agentes móveis com medidas de segurança incorporadas. A noção de disponibilidade, entendida hoje como a possibilidade de utilizar as redes, evoluirá no sentido de utilização autorizada, como seja o direito de utilizar um jogo vídeo durante um certo tempo, o direito de criar uma só cópia de um programa de computador, etc.

| | No futuro, os operadores de redes IP poderão querer aumentar a segurança monitorizando continuamente o tráfego na rede, para permitir apenas tráfego autorizado. No entanto, estas medidas devem conformar-se com as regras aplicáveis para a protecção dos dados.

| | Os utilizadores adoptarão um regime de ligação permanente à Internet, o que alarga as oportunidades para os atacantes e cria vulnerabilidades em terminais não-protegidos, permitindo que os atacantes mais facilmente evitem a detecção.

| | Vai generalizar-se a implantação de redes domésticas que ligam diversos aparelhos, o que abre novas vias para os ataques e aumenta a vulnerabilidade dos utilizadores (p. ex., os alarmes podem ser desligados remotamente);

| | A implantação em grande escala de redes sem fios (p. ex., lacete local sem fios, redes locais sem fios, comunicações móveis de terceira geração) traz consigo o desafio de uma cifragem eficaz dos dados transmitidos através de sinais rádio. Consequentemente, será cada vez mais problemática a exigência legal de cifragem pouco robusta desses sinais.

| | As redes e os sistemas da informação serão omnipresentes, numa combinação de comunicações fixas e móveis, e proporcionarão uma 'inteligência ambiente', ou seja, funções auto-organizadas activadas automaticamente e que tomam decisões que antes eram tomadas pelos utilizadores. Aqui, o desafio consistirá em evitar vulnerabilidades inaceitáveis e integrar a segurança nas arquitecturas.

3. Abordagem de uma política europeia

3.1. Fundamentação de uma política pública

A protecção das redes de comunicações é crescentemente considerada como uma prioridade para os políticos, tendo em vista essencialmente a protecção dos dados, a garantia do bom funcionamento da economia, a segurança nacional e o desejo de promover o comércio electrónico. Tal conduziu a um conjunto substancial de salvaguardas jurídicas nas directivas comunitárias relativas à protecção dos dados e no quadro regulamentar comunitário das telecomunicações (ver secção 3.6). No entanto, estas medidas têm de ser aplicadas num ambiente em rápida evolução de novas tecnologias, mercados concorrenciais, convergência de redes e mundialização. A estes desafios acrescenta-se o facto de o mercado ter tendência a investir insuficientemente na segurança, pelas razões abaixo analisadas.

A segurança das redes e da informação é um bem comprado e vendido no mercado e que faz parte de cláusulas contratuais. O mercado dos produtos de segurança cresceu substancialmente nos últimos anos. De acordo com alguns estudos, o mercado mundial do software de segurança para a Internet valia cerca de 4 400 milhões de dólares no final de 1999 [11], devendo crescer anualmente 23% e atingir 8 300 milhões de dólares em 2004. Na Europa, prevê-se que o mercado da segurança das comunicações electrónicas cresça de 465 milhões de dólares em 2000 para 5 300 milhões de dólares em 2006 [12] e que o mercado da segurança das tecnologias da informação cresça de 490 milhões de dólares em 1999 para 2 740 milhões de dólares em 2006 [13].

[11] IDC : Internet security market forecast and analysis, 2000-2004 relatório

W23056 - Outubro de 2000

[12] Frost&Sullivan : The European Internet communication security markets, relatório 3717 - Novembro de 2000

[13] Frost&Sullivan : The European Internet system security markets, relatório 3847 - Julho de 2000

Habitualmente, pressupõe-se implicitamente que o mecanismo dos preços equilibrará os custos da oferta de segurança com a necessidade específica de segurança. Alguns utilizadores exigirão um nível elevado de segurança enquanto outros se contentarão com um nível mais baixo, embora o Estado possa prever um nível mínimo de segurança. As preferências dos utilizadores reflectem-se no preço que estão dispostos a pagar pelas características de segurança. No entanto, como revela a análise apresentada na secção 2, continuam sem solução muitos riscos de segurança e noutros casos as soluções entram lentamente no mercado como resultado de algumas imperfeições deste:

