28.4.2007   

BG

Официален вестник на Европейския съюз

C 97/21

1.1

Комитетът е убеден, че проблемът по отношение на информационната сигурност предизвиква нарастващо безпокойство за предприятията, администрациите, публичните и частни организации и частните лица.

1.2

Като цяло, Комитетът одобрява анализите и аргументите, които налагат въвеждането на нова стратегия с цел повишаване на сигурността на мрежите и на информацията срещу атаките и нахлуванията, за които няма географски граници.

1.3

Комитетът счита, че Комисията би трябвало да продължи да полага усилия, за да създаде иновативна и координирана стратегия предвид обхвата на явлението и на неговите последици в икономическата област и в личния живот.

1.3.1

ЕИСК подчертава също така, че неотдавна Комисията прие ново Съобщение относно сигурността на информацията и че скоро ще бъде представен друг нов документ по тази тема. Комитетът си запазва правото да приеме в бъдеще по-цялостно становище, което да разгледа всички тези Съобщения.

1.4

Комитетът подчертава факта, че сигурността на информацията не може по никакъв начин да бъде отделяна от засилването на защитата на личните данни и на запазването на свободите, които са гарантирани от Европейската конвенция за правата на човека.

1.5

Комитетът си задава въпроса каква е, в настоящата ситуация, добавената стойност на предложението в сравнение с интегрирания подход, приет през 2001 г., чиято цел съвпада с посочената в това Съобщение.

1.5.1

Оценката на въздействието (Impact Assessment), приложена към предложението съдържа някои важни подобрения в сравнение с текста от 2001 г., но тъй като беше публикуван само на един език, той не е достъпен за голям брой европейски граждани, които си изграждат мнението въз основа на официалния документ, публикуван на всички официални езици на Общността.

1.6

Комитетът обръща внимание на заключенията от Световната среща на върха в Тунис през 2005 г. по въпросите на информационното общество, които бяха ратифицирани от Асамблеята на ООН на 27 март 2006 г.:

1.7

Комитетът подчертава, че една динамична и интегрирана стратегия на Общността би трябвало да предвиди освен диалога и партньорство и оправомощаване в областта на:

1.8

Накрая, Комитетът счита, че за да се гарантира динамична и интегрирана стратегия на Общността, необходимо е да се предвиди подходящ бюджет и подходящи инициативи и действия, целящи да засилят сътрудничеството на ниво Общност, за да може Европа да се изразява пред света с единен глас.

2.1

Сигурността на информационното общество представлява основно предизвикателство за доверието в комуникационните мрежи и услуги и тяхната надеждност, които представляват основен фактор за развитието на икономиката и на обществото.

2.2

Ако искаме да запазим конкурентните и търговски способности, да гарантираме целостта и продължителността на електронните комуникации, да предотвратим измамите и да осигурим юридическата защита на личния живот, е необходимо да гарантираме опазването на информационните мрежи и системи.

2.3

Електронните съобщения и услугите, свързани с тях представляват най-голямата част от цялостния сектор на телекомуникациите: през 2004 г. близо 90 % от европейските предприятия са използвали активно Интернет, а 65 % от тях са създали своя собствена Интернет страница, докато според резултатите от проучванията, близо половината от европейското население използва редовно Интернет, а 25 % използват постоянно широколентов достъп (3).

2.4

В контекста на все по-ускореното развитие на инвестициите, обемът на разходите, посветени на сигурността представлява едва 5 до 13 % от общите инвестиции в информационни технологии. Тези проценти определено са много ниски. Скорошни проучвания показаха, че „средно от 30 протокола, които имат едни и същи ключови структури, 23 са уязвими на мултипротоколни атаки“ (4). Освен това, на 25 милиона средно се оценяват вирусите (spam) (5), които се предават ежедневно. Комитетът приветства скорошното предложения на Комисията в тази област.

