52006DC0251

[pic] | EUROPEISKA GEMENSKAPERNAS KOMMISSION |

Bryssel den 31.5.2006

KOM(2006) 251 slutlig

MEDDELANDE FRÅN KOMMISSIONEN TILL RÅDET, EUROPAPARLAMENTET, EUROPEISKA EKONOMISKA OCH SOCIALA KOMMITTÉN SAMT REGIONKOMMITTÉN

En strategi för ett säkert informationssamhälle – ”Dialog, partnerskap och användarinflytande” {SEK(2006) 656}

INNEHÅLL

1. Inledning 3

2. Ett säkrare informationssamhälle: de viktigaste frågorna 4

3. En dynamisk strategis för ett säkert informationssamhälle 6

3.1. Dialoger 8

3.2. Partnerskap 8

3.3. Delaktighet 9

4. Slutsatser 10

MEDDELANDE FRÅN KOMMISSIONEN TILL RÅDET, EUROPAPARLAMENTET, EUROPEISKA EKONOMISKA OCH SOCIALA KOMMITTÉN SAMT REGIONKOMMITTÉN

En strategi för ett säkert informationssamhälle – ”Dialog, partnerskap och användarinflytande”

Inledning

Meddelandet ”i2010 – Det europeiska informationssamhället för tillväxt och sysselsättning”[1] visade hur viktigt det är med nätverks- och informationssäkerhet om man vill skapa ett gemensamt informationsområde i EU. Vår ekonomi och vårt samhälles alla strukturer blir allt mer beroende av nätverkens och informationssystemens tillgänglighet, tillförlitlighet och säkerhet.

Syftet med detta meddelande är att blåsa nytt liv i Europeiska kommissionens strategi så som den beskrivs i 2001 års meddelande Nät och informationssäkerhet: förslag till en europeisk strategi [2]. Där redogörs det för de säkerhetshot som informationssamhället utsätts för i dag, och för vad som kan göras för att öka nätverks- och informationssäkerheten.

Målet är att utgående från de erfarenheter som medlemsstaterna och Europeiska gemenskapen gjort vidareutveckla en dynamisk och omfattande strategi för EU, grundad på en säkerhetskultur och på dialog, partnerskap och användarinflytande.

Europeiska gemenskapen har utvecklat ett tredelat system för att bekämpa informationssamhällets säkerhetsproblem, nämligen med specifika åtgärder för nätverks- och informationssäkerhet, de rättsliga ramarna för elektronisk kommunikation (som också omfattar integritetsskydd och skydd av personuppgifter), samt kompen mot databrottsligheten. Dessa tre aspekter kan visserligen i viss mån behandlas var och en för sig, men de hänger ihop på många punkter, vilket nödvändiggör en samordnad strategi. I detta meddelade beskrivs strategin och ramarna för vidareutvecklad och förbättrad hantering av nätverks- och informationssäkerheten.

I 2001 års meddelande beskrivs nätverks- och informationssäkerheten som ” förmågan hos ett nät att tåla, vid en viss tillförlitlighetsnivå, olyckshändelser eller illvilligt uppträdande som äventyrar tillgängligheten, äktheten (autentisering), integriteten och konfidentialiteten hos lagrade eller vidarebefordrade data och besläktade tjänster som tillhandahålls av eller är tillgängliga via dessa nät .” På senare år har Europeiska gemenskapen gjort en rad insatser för att förbättra nätverks- och informationssäkerheten.

De rättsliga ramarna för elektronisk kommunikation håller på att ses över. De omfattar även säkerhetsbestämmelser. Bland annat innehåller direktivet om integritet och elektronisk kommunikation[3] en bestämmelse om att de som tillhandahåller offentligt tillgängliga tjänster för elektronisk kommunikation måste garantera tjänsternas säkerhet. Dessutom fastställs bestämmelser om skräppost[4] och spionprogram[5].

Förtroende och säkerhet är också viktiga frågor i Europeiska gemenskapens program för forskning och utveckling. I sjätte ramprogrammet för forskning tas dessa frågor upp i en mängd olika projekt. Säkerhetsrelaterad forskning skall förstärkas ytterligare i sjunde ramprogrammet, genom att det inrättas ett europeiskt program för säkerhetsforskning[6]. Programmet Safer Internet Plus ger dessutom stöd till nätverksprojekt och till utbyte av effektiva metoder för att bekämpa skadliga innehåll som cirkulerar inom informationsnäten.

