Navigation path

Left navigation

Additional tools

IP/10/1239

Bryssel 30. syyskuuta 2010

Komissio parantaa EU:n valmiutta suojautua tietoturvahyökkäyksiltä

Euroopan komissio julkistaa tänään kaksi uutta ehdotusta, jotka parantavat EU:n valmiutta suojautua keskeisiin tietojärjestelmiin kohdistuvilta hyökkäyksiltä. Ehdotuksista ensimmäinen on direktiiviehdotus, jonka avulla pyritään torjumaan uusia tietoverkkorikoksia, kuten laajoja tietoverkkohyökkäyksiä, ja toinen asetusehdotus Euroopan verkko- ja tietoturvaviraston (ENISA) vahvistamisesta ja uudistamisesta. Molemmat aloitteet sisältyvät Euroopan digitaalistrategiaan ja Tukholman ohjelmaan, ja niiden tarkoituksena on parantaa tietoverkkojen luotettavuutta ja turvallisuutta (ks. IP/10/581, MEMO/10/199 ja MEMO/10/200). Direktiivin nojalla voidaan aloittaa syytetoimet tietoverkkohyökkäysten tekijöitä ja niiden tekemisessä tarvittavien haittaohjelmien tuottajia vastaan ja määrätä heille nykyistä ankarampia rikosoikeudellisia seuraamuksia. Lisäksi halutaan tehostaa EU:n oikeudellista ja poliisiyhteistyötä tällä alalla velvoittamalla jäsenvaltiot vastaamaan viipymättä tietoverkkohyökkäyksiä koskeviin kiireellisiin avunantopyyntöihin. Verkko- ja tietoturvaviraston aseman vahvistaminen ja uudistaminen auttaisi myös EU:ta, jäsenvaltioita ja yksityissektorin sidosryhmiä kehittämään valmiuksiaan ehkäistä ja havaita tietoturvaongelmia ja reagoida niihin. Ehdotukset toimitetaan Euroopan parlamentin ja EU:n ministerineuvoston hyväksyttäviksi.

Rikolliset keksivät jatkuvasti uusia keinoja. Haittaohjelmien avulla he pystyvät urkkimaan luottokorttien tunnuslukuja ja muuta luottamuksellista tietoa tai alistamaan hallintaansa suuren joukon tietokoneita ja tekemään niiden avulla laajoja tietoverkkohyökkäyksiä. Meidän on torjuttava entistä määrätietoisemmin tietoverkkorikollisuutta, sillä myös järjestäytynyt rikollisuus käyttää sitä usein omiin tarkoituksiinsa. Tänään esitettävät ehdotukset ovat merkittävä askel tähän suuntaan. Niiden ansiosta haittaohjelmien tekeminen ja myynti voidaan säätää rangaistavaksi ja parantaa Euroopassa tehtävää poliisiyhteistyötä”, sisäasioista vastaava komissaari Cecilia Malmström totesi.

”Kaikki kansalaiset saadaan käyttämään internetiä vain jos he tuntevat olonsa siellä turvalliseksi”, Euroopan digitaalistrategiasta vastaava komission varapuheenjohtaja Neelie Kroes huomautti. ”Tietoverkkoihin kohdistuvat uhkat eivät pysähdy valtioiden rajoille. Sen vuoksi uudistettu Euroopan verkko- ja tietoturvavirasto (ENISA) voi tarjota tällä työsaralla uutta asiantuntemusta ja edistää parhaiden käytänteiden vaihtoa Euroopassa. EU:n toimielinten ja jäsenvaltioiden on tehtävä yhä tiiviimpää yhteistyötä, jotta voimme päästä selville uusien tietoverkkouhkien luonteesta ja laajuudesta. ENISAn asiantuntemus ja tuki ovat tarpeen, jotta voimme suunnitella tehokkaita reagointitapoja kansalaisten ja verkossa toimivien yritysten suojelemiseksi”, varapuheenjohtaja Kroes jatkoi.

EU:ssa halutaan hyödyntää tietoverkkojen ja -järjestelmien tarjoamia mahdollisuuksia mahdollisimman tehokkaasti. Sen vuoksi olisi kaikin keinoin pyrittävä välttämään onnettomuuksista ja luonnonilmiöistä (esimerkiksi vedenalaisten kaapelien katkeamisesta) tai tahallisista tihutöistä (hakkeroinnista tai muista verkkohyökkäyksistä) johtuvia toimintahäiriöitä. Verkkohyökkäysten toteuttamisessa käytetään nykyään yhä pidemmälle kehitettyjä välineitä, joiden avulla voidaan esimerkiksi valjastaa suuri joukko tietokoneita ns. bottiverkoksi, eräänlaiseksi robottiarmeijaksi, joka tekee tuhoa internetissä omistajansa tietämättä. Saastuneiden tietokoneiden avulla voidaan myös tehdä tuhoisia hyökkäyksiä julkisia ja yksityisiä tietojärjestelmiä vastaan. Esimerkiksi Virossa vuonna 2007 tehdyn hyökkäyksen seurauksena useimmat julkiset verkkopalvelut sekä hallituksen, parlamentin ja poliisin palvelimet menettivät joksikin aikaa toimintakykynsä. Tietojärjestelmiin kohdistuvien hyökkäysten lukumäärä on jatkuvasti noussut sen jälkeen kun EU:n ensimmäiset tietoturvahyökkäyksiä koskevat säännöt hyväksyttiin helmikuussa 2005. Maaliskuussa 2009 yli sadan maan valtiollisten ja yksityisten organisaatioiden tietokonejärjestelmät joutuivat kaapattujen tietokoneiden muodostaman verkon hyökkäyksen kohteeksi. Tällöin siepattiin arkaluonteisia ja salaisiksi luokiteltuja asiakirjoja. Myös tämä hyökkäys toteutettiin luomalla haittaohjelmien avulla bottiverkkoja saastuneista tietokoneista, joiden toimintaa koordinoitiin etäohjauksessa.

Komission tänään esittämä säädöspaketti vahvistaa EU:n valmiutta reagoida tietoverkkojen toimintahäiriöihin. Tietoverkkorikollisuutta koskeva ehdotus perustuu vuodesta 2005 voimassa olleisiin sääntöihin, joita täydennetään uusia raskauttavia tekijöitä ja vakavampia rikosoikeudellisia seuraamuksia koskevilla säännöillä. Niiden avulla tietojärjestelmiin kohdistuvien laajojen hyökkäysten kasvavaa uhkaa voidaan torjua entistä tehokkaammin.

Lisäksi direktiiviehdotus parantaa jäsenvaltioiden oikeus- ja poliisiviranomaisten yhteistyön edellytyksiä, kun jäsenvaltiot velvoitetaan tehostamaan jo olemassa olevan ympärivuorokautisen yhteyspisteiden verkoston käyttöä vastaamalla kiireellisiin avunpyyntöihin tietyssä määräajassa.

Direktiiviehdotuksen mukaan olisi myös perustettava tilastojärjestelmä, johon tallennettaisiin tiedot tietoverkkohyökkäyksistä niiden jäljittämisen helpottamiseksi.

Vahvistetaan yhteistyötä maiden ja alan yritysten kesken

Komissio ehdottaa EU:n reagointivalmiuden koordinoimiseksi uutta asetusta, jolla on tarkoitus vahvistaa vuonna 2004 perustetun Euroopan verkko- ja tietoturvaviraston (ENISA) asemaa ja uudistaa sen toimintaa. Näin voitaisiin vahvistaa yhteistyötä EU:n jäsenvaltioiden, lainvalvontaviranomaisten ja alan yritysten kesken. ENISAlla on tärkeä tehtävä rakentaa luottamusta, joka on tietoyhteiskunnan kehittämisen välttämätön edellytys, parantamalla turvallisuutta ja käyttäjien yksityisyydensuojaa.

Uusien toimivaltuuksiensa nojalla ENISA kannustaisi EU:n jäsenvaltioita ja yksityissektorin sidosryhmiä tekemään yhteistyötä yli rajojen, esimerkiksi toteuttamalla verkko- ja tietoturvaharjoituksia, perustamalla julkisen ja yksityisen sektorin kumppanuuksia verkon häiriönsietokyvyn parantamiseksi ja laatimalla taloudellisia analyyseja, riskinarviointeja ja tiedotuskampanjoita.

Uudistettu ENISA voisi toimia entistä joustavammin, ja se pystyisi tarjoamaan EU:n jäsenvaltioille ja toimielimille apua ja neuvoja sääntelyyn liittyvissä kysymyksissä.

Jotta tietoturvauhkien lisääntymiseen voitaisiin vastata paremmin, asetusehdotuksella jatkettaisiin ENISAn toimikautta viidellä vuodella ja lisättäisiin asteittain sen rahoitusta ja työntekijöiden määrää. Komissio ehdottaa, että ENISAn hallintorakennetta lujitettaisiin antamalla entistä laajemmat valvontaoikeudet sen hallintoneuvostolle, jossa ovat edustettuina myös EU:n jäsenvaltiot ja Euroopan komissio.

Taustaa

Tietojärjestelmiin kohdistuvia hyökkäyksiä koskevalla direktiiviehdotuksella kumotaan neuvoston puitepäätös 2005/222/YOS. Jäsenvaltioiden on noudatettava tietoverkkorikollisuutta koskevaa uutta direktiiviä saattamalla se osaksi kansallista lainsäädäntöään kahden vuoden kuluessa direktiivin hyväksymisestä.

Verkko- ja tietoturvavirasto ENISA perustettiin vuonna 2004, ja sen nykyinen toimikausi päättyy maaliskuussa 2012. Toimikautta ehdotetaan nyt jatkettavan viidellä vuodella. Asetusehdotuksen laatimista varten toteutettiin laaja valmisteluprosessi, johon kuuluivat mm. viraston toiminnan arviointi, sen hallintoneuvoston antamat suositukset, kaksi julkista kuulemista sekä kustannus-tehokkuusanalyysin sisältävä vaikutusten arviointi.

Lisätietoja

EU:n sisäasiain komissaarin Cecilia Malmströmin kotisivu:

http://ec.europa.eu/commission_2010-2014/malmstrom/index_en.htm

Euroopan digitaalistrategiasta vastaavan komission varapuheenjohtajan Neelie Kroesin kotisivu:

http://ec.europa.eu/commission_2010-2014/kroes/index_en.htm

Tietoyhteiskunta – uutishuone

http://ec.europa.eu/information_society/newsroom/cf/menu.cfm

MEMO/10/459

MEMO/10/463


Side Bar