KOMISE EVROPSKÝCH SPOLEČENSTVÍ
V Bruselu dne 15.11.2006 KOM(2006) 688 v konečném znění
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ Boj proti spamu a špionážnímu („spyware“) a škodlivému softwaru („malicious software“)
CS
CS
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ Boj proti spamu a špionážnímu („spyware“) a škodlivému softwaru („malicious software“) (Text s významem pro EHP)
1.
ÚČEL SDĚLENÍ
Společnost si začíná stále více uvědomovat, že služby elektronických komunikací se stávají nezbytností pro každodenní život, pracovní i soukromý. Široké zavádění služeb je závislé na důvěryhodných, bezpečných a spolehlivých technologiích. Sdělení Komise o strategii pro bezpečnou informační společnost1 je zaměřeno na zlepšení bezpečnosti sítě a informací obecně a vyzývá soukromý sektor, aby se zabýval slabinami sítě a informačních systémů, které lze zneužít k šíření spamu a škodlivého softwaru. Sdělení Komise o přezkumu předpisového rámce EU navrhuje nová pravidla pro posílení bezpečnosti a soukromí v odvětví elektronických komunikací2. Toto sdělení se zabývá vývojem v oblasti spamu3 a hrozbami, jako jsou špionážní software (dále jen „spyware“) a škodlivý software. Hodnotí úsilí, které bylo doposud vynaloženo v boji s těmito hrozbami, a určuje další opatření, která mohou být přijata, zejména: - posílení práva Společenství - prosazování práva - spolupráce v členských státech a mezi nimi - politický a hospodářský dialog se třetími zeměmi - iniciativy ze strany průmyslu - činnosti v oblasti výzkumu a vývoje. 2.
PROBLÉM – PROMĚNLIVOST HROZEB
Spam4 se za posledních 5 let významně rozrostl5. Podle zdrojů z oblasti průmyslu spam dnes představuje 50–80% zpráv adresovaných koncovým uživatelům6. Ačkoli největší část spamu 1 2 3 4 5 6
CS
KOM(2006) 251 v konečném znění. KOM(2006) 334 v konečném znění. KOM(2004) 28 v konečném znění. Spamem se rozumí zasílání nevyžádaných sdělení – např. e-mailem – pro obchodní účely. Nevyžádané e-mailové zprávy však mohou též obsahovat škodlivý software a spyware. V roce 2001 představoval spam 7 % celosvětového objemu poslaných e-mailů. Symantec 54%; Messagelabs 68,6 MAAWG 80-85.
2
CS
pochází z nečlenských zemí, evropské země se na zaslaných spamových zprávách dnes 7 podílejí 25 % . Celosvětové náklady spojené se spamem v roce 2005 byly odhadnuty na 39 miliard EUR. Náklady spojené se spamem, které vznikají hlavním evropským ekonomikám, představují v Německu 3,5 miliardy EUR, ve Spojeném království 1,9 miliardy EUR a ve Francii 1,4 miliardy EUR8. Zasílání nevyžádaných obchodních sdělení (spamming) je považováno za „obchod“ sám o sobě. „Spammeři“ prodávají a půjčují společnostem za úplatu seznamy nashromážděných e-mailových adres pro účely marketingu. Šířit spam po internetu se obzvláště vyplatí. Souvisí to s dostupností tohoto média a nízkými náklady spojenými s rozesláním zpráv v obrovských množstvích. Na druhé straně rozumné investice do ochrany před spamem mohou též přinést významné výsledky. Například v Nizozemsku