23.7.2011   

HU

Az Európai Unió Hivatalos Lapja

C 218/130

1.1

Az Európai Gazdasági és Szociális Bizottság üdvözli az Európai Bizottságnak az információs rendszerek elleni támadásokról szóló európai parlamenti és tanácsi irányelvjavaslatra irányuló közleményét. Az EGSZB osztja az Európai Bizottság mély aggodalmát a számítógépes bűnözés európai elterjedtsége miatt, valamint azokkal a károkkal kapcsolatban, amelyeket ez az egyre nagyobb léptékű fenyegetés jelenleg és a jövőben a gazdaságra és a polgárok jólétére gyakorolhat.

1.2

Az EGSZB osztja az Európai Bizottság amiatti csalódottságát, hogy a 27 tagállamból egyelőre csupán 17 erősítette meg az Európa Tanács számítógépes bűnözésről szóló egyezményét. (1) Az EGSZB felkéri a többi tagállamot, nevezetesen Ausztriát, Belgiumot, a Cseh Köztársaságot, az Egyesült Királyságot, Görögországot, Írországot, Lengyelországot, Luxemburgot, Máltát és Svédországot, (2) hogy mielőbbi ratifikálják a számítógépes bűnözésről szóló egyezményt.

1.3

Az EGSZB egyetért az Európai Bizottsággal abban, hogy sürgősen szükség van egy olyan irányelvre, amely naprakésszé teszi az információs rendszerek elleni támadások során megvalósított bűncselekmények meghatározását, és amely e sarkalatos probléma hatékony kezelése érdekében javítja az Európai Unión belül a büntetőjogi koordinációt és együttműködést.

1.4

Tekintettel arra, hogy sürgős jogalkotási tevékenység szükséges az információs rendszerek elleni támadásokkal foglalkozó célzott jogszabályok kidolgozásához, az EGSZB egyetért az Európai Bizottság abbéli döntésével, hogy a számítógépes bűnözés e meghatározott szegmensét nem jogalkotási intézkedésekkel alátámasztott irányelv útján szabályozza.

1.5

Ugyanakkor, ahogyan azt korábbi véleményében már jelezte, (3) az EGSZB azt szeretné, ha az Európai Bizottság ezen irányelvjavaslat kidolgozásával párhuzamosan előkészítene egy a számítógépes bűnözésre vonatkozó átfogó uniós jogszabályt is. Az EGSZB úgy véli, hogy a digitális menetrend és az Európa 2020 stratégia (4) sikeréhez egy olyan átfogó keretre van szükség, amely a bűnüldözés és a büntetések kiszabása mellett a megelőzéssel, a felderítéssel és az oktatással kapcsolatos kérdésekkel is foglalkozik.

1.6

Az EGSZB reméli, hogy kellő időben olyan javaslatokat kap kézhez az Európai Bizottságtól, amelyek az internetbiztonság általános kérdésének kezelését célzó átfogó keretek kidolgozására irányulnak. Tíz évre előretekintve, amikor a lakosságnak már nagy része használja az internetet, illetve a legtöbb gazdasági és társadalmi tevékenység az internethasználattól függ, elképzelhetetlen lesz, hogy még mindig a manapság jellemző rendszertelen és strukturálatlan megközelítést alkalmazzuk az internethasználat kapcsán, hiszen addigra e tevékenység gazdasági értéke már felbecsülhetetlen lesz. Összetett kérdésekkel kell majd foglalkozni, köztük olyan kihívásokkal, mint az adatbiztonság, a magánélet védelme vagy éppen a számítógépes bűnözés. A légi közlekedés biztonságát központi hatóság szabályozza, amely előírásokat készít a légi járművek, a repülőterek és a légitársaságok üzemeltetésére vonatkozóan. Ideje létrehozni egy hasonló hatóságot az internetbiztonság területén is, amely az egyszerű terminálokra (személyi számítógépek, táblagépek, telefonok), a hálózati biztonságra, az internetes honlapok biztonságára és az adatbiztonságra vonatkozó előírásokat dolgozna ki. Az internet fizikai konfigurációja kulcsfontosságú szerepet tölt be a számítógépes bűnözés elleni küzdelemben. Az EU-nak internetszabályozási hatáskörrel rendelkező szervre lesz szüksége.

