52001AE1474

Advies van het Economisch en Sociaal Comité over de "Mededeling van de Commissie aan de Raad, het Europees Parlement, het Economisch en Sociaal Comité en het Comité van de Regio's - Netwerk- en informatieveiligheid: Voorstel voor een Europese beleidsaanpak"

(2002/C 48/07)

De Commissie heeft op 7 juni 2001, overeenkomstig artikel 262 van het Verdrag tot oprichting van de Europese Gemeenschap, besloten het Economisch en Sociaal Comité te raadplegen over de voornoemde mededeling.

De afdeling "Vervoer, energie, infrastructuur, informatiemaatschappij", die met de voorbereiding van de desbetreffende werkzaamheden was belast, heeft haar advies op 6 november 2001 goedgekeurd. Rapporteur was de heer Retureau.

Het Economisch en Sociaal Comité heeft tijdens zijn 386e zitting van 28 en 29 november 2001 (vergadering van 28 november) het volgende advies uitgebracht, dat met 113 stemmen vóór en 2 stemmen tegen, bij 3 onthoudingen, is goedgekeurd.

1. Inleiding

1.1. De ontwikkeling van interne netwerken bij bedrijven, overheidsdiensten en andere instellingen gaat razendsnel en het aantal internetaansluitingen van die instanties en van particulieren groeit exponentieel. De top zou snel zijn bereikt als op de korte termijn geen snellere internettoegang(1) mogelijk was geweest en als er niet een nieuwe methode voor de toewijzing van topniveaudomeinnamen was ingevoerd.

1.2. De samenleving, economie, overheid, nationale veiligheid en defensie zijn en worden steeds afhankelijker van het goed functioneren en de betrouwbaarheid van netwerken en de koppelingen hiertussen, van de beschikbare bandbreedte, van de juistheid van de gegevens op die netwerken, en in veel gevallen van de vertrouwelijkheid van informatie en van de precisie waarmee aanwezige personen kunnen worden geïdentificeerd.

1.3. Netwerk- en informatieveiligheid is nu strategisch gezien een zeer belangrijk onderwerp dat tussen de lidstaten onderling en op EU-niveau goed gecoördineerd en samenhangend beleid vereist.

1.4. De Commissie heeft in haar Mededeling de problematiek op dit terrein en de bestaande situatie zeer nauwkeurig geanalyseerd (het Comité vindt het geheel goed onderbouwd) en stelt een aantal maatregelen voor.

2. De Mededeling van de Commissie

2.1. De Commissie wil met haar Mededeling komen tot een gemeenschappelijke aanpak van vraagstukken op het gebied van netwerkveiligheid en van de veiligheid van elektronische gegevensoverdracht in Europa. Hierbij gaat het erom deze veiligheid in alle lidstaten op hetzelfde niveau te brengen, de interoperabiliteit van de verschillende systemen te bevorderen, vaart te zetten achter maatregelen die nodig zijn voor handhaving van de "openbare orde" op internet, en de regulerende rol van de lidstaten te stimuleren.

2.2. Daarnaast is het belangrijk dat er een soort "minimumveiligheidsniveau" kan worden gegarandeerd voor netwerken, internetaansluitingen van particulieren en verbindingen tussen netwerken, en dat er een veiligheidscultuur ontstaat zodat de mensen bewust kunnen worden gemaakt van problemen en mogelijke oplossingen.

2.3. De veiligheid van een netwerk wordt bepaald door zijn zwakste schakel. Als gevolg van de voortschrijdende ontwikkeling van snelle internetverbindingen (b.v. via ADSL en kabel) en het toenemende aantal computers dat permanent on line is (ook die van particulieren) zijn nieuwe beveiligingsmaatregelen nodig. Dit geldt evenzeer voor e-commerce en e-government (hier dienen de persoonlijke gegevens, en in het eerste geval ook de betalingsgegevens, van consumenten en burgers te worden beveiligd).

2.4. Verder is er behoefte aan een gemeenschappelijk strafrechtelijk kader om ervoor te zorgen dat delicten als computervredebreuk, vervalsing van gegevens en informatie, het overnemen van de controle over een netwerk (door hackers) en het opzettelijk verspreiden van virussen in alle lidstaten op gelijke wijze worden omschreven en bestraft.

2.5. Tevens stelt de Commissie voor een Europees waarschuwings- en interventiesysteem op te zetten. Daarnaast legt zij erg veel nadruk op scholing en voorlichting, zowel in bedrijven als van particulieren. Dit vormt het speerpunt van de Mededeling.

2.6. Ten slotte staan in de Mededeling de beleidsdoelstellingen "eerbiediging van het privéleven" en "vertrouwelijkheid van gegevens van burgers en consumenten" centraal.

3. Opmerkingen

3.1. Algemene opmerkingen

3.1.1. Het ESC kan zich volledig vinden in de analyses en argumenten van de Commissie waarmee zij een Europese beleidsaanpak van de netwerk- en informatieveiligheid rechtvaardigt. Het vindt de voorgestelde maatregelen over het algemeen adequaat, maar wenst toch enkele specifieke opmerkingen te maken.

3.1.2. Internet is niet ontworpen voor e-commerce, noch voor het afsluiten van contracten, de verkoop van via het auteursrecht beschermde gegevens (muziek, beelden, film) en ook niet voor financiële transacties en andere economische handelingen die een specifieke beveiliging vereisen. Internet werd in zijn beginjaren gebruikt voor militaire en universitaire doeleinden. Daartoe volstond in het eerste geval encryptie in lange codes en in het tweede geval juist een ongecodeerde weergave van onderzoeksresultaten en gegevens uit wetenschappelijke databanken. Uit het oogpunt van nationale veiligheid mochten particulieren tot in 2000 in veel, overwegend niet-Europese landen vaak geen gebruik maken van zeer ingewikkelde encryptiemethoden en was het verboden bepaalde programma's te gebruiken. Gelukkig heeft de Commissie de ontwikkeling van en de handel in beveiligingsprogramma's gestimuleerd. Voor bedrijven en overheidsdiensten zijn deze toepassingen onmisbaar bij het via internet verzenden van vertrouwelijke gegevens.

3.1.3. Later ontwikkelde internet zich op bijna anarchistische wijze en is vanaf dat moment voor zeer uiteenlopende doeleinden gebruikt (commercieel, financieel, technologisch, industrieel). Het is ook een bron van vermaak, en dan hebben we het nog niet eens over alle pornosites waarmee aanzienlijk wordt verdiend en die, samen met de on line spelletjes, aan de wieg staan van niet onbelangrijke technologische ontwikkelingen, met name wat betreft beeldkwaliteit, doorgiftesnelheid en beveiligde (en eventueel anonieme) betalingsmethodes.

3.1.4. Het internet wordt nu voor al deze verschillende doeleinden tegelijkertijd gebruikt en er komen aldoor weer nieuwe bij. Steeds grotere delen van de netwerken en van internet vormen de pijlers onder het functioneren van de maatschappij en de economie, en hebben een doorslaggevende invloed op de sociale ontwikkeling en de nationale veiligheid. Dit vraagt om beveiligingsmaatregelen die dienen te passen bij het soort informatie en de aard van de elektronische handelingen. Verder dient ieders privéleven te worden geëerbiedigd en mogen de basisprincipes van internet niet ter discussie worden gesteld (vrij verkeer en vrije uitwisseling van informatie, ideeën, wetenschappelijke gegevens etc.).

3.1.5. Het ESC is van mening dat beveiligingsmaatregelen altijd in verhouding moeten staan tot de kosten ervan en tot de aard en het belang van de gegevens en handelingen die zij trachten te beschermen, en toegespitst moeten zijn op het soort gebruikers dat ermee te maken krijgt.

3.1.6. Het ESC is het in grote lijnen eens met het door de Commissie gegeven overzicht van mogelijke veiligheidsrisico's en de door haar voorgestelde oplossingen. Het deelt ook de opvatting dat beveiliging een dynamisch concept is dat voortdurend moet worden aangepast en bijgesteld op grond van technologische ontwikkelingen, beschikbare software en aanwezige risico's. Daarom stelt het voor de in het kader van deze Mededeling gestarte raadpleging van en dialoog met bedrijfsleven, gebruikers en degenen verantwoordelijk voor netwerkveiligheid een permanent karakter te geven of op gezette tijden een vervolg te geven. De civil society zou hier volledig bij moeten worden betrokken, aangezien het beleid inzake netwerk- en informatieveiligheid grote gevolgen heeft voor bepaalde grondrechten én voor het economische en maatschappelijke leven en de overheid.

3.1.7. Het ESC heeft in een onlangs uitgebracht advies over computercriminaliteit(2) en in een nog te verschijnen advies over de bescherming van kinderen op internet(3) reeds de basisbeginselen omschreven die naar zijn mening zouden moeten gelden bij het bestrijden van strafbare feiten en criminele activiteiten op internet. Het ESC is gekant tegen censuur, zeer uitgebreid toezicht en beperkingen van de vrijheid van meningsuiting en communicatie op het net. Toch mag internet niet buiten de wet staan.

3.1.8. Volgens het ESC moet de veiligheid van individuele gebruikers en consumenten in al haar facetten een centrale plaats innemen in de binnen de Commissie gevoerde discussie en in de door de EU te voeren strategie. Want ook al heeft een virusaanval op één particuliere computer geen grote gevolgen voor de economie of de openbare veiligheid, wel moet worden beseft dat sommige aanvallen grootschalig zijn opgezet, dat het virus zich in die gevallen via particuliere computers verspreidt en dat dergelijke aanvallen door de media behoorlijk kunnen worden opgeklopt zonder dat dit overeen hoeft te stemmen met de werkelijke omvang van het gevaar. Hierdoor kan het vertrouwen van de burgers in de voordelen en het nut van internet echter wel een flinke deuk oplopen. Dit heeft zeker aanzienlijke gevolgen voor de werkgelegenheid en voor de ontwikkeling van e-commerce en e-business in het algemeen.

3.1.9. De eerbiediging van het privéleven en de bescherming van persoonlijke gegevens mogen dan wel prioritaire doelstellingen zijn, consumenten hebben daarnaast recht op een adequate bescherming tegen het onrechtmatig aanleggen van persoonlijke profielen (personal profiling) door middel van spionageprogramma's (spyware en web bugs) of door gebruik te maken van andere instrumenten. Dit soort praktijken leiden vaak tot spamming (het ongevraagd versturen van grote aantallen e-mailtjes), waartegen ook krachtig moet worden opgetreden. Het gaat hier om binnendringing en dat brengt kosten voor de slachtoffers met zich mee(4).

3.1.10. Daarnaast moet worden vastgelegd dat de eerbiediging van het privéleven geldt voor álle mensen in het bedrijfsleven, dus ook voor werknemers en overige medewerkers van ondernemingen. Tussen de sociale partners zou overleg moeten plaatsvinden over de interne veiligheidsvoorschriften van een bedrijf en iedereen binnen het bedrijf zou deze regels moeten kennen. De betreffende voorschriften moeten wel passen binnen het wettelijke of jurisprudentiële kader van de lidstaat. In dit opzicht dient te worden gewezen op het belang van een uniforme toepassing van dergelijke bepalingen, overeenkomstig het Handvest van de grondrechten (Verdrag van Nice). Ook moeten op deze plaats worden genoemd de Aanbeveling gedaan door Europese bedrijfsdirecteuren over het privéleven en Richtlijn 95/46/EG betreffende de bescherming van persoonsgegevens.

3.1.11. Het lijkt dus noodzakelijk geworden dat particulieren en bedrijven de beschikking krijgen over adequatere juridische middelen om exploitanten en fabrikanten van software financieel aansprakelijk te kunnen stellen in geval van ernstige tekortkomingen op het gebied van beveiliging en gegevensbescherming (die hen kunnen worden aangerekend op grond van hun productaansprakelijkheid)(5).

3.1.12. Het ESC is van mening dat de Commissie meer waarde zou moeten hechten en meer bekendheid zou moeten geven aan de positieve werking (als het gaat over hulpmiddelen en beveiliging) van open software (open source). Dit zijn gratis besturingsprogramma's en netwerk- en communicatiesoftware waar de gebruikers zelf veranderingen in kunnen aanbrengen omdat de broncode ervan is vrijgegeven. De programmeurs van open software komen snel in actie om fouten te verbeteren en problemen aan te pakken. Rondom het open source-concept is een redelijk grote sector van dienstverlenende bedrijfjes ontstaan, die door sommige grote ondernemingen uit de informaticawereld worden ondersteund. Wereldwijd draait een groot aantal servers op deze software, die hierdoor in het algemeen veilig en stabiel functioneren. Het gebeurt daarentegen soms dat fouten in bepaalde eigendomssoftware (proprietary software) bij de gebruikers pas worden hersteld als zij hier al schade van hebben ondervonden. Ook komt het voor dat nieuwe versies van deze software met nieuwe gebruiksmogelijkheden te snel op de markt worden gebracht. Concurrentieoverwegingen en het met alle geweld willen ontwikkelen van nieuwigheden zijn vaak veel belangrijker dan het streven naar een veilig product. Daarom moeten makers van commerciële en gratis software er veel meer van worden doordrongen dat beveiliging van hun programma's belangrijk is, zodat ze hieraan reeds vanaf de ontwikkeling van een nieuw product aandacht besteden.

3.1.13. Bovendien bieden besturingssystemen en eigendomssoftware (proprietary software) waarvan de broncode niet wordt vrijgegeven, onvoldoende garanties wat betreft beveiliging en eerbiediging van het privéleven. Dit geldt vooral als via het internet licenties worden geregistreerd en er regelmatig patches (programma's om fouten te corrigeren en updates te installeren) moeten worden gedownload. De dan gelegde verbinding kan heimelijk worden gebruikt om gegevens te bemachtigen van de systemen en de server van de klant (technische informatie, inhoud, adressenbestanden, verbindingen). Het ESC vindt dat alle praktijken die meer inhouden dan alleen maar het simpelweg registreren van naam en adres van de licentiehouder (om hem een password of tijdelijke toegangscode te kunnen verstrekken), beschouwd moeten worden als binnendringing in iemands privéleven en derhalve zouden moeten worden verboden.

3.1.14. Free software is tevens een waarborg voor een gezonde concurrentie op de softwaremarkt en op de (zich nog volop ontwikkelende) markt van netwerkdiensten, en biedt op die manier tegenwicht aan monopolistische ontwikkelingen op die markten.

3.1.15. Het ESC is van mening dat de GPL-licentie(6) moet worden erkend en gerespecteerd. Bovendien zouden volgens het ESC specifieke regels moeten worden opgesteld voor de intellectuele eigendomsrechten die rusten op software en gegevens die via internet toegankelijk zijn of kunnen worden uitgewisseld. Het zou te eenvoudig zijn om bijvoorbeeld de merkenwetgeving te gebruiken voor het beperken van de vrijheid van meningsuiting van consumenten of werknemers wanneer het gaat over het beleid van of de gang van zaken binnen een bedrijf en zijn producten of diensten. Het merkenrecht en het octrooirecht hebben hun beperkingen en kunnen niet zonder problemen worden toegepast op de ontwikkeling van netwerken. Hiervoor zijn derhalve specifieke beschermende rechtsregels nodig. Deze zijn op dit moment nog ontoereikend.

3.1.16. Vooral de netwerken van militaire organisaties, overheidsinstanties en bedrijven hebben te maken met pogingen gegevens te onderscheppen, de controle over systemen over te nemen of gevoelige informatie te ontvreemden. Derhalve dringt het ESC er bij de Europese instellingen en de lidstaten op aan gezamenlijk op te treden tegen al dit soort gevallen van ongeoorloofde toegang waarbij sprake is van spionage op militaire, industriële of commerciële gronden. Dergelijke handelingen beschadigen de strategische en economische belangen van Europa.

3.1.17. Voor beveiligingsmaatregelen, gecontroleerde toegang, interne regels en protocollen, en redundancies (extra programma's om systemen stabieler te maken zoals fault tolerance systems, mirror- en proxysites, en toepassingen voor het regelmatig en op verschillende plaatsen opslaan van gegevens) is extra hardware en software nodig, én gekwalificeerd personeel om alles constant te controleren en up to date te houden. Vanzelfsprekend brengt dit hoge kosten met zich mee. Voor bedrijven en overheidsinstanties levert de invoering van dergelijke voorzieningen grote problemen op omdat ze niet over genoeg technische informatie beschikken, ze zich onvoldoende van de problematiek bewust zijn en hiervoor niet toereikende financiële middelen hebben. Dit laatste geldt vooral voor het MKB. De computercalamiteitenteams zouden dan ook goed toegerust moeten zijn en speciaal aandacht moeten schenken aan de behoeften van het MKB.

3.2. Specifieke opmerkingen

3.2.1. Veiligheidsrisico's en voorgestelde oplossingen

3.2.1.1. Eerbiediging van het privéleven en bestrijding van computercriminaliteit en spionage

3.2.1.1.1. Het ESC is het er volkomen mee eens dat de Commissie in het door haar voorgestelde beleid prioriteit geeft aan de eerbiediging van het privéleven en aan de vertrouwelijkheid van persoonlijke gegevens. Respect voor de grondrechten en inachtneming van de vrijheid van informatie en communicatie moeten de kern vormen van al het beleid op het gebied van de bescherming van gegevens en gegevensoverdracht. Dit geldt eveneens voor de bescherming van het algemeen belang, die ermee begint dat de nationale veiligheid en het normaal functioneren van de democratische instellingen en overheidsdiensten moeten kunnen worden gewaarborgd. Het ESC is het met de Commissie eens dat de hiertoe bestemde middelen verder moeten worden ontwikkeld en aangepast: wetgeving, samenwerkingsverbanden, onderzoeksmethoden en normalisatietechnieken.

3.2.1.1.2. Hoewel het legaat onderscheppen van informatie mogelijk moet blijven (met inachtneming van de betreffende gerechtelijke procedures), kunnen ingewikkelde encryptiemethoden de decryptie (ontcijfering) van de op deze wijze verkregen gegevens in de weg staan. De georganiseerde criminaliteit maakt gebruik van de modernste technische snufjes om de overdracht van gegevens te beveiligen. Derhalve dient op Europees niveau zowel op juridisch als technologisch vlak te worden samengewerkt in de strijd tegen de georganiseerde criminaliteit en terrorisme. Het ESC heeft dit reeds eerder benadrukt, bijvoorbeeld in zijn adviezen over het bestrijden van witwaspraktijken en computercriminaliteit(7).

3.2.1.1.3. Daarnaast is het in het kader van het mededingingsbeleid geboden nauwgezet toezicht te houden op bedrijfsconcentraties en het ontstaan van monopolies op het gebied van inhoud (informatie, cultuur etc.) en in de sector die zorgt draagt voor backbones (die delen van het bekabelingsnetwerk die andere (sub)netwerken met elkaar verbinden). De Commissie zou ook moeten ijveren voor de oprichting van een "internetbestuur" waarin de 370 miljoen gebruikers evenredig zijn vertegenwoordigd en waarvan de opzet doorzichtig is. De leden van het huidige "bestuur" zijn namelijk voor het overgrote deel afkomstig uit Noord-Amerika. Bovendien staat deze instantie nu nog onder direct toezicht van het Amerikaanse ministerie van handel, met name voor wat betreft toewijzing en beheer van domeinnamen en de keuze van registrars(8).

3.2.1.1.4. Om het recht op privacy en het vertrouwelijke karakter van de gegevens van klanten te kunnen waarborgen, moeten exploitanten er daadwerkelijk zorg voor dragen dat (in gelijke tred met de technologische ontwikkelingen) de door hen gebruikte middelen voor materieel toezicht op hun systemen en voor encryptie van gegevens zo goed mogelijk aansluiten bij het belang van de rechten die moeten worden beschermd. Overigens moeten exploitanten zich o.a. houden aan Richtlijn 97/66/EG(9).

3.2.1.1.5. De gebruikers op hun beurt moeten de mogelijkheden hebben om gevoelige informatie die zij via internet versturen, voldoende te beveiligen (d.m.v. encryptie). Zij zijn in het algemeen echter slecht op de hoogte van de specifieke middelen die hiertoe bestaan, en weten niet hoe deze te gebruiken. Om aan de groeiende vraag naar encryptie- en beveiligingsproducten te kunnen voldoen, zal het noodzakelijk zijn voldoende deskundigen op dit gebied op te leiden.

3.2.1.1.6. Door binnendringing in computers en netwerken op welke grond dan ook (intellectuele uitdaging, persoonlijke wraak, behoefte om schade toe te brengen, poging gegevens te ontvreemden of de controle over systemen over te nemen) en door de verspreiding van computervirussen komen de rechten en belangen van gebruikers en de integriteit van gegevens en netwerken onder druk te staan.

3.2.1.1.7. Het ESC is het volledig met de Commissie eens wat betreft de schadelijke gevolgen van de verschillende vormen van binnendringing (die soms zelfs leiden tot het heimelijk overnemen van de controle over een systeem). Het vindt het echter te ver gaan hackers op één lijn te stellen met crackers. De eersten leggen slechts gaten in de beveiliging van systemen bloot en hebben daar geen kwade bedoelingen mee. Dankzij hun acties kunnen deze hiaten zelfs worden gedicht. Crackers daarentegen dringen wel met criminele bedoelingen systemen binnen. Volgens het ESC zou de mogelijk door de Commissie voor te stellen strafwetgeving hieromtrent overeen moeten stemmen met de eventueel gepleegde misdrijven, die nauwkeurig moeten worden omschreven, en zou de intentie van de daders hierbij in aanmerking moeten worden genomen.

3.2.1.2. Geldend Gemeenschapsrecht en beschikbare technologieën

3.2.1.2.1. Het Gemeenschapsrecht vereist dat de lidstaten alle nodige maatregelen treffen om ervoor te zorgen dat de beschikbaarheid van de openbare netwerken behouden blijft bij het uitvallen van het netwerk als gevolg van een natuurramp [Richtlijn inzake interconnectie 97/33/EG(10) en Richtlijn inzake spraaktelefonie 98/10/EG(11)]. Toch stelt het ESC de Commissie voor in alle lidstaten een vergelijkende studie uit te voeren naar de genomen maatregelen en hun efficiëntie.

3.2.1.2.2. Valse verklaringen van natuurlijke of rechtspersonen kunnen schadelijke gevolgen hebben. Derhalve is het bij alle belangrijke transacties noodzakelijk de betrokkenen te authentiseren en de echtheid van de verklaringen na te gaan.

3.2.1.2.3. Dankzij de SSL- en IPsec-protocollen kan via internet en open kanalen (open channels) betrekkelijk veilig worden gecommuniceerd. Desondanks bieden deze protocollen nog onvoldoende zekerheid. In de Richtlijn inzake elektronische handtekeningen(12) is bepaald dat deze veiligheidsgarantie ook door een derde persoon, de zgn. "certificatiedienstverlener" kan worden gegeven.

3.2.1.2.4. Bij deze oplossing doen zich echter dezelfde problemen voor als bij encryptie: de behoefte aan interoperabiliteit en het beheer van de codes. In een VPN (virtueel privénetwerk) is het mogelijk zelf methoden voor een veilige gegevensoverdracht uit te denken, maar op de openbare netwerken vormen deze grote obstakels.

3.2.1.2.5. Om die redenen vormt de Richtlijn inzake elektronische handtekeningen de juridische basis en het belangrijkste instrument voor het vergemakkelijken van de elektronische authentisatie in de EU.

3.2.1.3. Nieuwe uitdagingen, nieuwe risico's en kosten-batenanalyse

3.2.1.3.1. Het ESC kan zich vinden in de analyse die de Commissie geeft van de nieuwe uitdagingen en de nieuwe risico's verbonden aan de snelle technologische ontwikkeling en aan de sterke stijging van het aantal computers waarmee gebruikers het internet op kunnen, en de grote verscheidenheid hierin. Het deelt het standpunt van de Commissie over het toenemende gevaar van binnendringing, omdat er steeds meer permanente internetaansluitingen komen met een vast adres. Het staat achter het streven, veiligheid en vrijheden, bescherming van de netwerken, eerbiediging van het privéleven en het vertrouwelijke karakter van gegevens als doelstellingen met elkaar te rijmen.

3.2.1.3.2. Veiligere encryptiemethoden maakten veranderingen in de wetgeving noodzakelijk (om zeer ingewikkelde vormen van encryptie te legaliseren). Deze wijzigingen hebben om veiligheidsredenen soms echter erg lang op zich laten wachten. Toch bestond er reeds een manier om heimelijk gecodeerde boodschappen te versturen en hiermee de wet te omzeilen zonder te worden ontdekt, namelijk het versluieren van boodschappen in de "ruis" van beeld- of geluidsfragmenten (steganografie).

3.2.1.3.3. Op dit moment bestaan er al een groot aantal encryptiemethoden en er komen steeds verfijndere coderingen bij. Dit levert grote problemen op bij het werken met gecodeerde berichten omdat verschillende gebruikers verschillende methoden gebruiken. Ook al zou worden aangedrongen op een Europees systeem (waarmee de communicatie op de interne markt kan worden vereenvoudigd), dan zouden nog lang niet alle problemen zijn opgelost omdat in de rest van de wereld zeer uiteenlopende systemen worden gebruikt. Dit alles brengt hoge kosten met zich mee wat betreft veiligheid en beheer, zelfs al zijn enkele efficiënte systemen voor iedereen gratis beschikbaar.

3.2.1.3.4. Niettemin vallen de kosten van het niet beveiligen van gegevens veel hoger uit, omdat steeds gevoeligere informatie via internet wordt verstuurd. Daarnaast zal het beveiligingsaspect in zekere mate meer en meer in de producten zelf worden geïntegreerd.

3.2.1.3.5. Het ESC staat positief tegenover de door de Commissie voorgestelde Europese beleidsaanpak (maar is zich bewust van de beperkingen daarvan) en de noodzaak van overheidsbeleid ter compensatie van de huidige tekortkomingen op de markt en gezien het belang van de sector.

3.2.1.3.6. In de EU-richtlijnen over gegevensbescherming en het regelgevingskader voor telecommunicatie bestaan reeds wettelijke voorschriften. Deze maatregelen dienen evenwel te worden toegepast in een snel veranderende omgeving: technologische ontwikkeling, liberalisering van markten, netwerkconvergentie en mondialisering verlopen in een hoog tempo. Daar komt nog bij dat de marktspelers om in de Mededeling terecht genoemde redenen de neiging vertonen onvoldoende in beveiliging te investeren, hoewel de beveiligingsmarkt wereldwijd snel groeit.

3.2.1.3.7. De Commissie heeft gelijk als zij stelt dat de beveiligingsmarkt nog onvolledig is. Investeringen in beveiligingsinstrumenten zijn alleen rendabel als voldoende anderen voor dezelfde oplossing kiezen. Hierbij dient dus te worden samengewerkt. Voor zover bij een groot aantal producten en diensten gebruik gemaakt blijft worden van eigen oplossingen, dient de ontwikkeling van meer algemeen aanvaarde en veiligere standaards en van interoperabiliteit van de beveiligingssystemen te worden aangemoedigd. Het ESC ziet echter meer in het wereldwijd bevorderen van het gebruik van "common criteria" dan van certificerings- en authentiseringssystemen die de eindgebruiker kunnen benadelen.

3.2.1.3.8. Allereerst moeten de bestaande Europese wettelijke voorschriften op een efficiënte manier worden uitgevoerd. Het rechtskader dient adequaat en doelmatig te blijven en zal daarom zeker permanent moeten worden bijgesteld.

3.2.1.3.9. Ten tweede wordt als gevolg van de huidige omstandigheden op de markt onvoldoende geïnvesteerd in nieuwe technologieën en praktische oplossingen t.a.v. beveiliging. Desondanks kan met behulp van de door de Commissie voorgestelde maatregelen het marktmechanisme (dat trouwens al op gang aan het komen is) een impuls worden gegeven.

3.2.1.3.10. Ten slotte zijn communicatie- en informatiediensten grensoverschrijdend. Derhalve is een Europese beleidsaanpak nodig. Hiermee kan de interne markt voor dit soort diensten worden gerealiseerd, kan van gemeenschappelijke oplossingen worden geprofiteerd en kan op mondiaal niveau doeltreffender worden gehandeld.

3.2.1.3.11. Het ESC kan zich vinden in de idee dat investeringen in een betere netwerkbeveiliging maatschappelijke kosten en baten met zich meebrengen die onvoldoende in de marktprijzen tot uitdrukking komen. Aan de kostenzijde worden de marktspelers op dit moment niet altijd verantwoordelijk gesteld voor de gevolgen van hun gedrag ten aanzien van veiligheid. Volgens het ESC moet er aan deze situatie een einde komen.

3.2.1.3.12. Ook staat het ESC achter de stelling dat de voordelen van beveiliging niet volledig in de marktprijzen zijn terug te vinden. Dit terwijl de investeringen van exploitanten, leveranciers of service providers in de veiligheid van hun producten niet alleen hun klanten ten goede komen, maar in feite een positief effect hebben voor de gehele economie en het algemene veiligheidsniveau van gegevensoverdrachten.

3.2.1.3.13. Daarnaast stelt de Commissie terecht dat gebruikers zich niet bewust zijn van alle veiligheidsrisico's, terwijl een groot deel van de exploitanten, leveranciers en service providers nauwelijks in staat is een goed beeld te krijgen van het bestaan en de omvang van zwakke plekken. Een groot aantal nieuwe diensten, toepassingen en programma's biedt aantrekkelijke mogelijkheden, maar kan tegelijkertijd vaak de kwetsbaarheid doen toenemen. Voordat producten op de markt worden gebracht, zouden ze dan ook uitgebreider moeten worden getest.

3.2.2. Het voorgestelde Europese beleidskader

3.2.2.1. Het ESC is zich ervan bewust dat het world wide web van zichzelf kwetsbaar is. Dit geldt met name voor het verzenden van "pakketjes" gegevens (routing). Ook realiseert het zich dat tengevolge van de alsmaar groeiende hoeveelheid informatie die wordt verstuurd, deze buiten de terminals om niet kan worden beveiligd door algemene filters. Het ESC steunt in grote lijnen de door de Commissie ontwikkelde beleidsaanpak en de daarin voorgestelde maatregelen.

3.2.3. Bewustmaking

3.2.3.1. De voorgestelde maatregelen zijn goed gekozen. Hiermee moet het mogelijk zijn alle betrokken personen en organisaties bewust te maken van de problematiek. De beveiliging van terminals en gegevensoverdrachten hangt voor het grootste deel af van bewustmaking van en voorlichting aan de gebruikers zelf.

3.2.4. Een Europees waarschuwings- en informatiesysteem

3.2.4.1. Het ESC steunt de voorgestelde oprichting van een Europees waarschuwings- en informatiesysteem waarmee gebruikers snel op de hoogte kunnen worden gebracht van problemen en oplossingen hiervoor. Ook steunt het de andere voorstellen van de Commissie over veiligheidsanalyses, snelle opsporing van problemen, verspreiding van informatie en adviezen, en Europese en wereldwijde samenwerking. Tegelijkertijd dienen in de hele Unie hierop toegespitste infrastructurele voorzieningen te worden ontwikkeld die permanent op een effectieve manier aan elkaar zijn gekoppeld.

3.2.4.2. Volgens het ESC zou het vertrouwelijke mechanisme voor de rapportage van aanvallen niet alleen bestemd moeten zijn voor het bedrijfsleven (zoals de Commissie voorstelt), maar ook voor overheden en andere organisaties. Het Comité begrijpt dat het vertrouwelijke karakter van dit mechanisme de bereidheid informatie te verschaffen vergroot, maar wijst erop dat er altijd wordt gelekt en dat hackers ook onthullingen kunnen doen. Derhalve denkt het dat een snelle bekendmaking van aanvallen, tekortkomingen en met name van genomen maatregelen bij het grote publiek eerder vertrouwenwekkend zal werken.

3.2.4.3. De opsporings- en waarschuwingssystemen zouden ook moeten worden ingezet voor het achterhalen van fouten in commerciële of gratis software en van alle andere (technologische) tekortkomingen die de kans op aanvallen vergroten. Hiervoor zou het systeem voor vroegtijdige veiligheidsanalyses kunnen worden gebruikt. Daarmee zou ook de technologische ontwikkeling kunnen worden gevolgd en zou toezicht kunnen worden gehouden op de websites van hackers en aanvallers, op diverse underground publicaties over bruikbare kraakmethodes en op het verschijnen van door scriptkiddies(13) gebruikte kant en klare programma's voor binnendringing of het maken van virussen.

3.2.5. Technologische ondersteuning

3.2.5.1. Het ESC staat achter de voorgestelde ondersteuning van technologisch onderzoek. Het wil er echter op wijzen dat er in de hele wereld niet meer dan enkele tientallen wetenschappers en deskundigen zijn die zich met cryptografie bezighouden. Een groot deel van hen werkt voor het NSA(14). Hoe kan ervoor worden gezorgd dat de Europese deskundigen die nodig zijn voor verder onderzoek, hier blijven? Welke mogelijkheden zijn er in Europa eigenlijk voor handen? Het NSA heeft zo'n 10 tot 15 jaar voorsprong en beschikt over een groot aantal berekenings- en decryptiemethoden. Het lijkt moeilijk deze achterstand snel in te lopen. De vraag is nu welke concrete middelen (die noodzakelijkerwijs aanzienlijk moeten zijn) voor onderzoek worden uitgetrokken(15).

3.2.5.2. Als aanvulling hierop zou kunnen worden gekozen voor een beleid gericht op integratie van hackers en "informele" deskundigen in plaats van elk contact met hen af te wijzen, hen uit te sluiten of op hun daden buitensporig hoge straffen te stellen, alsof ze zeer ernstige strafbare feiten zouden hebben begaan. Het lijkt er echter op dat het zwaar bestraffen van personen die de maatschappij of iemand anders geen enkele directe schade hebben toegebracht, steeds gebruikelijker wordt in Europa. Computerpiraterij of terroristische aanvallen op netwerken dienen altijd te worden bestraft op een wijze dat nieuwe daders hierdoor worden afgeschrikt. Deze daden mogen echter niet systematisch worden gelijkgesteld aan handelingen waarmee gaten in de beveiliging worden aangetoond, die als doel hebben softwareprogrammeurs of netwerkbeheerders hiervan op de hoogte te stellen, zodat zij de beveiliging kunnen verbeteren. Voorafgaande geldt uiteraard niet als genoemde handelingen worden verricht met kwade bedoelingen (bijv. sabotage, vervalsen van vertrouwelijke gegevens, heimelijk gebruiken van een netwerk, persoonlijke verrijking of verspreiding van virussen).

3.2.5.3. Openbaarmaking van bijvoorbeeld gaten in de beveiliging zonder dat de direct betrokkenen hierover tijdig zijn geïnformeerd en zonder hun toestemming is niettemin afkeurenswaardig. Een dergelijk handelen kan aanleiding geven tot een gepaste strafrechtelijke vervolging. Voor degenen echter die geen ernstig misdrijf plegen noch financiële schade veroorzaken, zou moeite moeten worden gedaan hen bij legale activiteiten te betrekken en de maatschappij van hun vaardigheden te laten profiteren. Zo zou kunnen worden voorkomen dat deze vaak unieke bekwaamheden voor maladide doeleinden worden aangewend of door criminelen of terroristen worden gebruikt. De kans hierop is wel groot als de gepleegde handelingen maatschappelijk worden verworpen en strafbaar gesteld.

3.2.6. Steun voor marktgeoriënteerde standaardiserings- en certificeringswerkzaamheden

3.2.6.1. Het ESC kan zich vinden in de analyse van de Commissie over het te grote aantal concurrerende normen en systemen. Deze vormen een belemmering voor netwerkbeveiliging en staan vooruitgang op het gebied van veilige elektronische handtekeningen en betaalwijzen in de weg. Het ESC wijst op de behoefte aan interoperabiliteit en gemeenschappelijke normen en criteria waarmee een marktrigiditeit kan worden voorkomen.

3.2.6.2. Het ESC steunt de voorgestelde maatregelen, maar wil in dit opzicht ook wijzen op enkele problemen die samenhangen met de aard en samenstelling van het huidige "internetbestuur". In feite is dit een particuliere instelling die niet representatief is, maar die wel de normen vaststelt. Hier is dan ook een lange adem, veel geduld en samenwerking nodig.

3.2.7. Wettelijk kader

3.2.7.1. Het ESC is het eens met het voorstel om in het bestaande wettelijk kader voor telecommunicatie en gegevensbescherming specificaties aan te brengen voor netwerken en internet.

3.2.7.2. De voorgestelde maatregelen zijn goed gekozen. Het ESC is positief over de beoogde initiatieven voor een geharmoniseerde strafwetgeving en voor versterking van de strafrechtelijke samenwerking tussen de lidstaten bij de bestrijding van computercriminaliteit, zonder dat hierbij de liberalisering van de handel in ingewikkelde encryptiemethoden ter discussie wordt gesteld. Alleen hiermee immers kunnen gegevens doeltreffend worden beveiligd. Bij de bestrijding van computercriminaliteit speelt samenwerking op civiel- en handelsrechtelijk gebied eveneens een belangrijke rol (bijv. bij het oprollen van witwascircuits, belastingfraude).

3.2.7.3. De samenwerking op strafrechtelijk gebied zou echter moeten worden uitgebreid naar mondiaal niveau en de betreffende Europese strategie zou in het voorgestelde beleidskader onderwerp moeten worden van een actielijn. Het ESC is ermee ingenomen dat een formeel voorstel van de Commissie hierover de komende weken wordt verwacht.

3.2.8. Veiligheid van toepassingen bij de overheid

3.2.8.1. Het ESC staat achter de voorgestelde maatregelen. Een aanzienlijk deel van de gegevens die tussen overheden en burgers wordt uitgewisseld, heeft namelijk een persoonlijke karakter en bovendien lopen de sites van overheden kans door terroristen te worden aangevallen om redenen die te maken hebben met de binnenlandse of buitenlandse politiek van een staat, zoals recent bleek bij de virussen Code Red (een computerworm) en Nimda. De Commissie zou deze motieven moeten zien als extra gronden om de beveiliging van haar officiële sites en netwerken en die van de lidstaten permanent te verbeteren.

3.2.9. Internationale samenwerking

3.2.9.1. Volgens het ESC is dit een essentieel maar precair en lastig onderdeel van het Europese beleid inzake netwerk- en informatieveiligheid, dat een aanzienlijke drukt legt op de interne solidariteit, het buitenlands beleid, de gemeenschappelijke veiligheid en voor het bestuur en beheer van het internet en van de onderling op elkaar aangesloten netwerken.

3.2.9.2. De door de Commissie voorgestelde maatregel om de samenwerking met de verschillende internationale organisaties voort te zetten en te intensiveren, in het bijzonder wat betreft de groeiende afhankelijkheid van elektronische netwerken, is diplomatiek geformuleerd en nietszeggend.

3.2.9.3. Toch is het ESC van mening dat ook binnen de geëigende internationale organisaties en in het kader van de transatlantische dialoog het debat zou moeten worden voortgezet. Dit zou dan moeten gaan over veiligheid en beveiliging, interoperabiliteit van codes en encryptiemethoden en eventuele zwakke plekken in bepaalde standaards waarvan sommigen wel op de hoogte zijn maar ze desondanks niet openbaar maken. Het zou eveneens wenselijk zijn nauwer samen te werken op het gebied van het wereldwijd rondsturen van persoonlijke gegevens en straf- en civielrechtelijke samenwerking bij de bestrijding van computercriminaliteit. Dit komt kortweg neer op een effectieve beveiliging en een doorzichtig en evenwichtig beheer van het wereldwijde netwerk, waarvan het strategisch belang nu wordt beschouwd als essentieel voor het leven en welzijn van de mensen. De OESO houdt zich reeds bezig met vraagstukken over netwerkveiligheid en is dan ook een van de instanties die geschikt is voor internationale samenwerking op dit gebied. Het is noodzakelijk dat er op wereldniveau snel praktische resultaten worden bereikt.

3.2.9.4. Het ESC hecht veel waarde aan het voorstel van de Commissie op Europees niveau een forum op te richten waarvan alle betrokken partijen deel zouden moeten uitmaken, dat over de gehele problematiek zou moeten discussiëren en de instellingen oplossingen zou moeten voorstellen.

4. Conclusies

4.1. Ten behoeve van netwerk- en informatieveiligheid zijn er verschillende, redelijk adequate oplossingen voorhanden (zowel hardware als softwareprogramma's), zoals die welke in de Mededeling worden genoemd. De integriteit van gegevens kan bovendien ook worden gewaarborgd door gebruik te maken van een digitale, unieke algoritme. Deze toont aan dat een verzonden bestand niet is gewijzigd.

4.2. Niettemin zijn voor het ESC bewustmaking van de gebruikers en voorlichting en scholing de pijlers onder elke beveiligingsstrategie. Als het hieraan ontbreekt zullen de beschikbare instrumenten en oplossingen immers niet correct worden gebruikt. Daarnaast kan er hierdoor voor worden gezorgd dat het algemene vertrouwen in het hele systeem groeit zolang iedereen regelmatig elementaire voorzorgsmaatregelen neemt en het bedrijfsleven voldoende investeert in de beveiliging van zijn systemen.

4.3. De kosten van beveiliging zijn echter erg hoog en het gebrek aan interoperabiliteit van de oplossingen vormt een grote hindernis. Hier kan open software soelaas bieden omdat deze concurrentie en onderlinge rivaliteit stimuleert.

4.4. Als deze problemen niet snel op Europees en mondiaal niveau worden opgelost, blijven ze ook in de toekomst de ontwikkeling van eEurope, van de e-commerce en van het management van bedrijven en overheidsdiensten afremmen. Daar komt bij dat Europa in het "internetbestuur" meer invloed moet krijgen.

4.5. Het is ten behoeve van de netwerkveiligheid hoe dan ook noodzakelijk dat effectieve en op maat gesneden beveiligings- en voorzorgsmaatregelen op grote schaal worden ingevoerd. Het maakt daarbij niet uit of het gaat om software voor particulieren (antivirusprogramma's die regelmatig worden geüpdatet) of gecombineerde en meer of minder verregaande oplossingen voor de overige gebruikers (firewalls, controle van externe verbindingspoorten, gedemilitariseerde zones [DMZ(16)], anti-virus shields en andere relevante hard- en software).

4.6. Het valt onder verantwoordelijkheid van de lidstaten geschikte strafbepalingen op te stellen en zo computercriminelen af te schrikken, maar het ESC vindt het een taak van de Commissie een algemeen overkoepelend kader op te stellen ten behoeve van een communautaire strafrechtelijke aanpak en internationale gerechtelijke samenwerking.

4.7. Overwogen zou moeten worden of het op de markt brengen van producten waarin opzettelijk backdoors(17) kunnen zijn aangebracht (die soms pas na jaren worden ontdekt), moet worden verboden en strafbaar gesteld. Dit geldt ook voor spionageprogramma's (spyware), die vaak verpakt zitten in demo's, bepaalde gratis softwareprogramma's en sommige systemen voor het on line registreren van licenties.

4.8. Zelfs het corrigeren van niet bij voorbaat opzettelijk in programma's aangebrachte fouten duurt enige tijd, waardoor ze als backdoors kunnen worden gebruikt door personen die van het bestaan ervan op de hoogte zijn.

4.9. Nationale, onafhankelijke, onpartijdige en representatieve ad hoc-instanties - of dit nu bestaande instanties zijn waarvan de taak zou moeten worden uitgebreid, of nog op te richten instanties op plaatsen waar deze nog ontbreken (in de kandidaat-lidstaten; ook zij moeten bij deze problematiek worden betrokken) - zouden zich met netwerk- en informatieveiligheid moeten gaan bezighouden en hiertoe voorstellen moeten formuleren en standaards ontwikkelen, waarbij ze de grondrechten dienen te eerbiedigen. Bovendien zou in wetsvoorstellen die op dit moment worden voorbereid, moeten worden aangedrongen op nader onderzoek, teneinde de eisen die de strijd tegen het terrorisme stelt, en de individuele vrijheden, die behouden moeten blijven, met elkaar te verenigen.

4.10. Het Economisch en Sociaal Comité vindt dat internet hoe dan ook flexibel en gemakkelijk toegankelijk moet blijven. Het moet in een open en democratische samenleving een plaats blijven waar de vrijheid van informatie en communicatie kan worden uitgeoefend. Tegelijkertijd moet het er voor de diverse gebruikers veiliger worden, met behoud van de zeer diverse en alsmaar groeiende legale doeleinden waarvoor het net wordt gebruikt.

Brussel, 28 november 2001.

De voorzitter

van het Economisch en Sociaal Comité

G. Frerichs

(1) Op grond van norm Ipv6 zijn er 6000 miljard IP-adressen beschikbaar.

(2) Advies over de "Mededeling van de Commissie aan de Raad, het Europees Parlement, het Economisch en Sociaal Comité en het Comité van de Regio's - De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden" (CES 1115/2001) (nog niet verschenen in het Publicatieblad).

(3) ESC-advies over een programma voor de bescherming van kinderen op internet (wordt opgesteld).

(4) Zie ESC-adviezen over "Netwerken en elektronische communicatie" (PB C 123 van 25.4.2001, blz. 50), over "Elektronische handel" (PB C 169 van 16.6.1999, blz. 36) en over "De gevolgen van de elektronische handel voor de interne markt" (PB C 123 van 25.4.2001, blz. 1).

(5) ESC-advies: PB C 117 van 26.4.2000, blz. 1.

(6) GPL: general public licence; licentie waarin het intellectuele eigendomsrecht van de maker van de open software wordt erkend.

(7) ESC-advies over een programma voor de bescherming van kinderen op internet (wordt opgesteld).Zie ESC-adviezen over "Netwerken en elektronische communicatie" (PB C 123 van 25.4.2001, blz. 50), over "Elektronische handel" (PB C 169 van 16.6.1999, blz. 36) en over "De gevolgen van de elektronische handel voor de interne markt" (PB C 123 van 25.4.2001, blz. 1).

(8) Ondernemingen die belast zijn met de toewijzing en het beheer van bepaalde topniveaudomeinnamen.

(9) Richtlijn over de bescherming van gegevens in de telecommunicatiesector (PB L 24 van 30.1.1998).

(10) PB L 199 van 26.7.1997.

(11) PB L 101 van 1.4.1998.

(12) Richtlijn 1999/93/EG van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen, PB L 13 van 19.1.2000, blz. 12.

(13) Beginnende hackers zonder veel technische kennis die er plezier aan beleven programma's en aanwijzingen om computerkraken uit te voeren en virussen te maken, van underground sites te halen en vervolgens zelf te gebruiken.

(14) National Security Agency, het agentschap voor nationale veiligheid in de Verenigde Staten.

(15) ESC-advies over het zesde kaderprogramma OTO (PB C 260 van 17.9.2001, blz. 3).

(16) DMZ: DeMilitarised Zone, een soort bufferzone die het interne netwerk van de buitenwereld afschermt.

(17) Gat in een computerprogramma waardoor mensen die van het bestaan hiervan op de hoogte zijn, altijd in het programma kunnen komen.