Europeiska kommissionen presenterar en strategi för ett säkert informa-tions-sam-hälle. Målet är att vidareutveckla en dynamisk och omfattande strategi för EU, grundad på en säkerhetskultur och på dialog, partnerskap och använ-darinflytande. I EU har arbetet med att bekämpa säkerhetsproblem följt tre linjer: specifika åtgärder för informationssäkerhet, de rätts-liga ra-marna för elektronisk kom-munikation och kampen mot IT-relaterad brottslighet.
I meddelandet redogör kommissionen för vad de anser vara de viktigaste frågorna på området t.ex. att ekonomiska motiv ligger bakom attacker mot IT-system och att ny teknik skapar nya risker. IT-använd-ningen har stor betydelse för EU:s ekonomi och störningar kan får stora konsekvenser sam-tidigt som man i EU tenderar att underskatta riskerna. Kunskapen om in-for-mationssäkerhet behöver enligt kommissionen öka. Kommissionen avser att komma med ytterligare förslag enligt de tre huvudlinjerna.
Kopplingar till andra områden inom EU-politiken görs enligt regeringens bedömning i för liten utsträckning. Regeringen menar att fortsatt EU-arbete inom området behövs, men att kommissionens fokusering på IT-relaterade brottslighet och attacker är för smalt. Då framstår en del av förslagen som otillräckliga. Re-gerin-gen förordar en bred definition av informationssäkerhet, inklusive förebyggande åtgär-der som leder till hög driftsäkerhet och som främjar en bred IT-användning i sam-hället.
Europeiska kommissionen skrev i meddelandet i2010 det europeiska in-formationssamhället för tillväxt och sysselsättning1 om hur viktigt det är med nät- och informationssäkerhet om man vill skapa ett gemensamt informa-tionsområde i EU. Kommissionen menade att vår ekonomi och vårt sam-hälles alla strukturer blir allt mer beroende av nätens och informations-syste-mens tillgänglighet, tillförlitlighet och säkerhet.
Syfte med detta meddelande, som presenterades den 31 maj 2006, är att blåsa nytt liv i kommissionens strategi så som den beskrivs i 2001 års med-delande Nät- och informationssäkerhet: förslag till en europeisk strategi.2
Målet är att vidareutveckla en dynamisk och omfattande strategi för EU, grundad på en säkerhetskultur och på dialog, partnerskap och användar-inflytande.
Inom EU-samarbetet har tre huvudlinjer följts för att hantera informa-tions-samhällets säkerhetsproblem, nämligen med specifika åtgärder för nät- och informationssäkerhet, de rättsliga ramarna för elektronisk kommunika-tion (som också innehåller integritetsskydd och skydd av personuppgifter) samt kampen mot IT-relaterad brottslighet.
I 2001 års meddelande beskrivs nät- och informationssäkerheten som förmågan hos ett nät att tåla, vid en viss tillförlitlighetsnivå, olyckshän-delser eller illvilligt uppträdande som äventyrar tillgängligheten, äktheten (autentisering), integriteten och konfidentialiteten hos lagrade eller vidare-befordrade data och besläktade tjänster som tillhandahålls av eller är till-gängliga via dessa nät.
Kommissionen lämnar en redogörelse för de viktigaste insatserna som har gjorts inom nät- och informationssäkerhetsområdet.
De rättsliga ramarna för elektronisk kommunikation, som bl.a. innehåller säkerhetsbestämmelser, är föremål för översyn.
Förtroende och säkerhet är också viktiga frågor i EU:s program för forsk-ning och utveckling. Program-met Safer Internet Plus ger stöd till åtgär-der som syftar till att främja användningen av Internet genom att bekämpa olag-ligt och skadligt innehåll.
Europeiska nät- och informationssäkerhetsbyrån (Enisa) inrättades i början av 2004 och skall arbeta under fem år. Enisa arbetar för en hög nivå på nät- och informationssäkerheten inom EU.