1.7

Az irányelv a bűncselekmények fogalommeghatározására és a vonatkozó büntetési tételekre összpontosít majd. Az EGSZB kéri, hogy ezzel egyidejűleg fordítsanak figyelmet a jobb biztonsági intézkedések segítségével megvalósítható megelőzésre is. A berendezésgyártók számára olyan előírásokat kellene lefektetni, amelyek nyomán azok egyszerűen kezelhető eszközöket készítenének. Elfogadhatatlan, hogy az eszközök, és ezáltal a hálózat biztonsága a felhasználók pillanatnyi hangulatától függ. Fontolóra kellene venni egy európai szintű elektronikus személyazonosító rendszer bevezetését, amit nagy körültekintéssel kellene megalkotni, hogy kizárható legyen a az egyének magánéletébe való indokolatlan beavatkozás. Meg kellene kezdeni az IPv6 által kínált biztonsági funkciók teljes mértékű kiaknázását, továbbá a digitális ismeretekre vonatkozó valamennyi tanterv alapvető elemévé kellene tenni a személyes internetbiztonság oktatását, ideértve az adatbiztonság kérdését is. Az EGSZB javasolja, hogy az Európai Bizottság tekintse át az ilyen kérdésekkel foglalkozó korábbi EGSZB-véleményeket. (5)

1.8

Az EGSZB-nek meggyőződése, hogy a javasolt irányelv kellően kiterjed az információs rendszerek elleni, botnetek (6) felhasználásával megvalósított támadásokra, köztük a szolgáltatásmegtagadást okozó (Denial of Service) támadásokra is. (7) Az EGSZB arról is meg van győződve, hogy az irányelv segítségével a hatóságok el tudnak majd járni olyan számítógépes bűncselekmények esetén, amelyek a hálózatok nemzetközi kölcsönös összekapcsolhatóságát kísérlik meg rosszhiszeműen kihasználni, illetve olyan elkövetőkkel szemben, akik a számítógépes bűnözés kifinomult eszköztárának segítségével kívánnak névtelenségbe burkolózni.

1.9

Az EGSZB örömmel veszi tudomásul a vonatkozó bűncselekmények irányelvben szereplő felsorolását, különösen a „jogsértő adatszerzés” beemelését és a „bűncselekmények elkövetésére használt eszközök” egyértelmű felsorolását.

1.10

Figyelemmel azonban a bizalom és a biztonság fontosságára a digitális gazdaság területén, valamint a számítógépes bűnözés által okozott hatalmas éves kiadásokra, (8) az EGSZB azt javasolja, hogy az irányelvben szereplő büntetések súlyossága tükrözze az elkövetett bűncselekmények súlyát, és bírjon visszatartó erővel az elkövetőkre nézve. A javasolt irányelvben szereplő minimális büntetési tétel kettőtől öt évig terjedő börtönbüntetés (az öt év súlyosbító körülmények esetén alkalmazandó). Az EGSZB véleménye szerint számos, az elkövetett bűncselekmény súlyától függő büntetési tételt kellene megállapítani.

1.11

Az EGSZB azt javasolja, hogy az Európai Bizottság használja ki a kínálkozó alkalmat arra, hogy szigorúbb büntetési tételek megállapításával erőteljes üzenetet küldhet egyrészt az elkövetőknek, másrészt pedig a megerősítésre váró polgároknak. Az Egyesült Királyságban például az információs rendszerek elleni nagyszabású támadások elkövetői 10 évig terjedő szabadságvesztéssel sújthatók, (9) míg Észtországban úgy emelték meg a büntetési tételeket, hogy a terrorizmussal kapcsolatos nagyszabású támadások esetén akár 25 évig terjedő börtönbüntetés is kiszabható. (10)

1.12

Az EGSZB üdvözli az Európai Bizottság arra irányuló javaslatát, hogy uniós szinten megvalósítandó további összehangolt fellépések és a hatékonyabb végrehajtás előmozdítása érdekében az irányelvet nem jogalkotási intézkedésekkel támassza alá. Az EGSZB hangsúlyozza, hogy a fenti koordinációt az EFTA-országokkal és a NATO-val folytatandó szoros együttműködésre is ki kellene terjeszteni.

1.13

Az EGSZB erőteljesen támogatja a javasolt oktatási programokat és a bevált gyakorlatokra vonatkozó ajánlásokat, amelyek javítanák a bűnüldöző szervek kapcsolattartó pontjainak meglévő, a hét minden napjának 24 órájában működő hálózata hatékonyságát.

1.14

Az EGSZB felkéri az Európai Bizottságot, hogy a javaslatban említett nem jogalkotási intézkedéseken túl különösen a kutatás-fejlesztési alapok felhasználásakor helyezzen nagy hangsúlyt az információs rendszerek elleni támadásokkal kapcsolatos korai jelző- és védőrendszerek kidolgozására. A legkorszerűbb cloud  (11) és grid computing  (12) technológiák alkalmasak arra, hogy számos fenyegetéssel szemben nagyobb mértékű védelmet biztosítsanak Európában.

1.15

Az EGSZB javasolja, hogy az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) finanszírozzon olyan célzott készségfejlesztő programokat, amelyek hozzájárulnak az európai IKT-biztonsági ágazat büntetés-végrehajtáson túlmutató megerősítéséhez. (13)

1.16

Annak érdekében, hogy a számítógépes támadások elleni európai védelmi rendszer erősebbé váljon, az EGSZB ismételten rámutat annak fontosságára, hogy ki kell dolgozni az ellenálló képesség javításáért felelős köz-magán partnerséget (EP3R), és azt be kell építeni az Európai Hálózat- és Információbiztonsági Ügynökségnek (ENISA), illetve az Európai Kormányzati CERT-ek Csoportjának (EGC) a munkájába.

1.17

Európában elő kellene segíteni egy erős információbiztonsági ágazat kialakítását, hogy felzárkózhassunk az Egyesült Államok ezen jól finanszírozott ágazatának kompetenciájához. (14) Jelentősen növelni kellene a számítógépes biztonságra vonatkozó kutatás-fejlesztést és oktatást célzó befektetéseket.

1.18

Az EGSZB megjegyzi, hogy a Szerződés jegyzőkönyveiben szereplő mentességek között szerepel, hogy az Egyesült Királyság, Írország és Dánia mentességet élvez a javasolt irányelv végrehajtása alól. E mentességek ellenére az EGSZB felkéri ezeket a tagállamokat, hogy a lehető legnagyobb mértékben működjenek együtt az irányelv rendelkezéseinek érvényesítése érdekében, és ne engedjék, hogy a számítógépes bűnözők kihasználják az Unión belül így keletkező joghézagokat.

2.1

Európa a vagyonteremtés és az életminőség szempontjából erőteljesen függ az információs rendszerektől. Fontos, hogy ehhez az egyre erősödő függőséghez az információs rendszerek támadásokkal szembeni védelmét célzó egyre kifinomultabb biztonsági intézkedések és erőteljes jogszabályok társuljanak.

2.2

Az internet a digitális társadalom első számú platformja. Az információs rendszerek biztonsági fenyegetéseinek kezelése kulcsfontosságú a digitális társadalom és a digitális gazdaság kiépítése szempontjából. Európa kritikus információs infrastruktúrájának nagy részét az internet támogatja, így az alapvető áruk és szolgáltatások biztosításához szükséges információs és kommunikációs platformok gerincét jelenti. Az információs rendszerek – így a kormányzati rendszerek, a pénzügyi rendszerek, a szociális szolgáltatások és más olyan, életbevágóan fontos, kritikus rendszerek, mint az áram- és vízellátás, a közlekedés, az egészségügy és a sürgősségi ellátások biztosításáért felelős rendszerek – elleni támadások mára jelentős problémává váltak.