bylo investicí ve výši 570 000 EUR do zařízení na boj proti spamu dosaženo jeho snížení o 85 %. Spam, který byl původně jen obtížným nevyžádaným e-mailem, má dnes rostoucí měrou podvodný a trestný charakter. Jasně to dokládají podvodné (tzv. „phishingové“ či „rhybařící“) e-mailové zprávy, jimiž jsou od koncových uživatelů vylákány citlivé údaje pomocí napodobenin internetových stránek vyvolávajících dojem, že představují skutečné společnosti, a jejichž vinou vzniká možnost zneužití cizí identity a újmy na dobré pověsti společností. Stále více se rozmáhá šíření spywaru e-mailem nebo prostřednictvím softwaru, jehož cílem je vysledovat internetové chování uživatele a podat o něm zprávu. Spyware může též shromažďovat osobní údaje, jako jsou hesla a čísla kreditních karet. Rozesílání obrovského množství nevyžádaných e-mailů se značně usnadňuje šířením škodlivých kódů, jako jsou červi a viry. Jakmile se nainstalují, umožní útočníkovi, aby převzal kontrolu nad infikovaným počítačovým systémem a učinit z něj „botnet“9, přičemž totožnost skutečného spammera skryjí. Botnety využijí spammeři, phisheři a prodejci spywaru k podvodům a trestné činnosti. Počítačoví odborníci odhadují, že prostřednictvím botnetů se předá více než 50 % zpráv zneužívajících e-mail10. Šíření spywaru a jiných typů škodlivých kódů napadajících spotřebitele a podniky má značný hospodářský dopad. Globální finanční dopad malwaru byl odhadnut na 11 miliard EUR v roce 200511. 3.
DOPOSUD PROVEDENÁ PRÁCE - OPATŘENÍ USKUTEČNĚNÁ OD ROKU 2004
V roce 2002 EU přijala směrnici o soukromí a elektronických komunikacích12, která zakazuje spam zavedením zásady, že marketing zaměřený na fyzické osoby musí být založen na souhlasu. Komise vydala v lednu 2004 sdělení o krocích rozpoznání spamu, kterou se doplňuje směrnice13. Ve sdělení je zdůrazněno, že je nutné, aby se zapojily různé zúčastněné subjekty z oblastí zvyšování povědomí, samoregulace nebo technických řešení, spolupráce a prosazování právních předpisů. Na téma boje proti spamu, spywaru a malwaru Komise 7 8 9 10
11 12 13
CS
Q1 2006 (Sophos): Asie 42,8 %, Severní Amerika 25,6 %, Evropa 25,0 %, Jižní Amerika 5,1 %, Australasie 0,8 %, Afrika 0,6 %, ostatní 0,1 %. Výzkum Ferris, 2005. Botnetem se rozumí napadený počítač, který spammery využívá k rozesílání hromadných e-mailů pomocí instalace skrytého softwaru, který bez vědomí majitelů z počítače učiní e-mailový server. Podle společnosti Symantec je napadení botnety nejvíce rozšířeno v těchto zemích (Q 3-4 2005): USA 26 %, Spojené království 22 %, Čína 9 %, Francie, Jižní Korea, Kanada 4 %, Tchaj-wan, Španělsko, Německo 3 %, Japonsko 2 %.. Computer Economics: Zpráva o malwaru za rok 2005. Článek 13 směrnice 2002/58. Viz 3 výše.
3
CS
zahájila dialog se třetími zeměmi. Směrnice o nekalých obchodních praktikách14 navíc zajišťuje ochranu spotřebitele proti agresivním obchodním praktikám; přeshraniční spolupráci v boji proti těmto praktikám řídí nařízení o spolupráci v oblasti ochrany spotřebitele15. 3.1.
Akce zaměřené na zvyšování povědomí
Sdělení Komise přispělo ke zvyšování povědomí o spamu na vnitrostátní i mezinárodní úrovni po celém světě. V rámci komplexního přístupu Evropské unie je na podporu bezpečnějšího využívání internetu a nových internetových technologií, zejména pro děti, zaměřen program Bezpečnější internet plus na úrovni EU. Členské státy zahájily a podporují kampaně s cílem zvýšit povědomí uživatelů o problémech spojených se spamem a o tom, jak je řešit. Obecně se dá říci, že poskytovatelé internetových služeb (dále jen „ISP“) přijali svou odpovědnost a radí a pomáhají zákazníkům ohledně ochrany před spywarem a viry. Komise v únoru 2004 uspořádala workshop OECD o spamu. Aktivně též přispěla k souboru antispamových nástrojů OECD poskytující komplexní balíček regulačních přístupů, technických řešení a iniciativ příslušných odvětví průmyslu pro boj proti spamu. Na Světové vrcholné schůzce o informační společnosti (WSIS)16 bylo uznáno, že je třeba zabývat se spamem na vhodné vnitrostátní i mezinárodní úrovni. V letech 2004 a 2005 zorganizovala Mezinárodní telekomunikační unie (ITU) tematické konference WSIS. Tuniská agenda WSIS přijala v listopadu 2005 výzvy k účinnému jednání se závažným a rozrůstajícím se problémem, který spam představuje17. 3.2.
Mezinárodní spolupráce
Spam je problém, který nezná hranic. Proto bylo zahájeno několik iniciativ spolupráce a mechanismů vymáhání právních předpisů na přeshraniční úrovni. Komise založila kontaktní síť orgánů bojujících proti spamu (CNSA), která se pravidelně schází a zajišťuje výměnu osvědčených postupů a přispívá k vymáhání právních předpisů na přeshraniční úrovni. CNSA vypracovala postup spolupráce18 pro usnadnění přeshraničního vyřizování stížností ohledně spamu. Londýnskému akčnímu plánu (LAP), který sdružuje donucovací orgány ze 20 zemí a přijal též postup přeshraniční spolupráce, útvary Komise poskytují podporu a účastní se jej jako pozorovatelé. Společný workshop EU CNSA – LAP se konal v listopadu 2005. OECD přijalo doporučení o přeshraniční spolupráci při vymáhání právních předpisů proti spamu, jež bylo přijato v dubnu 2006 a které naléhá na orgány činné v trestném řízení, aby si navzájem vyměňovaly informace a spolupracovaly19. Komise dále prosazuje mezinárodní iniciativy spolupráce. USA a EU se dohodly na spolupráci při řešení problematiky spamu formou společných iniciativ v oblasti vymáhání práva a hledají způsoby boje proti ilegálnímu „spywaru“ a „malwaru“. Komise se též účastní práce v kanadské pracovní skupině pro mezinárodní spolupráci v boji proti spamu. Diskuse
14 15 16 17 18
19
CS
Příloha I, bod 26 směrnice 2005/29/ES. Nařízení (ES) č. 2006/2004. WSIS, Ženeva, prosinec 2003. Tuniská agenda, odst. 41. http://europa.eu.int/information_society/policy/ecomm/doc/todays_framework/privacy_protect ion/spam/cooperation_procedure_cnsa_final_version_20041201.pdf http://www.oecd-antispam.org/
4
CS
probíhají také s velkými mezinárodními partnery, jako je např. Čína nebo Japonsko. Ve vztahu k Asii Komise iniciovala společné prohlášení o mezinárodní spolupráci v boji proti spamu, které bylo přijato na konferenci ASEM o elektronickém obchodování v únoru 200520. Tuniská agenda, přijatá na Světové vrcholné schůzce o informační společnosti (WSIS) v listopadu 2005 zdůrazňuje, že internetová bezpečnost je oblastí, kde je nutná lepší mezinárodní spolupráce, a že tuto záležitost bude třeba řešit v rámci rozšířené spolupráce při řízení internetu, která bude prováděna v návaznosti na tuto vrcholnou schůzku21. 3.3.
Výzkum a technický rozvoj
V rámci šestého rámcového programu výzkumu a technického rozvoje Komise zahájila projekty na pomoc zúčastněným stranám při boji proti spamu a dalším formám malwaru. Tyto projekty22 jsou zaměřeny na obecné monitorování sítě a detekci útoků nebo přímo na vývoj technologií pro konstrukci filtrů na detekci spamu, phishingu a malwaru. K úspěchům těchto projektů patří to, že vznikla výzkumná komunita, která se zabývá způsoby izolace malwaru a vývojem evropské infrastruktury pro monitorování internetového provozu. Pozornost se v poslední době obrací na adaptivní filtry proti phishingu, které jsou schopny detekovat neznámé ohrožení a kybernetické útoky. Finanční úsilí věnované těmto činnostem dosahuje 13,5 milionu EUR. 3.4.