i) Custos e benefícios sociais: O investimento na melhoria da segurança das redes implica custos e benefícios sociais que não se reflectem adequadamente nos preços de mercado. No que respeita aos custos, os intervenientes no mercado não podem ser responsabilizados por tudo o que está ligado ao seu comportamento no domínio da segurança. Os utilizadores e fornecedores que dispõem de um nível baixo de segurança não têm de pagar pela responsabilidade de terceiros. A situação é semelhante à de um condutor descuidado que não é responsabilizado pelos custos associados aos congestionamentos decorrentes do seu acidente. Do mesmo modo, na Internet, diversos ataques foram realizados através de máquinas deficientemente protegidas de utilizadores relativamente descuidados. Os benefícios da segurança também não se reflectem plenamente nos preços de mercado. Quando os operadores e os fornecedores de equipamentos e de serviços melhoram a segurança dos seus produtos, boa parte dos benefícios deste investimento vão não só para os seus clientes mas também para todos os que são directa ou indirectamente afectados pelas comunicações electrónicas - essencialmente a economia no seu conjunto.

ii) Assimetria da informação: As redes são cada vez mais complexas e estão a atingir mercados mais vastos que incluem muitos utilizadores com poucos conhecimentos de tecnologia ou dos seus perigos potenciais. Isto significa que os utilizadores não estarão plenamente conscientes de todos os riscos de segurança, tendo muitos operadores e fornecedores de equipamentos e serviços dificuldade em avaliar a existência e o grau de difusão das vulnerabilidades. Muitos serviços, aplicações e software novos oferecem características, atraentes, mas que são muitas vezes fonte de novas vulnerabilidades (p. ex., o êxito da World Wide Web deve-se em parte à gama de aplicações multimedia que podem ser descarregadas facilmente, mas que são simultaneamente vias de entrada de ataques). Os benefícios são visíveis, mas os riscos não, pelo que os fornecedores são tentados a oferecer novas características, mas não uma maior segurança.

iii) O problema da acção pública: Os operadores cada vez mais adoptam as normas da Internet ou ligam de algum modo as suas redes à Internet. No entanto, a Internet não foi concebida com vista à segurança; pelo contrário, foi desenvolvida para garantir o acesso à informação e facilitar o seu intercâmbio. Foi esta a base do seu êxito. A Internet tornou-se uma rede mundial de redes com uma riqueza e diversidade sem paralelo. Em muitos casos, o investimento na segurança só compensa se um número suficiente de pessoas fizer o mesmo. Deste modo, é necessária cooperação para criar soluções de segurança. No entanto, a cooperação só funciona com a participação de uma massa crítica de intervenientes, o que é difícil de obter, pois há vantagens em ser-se "independente". A interoperabilidade de produtos e serviços proporcionará concorrência entre as soluções de segurança. No entanto, os custos de coordenação são substanciais nos casos em que sejam necessárias soluções à escala mundial, sendo alguns intervenientes tentados pela adopção de uma solução própria no mercado. Dado que um grande número de produtos e serviços utiliza ainda soluções próprias, não há vantagem em utilizar normas seguras que só proporcionam uma efectiva segurança suplementar se os outros também as adoptarem.

Como consequência destas imperfeições, o quadro das telecomunicações e da protecção dos dados prevê já a obrigação legal, para os operadores e fornecedores de serviços, de garantir um determinado nível de segurança nos sistemas de comunicações e informação. A fundamentação de uma política europeia para a segurança das redes e da informação pode ser descrita do modo seguinte. Em primeiro lugar, as disposições legais a nível comunitário devem ser aplicadas de modo eficaz, o que exige um entendimento comum das questões de segurança subjacentes e das medidas específicas a tomar. O quadro jurídico deve ainda evoluir no futuro, como se vê já com a proposta do novo quadro regulamentar das comunicações electrónicas ou com as próximas propostas ligadas ao debate sobre a cibercriminalidade. Em segundo lugar, algumas imperfeições do mercado levam à conclusão de que as forças do mercado não suscitam investimento suficiente nas tecnologias da segurança ou nas práticas da segurança. As medidas políticas podem reforçar o processo no mercado e, simultaneamente, melhorar o funcionamento do quadro jurídico. Por último, os serviços de comunicações e informação são oferecidos através das fronteiras. Assim, é necessário abordar uma política europeia para garantir o mercado interno destes serviços, proporcionar os benefícios de soluções comuns e permitir uma acção efectiva a nível mundial.

