92003E0780

SKRIFTLIG FRÅGA P-0780/03

från Elly Plooij-van Gorsel (ELDR) till kommissionen

(7 mars 2003)

Ämne: President Bushs befogenheter i fråga om attacker via Internet

Fram till nyligen ägnades minimal uppmärksamhet åt möjliga attacker via Internet och deras följder. Exempelvis ansåg man i Europa, och även i Europaparlamentet, att huvudansvaret för sårbara datasystem ligger hos näringslivet och organisationerna själva. Efter terrorattackerna i Förenta staterna den 11 september 2001 och de ständiga varningarna för eventuella attacker via Internet har skyddstänkandet ökat kraftigt.

I detta sammanhang får vi inte enbart vara rädda för skador som förorsakas av attacker via Internet som genomförs av Irak eller islamistiska grupper som Unix Security Guards eller Anti-India Crew. I kampen mot Internetterrorn undertecknade president Bush för ett halvår sedan en särskild lag som gör det möjligt för honom att själv genomföra attacker via Internet. Sådana attacker behöver inte vara riktade enbart mot Irak, utan kan även röra hela nätets funktion. Med andra ord: Bush får lamslå hela Internet om han så vill. Det hävdas att attacker endast får gälla mål som är militärt relevanta. Det stora problemet med attacker via Internet är att det kan uppstå mycket collateral damage, dvs. oavsiktlig skada på civila mål. Eftersom Internet är så starkt sammanflätat kan även andra länder och företag drabbas av en sådan åtgärd. En attack som kallas för denial of service, dvs. vägran att tillhandahålla tjänster, är ett klassiskt sätt att slå ut ett nätverk, och det påverkar även de nätverk som ligger mellan den som utför attacken och hans mål.

1. Känner kommissionen till denna nya lag som ger president Bush befogenhet att genomföra attacker via Internet? Om så är fallet: Vad anser kommissionen om detta?

2. Hur avser kommissionen att skydda medborgare och företag i Europa mot sådana attacker och deras följder?

3. Vem skall enligt kommissionen betala för de skador som sådana attacker kan medföra, och hur skall sådan ersättning kunna utkrävas?

Svar från Erkki Liikanen på kommissionens vägnar

(7 april 2003)

Kommissionen känner till den artikel som publicerades i Washington Post den 7 februari 2003 enligt vilken tjänstemän inom den amerikanska administrationen säger att president Bush i juli 2002 skall ha undertecknat en hemlig lag, den s.k. National Security Presidential Directive 16. Enligt Washington Post fastställs det i lagen att Förenta staternas regering skall ta fram nationsomfattande riktlinjer för att fastställa när och hur landet skall rikta Internetattacker mot fientliga datanätverk. Tanken lär vara att militära strateger skall använda datorexperter som tar sig in i fiendens elektroniska nätverk för att t.ex. stänga ner radar, sätta elektriska anläggningar ur spel eller bryta telefontjänsterna.

Såvitt kommissionen vet har denna lag varken offentliggjorts eller bekräftats officiellt av den amerikanska regeringen.

Åtgärderna för att försvara sig mot Internetattacker har vissa likheter med åtgärderna för större Internetsäkerhet och bekämpning av datarelaterad brottslighet. Kommissionen har varit mycket aktiv för att ta fram strategier på detta område.

Den 26 januari 2001 antog kommissionen meddelandet Ett säkrare informationssamhälle ökad säkerhet i informationsinfrastrukturen och bekämpning av datorrelaterad brottslighet(1). I meddelandet fastslås informations- och kommunikationsnätens, bland annat Internets, betydelse som en kritisk del av ekonomin, och man föreslår specifika åtgärder.

Det förslag till rådets rambeslut om angrepp mot informationssystem(2) som nämns i meddelandet antogs av kommissionen den 19 april 2002. Enligt förslaget skall medlemsstaterna se till att uppsåtligt intrång i ett informationssystem och olaglig störning av informationssystemens funktion är straffbart. Det innehåller också bestämmelser om straffrättsliga påföljder, juridiska personers ansvar och därmed förknippade påföljder samt behörighet. Vidare innehåller det krav på att medlemsstaterna skall utse operativa kontaktpunkter till nätverket mot högteknologisk brottslighet vilka kan nås 24 timmar om dygnet alla dagar i veckan. Parlamentet avgav sitt yttrande om utkastet till rambeslut i oktober 2002(3), och rådet nådde fram till politisk enighet om de viktigaste artiklarna i februari 2003.

Handlingsplanen eEurope 2005 syftar till att främja säkerhetstjänster och på detta sätt bidra till att skydda informationsnäten. Tidigare handlingsplaner på samma område har också satt upp förbättrad Internetsäkerhet som en prioritering.

I februari 2003 föreslog kommissionen att en europeisk byrå för nät- och informationssäkerhet skulle inrättas(4). Byråns uppgift kommer att vara att bistå medlemsstaterna och kommissionen med expertråd om frågor som gäller Internetsäkerhet. Den kommer också att hjälpa medlemsstaternas myndigheter, bland annat de olika grupperna för stöd vid datorhaveri (CERT Computer Emergency Response Teams).

Kommissionen har dessutom nyligen inlett det sjätte ramprogrammet för forskning och teknisk utveckling inom vilket forskning och utveckling inom teknik för säkerhet och tillförlitlighet är nyckelelementen i den tematiska prioriteringen teknik för informationssamhället (IST). Även inom det femte ramprogrammet riktades stor uppmärksamhet mot teknik för säkerhet och tillförlitlighet i informationsnäten, bland annat forskning om beroendeförhållanden.

Enligt de flesta medlemsstaternas civil- och straffrättsliga bestämmelser är angriparen ansvarig för de flesta attackerna mot informationssystemen. I och med genomförandet av rambeslutet om angrepp mot informationssystem kommer de angrepp som kan leda till straffrättsliga påföljder att utvidgas till bland annat överbelastningsattacker (denial of service) i alla medlemsstater.

När det gäller angrepp som utförs på ett främmande lands vägnar (inklusive krigshandlingar) kan frågan uppstå om det landet åtnjuter immunitet gentemot domstolarna i de länder som angrips. Detta kan variera beroende på vad som gäller just då enligt aktuell internationell rätt inom detta föränderliga område, och på de specifika omständigheterna.

(1) KOM(2000) 890 slutlig.

(2) EGT C 203 E, 27.8.2002.

(3) A5-0328/2002 slutlig.

(4) KOM(2003) 63 slutlig.