Opatření přijímaná ze strany průmyslu
Komise vítá aktivní přístup k problematice spamu ze strany příslušných odvětví průmyslu. Poskytovatelé služeb obecně přijali technická opatření s cílem řešit problematiku spamu, včetně zdokonalených spamových filtrů. Poskytovatelé internetových služeb zavedli asistenční službu a poskytují uživatelům software proti spamu, spywaru a malwaru. Mnozí poskytovatelé internetových služeb mají ve smlouvách o poskytování služeb ustanovení, která zakazují nekalé praktiky na internetu. V nedávném sporu před občanskoprávním soudem ve Spojeném království byla spammerovi za porušení smlouvy uložena pokuta ve výši 68 800 EUR. Skupiny působící v daném odvětví přijaly osvědčené postupy pro předcházení phishingu a zdokonalení filtrovacích metod23. Mobilní operátoři přijali kodexy chování a plánují podniknutí kroků proti nevyžádaným zprávám. Sdružení GSM vydalo v roce 2006 kodex náležitých postupů v souvislosti se spamem v mobilní síti. V současné době Komise spolufinancuje iniciativu SpotSpam – partnerství mezi soukromým a veřejným sektorem, které si klade za cíl vybudovat databázi, jež usnadní přeshraniční vyšetřování a vymáhání právních předpisů v případech týkajících se spamu24.
20 21 22 23 24
CS
http://www.asemec-london.org/ Tuniská agenda odstavce 39-47. http://www.itu.int/wsis/docs2/tunis/off/6rev1.doc www.diademhttp://cordis.europa.eu/fp6/projects.htm#search http://www.maawg.org/home/ http://www.spotspam.net
5
CS
3.5.
Akce v oblasti vymáhání právních předpisů
Je jasné, že boj proti spamu přináší výsledky. Filtrovací opatření zavedená ve Finsku snížila podíl spamu v přenášených e-mailech z 80 na přibližně 30 %. Celá řada orgánů již vůči spammerům uplatňuje učinila opatření za účelem vymáhání příslušných právních předpisů25. Jednotlivé členské státy se však významně liší počtem trestně stíhaných případů. Některé orgány zahájily stovky i více vyšetřování, která vedla k úspěšnému ukončení a uložení sankcí za spamové činnosti. V jiných členských státech se vyšetřovalo jen několik případů a v některých zemích vůbec žádné. Většina akcí se zaměřila na „tradiční“ formy spamu; jiná významná ohrožení téměř nebyla stíhána navzdory tomu, že představují velké riziko. 4.
DALŠÍ KROKY: CO JE TŘEBA UČINIT
4.1.
Opatření na úrovni členských států
Tato část se zabývá opatřeními zaměřenými na vlády a vnitrostátní orgány zejména ve vztahu k vymáhání právních předpisů a spolupráci. 4.1.1.
Klíčové faktory úspěchu
Neustávající a proměnlivý charakter daného problému si žádá rozsáhlejší účast členských států členských států a náležité stanovení priorit ze jejich strany. Opatření by se zejména měla zaměřit na „profesionální“ spammery, phishery a na šíření spywaru a malwaru. Klíčovými faktory úspěchu jsou: – Pevné odhodlání ústředních vlád k boji proti nekalým praktikám na internetu – Jasně vymezená organizační odpovědnost v oblasti prosazování práva – Přiměřené zdroje pro donucovací orgány. V současné době se tyto faktory ve všech členských státech nezohledňují. 4.1.2.