As medidas políticas propostas respeitantes à segurança das redes e da informação devem ser vistas não só no contexto da legislação em vigor relativa às telecomunicações e à protecção dos dados mas também em ligação com as medidas mais recentes de combate à cibercriminalidade. A Comissão publicou recentemente uma comunicação sobre a cibercriminalidade [14] que prevê, entre outras iniciativas, a criação de um fórum comunitário da cibercriminalidade com o objectivo de melhorar o entendimento mútuo e a cooperação a nível comunitário entre todos os interessados. Uma política de segurança das redes e da informação constituirá o elemento em falta neste quadro político. O diagrama seguinte apresenta estas três áreas políticas e ilustra com alguns exemplos o modo como se interrelacionam:

[14] Criar uma sociedade da informação mais segura reforçando a segurança das infra-estruturas de informação e lutando contra a cibercriminalidade, COM (2000) 890. http://europa.eu.int/ISPO/eif/internetPoliciesSite/Crime/crime1.html

>REFERÊNCIA A UM GRÁFICO>

3.2. Sensibilização

Um número demasiado elevado de utilizadores (privados/públicos) não está ainda sensibilizado para as eventuais ameaças decorrentes da utilização de redes de comunicações ou para as soluções já existentes que poderão fazer-lhes frente. As questões da segurança são complexas e muitas vezes é difícil, mesmo para especialistas, avaliar os riscos. A falta de informação é uma das imperfeições do mercado que a política de segurança deve enfrentar. É possível que alguns utilizadores, alarmados com muitos relatórios sobre ameaças à segurança, rejeitem pura e simplesmente o comércio electrónico. Outros, demasiado descuidados, estão mal informados ou subestimam os riscos. Algumas empresas poderão estar interessadas em desvalorizar os potenciais riscos, por temerem a perda de clientes.

Paradoxalmente, existe uma grande quantidade de informação sobre segurança das redes e da informação disponível na Internet e as revistas de informática debruçam-se extensamente sobre esta questão. Para os utilizadores, o problema consiste em encontrar informações adequadas que sejam compreensíveis, actualizadas e respondam às suas necessidades específicas. A indústria automóvel é um bom exemplo de como especificações complexas de segurança podem transformar-se num importante trunfo de marketing. Por último, os fornecedores de serviços de telecomunicações publicamente disponível são obrigados, nos termos da legislação comunitária, a informar os seus assinantes de determinados riscos de violação da segurança da rede e dos eventuais remédios, incluindo os custos em causa (cf. artigo 4º da Directiva 97/66/CE).

Deste modo, o objectivo de uma iniciativa de sensibilização para cidadãos, administrações e empresas consiste em fornecer informações acessíveis, independentes e fiáveis sobre a segurança das redes e da informação. É necessário um debate aberto sobre segurança. Uma vez realizada essa sensibilização, compete às pessoas tomar as suas decisões quanto ao nível de protecção que consideram mais adequado.

Acções propostas:

| | Os Estados-Membros devem lançar uma campanha pública de informação e ensino, devendo os trabalhos em curso ser melhorados. Esta iniciativa deve incluir uma campanha nos meios de comunicação social e uma acção dirigida a todos os interessados. Uma campanha de informação bem concebida e eficaz não é barata. A elaboração de conteúdos que descrevam os riscos sem alarmar desnecessariamente as pessoas e encorajar potenciais atacantes exige um planeamento cuidadoso.

A Comissão Europeia facilitará o intercâmbio das melhores práticas e assegurará um certo nível de coordenação das várias campanhas nacionais de informação a nível comunitário, nomeadamente no que se refere à substância das informações a fornecer. Um elemento desta acção será um portal para sítios Web a nível nacional e europeu. Pode também prever-se a ligação destes portais a sítios Web de confiança de parceiros internacionais.

| | Os Estados-Membros devem promover a utilização das melhores práticas de segurança com base nas medidas em vigor, como a ISO/CEI 17799 (código de conduta na gestão da segurança da informação - www.iso.ch). As pequenas e médias empresas devem ser alvos preferenciais. A Comissão apoiará os Estados-Membros nestas actividades.

| | Os sistemas de ensino dos Estados-Membros devem atribuir maior importância a cursos centrados na segurança. Deve ser incentivado o desenvolvimento de programas de ensino a todos os níveis (p. ex., formação sobre os riscos de segurança das redes abertas e soluções eficazes contra esses riscos), a integrar no ensino da informática nas escolas.

Por seu lado, os professores devem adquirir conhecimentos sobre segurança nos seus programas de formação. A Comissão Europeia está a apoiar o desenvolvimento de novos módulos curriculares no contexto do seu programa de investigação.

3.3. Um sistema europeu de alerta e informação

Mesmo quando os utilizadores estão sensibilizados para os riscos de segurança, é ainda necessário alertá-los para novas ameaças. Os atacantes maliciosos descobrirão certamente novos pontos vulneráveis para contornar as protecções mais sofisticadas. A indústria está a desenvolver continuamente novos serviços e aplicações de software, a oferecer melhor qualidade de serviço e a tornar a Internet mais atraente, criando, no entanto, neste processo, de forma não-intencional, novos riscos e vulnerabilidades.

Mesmo os engenheiros de redes e os especialistas em segurança mais experientes ficam muitas vezes surpreendidos com as inovações de alguns ataques. Assim, é necessário um sistema de alerta precoce que possa chegar rapidamente a todos os utilizadores, bem como uma fonte de conselhos de confiança e prontamente disponíveis sobre o modo de fazer frente aos ataques. As empresas necessitam ainda de um mecanismo confidencial de comunicação de ataques sem o risco de perderem a confiança do público. Estas medidas devem ser complementadas com uma análise prospectiva aprofundada da segurança, que reuna dados e provas e avalie os riscos, oferecendo os benefícios de uma visão mais abrangente.

Nesta área, grande parte do trabalho é realizado por equipas de resposta a emergências informáticas (CERT) públicas e privadas ou entidades similares. Por exemplo, a Bélgica criou um sistema de alerta de vírus que permite avisar os cidadãos belgas de ameaças de vírus num prazo de duas horas. No entanto, as CERT funcionam de modo diferente em cada Estado-Membro, tornando complexa a cooperação. As CERT existentes nem sempre estão bem equipadas e as suas tarefas não estão muitas vezes claramente definidas. A coordenação à escala mundial é feita através da CERT/CC, financiada em parte pelo Governo dos EUA. As CERT na Europa estão dependentes da política de divulgação de informações da CERT/CC e de outras fontes.

Como consequência desta situação complexa, a cooperação europeia tem sido reduzida. A cooperação é essencial para garantir um alerta precoce em toda a União através do intercâmbio instantâneo de informações sobre os primeiros sinais de ataque num país. Deste modo, a cooperação com o sistema CERT na União Europeia deve ser urgentemente reforçada. No contexto do plano de acção eEurope, foi acordada uma primeira acção destinada a reforçar a cooperação entre os sectores público e privado para a fiabilidade das infra-estruturas da informação (incluindo o desenvolvimento de sistemas de alarme precoce) e a melhorar a cooperação entre CERT.

Acções propostas:

| | Os Estados-Membros devem rever o seu sistema CERT para reforçar os equipamentos e as competências das CERT existentes. Como apoio aos esforços nacionais, a Comissão Europeia elaborará uma proposta concreta para reforçar a cooperação na União Europeia. Incluirá propostas de projectos no quadro do programa RT-Telecom com vista a uma ligação em rede eficaz e o estabelecimento de medidas de acompanhamento no âmbito do programa IST para facilitar o intercâmbio de informações.

| | A rede CERT, uma vez criada a nível da UE, deve ser ligada a instituições similares em todo o Mundo, como o proposto sistema de comunicação de incidentes do G8.

| | A Comissão propõe-se analisar com os Estados-Membros o modo de organizar a nível europeu a recolha de dados e a análise e planeamento de respostas avançadas às actuais e a novas ameaças à segurança. O tipo de organização de uma eventual estrutura deve ser objecto de discussão com os Estados-Membros.

3.4. Apoio tecnológico

Actualmente, o investimento em soluções de segurança das redes e da informação está abaixo do ideal. Isto verifica-se tanto em termos de implantação das tecnologias como de investigação de novas soluções. Num contexto em que o surgimento de novas tecnologias implica inevitavelmente novos riscos, é fundamental realizar um esforço contínuo de investigação.

A segurança das redes e da informação está já incluída no Programa Tecnologias da Sociedade da Informação (IST) do 5º Programa-Quadro de investigação comunitário (cujo orçamento é de cerca de 3 600 milhões de euros ao longo de quatro anos). O programa IST dispõe de cerca de 30 milhões de euros para investigação em colaboração sobre tecnologias associadas à segurança, para o período de 2001/2002.

A investigação a nível técnico no domínio da criptografia está muito avançada na Europa. O algoritmo belga denominado Rijndael foi o vencedor do concurso de norma avançada de cifragem organizado pelo Instituto de Normalização dos EUA (NIST). O projecto IST NESSIE (New European Schemes for Signature, Integrity and Encryption) lançou um concurso alargado de algoritmos de cifragem que obedece aos requisitos das novas aplicações multimedia do comércio móvel e dos cartões inteligentes.

Acções propostas:

| | A Comissão propõe a inclusão da segurança no futuro 6º Programa-Quadro, que se encontra em debate no Conselho e no Parlamento. Para optimização das despesas, estas devem ficar ligadas a uma estratégia mais vasta de melhoria da segurança das redes e da informação. A investigação apoiada por este programa deve incidir nos desafios fundamentais da segurança criados pelo mundo integralmente digital e pela necessidade de garantir os direitos das pessoas e das comunidades. Centrar-se-á nos mecanismos de segurança básicos e na sua interoperabilidade, processos de segurança dinâmicos, criptografia avançada, tecnologias de reforço da privacidade, tecnologias de tratamento dos bens digitais e tecnologias da fiabilidade como apoio a funções empresariais e organizativas em sistemas dinâmicos e móveis.

| | Os Estados-Membros devem promover activamente a utilização de produtos "acopláveis" [15] de cifragem robusta. Devem estar disponíveis soluções de segurança baseadas em "cifragem acoplável" como alternativa às soluções incorporadas nos sistemas operativos.

[15] Diz-se que um programa (software) comercial de cifragem é "acoplável" caso se possa instalar facilmente e tornar integralmente operacional "sobre" o sistema de exploração.

3.5. Apoio à normalização e certificação orientadas para o mercado

As soluções de reforço da segurança, para serem eficazes, devem ser generalizadamente aplicadas pelos intervenientes no mercado, de preferência com base em normas abertas internacionais. Uma das principais barreiras à implantação de muitas soluções de segurança, p. ex., assinaturas electrónicas, tem sido a falta de interoperabilidade entre diferentes implementações. Se dois utilizadores pretenderem comunicar com segurança através de diferentes ambientes, é necessário garantir a interoperabilidade. Deve ser incentivada a utilização de protocolos e interfaces normalizados, incluindo a aplicação de ensaios de conformidade, bem como a realização de eventos consagrados à interoperabilidade. A utilização de normas abertas, de preferência baseadas em software de fonte aberta, pode contribuir para uma reparação mais rápida de falhas e uma maior transparência.

Do mesmo modo, a avaliação da segurança da informação contribui para aumentar a confiança dos utilizadores. A utilização de critérios comuns facilitou a instauração do reconhecimento mútuo como método de avaliação em muitos países [16], que estabeleceram com os EUA e o Canadá um regime de reconhecimento mútuo dos certificados de segurança das TI.

[16] Recomendação 95/144/CE do Conselho relativa a critérios comuns de avaliação da segurança nas tecnologias da informação (aplicada na maioria dos Estados-Membros)

A certificação de processos empresarias e sistemas de gestão da segurança da informação tem como suporte a cooperação europeia para a acreditação (EA [17]). A acreditação dos organismos de certificação reforça a confiança na sua competência e imparcialidade, promovendo assim a aceitação dos seus certificados em todo o mercado interno.

[17] Cooperação europeia para a acreditação entre organismos de acreditação de 25 países (UE, EFTA e países candidatos)

Para além de acções no domínio da certificação, devem realizar-se ensaios de interoperabilidade. Exemplo desta abordagem é a iniciativa EESSI (European Electronic Signatures Standardisation Initiative), que está a criar soluções de consenso como apoio à directiva comunitária relativa a assinaturas electrónicas. Outros exemplos são a iniciativa para os cartões inteligente no contexto da eEurope e as iniciativas de implementação da infra-estrutura de chaves públicas (PKI) lançadas no âmbito do programa IDA (Intercâmbio de Dados entre Administrações).