EU spelar också en aktiv roll i de olika internationella forum som behand-lar dessa frågor, till exempel OECD, Europarådet och FN.
Trots de ansträngningar som har gjorts menar kommissionen att det fort-farande finns stora informationssäkerhetsproblem. Ekonomisk vinning ligger nu ofta bakom attacker mot IT-system. Attackerna görs bl.a. genom att upp-gifter olagligt samlas in från användare genom spionprogram och med hjälp av skräppost. Ett annat problem är att datorer kapas och används utan att ägarna vet om det.
Nya kommunikationsplattformar, särskilt de med mobilitet (tredje genera-tionens mobiltelefoner, datorspel m.fl.), skapar nya förutsättningar för attacker och störningar. Datorspridningen och sammankopplingen av utrust-ning (t.ex. genom RFID, IPv6 och sensorer) ger stora möjligheter men skapar enligt kommissionen också risker för säkerhet och integritet. Kommissionen menar också att stor spridning av standardprogram skapar vad som kallas mono-kulturer vilket leder till att riskerna blir större (ett datavirus som ut-nyttjar en viss sårbarhet kan t.ex. spridas snabbare).
Kommissionen framhåller mångfald (diversitet), öppenhet och inter-opera-bilitet (driftskom-patibilitet) som viktiga säkerhetsaspekter som bör främjas.
IT-sektorn har stor betydelse för Europas ekonomi, bl.a. genom produkti-vitetstillväxt, forskning och innovation. IT bidrar enligt kommissionen till ekonomisk tillväxt och sysselsättning. IT-användningen har blivit en grund-läggande funktion i ekonomisk och social utveckling.
Bristande informationssäkerhet innebär inte bara risker för ekonomin. Oro kan minska IT-användningen. Tillgängligheten, tillförlitligheten och säker-heten i IT-användningen är förutsättningar för att grundläggande rättigheter skall kunna garanteras på nätet. Kommissionen preciserar inte rättigheterna närmare.
Ett annat viktigt förhållande är att många samhällsviktiga infra-strukturer (t.ex. transporter och energiförsörjning) blir beroende av säkra IT-system. Riskerna underskattas enligt kommissionen fortfarande av företag och all-mänheten i EU. Kommissionen understryker också att informations-säkerhet är en fråga som berör alla myndigheter, företag och enskilda an-vändare.
Kommissionen anser att tillförlitliga uppgifter om utvecklingen och hän-delser ofta saknas och vill därför öka kunskapen om problemen.
Det är viktigt att presentera nät- och informationssäkerhet som en dygd och en möjlighet menar kommissionen. Om informationskampanjer är alltför negativa undergräver man användarnas förtroende för den nya tekniken.
Ett säkert informationssamhälle måste utgå från ökad nät- och informations-säkerhet och en väletablerad säkerhetskultur. Därför föreslår kommissionen vad de kallar en dynamisk och samordnad strategi som omfattar alla berörda parter och grundas på dialog och användarinflytande. Den offentliga och den privata sektorn kompletterar varandra i skapandet av en säkerhetskultur, och därför måste strategiska initiativ på detta område utgå från en öppen dialog mellan alla berörda parter.
Inom ramen för strategin skall kommissionen under 2006 publicera två meddelanden. Ett skall ta upp utvecklingen av skräppost och sabotage-pro-gram (skadlig kod), det andra skall vara ett särskilt meddelande om IT-relate-rad brottslighet.
Dessa initiativ kopplas till målen i kommissionens grönbok3 om ett euro-peiskt program för skydd av samhällsviktig (kritisk) infrastruktur (t.ex. ener-giförsörjning och transporter).
I 2006 års översyn av regelverket för elektronisk kommunikation ingår att undersöka hur nät- och informationssäkerheten kan förbättras, t.ex. tjänste-leverantörernas tekniska och organisatoriska åtgärder.
Det är i första hand den privata sektorn som skall förse slutanvändarna med lösningar, tjänster och säkerhetsprodukter skriver kommissionen. Därför är det strategiskt viktigt att den europeiska industrin både är en krävande användare och leverantör inom säkerhetsområdet.
Medlemsstaternas regeringar måste kunna identifiera och införa de bästa metoderna i sin politik, och samtidigt visa sitt engagemang för dessa mål genom att sköta sina egna informationssystem på ett säkert sätt. Myndig-heter, både i medlemsstaterna och på EU-nivå, har en viktig uppgift i att informera användarna. En prioriterad uppgift bör vara att öka medvetenheten om nät- och informationssäkerhet och ge information i tid. Kommissionen anser därför att ett viktigt mål för Enisa skulle kunna vara att undersöka möjlig-heterna att skapa ett EU-omfattande, flerspråkigt system för informa-tions-utbyte och alarmering, baserat på befintliga och planerade initiativ.
Informationssäkerhetens globala dimension innebär att kommissionen, både internationellt och i samordning med medlemsstaterna, måste öka sina ansträngningar att främja ett globalt samarbete, bl.a. genom att arbeta efter den dagordning som antogs vid världstoppmötet om informationssamhället (WSIS) i november 2005.
Forskning och utveckling, inte minst på EU-nivå, bidrar till uppkomsten av nya samarbeten som kan driva på den europeiska IT-industrins tillväxt, in-klusive säkerhetssektorn. Kommissionen kommer därför att försöka se till att det inom EU:s sjunde ramprogram för forskning avsätts tillräckliga ekono-miska resurser för forskning om nät- och informationssäkerhet.
Som ett första steg för att förbättra dialogen mellan myndigheter föreslår kommissionen att göra en jämförelse mellan medlemsstaternas nät- och informationssäkerhetsrelaterade strategier, inbegripet särskilda strategier för den offentliga sektorn.
Resultaten från en sådan jämförelse skulle göra det möjligt att hitta de bästa metoderna för att öka medvetenheten om informationssäkerhet hos små och medelstora företag och allmän-heten.
Kommissionen anser att det behövs en strukturerad debatt mellan berörda parter om hur man bäst kan utnyttja befintliga instrument och rättsakter för att uppnå den balans som samhället behöver mellan säkerhet och skydd av grundläggande rättigheter som t.ex. personlig integritet.
Kommissionen menar att det är viktigt att verkligen förstå problemens art och omfattning om man skall kunna föra en effektiv politik. Därför behövs det inte bara tillförlitliga uppgifter om informationssäkerhetstillbud och graden av förtroende för tekniken, utan också aktuella uppgifter om hur stor informationssäkerhetsbranschen är i EU och hur den utvecklas. Kommissio-nen har för avsikt att be Enisa att utveckla ett samarbete med medlems-staterna och de berörda parterna för att utarbeta ramar för en sådan data-insamling.
Eftersom EU:s marknader är olika kommer kommissionen att uppmana medlemsstaterna, den privata sektorn och forskningssamfundet att utveckla ett strategiskt samarbete för att garantera tillgången till uppgifter om infor-mationssäkerhetsbranschen i EU.
I syfte att förbättra EU:s möjligheter att bemöta nätsäkerhetshot kommer kommissionen att be Enisa att undersöka om det går att skapa ett system för informationsutbyte och varning. En förutsättning för ett sådant system vore en flerspråkig EU-portal som kan ge information om hot, risker och var-ningar.
De olika berörda parternas delaktighet är en förutsättning för att man skall kunna öka medvetenheten om säkerhetsbehov och främja nät- och informa-tionssäkerheten. Därför vill kommissionen uppmana medlemsstaterna att
delta i den föreslagna jämförelsen av nationella strategier för nät- och informationssäkerhet
främja informationskampanjer om fördelarna och vinsterna med informa-tionssäkerhet
driva på spridningen av e-förvaltningstjänster med säkerhetsinformation
främja utvecklingen av nät- och informationssäkerhet som del av hög-skolornas läroplaner.
Kommissionen uppmanar också de berörda parterna inom den privata sek-torn att ta initiativ för att
utveckla en lämplig definition av det ansvar som vilar på program-tillverkare och Internets tjänsteleverantörer i fråga om att till-handa-hålla lämpliga och kontrollerbara säkerhetsnivåer
främja mångfald (diversifiering), öppenhet, interoperabilitet (drifts-kompati-ilitet), användarvänlighet och konkurrenskraft för att nå säker-het, och upp-muntra till ett säkerhetsarbete som kan motverka identitets-stölder och integritetskränkningar
sprida god säkerhetsmetodik för nätoperatörer, tjänsteleverantörer och små och medelstora företag
främja utbildningsprogram inom affärssektorn så att de anställda får den kunskap som behövs för att ett effektivt säkerhetsarbete
sträva efter säkerhetscertifiering för produkter, processer och tjänster till lägre kostnader
engagera försäkringssektorn i utvecklingen av lämpliga metoder för att hantera IT-relaterade risker och främja en kultur för hantering av risker.
Avslutningsvis skriver kommissionen att alla berörda parter måste vara del-aktiga om man skall kunna identifiera och lösa säkerhetsproblemen kring informationssystem och nät i EU. Kommissionens strategi skall uppnå detta genom att uppmuntra till insatser där flera parter samarbetar. Detta skulle bygga på gemensamt intresse, och de olika parternas respektive roll skulle framhävas. Därigenom skulle man utveckla en dynamisk ram för att främja en effektiv offentlig beslutsprocess och effektiva insatser från den privata sektorn.
Det finns ingen sammanhängande lagstiftning om informations-säker-het i Sverige. Informationssäkerhetsfrågor behandlas bl.a. i person-uppgifts-lagen (1998:204) och lagen (2000:832) om kvalificerade elektroniska signa-turer och säkerhetsskyddslagen (1996:627).
Kommissionens meddelande innehåller inte några förslag som skulle ge direkt effekt på svenska regler. Vissa förslag kan dock förväntas och får ana-lyseras när de presenteras (t.ex. i översynen av direktiven om elektronisk kommunikation).
Regeringen redogjorde för frågor om Internetsäkerhet i propositionen Från IT-politik för samhället till politik för IT-samhället (prop. 2004/05:175). En över-gripande svensk strategi inom informationssäkerhetspolitiken redo-visa-des i propositionen Samhällets säkerhet och beredskap (prop. 2001/02:158) där Försvarets materielverk, Försvarets radioanstalt, Krisberedskaps-myndig-heten och Post- och telestyrelsen fick nya uppgifter inom området. Flera andra myndigheter som Säkerhetspolisen, Datainspektionen och Verket för förvaltningsutveckling (Verva) har också ansvar för informationssäkerhets-frå-gor. I propositionen Samverkan vid kris för ett säkrare sam-hälle (prop. 2005/06:133) angav regeringen att strategin, som också tar hänsyn till den internationella dimensionen, bör utvecklas och breddas.
Kommissionen redogör inte för några kostnader i meddelandet. Förslagen som rör dialog och samverkan bör inte vara allt för omfattande och hör till viss del till budgeten för kommissionen. Flera av förslagen kan innebära kost-nader, men bereds i en annan ordning: översynen av direktiven om elek-tronisk kommunikation, uppdrag som Enisa skall utföra (Enisas budget och arbetsprogram) och ett europeiskt program för samhällsviktig infra-struk-tur. Kommissionen uppmanar även medlemsstaterna och den privata sektorn att vidta egna åtgärder.
Regeringen menar att det behövs fortsatt EU-arbete inom informa-tions-säkerhets-politiken. Att bygga en strategi på dialog, partnerskap och användar-in-flytande (s. 3 i den svenska översättningen av meddelandet) kan vara en bra utgångspunkt för fortsatt arbete. Regeringen vill sätta det var-dagliga, förebyggande informationssäkerhetsarbetet i fokus och se fler kon-kreta åtgärder inom fler områden för att skapa en verklig helhetssyn.
Vad som är nät- och informationssäkerhet och politiken för området har länge varit föremål för diskussion. Regeringen noterar att den definition som kommissionen återger är snäv och inriktad på nät för elektronisk kommuni-kation, sam-tidigt som kommissionens resonemang senare rör ett bredare fält som datoranvändning, informationsteknikens ekonomiska betydelse, kun-skapsuppbyggnad m.m.
De tre huvudlinjer som kommissionen redogör för (specifika åtgärder för nät- och informationssäkerhet, de rättsliga ramarna för elektronisk kommu-nikation samt kampen mot IT-relaterad brottslighet) är viktiga delar i arbetet. Regeringen menar att det fortsatt kommer att finnas behov av specifika åt-gärder inom området och att området elektronisk kommunikation intar en särställning i arbetet med nät- och informationssäkerhet. Till exempel änd-rade riksdagen 2005 lagen (2003:389) om elektronisk kommunikation för att öka Post- och telestyrelsens (PTS) möjligheter att arbeta med säkerhetsfrå-gor (bet. 2004/05:TU17, rskr. 2004/05:201).
Även om det finns kopplingar mellan informationssäkerhetspolitiken och kampen mot IT-relaterad brottslighet, som kommissionen påpekar, så fram-står de två andra områdena (specifika åtgärder för informationssäkerhet och över-synen av direktiven om elektronisk kommunikation) som mer relevanta i det här sammanhanget för att nå framgång inom informations-säkerhets-politi-ken och få driftsäkra och pålitliga IT-system.
IT-relaterad brottslighet utgör i många fall traditionella brott (bedrägeri, utpressning etc.) som underlättas av eller genomförs med IT. Brotten kan vara nog så allvarliga men det är inte alltid IT-komponenten som är avgörande för brottsligheten. I många fall bidrar dock ett bra informationssä-kerhetsarbete till att minska risken för olika slags brott (t.ex. dataintrång). Många pro-blem inom IT-området uppstår till följd av IT-systemens kom-plexitet, misstag, olyckor och oklara regelverk.
En brist i kommissionens meddelande är att andra politikområden på EU-nivå är frånvarande. IT-användningen och IT-beroendet finns nu inom snart sagt alla politikområden och överallt i samhället. Det innebär att informa-tionssäkerhetsfrågorna också måste behandlas inom dessa områden t.ex. finansiella tjänster, energi och transporter. Informationssäkerhet behövs också för en effektiv och säker användning av IT i det europeiska samarbetet. Bristen på helhetssyn tillsammans med kommissionens fokus på avsiktliga attacker och IT-relaterad brottslighet ger enligt regeringens mening en skev bild av informationssäkerhetsfrågorna och möjliga åtgärder.
Det vardagliga informationssäkerhetsarbetet måste enligt regeringen lyftas fram inom alla politikområden för att vi ska kunna ha förtroende för de IT-system som vi är beroende av i dagens samhälle.
Kommissionen framhåller diversitet, öppenhet och driftskompatibilitet som viktiga säkerhetsaspekter som bör främjas (s. 5). Regeringen kon-staterar att informationssäkerhetsarbetet är komplext och starkt beroende av vilka IT-system som används, i vilken miljö de används etc. De uppräknade aspekterna är ofta, men inte alltid, relevanta och försiktighet bör iakttas när man slår fast principer på hög nivå inom ett tekniskt område i snabb utveck-ling.
Regeringen delar kommissionens syn att vi behöver öka kunskapen om problemen (s. 6), men anser att basera detta på uppgifter om IT-incidenter (tillbud) är otillräckligt och inte ändamålsenligt.
Att upprätthålla förtroende för den nya tekniken och presentera informa-tionssäkerheten som en dygd och en möjlighet (s. 6) är enligt regeringen angeläget, men också ett ansvar som delas av många aktörer. Regeringen understryker behovet av hög informationssäkerhet till skydd för personlig in-tegritet och personuppgifter.
Regeringen menar att en dialog mellan de berörda parterna (s. 7) be-hövs, men noterar att detta sedan tidigare har varit del av både kommissionen och Enisas uppdrag.
I arbetet med översynen av regelverket för elektronisk kommunikation har regeringen, liksom kommissionen, lyft fram säkerhetsfrågorna.
Regeringen delar också synen att det i första hand är den privata sektorn som skall förse användarna med lösningar tjänster och produkter inom om-rådet. Medlemsstaterna har ansvar för de egna systemen, som kommissionen framhåller, medan uppmaningen om vad och hur myndigheter skall infor-mera framstår som för detaljerad.
Kommissionens förslag om att skapa ett EU-omfattande, flerspråkigt system för informationsutbyte och alarmering (s. 7) framstår enligt re-geringen som oklart. Givet de invändningar mot kommissionens huvud-linjer (ovan) som regeringen har, framstår förslaget som missriktat. Ett om-fattande internationellt arbete pågår inom CSIRT-området (t.ex. varningar om ny-upptäckta säkerhetsbrister i program). Kommissionen har inte särskilt moti-verat vad vare sig EU-nivån eller flerspråkigheten tillför. Vidare finns det en marknad på området. Arbetet skulle däremot kunna inriktas på att stödja och utbyta erfarenheter mellan med-lemsstaterna, något som Sverige har framfört till Enisa. I Sverige har Post- och telestyrelsen sedan 2003 i uppdrag att driva en rikscentral för hantering av uppgifter (t.ex. varningar) om IT-incidenter det görs i Sveriges IT-incidentcentrum (Sitic).
Regeringen välkomnar ansatserna att främja ett globalt samarbete om nät- och informationssäkerhet (s. 7) och forskning på området.
För närvarande finns inga uppgifter om andra medlemsstaters ståndpunkter.
För närvarande finns inga uppgifter om institutionernas ståndpunkter.
Meddelandet har inte remissbehandlats.
I mitten av 2007 kommer kommissionen att rapportera till rådet och Europa-parlamentet om vilka insatser som inletts och vad man hittills kommit fram till samt hur långt man kommit med de olika insatserna (inbegripet Enisas verksamhet och medlemsstaternas och den privata sektorns insatser). Vid behov kommer kommissionen att föreslå en rekommendation om nät- och informationssäkerhet.
Strategin innehåller inga konkreta förslag för beslut.
CSIRTEngelsk förkortning för Computer Security Incident Response Team. En organisation som har till uppgift att stödja arbetet med att förebygga IT-incidenter och varna för nya säkerhetsbrister, ofta också att lämna stöd under och efter en incident. Ibland kallat Computer Emergency Response Team (CERT).
EnisaEngelsk förkortning Europeiska byrån för nät- och infor-mationssäkerhet (European Network and Information Se-curity Agency).
IPv6En ny version av datakommunikationsprotokollet Inter-net Protocol (IP) som används för att skicka data till da-torer och andra apparater i olika nät (t.ex. på Internet). I dag är IPv4 den vanligaste versionen.
RFIDEngelsk förkortning för Radio Frequency Identification radiofrekvensidentifiering. Det är teknik för lagring och trådlös överföring av små datamängder på korta avstånd mellan speciella kretsar och sändare/mottagare.
SabotageprogramÖversättning av den engelska förkortningen malware (malicious software). En överordnad term för de flesta typer av oönskade program, framför allt datavirus, data-maskar och trojaner. Ibland kallat skadlig kod.
WSISEngelsk för kortning för FN:s toppmöte om informations-samhället (World Summit on Information Society) som avslutades i Tunisien 2005 vars slutdokument (Tunis Agenda on the Information Society) behandlar bl.a. in-formationssäkerhet.
[1] | KOM(2005) 229 slutlig av den 1 juni 2005. |
[2] | KOM(2001) 298 slutlig av den 6 juni 2001. |
[3] | KOM(2005) 576 slutlig, 17.11.2005. |