Koordinace a integrace na vnitrostátní úrovni
Podle směrnice o soukromí a elektronických komunikacích a směrnice o obecné ochraně údajů26 mají vnitrostátní orgány právo zasahovat proti následujícím nezákonným praktikám: - zasílání nevyžádaných sdělení (spam)27; - protiprávní přístup ke koncovému zařízení; ať už za účelem uložení informací, jako jsou programy adwaru a spywaru, nebo získání přístupu k informacím uchovávaným v takovém zařízení28;
25 26 27
CS
Průzkum CNSA ukázal, že v patnácti z osmnácti zemí účastnících se průzkumu došlo v období 2003– 2006 k trestnímu stíhání. Směrnice 95/46/ES. Článek 13 směrnice o soukromí a elektronických komunikacích.
6
CS
- infikování koncového zařízení zavedením malwaru, jako jsou červi a viry a přeměna PC na botnety nebo jejich využívaní k jiným účelům29; - matení uživatelů tak, aby vydali citlivé informace30, jako jsou hesla a podrobnosti o kreditní kartě prostřednictvím tzv. phishingových zpráv. Některé z těchto praktik též spadají do oblasti trestního práva, včetně rámcového rozhodnutí o útocích proti informačním systémům31. Podle něj musejí členské státy zajistit maximální sankci ve výši alespoň 3 let odnětí svobody, anebo 5 let, pokud k těmto činům dojde v rámci organizované trestné činnosti. Na vnitrostátní úrovni mohou být tato ustanovení vymáhána správními orgány a/nebo orgány činnými v trestním řízení. Pokud tomu tak je, musí být odpovědnost různých orgánů a postupy spolupráce jasně určeny. K tomu účelu je třeba, aby vlády jednotlivých členských států činily rozhodnutí na vysoké úrovni. Do dnešního dne se stále propojenější trestní a správní hlediska spamu a dalších hrozeb nepromítla do odpovídajícího zintenzivnění postupů spolupráce v členských státech, jež by spojily technické a vyšetřovací dovednosti jednotlivých subjektů. K tomu, aby nebyly opomenuty oblasti, jako je výměna informací a poznatků, kontaktní údaje, pomoc a převádění případů, jsou potřeba protokoly o spolupráci. Úzká spolupráce mezi donucovacími orgány, provozovateli sítí a ISP na vnitrostátní úrovni je též prospěšná pro výměnu informací, zvyšování technické odbornosti a stíhání nekalých praktik na internetu. Norské a nizozemské orgány informovaly o užitečnosti takových partnerství veřejného a soukromého sektoru. 4.1.3.
Zdroje
Zdroje jsou nutné pro shromažďování důkazů, provádění vyšetřování a zahájení trestního stíhání. Orgány potřebují technické a právní zdroje a musí se seznámit s metodami, které používají osoby, dopouštějící se protiprávního jednání, aby mohly úspěšně učinit přítrž jejich praktikám. Užitečným nástrojem by mohly být internetové mechanismy pro podávání stížností s přidruženými systémy pro záznam a rozbor nahlášených nekalých praktik. Zkušenost ukazuje, že rozumné investice mohou přinést významné výsledky. Snížení objemu spamu v Nizozemsku bylo dosaženo založením týmu 5 pracovníků na plný úvazek v OPTA, což je příslušný orgán Nizozemska, a vybavením v hodnotě 570 000 EUR na boj proti spamu. Na základě této investice je zkušenost získaná při boji proti spamu dnes využívána i v jiných problémových oblastech.
28 29 30 31
CS
Ustanovení čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích. Viz 28 výše. Ustanovení čl. 6 písm. a) směrnice o obecné ochraně údajů. Rámcové rozhodnutí Rady 2005/222/SVV.
7
CS
4.1.4.
Přeshraniční spolupráce
Spam je globálním problémem. Vnitrostátními orgány budou často muset spoléhat na orgány v jiných zemích, pokud jde o stíhání spammerů, a naopak mohou být jinými zeměmi vyzvány k zahájení vyšetřování. Je možno počítat s určitou neochotou vydávat nedostatečné domácí zdroje na řešení problémů jiných zemí, avšak je důležité, aby si členské státy uvědomily, že účinná přeshraniční spolupráce představuje v boji proti spamu základním prvek. V poslední době orgány Austrálie a Nizozemska zaměřené na boj proti spamu spolupracovaly na likvidaci rozsáhlé spamové činnosti. Do dnešního dne schválilo 21 evropských orgánů postup spolupráce CNSA32 při přeshraničním vyřizování stížností; zbývající orgány byly vyzvány, aby tak učinily během příštích několika měsíců. Členské státy a příslušné orgány jsou zejména vyzývány, aby podporovaly používání: - společných dokumentů CNSA-LAP pro forma - doporučení OECD a souboru nástrojů pro vymáhání práva při obraně proti spamu. 4.1.5
Navrhované akce
Členské státy a příslušné orgány se vyzývají, aby: - stanovily jasné hranice odpovědnosti pro vnitrostátní agentury zabývající se bojem proti spamu - zajistily účinnou koordinaci mezi příslušnými orgány - zajistily zapojení účastníků trhu na vnitrostátní úrovni a využily jejich poznatků a dostupných informací - zajistily dostupnost příslušných zdrojů pro účely za účelem vymáhání příslušných právních předpisů - zapojily se do mezinárodních postupů spolupráce a konaly na základě žádostí o přeshraniční pomoc 4.2.
Opatření ze strany průmyslu
V této části jsou představeny kroky, které mohou být učiněny ze strany průmyslu k tomu, aby byla posílena důvěra spotřebitelů a byla omezeno zasílání zpráv zneužívajících e-mail. 4.2.1.
Dodávka softwaru a jeho instalace
Spyware představuje vážné ohrožení soukromí uživatelů. Nabídka softwaru na internetu je často používaným způsobem, jak dodat a nainstalovat spyware na koncové zařízení
32
CS
Viz 18 výše.
8
CS
uživatele. Spyware se též může skrývat v softwaru šířeném jinými medii, jako např. instalační CD-ROM. Nevyžádané špionážní programy mohou být nainstalovány spolu se softwarem, který si spotřebitel obstarává. Níže jsou popsány metody, jak zabránit spywaru v tom, aby měl přístup k činnostem koncového uživatele. 4.2.2.
Informace spotřebitelům
Nabídky softwaru mohou zahrnovat instalaci přídavných programů. Pokud tento přidaný software funguje jako spyware v tom smyslu, že monitoruje chování koncového uživatele (např. pro účely marketingu), dochází ke zpracování osobních údajů, což je bez informovaného souhlasu uživatele protiprávní. V mnoha případech souhlas uživatele s nainstalováním takového softwaru buď není udělen, anebo se skrývá v textu uvedeném malým písmem na konci dlouhé licenční smlouvy s koncovým uživatelem. Společnosti, které nabízejí softwarové produkty, jsou vyzývány, aby jasně a dobře viditelně popsaly všechny podmínky nabídky, zejména pokud softwarový balík obsahuje monitorovací zařízení na zpracování osobních údajů. Samoregulace a použití nějakého druhu „schvalovací pečeti“ by mohlo být prostředkem pro odlišení důvěryhodných společností od společností nedůvěryhodných. Kodexy chování, jejichž cílem je informovat uživatele o podmínkách, které implikují zpracování osobních údajů, mohou být podána ke schválení Pracovní skupině pro ochranu údajů zřízené podle článku 29. 4.2.3 Smluvní ustanovení v rámci dodavatelského řetězce Společnosti často nevědí o tom, jakými technickými prostředky je reklama jejich produktů a služeb dodávána veřejnosti. K legálnímu softwaru může být připojen spyware používaný k získání přístupu k citlivým údajům, jako např. údajům o kreditních kartách nebo k důvěrným dokumentům atd. Je potřeba, aby se společnosti, které jež se zabývají reklamou nebo prodejem produktů, přesvědčily, zda jsou činnosti jejich smluvních partnerů legální. Společnost musí porozumět řetězci smluvních vztahů, sledovat dodržování zákonů a učinit přítrž nekalým praktikám v rámci řetězce tak, aby další propojení se společnostmi provádějícími nekalé činnosti bylo okamžitě přerušeno. 4.2.4.
Bezpečnostní opatření poskytovatelů služeb
Průzkum ENISA v roce 200633 potvrzuje, že poskytovatelé služeb obecně přijali opatření na řešení problematiky spamu. Uvádí však, že by poskytovatelé služeb mohli dále přispívat k celkové bezpečnosti sítě, a doporučuje, aby se více pozornosti věnovalo filtrování e-mailů, které opouštějí síť poskytovatelů služeb (odchozí filtrování). Komise vyzývá poskytovatele služeb, aby toto doporučení provedli.
33
CS
http://www.enisa.eu.int/doc/pdf/deliverables/enisa_security_spam.pdf
9
CS
Pracovní skupina pro ochranu údajů zřízená podle článku 29 přijala stanovisko o otázkách soukromí související s poskytováním služeb sledování e-mailu34, které dává vodítko ohledně důvěrnosti e-mailové komunikace, a zejména filtrování internetové komunikace proti virům, spamu a nedovolenému obsahu. 4.2.5.
Navrhované akce
Komise vyzývá: - společnosti k zajištění toho, aby standard informací pro nákup softwarových aplikací byl v souladu se zákonem o ochraně údajů. - společnosti, aby smluvně zakázaly protiprávní používání softwaru v reklamách, sledovaly, jakým způsobem se reklamy dostávají ke spotřebitelům, a kontrolovaly nekalé praktiky. - poskytovatele e-mailových služeb, aby zavedly metody filtrování, kterými se zajistí dodržení doporučení i vodítka ohledně filtrování e-mailů. 4.3.
Opatření na evropské úrovni
Komise se na mezinárodním fóru a na dvoustranných jednáních bude i nadále zabývat otázkami spojenými se spamem, spywarem a malwarem. K tomu účelu bude podle potřeby uzavírat smlouvy se třetími zeměmi a bude pokračovat v zintenzivňování spolupráce mezi zúčastněnými stranami, včetně členských států, příslušných orgánů i průmyslu. Přijme též nové iniciativy v oblasti právních předpisů a výzkumu s cílem dodat boji proti nekalým praktikám, které poškozují informační společnost, nový impuls. Komise v současné době pracuje na dalším rozpracování ucelené politiky boje proti kybernetické trestné činnosti. Tato politika bude předložena formou sdělení, jehož přijetí je plánováno na počátku roku 2007. 4.3.1.
Přezkum předpisového rámce
Sdělení Komise35 o předpisovém rámci pro elektronickou komunikaci navrhuje zpřísnit pravidla v oblasti soukromí a bezpečnosti. Podle tohoto rámce by povinností provozovatelů sítí a poskytovatelů služeb bylo: - oznámit příslušnému orgánu ve členském státě každý případ porušení bezpečnosti, který by vedl ke ztrátě osobních údajů a/nebo přerušení v poskytování služeb. - oznámit zákazníkům každé porušení bezpečnosti vedoucí ke ztrátě, změnám, přístupu nebo zničení osobních údajů uživatele. Vnitrostátní regulativní orgány by měly mít pravomoc zajistit, aby provozovatelé zavedli přiměřené bezpečnostní politiky a mohla být zavedena nová pravidla, která by určovala konkrétní nápravné prostředky nebo rozsah sankcí udělovaných za příslušná porušení.
34 35
CS
Stanovisko 2/2006, WP 118. http://europa.eu.int/information_society/policy/ecomm/tomorrow/index_en.htm
10
CS
4.3.2.
Úloha ENISA
Návrhy též obsahují ustanovení, kterým se uznává poradní úloha ENISA v bezpečnostních záležitostech. Jiné úkoly, jejichž plnění se očekává od agentury ENISA, jsou nastíněny ve sdělení Komise o ezpečnostní strategii36 a zahrnují zejména: - vybudovat důvěryhodné partnerství s členskými státy a zúčastněnými stranami za účelem vytvoření vhodného rámce pro sběr údajů o bezpečnostních incidentech a míře důvěry spotřebitelů. ENISA bude tento rámec úzce koordinovat ve spolupráci s Eurostatem v souvislosti se statistikami Společenství ohledně informační společnosti a rámce pro srovnávací analýzy iniciativy i201037 . - zjištění proveditelnosti evropského systému pro varování a sdílení informací, který by usnadnil účinnou reakci na stávající i vznikající hrozby, jimž elektronické sítě čelí. 4.3.3.
Výzkum a vývoj
Připravovaný program FP7 je zaměřen na pokračující rozvoj vědomostí a technologií k zajištění informačních služeb a systémů v těsné koordinaci s politickými iniciativami. Pracovními tématy zaměřenými na malware budou pravděpodobně zejména skryté botnety a viry a útoky na mobilní a hlasové služby. 4.3.4.
Mezinárodní spolupráce
Vzhledem k tomu, že internet je celosvětovou sítí, je třeba, aby se na závazku bojovat proti spamu, spywaru a malwaru podílel celý svět. Komise má tudíž v úmyslu posílit dialog a spolupráci se třetími stranami v boji proti těmto hrozbám a trestné činnosti s nimi spojené. K tomuto účelu se bude Komise snažit zajistit, aby spam, spyware a malware byly předmětem smluv mezi EU a třetími zeměmi, bude se pokoušet o získání pevného příslibu nejzainteresovanějších třetích zemí, že budou společně s členskými státy EU pracovat na boji proti těmto hrozbám ještě účinněji než doposud. Komise též bude sledovat prosazování společně přijatých cílů. 4.3.5.
Navrhované akce
Komise: - bude pokračovat ve snahách o zvyšování povědomí a posilování spolupráce mezi zúčastněnými stranami - bude pokračovat v práci na smlouvách se třetími zeměmi včetně otázky boje proti spamu, spywaru a malwaru - bude směřovat k zavedení nových legislativních návrhů na počátku roku 2007, které posílí zpřísní v oblasti soukromí a bezpečnosti v odvětví elektronických komunikací, a předloží politiku boje proti kybernetické trestné činnosti
36 37
CS
Viz 1 výše. Rámec pro srovnávací analýzy iniciativy i2010 skupiny na vysoké úrovni ze dne 20. dubna 2006.
11
CS
- využije odborné znalosti ENISA v bezpečnostních záležitostech - bude ve svém programu FP7 podporovat výzkum a vývoj. 5.
ZÁVĚR
Hrozby, jako je spam, spyware a malware, podrývají důvěru v informační společnost i její bezpečnost a mají významný finanční dopad. Některé členské státy se ujaly iniciativy, avšak v rámci EU jako celku je stále nedostatek aktivity zaměřené na řešení tohoto vývoje. Komise využívá své úlohy prostředníka při vytváření většího povědomí o potřebě většího politického závazku k boji proti těmto hrozbám. Opatření za účelem vymáhání příslušných právních předpisů je třeba zintenzivnit, aby se zastavily aktivity těch, kdo vědomě porušují zákon. Průmysl by měl učinit další kroky k doplnění činností, jejichž účelem je prosazování práva. Spolupráce je nutná na vnitrostátní úrovni, a to v rámci státní správou i mezi státní správou a průmyslem. Komise posílí dialog a spolupráci s třetími zeměmi a také prozkoumá možnosti vypracovat nové návrhy právních předpisů a bude provádět výzkumnou činnost zaměřenou na lepší zajištění soukromí a bezpečnosti v odvětví elektronických komunikací. Integrované a – pokud možno – paralelní provádění kroků popsaných v tomto sdělení může přispět ke snížení hrozeb, které v současné době ohrožují přínosy informační společnosti a hospodářství. Komise bude provádění těchto opatření sledovat a do konce roku 2008 vyhodnotí, zda jsou potřeba další opatření.
CS
12
CS