Não faltam esforços no domínio da normalização, mas existe um grande número de normas e especificações concorrentes, o que conduz à fragmentação do mercado e a soluções não-interoperáveis. Assim, é também necessária uma melhor coordenação das actividades de normalização e certificação para acompanhar a introdução de novas soluções de segurança. A harmonização das especificações implicará uma maior interoperabilidade, permitindo simultaneamente implementações mais expeditas pelos intervenientes no mercado.

Acções propostas:

| | As organizações europeias de normalização são convidadas a acelerar os trabalhos sobre produtos e serviços interoperáveis e seguros no contexto de um calendário ambicioso e bem definido. Quando necessário, devem adoptar-se novas formas de prestações e procedimentos com vista a acelerar os trabalhos e reforçar a cooperação com os representantes dos consumidores e o empenhamento dos intervenientes no mercado.

| | A Comissão continuará a apoiar, nomeadamente através dos programas IST e IDA, a utilização de assinaturas electrónicas, a implementação de soluções PKI interoperáveis e conviviais e uma maior implantação do IPv6 e do IPSec [18] (como previsto no plano de acção eEurope 2002).

[18] O IPv6 é um protocolo Internet que aumenta o número de endereços IP possíveis, optimiza o encaminhamento do tráfego de mensagens e melhora as possibilidades de implantação do IPSec. O IPSec é outro protocolo Internet destinado a proporcionar confidencialidade, garantir que os pacotes são vistos apenas pelo computador destinatário e proporcionar autenticação e integridade, de modo a garantir que os dados incluídos no pacote são autênticos e provêm efectivamente do remetente.

| | Os Estados-Membros são convidados a promover a utilização de procedimentos de certificação e acreditação nas normas europeias e internacionais comummente aceites, favorecendo o reconhecimento mútuo de certificados. A Comissão avaliará a necessidade de uma iniciativa no plano jurídico sobre o reconhecimento mútuo de certificados antes do final de 2001.

| | Os intervenientes no mercado europeu são encorajados a participar mais activamente nas actividades de normalização europeias (CEN, Cenelec, ETSI) e internacionais (IETF (Internet Engineering Task Force ), W3C (World Wide Web Consortium)).

| | Os Estados-Membros devem efectuar uma revisão de todas as normas de segurança nesta matéria. Poderão ser organizados concursos, em conjunto com a Comissão, no domínio das soluções europeias de cifragem e segurança, com vista a estimular a criação de normas internacionalmente acordadas.

3.6. Quadro jurídico

São diversos os textos legislativos que influenciam a segurança nas redes de comunicações e nos sistemas da informação, dos quais o mais abrangente é o quadro regulamentar das telecomunicações. Dada a convergência das redes, as questões da segurança estão a provocar a aproximação dos regulamentos e das tradições regulamentares de diversos sectores. Inclui-se aqui as telecomunicações, que abrangem todas as redes de comunicações e que estão em processo de regulamentação e desregulamentação em simultâneo, o sector da informática [19], em grande medida não-regulamentado, a Internet, que tem funcionado essencialmente com base numa abordagem não-intervencionista, e o comércio electrónico, cada vez mais sujeito a regulamentação específica. Além disso, no que se refere à segurança, são relevantes as disposições relativas à responsabilidade de terceiros, cibercriminalidade, assinaturas electrónicas, protecção dos dados e regulamentação das exportações. Neste conjunto de disposições, as directivas relativas à protecção dos dados, o quadro regulamentar das telecomunicações e diversas iniciativas jurídicas no contexto da comunicação relativa à cibercriminalidade assumem especial relevância.

[19] Existem requisitos de segurança respeitantes aos componentes eléctricos de um computador, mas não à segurança dos dados tratados num computador.

A protecção da privacidade é um objectivo político essencial na União Europeia. Foi reconhecida como um direito básico nos termos do artigo 8º da Convenção Europeia dos Direitos do Homem [20]. Os artigos 7º e 8º da Carta dos Direitos Fundamentais da União Europeia [21] prevê também o direito ao respeito da vida familiar e privada, do lar, das comunicações e dos dados pessoais.

