16.12.2014   

FI

Euroopan unionin virallinen lehti

C 451/31

Esittelijä:

Thomas McDONOGH

1.1

Komitea toivoo, että perustetaan ilmailualan keskusviranomaisen eli Euroopan lentoturvallisuusviraston (EASA) kaltainen EU-tason verkkoturvallisuusviranomainen, jotta voidaan vahvistaa EU-tasolla tarvittavaa johtajuutta tehokkaan, Euroopan laajuisen verkkoturvallisuuspolitiikan täytäntöönpanoon liittyvien ongelmien käsittelemiseksi.

1.2

Asioihin perehtyneet kansalaiset, joilla on vaikutusmahdollisuuksia, ovat ratkaisevassa asemassa EU:n vahvan verkkoturvallisuuden kannalta. Kansalaisille henkilökohtaisesta tietoverkkoturvallisuudesta ja tietosuojasta annettavan koulutuksen tulisi olla keskeinen osa koulujen opetussuunnitelmia sekä työpaikkakoulutusohjelmia. EU:n tulisi myös edistää julkisia tiedotuskampanjoita ja -aloitteita näistä aiheista koko unionissa.

1.3

Yrityksillä tulisi olla lakisääteinen velvollisuus soveltaa ennakoivaa lähestymistapaa verkkohyökkäyksiltä suojautumiseen muun muassa turvallisen ja kestävän tieto- ja viestintäteknologian avulla sekä verkkoturvallisuutta koskevista toimista – samaan tapaan kuin terveys- ja työturvallisuuskysymyksistä – henkilöstölle annettavan koulutuksen keinoin.

1.4

Jokaisessa jäsenvaltiossa olisi oltava elin, jonka tehtävänä on informoida, valistaa ja tukea pk-sektoria verkkoturvallisuuden parhaimpiin käytänteisiin liittyvissä asioissa. Suuret yritykset voivat helposti hankkia tarvitsemansa osaamisen, mutta pk-yritykset tarvitsevat tukea.

1.5

Euroopan verkko- ja tietoturvaviraston (ENISA) toimeksiantoa tulisi jatkaa. ENISAlle olisi myös osoitettava varoja, jotta se ottaisi suoremman vastuun verkkoturvallisuuskoulutuksesta ja valveuttamisohjelmista, jotka on suunnattu erityisesti kansalaisille sekä pienille ja keskisuurille yrityksille.

1.6

Yritysten ja muiden organisaatioiden on lisättävä tietoisuutta verkkoturvallisuuteen liittyvästä vastuusta johtokuntatasolla. Kaikkien organisaatioiden johtohenkilöille on nimenomaisesti viestittävä oikeushenkilön mahdollisesta vastuuvelvollisuudesta siinä tapauksessa, että politiikat ja toimet verkkoturvallisuuden alalla ovat riittämättömiä.

1.7

Kun otetaan huomioon internetpalveluntarjoajien ratkaisevan tärkeä rooli verkkopalvelujen tarjonnassa, niillä kaikilla tulisi olla EU:ssa erityinen vastuu asiakkaidensa suojelemisesta verkkohyökkäyksiltä. Tämä vastuu tulisi määritellä ja vahvistaa lainsäädännössä EU:n tasolla.

1.8

Jotta varmistetaan, että pilvipalveluiden dynaamiseen laajenemiseen liittyvät talouskasvun mahdollisuudet hyödynnetään nopeasti (1), tulisi myös määrätä EU:n tasolla pilvipalveluiden tarjoajia koskevista erityisistä turvallisuusvaatimuksista ja velvollisuuksista.

