28.4.2007   

DA

Den Europæiske Unions Tidende

C 97/21

1.1

EØSU er overbevist om, at problemet med informationssikkerheden giver anledning til stigende bekymring for virksomheder, myndigheder, offentlige og private organisationer samt borgerne.

1.2

EØSU støtter generelt de analyser og argumenter, som taler for en ny strategi til bedre beskyttelse af net- og informationssikkerheden mod grænseoverskridende angreb og indtrængen.

1.3

EØSU mener, at Kommissionen set i lyset af problemets omfang og konsekvenserne for økonomien og borgernes privatliv bør gøre en yderligere indsats for at gennemføre en innovativ og flerstrenget strategi.

1.3.1

EØSU påpeger endvidere, at Kommissionen for nylig har vedtaget en ny meddelelse om informationssikkerhed, og at et nyt dokument om samme emne forventes at foreligge inden længe. EØSU forbeholder sig ret til senere at udarbejde en mere detaljeret udtalelse, hvori der tages højde for samtlige meddelelser.

1.4

EØSU understreger, at informationssikkerhedsaspektet på ingen måde kan adskilles fra en bedre beskyttelse af personlige oplysninger samt de friheder og rettigheder, som den europæiske menneskerettighedskonvention sikrer.

1.5

EØSU stiller spørgsmålstegn ved forslagets aktuelle merværdi set i forhold til den integrerede strategi, der blev udstukket i 2001, og som tjener samme formål som den strategi, der nævnes i denne meddelelse (1).

1.5.1

Konsekvensanalysen (2), der er vedlagt forslaget, indeholder flere interessante opdateringer i forhold til teksten af 2001. Den er imidlertid kun blevet offentliggjort på ét sprog og er derfor ikke tilgængelig for mange EU-borgere, der tager stilling på baggrund af det officielle dokument, der er blevet offentliggjort på de forskellige EU-sprog.

1.6

EØSU henleder opmærksomheden på de konklusioner, der blev vedtaget på verdenstopmødet om informationssamfundet i Tunis i 2005, og som FN's generalforsamling tilsluttede sig den 27. marts 2006:

1.7

EØSU understreger, at en dynamisk og integreret EU-strategi ud over dialog, partnerskab og myndiggørelse også bør tage højde for:

1.8

Endelig mener EØSU, at der med henblik på etablering af en dynamisk og integreret EU-strategi bør afsættes tilstrækkelige budgetmidler og træffes foranstaltninger til styrkelse af koordineringen på fællesskabsniveau, så EU kan tale med én stemme på verdensplan.

2.1

Sikkerhedsudfordringerne i informationssamfundet er betydelige, når det drejer sig om at skabe sikre og pålidelige kommunikationsnet og -tjenester, der er af afgørende betydning for den økonomiske og samfundsmæssige udvikling.

2.2

Det er nødvendigt at beskytte informationsnet og -systemer for at sikre deres konkurrenceevne og afsætningsmuligheder, sikre integriteten og kontinuiteten i den elektroniske kommunikation, forebygge svindel og sikre retlig beskyttelse af privatlivet.

2.3

Elektronisk kommunikation og de dermed forbundne tjenester udgør det største område inden for telekommunikationssektoren. I 2004 brugte ca. 90 % af de europæiske virksomheder aktivt internettet, hvoraf 65 % havde oprettet deres eget websted, mens ca. halvdelen af EU's befolkning regelmæssigt bruger internettet, og 25 % af husholdningerne har permanent bredbåndsadgang (5).

2.4

Selv om der er kommet skub i investeringerne, er det stadig kun mellem 5 og 13 % af de samlede investeringer i informationsteknologi, som sigter mod at øge sikkerheden. Det er alt for lidt. Ifølge nylige undersøgelser er 23 ud af et gennemsnit på 30 protokoller med fælles nøglestrukturer sårbare over for flerprotokolangreb (6). Det skønnes endvidere, at der i gennemsnit hver dag sendes 25 mio. spam-e-mails (7). EØSU bifalder derfor Kommissionens seneste forslag på området.

2.5

Hvad angår computervirus (8), har »orme« (9) og »spionsoftware« (10) bredt sig hurtigt og i stor skala, samtidig med at der udvikles stadig flere elektroniske kommunikationssystemer og -net. Disse er samtidig blevet stadig mere komplekse og sårbare, ikke mindst på grund af sammensmeltningen af multimedier, mobiltelefoni og GRID-infoware (11): opfangning, Ddos-angreb (Distributed denials of service), it-id-tyveri, phishing (12), piratkopiering (13) osv. giver anledning til sikkerhedsmæssige problemer i informationssamfundet. EU tog allerede fat på problemet i en meddelelse fra 2001 (14), som EØSU har udarbejdet en udtalelse (15) om. Udvalget foreslog i den forbindelse en strategi på tre indsatsområder:

2.6

En udfordring består i at finde hensigtsmæssige metoder til registrering, identifikation og forebyggelse af it-angreb på et netværkssystem på grund af de konstante konfigurationsændringer, den brede vifte af netprotokoller og tjenester, som tilbydes og udvikles, og de meget komplekse asynkrone angreb (16).

2.7

Den omstændighed, at afkastet af investeringer i sikkerheden ikke er særlig synligt, og at borgerne ikke er særlig bevidste om deres ansvar, har ført til, at risiciene undervurderes, og at der kun i begrænset grad sættes fokus på udvikling af en sikkerhedskultur.

3.1

Med meddelelsen om en strategi for et sikkert informationssamfund (17) har Kommissionen til hensigt at forbedre informationssikkerheden ved at iværksætte en dynamisk og integreret strategi, der er baseret på:

3.2

Med henblik på udformning af en passende ramme for dataindsamling om sikkerhedshændelser, forbrugertillid og udviklinger inden for sikkerhedsindustrien lægger meddelelsen endvidere op til et tillidsbaseret partnerskab mellem ENISA og:

Dette skal føre til oprettelse af en europæisk flersproget informations- og varslingsportal med henblik på et strategisk partnerskab mellem den private sektor, medlemsstaterne og forskerne.

3.2.1

Meddelelsen lægger endvidere op til en øget myndiggørelse af de berørte parter om sikkerhedsbehovene og -risiciene.

3.2.2

Hvad angår det internationale samarbejde med tredjelande, betyder den globale dimension af net- og informationssikkerhed, at »Kommissionen både på internationalt plan og i koordinering med medlemsstaterne må øge indsatsen for at fremme et verdensomspændende samarbejde om net- og informationssikkerhed« (18), men dette afspejles ikke i dialog-, partnerskabs- og myndiggørelsestiltagene.

4.1

EØSU støtter de analyser og argumenter, der taler for en integreret og dynamisk EU-strategi til forbedring af net- og informationssikkerheden; det finder, at sikkerhedsspørgsmålet spiller en vigtig rolle for udviklingen af holdninger og tillid til brugen af it. EØSU har allerede givet udtryk for sine synspunkter i adskillige udtalelser (19).

4.1.1

EØSU gentager (20), at internettet og de nye onlinekommunikationsteknologier (f.eks. mobiltelefoner eller lommecomputere, der kan tilsluttes multimediefunktioner, og som er ved at vinde frem) er vigtige instrumenter til udvikling af vidensøkonomi, e-økonomi og e-forvaltning.

4.2.1

EØSU mener, at Kommissionens forslag om at basere denne dynamiske og integrerede strategi på en åben og inklusiv dialog med de berørte parter, navnlig brugerne, samt styrket partnerskab og myndiggørelse, bør være mere omfattende.

4.2.2

Dette synspunkt er allerede blevet understreget i tidligere udtalelser: »For at denne indsats kan blive effektiv, bør den desuden involvere samtlige internetbrugere direkte. Disse bør uddannes og informeres om nødvendige forholdsregler og om, hvordan man beskytter sig mod sådant skadeligt eller uønsket indhold eller, hvordan man undgår at blive anvendt som mellemled til udsendelse af sådant indhold. Efter EØSU's opfattelse bør der i informations- og uddannelsesdelen i handlingsplanen gives høj prioritet til mobilisering af brugerne« (21).

4.2.3

EØSU mener imidlertid, at brugerne og borgerne bør inddrages på en måde, der gør det muligt både at sikre den nødvendige beskyttelse af oplysninger og net og tage hensyn til de borgerlige frihedsrettigheder og brugernes ret til sikker og billig adgang.

4.2.4

Det skal også bemærkes, at stræben efter informationssikkerhed udgør en omkostning for forbrugeren, ikke mindst fordi denne skal bruge tid på at fjerne eller undgå diverse forhindringer. Efter EØSU's opfattelse bør der stilles krav om automatisk installation af anti-virus-beskyttelsessystemer i alle computere. Brugeren kan selv bestemme, hvorvidt disse systemer skal aktiveres, men de vil under alle omstændigheder allerede være installeret fra producentens side.

4.3.1

Derudover finder EØSU, at EU bør sætte sig mere ambitiøse mål og iværksætte en innovativ, integreret og dynamisk strategi med nye initiativer som f.eks.:

4.3.2

EØSU finder det hensigtsmæssigt at oprette et kontaktpunkt for ikt-sikkerhed (»ICT-Security Focal Point«) på tværs af generaldirektoraterne (23). Et sådant kontaktpunkt giver mulighed for at tage initiativer:

4.4.1

EØSU lægger stor vægt på oprettelsen af et europæisk netværk for net- og informationssikkerhed (»European Network and Information Security Network«), der kan fremme undersøgelser, forskning og workshops om sikkerhedsmekanismer og deres interoperabilitet samt om avanceret kryptografi og beskyttelse af privatlivet.

4.4.2

EØSU mener, at det vil være hensigtsmæssigt at optimere den europæiske forsknings rolle i denne følsomme sektor gennem en syntese af indholdet på:

4.4.3

Derudover foreslås det at iværksætte en »europæisk dag for sikkert internet«, der skal ledsages af nationale undervisningskampagner i skolerne og forbrugeroplysningskampagner om procedurer til beskyttelse af it-oplysninger. Dertil kommer, at der naturligvis også skal informeres om de teknologiske fremskridt, som gøres inden for den omfattende og omskiftelige it-sektor.

4.4.4

EØSU har ved flere lejligheder understreget, at »tilbøjeligheden til at anvende ikt i en virksomhed afhænger af, om man finder det sikkert og har tillid til elektroniske transaktioner. Forbrugernes villighed til at oplyse deres kreditkortnummer på en hjemmeside afhænger i høj grad af, om de har tillid til denne transaktion (26)«.

4.4.5

EØSU er overbevist om, at det af hensyn til sektorens store vækstpotentiale er nødvendigt dels at aktivere specifikke politikker, dels at tilpasse de nuværende politikker til den nye udvikling. Det er nødvendigt med en integreret strategi, der samler EU-initiativer inden for informationssikkerhed, og som nedbryder grænserne mellem de forskellige sektorer og sikrer en ensartet og sikker udbredelse af ikt i samfundet.

4.4.6

EØSU finder, at det går alt for langsomt med visse vigtige strategier, inklusive denne strategi, på grund af bureaukratiske og kulturelle hindringer, som medlemsstaterne har lagt i vejen for de nødvendige beslutninger, der skal træffes på EU-niveau.

4.4.7

EØSU er ligeledes overbevist om, at EU-midlerne ikke er tilstrækkelige til at gennemføre de mange og presserende projekter, der kun kan føre til konkrete løsninger på de nye problemer, der er opstået som følge af globaliseringen, hvis de gennemføres på EU-niveau.

4.5.1

EØSU er klar over, at medlemsstaterne har indført teknologiske sikkerhedsforanstaltninger og sikkerhedsprocedurer, som er tilpasset deres egne behov, og at de har fokuseret på forskellige aspekter. Det er en af grundene til, at det er vanskeligt at finde en entydig og effektiv løsning på sikkerhedsproblemer. Bortset fra visse administrative net finder der ikke systematisk grænseoverskridende samarbejde sted mellem medlemsstaterne, selvom det er ubestrideligt, at sikkerhedsspørgsmål ikke kan løses af medlemsstaterne hver for sig.

4.5.2

EØSU understreger i øvrigt, at Rådet med rammeafgørelse 2005/222/RIA har etableret en ramme for samarbejde mellem de retlige og andre kompetente myndigheder i medlemsstaterne for at sikre, at de indtager samme holdning, gennem en tilnærmelse af medlemsstaternes strafferetlige regler om angreb på informationssystemer, hvad angår:

4.5.3

Rammeafgørelsen indeholder endvidere kriterier for fastlæggelse af juridiske personers ansvar og eventuelle sanktioner, de kan pålægges, såfremt deres ansvar er blevet fastslået (27).

4.5.4

I forbindelse med dialogen mellem medlemsstaternes offentlige myndigheder støtter EØSU Kommissionens forslag om, at disse myndigheder iværksætter en benchmarkingundersøgelse af deres egne nationale politikker for net- og informationssikkerhed, herunder de politikker, som specifikt vedrører den offentlige sektor. Dette forslag fremsættes i øvrigt allerede i en af EØSU's udtalelser i 2001.

4.6.1

Hvad angår inddragelse af informationssikkerhedsindustrien, må den for at beskytte sine kunders ret til privatliv og beskyttelse af fortrolige personoplysninger give garanti for, at den virkelig anvender systemer til overvågning af egne installationer og kryptering af kommunikation, som er på linje med den teknologiske udvikling (28).

4.6.2

Hvad angår bevidstgørelseskampagner, mener EØSU, at der bør skabes en egentlig »sikkerhedskultur«, der skal være udformet på en sådan måde, at den er fuldt ud forenelig med informations-, kommunikations- og ytringsfriheden. Udvalget gør desuden opmærksom på, at mange brugere ikke er opmærksomme på software-piratvirksomhed, mens mange operatører, sælgere og serviceudbydere har svært ved at evaluere forekomsten og omfanget af svage punkter.

4.6.3

Beskyttelse af privatlivets fred og personoplysninger er ganske vist de primære mål, men forbrugerne bør også beskyttes effektivt mod misbrug af deres personprofil via spionsoftware som spyware og web bugs eller med andre metoder. Spamming  (29) (massiv fremsendelse af uønsket mail), som ofte er en følge af et sådant misbrug, bør der også sættes en effektiv stopper for. Denne form for indtrængen er ikke uden følger for ofrene (30).

4.7.1

EØSU ser gerne, at det europæiske agentur for net- og informationssikkerhed (ENISA) kommer til at spille en større og mere aktiv rolle, både hvad angår oplysningstiltag og, hvad der er endnu vigtigere, initiativer med henblik på at bibringe tjenesteudbydere og brugere information og uddannelse, som allerede anbefalet i en af udvalgets seneste udtalelser (31) om tilvejebringelse af offentlige elektroniske kommunikationstjenester.

4.7.2

Endelig forekommer de foreslåede tiltag med henblik på at myndiggøre og få alle berørte parter til at påtage sig et ansvar at tage sigte på en streng overholdelse af subsidiaritetsprincippet. Det er netop medlemsstaterne og den private sektor, som — afhængigt af deres specifikke ansvarsområder — skal føre dem ud i livet,

4.7.3

ENISA bør kunne bruge bidrag fra det europæiske netværk for net- og informationssikkerhed til at tilrettelægge fælles aktiviteter samt bidrag fra den flersprogede EU-portal for varsling om trusler mod it-sikkerheden til at levere skræddersyede og interaktive oplysninger i et sprog, der henvender sig direkte til brugere i alle aldre og små og mellemstore virksomheder.

—

EØSU's udtalelse om »Forslag til Europa-Parlamentets og Rådets direktiv om lagring af data behandlet i forbindelse med tilvejebringelse af offentlige elektroniske kommunikationstjenester og om ændring af direktiv 2002/58/EF« — EUT C 69 af 21.3.2006, s. 16.

—

EØSU's udtalelse om »Meddelelse fra Kommissionen til Rådet, Europa-Parlamentet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget om i2010 — Et europæisk informationssamfund som middel til vækst og beskæftigelse« — EUT C 110 af 9.5.2006, s. 83.

—

EØSU's udtalelse om »Forslag til Europa-Parlamentets og Rådets beslutning om et flerårigt EF-program til fremme af en sikrere brug af internettet og nye onlineteknologier« — EUT C 157 af 28.6.2005, s. 136.

—

EØSU's udtalelse om »Meddelelse fra Kommissionen til Rådet, Europa-Parlamentet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget om Net- og Informationssikkerhed: Forslag til en europæisk strategi« — EFT C 48 af 21.2.2002, s. 33.