[20] http://europa.eu.int/comm/internal_market/en/media/dataprot/inter/con10881.htm

HD_NM_15

[21] JO C 364 de 18.12.2000, www.ue.eu.int/df/docs/en/CarteEN.pdf

As directivas relativas à protecção dos dados [22], nomeadamente o artigo 5º da directiva relativa à protecção dos dados nas telecomunicações [23], obrigam os Estados-Membros a garantir a confidencialidade nas redes públicas de telecomunicações, bem como nos serviços de telecomunicações publicamente disponíveis. Além disso, e para pôr em prática o disposto no artigo 5º, nos termos do artigo 4º da mesma directiva, os fornecedores de serviços e redes públicas são obrigados a tomar medidas técnicas e organizativas adequadas para salvaguardar a segurança dos seus serviços. Ainda de acordo com o mesmo artigo, estas medidas devem garantir um nível de segurança adequado ao risco existente, tendo em conta o estado da técnica e o custo da sua implementação. Consequentemente, todos os operadores de rede têm a obrigação legal de proteger as comunicações contra intercepções ilegais. A dimensão pan-europeia dos serviços e uma maior concorrência transfronteiras exigirão uma maior harmonização destas disposições.

[22] Directivas 95/46/CE (JO L 281 de 23.11.1995) e 97/66/CE (JO L 24 de 30.1.1998) http://europa.eu.int/ISPO/infosoc/telecompolicy/en/9766en.pdf

[23] "Os Estados-Membros devem garantir nas suas regulamentações internas a confidencialidade das comunicações através da rede pública de telecomunicações e dos serviços de telecomunicações acessíveis ao público. Designadamente, devem proibir a escuta, a colocação de dispositivos de escuta, o armazenamento ou outros meios de intercepção ou vigilância de comunicações por terceiros, sem o consentimento dos utilizadores, excepto quando legalmente autorizados, em conformidade com o nº 1 do artigo 14º."

A directiva genérica relativa à protecção dos dados (95/46/CE) prevê, no seu artigo 17º, que os controladores e os processadores tomem medidas para garantir um nível de segurança adequado aos riscos correspondentes ao processamento e à natureza dos dados a proteger, nomeadamente nos casos em que o processamento envolve a transmissão de dados através de uma rede. Devem aplicar medidas técnicas e organizativas adequadas contra a destruição acidental ou ilegal, a perda acidental, a alteração, a divulgação ou acesso não autorizados, nomeadamente quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento. Estas disposições têm implicações nos requisitos de segurança aplicáveis às redes e sistemas da informação utilizados por aquelas pessoas e organizações, como os fornecedores de serviços de comércio electrónico. A dimensão pan-europeia dos serviços e uma maior concorrência transfronteiras implicam a necessidade crescente de especificação dos meios utilizados para respeitar estas disposições.

O quadro comunitário dos serviços de telecomunicações contém diversas disposições relativas à segurança das operações em redes (entendida como a disponibilidade das redes em situações de emergência) e à integridade das redes (entendida como a garantia do funcionamento normal das redes interligadas) [24]. A Comissão propôs um novo quadro regulamentar para os serviços de comunicações electrónicas em Julho de 2000 (actualmente em procedimento de co-decisão, ou seja, em debate no Parlamento Europeu e no Conselho). As propostas da Comissão, no essencial, reiteram, embora com alterações, as disposições em vigor no que se refere à segurança e integridade das redes.

[24] Directiva Liberalização (90/388/CE) da Comissão, Directiva Interligação (97/33/CE), Directiva Telefonia Vocal (98/10/CE).

Assim, o quadro jurídico existente, além de abranger os temas específicos abordados em cada diploma, incidem ainda em determinados aspectos das redes e dos sistemas da informação analisados na presente comunicação.

A comunicação relativa à cibercriminalidade provocou um debate na União Europeia sobre o modo de reagir às actividades criminosas que recorrem a computadores e redes electrónicas. A discussão entre todos os interessados prosseguirá no âmbito do fórum comunitário a criar brevemente, como anunciado na comunicação da Comissão relativa à cibercriminalidade. O direito penal dos Estados-Membros deve abranger o acesso não-autorizado às redes informáticas, incluindo a violação da segurança de dados pessoais. Actualmente, não existe aproximação das legislações penais a nível da União Europeia, nesta área. Esta situação pode gerar problemas na investigação destes delitos e não constitui um desincentivo forte para quem tencione dedicar-se a actividades de hacking ou de ataques similares. A aproximação das legislações penais para combater a intrusão em redes informáticas é também importante para facilitar a cooperação judicial entre Estados-Membros.

As preocupações legítimas em relação à cibercriminalidade exigem uma investigação eficaz sobre a capacidade de fazer aplicar a lei. No entanto, estas preocupações não devem conduzir a soluções em que os requisitos legais impliquem o enfraquecimento da segurança dos sistemas de comunicações e da informação.

Acções propostas:

| | É necessário um entendimento comum das implicações jurídicas da segurança nas comunicações electrónicas. Para tal, a Comissão irá criar um inventário das medidas nacionais que foram tomadas em consonância com a legislação comunitária nesta matéria.

| | Os Estados-Membros e a Comissão devem continuar a apoiar a livre circulação de produtos e serviços de cifragem através de uma maior harmonização dos procedimentos administrativos de exportação e de uma maior flexibilização dos controlos das exportações.

| | A Comissão apresentará uma proposta de medida legislativa nos termos do Título VI do Tratado da União Europeia para aproximação das legislações penais nacionais no que se refere a ataques contra sistemas informáticos, incluindo hacking e ataques que bloqueiam o funcionamento dos serviços.

3.7. Segurança nas administrações

O plano de acção eEurope 2002 destina-se a encorajar uma interacção mais eficaz e eficiente entre os cidadãos e a administração pública. Dado que grande parte das informações trocadas entre os cidadãos e a administração é de natureza pessoal ou confidencial (médica, financeira, jurídica, etc.), a segurança é fundamental para garantir uma implantação bem sucedida. Além disso, o desenvolvimento da administração em linha faz das administrações públicas tanto potenciais modelos de demonstração de soluções seguras e eficazes como intervenientes no mercado capazes de influenciar a evolução neste domínio através das suas decisões de aquisições.

Para as administrações públicas, não se trata apenas de adquirir sistemas das tecnologias da informação e comunicações com requisitos de segurança, mas ainda de desenvolver uma cultura de segurança na organização. Este objectivo pode alcançar-se através do estabelecimento de "políticas de segurança para organizações" adaptadas às necessidades da instituição.

Acções propostas:

| | Os Estados-Membros devem prever soluções para a segurança da informação eficazes e interoperáveis enquanto requisito básico nas suas actividades respeitantes à administração em linha e a concursos públicos electrónicos.

| | Os Estados-Membros devem recorrer às assinaturas electrónicas quando oferecem serviços públicos em linha.

| | No quadro da Comissão em linha, a Comissão adoptará uma série de medidas destinadas a reforçar os requisitos de segurança nos seus sistemas de comunicações e informação.

3.8. Cooperação internacional

Tal como as comunicações que utilizam redes, também os problemas conexos de segurança atravessam fronteiras numa fracção de segundo. A segurança de uma rede é a do seu elo mais fraco, pelo que a Europa não pode isolar-se do resto da rede mundial. Consequentemente, é necessária uma cooperação internacional para fazer face aos problemas de segurança.

A Comissão Europeia contribui já para os trabalhos de fóruns internacionais, como o G8, a OCDE e a ONU. O sector privado desenvolve já actividades no domínio da segurança nas suas organizações, como o Global Business Dialogue (www.GBDe.org)ou o Global Internet Project (www.GIP.org). O estabelecimento de um diálogo permanente entre estas organizações é fundamental para a segurança à escala mundial.

Acção proposta:

| | A Comissão reforçará o dialogo com organizações e parceiros internacionais sobre segurança das redes, nomeadamente sobre a dependência crescente em relação às redes electrónicas.

4. Próximas etapas

A presente comunicação fornece as linhas estratégicas gerais para uma acção nesta área. Trata-se de um primeiro passo e não ainda de um plano definitivo de acção para a segurança das redes na Europa. No entanto, apresenta já sugestões de acções com vista à criação de um quadro para uma abordagem comum europeia. A próxima etapa será a discussão pelos Estados-Membros e o Parlamento Europeu do quadro e das acções propostas. O Conselho Europeu de Göteborg, a realizar em 15/16 de Junho, poderá fornecer orientações sobre o caminho a seguir.

A Comissão propõe-se lançar um debate aprofundado com a indústria, os utilizadores e as autoridades competentes no domínio da protecção dos dados sobre a execução prática das acções propostas. Poderão ser enviados comentários para eeurope@cec.eu.int até final de Agosto de 2001. Deste modo, a presente comunicação é um convite aos interessados para apresentarem comentários com vista à definição de um conjunto final de acções concretas. Este processo poderá traduzir-se num roteiro a elaborar até final de 2001.

***