28.4.2007   

FI

Euroopan unionin virallinen lehti

C 97/21

1.1

Komitea on vakuuttunut siitä, että tietoturva on yrityksille, viranomaisille, julkisille ja yksityisille elimille sekä yksittäisille kansalaisille yhä vakavampi ongelma.

1.2

Komitea on yleisesti ottaen tyytyväinen analyyseihin ja perusteluihin, jotka tukevat uutta strategiaa verkko- ja tietojärjestelmien turvallisuuden parantamiseksi maantieteellisistä rajoista piittaamattomia hyökkäyksiä ja tunkeutumisia vastaan.

1.3

Kun ajatellaan ilmiön laajuutta sekä sen vaikutuksia talous- ja yksityiselämään, komission tulisi komitean mielestä ryhtyä lisätoimiin innovatiivisen ja eriytetyn strategian toteuttamiseksi.

1.3.1

ETSK korostaa, että komissio on äskettäin antanut tietoturvaa koskevan uuden tiedonannon ja että samasta aiheesta on lähiaikoina määrä julkaista uusi asiakirja. Komitea varaa itselleen oikeuden antaa aiheesta tulevaisuudessa nykyistä syvällisempi lausunto, jossa otetaan huomioon kaikki aiheesta annetut tiedonannot.

1.4

Komitea korostaa, että tietoturva on välttämättä nivottava henkilötietojen suojan vahvistamiseen ja vapauksien suojeluun, sillä ne ovat Euroopan ihmisoikeussopimuksessa taattuja oikeuksia.

1.5

ETSK pohtii tarkasteltavan ehdotuksen lisäarvoa nykytilanteessa verrattuna vuonna 2001 hyväksyttyyn integroituun lähestymistapaan, jonka tavoite on sama kuin nyt käsiteltävän tiedonannon (1).

1.5.1

Ehdotuksen liitteenä oleva vaikutustenarviointi (2) sisältää eräitä mielenkiintoisia ajantasaistuksia vuoden 2001 lähestymistapaan nähden, mutta se on julkaistu vain yhdellä kielellä. Näin ollen monet Euroopan kansalaiset eivät voi sitä lukea, joten he muodostavat mielipiteensä yhteisön virallisilla kielillä julkaistun varsinaisen asiakirjan perusteella.

1.6

Komitea muistuttaa tietoyhteiskuntaa käsitelleessä huippukokouksessa Tunisissa vuonna 2005 annetuista päätelmistä, jotka hyväksyttiin YK:n yleiskokouksessa 27. maaliskuuta 2006:

1.7

Komitea korostaa, että dynaamisella ja integroidulla yhteisön strategialla voidaan vuoropuhelun, kumppanuuden ja vastuullistamisen ohella varmistaa

1.8

ETSK katsoo, että dynaamisen ja integroidun yhteisön strategian varmistamiseksi tarvitaan asiamukaisia määrärahoja sekä yhteisön tasolla vahvistettuja koordinoituja aloitteita ja toimia, jotta EU voi esiintyä yhdellä äänellä maailmanlaajuisessa toimintaympäristössä.

2.1

Tietoyhteiskunnan turvallisuus on perusluonteinen seikka varmistettaessa luottamus viestintäverkkoihin ja -palveluihin sekä niiden luotettavuus, sillä ne ovat taloudellisen ja yhteiskunnallisen kehityksen avaintekijöitä.

2.2

Tietoverkot ja -järjestelmät on suojattava, jotta säilytetään niiden kilpailukyky ja kaupalliset valmiudet, varmistetaan sähköisen viestinnän yhtenäisyys ja jatkuvuus, torjutaan petokset ja taataan yksityisyyden oikeudellinen suoja.

2.3

Sähköinen viestintä ja siihen liittyvät palvelut ovat koko televiestintäalan suurin osa-ala. Vuonna 2004 eurooppalaisista yrityksistä noin 90 prosenttia käytti aktiivisesti Internetiä ja 65 prosenttia oli luonut oman Internet-sivuston. Arvioiden mukaan Euroopan väestöstä 50 prosenttia käyttää Internetiä säännöllisesti, ja kotitalouksista laajakaistayhteyttä käyttää jatkuvasti 25 prosenttia (5).

2.4

Vaikka investoinnit ovat kasvaneet nopeasti, tietotekniikkaan tehdyistä kokonaisinvestoinnista vain 5-13 prosenttia on kohdennettu turvallisuuteen. Tämä on aivan liian vähän. Äskettäisten tutkimusten mukaan ”30 protokollasta, joilla on samat avainrakenteet, keskimäärin 23 on alttiita multiprotokollahyökkäyksille” (6). Lisäksi sähköisen roskapostin (spam) (7) määräksi arvioidaan päivittäin keskimäärin 25 miljoonaa viestiä. Komitea on näin ollen tyytyväinen komission äskettäin esittämään asiaa koskevaan ehdotukseen.

2.5

Tietokoneviruksista (8) madot (worms) (9) ja vakoiluohjelmat (spyware) (10) ovat levinneet nopeasti samaan aikaan kun sähköiset viestintäverkot ja -järjestelmät ovat kehittyneet ja monimutkaistuneet ja muuttuneet samalla yhä alttiimmiksi hyökkäyksille. Tähän on vaikuttanut myös multimedian, matkaviestinten ja GRID Infoware -järjestelmien (11) samankaltaistuminen. Turvallisen tietoyhteiskunnan muita haasteita ovat muun muassa kiristykset DDoS-hyökkäyksin (Distributed Denials of Service), sähköisen identiteetin varastaminen, verkkourkinta (phishing) (12) ja laiton kopiointi (piracy) (13). Euroopan komissio on jo tarkastellut ongelmaa vuonna 2001 antamassaan tiedonannossa (14), josta komitea on ilmaissut kantansa (15), ja ehdottaa nyt kolmitahoista strategiaa, joka koostuu seuraavista osista:

2.6

Asianmukaisten ratkaisujen löytäminen kartoitettaessa tietojärjestelmiin kohdistuvia hyökkäyksiä sekä hyökkäysten tunnistaminen ja ehkäiseminen verkkojärjestelmässä on haasteellista, sillä konfigurointi muuttuu jatkuvasti, verkkoprotokollat ja tarjotut ja kehitetyt palvelut ovat hyvin erilaisia ja asynkroniset hyökkäykset erittäin monimutkaisia (16).

2.7

Turvallisuuteen tehtyjen investointien heikon näkyvyyden ja käyttäjien riittämättömän vastuuntunnon vuoksi riskejä kuitenkin valitettavasti aliarvioidaan ja turvallisuuden kehittämiseen kiinnitetään vain vähän huomiota.

3.1

Komissio pyrkii turvallisen tietoyhteiskunnan strategiaa koskevalla tiedonannollaan (17) parantamaan tietoturvaa dynaamisella ja integroidulla strategialla, joka perustuu

3.2

Jotta voidaan luoda asianmukainen järjestelmä tietoturvahäiriöiden kartoittamiseksi sekä kuluttajien luottamuksen määrää ja tietoturva-alan kehittymistä koskevien tietojen keräämiseksi, tiedonannossa kehotetaan verkko- ja tietoturvavirastoa kehittämään luottamuksellinen kumppanuussuhde

Tämän vuoksi tulisi perustaa tietoturvariskeistä tiedottamista ja varoittamista varten monikielinen EU:n portaali, jota hyödynnettäisiin yksityissektorin, jäsenvaltioiden ja tutkijoiden strategisessa kumppanuudessa.

3.2.1

Lisäksi tiedonannossa kehotetaan lisäämään asianomaisten toimijoiden vastuuntuntoa tietoturvatarpeista ja -riskeistä.

3.2.2

Unionin ulkopuolisten maiden kanssa tehtävästä ja kansainvälisestä yhteistyöstä tiedonannossa todetaan seuraavaa: ”Verkko- ja tietoturvallisuuden maailmanlaajuinen ulottuvuus vaatii komissiota lisäämään sekä kansainvälisesti että yhdessä jäsenvaltioiden kanssa ponnisteluja edistää verkko- ja tietoturvaa koskevaa maailmanlaajuista yhteistyötä” (18). Toteamusta ei kuitenkaan toisteta vuoropuhelua, kumppanuutta ja vastuullistamista koskevien toimien yhteydessä.

4.1

Komitea on samaa mieltä analyyseistä ja toteamuksista, joilla verkko- ja tietoturvaa koskevaa integroitua ja dynaamista eurooppalaista strategiaa perustellaan. Komitean mielestä turvallisuuskysymys on keskeinen seikka edistettäessä myönteistä suhtautumista tietotekniikan käyttöön ja parannettaessa sitä kohtaan tunnettua luottamusta. ETSK:n kannanottoja on jo esitetty useissa lausunnoissa (19).

4.1.1

Komitea toistaa jälleen kerran (20): ”Internet ja uusi verkkoteknologia (esimerkiksi matkapuhelimet tai multimediaominaisuuksin varusteltavat kämmenmikrot, joiden käyttö on nopeasti leviämässä) ovat (—) keskeisiä välineitä osaamistalouden, sähköisen talouden ja sähköisen hallinnon kehittämisessä.”

4.2.1

Komitea katsoo kuitenkin, että on paikallaan laajentaa komission ehdottamaa lähestymistapaa, jonka mukaan integroitu ja dynaaminen strategia perustuu avoimeen ja osallistavaan vuoropuheluun, vahvistettuun kumppanuuteen ja vastuullistamisen parantamiseen kaikkien asianomaisten toimijoiden ja etenkin kuluttajien keskuudessa.

4.2.2

Komitea on jo korostanut kantaansa aiemmissa lausunnoissaan ja todennut, että ”— kaikkien Internetin käyttäjien on voitava osallistua suoraan tällaisten sisältöjen vastaiseen toimintaan, jotta se olisi tehokasta. Internetin käyttäjille on tarjottava tietoa ja koulutusta toimenpiteistä ja välineistä, joilla he voivat suojautua vaarallisia ja epätoivottuja sisältöjä vastaan ja estää omien verkkosivujensa käyttöä tällaisten sisältöjen edelleen levittämisessä. Toimintasuunnitelman tiedotus- ja koulutusosuudessa on komitean mielestä annettava ensisijainen asema käyttäjien mobilisoinnille —” (21).

4.2.3

Komitean mielestä käyttäjät ja kansalaiset on kuitenkin nivottava mukaan siten, että tarvittavan verkko- ja tietoturvan yhteydessä otetaan huomioon kansalaisvapaudet ja käyttäjien oikeus hyödyntää Internetiä turvallisesti ja kohtuuhintaan.

4.2.4

On muistettava, että pyrkimys tietoturvaan aiheuttaa kuluttajalle kustannuksia myös esteiden poistamiseen tai kiertämiseen kulutetun ajan muodossa. Komitean mielestä valmistajat tulisi velvoittaa asentamaan jokaiseen tietokoneen automaattinen virustentorjuntajärjestelmä, jonka käyttäjä voisi halutessaan aktivoida.

4.3.1

Unionin tulisi komitean mielestä myös asettaa nykyistä kunnianhimoisemmat tavoitteet, esittää innovatiivinen, integroitu ja dynaaminen strategia ja käynnistää sen yhteydessä uusia aloitteita. Esimerkkeinä mainittakoon

4.3.2

ETSK:n mielestä tulisi perustaa pääosastojen välinen tieto- ja viestintätekniikan turvallisuuskeskus (ICT Security Focal Point) (23). Keskuksen ansiosta voitaisiin toimia

4.4.1

ETSK pitää erittäin tärkeänä myös eurooppalaisen verkko- ja tietoturvallisuuden verkon (European Network and Information Security Network) perustamista, sillä sen avulla voidaan edistää kyselyjä, tutkimuksia ja seminaareja, joissa tarkastellaan turvatoimia ja niiden yhteentoimivuutta, kehittynyttä salaustekniikkaa ja yksityisyyden suojelua.

4.4.2

ETSK katsoo, että kyseisellä arkaluonteisella alalla tulisi optimoida eurooppalaisen tutkimuksen rooli yhdistämällä asianmukaisesti seuraavien ohjelmien sisältö:

4.4.3

Lisäksi voitaisiin perustaa ”Euroopan tietokoneturvallisuuden päivä”, jota tuettaisiin oppilaitoksissa järjestettävillä kansallisilla koulutuskampanjoilla sekä kuluttajille suunnatuilla, tietoturvallisuuden menetelmiä koskevilla tiedotuskampanjoilla. Lisäksi tulisi luonnollisesti tiedottaa laajan ja monipuolisen tietokonealan teknisestä kehityksestä.

4.4.4

Komitea on useaan otteeseen painottanut: ”Käsitys digitaalisten transaktioiden turvallisuudesta ja luotettavuudesta määrittelee, miten nopeasti yritykset todennäköisesti ottavat tieto- ja viestintätekniikan käyttöön liiketoiminnassaan. Kuluttajien halukkuuteen antaa luottokorttinsa numero Internet-sivulla vaikuttaa merkittävästi se, miten turvallisena toimintoa pidetään.” (26)

4.4.5

Komitea on vakuuttunut siitä, että alan valtavien kasvumahdollisuuksien vuoksi on yhtäältä käynnistettävä erityispolitiikkoja ja toisaalta mukautettava nykyisiä politiikkoja uuteen kehitykseen. Tarvitaan tietoturvallisuutta koskevat eurooppalaiset aloitteet yhdistävä integroitu strategia, ja on poistettava alojen väliset esteet ja varmistettava tieto- ja viestintätekniikan yhtenäinen ja turvallinen leviäminen yhteiskuntaan.

4.4.6

Komitean mielestä eräät merkittävät strategiat, kuten tässä käsiteltävä strategia, etenevät jäsenvaltioiden byrokraattisten ja kulttuuristen esteiden vuoksi hyvin hitaasti, jotta niiden pohjalta voitaisiin tehdä yhteisön tason välttämättömiä päätöksiä.

4.4.7

Komitea katsoo, että yhteisön resurssit eivät riitä sellaisiin lukuisiin ja kiireellisiin hankkeisiin, joiden avulla voidaan vastata konkreettisesti maailmanlaajuistumisen aiheuttamiin uusiin ongelmiin vain, jos ne toteutetaan yhteisön tasolla.

4.5.1

Komitea on tietoinen siitä, että jäsenvaltiot ovat kehittäneet tekniset turvatoimensa ja turvahallintamenetelmänsä omien tarpeidensa pohjalta ja että ne keskittyvät tässä yhteydessä eri näkökohtiin. Tästäkin syystä on turvallisuusongelmiin vaikea löytää yksiselitteistä ja tehokasta vastausta. Eräitä hallinnollisia verkkoja lukuun ottamatta jäsenvaltiot eivät tee järjestelmällistä rajatylittävää yhteistyötä, vaikka yksittäiset jäsenvaltiot eivät voi selviytyä turvallisuuskysymyksistä yksinään.

4.5.2

Komitea muistuttaa, että neuvosto on puitepäätöksellä 2005/222/YOS luonut jäsenvaltioiden oikeusviranomaisten ja muiden toimivaltaisten viranomaisten välisen yhteistyöjärjestelmän, jotta varmistetaan kyseisten viranomaisten yhtenäinen lähestymistapa lähentämällä tietojärjestelmiin kohdistuvia hyökkäyksiä koskevaa jäsenvaltioiden rikoslainsäädäntöä seuraavilta osin:

4.5.3

Päätöksessä mainitaan myös arviointiperusteet, joilla määrätään oikeushenkilön vastuu ja mahdolliset seuraamukset silloin, kun oikeushenkilön vastuu on ilmeinen.

4.5.4

Komitea kannattaa komission ehdotusta, jonka mukaan jäsenvaltioiden viranomaisten kanssa käytävän vuoropuhelun yhteydessä tulisi aloittaa kansallisten verkko- ja tietoturvaan liittyvien toimien vertaileva arviointi, johon sisällytetään myös julkista sektoria erityisesti koskevat turvallisuustoimet. ETSK on jo esittänyt tällaisen ehdotuksen vuonna 2001 antamassaan lausunnossa (27).

4.6.1

Suojellakseen asiakkaittensa oikeutta yksityisyyteen ja henkilötietojen luottamuksellisuuteen on tietoturva-alan toimijoiden varmistettava tehokkaasti, että laitteissa käytetyt valvontajärjestelmät ja viestinnän koodaus vastaavat teknistä kehitystä (28).

4.6.2

Komitea pitää valveuttamistoimissa ensisijaisen tärkeänä, että luodaan todellinen ”turvallisuuskulttuuri”, jossa kunnioitetaan täysin tiedon- ja sananvapautta sekä viestinnän vapautta. Komitea muistuttaa, että monet käyttäjät eivät ole tietoisia kaikista ohjelmistopiratismiin liittyvistä riskeistä eivätkä monet operaattorit, myyjät tai palvelujen tarjoajat kykene arvioimaan hyökkäyksille alttiiden kohtien olemassaoloa ja laajuutta.

4.6.3

Ensisijaisina tavoitteina olevien yksityiselämän ja henkilötietojen suojan lisäksi kuluttajilla on oikeus saada tosiasiallisesti tehokasta suojelua vakoiluohjelmien (spyware ja web bugs) tai muiden vastaavien aiheuttamalta haitalliselta nimeävältä profiloinnilta. Näistä väärinkäytöksistä on usein seurauksena ”sanomiin hukuttamista” (29) (spamming — ei-toivottujen viestien lähettäminen laajalle vastaanottajakunnalle), jota olisi myös voitava rajoittaa tehokkaasti. Hinnan näistä tunkeutumisista maksavat uhrit (30).

4.7.1

Komitea suhtautuu myönteisesti Euroopan verkko- ja tietoturvaviraston entistä selkeämpään ja vahvempaan rooliin sekä valveuttamistoimissa että ennen kaikkea operaattoreihin ja käyttäjiin kohdennetuissa tiedotus- ja koulutustoimissa. Komitea on ilmaissut tämän kantansa aiemmassa lausunnossaan (31) yleisesti saatavilla olevista sähköisen viestinnän palveluista.

4.7.2

Kunkin sidosryhmän vastuullistamiseen tähtäävät toimet vaikuttavat komitean mielestä noudattavan tarkasti toissijaisuusperiaatetta. Niistä huolehtiminen erityisten toimivaltuuksien mukaisesti on jäsenvaltioiden ja yksityissektorin tehtävä.

4.7.3

Euroopan verkko- ja tietoturvaviraston tulisi voida hyödyntää sekä eurooppalaista verkko- ja tietoturvallisuuden verkkoa (European Network and Information Security Network) yhteisten toimien järjestämiseksi että tietoturvaa varten perustettavaa monikielistä EU:n portaalia kohdennetun ja interaktiivisen tiedotuksen varmistamiseksi. Tiedotuksessa tulisi eri-ikäisiä yksittäisiä käyttäjiä ja pk-yrityksiä ajatellen käyttää yksinkertaista kieltä.

—

ETSK:n lausunto ”Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi yleisesti saatavilla olevien sähköisen viestinnän palvelujen yhteydessä käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta ”(EUVL C 69, 21.3.2006, s. 16).

—

ETSK:n lausunto ”Komission tiedonanto neuvostolle, Euroopan parlamentille, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle — i2010 — kasvua ja työllisyyttä edistävä eurooppalainen tietoyhteiskunta ”(EUVL C 110, 9.5.2006, s. 83).

—

ETSK:n lausunto ”Ehdotus — Euroopan parlamentin ja neuvoston päätös Internetin ja uuden verkkoteknologian käyttöturvallisuutta koskevan monivuotisen yhteisön ohjelman perustamisesta ”(EUVL C 157, 28.6.2005, s. 136).

—

ETSK:n lausunto ”Komission tiedonanto neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle ja alueiden komitealle — Verkko- ja tietoturva: ehdotus eurooppalaiseksi lähestymistavaksi ”(EYVL C 48, 21.2.2002, s. 33).