2.3

Az internet architektúrájának alapja az, hogy több millió számítógép kapcsolódik össze, és ebben a hálózatban a feldolgozás, a kommunikáció és a vezérlés világszerte eloszlik. Ez az elosztott architektúra kulcsfontosságú ahhoz, hogy az internet stabil és ellenálló legyen, és probléma esetén gyorsan helyre tudjon állni az adatforgalom. Ez azonban azzal is együtt jár, hogy bárki, akinek ez szándékában áll, és aki rendelkezik a megfelelő alapismeretekkel, nagyszabású virtuális támadást indíthat akár a hálózat széléről is, például botnetek segítségével.

2.4

Az informatika fejlődése tovább növeli ezeket a problémákat azáltal, hogy megkönnyíti a szükséges eszközök (rosszindulatú szoftverek (15) és botnetek) előállítását és terjesztését, és lehetővé teszi az elkövetők névtelenségének megőrzését, miközben a felelősség megoszlik több különböző joghatóság között.

2.5

Mivel a büntetőeljárások megindítása nehézkes, a szervezett bűnözés résztvevői alacsony kockázat mellett jelentős haszonra tehetnek szert. Egy a Világgazdasági Fórumon bemutatott 2009-es tanulmány (16) szerint a számítógépes bűnözésből származó globális kár összege 1 billió dollárra rúg, és sebesen nő. Egy nemrég készült brit kormányzati jelentés (17) szerint az ilyen bűncselekmények által okozott éves kár csak az Egyesült Királyságban eléri a 27 milliárd angol fontot. A kimagasló költségek kemény fellépést, szigorú végrehajtást és az elkövetőkre rótt magas büntetési tételeket tesznek szükségessé.

2.6

Az irányelvjavaslathoz kapcsolódó európai bizottsági munkadokumentum (18) szerint a szervezett bűnözés résztvevői és az ellenséges kormányok Unió-szerte kihasználják az információs rendszerek elleni támadásokban rejlő destruktív lehetőségeket. Az ilyen botnetekből kiinduló támadások a célba vett ország egészére nézve igen veszélyesek lehetnek, ráadásul terroristák és mások az egyes államokra gyakorolt politikai nyomás eszközeként is felhasználhatják őket.

2.7

A 2007 májusában és júniusában Észtországot ért támadás erre világított rá. Az észt kormány és magánszektor kritikus információs infrastruktúrája ellen indított nagyszabású támadás az infrastruktúra fontos elemeit napokra leállította, ami pénzben kifejezve 19–28 millió eurós kárt, továbbá jelentős politikai kárt is okozott. Hasonló, romboló szándékú támadások célpontja lett Litvánia és Grúzia is.

2.8

A globális kommunikációs hálózatok a határokon átnyúló összekapcsolódások bonyolult rendszeréből állnak össze. Létfontosságú, hogy a 27 tagállam együttesen és egyhangúlag lépjen fel a számítógépes bűnözés leküzdése érdekében, és különösen az információs rendszerek elleni támadásokkal szemben. Emiatt a nemzetközi szintű kölcsönös egymásrautaltság miatt az EU-ra hárul a feladat, hogy integrált politikát dolgozzon ki az információs rendszerek támadásokkal szembeni védelmére, és az elkövetők felelősségre vonására.

2.9

Az EGSZB „A biztonságos információs társadalomra irányuló stratégia” című, 2007-ben készült véleményében (19) kijelentette, hogy átfogó uniós jogszabályra van szükség a számítógépes bűnözésre vonatkozóan. Az információs rendszerek elleni támadásokon kívül ennek az átfogó keretnek a pénzügyi számítógépes bűnözésre, a jogsértő internetes tartalmakra, az elektronikus bizonyítékok gyűjtésére, tárolására és átadására, valamint a joghatóság részletesebb szabályozására is ki kellene terjednie.