Som en del av insatserna mot säkerhetshoten beslöt Europeiska kommissionen år 2004 att skapa Europeiska byrån för nät- och informationssäkerhet (ENISA). Byrån bidrar till utvecklingen av en säkerhetskultur för nätverk och information som gagnar allmänheten, konsumenterna, företagen och den offentliga sektorns organisationer över hela EU.

EU spelar också en aktiv roll i de olika internationella fora som behandlar dessa frågor, till exempel OECD, Europarådet och FN. Vid världstoppmötet om informationssamhället i Tunis gav EU ett kraftigt bidrag till diskussionen om tillgänglighet, tillförlitlighet och säkerhet för nätverk och information. Tunisagendan[7], som tillsammans med Tunisåtagandet fastställer nästa etapper i den strategiska debatten om det globala informationssamhället så som det förespråkas av världens ledare, pekar på behovet av fortsatt kamp mot databrottslighet och skräppost samtidigt som privatlivet och yttrandefriheten skyddas. TAIS slår även fast att det för att få en gemensam förståelse för frågorna om Internetsäkerhet behövs ytterligare samarbete för att underlätta insamling och spridning av säkerhetsrelaterad information och utbyte av god praxis bland alla berörda parter i fråga om hur man kan bekämpa säkerhetsriskerna.

Ett säkrare informationssamhälle: de viktigaste frågorna

Trots ansträngningar på internationell, europeisk och nationell nivå är säkerheten fortfarande ett mycket trängande problem.

Bakom anfallen mot informationssystemen ligger allt oftare vinstlystnad, och inte bara en önskan att skapa störningar för sakens egen skull. Uppgifter samlas olagligen och allt oftare utan att användarna ens vet om det, och de olika typerna av sabotageprogram[8] (och deras utvecklingstakt) ökar snabbt. Ett bra exempel på denna utveckling är skräpposten: den har blivit en inkörsport för virus, bedrägerier och annan brottslig verksamhet, som spionprogram, phishing[9] och andra former av sabotageprogram. Skräpposten sprids i allt större utsträckning genom botnets[10], dvs. servrar och datorer som har tagits över och används utan ägarnas vetskap.

Allt eftersom mobila apparater (inbegripet tredje generationens mobiltelefoner, bärbara datorspel osv.) och mobilbaserade nättjänster blir vanligare uppstår nya problem, när IP-baserade tjänster utvecklas i snabb takt. De kan så småningom bli en vanligare väg för attacker än persondatorerna, eftersom persondatorerna redan har utvecklat en betydande säkerhetsnivå. Alla nya former av kommunikationsplattformar och informationssystem ger oundvikligen nya inkörsportar för illvilliga attacker.

En annan betydelsefull utveckling är uppkomsten av intelligenta miljöer där intelligenta apparater med stöd av dator- och nätverksteknik finns överallt (t.ex. genom RFID[11], IPv6 och sensornät). En fullständigt sammankopplad och länkad vardag kan ge enorma möjligheter. Men den medför också nya säkerhets- och integritetsrelaterade risker. Gemensamma plattformar och tillämpningar innebär visserligen en stor förbättring av driftskompatibiliteten och spridningen av informations- och kommunikationstekniken (IKT) men de kan även medföra risker. Ju mer standardmjukvara som används, till exempel, desto större blir följderna när någon utnyttjar mjukvarans svagheter eller den uppvisar fel. Uppkomsten av ”monokulturer” av mjukvaruplattformar och tillämpningar kan underlätta tillväxten och spridningen av säkerhetsrisker som sabotageprogram och virus enormt. Diversitet, öppenhet och driftskompatibilitet är viktiga säkerhetsaspekter och bör främjas .

IKT-sektorns betydelse för Europas ekonomi och samhälle är obestridlig. Den är av avgörande betydelse för nyskapande och bidrar med nästan 40 % av produktivitetstillväxten. Dessutom är den i sig själv en ytterst innovativ sektor som står för över en fjärdedel av EU:s sammanlagda FoU-insatser. Den bidrar också kraftigt till ekonomisk tillväxt och sysselsättning i näringslivets alla sektorer. Allt fler européer lever i ett verkligt informationsbaserat samhälle där IKT-användningen ökar explosionsartat och har blivit en grundläggande funktion i människornas sociala och ekonomiska samspel. Enligt Eurostat använde 89 % av EU:s företag Internet aktivt år 2004 och ungefär 50 % av konsumenterna hade nyligen använt Internet[12].

Luckor i nät- och informationssäkerheten kan få effekter som vida överskrider den ekonomiska dimensionen. Man oroar sig allmänt för att säkerhetsproblem kan avskräcka användare och minska spridningen av IKT, vars tillgänglighet, tillförlitlighet och säkerhet är förutsättningar för att människors grundläggande rättigheter skall kunna garanteras på nätet.

Med den ökande sammanlänkningen mellan nät blir dessutom andra viktiga infrastrukturer som exempelvis transport och energi allt mer beroende av att deras informationssystem är säkra.

riskerna underskattas fortfarande både av EU:s företag och av allmänheten. Detta har många orsaker, men den viktigaste orsaken för företag tycks vara att avkastningen av investeringar i säkerhet syns så dåligt. För allmänheten är det främst det faktum att de inte känner till sitt ansvar i fen globala säkerhetskedjan som är avgörande.

Eftersom IKT och informationssystem finns överallt är nät- och informationssäkerhet en fråga som berör alla.

- Offentliga myndigheter måste se till att deras system är säkra, och inte bara för att skydda information inom den offentliga sektorn, utan också för att föregå med gott exempel och visa andra aktörer bästa praxis.

- Företag måste se nät- och informationssäkerhet mer som en tillgång och en del av deras konkurrensövertag än som en ”negativ utgift”.

- De enskilda användarna måste förstå att deras hemsystem är en viktig länk i den allmänna ”säkerhetskedjan”.

För att på bästa sätt lösa de problem som nämnts behöver de berörda parterna tillförlitliga uppgifter om händelser och utvecklingar som berör informationssäkerheten. Det är emellertid av många orsaker svårt att komma åt tillförlitliga och kompletta uppgifter om sådana händelser. Bland annat sker säkerhetstillbuden ofta mycket hastigt, och många organisationer är också mycket ovilliga att erkänna och offentliggöra brott mot deras säkerhet. En grundförutsättning om man vill utveckla en säkerhetskultur är emellertid att vi ökar vår kunskap om problemen.

Det är viktigt att informationskampanjer avsedda att belysa säkerhetsrisker inte undergräver konsumenternas och användarnas förtroende och tillit genom att enbart lyfta fram de negativa säkerhetsaspekterna. Man bör därför överallt där så är möjligt presentera nät- och informationssäkerhet som en dygd och en möjlighet snarare än ett riskmoment och en kostnadsfaktor. Det är viktigt att säkerheten ses som en tillgång för att bygga upp förtroende och vinna konsumenternas tillit, en konkurrensfördel för företag som driver informationssystem och en fråga om tjänstekvalitet för tjänsteleverantörer både inom den offentliga och den privata sektorn.

Det viktigaste målet för beslutsfattarna är att få till ett holistiskt tillvägagångssätt. Därvid måste man se de olika berörda parternas respektive roll i sammanhanget. Samordning mellan de olika offentliga strategier och rättsliga bestämmelser som direkt eller indirekt påverkar nät- och informationssäkerheten måste garanteras. Liberaliseringen, avregleringen och sammanflätningen har lett till de olika grupperna av berörda parter består av en mångfald olika aktörer, vilket inte gör saken lättare. ENISA kan bidra kraftigt till att detta mål uppnås. Byrån kan fungera som ett forum för utbyte av information, samarbete mellan alla parter och information om bästa metoder, både inom EU och med den övriga världen. På så sätt kan byrån bidra till IKT-sektorns konkurrenskraft och till en väl fungerande inre marknad.

En dynamisk strategis för ett säkert informationssamhälle

Ett säkert informationssamhälle måste utgå från ökad nät- och informationssäkerhet och en väletablerad säkerhetskultur . Därför föreslår Europeiska kommissionen en dynamisk och samordnad strategi som omfattar alla berörda parter och grundas på dialog och användarinflytande . Den offentliga och den privata sektorn kompletterar varandra i skapandet av en säkerhetskultur, och därför måste strategiska initiativ på detta område utgå från en öppen dialog mellan alla berörda parter .

Under loppet av 2006 kommer denna strategi och tillhörande insatser att komplettera och berika den vidare utvecklingen av kommissionens plan för en omfattande och dynamisk strategisk ram.

1. Utvecklingen av skräppost och andra hot, som spionprogram och andra former av sabotageprogram skall tas upp i ett meddelande om dessa frågor.

2. Förslag om förbättrat samarbete mellan regleringsmyndigheter, och om hanteringen av nya former av brottslighet som utnyttjar Internet och undergräver viktiga infrastrukturer skall läggas fram. Detta kommer att tas upp i ett särskilt meddelande om databrottslighet.

Dessa initiativ kompletterar dessutom de insatser som planeras för att uppnå målen i kommissionens grönbok om ett europeiskt program för skydd av kritisk infrastruktur[13], som utarbetats på begäran av rådet i december 2004. Grönboken väntas leda till en handlingsplan som kombinerar en allmän, övergripande strategi för skydd av kritisk infrastruktur med de nödvändiga sektorsspecifika strategierna, bland annat en för IKT-sektorn. Den sektorsbundna strategin för IKT-sektorn skulle, genom en dialog mellan de berörda parterna , undersöka de viktigaste ekonomiska, företagsmässiga och samhälleliga drivkrafterna i syfte att öka nätverkens och informationssystemens säkerhet och motståndskraft.

Dessutom kommer man i 2006 års genomgång av regelverket för elektronisk kommunikation att undersöka hur nät- och informationssäkerheten kan förbättras, till exempel genom tjänsteleverantörernas tekniska och organisatoriska insatser, bestämmelser om hur man handskas med säkerhetsbrott och specifika lösningar på och påföljder för dem som inte uppfyller sina skyldigheter.

Det är i första hand den privata sektorn som skall förse slutanvändarna med lösningar, tjänster och säkerhetsprodukter. Därför är det strategiskt viktigt att den europeiska industrin både är en krävande användare av säkerhetsprodukter och –tjänster, och en konkurrenskraftig leverantör av nät- och informationssäkerhetsprodukter och –tjänster.

Nationella regeringar måste kunna identifiera och införa de bästa metoderna i sin politik, och samtidigt visa sitt engagemang för dessa politiska mål genom att sköta sina egna informationssystem på ett säkert sätt. Offentliga myndigheter, både i medlemsstaterna och på EU-nivå, har en viktig uppgift i att informera användarna korrekt så att dessa kan bidra till sin egen säkerhet. En prioritering bör vara att öka medvetenheten om nät- och informationssäkerhet och ge korrekt information i rätt ögonblick genom särskilda e-säkerhetsservrar, både om hot, risker och varningar, och om bästa metoder. Ett viktigt mål för Europeiska byrån för nät- och informationssäkerhet (ENISA) skulle därför kunna vara att undersöka möjligheterna att skapa ett EU-omfattande, flerspråkigt system för informationsutbyte och alarmering som kunde utgå ifrån och länka samman befintliga och planerade nationella initiativ, både på den offentliga och den privata sektorn.

Nät- och informationssäkerhetens globala dimension innebär att kommissionen både internationellt och i samordning med medlemsstaterna måste öka sina ansträngningar att främja ett globalt samarbete om nät- och informationssäkerhet , bland annat genom att genomföra den dagordning som antogs vid världstoppmötet om informationssamhället i november 2005.

Slutligen kan forskning och utveckling, inte minst på EU-nivå, bidra till uppkomsten av nya och nyskapande samarbeten som kan driva på den europeiska IKT-industrins tillväxt, och då särskilt främja den europeiska IKT-säkerhetsindustrin. Kommissionen kommer därför att försöka se till att det inom EU:s sjunde ramprogram avsätts tillräckliga ekonomiska resurser för forskning om när- och informationssäkerhet och tillförlitlig teknik.

Dialoger

Som ett första steg för att förbättra dialogen mellan offentliga myndigheter föreslår kommissionen att inleda en jämförelse mellan medlemsstaternas nät- och informationssäkerhetsrelaterade strategier, inbegripet särskilda säkerhetsstrategier för den offentliga sektorn. Denna riktmärkning kan bidra till att ta fram bästa metoder som sedan kan tillämpas mer allmänt i EU och göra de offentliga förvaltningarna till drivfjädrar i fråga om goda säkerhetsmetoder. De insatser som görs i fråga om elektronisk identifiering, till exempel inom ramen för den nya handlingsplanen för e-förvaltning, kan spela en viktig roll i detta sammanhang.

Resultaten från en sådan jämförelse skulle, om de struktureras på rätt sätt, göra det möjligt att hitta de bästa metoderna för att bland de små och medelstora företagen och allmänheten öka medvetenheten om att de själva måste ta itu med sina specifika nät- och informationssäkerhetsfrågor och –krav, och se om de är i stånd att göra detta. ENISA skulle kunna spela en aktiv roll i denna dialog och bidra till konsolidering och utbyte av bästa metoder.

Den behövs en strukturerad debatt mellan alla berörda parter om hur man bäst kan utnyttja befintliga instrument och rättsakter för att uppnå den balans som samhället behöver mellan säkerhet och skydd av grundläggande rättigheter som privatlivet. Den planerade konferensen ”i2010 – Towards a Ubiquitous European Information Society” (i2010 – Mot ett europeiskt informationssamhälle för alla), som skall organiseras av det påföljande finska ordförandeskapet, och samrådet om radiofrekvensidentifieringens konsekvenser för säkerhet och skydd av privatlivet, som ingår i det mer allmänna samråd som kommissionen nyligen inlett, kommer att bidra till denna debatt. Kommissionen kommer bland annat också att organisera följande:

- Ett företagsevenemang för att främja näringslivets engagemang för att finna effektiva sätt att införa en säkerhetskultur inom näringslivet.

- Ett seminarium om hur man kan öka medvetenheten om säkerhetsfrågor och förstärka slutanvändarnas förtroende för nya elektroniska nät och informationssystem.

Partnerskap

Det är viktigt att verkligen förstå problemens art och omfattning om man skall kunna föra en effektiv politik. Därför behövs det inte bara tillförlitliga och aktuella statistiska och ekonomiska uppgifter om informationssäkerhetstillbud och konsumenternas och användarnas grad av förtroende, utan också aktuella uppgifter om hur stor IKT-säkerhetsindustrin i EU är och åt vilket håll den utvecklas. Kommissionen har för avsikt att be ENISA att utveckla ett förtroendefullt samarbete med medlemsstaterna och de berörda parterna för att utarbeta ramar för datainsamling , dvs. förfaranden och mekanismer för att samla in och analysera EU-omfattande uppgifter om säkerhetstillbud och konsumenternas förtroende.

Eftersom EU:s marknader är så uppsplittrade och ofta specifika till sin natur kommer kommissionen samtidig att uppmana medlemsstaterna, den privata sektorn och forskningssamfundet att utveckla ett strategiskt samarbete för att garantera tillgången till uppgifter om IKT-säkerhetsindustrin och marknadstendenserna för produkter och tjänster i EU.

I syfte att förbättra EU:s möjligheter att bemöta nätsäkerhetshot kommer kommissionen att be ENISA att undersöka om det är möjligt att skapa ett europeiskt system för informationsutbyte och varning som kan underlätta effektiva reaktioner på befintliga och nytillkomna hot mot elektroniska nät. En förutsättning för ett sådant system vore en flerspråkig EU-portal som kan e skräddarsydd information om hot, risker och varningar.

Delaktighet

De olika berörda parternas delaktighet är en förutsättning för att man skall kunna öka medvetenheten om säkerhetsbehov och –risker och främja nät- och informationssäkerheten.

Därför vill kommissionen uppmana medlemsstaterna att

- på ett föregripande sätt delta i den föreslagna jämförelsen av nationella strategier för nät- och informationssäkerhet,

- i nära samarbete med ENISA främja informationskampanjer om fördelarna och vinsterna med att införa effektiv säkerhetsteknik och effektiva metoder och beteenden,

- driva på spridningen av e-förvaltningstjänster för att informera om och främja goda säkerhetsmetoder som sedan kan spridas till andra sektorer,

- främja utvecklingen av program för nät- och informationssäkerhet som del av högskolornas läroplaner.

Kommissionen uppmanar också de berörda parterna inom den privata sektorn att ta initiativ för att

- utveckla en lämplig definition av det ansvar som vilar på tillverkarna av mjukvara och Internets tjänsteleverantörer i fråga om att tillhandahålla lämpliga och kontrollerbara säkerhetsnivåer, (här krävs stöd till standardiserade förfaranden som kan uppfylla gemensamt överenskomna säkerhetsnormer och bestämmelser om bästa praxis),

- främja diversifiering, öppenhet, driftskompatibilitet, användarvänlighet och konkurrenskraft som drivfjädrar för säkerhet, och uppmuntra till användning av säkerhetshöjande produkter, förfaranden och tjänster som kan motverka och bekämpa id-stöld och andra angrepp på privatlivets skydd,

- sprida god säkerhetsmetodik för nätoperatörer, tjänsteleverantörer och små- och medelstora företag som en slags grundnivå för säkerhet och kontinuitet i fråga om verksamheten,

- främja utbildningsprogram inom affärssektorn, inte minst för små och medelstora företag, så att de anställda får den kunskap och de färdigheter som behövs för att effektivt tillämpa säkerhetsmetoderna,

- sträva efter betalbara system för säkerhetscertifiering för produkter, processer och tjänster som kan uppfylla EU:s särskilda behov (inte minst i fråga om skydd av privatlivet),

- engagera försäkringssektorn i utvecklingen av lämpliga riskhanteringsverktyg och metoder för att hantera IKT-relaterade risker och främja en riskhanteringskultur inom organisationer och företag (inte minst små och medelstora företag).

Slutsatser

Alla berörda parter måste vara aktivt delaktiga om man skall kunna identifiera och lösa säkerhetsproblemen kring informationssystem och nätverk i EU. Den strategi som skildras i detta meddelande vill uppnå detta genom att uppmuntra till insatser där flera berörda parter samarbetar . Detta skulle bygga på gemensamt intresse, och de olika parternas respektive roll skulle framhävas. Därigenom skulle man utveckla en dynamisk ram för att främja en effektiv offentlig beslutsprocess och effektiva insatser från den privata sektorn.

I mitten av 2007 kommer kommissionen att rapportera till rådet och Europaparlamentet om vilka insatser som inletts och vad man hittills kommit fram till, samt hur långt man kommit med de olika insatserna (inbegripet ENISA:s verksamhet och medlemsstaternas och den privata sektorns insatser). Vid behov kommer kommissionen att föreslå en rekommendation om nät- och informationssäkerhet.

[1] KOM(2005) 229 slutlig av den 1 juni 2005.

[2] KOM(2001) 298 slutlig av den 6 juni 2001.

[3] Direktiv 2002/58/EG.

[4] Oönskade kommersiella meddelanden.

[5] Spionprogram är mjukvara som sätts in utan adekvat förvarning och utan användarens medgivande eller kontroll.

[6] Detta förbereds för närvarande genom en förberedande åtgärd för säkerhetsforskning som pågår under från 2004 till slutet av 2006.

[7] För ett globalt partnerskap i informationssamhället: Uppföljning av Tunisfasen av världstoppmötet om informationssamhället (WSIS), KOM(2006)181 slutlig av den 27 april 2006.

[8] Sabotageprogram, på engelska malware.

[9] Phishing är en form av Internetbedrägeri där värdefulla uppgifter som kreditkortsnummer, bankkontonummer, användarnamn och lösenord stjäls.

[10] Botnets är nätsamanslutningar av s.k. ”bots”, dvs. tillämpningar som genom fjärrstyrning utför uppgifter åt någon annan, och som i hemlighet installerats på offrets dator.

[11] Radiofrekvensidentifiering.

12 Eurostat, Internet activities in the European Union, 40/2005.

[12] KOM(2005) 576 slutlig, 17.11.2005.