1.9

Komitea katsoo, että vapaaehtoiset toimet eivät ole riittäviä ja että tarvitaan jäsenvaltioihin kohdistuvia voimakkaita sääntelyllisiä velvoitteita, jotta varmistetaan verkkoturvallisuuden yhdenmukaistaminen, hallinta ja täytäntöönpano Euroopan tasolla. Lisäksi tarvitaan lainsäädäntöä, jossa säädetään, että kaikilla yrityksillä ja organisaatioilla, eikä ainoastaan elintärkeiden infrastruktuurien tarjoajilla, on velvollisuus ilmoittaa verkkoturvallisuutta koskevista merkittävistä turvapoikkeamista. Näin olisi mahdollista parantaa EU:n valmiuksia vastata uhkiin sekä lisätä tietämystä ja ymmärrystä verkkohyökkäyksistä entistä parempien suojautumiskeinojen kehittämiseksi.

1.10

Komitea suosittaa painokkaasti, että EU omaksuu suunnittelujohtoisen lähestymistavan vastatakseen verkkohyökkäyksien uhkaan varmistamalla, että kaikki EU:ssa käytettävät tekniikat ja palvelut internetyhteyksien ja verkkopalveluiden tarjoamiseksi on suunniteltu niin, että ne tarjoavat korkeimman mahdollisen turvallisuustason verkkohyökkäyksiä vastaan. Suunnitteluperiaatteissa tulisi erityisesti keskittyä ihmisen ja koneen väliseen rajapintaan.

1.11

ETSK toivoo, että eurooppalaiset standardointiorganisaatiot luovat merkittäviä verkkoturvallisuusstandardeja kaikkia tieto- ja viestintätekniikan alan verkkoteknologioita ja -palveluita varten ja tekevät niitä tunnetuiksi. Näihin standardeihin tulisi sisällyttää pakollinen käytännesäännöstö sen varmistamiseksi, että kaikki EU:n kansalaisille myytävät tieto- ja viestintätekniset laitteet ja internetpalvelut ovat tiukimpien standardien mukaisia.

1.12

EU:n on toimittava viipymättä varmistaakseen, että jokainen jäsenvaltio on perustanut täysipainoisesti toimivan tietotekniikan kriisiryhmän suojatakseen itseään ja EU:ta verkkohyökkäyksiltä.

1.13

Komitea esittää, että Europolin Euroopan verkkorikostorjuntakeskukselle (EC3) myönnetään lisärahoitusta, jota se tarvitsee torjuakseen verkkorikollisuutta ja vahvistaakseen yhteistyötä poliisivoimien välillä EU:ssa ja unionin ulkopuolisten poliisivoimien kanssa sekä parantaakseen EU:n valmiuksia saada tietoverkkorikolliset kiinni ja asettaa heidät syytteeseen.

1.14

ETSK katsoo, että EU:n verkkoturvallisuuspolitiikassa on otettava huomioon erityisesti seuraavat näkökohdat: EU:n vahva johtoasema; turvallisuutta lisäävät verkkoturvallisuuspolitiikat, joilla taataan samalla yksityisyys ja muut perusoikeudet; kansalaisten valveuttaminen sekä kannustaminen ennakoiviin suojautumista helpottaviin toimintatapoihin; jäsenvaltioiden toteuttama kattava hallinnointi; tietoperusteinen ja vastuullinen yritysten toiminta; hallitusten, yksityisen sektorin ja kansalaisten tiivis kumppanuus; investointien riittävä taso; asianmukaiset tekniset standardit ja riittävät t&k&i-investoinnit; sitoutuminen kansainvälisellä tasolla. Komitea muistuttaakin verkkoturvallisuutta koskevista suosituksistaan, jotka se on esittänyt monissa aiemmissa lausunnoissaan (2), ja kehottaa komissiota harjoittamaan toimia, joihin niissä kehotetaan.

2.1

Internettalous luo yli viidenneksen bkt:n kasvusta EU:ssa, ja joka vuosi 200 miljoonaa eurooppalaista tekee verkko-ostoksia. Olemme riippuvaisia internetistä ja siihen liittyvästä digitaaliteknologiasta ylläpitääksemme elintärkeitä energia-, terveys-, viranomais- ja rahoituspalveluitamme. Kriittisen tärkeät digitaaliset infrastruktuurit ja palvelut, joilla on niin olennainen rooli talous- ja yhteiskuntaelämässä, ovat kuitenkin alttiita hyvinvointiamme ja elämänlaatuamme uhkaavien verkkohyökkäyksien kasvavalle vaaralle.

2.2

Komitea katsoo, että unionin kasvavaan riippuvuuteen internetistä ja digitaaliteknologiasta ei ole vastattu riittävästi sellaisin käytännöin ja toimintapolitiikoin, jotka mahdollistavat verkkoturvallisuuden asianmukaisen tason koko Euroopassa nyt ja tulevaisuudessa. Käsillä olevan lausunnon tarkoituksena on tuoda esiin epäkohdat, jotka komitea havaitsee EU:n verkkoturvallisuuspolitiikassa, ja suositella parannuksia, joiden avulla voidaan paremmin lieventää verkkohyökkäyksien riskejä.

2.3

Verkkohyökkäyksien vaikuttimet vaihtelevat hyvin henkilökohtaisista syistä – esimerkiksi henkilöön tai yritykseen kohdistuvasta kostosta – valtioiden harjoittamaan verkkovakoiluun ja maiden väliseen verkkosotaan. Tätä lausuntoa laadittaessa aihealue päätettiin rajata koskemaan yksinomaan rikollisin perustein tehtyjä verkkohyökkäyksiä, jotta suositukset kohdistettaisiin ongelmiin, joita valtaosa komitean jäsenistä pitää ensisijaisina huolenaiheina. Monitahoinen poliittinen keskustelu jäsenvaltioiden toteuttamista verkkohyökkäyksistä kansalaisia ja muita valtioita vastaan voisi olla tulevaisuudessa oman lausuntonsa aiheena.

2.4

Tämänkertaisessa lausunnossa käsitellään ainoastaan verkkorikollisten toteuttamia, rahansaantiin tähtääviä verkkohyökkäyksiä, joita valtaosa hyökkäyksistä on. Ottamalla käyttöön verkkoturvallisuuspolitiikkoja ja -käytänteitä, joilla pyritään torjumaan tehokkaasti rikollisin perustein toteutettavia verkkohyökkäyksiä, vähennetään myös poliittisiin tai henkilökohtaisempiin vaikuttimiin perustuvien verkkohyökkäyksien riskejä.

2.5

Vaikka EU on edistynyt hyvin digitaalistrategiaan sisältyvien, luottamuksen ja turvallisuuden hyväksi laadittujen toimenpiteiden toteuttamisessa ja vaikka se on kehittänyt laaja-alaisen verkkoturvallisuusstrategian, joka käsittää valtaosan edellä mainituista tavoitteista, lisätoimet ovat tarpeen.

3.1

Verkkohyökkäyksenä pidetään kaikentyyppistä aggressiivista toimintaa, jossa erilaiset haitalliset toimet kohdistuvat tietokoneiden tietojärjestelmiin, infrastruktuureihin, tietoteknisiin verkkoihin tai henkilökohtaisiin digitaalisiin laitteisiin tietyn kohteen varastamiseksi, muuttamiseksi tai tuhoamiseksi. Kohteena voi olla raha, tiedot tai tietoteknologia.

3.2

Verkkorikolliset käynnistävät verkkohyökkäyksiä varastaakseen rahaa tai tietoja ja harjoittaakseen petollista toimintaa, rikollista vakoilua tai kiristystä. Verkkohyökkäykset voivat vahingoittaa elintärkeitä verkkoja ja palveluita, joista olemme riippuvaisia terveyden, turvallisuuden ja taloudellisen hyvinvoinnin osalta, viranomais-, liikenne- ja energiaverkot mukaan luettuina.

3.3

Verkkohyökkäyksien uhka kasvaa sitä mukaa kuin riippuvuutemme internetistä ja digitaaliteknologiasta lisääntyy. Symantecin tuoreen raportin mukaan tietoturvaloukkausten kokonaismäärä maailmassa kasvoi 62 prosenttia vuonna 2013, mikä määrällisesti vastaa yli 552 miljoonaa ilmoitettua tapausta. Tietoturvaloukkaukset koskivat usein todellisia nimiä, syntymäaikoja, viranomaisen antamien henkilöasiakirjojen numeroita sekä potilas- tai taloudellisia tietoja. Lisäksi 38 prosenttia matkapuhelinten käyttäjistä on joutunut verkkorikollisten mobiililaitteisiin kohdistamien hyökkäysten uhriksi viimeisten 12 kuukauden aikana.

3.4

Verkkohyökkäyksillä voi olla merkittävä vaikutus yksittäisiin yrityksiin ja yleisesti EU:n talouteen:

3.5

Verkkohyökkäystekniikat kehittyvät alituisesti:

3.6

Verkkoturvallisuusorganisaatioiden kesken vallitsee yhteisymmärrys ensisijaisista toimista, joihin kansalaisten ja yritysten tulisi ryhtyä suojautuakseen verkkohyökkäyksiltä. Näistä käytännöistä tulisi viestiä kaikissa verkkoturvallisuutta koskevissa valveuttamis- ja koulutusohjelmissa:

3.7

Pieniltä yrityksiltä puuttuu usein riittävä tietotekniikkatuki, jotta ne voisivat pysyä mahdollisten tietoverkkouhkien tasalla, joten ne tarvitsevat erityistä tukea verkkohyökkäyksiltä suojautuakseen.

3.8

Verkkohyökkäyksistä ja järjestelmien haavoittuvuudesta ilmoittaminen on erittäin tärkeää verkkohyökkäysten torjumiseksi erityisesti torjuttaessa niin kutsuttuja nollapäivähyökkäyksiä (zero-day attacks), toisin sanoen uudenlaisia, verkkoturvallisuusyhteisölle vielä tuntemattomia hyökkäyksiä. Usein yritykset eivät kuitenkaan ilmoita verkkohyökkäyksistä yritysten maineen kärsimiseen ja vastuuvelvollisuuteen liittyvien pelkojen johdosta. Tällainen avoimuuden puute heikentää Euroopan kykyä reagoida verkkouhkiin nopeasti ja tehokkaasti. Se myös huventaa Euroopan valmiuksia parantaa yleistä verkkoturvallisuutta vastavuoroisen oppimisen avulla.

3.9

Kansalaiset ja yritykset hankkivat internetyhteyden ja siihen liittyvät palvelut internetpalveluntarjoajilta. Koska internetpalveluntarjoajilla on keskeinen rooli sähköisten palveluiden tarjonnassa, on olennaisen tärkeää, että ne tarjoavat asiakkailleen mahdollisimman korkeatasoisen suojan verkkohyökkäyksiä vastaan. Sen lisäksi, että internetpalveluntarjoajien on varmistettava omien palveluidensa ja infrastruktuurinsa suunnittelussa ja ylläpidossa mahdollisimman korkea verkkoturvallisuuden taso, niiden tulisi tarjota asiakkailleen erittäin korkeatasoista neuvontaa tällä alalla. Niiden tulisi myös ottaa käyttöön erityisiä käytäntöjä voidakseen auttaa havaitsemaan ja torjumaan omiin asiakkaisiinsa kohdistuvat verkkohyökkäykset. Tämä vastuu tulisi määritellä ja vahvistaa lainsäädännössä EU:n tasolla.

3.10

EU:n talouden kannalta on erittäin tärkeää kannustaa kansalaisia ja yrityksiä Euroopassa ottamaan pilvipalvelut mahdollisimman nopeasti käyttöön. (3) Koska henkilökohtaisten sovellusten ja liiketoimintasovellusten yhteydessä turvaudutaan yhä useammin pilvipalveluihin, on tärkeää, että Euroopassa huolehditaan erityisesti pilvipalveluiden tarjoajia koskevasta verkkoturvallisuudesta. Epävarmuus pilvipalveluiden turvallisuudesta vaikuttaa kielteisesti tämän dynaamisen teknologian käyttöönottoasteeseen. Komitea toivoo, että EU asettaa pilvipalveluiden tarjoajille turvallisuutta koskevia erityisiä vaatimuksia ja velvollisuuksia pilvipalveluiden kehittymisen tukemiseksi Euroopassa.

3.11

On ryhdyttävä erityisiin toimiin henkilöstön rekrytoimiseksi eurooppalaiselle verkkoturvallisuusalalle. Korkeakoulututkinnon suorittaneiden tietoturva-alan työntekijöiden kysynnän kasvun odotetaan olevan yli kaksinkertainen koko tietotekniikka-alan kasvuvauhtiin nähden. Tässä yhteydessä komitea kiinnittää komission huomion ”hakkerikilpailujen” menestykseen Yhdysvalloissa ja eräissä jäsenvaltioissa sekä tarpeeseen lisätä tietoisuutta verkkoturvallisuudesta ja kouluttaa verkkoturvallisuuden ammattilaisten seuraava sukupolvi.

3.12

Yksi parhaista strategioista verkkohyökkäyksiltä suojautumiseksi on omaksua suunnitteluperiaatteisiin nojaava lähestymistapa varmistamalla, että kaikki EU:ssa käytettävät tekniikat ja palvelut internetyhteyksien ja verkkopalveluiden tarjoamiseksi on suunniteltu niin, että ne tarjoavat korkeimman mahdollisen turvallisuustason verkkohyökkäyksiä vastaan. Suunnittelunäkökohdissa tulisi erityisesti keskittyä ihmisen ja koneen väliseen rajapintaan. Tämä edellyttäisi yhteistyötä teknologian valmistajien, internetpalveluntarjoajien, verkkoturvallisuusalan, Europolin Euroopan verkkorikostorjuntakeskuksen, ENISAn, jäsenvaltioiden kansallisten puolustus- ja turvallisuusviranomaisten sekä kansalaisten välillä. Tämän verkkoturvallisuutta koskevan suunnitteluperusteisen lähestymistavan toteuttamisesta EU:n tasolla voisi vastata komissio, ja ENISA voisi mahdollisesti koordinoida sitä.

4.1

EU kehittää parhaillaan laaja-alaista strategiaa (4) EU:n kansalaisten verkkoturvallisuuden parantamiseksi:

4.2

ETSK:n reaktio verkko- ja tietoturvaa koskevaan komission ehdotukseen (6) oli voimakas, sillä komitea katsoi, etteivät ehdotetut toimenpiteet olleet tarpeeksi jämeriä ja etteivät ne kannustaisi jäsenvaltioita riittävästi suojelemaan kansalaisiaan ja yrityksiään verkkohyökkäyksiltä. Ehdotetun direktiivin hyväksyessään parlamentti kuitenkin heikensi sen käyttökelpoisuutta edelleen rajaamalla direktiivin soveltamisalan tiukasti ”elintärkeiden infrastruktuurien” tarjoajiin ja poistamalla näin sen soveltamisalan piiristä hakukoneet, sosiaalisen median foorumit, internet-välitteiset maksupalvelut ja pilvipalveluiden tarjoajat.

4.3

Nykyinen ehdotus verkko- ja tietoturvadirektiiviksi ei ole riittävä tarvittavan lainsäädännön säätämiseksi, jotta unionissa voitaisiin lisätä tietoisuutta uhkista sekä valmiuksia reagoida verkkohyökkäyksiin. Komitea haluaisi annettavan uutta lainsäädäntöä, jossa säädetään kaikkia merkittäviä tietoturvapoikkeamia koskevasta ilmoitusvelvollisuudesta, joka ei koske ainoastaan elintärkeiden infrastruktuurien tarjoajia. Ilmoitusvelvollisuuden puuttumisen johdosta verkkorikolliset voivat hyödyntää tietämättömyyttä haavoittuvista kohteista.

4.4

EU:n tulisi harkita ENISAn mandaatin laajentamista tietoisuuden lisäämiseksi verkkohyökkäyksien uhkasta ja reagointivalmiuksien vahvistamiseksi koko EU:ssa. ENISAn roolia voitaisiin mahdollisesti laajentaa niin, että se on aiempaa välittömämmin vastuussa erityisesti kansalaisille ja pk-yrityksille suunnatuista verkkoturvallisuusalan koulutus- ja valveuttamisohjelmista.

4.5

Euroopan verkkorikostorjuntakeskus (EC3) perustettiin vuonna 2013 Europolin yhteyteen verkkorikollisuuden torjuntavalmiuksien tehostamiseksi Euroopassa. Se on rikostiedustelun keskeinen foorumi Euroopassa ja tukee verkkohyökkäyksiin liittyviä jäsenvaltioiden toimia ja tutkimuksia. Ensimmäisessä vuosikertomuksessaan Euroopan verkkorikostorjuntakeskus kuitenkin varoittaa, että sen nykyiset resurssit rajoittavat jo tutkimusten etenemistä ja ettei se kykene selviytymään sille osoitettavista mittavista tutkimustehtävistä.

4.6

EU:n tulisi pyytää eurooppalaisia standardointiorganisaatioita (CEN, CENELEC ja ETSI) luomaan verkkoturvallisuusstandardit kaikille EU:ssa myytävänä oleville ohjelmistoille, tieto- ja viestintäteknisille laitteille sekä internetperustaisille palveluille. Näitä standardeja tulisi jatkuvasti ajantasaistaa, jotta ne pysyvät uusien uhkien tasalla.

4.7

Tarvitaan lainsäädäntöä, jossa säädetään, että kaikilla yrityksillä ja organisaatioilla, eikä ainoastaan elintärkeiden infrastruktuurien tarjoajilla, on velvollisuus ilmoittaa verkkoturvallisuutta koskevista merkittävistä turvapoikkeamista. Näin olisi mahdollista tehostaa toimia välittömien uhkien lievittämiseksi sekä lisätä tietämystä ja ymmärrystä kulloisistakin verkkohyökkäyksistä, mikä auttaisi viranomaisia, verkkoturvallisuusalaa, yrityksiä ja kansalaisia parantamaan verkkoturvallisuutta ja torjumaan uhkia. Jotta kannustettaisiin jakamaan tietoja verkkohyökkäyksistä, mahdollisessa uudessa lainsäädännössä tulisi säätää asianmukaisesta anonymiteetistä yrityksille ja organisaatioille, jotka tekevät ilmoituksen hyökkäyksestä. Olisi myös harkittava mahdollisuutta myöntää vastuusuoja tarvittaessa.

4.8

EU:n toteuttamista aloitteista huolimatta jäsenvaltioiden valmiudet ja varautumistaso vaihtelevat paljon, mikä johtaa siihen, että reaktiot verkkohyökkäyksiin ovat hajanaisia eri puolilla EU:ta. Koska verkot ja järjestelmät ovat kytköksissä toisiinsa, jäsenvaltiot, joiden lähestymistapa verkkoturvallisuuteen on hyvin epämääräinen, heikentävät EU:n yleistä valmiutta puuttua verkkohyökkäyksiin. Tarvitaan toimia, jotta verkkoturvallisuus saatetaan kaikissa jäsenvaltioissa hyväksyttävälle tasolle. Erityistä huomiota tulee kiinnittää siihen, että kaikki jäsenvaltiot perustavat täysipainoisesti toimivan kriisiryhmän tietotekniikkakysymyksiä varten.

4.9

ETSK katsoo, kuten se on tuonut esiin aiemmissa lausunnoissaan (7), että EU:n suojautumisen parantamiseksi verkkohyökkäyksiltä vapaaehtoiset toimet eivät ole riittäviä ja että tarvitaan jäsenvaltioihin kohdistuvia voimakkaita sääntelyllisiä velvoitteita, jotta varmistetaan verkkoturvallisuuden yhdenmukaistaminen, hallinta ja täytäntöönpano Euroopan tasolla.

4.10

Jotta kansalaisille ja yrityksille kyetään tarjoamaan todellinen ja ajantasainen suoja verkkohyökkäyksiltä, EU:n verkkoturvallisuuspolitiikassa tulisi keskittyä tiivistäen seuraaviin näkökohtiin: