12.12.2017   

FI

Euroopan unionin virallinen lehti

L 328/123

(1)

Standardoinnilla on suuri merkitys tuettaessa Eurooppa 2020 -strategiaa. (2) Useassa Eurooppa 2020 -strategiaan sisältyvässä lippulaivahankkeessa korostetaan tuote- tai palvelumarkkinoilla tehtävän vapaaehtoisen standardoinnin merkitystä tuotteiden ja palvelujen yhteensopivuuden ja yhteentoimivuuden varmistamisessa, teknologian kehityksen edistämisessä ja innovoinnin tukemisessa.

(2)

Standardit vaikuttavat olennaisesti Euroopan kilpailukykyyn, ja ne ovat elintärkeitä innovoinnin ja edistyksen kannalta. Komission tiedonannoissa, jotka koskevat sisämarkkinoita (3) ja digitaalisia sisämarkkinoita (4), vahvistetaan yhteisten standardien merkitys, jotta varmistetaan verkkojen ja järjestelmien tarvittava yhteentoimivuus Euroopan digitaalitaloudessa. Tätä vahvistettiin hyväksymällä tieto- ja viestintätekniikan standardointiprioriteetteja digitaalisilla sisämarkkinoilla koskeva tiedonanto (5), jossa komissio yksilöi ensisijaisia tieto- ja viestintätekniikan aloja, joissa standardointia pidetään erityisen tärkeänä digitaalisten sisämarkkinoiden loppuunsaattamisen kannalta.

(3)

Komission tiedonannossa ”Strateginen visio eurooppalaisille standardeille: lisätään ja nopeutetaan Euroopan talouden kestävää kasvua vuoteen 2020 mennessä” (6) tunnustettiin standardoinnin erityisluonne tieto- ja viestintätekniikan alalla, sillä tämän alan ratkaisujen, sovellusten ja palvelujen kehittäjinä ovat usein tieto- ja viestintätekniikan globaalit foorumit ja konsortiot, jotka ovat nyt johtavia tieto- ja viestintätekniikan standardien kehittämisorganisaatioita.

(4)

Eurooppalaisesta standardoinnista annetulla asetuksella (EU) N:o 1025/2012 perustetaan järjestelmä, jonka mukaisesti komissio voi päättää yksilöidä sellaiset merkityksellisimmät ja laajimmin hyväksytyt tieto- ja viestintätekniikan tekniset eritelmät, jotka eivät ole eurooppalaisten, kansainvälisten tai kansallisten standardointiorganisaatioiden julkaisemia ja joita voitaisiin pitää viitteinä, pääosin yhteentoimivuuden varmistamiseksi julkisissa hankinnoissa. Kun laitteita, ohjelmistoja ja tietotekniikkapalveluja hankittaessa käytettävissä on mahdollisimman laaja tieto- ja viestintätekniikan teknisten eritelmien valikoima, voidaan varmistaa laitteiden, palvelujen ja sovellusten yhteentoimivuus, auttaa välttämään julkisen hallinnon sitoutumista yhteen toimittajaan, mitä tapahtuu, jos julkinen hankintaviranomainen ei käytettyään tieto- ja viestintätekniikan alalla valmistajakohtaista ratkaisua voi vaihtaa tarjoajaa hankintasopimuksen päätyttyä, ja edistää kilpailua yhteentoimivien tieto- ja viestintätekniikkaratkaisujen tarjonnassa.

(5)

Sellaisten tieto- ja viestintätekniikan teknisten eritelmien, joihin voidaan viitata julkisissa hankinnoissa, on täytettävä asetuksen (EU) N:o 1025/2012 liitteessä II vahvistetut vaatimukset. Näiden vaatimusten täyttyminen antaa viranomaisille varmuuden siitä, että kyseiset tieto- ja viestintätekniikan tekniset eritelmät on laadittu noudattaen avoimuuden, läpinäkyvyyden, tasapuolisuuden ja yksimielisyyden periaatteita, jotka Maailman kauppajärjestö tunnustaa standardoinnin alalla.

(6)

Päätös tieto- ja viestintätekniikan eritelmän yksilöimisestä hyväksytään sen jälkeen, kun on kuultu komission päätöksellä 2011/C 349/04 (7) perustettua tieto- ja viestintätekniikan standardointia käsittelevää eurooppalaista sidosryhmäfoorumia ja kun alakohtaisia asiantuntijoita on tämän lisäksi kuultu muulla tavoin.

(7)

Tieto- ja viestintätekniikan standardointia käsittelevä eurooppalainen sidosryhmäfoorumi arvioi seuraavat tekniset eritelmät ja antoi niistä yksilöimistä puoltavan lausunnon: SPF-Sender Policy Framework for Authorizing Use of Domains in Email (SPF), STARTTLS-SMTP Service Extension for Secure SMTP over Transport Layer Security (STARTTLS-SMTP) ja DANE- SMTP Security via Opportunistic DNS-Based Authentication of Named Entities Transport Layer Security (DANE- SMTP), jotka on laatinut Internet Engineering Task Force (IETF); Structured Threat Information Expression (STIX 1.2) ja Trusted Automated Exchange of Indicator Information (TAXII 1.1), jotka on kehittänyt Organization for the Advancement of Structured Information Standards (OASIS). Foorumin arviointi ja lausunto toimitettiin myöhemmin alakohtaisille asiantuntijoille, jotka vahvistivat yksilöimistä puoltavan lausunnon.

(8)

IETF:n kehittämä tekninen eritelmä SPF on avoin standardi, jossa määritellään tekninen menetelmä lähettäjän osoitteen väärentämisen havaitsemiseksi. SPF tarjoaa mahdollisuuden tarkistaa, onko viesti lähetetty palvelimelta, jolla on siihen lupa. Se on yksinkertainen sähköpostin validointijärjestelmä, jolla pyritään havaitsemaan sähköpostihuijaukset tarjoamalla mekanismi, jonka avulla vastaanottava sähköpostin välittäjäpalvelin voi tarkistaa, että tietyltä verkkoalueelta tuleva posti on peräisin isäntäpalvelimelta, jolla on kyseisen verkkoalueen hallinnoijien lupa. SPF:n tarkoituksena on estää roskapostittajia lähettämästä viestejä, joissa on väärennetyt lähettäjän osoitteet tietyllä verkkoalueella. Vastaanottajat voivat selvittää SPF:n kirjaamista tiedoista, onko viesti, jonka väitetään tulevan tietyltä verkkoalueelta, peräisin hyväksytyltä postipalvelimelta.

(9)

IETF:n kehittämä STARTTLS-SMTP on keino käyttää olemassa olevaa suojaamatonta yhteyttä ja parantaa se suojatuksi yhteydeksi. STARTTLS on SMTP-protokollan (Simple Mail Transfer Protocol) laajennus, jonka avulla SMTP-palvelin ja -asiakas voivat käyttää Transport Layer Securityä (TLS), jotta voidaan tarjota yksityistä, varmennettua viestintää internetin kautta. Varmentamattomat sähköpostiviestit ovat erityisen merkittävä tekijä julkishallinnon verkkoihin tehtävissä hyökkäyksissä. Kun käyttäjä lähettää sähköpostiviestin, käyttäjän sähköpostipalvelin lähettää kyseisen viestin vastaanottajan sähköpostipalvelimelle. Näiden sähköpostipalvelinten välinen yhteys voidaan varmistaa etukäteen TLS:llä. STARTTLS tarjoaa yhden tavan parantaa salaamaton (plain-text) yhteys salatuksi TLS-yhteydeksi.

(10)

IETF:n kehittämä DANE-SMTP on joukko protokollia, joilla parannetaan internetin turvallisuutta mahdollistamalla avainten asettaminen nimipalveluun (Domain Name System eli DNS) suojattuna DNSSEC:llä (DNS Security). Kun luodaan suojattu yhteys tuntemattomaan osapuoleen, on toivottavaa tarkistaa lähettävän osapuolen ja määräpaikan aitous verkossa. Tämä voidaan tehdä PKI-järjestelmässä varmennusviranomaisten myöntämillä varmenteilla tai itseallekirjoitetuilla varmenteilla. DANE antaa verkkotunnuksen haltijalle (rekisteröijä) mahdollisuuden toimittaa lisätietoja verkkovarmenteiden lisäksi käyttämällä DNSSEC-suojattua DNS-tietuetta. DANE on näin ollen erityisen merkittävä aktiivisten hyökkäysten torjumiseksi.

(11)

OASISin kehittämä STIX 1.2 on kieli, jolla kuvataan kyberuhkia koskevia tietoja standardoidulla ja jäsennellyllä tavalla. Se kattaa kyberuhkatietojen keskeiset aiheet ja helpottaa iskujen analysointia ja niitä koskevan tiedon vaihtoa. Se kuvaa laaja-alaisesti kyberuhkiin liittyviä tietoja, myös vastapuolen toimintaa koskevia indikaattoreita, kuten IP-osoitteita ja tiedostojen tiivisteitä sekä kontekstuaalista tietoa uhkista, kuten vastapuolen taktiikka, tekniikka ja menettelyt (Tactics, Techniques and Procedures eli TTPs), hyötymistavoitteet, sekä kampanjat ja toimintavaihtoehdot. Yhdessä nämä tiedot antavat täyden kuvauksen kybervastustajan motiiveista, valmiuksista ja toiminnasta ja auttavat siten puolustautumaan hyökkäyksiltä.

(12)

OASISin kehittämä tekninen eritelmä TAXII v1.1 standardoi kyberhyökkäystietojen luotetun ja automaattisen vaihdon. TAXII määrittelee toimiin johtavien kyberuhkatietojen jakoa koskevat palvelut ja viestien vaihdon organisaation, tuotteen tai palvelun rajojen yli, jotta kyberuhkat voidaan havaita ja niitä voidaan ehkäistä ja lieventää. TAXII antaa organisaatioille mahdollisuuden parantaa tilannetietoutta kehittymässä olevista uhkista ja jakaa tietoa helposti kumppanien kanssa samalla hyödyntäen olemassa olevia suhteita ja järjestelmiä,