2.10

Az EGSZB tudatában van annak, hogy egy ilyen átfogó keret kidolgozása igen bonyolult feladat, amit a politikai konszenzus hiánya (20) még tovább bonyolít, nem beszélve a tagállamok közötti jelentős eltérésekről az elektronikus bizonyítékok bíróságon való felhasználhatóságát illetően. Egy ilyen átfogó keret azonban maximalizálni tudná mind a jogalkotási, mind a nem jogalkotási jellegű eszközökből származó előnyöket a számítógépes bűnözéssel kapcsolatos számos probléma terén. Kiterjedne a büntetőjogi keretekre is, és ezzel javítaná az unión belüli bűnüldözési együttműködést is. Az EGSZB kéri, hogy az Európai Bizottság folytassa a számítógépes bűnözésre vonatkozó átfogó jogi keret kidolgozását célzó erőfeszítéseit.

2.11

A számítógépes bűnözés elleni küzdelem speciális szakértelmet igényel. Az ENISA-ra vonatkozó rendeletjavaslatról szóló véleményében (21) az EGSZB kiemelte, milyen fontos a bűnüldöző szervek állományának képzése. Az EGSZB örömmel nyugtázza, hogy az Európai Bizottság a COM(2007) 267-es dokumentumban javasoltakkal összhangban dolgozik a bűnüldöző szerveket és a magánszektort célzó, a számítógépes bűnözéssel kapcsolatos képzési platform létrehozásán. (22)

2.12

Az EU hálózati biztonsága minden olyan polgárt érint, akinek az élete a létfontosságú szolgáltatásoktól függhet. Ugyanezekre a polgárokra hárul annak felelőssége, hogy képességeikhez mérten a lehető legjobban megvédjék saját internetkapcsolatukat a támadásoktól. Még nagyobb felelősség hárul az információs rendszerek működését biztosító információs és kommunikációs technológiák és szolgáltatások nyújtóira.

2.13

Elengedhetetlenül fontos, hogy minden érintett fél kellően tájékozott legyen a számítógépes biztonságra vonatkozóan. Az is fontos, hogy Európa kellő számú szakemberrel rendelkezzen a számítógépes biztonság területén.

2.14

Európában elő kellene segíteni egy erős információbiztonsági ágazat kialakítását, hogy felzárkózhassunk az Egyesült Államok ezen jól finanszírozott ágazatának kompetenciájához. (23) Jelentősen növelni kellene a számítógépes biztonságra vonatkozó kutatás-fejlesztést és oktatást célzó befektetéseket is.

3.1

A javaslat az információs rendszerek elleni támadásokról szóló, 2005. február 24-i 2005/222/IB tanácsi kerethatározat (24) felváltására irányul. A kerethatározat célkitűzése a preambulum szerint a tagállamok igazságügyi és egyéb hatóságai – beleértve a rendőrséget és az egyéb bűnüldözési szakszolgálatokat – közötti együttműködés javítása a tagállamok büntető jogszabályainak az információs rendszerek elleni támadások terén történő közelítése révén. A kerethatározat uniós szintű jogszabályokat vezetett be az olyan bűncselekmények kezelésére, mint az információs rendszerekhez való jogsértő hozzáférés, valamint a rendszerekbe, illetve adatokba való jogsértő beavatkozás, emellett meghatározta a jogi személyek felelősségére, a joghatóságra és az információcserére vonatkozó előírásokat is. A tagállamoknak meg kellett tenniük a szükséges intézkedéseket annak érdekében, hogy a kerethatározat rendelkezéseinek 2007. március 16-ig megfeleljenek.

3.2

Az Európai Bizottság 2008. július 14-én közzétette a kerethatározat végrehajtásáról szóló jelentését. (25) A jelentés következtetései között szerepel, hogy számos „fenyegető veszélyre hívták fel a figyelmet azok a közelmúltbeli támadások, amelyek a kerethatározat elfogadása óta fordultak elő Európában, ilyenek különösen az információs rendszerek elleni kiterjedt és egyidejű támadások, valamint az ún. botnetek bűnelkövetési célú fokozódó használata”. A kerethatározat elfogadásakor nem ezek a támadások álltak a figyelem középpontjában.

3.3

Ez a javaslat figyelembe veszi a számítógépes bűnelkövetés új módozatait, különösen a botnetek (26) használatát. Az elkövetőket rendkívül nehéz felkutatni, mivel a botnetet alkotó, támadásokat elkövető számítógépek nem feltétlenül az elkövetőkkel egy helyen találhatók.

3.4

A botnetek segítségével gyakran nagyszabású támadásokat indítanak. Nagyszabású támadás minden olyan támadás, amely egyrészt nagyszámú információs rendszer (számítógép) befolyásolására alkalmas eszközök felhasználásával indítható, másrészt tekintélyes károkat okoz például a megszakadó rendszerszolgáltatásokból, a költségekből, a személyes adatok elvesztéséből stb. kifolyólag. A nagyszabású támadások által okozott károk jelentős kihatással vannak a célpont működésére és/vagy annak munkakörnyezetére is. Ebből kifolyólag a „nagy botnet” súlyos károkat tud okozni. Nehéz meghatározni a botnetek méretét, de az eddig látott legnagyobb botnet megközelítőleg 40 000–100 000 kapcsolatot (azaz fertőzött számítógépet) hozott létre 24 óra leforgása alatt. (27)

3.5

A kerethatározat a bűncselekmények (számítógépes támadások) méretével és számával kapcsolatos tendenciája miatt számos hiányossággal rendelkezik. Csak kevés bűncselekmény vonatkozásában közelíti a jogszabályokat, és nem kezeli teljes mértékben a nagyszabású támadásoknak a társadalomra nézve jelentett esetleges veszélyét. Továbbá nem veszi kellőképpen figyelembe a bűncselekményeknek és azok jogkövetkezményeinek a súlyát.

3.6

Az itt tárgyalt irányelv célkitűzése, hogy közelítse a tagállamok büntető jogszabályait az információs rendszerek elleni támadások terén, és javítsa a tagállamok igazságügyi és egyéb hatóságai – így a rendőrség és az egyéb bűnüldözési szakszolgálatok – közötti együttműködést.

3.7

Növekvő veszélyt jelentenek az információs rendszerek elleni támadások, különösen a szervezett bűnözésből eredő fenyegetések eredményeképpen, és egyre nagyobb aggodalmat okoz a tagállamok és az Unió kritikus infrastruktúrájának részét képező információs rendszerek elleni terror- vagy politikai indíttatású támadások lehetősége. Ez veszélyezteti a biztonságosabb információs társadalom, valamint a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megvalósítását, ezért az Európai Unió szintjén kell fellépni ellene.

3.8

Bizonyítékok állnak rendelkezésre egyre veszélyesebb, ismétlődő támadásokról, amelyeket a tagállamok, illetve a köz- és magánszféra bizonyos feladatai szempontjából kritikus információs rendszerek ellen intéztek. Ezt a tendenciát egyre kifinomultabb eszközök kifejlesztése kíséri, amelyeket a bűnelkövetők különféle számítógépes támadások indítására használhatnak fel.

3.9

Annak érdekében, hogy biztosítani lehessen a tagállamok következetes megközelítését ennek az irányelvnek az alkalmazása során, közös fogalommeghatározásokat kell kidolgozni, különösen az információs rendszerek és a számítógépes adatok vonatkozásában.

3.10

Az információs rendszerhez való jogsértő hozzáférés, a rendszerekbe, illetve adatokba való jogsértő beavatkozás, valamint a jogsértő adatszerzés egységesen meghatározott bűncselekménytípusainak bevezetése révén közös szemléletet kell kialakítani a bűncselekmények tényállási elemeivel kapcsolatban is.

3.11

A tagállamoknak szankciókat kell megállapítaniuk az információs rendszerek elleni támadásokat illetően. Ezeknek a szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

3.12

Az irányelv hatályon kívül helyezi a 2005/222/IB kerethatározatot, ugyanakkor megtartja annak rendelkezéseit és azokat a következő új elemekkel egészíti ki: