23.7.2011   

SV

Europeiska unionens officiella tidning

C 218/130

1.1

Europeiska ekonomiska och sociala kommittén välkomnar kommissionens meddelande om förslaget till Europaparlamentets och rådets direktiv om angrepp mot informationssystem. Kommittén delar kommissionens djupa oro över omfattningen av it-brottsligheten i Europa och de faktiska och potentiella skador som detta växande hot kan förorsaka ekonomin och medborgarnas välfärd.

1.2

EESK delar också kommissionens besvikelse över att endast 17 av de 27 medlemsstaterna i dagsläget har ratificerat Europarådskonventionen om it-relaterad brottslighet (1). Kommittén uppmanar alla återstående medlemsstater (2) – Österrike, Belgien, Tjeckien, Grekland, Irland, Luxemburg, Malta, Polen, Sverige och Storbritannien – att ratificera denna konvention så snart som möjligt.

1.3

Kommittén instämmer med kommissionen i att det finns ett akut behov av ett direktiv för att uppdatera definitionerna av brott i samband med angrepp mot informationssystem och för att förbättra samordningen och samarbetet i EU på det straffrättsliga området i syfte att effektivt hantera detta allvarliga problem.

1.4

Med tanke på det brådskande behovet av lagstiftningsåtgärder för att specifikt hantera angrepp mot informationssystem ställer sig kommittén bakom kommissionens beslut att utnyttja alternativet med ett direktiv som underbyggs av andra åtgärder än lagstiftning, med inriktning på denna särskilda aspekt av it-brottslighet.

1.5

Som EESK emellertid har framfört i ett tidigare yttrande (3) skulle kommittén vilja att kommissionen parallellt utarbetar en heltäckande EU-lagstiftning mot it-brottslighet. Kommittén anser att en heltäckande ram krävs för att den digitala agendan och Europa 2020-strategin ska bli framgångsrika (4). Inom denna ram borde man ta itu med sådana frågor som förebyggande, upptäckt och utbildning, utöver brottsbekämpning och bestraffning.

1.6

I sinom tid skulle EESK vilja ta ställning till förslag från kommissionen om en heltäckande ram för åtgärder för att ta itu med den allmänna frågan om internetsäkerhet. Om vi tittar tio år framåt i tiden, när större delen av befolkningen använder sig av internet och större delen av all ekonomisk och social verksamhet är beroende av internet, är det otänkbart att vi fortfarande kommer att kunna förlita oss till det nuvarande planlösa och ostrukturerade sättet att hantera internetanvändningen, framför allt eftersom det ekonomiska värdet av denna verksamhet kommer att vara omöjligt att förutse. Det kommer att finnas många olika frågor, med andra utmaningar, t.ex. säkerhet och skydd för personuppgifter och privatliv samt it-relaterad brottslighet. Flygsäkerheten övervakas av en central myndighet som fastställer normer för luftfartyg, flygplatser och flygtrafik. Nu är det dags att skapa en motsvarande myndighet som fastställer normer för idiotsäker terminalutrustning (persondatorer, pads och telefoner), nätverkssäkerhet, webbplatssäkerhet och datasäkerhet. Internets fysiska utformning är en avgörande faktor i försvaret mot it-relaterad brottslighet. EU kommer att behöva en reglerare med makt över internet.

1.7

Fokus i direktivet kommer att ligga på definitionen av brottslighet och hot om straff. EESK anser att fokus även bör ligga på förebyggande genom bättre säkerhetsåtgärder. De som tillverkar utrustningen borde se till att normerna för idiotsäker utrustning uppfylls. Det är oacceptabelt att säkerheten i utrustningen och därmed också nätverket beror på ägarens godtycke. Man borde överväga att införa ett system för elektronisk identifiering som omfattar hela Europa, men vid utformningen av detta måste man noggrant se till att intrång i privatlivet förhindras. Man borde börja utnyttja säkerhetskapaciteten i IPv6 till fullo, och undervisning om personlig nätsäkerhet, inklusive datasäkerhet, borde bli en grundläggande del av alla program för att öka medborgarnas digitala kompetens. Kommissionen borde beakta kommitténs tidigare yttranden i dessa frågor (5).

1.8

Kommittén noterar med tillfredsställelse att direktivet i tillräcklig grad omfattar angrepp mot informationssystem där botnät (6) används, däribland överbelastningsangrepp (7). Kommittén anser också att direktivet kommer att göra det lättare för myndigheter att väcka åtal i samband med it-brott där man försöker utnyttja den internationella sammankopplingen av nätverk samt att åtala gärningsmän som försöker gömma sig bakom den anonymitet som sofistikerade verktyg för it-brottslighet kan erbjuda.

1.9

Kommittén välkomnar också den förteckning över brott som direktivet omfattar, särskilt att ”olaglig avlyssning” tagits med, samt den tydliga redogörelsen för ”Verktyg som används för att begå brott”.

1.10

Med tanke på vikten av förtroende och säkerhet i den digitala ekonomin och de enorma årliga kostnader som it-brottsligheten medför (8) anser kommittén att straffets stränghet i direktivet bör återspegla hur allvarligt brottet är och samtidigt ha en reell avskräckande effekt på brottslingar. I förslaget till direktiv anges ett minimistraff på 2 till 5 års fängelse (5 år om det finns försvårande omständigheter). EESK tänker sig en skala där straffen står i relation till hur allvarliga brotten är.

1.11

EESK föreslår att man genom att fastställa strängare påföljder tar tillfället i akt att sända ett kraftfullt budskap till kriminella och till oroliga medborgare. I Storbritannien (9) ligger exempelvis straffet för storskaliga angrepp mot informationssystem på upp till 10 års fängelse, och Estland har höjt sina straff för terrorister som utnyttjar storskaliga angrepp till upp till 25 års fängelse. (10)

1.12

Kommittén välkomnar kommissionens förslag att direktivet ska underbyggas av andra åtgärder än lagstiftning för att främja ytterligare samordnade insatser på EU-nivå och en effektivare kontroll av att lagstiftningen efterlevs. EESK vill också framhålla att samordningen bör utsträckas till att omfatta nära samarbete med alla EFTA-länder och NATO.

1.13

Kommittén ställer sig helt bakom de fortbildningsprogram och rekommendationer om bästa praxis som föreslås för att stärka det befintliga nätverket av ständigt tillgängliga kontaktpunkter för brottsbekämpande myndigheter.

1.14

Utöver de icke-lagstiftningsmässiga åtgärder som nämns i förslaget uppmanar EESK kommissionen att särskilt rikta in FoU-medel på utveckling av system för tidig upptäckt och bekämpning av angrepp mot informationssystem. Den mest avancerade datormolns- (11) och griddtekniken (12) har potential att ge Europa ett större skydd mot många hot.

1.15

Kommittén föreslår att Enisa finansierar ett skräddarsytt kompetensutvecklingsprogram för att stärka Europas it-säkerhetsindustri utöver brottsbekämpningen (13).

1.16

När det gäller att stärka Europas motståndskraft mot it-attacker vill kommittén upprepa vikten av att utveckla ett europeiskt offentligt-privat partnerskap för motståndskraft och integrera det med Europeiska byrån för nät- och informationssäkerhet (Enisa) och ECG-gruppen (European Governmental Group of CERTs).

1.17

En stark it-säkerhetsindustri bör främjas inom EU, med en kompetens som kan mäta sig med kompetensen inom den mycket välfinansierade industrin i USA (14). Investeringarna i forskning och utveckling samt utbildning på it-säkerhetsområdet bör ökas avsevärt.

1.18

Kommittén noterar att Storbritannien, Irland och Danmark enligt ett protokoll till fördraget inte behöver införliva det föreslagna direktivet i den nationella lagstiftningen. Trots detta uppmanar EESK medlemsstaterna i fråga att så långt som möjligt anpassa sig till bestämmelserna i direktivet för att förhindra att kriminella utnyttjar luckor i EU-politiken.

2.1

Dagens EU är starkt beroende av IKT för att skapa välstånd och livskvalitet. Det är viktigt att vårt ökande beroende motsvaras av alltmer sofistikerade säkerhetsåtgärder och en stark lagstiftning för att skydda informationssystemen från angrepp.

2.2

Internet är kärnan i det digitala samhället. Det är helt avgörande att hot mot säkerheten i informationssystemen bemöts för att det digitala samhället och den digitala ekonomin ska kunna utvecklas. Internet ligger till grund för den största delen av EU:s kritiska it-infrastruktur och de informations- och kommunikationsplattformar som utnyttjas för att tillhandahålla grundläggande varor och tjänster. Angrepp mot informationssystem – offentliga system, finansiella system, sociala tjänster och kritisk infrastruktur, t.ex. el- och vattenförsörjning, transporter samt hälsovårds- och larmtjänster – har blivit ett stort problem.

2.3

Internets uppbyggnad grundar sig på en hopkoppling av miljontals datorer där bearbetning, kommunikation och kontroll distribueras globalt. Denna decentraliserade uppbyggnad är avgörande för att internet ska vara stabilt och motståndskraftigt med en snabb återhämtning av trafikflödena då problem uppstår. Detta innebär emellertid också att storskaliga it-attacker kan startas från utkanten av nätverket, till exempel med hjälp av botnät, av alla som så önskar och som har grundläggande kunskaper på området.

2.4

Informationsteknikens utveckling har förvärrat dessa problem genom att det blivit lättare att producera och sprida verktyg (sabotageprogram (15) och botnät) samtidigt som gärningsmännen kunnat förbli anonyma och ansvaret spridits över jurisdiktionsgränserna. Eftersom det är svårt att lagföra brotten kan den organiserade brottsligheten göra betydande vinster utan att ta några större risker.

2.5

Enligt en studie från 2009 (16) som presenterades vid Världsekonomiska forumet uppgår de totala kostnaderna för it-brottslighet till 1 biljon US-dollar, och denna siffra stiger snabbt. I en brittisk regeringsrapport (17) som nyligen offentliggjorts anges att kostnaderna enbart i Storbritannien uppgår till 27 miljarder pund per år. De höga kostnaderna för it-brottslighet berättigar kraftfulla insatser, hård kontroll av att lagstiftningen efterlevs och stränga straff för lagbrytare.

2.6

Enligt det arbetsdokument från kommissionens avdelningar som bifogas förslaget till direktiv (18) utnyttjar den organiserade brottsligheten och fientliga regeringar den destruktiva potentialen i angrepp mot informationssystem i hela EU. Angrepp från sådana botnät kan vara mycket farliga för det angripna landet som helhet och kan också utnyttjas av terrorister och andra för att sätta politisk press på ett land.

2.7

Angreppet mot Estland i april–maj 2007 illustrerar problemet. Attacken satte genom storskaliga angrepp viktiga delar av den kritiska it-infrastrukturen ur spel i den offentliga och den privata sektorn under flera dagar. Kostnaderna uppgick till 19–28 miljoner euro, och de politiska kostnaderna blev betydande. Liknande destruktiva angrepp inleddes också mot Litauen och Georgien.

2.8

Globala kommunikationsnätverk inbegriper en hög grad av gränsöverskridande sammankopplingar. Det är oerhört viktigt att samtliga 27 medlemsstater agerar gemensamt och enhetligt för att bekämpa it-brottslighet, i synnerhet angrepp mot informationssystem. Detta internationella ömsesidiga beroende gör det nödvändigt för EU att utarbeta en integrerad strategi för att skydda informationssystemen från angrepp och straffa gärningsmän.

2.9

I sitt yttrande från 2007 om ”En strategi för ett säkert informationssamhälle” (19) efterlyste EESK en heltäckande EU-lagstiftning för att bekämpa it-brott. Utöver angrepp mot informationssystem bör en heltäckande rättslig ram även omfatta sådana frågor som it-relaterad finansiell brottslighet, olagligt internetinnehåll, insamling/lagring/överföring av elektronisk bevisning samt mer detaljerade behörighetsbestämmelser.

2.10

Kommittén inser att utarbetandet av en heltäckande lagstiftning är en mycket svår uppgift, som ytterligare försvåras av att det saknas ett politiskt samförstånd (20) och av att det finns stora skillnader mellan medlemsstaterna när det gäller huruvida elektronisk bevisning godtas i domstol. En sådan heltäckande rättslig ram skulle emellertid göra att både lagstiftningsinstrument och andra instrument skulle kunna användas på bästa sätt för att hantera det breda spektrum av problem som rör it-brottslighet. Den skulle också omfatta det straffrättsliga regelverket och samtidigt förbättra EU-samarbetet i fråga om brottsbekämpning. EESK uppmanar kommissionen att fortsätta att arbeta med siktet inställt på en heltäckande rättslig ram för it-brottslighet.

2.11

Bekämpning av it-brottslighet kräver särskild kompetens. I sitt yttrande om den föreslagna förordningen om Enisa (21) lyfter EESK fram vikten av att utbilda personal som arbetar med brottsbekämpningen. Kommittén ser positivt på att kommissionen gjort framsteg när det gäller att inrätta det EU-forum för utbildning om it-relaterad brottslighet för brottsbekämpande myndigheter och den privata sektorn som föreslogs i KOM(2007) 267 slutlig (22).

2.12

It-säkerheten inom EU är något som angår alla medborgare, vars liv kan hänga på att nödvändiga tjänster fungerar. Dessa medborgare ansvarar också för att så gott de kan skydda sin internetuppkoppling från angrepp. Ett ännu större ansvar har de teknik- och tjänsteleverantörer som tillhandahåller den informations- och kommunikationsteknik som behövs för informationssystem.

2.13

Det är mycket viktigt att alla berörda aktörer får tillräcklig information om it-säkerhet. Det är också viktigt att EU har ett stort antal kvalificerade experter på området it-säkerhet.

2.14

En stark it-säkerhetsindustri bör främjas inom EU med en kompetens som kan mäta sig med kompetensen inom den mycket välfinansierade industrin i USA (23). Investeringarna i forskning och utveckling samt utbildning på it-säkerhetsområdet bör ökas avsevärt.

3.1

Syftet med förslaget är att ersätta rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem (24). Som framgår av skälen antogs rambeslutet för att svara upp till målsättningen att förbättra samarbetet mellan rättsliga och andra behöriga myndigheter, inklusive polis och andra specialiserade brottsbekämpande myndigheter i medlemsstaterna, genom att tillnärma medlemsstaternas straffrättsliga bestämmelser om angrepp mot informationssystem. Genom rambeslutet infördes EU-bestämmelser för att hantera lagöverträdelser såsom intrång i informationssystem, olaglig systemstörning och olaglig datastörning, samt särskilda bestämmelser om juridiska personers ansvar, om behörighet och om informationsutbyte. Medlemsstaterna ålades att senast den 16 mars 2007 vidta de åtgärder som är nödvändiga för att följa bestämmelserna i rambeslutet.

3.2

Den 14 juli 2008 offentliggjorde kommissionen en rapport om genomförandet av rambeslutet (25). I slutsatserna sades att ”[s]edan rambeslutet antogs har angrepp på informationssystem i Europa på senare tid satt fokus på flera nya hot, särskilt massiva samtidiga angrepp mot informationssystem och ökad olaglig användning av så kallade botnät (botnets)”. Denna typ av angrepp stod inte i fokus när rambeslutet antogs.

3.3

Förslaget tar hänsyn till de nya metoderna för att begå it-brott, särskilt användningen av så kallade botnät (26). Att spåra förövarna är mycket svårt, eftersom de datorer som bildar botnätet och utför attackerna kan finnas på en annan plats än gärningsmannen själv.

3.4

Angrepp via botnät är ofta storskaliga. Storskaliga angrepp är angrepp som kan utföras antingen med hjälp av verktyg som påverkar ett betydande antal informationssystem (datorer), eller angrepp som orsakar betydande skada, exempelvis i form av störda systemtjänster, ekonomiska kostnader, förlust av personuppgifter m.m. Den skada som vållas vid storskaliga angrepp har betydande inverkan på funktionen hos föremålet för angreppet och/eller påverkar dess arbetsmiljö. I detta sammanhang ska ”stort botnät” förstås som ett botnät med kapacitet att orsaka allvarlig skada. Det är svårt att definiera botnät i storlekstermer, men de största botnät som har iakttagits har uppskattats ha mellan 40 000 och 100 000 anslutningar (det vill säga infekterade datorer) per 24-timmarsperiod (27).

3.5

Det har visat sig att rambeslutet i flera avseenden inte längre räcker till, vilket hänger samma med brottens (it-angreppens) allt större omfattning och antal. Rambeslutet syftar endast till att tillnärma lagstiftningen i fråga om ett begränsat antal brott, och tar inte upp det potentiella samhällshot som storskaliga angrepp innebär. Inte heller tar det tillräcklig hänsyn till brottens svårhetsgrad eller påföljdsfrågan.

3.6

Syftet med detta direktiv är att tillnärma medlemsstaternas strafflagstiftning när det gäller angrepp mot informationssystem och att förbättra samarbetet mellan rättsliga och andra behöriga myndigheter, inbegripet polismyndigheter och andra specialiserade brottsbekämpande organ i medlemsstaterna.

3.7

Angrepp mot informationssystem är ett växande problem, särskilt till följd av hotet från den organiserade brottsligheten, och det finns en stigande oro för terroristattacker eller politiskt motiverade angrepp mot de informationssystem som ingår i medlemsstaternas och unionens kritiska infrastruktur. Detta hot mot arbetet för att skapa ett säkrare informationssamhälle och ett område med frihet, säkerhet och rättvisa kräver motåtgärder på EU-nivå.

3.8

Det finns tydliga bevis för en utveckling mot allt farligare och mer återkommande storskaliga angrepp mot informationssystem som är av vital betydelse för stater eller särskilda funktioner i den offentliga eller privata sektorn. Till denna tendens kommer alltmer sofistikerade verktyg som brottslingar kan använda sig av för att genomföra it-angrepp av olika slag.

3.9

Gemensamma definitioner på detta område, särskilt av informationssystem och datorbehandlingsbara uppgifter, betyder mycket för att säkra att detta direktiv tillämpas enhetligt i medlemsstaterna.

3.10

Det finns ett behov av att fastställa en gemensam inställning i fråga om brottsrekvisit, genom att gemensamt kriminalisera olagligt intrång i informationssystem, olaglig systemstörning, olaglig datastörning och olaglig avlyssning.

3.11

Medlemsstaterna bör fastställa påföljder för angrepp mot informationssystem. De påföljder som fastställs bör vara effektiva, proportionella och avskräckande.

3.12

Även om direktivet innebär att rambeslut 2005/222/RIF upphävs, kommer det att överta rambeslutets bestämmelser samtidigt som följande nya delar läggs till: