52001AR0257

Alueiden komitean lausunto aiheesta "Komission tiedonanto neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle ja alueiden komitealle Verkko- ja tietoturva: Ehdotus eurooppalaiseksi lähestymistavaksi"

(2002/C 107/27)

ALUEIDEN KOMITEA, joka

ottaa huomioon komission tiedonannon neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle ja alueiden komitealle - Verkko- ja tietoturva: Ehdotus eurooppalaiseksi lähestymistavaksi (KOM(2001) 298 lopullinen),

ottaa huomioon komission 7. kesäkuuta 2001 Euroopan yhteisön perustamissopimuksen 265 artiklan ensimmäisen kohdan nojalla tekemän päätöksen pyytää asiasta komitean lausunto,

ottaa huomioon puheenjohtajansa 2. heinäkuuta 2001 tekemän päätöksen antaa lausunnon valmistelu valiokunta 3:n "Euroopan laajuiset verkot, liikenne, tietoyhteiskunta" tehtäväksi,

ottaa huomioon puheenjohtajansa 26. lokakuuta 2001 työjärjestyksen 40 artiklan 2 kohdan nojalla tekemän päätöksen nimetä Adela María Barrero Flórez lausunnon yleisesittelijäksi,

ottaa huomioon antamansa lausunnon aiheesta "Komission tiedonanto neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle ja alueiden komitealle - Turvallisempaan tietoyhteiskuntaan tietojärjestelmien turvallisuutta parantamalla ja tietokonerikollisuutta ehkäisemällä" (KOM(2000) 890 lopullinen - CdR 88/2001 fin),

ottaa huomioon komission tiedonannon neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle ja alueiden komitealle - Tietoturvan ja luottamuksen varmistaminen sähköisessä viestinnässä - Digitaalisia allekirjoituksia ja viestien salausta koskeva eurooppalainen malli (KOM(97) 503 lopullinen),

ottaa huomioon komission tiedonannon neuvostolle ja Euroopan parlamentille - eEurope 2002: vaikutukset ja painopisteet (KOM(2001) 140 lopullinen),

ottaa huomioon eEurope 2002 -toimintasuunnitelman (KOM(2000) 330 lopullinen),

ottaa huomioon Euroopan neuvoston sopimusluonnoksen tietoverkkorikoksista (CM(2001) 103),

ottaa huomioon neuvoston suosituksen yleisistä tietotekniikan turvallisuuden arviointiperusteista(1),

ottaa huomioon neuvoston suosituksen ympärivuorokautisista yhteyspisteistä huipputeknologiaan liittyvän rikollisuuden torjumiseksi(2),

ottaa huomioon Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta(3),

ottaa huomioon neuvoston päätöslauselman N:o 9194/01, annettu 20 päivänä kesäkuuta 2001, julkisista televiestintäverkoista ja -palveluista vastaavien toimivaltaisten viranomaisten operatiivisista tarpeista,

ottaa huomioon Tukholmassa maaliskuussa 2001 kokoontuneen Eurooppa-neuvoston puheenjohtajan päätelmät,

ottaa huomioon direktiivin 90/388/EY kilpailusta telepalvelumarkkinoilla,

ottaa huomioon direktiivin 95/46/EY yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta,

ottaa huomioon direktiivin 97/33/EY televiestinnän yhteenliittämisestä soveltaen avoimen verkon tarjoamisen (ONP) periaatteita yleispalvelun ja yhteentoimivuuden varmistamiseksi,

ottaa huomioon direktiivin 97/66/EY henkilötietojen käsittelystä ja yksityisyyden suojasta televiestinnän alalla,

ottaa huomioon direktiivin 98/10/EY avoimen verkon tarjoamisen (ONP) soveltamisesta puhelintoimintaan ja teleyleispalvelusta kilpailuympäristössä,

ottaa huomioon direktiivin 99/93/EY sähköisiä allekirjoituksia koskevista yhteisön puitteista,

ottaa huomioon direktiivin 2000/31/EY tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista ("direktiivi sähköisestä kaupankäynnistä"),

ottaa huomioon ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla(4),

ottaa huomioon yleisesittelijä, Asturiasin ruhtinaskunnan aluehallinnon Eurooppa-asiain pääjohtajan Adela María Varrero Flórezin (E, PSE) laatiman lausuntoluonnoksen (CdR 257/2001 rev.),

sekä katsoo, että tietoverkoista ja -järjestelmistä on tullut nyky-yhteiskunnan sosiaalisen ja taloudellisen kehityksen kannalta olennainen tekijä ja että niiden asianmukainen toiminta on erittäin tähdellistä muun muassa sellaisille elintärkeille perusrakenteille kuin energia- ja maantieinfrastruktuurille sekä useimmille julkisille ja yksityisille palveluille ja koko talouselämälle,

katsoo että uusien palveluiden, uusien taloudellisten vaurastumislähteiden, innovatiivisten kauppasuhteiden jne. tuleva kehittäminen edellyttää verkkojen ja tietojärjestelmien turvallisuutta,

katsoo että lisääntyvät tietoverkkosuojan loukkaukset vahingoittavat vakavasti verkkojen käyttäjien luottamusta,

katsoo että luottamuksen puute verkkoja ja tietojärjestelmiä kohtaan hidastaa tieto- ja osaamisyhteiskuntaan liittyvien uusien palveluiden yleistymistä,

katsoo että verkkojen ja järjestelmien turvallisuudesta on tullut keskeinen haaste päättäjille, joiden on huomattava niiden merkitys, ymmärrettävä niihin liittyviä näkökohtia ja niiden taustalla olevia turvallisuuskysymyksiä ja tiedostettava mahdollinen tehtävänsä parannettaessa verkkojen ja järjestelmien turvallisuutta,

katsoo että vaikka televiestintäalalla on ryhdytty useisiin lainsäädäntötoimenpiteisiin ja sekä jäsenvaltiot että EU ovat hyväksyneet henkilötietojen suojaa koskevia säädöksiä, turvallisuuden osalta ei vielä ole toteutettu erityistoimia,

katsoo että monet verkkojen ja tietojärjestelmien turvallisuuteen liittyvät kysymykset ovat vielä ratkaisematta tai ratkaisujen tulo markkinoille on hidasta markkinoiden tiettyjen puutteiden takia,

katsoo että julkishallinnon on puututtava markkinoilla esiintyviin puutteisiin,

katsoo että verkkojen ja tietojärjestelmien turvallisuudessa markkinoilla havaittuihin puutteisiin kohdennetut poliittiset erityistoimet saattaisivat vahvistaa markkinadynamiikkaa ja parantaa sääntelyjärjestelmän toimivuutta,

katsoo että toimien on oltava osa eurooppalaista lähestymistapaa, jolla varmistetaan tieto- ja osaamisyhteiskunnan kehittäminen EU:ssa, hyödynnetään yhteisiä ratkaisuja ja mahdollistetaan tehokas toiminta kaikkialla maailmassa,

katsoo että koska ongelma on monisäikeinen, on otettava huomioon sen poliittiset, taloudelliset, organisatoriset ja tekniset näkökohdat samoin kuin se tosiseikka, että ongelma on hajautettu ja maailmanlaajuinen,

katsoo että Euroopan heikoimmin kehittyneiden alueiden verkkojen ja tietojärjestelmien turvallisuuden puute saattaa kasvattaa yhtäältä kyseisten alueiden ja toisaalta kehittyneempien ja turvallisten alueiden välille nykyisin muodostunutta digitaalista juopaa,

katsoo että alue- ja paikallisviranomaisilla saattaa ja tulee olla olennainen tehtävä käynnistettäessä verkkojen ja tietojärjestelmien turvallisuutta koskevaa eurooppalaista toimintaperiaatetta, koska konkreettiset toimet voidaan toteuttaa tehokkaasti ja asianmukaisesti lähellä kansalaisia, järjestöjä ja yrityksiä,

hyväksyi 14. ja 15. marraskuuta 2001 pitämässään 41. täysistunnossa (marraskuun 15. päivän kokouksessa) yksimielisesti seuraavan lausunnon.

Johdanto

Alueiden komitea

1. on komission kanssa yhtä mieltä siitä, että verkkojen ja tietojärjestelmien turvallisuus aiheuttaa yhä enemmän huolta ja että siitä on tullut kriittisen tärkeä tekijä sekä tieto- ja osaamisyhteiskunnan kehityksen että nykyisen maailmanlaajuisen talousjärjestelmän kannalta.

2. katsoo komission tavoin, että Euroopan unionin on asetettava verkkojen ja tietojärjestelmien turvallisuus poliittiseksi painopisteeksi. Markkinat eivät ole pystyneet antamaan asiaan yksiselitteistä vastausta, joten markkinoilla on yhteisen avoimen standardin sijaan useita tekniikoita ja turvastandardeja.

3. on komission kanssa yhtä mieltä tiedonannossa asetetusta tavoitteesta määritellä, millä aloilla tarvitaan unionin tai jäsenvaltioiden viranomaisten toimintaa tai millä aloilla sitä on vahvistettava, jotta voitaisiin päättää verkkojen ja tietojärjestelmien turvallisuutta koskevasta yhteisön toimintaperiaatteesta.

4. on huolestunut vapauden ja kansalaisoikeuksien kunnioittamisesta sellaisina kuin ne on tunnustettu ihmisoikeuksien yleismaailmallisessa julistuksessa, kansalaisoikeuksia ja poliittisia oikeuksia koskevassa kansainvälisessä yleissopimuksessa sekä eurooppalaisessa yleissopimuksessa ihmisoikeuksista ryhdyttäessä toimenpiteisiin verkkojen ja tietojärjestelmien turvallisuuden lisäämiseksi. Alueiden komitea kehottaa asettamaan selkeät rajat sellaisille toimivaltuuksille, joihin liittyy kansalaisvapauksia kyseenalaistavia tilanteita. Alueiden komitea suhtautuu myönteisesti siihen, että tasapainotetaan yhtäältä vapauksien ja kansalaisoikeuksien kunnioittaminen ja toisaalta verkkojen ja tietojärjestelmien turvallisuus.

5. asettaa kyseenalaiseksi sen, että yhteisön tasolla sovitun toimintaperiaatteen avulla saavutetaan asetetut turvallisuustavoitteet ilman, että asiasta sovitaan kansainvälisten järjestöjen ja maailman muiden vallanpitäjien kanssa, koska ongelma on rajatylittävä.

6. kehottaa komissiota kiirehtimään hyväksyttävien konkreettisten toimenpiteiden täytäntöönpanoa ja osoittamaan siihen taloudellisia resursseja, koska verkkojen ja tietojärjestelmien turvallisuus on tärkeää.

Verkko- ja tietoturvaongelmien tarkastelu

Alueiden komitea

7. katsoo, että verkko- ja tietoturvakäsite jää epäselväksi tiedonannossa, jossa se määritellään "verkon tai tietojärjestelmän tietyn tasoiseksi kyvyksi kestää onnettomuuksia tai ilkivaltaa, jotka vaarantavat tallennettujen tai siirrettyjen tietojen ja muiden verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen käytettävyyden, aitouden, eheyden ja luottamuksellisuuden", koska määritelmässä viitataan "tietyntasoiseen kykyyn". AK katsoo, ettei ilkivalta tai tunkeutuminen verkkoon tai tietojärjestelmään ole hyväksyttävissä missään tapauksessa eikä minkään tasoisena.

8. pitää erittäin huolestuttavana sitä, etteivät useimmat Euroopassa toimivat televiestintäoperaattorit eivätkä verkkoyhteyspalveluiden tarjoajat aseta turvallisuusinvestointeja edes suhteellisesti etusijaan. Tilannetta hankaloittavat entisestään pienet alueelliset operaattorit, jotka pyrkivät ensisijaisesti sellaiseen markkina-asemaan, jonka turvin he saavat toiminnastaan taloudellista voittoa, mikä puolestaan saa heidät jättämään huolehtimatta turvallisuudesta. Tämäkin tekijä on otettava huomioon.

9. katsoo, että luottamus salaustuotteisiin saadaan aikaan ennen kaikkea luomalla avoimia kansainvälisiä standardeja, ja pitää hyödyttöminä eräiden jäsenvaltioiden tekemiä koordinoimattomia aloitteita tukea avoimen lähdekoodin sisältävien ohjelmistojen käyttöä salaukseen, koska yksityissektori haluaa alituiseen ponnekkaasti neuvotella asiasta.

10. on komission kanssa yhtä mieltä siitä, ettei laitteisto- ja ohjelmistotoimittajien välinen kilpailu ole lisännyt turvallisuusinvestointeja, minkä vuoksi komitea esittää, että tutkittaisiin toimenpiteitä, joilla investointeja voidaan vauhdittaa.

11. katsoo, että televiestintäoperaattoreiden ja verkkoyhteyspalveluiden tarjoajien on noudatettava yhteisön tasolla asetettavia vähimmäisturvavaatimuksia.

Eurooppalainen lähestymistapa

Alueiden komitea

12. Alueiden komitea katsoo, että tieto- ja osaamisyhteiskunnan tasapuolinen kehittäminen Euroopan unionissa edistää yhteenkuuluvuutta ja alueiden Euroopan jäsentymistä. Siksi verkkojen ja tietojärjestelmien turvallisuus on ehdottomasti taattava.

13. katsoo komission tiedonannon tavoin, että verkkojen ja tietojärjestelmien turvallisuuden parantamiseen tehdyt investoinnit tuottavat yhteiskunnallista etua. Komitea korostaa korkeita sosiaalisia kustannuksia, joita yhteiskunnalle ja sen hyvinvoinnille aiheutuu, mikäli palveluiden tuottajat, operaattorit ja palveluiden tarjoajat eivät tee kyseisiä investointeja.

14. kehottaa komissiota tutkimaan, onko syytä asettaa turvakriteerejä ja -standardeja, joita on ehdottomasti noudatettava kaikissa televiestintäverkkoihin liitetyissä, perusluonteisiksi katsotuissa tietojärjestelmissä (yleishyödyllisissä palveluissa) sekä itse verkoissa.

15. kannattaa turvallisuuden maksimointia vaarantamatta tieto- ja osaamisyhteiskunnan perustana olevia helppoja ja laadukkaita verkkoyhteyksiä. Komitean mielestä on kuitenkin välttämätöntä säilyttää vähimmäisturvataso, vaikka verkkoyhteyden laatu kärsisi.

16. katsoo komission tiedonannon tapaan, että

- on ymmärrettävä taustalla olevia turvallisuuskysymyksiä ja tarvittavia erityistoimenpiteitä

- poliittisilla toimenpiteillä voidaan lujittaa markkinaprosessia ja parantaa samalla sääntelyjärjestelmän toimivuutta

- tarvitaan eurooppalaista lähestymistapaa takaamaan viestintä- ja tietopalveluiden yhtenäismarkkinat, yhteisten ratkaisujen hyödyntäminen ja kyky toimia tehokkaasti kaikkialla maailmassa.

17. kannattaa sitä, että tiedonannossa ehdotettuja tietoisuuden lisäämiseksi toteutettavia toimia täydennetään tukemalla turvatoimenpiteisiin tehtäviä investointeja, jotta taloudelliset kustannukset eivät viivästyttäisi kyseisten, tarpeellisiksi myönnettyjen toimenpiteiden käyttöönottoa.

18. Lisäksi AK korostaa sitä, että alue- ja paikallisviranomaisille on tarjottava operatiivisista ja käytännön syistä tärkeä tehtävä alalle suunniteltavassa tiedostamiskampanjassa.

19. AK on komission kanssa yhtä mieltä siitä, että Euroopan unionin on pikimmiten vahvistettava tietotekniikan kriisiryhmäjärjestelmää (CERT) ja osoittaa nykyisten kriisipisteiden käyttöön riittävästi henkilökuntaa sekä teknisiä ja taloudellisia resursseja.

20. AK suosittaa, että Euroopan CERT-ryhmät pitäisivät nykyistä enemmän, välittömämmin ja joustavammin yhteyttä potentiaalisiin loppukäyttäjiin.

21. AK kannattaa tiedonannossa ehdotettuja toimia, jotka liittyvät eurooppalaiseen varoitus- ja tiedotusjärjestelmään. Komitea ehdottaa samalla, että ennakoivana toimenpiteenä luotaisiin Euroopan verkko- ja tietoturvakeskus (CCI), jonka tehtävänä olisi muun muassa analysoida ja testata kaikki julkisissa tietoverkoissa käytettävät ohjelmistot (käyttöjärjestelmät, selaimet, sähköpostiohjelmat jne) sellaisten ohjelmistojen turvallisuuden "porsaanreikien" havaitsemiseksi, joita ei vielä markkinoida Euroopan unionissa. Alueiden komitea katsoo, että yhteisen tutkimuskeskuksen yhteyteen perustettava Kansalaisten suoja- ja turvainstituutti (IPSC) ei vastaa luonteeltaan eikä tehtäviltään ehdotettua verkko- ja tietoturvakeskusta.

22. Alueiden komitea pelkää, että mikäli markkinoiden pääasialliset ohjelmistovalmistajat eivät tue verkko- ja tietoturvatutkimusta, jota rahoitetaan EU:n tutkimusta ja kehittämistä koskevasta puiteohjelmasta, se ei käytännössä tuota toivottuja tuloksia. AK ehdottaa, että maailman tärkeimmät ohjelmistovalmistajat pyrittäisiin sitomaan nykyistä paremmin verkko- ja tietoturvaa koskevaan tutkimukseen ja toteuttamaan turva käytännössä välittömästi.

23. AK ilmaisee huolensa siitä, etteivät valmistajien teknologiset ratkaisut ole nykyisin keskenään yhteensopivia eivätkä valmistajat ole halukkaita laatimaan yhteisiä avoimia standardeja.

24. AK suosittaa, ettei tiettyjä salausratkaisuja tai -tuotteita käytettäisi, koska kaikki ratkaisut on pyrittävä sovittamaan kaikkien valmistajien hyväksymään yhteiseen avoimeen standardiin.

25. AK pitää erittäin tärkeänä sitä, että eurooppalaiset sertifiointipalveluiden tarjoajat sopivat keskenään todistustensa vastavuoroisesta tunnustamisesta. Ilman tällaista sopimusta sähköisistä todistuksista ei ole suurtakaan hyötyä, joten niitä käytetään toivottua vähemmän. On huolestuttavaa, että alueviranomaiset ryhtyvät tarjoamaan sertifiointipalveluita ilman yhteentoimivaa tekniikkaa, mikä epäilemättä vaikeuttaa tavoitteena olevan yhteenkuuluvan, jäsennellyn alueiden Euroopan muotoutumista.

26. AK suhtautuu erittäin myönteisesti eurooppalaiseen sähköisten allekirjoitusten standardointialoitteeseen (EESSI:in), eEurope-ohjelman älykorttiin ja julkisen avaimen salaustekniikkaan (PKI).

27. AK on komission kanssa yhtä mieltä siitä, että eritelmien yhdenmukaistaminen lisää yhteentoimivuutta ja antaa markkinatoimijoille mahdollisuuden nopeaan toteutukseen.

28. AK yhtyy kaikkiin ehdotettuihin standardointi- ja sertifiointimarkkinoiden tukitoimiin ja katsoo, että on tehtävä lainsäädäntöaloite todistusten vastavuoroisesta tunnustamisesta.

29. AK pitää aiheellisena varmistaa ajoittain, missä määrin televiestintäpalveluiden operaattorit toteuttavat teknisiä ja organisatorisia toimenpiteitä, joihin niiden on ryhdyttävä palveluidensa turvallisuuden varmistamiseksi henkilötietojen käsittelystä ja yksityisyyden suojasta televiestinnän alalla annetun direktiivin 4 artiklan nojalla.

30. Komitea kiinnittää komission huomion vakaviin seurauksiin, joita terroristiryhmien tietoverkkorikollisuus saattaa aiheuttaa, sillä niiden ainoana tavoitteena on vahingoittaa yleistä etua mahdollisimman paljon poliittisen kiristyksen avulla.

31. AK yhtyy kaikkiin sääntelyjärjestelmän puitteissa ehdotettuihin toimiin ja katsoo, että tietoverkkorikollisuutta koskevaa jäsenvaltioiden lainsäädäntöä on lähennettävä toisiinsa ja yhdenmukaistettava, jottei Euroopassa olisi valtioita, joista käsin voi toimia rankaisematta tai vähäisin rangaistuksin.

32. AK ehdottaa, että sellaisiin jäsenvaltioihin, joissa ei vielä ole tietoverkkorikollisuuteen erikoistuneita poliisiyksiköitä, perustettaisiin kyseisiä yksiköitä ja edistettäisiin kaikkien yksiköiden välistä koordinaatiota. Komitea katsoo niin ikään, että yksiköille on osoitettava riittävästi henkilökuntaa ja teknisiä resursseja.

33. AK kehottaa nimeämään kaikkiin jäsenvaltioihin tietoverkkorikollisuuteen erikoistuneita syyttäjiä, jotka ovat saaneet laajan erikoiskoulutuksen toimiakseen riittävän tehokkaasti yleisinä syyttäjinä. Erityissyyttäjien välinen tiedonvaihto ja heidän toimintansa koordinointi on ensiarvoisen tärkeää, samoin kuin alalla toimivien tuomareiden ja kouluttaminen, jotta verkkojen ja verkkokäyttäjien turvallisuusriskiksi mahdollisesti muodostuviin toimiin puututaan tehokkaasti.

34. AK yhtyy täysin komission tiedonantoon, jossa todetaan, että sähköisen hallinnon kehittäminen tekee julkishallinnosta sekä mahdollisen esimerkin näyttäjän tehokkaiden turvaratkaisujen osoittamisessa että markkinatoimijan, joka kykenee vaikuttamaan kehitykseen hankintapäätöstensä välityksellä. Monet alue- ja paikallisviranomaiset ovat panostaneet sähköiseen hallintoon parantaakseen suhteitaan kansalaisiin, tarjoamiensa palveluiden laatua ja ylipäätään kansalaisten hyvinvointiin ja demokraattiseen osallistumiseen tähtääviä toimia. Julkishallinnon tehtävänä on toimia omalla vastuualueellaan tieto- ja osaamisyhteiskunnan kehittämisen liikkeelle panevana voimana. Jos hallinnon käyttämät verkot ja tietojärjestelmät eivät ole turvallisia, kansalaiset eivät luota niihin, mikä vahingoittaa suuresti uuden yhteiskunnan kehittämistä.

35. AK ehdottaa, että julkishallintoon liittyvät toimet suunnattaisiin kaikille kolmelle hallinnon tasolle (paikallis-, alue- ja keskushallintoon) ja että niissä pyrittäisiin ehdottomasti yhteentoimivin ratkaisuihin.

36. AK kannattaa vakaasti kansainvälisten järjestöjen ja kumppaneiden kanssa käytävän vuoropuhelun lujittamista keskusteltaessa verkkojen turvallisuudesta ja etenkin sähköisten verkkojen toimintavarmuuden lisäämisestä. Komitea kehottaa komissiota tutkimaan mahdollisuutta järjestää verkkojen ja tietojärjestelmien turvallisuudesta maailmanlaajuinen huippukokous, johon osallistuisivat tuotteiden valmistajat ja operaattorit, sekä luomaan eurooppalaisen foorumin, jolla torjutaan tietoverkkorikoksia. Komitea kehottaa niin ikään jäsenvaltioita ratifioimaan Euroopan neuvoston kansainvälisen yleissopimuksen tietoverkkorikollisuudesta, jotta se saadaan voimaan mahdollisimman pian ja jotta siihen sisältyvät oikeusvälineet voidaan käynnistää.

Bryssel 15. marraskuuta 2001.

Alueiden komitean

puheenjohtaja

Jos Chabert

(1) EYVL L 93, 26.4.1995.

(2) EYVL C 187, 3.7.2001.

(3) EYVL L 8, 12.1.2001.

(4) EYVL C 365, 19.12.2000.