2.5

По отношение на компютърните вируси (6), бързото и широко разпространение на „компютърни червеи “(worms) (7) и на компютърни програми шпиони („spyware“) (8) върви заедно с нарастващото развитие на електронните комуникационни системи и мрежи, които стават все по-сложни, а в същото време и все по-уязвими, именно поради взаимосвързаността на мултимедиите, мобилната телефония и на системите GRID infoware (9): рекетиране, DDoS („Distributed Denial of Service “разпространено отказване от предоставяне на услуга), узурпирането на „онлайн “идентичността, примамването („phishing“) (10), пиратството (11) и т. н., представляват за сигурността на информационното общество предизвикателство, на което Европейската Комисия се опита да даде отговор в свое Съобщение от 2001 г. (12), върху което Комитетът успя да се произнесе (13), като предложи три насоки за намеса:

2.6

Извадка от информационните атаки, тяхната идентификация и тяхното предотвратяване в рамките на система в мрежа представляват предизвикателство по смисъла на търсенето на подходящи решения, като се вземат предвид продължителните промени в конфигурацията, разнообразието на протоколите в мрежата и на предложените и развити услуги и на свръхсложността на асинхронните начини на атака (14).

2.7

Въпреки това, недостатъчната гласност по отношение на възвръщаемостта на инвестиции в областта на сигурността и липсата на създаване на чувство за отговорност на гражданите потребители, за съжаление доведоха до подценяване на рисковете и до намаляване на усилията за развиване на култура на сигурността.

3.1

Със Съобщението си за стратегия за сигурно информационно общество (15), Комисията иска да подобри компютърната сигурност, като създаде динамична и интегрирана стратегия, която се основава върху:

3.2

Съобщението предвижда, освен това, чрез подходяща рамка за събиране на данни за нарушаване на сигурността, нивото на доверие на потребителите и развитието на индустрията за сигурност, създаването от ENISA на сътрудничество на основата на доверието:

чрез създаването на многоезичен информационен и предупредителен европейски портал, за стратегическо сътрудничество между частния сектор, държавите-членки и изследователите.

3.2.1

Освен това, комуникацията предвижда създаване на засилено чувство на отговорност на заинтересованите страни по отношение на нуждите и рисковете, свързани със сигурността.

3.2.2

По отношение на международното сътрудничество и сътрудничеството с трети страни „световното измерение на сигурността на мрежите и на информацията изправя Комисията пред предизвикателството на международно ниво и в сътрудничество с държавите-членки да засили усилията си за насърчаване на сътрудничеството в глобален мащаб по отношение на сигурността на информационните мрежи“ (16). Тази препоръка обаче не е възприета в диалога, партньорствата и действията по оправомощаване.

4.1

Комитетът отбелязва своето съгласие с анализите и съображенията, които обосновават интегрираната и динамична европейска стратегия за сигурност на мрежите и на информацията. Той счита, че въпросът за сигурността е основен, ако желаем да насърчим по-благосклонно отношение към въвеждането на информационните технологии (ИТ) и повишаване на доверието в тях. Позициите на ЕИСК са изложени в множество становища (17).

4.1.1

Комитетът потвърждава още веднъж (18), че „Интернет мрежата и новите технологии за комуникация „онлайн“ (например мобилните телефони или мултимедийните джобни органайзери, които са много разпространени), представляват основните инструменти за развитие на икономиката на познанието, на електронната икономика и на електронната администрация“.

4.2.1

Въпреки това, Комитетът счита, че може още да бъде разширен предложеният от Комисията подход, който се състои в това да базира тази интегрирана и динамична стратегия на отворен и интерактивен диалог, както и сътрудничество и засилено оправомощаване на всички заинтересовани страни, в частност на ползвателите.

4.2.2

Тази позиция е била изтъквана в предходните становища: „за да бъде ефективна, тази битка трябва да засяга директно всички ползватели на Интернет, които трябва да бъдат обучавани и информирани за предпазните мерки, които трябва да бъдат взети и за средствата, които трябва да се използват, за да се предпазят от получаването на такива опасни и нежелани съобщения и да не бъдат използвани като посредници за разпространяването им. Частта от програмата, свързана с информирането и обучението, трябва, според Комитета, да дава голямо предимство на участието на ползвателите“ (19).

4.2.3

Според Комитета, участието на ползвателите и на гражданите трябва, все пак да става така, че да се съчетава необходимата защита на информацията и на мрежите с индивидуалните свободи и правото на ползвателите на сигурен достъп на умерени цени.

4.2.4

Трябва да се има предвид, че търсенето на компютърна сигурност представлява сериозен разход за потребителите, изразяващ се във време, отделено за отстраняване или избягване на пречките. Комитетът счита, че би следвало да се наложи задължително инсталиране на системи за антивирусна защита на всички компютри, системи, които потребителят може да активира или не, но да бъдат включени в продукта при неговото производство.

4.3.1

Независимо от тези мерки, според Комитета Съюзът следва да си постави по-амбициозни цели и да лансира иновационна стратегия, интегрирана и динамична, базирана върху нови инициативи, като:

4.3.2

Комитетът счита, че би било подходящо да се създаде точка за контакт „Сигурност на информационните и комуникационни технологии “inter-DG (21) Тази точка за контакт ще позволи действия:

4.4.1

Комитетът отдава също така голямо значение на създаването на европейска мрежа за сигурност на мрежите и на информацията, което позволява да се финансират анкети, проучвания и работни семинари относно механизмите за сигурност и тяхната оперативна съвместимост, модерната криптография и защитата на неприкосновеността на личния живот.

4.4.2

Комитетът счита, че за един толкова чувствителен сектор би следвало да бъде оптимизирана ролята на европейската изследователска дейност, като се пристъпи към подходящо обобщение на съдържанието на следните програми:

4.4.3

Към тези предложения следва да бъдат добавени въвеждането на „Европейски ден на компютърната сигурност“, подкрепен от национални кампании за обучение в училищата и информационни кампании, които са насочени към потребителите и се отнасят за процедурите по защита на информацията, разпространявана чрез компютър и, разбира се, информацията, свързана с технологическия напредък, постигнат в широката и бързоразвиваща се област на компютрите.

4.4.4

На няколко пъти Комитетът подчерта, че „бързината, с която предприятията са склонни да въведат ИКТ, зависи от дадените гаранции за сигурност и от доверието в транзакциите „онлайн“. Степента на доверие на потребителите определя до голяма степен тяхната склонност да посочат номера на кредитната си карта на някоя Интернет страница“ (24).

4.4.5

Комитетът е убеден, че предвид огромния потенциал за разрастване на сектора, е необходимо, от една страна, да бъдат проведени специфични политики, а от друга, да бъдат адаптирани настоящите политики към новото развитие. Необходимо е, в рамките на интегрирана стратегия, да бъдат обвързани европейските инициативи в областта на компютърната сигурност, като се премахнат междусекторните граници и като се гарантира сигурно и равномерно разпространение на ИКТ в обществото.

4.4.6

Според Комитета, някои важни стратегии, като и разглежданата в настоящото становище, се провеждат прекалено бавно поради пречки от бюрократично и културно естество, противопоставяни от държавите-членки на необходимите решения, които трябва да се вземат на ниво Общност.

4.4.7

Комитетът, счита също така, че средствата на Общността не са достатъчни, за да се осъществят многобройните приоритетни проекти, които могат да дадат конкретни отговори на новите проблеми на глобализацията, при условие, че бъдат завършени успешно на ниво Общност.

4.5.1

Комитетът съзнава факта, че държавите-членки са въвели технологични мерки за сигурност и процедури по управление на сигурността, пригодени към собствените им нужди, и че те няма да полагат усилия в тази насока. Това е и една от причините, поради която е трудно да се даде еднозначен и правилен отговор на проблемите на сигурността. С изключение на някои административни мрежи, не съществува системно трансгранично сътрудничество между държавите-членки, докато въпросите по сигурността не могат да бъдат разглеждани самостоятелно от различните страни.

4.5.2

От друга страна, Комитетът отбелязва, че Съветът, с Рамково решение 2005/222/ПВР, постави в началото рамка за сътрудничество между съдебните власти и останалите компетентни органи, за да се гарантира, чрез сближаване на националните процедури в наказателното законодателство, които осъждат атаките срещу информационните системи, последователен подход на държавите-членки по отношение на:

4.5.3

Рамковото решение уточнява също така критерии, които позволяват да се установи отговорността на юридическите лица и да се определят евентуалните санкции, които трябва да бъдат налагани, когато вината им се докаже.

