HU
HU
HU
AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA
Brüsszel, 30.3.2009 COM(2009) 149 végleges
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK, A TANÁCSNAK, AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK ÉS A RÉGIÓK BIZOTTSÁGÁNAK a kritikus informatikai infrastruktúrák védelméről „Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása” {SEC(2009) 399} {SEC(2009) 400}
(előterjesztő: a Bizottság)
HU
HU
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK, A TANÁCSNAK, AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK ÉS A RÉGIÓK BIZOTTSÁGÁNAK a kritikus informatikai infrastruktúrák védelméről „Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása”
1.
BEVEZETÉS
Az információs és kommunikációs technológiák (IKT-k) egyre inkább jelen vannak mindennapi tevékenységeinkben. Az ide tartozó IKT-rendszerek, -szolgáltatások, -hálózatok és -infrastruktúrák (együttesen: IKT-infrastruktúrák) egy része létfontosságú az európai gazdaság és társadalom számára, mivel vagy alapvető termékek és szolgáltatások előállítására szolgálnak, vagy más kritikus infrastruktúrák alapját képezik. Az ilyen infrastruktúrák működésében bekövetkező zavar, illetve azok megsemmisülése súlyos hatással lenne az alapvető társadalmi funkciók működésére nézve, ezért létfontosságú informatikai infrastruktúráknak1 számítanak. Az utóbbi néhány évben két ilyen eseményre is sor került: 2007-ben Észtország ellen követettek el nagyszabású számítógépes támadást, 2008-ban pedig a kontinenseket összekötő vezetékek szakadása okozott zavart. A Világgazdasági Fórum 2008-as becslése szerint az elkövetkező tíz évben 10–20 % az esélye annak, hogy jelentős üzemzavar keletkezik a kritikus informatikai infrastruktúrák területén, amely – ha bekövetkezik – világszinten körülbelül 250 milliárd dollár kárt okozna a gazdaságnak2. E közlemény középpontjában az említett eshetőségek tudatosítása, megelőzése és az azokra való felkészülés áll, valamint meghatározza a kritikus informatikai infrastruktúrák védelmének és ellenálló képességének megerősítésére irányuló azonnali intézkedések tervét. Az említett súlypontok összhangban vannak a hálózat- és információvédelmi politika feladatainak és prioritásainak meghatározására és az azok közösségi szintű kezelésére legalkalmasabb eszközök meghatározása céljából a Tanács és az Európai Parlament által kezdeményezett vita napirendjével. A javasolt intézkedések kiegészítik a kritikus informatikai infrastruktúrák elleni bűncselekmények és terrorista cselekmények megelőzésére, az ellenük való küzdelemre és büntetőeljárás alá vonására irányuló intézkedéseket is, valamint támogatják a hálózat- és információvédelem területén jelenleg folyó és tervezett uniós kutatási tevékenységet és az e területen induló nemzetközi kezdeményezéseket.
1 2
HU
A létfontosságú információs infrastruktúrák definícióját a COM(2005) 576 végleges dokumentum tartalmazza. Global Risks 2008 (A Világgazdasági Fórum egész világot érintő kockázatokkal foglalkozó hálózatának 2008-as jelentése.)
2
HU
2.
SZAKPOLITIKAI HÁTTÉR
A közlemény olyan európai politikát körvonalaz, amellyel az információs társadalom biztonságosabbá tehető, illetve fokozható az abba vetett bizalom. A Bizottság már 2005-ben3 jelezte, hogy sürgősen össze kellene hangolni az elektronikus kommunikációban és szolgáltatásokban érdekeltek bizalmának növelésére tett erőfeszítéseket. Ennek érdekében 2006-ban elfogadták a biztonságos információs társadalomra irányuló stratégiát4. A stratégia főbb elemeit, így az IKT-insfrastruktúrák biztonságának és ellenálló képességének fokozását 2007/068/01 sz. állásfoglalásában a Tanács is támogatta, az érdekeltek azonban nem azonosulnak kellőképpen a stratégiával, illetve nem alkalmazzák kellő mértékben annak elemeit. A stratégia keretében a fentieken túlmenően – mind taktikai, mind operatív szempontból – megerősödne az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) szerepe, amely 2004-ben jött létre abból a célból, hogy az uniós polgárok, fogyasztók, vállalkozások és a közigazgatás javára magas színvonalú és hatékony hálózat- és információvédelmet és ehhez kapcsolódó megfelelő biztonsági kultúrát biztosítson a Közösség területén. Az ENISA megbízatási idejét 2008-ban változatlan formában 2012 márciusáig meghosszabbították5. Ezzel egy időben a Tanács és az Európai Parlament az ENISA jövőjéről, valamint a hálózat- és információvédelem fokozására irányuló európai erőfeszítések terén követendő általános irányról folyó vita folytatását sürgette. A vita jegyében a Bizottság múlt novemberben nyílt internetes konzultációt6 indított, amelynek eredményét rövidesen közzéteszi. Az e közleményben taglalt tevékenységek a létfontosságú infrastruktúrák védelmére vonatkozó európai program (EPCIP)7 keretében és azzal párhuzamosan zajlanak. Az EPCIP fontos eleme8 az európai kritikus infrastruktúrák azonosításáról és kijelöléséről szóló irányelv9, amely a jövőre nézve magas prioritásúként jelöli meg az IKT-szektort. Az EPCIPnek szintén fontos eleme a létfontosságú infrastruktúrák figyelmeztető információs hálózata (CIWIN)10. Szabályozói oldalon az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások keretszabályozásának átalakításáról szóló bizottsági javaslat11 új rendelkezéseket tartalmaz a biztonságra és a hálózatok integritására vonatkozóan; különösképpen fokozná az üzemeltetők azon felelősségét, hogy tegyék meg a szükséges lépéseket a feltárt kockázatok kezelésére a szolgáltatásnyújtás folytonosságának biztosítására, és küldjenek értesítést a nemzeti szabályozó hatóságoknak a biztonság megsértésének eseteiről12. Ez az elképzelés támogatja azt az általános célkitűzést, miszerint a kritikus informatikai infrastruktúrák biztonságát és ellenálló képességét javítani kell. Az Európai Parlament és a Tanács messzemenően támogatja az említett rendelkezéseket.
3 4 5 6 7 8 9 10 11 12
HU
COM(2005) 229. COM(2006) 251. 1007/2008/EK rendelet. http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=4464. COM(2006) 786 végleges. http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressData/en/gena/104617.pdf. 2008/114/EK. COM(2008) 676 végleges. COM(2007) 697, COM(2007) 698, COM(2007) 699. A keretirányelv 13. cikke.
3
HU
Az e közleményben javasolt intézkedések kiegészítik az IKT-infrastruktúrák elleni bűncselekmények és terrorista cselekmények megelőzésére, az ellenük való küzdelemre és büntetőeljárás alá vonására irányuló jelenlegi és tervben lévő, a rendőrségi és igazságügyi együttműködés keretében hozott intézkedéseket, amint arról többek között az információs rendszerek elleni támadásokról szóló tanácsi kerethatározat13 és tervezett átdolgozása14 is rendelkezik. A kezdeményezés figyelembe veszi a NATO, azon belül pedig a Kibervédelmi Irányító Hatóság (Cyber Defence Management Authority) és a Kibervédelmi Kiválósági Együttműködési Központ (Cooperative Cyber Defence Centre of Excellence) közös kibervédelmi politika kialakítására irányuló tevékenységét, ezen kívül pedig kellő mértékben számol a nemzetközi politikai fejleményekkel, különösen a G8 keretében a kritikus informatikai infrastruktúrák védelmére vonatkozóan elfogadott alapelvekkel15, az ENSZ Közgyűlésének 58/199 sz., A kibervédelem globális kultúrájának megteremtése és a kritikus informatikai infrastruktúrák védelme című határozatával, valamint az OECD által nemrégiben a kritikus informatikai infrastruktúrák védelméről kiadott ajánlásával. 3.
MI A TÉT?
3.1.
A kritikus informatikai infrastruktúrák elengedhetetlenek az EU gazdasága és társadalmi növekedése számára
Az IKT-ágazat és az IKT-infrastruktúrák gazdasági és társadalmi jelentőségét az innovációról és a gazdasági növekedésről a közelmúltban született beszámolók is kiemelik, mint például az i2010 félidős értékeléséről szóló közlemény16, az Aho-csoport jelentése17 és az Európai Unió éves gazdasági jelentései18. Az OECD a gazdasági teljesítmény és társadalmi jólét növeléséhez, valamint a társadalom azon képességének fokozásához, hogy világszerte javíthassa az emberek életminőségét, az IKT-k és az internet jelentőségét hangsúlyozta19. Ezen túlmenően pedig olyan politikák kialakítását javasolja, amelyek erősítik az internetes infrastruktúrába vetett bizalmat. Az IKT-ágazat a társadalom valamennyi szegmense számára elengedhetetlenül fontos. A vállalkozások mind a közvetlen értékesítéshez, mind belső folyamataik hatékony lebonyolítására az IKT-ágazat által előállított termékeket használják. Az IKT-k nélkülözhetetlen részét képezik az innovációnak, és a termelékenység növekedésének 40 %-a is az IKT-knak köszönhető20. Mindenütt jelen vannak a kormányok munkájában és a közigazgatásban: az elektronikus kormányzat minden szinten tapasztalható elterjedése, valamint az egészségügyben, az energiaügyben és a politikai részvétel területén megjelenő innovációs megoldások és alkalmazások használata következtében az állami szektor 13 14 15 16 17 18 19 20
HU
2005/222/IB. COM(2008) 712. http://www.usdoj.gov/criminal/cybercrime/g82004/G8_CIIP_Principles.pdf. COM(2008) 199 végleges. http://ec.europa.eu/invest-in-research/action/2006_ahogroup_en.htm. 2007. évi jelentés az EU gazdasági helyzetéről: http://ec.europa.eu/economy_finance/publications/publication10130_en.pdf. http://www.oecd.org/dataoecd/1/29/40821707.pdf. http://epp.eurostat.ec.europa.eu/ – Tudomány és technológia / Információs társadalom.
4
HU
működése nagymértékben függ az IKT-któl. Végül, de nem utolsósorban pedig a lakosság is egyre fokozódó mértékben támaszkodik az IKT-k nyújtotta lehetőségekre a mindennapi életben, ezért a kritikus informatikai infrastruktúrák biztonságának növelésével – és nem kevésbé a személyes adatok és a magánélet fokozott védelmén keresztül – a lakosság IKT-kba vetett bizalma is erősödne. 3.2.
A kritikus informatikai infrastruktúrákat fenyegető veszélyek
Az emberek, természeti katasztrófák, illetve műszaki üzemzavar okozta kockázatok természete nem teljes mértékben ismert és/vagy még nem kerültek kellő mértékben kivizsgálásra, ezért az érdekelteknek nem állnak rendelkezésére megfelelő szintű ismeretek a hatásos védelmi és ellenintézkedések meghozatalához. A számítógépes támadások minden korábbinál kifinomultabbá váltak. A kezdeti egyszerű kísérletek mára profitszerzési vagy politikai céllal végrehajtott bonyolult támadásokká nőtték ki magukat. Ez az általános trend leggyakrabban emlegetett példái az Észtország, Litvánia és Grúzia ellen nemrégiben intézett nagyszabású számítógépes támadások. A probléma súlyosságát mi sem bizonyítja jobban, mint a vírusok, férgek és egyéb rosszindulatú programok („malware”) növekvő száma, csakúgy mint a botnetek terjedése és a kéretlen elektronikus levelek („spam”) egyre nagyobb térnyerése21. A kritikus informatikai infrastruktúráktól való nagyfokú függőség, azok határokon átívelő, szertágazó kapcsolódásai és más infrastruktúrákkal való kölcsönös függősége, valamint a támadásokkal szembeni sérülékenységük miatt biztonságuk és ellenálló képességük szisztematikus fokozására van szükség, ezzel arcvonalat képezve a támadások ellen és az üzemzavarok elkerülésére. 3.3.
A kritikus informatikai infrastruktúrák biztonságának és képességének fokozása az információs társadalomba vetett megerősítése érdekében
ellenálló bizalom
Az IKT-infrastruktúrák lehető legnagyobb mértékű kihasználtsága és ezzel összefüggésben az információs társadalomban rejlő gazdasági és társadalmi lehetőségek teljes mértékű kiaknázása érdekében el kell érni, hogy az érdekeltek nagy bizalommal használják őket. E bizalom több forrásból is fakadhat, de a legfontosabb az érintett infrastruktúra nagyfokú biztonsága és ellenálló képessége. A különféle elemek sokfélesége, nyitottsága, átjárhatósága, használhatósága, átláthatósága, számonkérhetősége és ellenőrizhetősége, valamint a versenyhelyzet mind fontos mozgatórugói a biztonsági fejlesztéseknek, és serkentik a biztonságnövelő termékek, eljárások és szolgáltatások bevezetését. Amint a Bizottság már rámutatott22, ez közös felelősségünk: egymagában egyetlen érdekelt fél sem rendelkezik a valamennyi IKT-infrastruktúra biztonságának és ellenálló képességének növeléséhez és a kapcsolódó feladatok ellátásához szükséges eszközökkel. E feladatok felvállalásához olyan kockázatkezelési szemléletmódra és kultúrára van szükség, amely túlreagálás és az újszerű szolgáltatások és alkalmazások ellehetetlenítése nélkül lehetővé teszi az ismert kockázatok kezelését, illetve a még ismeretlen veszélyekre való felkészülést.
21 22
HU
COM(2006) 688 végleges. COM(2006) 251 végleges.
5
HU
3.4.
Az Európára váró feladatok
Az európai kritikus infrastruktúrák azonosításáról és kijelöléséről szóló irányelv végrehajtásához kapcsolódó valamennyi tevékenységen (azokon belül is különösképpen az IKT-ágazatra mérvadó kritériumok megállapításán) túlmenően, illetve azokat kiegészítve, számos nagyobb feladat is megoldásra vár a kritikus informatikai infrastruktúrák biztonságának és ellenálló képességének növelése érdekében. 3.4.1.
A nemzeti szemléletmódok különbözősége és összehangolatlansága
Jóllehet a feladatok és a nehézségek jórészt közösek, a kritikus informatikai infrastruktúrák biztonságának és ellenálló képességének biztosítására létrehozott intézkedések és rendszerek, valamint a szakismeretek és felkészültség színvonala tagállamról tagállamra változik. A nemzeti szintre korlátozott megközelítés az összeurópai erőfeszítések elaprózódásának és hatástalanságának kockázatát hordozza magában. A nemzeti módszerek különbözőségei és a határokon átnyúló, szervezett együttműködés hiánya jelentősen aláássák a tagállami ellenintézkedések hatékonyságát, többek között azért, mert a kritikus informatikai infrastruktúrák kapcsolódásai folytán egy ország alacsony biztonsági szintje és gyenge ellenálló képessége adott esetben veszélybe sodorja a többi ország megfelelő rendszereit, így azokat is sebezhetővé teszi. E helyzet orvoslása érdekében közösségi erőfeszítésre lesz szükség, amely a feladatok tudatosítása, az ismeretek általános szintjének növelése, közös politikai célok és prioritások elfogadásának ösztönzése, a tagállamok közötti együttműködés megerősítése, valamint a nemzeti szakpolitikák közösségi, illetve globális síkra való terelése révén hozzáadott értéket teremtenek a nemzeti politikák és programok számára. 3.4.2.
Európai irányítási modell a kritikus informatikai infrastruktúrák számára
A kritikus informatikai infrastruktúrák biztonságának és ellenálló képességének javítása különleges kihívást jelent az irányítás szempontjából. Míg a kritikus informatikai infrastruktúrákkal foglalkozó politikák meghatározása végső soron a tagállamok feladata marad, e politikák végrehajtásába be kell vonniuk a kritikus informatikai infrastruktúrák nagy részét birtokló és ellenőrző magánszférát is. Ugyanakkor a piac önmagában nem okvetlenül kínál a kormányzatok szemszögéből elégséges vonzerőt a kritikus informatikai infrastruktúrák védelme érdekében tett magánszektorbeli beruházások számára. Ezen irányítási probléma megoldása érdekében – követendő példaként – állami és a magánszektorbeli szereplőket tömörítő partnerségek alakultak a tagállamokban. Habár egyetértés uralkodik afelől, hogy európai szintű partnerségekre is szükség lenne, ilyenek jelenleg még nem léteznek. Egy egész Európára kiterjedő, valamennyi érdekeltet felölelő és lehetőség szerint az ENISA hatáskörét kiterjesztő irányítási keret elősegítheti a magánszektorbeli szereplőknek a közpolitikák stratégiai céljainak, valamint az operatív prioritások és intézkedések meghatározásába történő bevonását. Ezzel a kerettel áthidalható lenne a tagállami döntéshozatal és a gyakorlati megvalósítás között jelenleg tátongó szakadék. 3.4.3.
Európa gyenge korai figyelmeztető és reagáló képessége
Az irányítási mechanizmusok csak akkor működhetnek igazán hatékonyan, ha minden résztvevő pontos információk alapján jár el. Ez különösen igaz a kormányok esetében, amelyek végső soron a lakosság biztonságának és jólétének biztosításért felelősek.
HU
6
HU
A biztonsággal kapcsolatos váratlan események felügyeletének és jelentésének gyakorlata és folyamatai azonban jelentős eltéréseket mutatnak a különböző tagállamokban. Egyes országok egyáltalán nem rendelkeznek ellenőrzési pontként működő felügyeleti szervvel. De ami ennél is fontosabb: a váratlan eseményekről rendelkezésre álló megbízható adatok cseréje és általában a tagállamok közötti együttműködés nem hivatalos keretek között vagy kétoldalú megállapodások, illetve csupán néhány partner között létrejött többoldalú megállapodások keretében zajlik, vagyis fejletlennek mondható. Továbbá a váratlan események szimulálása és a reagálási képességet tesztelő gyakorlatok stratégiailag rendkívül fontosak lennének a kritikus informatikai infrastruktúrák biztonságának és ellenálló képességének javítása szempontjából. Ezen belül is rugalmas stratégiák és a potenciális válsághelyzetek váratlanságának kezelésére alkalmas eljárások kialakítása a cél. A kibervédelmi gyakorlatok az EU-ban kezdetleges állapotban vannak, a nemzeti határokon átnyúló gyakorlatok pedig rendkívül ritkák. A nemrégiben történt események23 is rámutattak, hogy a kölcsönös segítségnyújtás alapvető fontosságú a kritikus informatikai infrastruktúrákat fenyegető nagyszabású támadások és veszélyek megfelelő kezelésében. Európa korai figyelmeztető és reagáló képességének megerősítéséhez a nemzeti/kormányzati ellenőrzés alatt álló, jól működő számítástechnikai katasztrófaelhárító csoportok (CERT) szükségesek, amelyek működése közös alapképességeken nyugszik. E szerveknek nemzeti szinten serkenteniük kell az érdekeltek motivációját és képességét, hogy részt vegyenek a közpolitikai tevékenységekben (ideértve a lakosságot és a kkv-kat célzó, információcserére és az értesítések továbbítására szolgáló rendszerekkel kapcsolatos tevékenységeket is), és – lehetőség szerint a meglévő szervezetek, mint például a Európai Kormányzati CERT-ek Csoportja (EGC)24 hatáskörének kiterjesztésével – részt kell venniük a határokon átnyúló együttműködésben és információcserében. 3.4.4.
Nemzetközi együttműködés
Az internet – mint az egyik legnagyobb jelentőségű kritikus informatikai infrastruktúra – ellenálló képessége és stabilitása különleges figyelmet érdemel. Osztott felépítésének és magas szintű redundanciájának köszönhetően az internet eddig rendkívül ellenálló infrastruktúrának bizonyult. Rendkívüli mértékű növekedése nyomán azonban fizikailag és logikailag is egyre bonyolultabbá válik, folyamatosan újabb szolgáltatások és felhasználási módok születnek a keretein belül, így indokolt feltenni a kérdést, hogy vajon képes lesz-e ellenállni a növekvő számban jelentkező hálózati zavaroknak és számítógépes támadásoknak. Az internet alkotóelemeinek sérülékenységéről alkotott eltérő nézetek részben magyarázattal szolgálnak a nemzetközi fórumokon képviselt kormányzati álláspontok különbözőségére és a téma fontosságának gyakran egymásnak ellentmondó megítélésére. Ez akadályt jelenthet az internetet fenyegető veszélyek megelőzésében, az azokra való felkészülésben és a váratlan események utáni helyreállításban. Így például az internetprotokoll 4-es verziójáról (Ipv4) a 6os verzióra (Ipv6) történő átállást indokolt lenne a kritikus informatikai infrastruktúrák biztonságának szempontjából is megvizsgálni. Az internet hálózatok globális és nagymértékben szerteágazó hálózata, amelynek ellenőrző központjai nem feltétlenül az országhatárok szerint helyezkednek el. Ezért az internet ellenálló képességének és stabilitásának biztosítása érdekében a következő, két egymást
23 24
HU
http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/large_scale/. http://www.egc-group.org/.
7
HU
kiegészítő intézkedésen alapuló konkrét és célzott megközelítésre van szükség: először is konszenzusnak kell létrejönnie az internet ellenálló képességével és stabilitásával kapcsolatos közpolitikai és az üzemi szintű bevezetést illető prioritások mibenlétét illetően. Másodsorban az EU harmadik országokkal és nemzetközi szervezetekkel folytatott stratégiai párbeszédébe és együttműködésébe be kell vonni a teljes internetközösséget, hogy az részt vegyen az internet ellenálló képességét és stabilitását biztosító, az európai értékeknek megfelelő alapelvek megalkotásában. E tevékenységek alapjául az információs társadalmi csúcstalálkozó25 alkalmával tett azon felismerés szolgálna, hogy az internet stabilitása kulcsfontosságú kérdés. 4.
TOVÁBBI TEENDŐK: A FELLÉPÉSEK JOBB ÖSSZEHANGOLÁSA ÉS A KÖZÖSSÉGI SZINTŰ EGYÜTTMŰKÖDÉS
A kritikus informatikai infrastruktúrák biztonsága és ellenálló képessége javításának közösségi és nemzetközi vonatkozásai miatt célszerű egységes közösségi koncepciót kialakítani, amely mind a nemzeti programok, mind a tagállamok között meglévő két- és többoldalú együttműködési rendszerek javát szolgálná, illetve kiegészítené azokat. Az észtországi események kapcsán kialakult közpolitikai vita során az a nézet alakult ki, hogy megelőző intézkedésekkel és a válság beálltakor tett intézkedések összehangolásával mérsékelhető az esetleges hasonló események által okozott kár. Továbbá az információk és bevált gyakorlatok szervezettebb keretek között, uniós szinten történő cseréje komoly előrelépést hozhatna a több országot is érintő kockázatok leküzdésében. Az együttműködés meglévő eszközeit – ideértve az ENISA-t is – meg kell erősíteni, illetve szükség esetén újabb eszközöket kell létrehozni. Elengedhetetlen, hogy valamennyi érdekeltre kiterjedő, többszintű közösségi koncepció szülessék, amely ugyanakkor teljes mértékben tiszteletben tartja és egyben kiegészíti a tagállami hatásköröket. Alaposan meg kell érteni a szóban forgó környezet tulajdonságait és korlátait: gondot okoz például az internet osztott jellege, hiszen a peremhálózati csomópontok támadások célpontjaivá válhatnak, pl. a botnetek számára. Ez az osztottság másfelől viszont határozottan előnyös, a stabilitás és az ellenálló képesség szempontjából kulcsfontosságú tulajdonság, amely gyorsabb helyreállítást tesz lehetővé, mint a túlzottan formalizált, hierarchikus felépítésű rendszerek esetében. Ez a közpolitikák és a bevezetendő operatív eljárások körültekintő és minden esetre kiterjedő vizsgálatát teszi szükségessé. A rendelkezésre álló időkeret szintén fontos szempont: világos, hogy azonnali cselekvésre van szükség, és sürgősen létre kell hozni egy olyan keret alkotóelemeit, amely egyrészt lehetővé teszi a jelenlegi feladatok kezelését, másrészt pedig fontos felismerésekkel szolgálhat a hálózat- és információvédelem jövőbeli stratégiájának kidolgozásához. Az említett feladatok megoldásakor az alábbi öt pillér szerint javasolt eljárni:
25
HU
(1)
Felkészülés és megelőzés: készültség biztosítása minden szinten;
(2)
Észlelés és reagálás: megfelelő korai figyelmeztető mechanizmusok felállítása;
Az információs társadalom tuniszi menetrendje: http://www.itu.int/wsis/docs2/tunis/off/6rev1.html.
8
HU
(3)
A hatások enyhítése és helyreállítás: a kritikus informatikai infrastruktúrák védelmére szolgáló uniós védekező mechanizmusok megerősítése;
(4)
Nemzetközi együttműködés: a közösségi prioritások nemzetközi szinten való képviselete;
(5)
Az IKT-ágazatra vonatkozó kritériumok: támogatás nyújtása az európai kritikus infrastruktúrák azonosításáról és kijelöléséről szóló irányelv26 végrehajtásához.
5.
CSELEKVÉSI TERV
5.1.
Felkészülés és megelőzés
Közös alapképességek és szolgáltatások az egész Európára kiterjedő együttműködés érdekében. A Bizottság az alábbiakra kéri fel a tagállamokat és az érdekelteket: • az egész Európára kiterjedő együttműködés érdekében az ENISA segítségével határozzák meg a nemzeti/kormányzati CERT-ek és reagáló műveletek tekintetében irányadó minimális képességi és szolgáltatási szinteket. • gondoskodjanak arról, hogy a nemzeti/kormányzati CERT-ek kulcsszerepet játsszanak az adott tagállam felkészülési, információmegosztási, koordinációs és reagálási képességeinek alakításában. Célkitűzések: megállapodás a minimumkritériumokról 2010 végéig; nemzeti/kormányzati CERT-ek felállítása minden tagállamban 2011 végéig.
jól
működő
Az ellenálló képesség javításáért felelős köz-magán partnerség (EP3R) létrehozása. A Bizottság • támogatja az állami és a magánszektor közötti együttműködést a biztonsággal és az ellenálló képességgel kapcsolatos célok elérése, a közös alapképességek, a bevált politikai gyakorlat és intézkedések terén. Az EP3R elsődleges feladata az európai dimenzió stratégiai (pl. bevált szakpolitikai gyakorlat) és taktikai/műveleti (pl. ipari alkalmazás) szempontú képviselete. Az EP3R a meglévő nemzeti kezdeményezésekre és az ENISA operatív tevékenységére épít, illetve kiegészíti azokat. Célkitűzések: az EP3R tervének és ütemtervének elkészítése 2009 végéig; az EP3R felállítása 2010 közepéig; az EP3R keretében elért első eredmények 2010 végéig. A tagállamok közötti információcsere európai fóruma. A Bizottság • a kritikus informatikai infrastruktúrák biztonságával és ellenálló képességével kapcsolatos információk és bevált politikai gyakorlat tagállamok közötti cseréje érdekében európai fórumot hoz létre. Ez a más szervezetek, különösen az ENISA tevékenységeiből származó eredmények fórumaként is szolgál.
26
HU
A Tanács 2008/114/EK irányelve.
9
HU
Célkitűzések: a fórum elindítása 2009 végéig; az első eredmények bemutatása 2010 végéig. 5.2.
Észlelés és reagálás
Európai információmegosztási és figyelmeztető rendszer (EISAS). A Bizottság támogatja az EISAS kifejlesztését és üzembe helyezését, amelynek feladata a lakosság és a kkv-k figyelmeztetése, és amely az információcserére és az értesítések továbbítására szolgáló nemzeti és magánszektorbeli rendszerekre épül. A Bizottság két egymást kiegészítő prototípusprojekt számára nyújt pénzügyi támogatást27. Felkérjük az ENISA-t, hogy vegye számba e projektek és más nemzeti kezdeményezések eredményeit és az EISAS előmozdítása érdekében készítse el az annak kifejlesztésére és üzembe helyezésére vonatkozó ütemtervet. Célkitűzések: a prototípusprojektek befejezése 2010 végéig; az európai rendszer felállításának ütemterve 2010 végéig. 5.3.
A hatások enyhítése és a helyreállítás
Nemzeti vészhelyzeti tervek és gyakorlatok. A Bizottság felkéri a tagállamokat arra, hogy • az egész Európára kiterjedő együttműködés szorosabbra fűzése jegyében fejlesszenek ki nemzeti vészhelyzeti terveket és rendszeresen szervezzenek gyakorlatokat a hálózatbiztonságot veszélyeztető nagyszabású eseményekre való reagálás és a keletkező károk helyreállítása rutinjainak kialakítása érdekében. A nemzeti/kormányzati CERTek/CSIRT-ek (CSIRT – számítógép-biztonsági katasztrófaelhárító csoport) feladata lehet az állami és a magánszektorbeli érdekeltek részvételével zajló nemzeti vészhelyzeti tervezés és gyakorlatok levezénylése. Felkérjük az ENISA-t, hogy segítse a bevált gyakorlatok tagállamok közötti cseréjét. Célkitűzések: legalább egy gyakorlat elvégzése minden tagállamban 2010 végéig. Egész Európára kiterjedő gyakorlatok a hálózatbiztonságot veszélyeztető nagyszabású események kezelésére A Bizottság • pénzügyi támogatást nyújt az internet biztonságát veszélyeztető események kezelésére irányuló, egész Európára kiterjedő gyakorlatokhoz28, amely egyben Európa olyan nemzetközi hálózatbiztonsági gyakorlatokban történő részvételének operatív platformjául is szolgálhat, mint például az USA „Cyber Storm” elnevezésű gyakorlata. Célkitűzések: az első, egész Európára kiterjedő gyakorlat kidolgozása és lebonyolítása 2010 végéig; Európa részvétele nemzetközi gyakorlatokban 2010 végéig. A nemzeti/kormányzati CERT-ek közötti együttműködés fokozása. A Bizottság felkéri a tagállamokat arra, hogy
27
28
HU
Az „A terrorizmus és egyéb biztonsági vonatkozású veszélyek megelőzése, az azokra való felkészültség és következményeik kezelése” elnevezésű bizottsági program keretében: http://ec.europa.eu/justice_home/funding/cips/funding_cips_en.htm. Ld. a fenti 27. lábjegyzetet.
10
HU
• többek között a meglévő együttműködési mechanizmusok (pl. az EGC29) kiterjesztésével és támogatásával fokozzák a nemzeti/kormányzati CERT-ek közötti együttműködést. Felkérjük az ENISA-t, hogy tevékenyen ösztönözze és támogassa a nemzeti/kormányzati CERT-ek közötti uniós szintű együttműködést annak érdekében, hogy az egész kontinensre (és/vagy egyes régiókra) kiterjedő gyakorlatok révén Európa felkészültebben és gyorsabban legyen képes reagálni a váratlan eseményekre. Célkitűzések: az EGC-ben részt vevő nemzeti szervezetek számának megkétszerezése 2010 végéig; referenciaanyagok összeállítása az ENISA-ban az egész Európára kiterjedő együttműködés elősegítésére 2010 végéig. 5.4.
Nemzetközi együttműködés
Az internet ellenálló képessége és stabilitása A terv három, egymást kiegészítő tevékenységet tartalmaz: • Az internet stabilitásának és ellenálló képességének hosszabb távon történő fenntartásához szükséges prioritások. A Bizottság egész Európára kiterjedő, valamennyi állami és a magánszektorbeli érdekelt részvételével zajló vitát kezdeményez az internet stabilitásának és ellenálló képességének hosszabb távon történő fenntartásához szükséges prioritások meghatározása céljából. Célkitűzések: az internet létfontosságú alkotóelemeivel és vonatkozásaival kapcsolatos uniós prioritások meghatározása 2010 végéig. • Az internet ellenálló képességére és stabilitására vonatkozó (uniós szintű) elvek és iránymutatások. A Bizottság együttműködik a tagállamokkal az internet ellenálló képességére és stabilitására vonatkozó iránymutatások kidolgozásában, melynek során egyebek mellett az alábbi kérdésekre összpontosít: korrekciós intézkedések, a kritikus informatikai infrastruktúrák földrajzi eloszlása, az internetarchitektúrába és az internetprotokollokba épített műszaki biztosítékok, valamint az adatok és szolgáltatások sokrétűsége és biztonsági célú többszörözése. A Bizottság által jelenleg is finanszírozott, a DNS-szolgáltatások ellenálló képességével foglalkozó munkacsoport az ehhez a témához kapcsolódó projektekkel egyetemben szintén segít majd a konszenzus kialakításában30. Célkitűzések: az internet ellenálló képességére és stabilitására vonatkozó elvek és iránymutatások kidolgozásának ütemterve 2009 végéig; ezen elvek és iránymutatások első változatának elfogadása 2010 végéig. • Az internet ellenálló képességére és stabilitására vonatkozó (globális szintű) elvek és iránymutatások. A Bizottság a tagállamokkal együttműködve dolgozza ki a globális érvényű elvek és iránymutatások kidolgozásának tervét. A világszintű konszenzus elérése érdekében – különösen az információs társadalmi párbeszéd keretében31 – stratégiai együttműködés jön létre harmadik országokkal.
29 30 31
HU
Ld. a fenti 24. lábjegyzetet. Ld. a fenti 27. lábjegyzetet. COM(2008) 588 végleges.
11
HU
Célkitűzések: az internet biztonságára és ellenálló képességére vonatkozó elvek és iránymutatások nemzetközi együttműködés keretében történő meghatározásának ütemterve 2010 elején; a nemzetközileg elfogadott elvek és iránymutatások első változatáról szóló vita harmadik országokkal és a témával foglalkozó fórumokon, így az Internetszabályozási Fórumban is, 2010 végéig. Az internetet fenyegető nagyszabású események hatásainak enyhítésére és a helyreállításra irányuló világszintű gyakorlatok. A Bizottság felkéri az európai érdekelteket arra, hogy • a regionális vészhelyzeti tervekre és képességekre alapozva terjesszék elő gyakorlati elképzelésüket a hatáscsökkentés és helyreállítás pillérén belül végzett gyakorlatok globális szintre történő kiterjesztéséről. Célkitűzések: A Bizottság 2010 végéig javaslatot tesz az internetet fenyegető nagyszabású események hatásának enyhítésére és a helyreállításra irányuló világszintű gyakorlatokban való európai részvétel kereteire és ütemtervére. 5.5.
Az európai kritikus infrastruktúrákra vonatkozó követelmények az IKT-ágazat számára
az IKT-ágazatra vonatkozó kritériumok. tevékenységére alapozva a Bizottság
A
2008-ban
előzetes
jelleggel
végzett
• a tagállamokkal és valamennyi érintett érdekelttel tovább dolgozik az európai kritikus infrastruktúrák azonosítására vonatkozó követelmények kialakításán az IKT-ágazat számára. E célból a most megkezdett konkrét vizsgálat32 kapcsolódó adatait is fel fogják használni. Célkitűzések: A Bizottság 2010 első felében meghatározza az európai kritikus infrastruktúrák azonosítására vonatkozó követelményeket az IKT-ágazat számára. 6.
KÖVETKEZTETÉS
A kritikus informatikai infrastruktúrák biztonsága és ellenálló képessége az üzemzavarok és támadások elleni védelem alapvető eleme. A információs társadalom kínálta előnyök teljes mértékű kihasználásához ezek uniós szintű javítása elengedhetetlen. E nem kis feladat megvalósítására a Bizottság olyan cselekvési tervet javasol, amely uniós szinten megerősítené a taktikai és operatív együttműködést. A javasolt intézkedések sikere attól függ, hogy milyen mértékben képesek kihasználni az állami és magánszektorban folyó tevékenységeket; valamint a tagállamok, a közösségi intézmények és az érdekeltek elkötelezettségétől és teljes körű részvételétől. E célból 2009. április 27–28-án miniszteri konferenciára kerül sor, amelynek célja a javasolt intézkedések tagállamokkal történő megvitatása, valamint az európai hálózat- és információbiztonsági politika modernizálásáról és megerősítéséről szóló vitában való aktív részvételük ösztönzése.
32
HU
Ld. a fenti 27. lábjegyzetet.
12
HU
Végezetül pedig a kritikus informatikai infrastruktúrák biztonságának és ellenálló képességének javítása hosszú távú feladat, így az erre vonatkozó stratégiát és intézkedéseket rendszeresen értékelni kell. Ezért, és mivel az említett célkitűzés illeszkedik az EU 2012 utáni hálózat- és információvédelmi politikájáról szóló általános vita napirendjébe, a Bizottság 2010 végén egy gyakorlat keretében értékelni kívánja a cselekvési terv első fázisában tett intézkedéseket és szükség esetén további intézkedésekre tesz javaslatot.
HU
13
HU