4.5.4

По отношение на диалога с публичните власти на държавите-членки, Комитетът подкрепя предложението на Комисията за извършването от страна на тези власти на сравнителна оценка на националните политики в областта на сигурността на информационните мрежи и системи, в това число и тези, които по-специално се отнасят до публичния сектор. Това предложение вече се съдържа в становище на ЕИСК от 2001 г. (25)

4.6.1

Що се отнася до приобщаването на индустрията на информационната сигурност, тя наистина трябва да гарантира, с цел да се защити правото на неприкосновеност на личния живот и на анонимност на своите клиенти, използването на системи за материален надзор на нейните инсталации и кодирането на съобщенията, в зависимост от степента на съвършенство на техниките (26).

4.6.2

По отношение на разяснителната дейност, Комитетът счита, че от първостепенна важност е създаването на истинска „култура на сигурността“, която да е напълно съвместима със свободата за получаване на информация, за общуване и изразяване на мнение. Освен това, много потребители не осъзнават всички рискове, свързани с компютърното пиратство, докато голям брой оператори, продавачи или доставчици на услуги не успяват да установят дали системата има слабости и каква е тяхната степен.

4.6.3

Ако защитата на неприкосновеността на личния живот и на личните данни са приоритетни цели, потребителите също така имат право да бъдат защитени по наистина ефективен начин срещу поименното създаване на профил с цел измама от „компютърни програми шпиони “(spyware et web bugs) и чрез други средства. Практикуването на spamming (27) (масивно изпращане на нежелани съобщения) което често е следствие от такива измами, също би трябвало да бъде спряно. Тези интервенции струват скъпо на потърпевшите (28).

4.7.1

Комитетът одобрява предложението за засилване и активизиране на ролята на Европейската агенция за сигурността на мрежите и на информацията (ENISA) по отношение на разяснителната дейност, но също така и най-вече на дейността по информиране и обучение на операторите и ползвателите, както впрочем вече отбеляза това в едно свое неотдавнашно становище (29), свързано с предоставянето на електронни комуникационни услуги, достъпни за обществеността.

4.7.2

И накрая, тъй като става въпрос за действията предвидени за създаването на чувство за отговорност у всяка група заинтересовани страни, те като че ли спазват стриктно принципа на субсидиарност. В действителност, на държавите-членки и частния сектор се пада задачата да ги осъществяват, в зависимост от техните специфични отговорности.

4.7.3

ENISA би трябвало да може да се възползва от приноса на европейската мрежа за сигурност на мрежите и на информацията при организиране на съвместни дейности, както и от многоезичната интернет страница за известяване и предоставяне на персонализирани и интерактивни информации и текстове на ясен език, насочени към потребителите от всички възрасти и към малките и средни предприятия.

—

становище на ЕИСК относно „Предложение за директива на Европейския парламент и на Съвета относно опазването на данните, обработвани в рамките на предоставянето на електронни комуникационни услуги, които са достъпни за обществото,и изменяща Директива 2002/58/ЕО“; — ОВ C 69 от 21.3.2006 г., стр. 16;

—

становище на ЕИСК относно „Съобщение на Комисията до Съвета, Европейския парламент, Европейския икономически и социален комитет и Комитета на регионите“ — „i2010 Европейско информационно общество за растеж и заетост“ — ОВ C 110 от 9.5.2006 г., стр. 83;

—

Становище на ЕИСК относно „Предложение за директива на Европейския парламент и Съвета относно въвеждането на многогодишна програма на Общността за насърчаване на безопасното използване на Интернет и новите онлайн технологии“ — ОВ C 157 от 28.6.2005 г., стр. 136;

—

становище на ЕИСК относно „Съобщение на Комисията до Съвета, Европейския парламент, Европейския икономически и социален комитет и Комитета на регионите“ — Сигурност на мрежите и информацията: предложение за европейски политически подход — ОВ C 48 от 21.2.2002 г., стр. 33.