Przeglądarka Internet Explorer, której używasz, uniemożliwia skorzystanie z większości funkcji portalu ngo.pl.
Aby mieć dostęp do wszystkich funkcji portalu ngo.pl, zmień przeglądarkę na inną (np. Chrome, Firefox, Safari, Opera, Edge).
Publicystyka
Opinia EKES w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady odnośnie ataków na systemy informatyczne (maj 2011)
oprac. Marzena Mendza-Drozd, Członkini EKES
Obecnie jakość życia i dobrobyt w Europie zależą w dużym stopniu od systemów informatycznych. Ważne jest, by takiemu rosnącemu uzależnieniu towarzyszyły coraz bardziej zaawansowane środki bezpieczeństwa i rygorystyczne prawo, które zapewnia ochronę systemów informatycznych przed atakiem.
Internet stanowi najistotniejszą platformę społeczeństwa cyfrowego. Zlikwidowanie zagrożeń bezpieczeństwa systemów informatycznych ma decydujące znaczenie dla rozwoju społeczeństwa cyfrowego i gospodarki cyfrowej. Internet obsługuje większą część krytycznej infrastruktury informatycznej, która stanowi bazę informacyjno-komunikacyjną potrzebną do dostarczania podstawowych towarów i świadczenia podstawowych usług. Poważnym problemem są obecnie ataki na systemy informatyczne – systemy rządowe, finansowe, świadczeń socjalnych oraz na infrastrukturę o podstawowym znaczeniu, taką jak infrastruktura umożliwiająca zaopatrzenie w energię elektryczną i w wodę, infrastruktura transportowa, w dziedzinie służby zdrowia i ratownictwa medycznego.
Struktura Internetu opiera się na wzajemnych połączeniach milionów komputerów, a funkcje przetwarzania danych, łączności i kontroli są rozproszone po całym świecie. Taka rozproszona struktura jest kluczem do stabilności i odporności Internetu, a w razie wystąpienia problemu umożliwia szybkie przywrócenie sprawnego przepływu danych. Oznacza to jednak również, że zakrojonych na szeroką skalę ataków cybernetycznych z brzegowej części sieci przy użyciu np. botnetów może dokonać dowolna osoba mająca taki zamiar i podstawową wiedzę.
Rozwój technologii informatycznych przyczynił się do zaostrzenia tych problemów, ponieważ obecnie łatwiej jest produkować i rozpowszechniać narzędzia (złośliwe oprogramowanie i botnety- pojęcie botnetu oznacza sieć komputerów zarażonych złośliwym oprogramowaniem (wirusami komputerowymi). Taka sieć zainfekowanych komputerów (tzw. zombie) może zostać aktywowana do wykonywania szczególnych zadań takich jak ataki na systemy informatyczne (cyberataki). Zainfekowane komputery „zombie” mogą być kontrolowane, często bez wiedzy użytkowników takich komputerów, przez inny komputer. Trudno jest namierzać sprawców, ponieważ komputery składające się na botnet i wykorzystywane do ataku mogą znajdować się w innymi miejscu niż sam przestępca) z zachowaniem anonimowości przestępców i rozłożeniem odpowiedzialności pomiędzy różnymi państwami. Ze względu na trudności w ściganiu cyberprzestępstw przestępczość zorganizowana może przynosić w tej dziedzinie znaczne zyski przy niewielkim ryzyku.
Z opracowania przedstawionego w 2009 r. na Światowym Forum Gospodarczym wynika, że łączne straty z powodu cyberprzestępczości wynoszą 1 bln USD i szybko rosną, a w sporządzonym ostatnio rządowym raporcie oszacowano roczne straty w samej Wielkiej Brytanii na kwotę 27 mld GBP. Wysokie koszty ponoszone z powodu cyberprzestępczości gwarantują podejmowanie zdecydowanych działań, bezwzględne egzekwowanie prawa i wysokie kary dla przestępców.
Zgodnie ze szczegółowymi informacjami zawartymi w dokumencie roboczym służb Komisji dołączonym do wniosku dotyczącego dyrektywy przestępczość zorganizowana i wrogie rządy wykorzystują destrukcyjny potencjał ataków na systemy informatyczne w Unii. Ataki przeprowadzane przy użyciu botnetów stanowią poważne zagrożenie dla funkcjonowania całego państwa i mogą być również wykorzystywane przez terrorystów lub inne osoby do wywierania presji politycznej na państwo.
Problem ujawnił się podczas ataku na Estonię na przełomie kwietnia i maja 2007 r. W wyniku ataku krytyczna rządowa struktura informatyczna w znacznym stopniu przestała działać, a sektor prywatny poniósł z powodu zakrojonych na wielką skalę ataków znaczne straty w wysokości 19–28 mln EUR oraz poważne koszty polityczne, a skutki ataku utrzymywały się przez wiele dni. Również Litwa i Gruzja ucierpiały na skutek podobnych ataków.
Globalne sieci łączności są w znacznym stopniu wzajemnie powiązane w wymiarze transgranicznym. Niezwykle istotne jest wspólne podjęcie przez wszystkie 27 państw członkowskich spójnych działań wobec cyberprzestępczości, a szczególnie wobec ataków na systemy informatyczne. Taka międzynarodowa współzależność nakłada na UE obowiązek prowadzenia zintegrowanej polityki ochrony systemów informatycznych przed atakami i karania sprawców.
Komitet już w 2007 roku zalecał przyjęcie wszechstronnego prawodawstwa UE przeciwko cyberprzestępczości. Poza atakami na systemy informatyczne wszechstronne ramy prawne powinny obejmować cyberprzestępstwa finansowe, nielegalne treści w internecie, gromadzenie/przechowywanie/przekazywanie dowodów elektronicznych oraz bardziej szczegółowe przepisy jurysdykcyjne.
Komitet rozumie, że utworzenie wszechstronnych ram prawnych stanowi bardzo ciężkie zadanie dodatkowo utrudnione brakiem porozumienia politycznego oraz problemami wynikającymi z istotnych różnic między państwami członkowskimi co do dopuszczalności dowodów w formie elektronicznej w postępowaniach sądowych. Takie wszechstronne ramy prawne oznaczałyby jednak maksymalne korzyści wynikające zarówno z instrumentów prawnych, jak i pozaprawnych dla rozwiązania szerokiego spectrum problemów związanych z cyberprzestępczością. Umożliwiłyby również uporanie się z trudnościami związanymi z prawem karnym, a jednocześnie doprowadziły do lepszej współpracy w dziedzinie egzekwowania prawa w Unii. Komitet ponagla Komisję do prowadzenia dalszych prac zmierzających do utworzenia wszechstronnych ram prawnych w odniesieniu do cyberprzestępczości.
Walka z cyberprzestępczością wymaga specjalnych umiejętności. Komitet wyraża zadowolenie z postępów Komisji w tworzeniu platformy szkoleniowej w dziedzinie cyberprzestępczości z udziałem organów ścigania i sektora prywatnego, zgodnie z propozycją przedstawioną w komunikacie COM(2007) 267.
Podmiotami zainteresowanymi bezpieczeństwem cybernetycznym w UE są wszyscy obywatele, których życie może zależeć od usług o kluczowym znaczeniu. Ci sami obywatele są odpowiedzialni za ochronę swojego połączenia z Internetem przed atakami w miarę swoich możliwości. Jeszcze większą odpowiedzialność ponoszą dostawcy technologii i usług TIK, którzy opracowują systemy informatyczne.
Należyte poinformowanie wszystkich tych zainteresowanych stron o bezpieczeństwie cybernetycznym jest sprawą o decydującym znaczeniu. Ważne dla Europy jest również utworzenie licznego grona ekspertów mających specjalistyczne kompetencje w dziedzinie bezpieczeństwa cybernetycznego.
W Europie należy wspierać rozwój silnego sektora bezpieczeństwa informatycznego, aby dorównał on kompetencjom bardzo dobrze finansowanego sektora w Stanach Zjednoczonych. Na badania i rozwój w dziedzinie bezpieczeństwa cybernetycznego oraz na edukację w tej dziedzinie należy przeznaczyć znacznie większe środki.
Streszczenie wniosku dotyczącego dyrektywy
Wniosek ma na celu zastąpienie decyzji ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne. Decyzja ramowa stanowiła odpowiedź na potrzebę usprawnienia współpracy między organami sądowymi i innymi właściwymi organami, włącznie z policją i innymi wyspecjalizowanymi organami ścigania państw członkowskich, poprzez zbliżanie w państwach członkowskich przepisów prawa karnego w dziedzinie ataków na systemy informatyczne. Wprowadziła ona przepisy UE dotyczące postępowania w przypadku przestępstw takich jak nielegalne uzyskiwanie dostępu do systemów informatycznych, nielegalne ingerowanie w te systemy oraz nielegalne ingerowanie w dane, jak również szczegółowe przepisy dotyczące odpowiedzialności osób prawnych, jurysdykcji i wymiany informacji. Państwa członkowskie zobowiązane były do przedsięwzięcia środków niezbędnych w celu wykonania przepisów decyzji ramowej do dnia 16 marca 2007 r.
W dniu 14 lipca 2008 r. Komisja opublikowała sprawozdanie z wykonania decyzji ramowej. We wnioskach stwierdzono, że liczne „ataki, jakie miały miejsce w całej Europie od czasu przyjęcia decyzji ramowej, uświadamiają wiele rodzących się zagrożeń, a w szczególności pojawienie się zjawiska masowych jednoczesnych ataków na systemy informatyczne oraz wzrost przestępczego wykorzystania tzw. botnetów”. Ataki te nie znajdowały się w centrum uwagi w momencie przyjmowania decyzji ramowej.
W przedmiotowym wniosku uwzględniono nowe metody popełniania cyberprzestępstw, w szczególności wykorzystanie botnetów. Bardzo trudno jest namierzać sprawców, ponieważ komputery składające się na botnet i wykorzystywane do ataku mogą znajdować się w innymi miejscu niż sam przestępca.
Ataki przeprowadzane za pośrednictwem botnetu wykonywane są często na wielką skalę. Ataki na wielką skalę to ataki przeprowadzane z wykorzystaniem narzędzi oddziałujących na znaczną liczbę systemów informatycznych (komputerów) bądź ataki powodujące znaczne szkody, np. polegające na zakłóceniu świadczenia usług realizowanych przez system, powodujące koszty finansowe, utratę danych osobowych itp. Szkody powodowane atakami na wielką skalę mają istotny wpływ na funkcjonowanie samego celu tych ataków lub negatywnie oddziałują na jego środowisko pracy. W tym kontekście uważa się, że „duży botnet” jest siecią zdolną do wyrządzenia poważnych szkód. Trudno jest zdefiniować botnety pod względem wielkości, jednak największe odnotowane wśród nich szacowano na od 40 do 100 tys. połączeń (tzn. zainfekowanych komputerów) w ciągu 24 godzin.
Przepisy decyzji ramowej wykazują szereg braków, pod względem tendencji w zakresie skali i liczby przestępstw (cyberataków). Dyrektywa zbliża przepisy wyłącznie w odniesieniu do ograniczonej liczby przestępstw, równocześnie nie likwidując w pełni potencjalnego zagrożenia, jakie stwarzają dla społeczeństwa ataki na wielką skalę. Nie uwzględnia ona również wystarczająco wagi tych przestępstw i kar za nie nakładanych.
Przedmiotowa dyrektywa ma na celu zbliżenie przepisów prawa karnego w państwach członkowskich w dziedzinie ataków na systemy informatyczne oraz poprawę współpracy między organami sądowymi i innymi właściwymi organami, w tym policją i pozostałymi wyspecjalizowanymi organami ścigania państw członkowskich.
Ataki na systemy informatyczne, w szczególności ze względu na zagrożenie ze strony przestępczości zorganizowanej, są coraz bardziej niebezpieczne, narastają również obawy o możliwość ataków terrorystycznych lub mających podłoże polityczne ukierunkowanych na systemy informatyczne stanowiące element infrastruktury krytycznej państw członkowskich i Unii. Zagraża to dążeniom do zapewnienia bezpieczniejszego społeczeństwa informacyjnego oraz przestrzeni wolności, bezpieczeństwa i sprawiedliwości, dlatego też wymaga reakcji na szczeblu Unii Europejskiej.
Istnieją dowody wskazujące na tendencję do coraz bardziej niebezpiecznych i ponawianych ataków na wielką skalę przeprowadzanych na systemy informatyczne o zasadniczym znaczeniu dla państw lub poszczególnych funkcji w sektorze publicznym lub prywatnym. Tendencji tej towarzyszy tworzenie coraz bardziej wyrafinowanych narzędzi, z których przestępcy mogą korzystać do przeprowadzania różnego rodzaju cyberataków.
Wspólne definicje w tej dziedzinie, w szczególności definicje systemów informatycznych oraz danych komputerowych, mają istotne znaczenie dla zapewnienia przyjęcia przez państwa członkowskie spójnego podejścia do stosowania przedmiotowej dyrektywy.
Zachodzi potrzeba zapewnienia wspólnego podejścia do kwestii znamion przestępstwa poprzez powszechne wprowadzenie definicji przestępstw polegających na nielegalnym dostępie do systemu informatycznego, nielegalnym ingerowaniu w system, nielegalnym ingerowaniu w dane oraz nielegalnym przechwytywaniu.
Państwa członkowskie powinny przewidzieć kary za ataki na systemy informatyczne. Kary te powinny być skuteczne, proporcjonalne i odstraszające.
Dyrektywa uchyli wprawdzie decyzję ramową 2005/222/WSiSW, jednak zachowa jej obecne przepisy z dodaniem następujących nowych elementów:
• Penalizuje wytwarzanie, sprzedaż, dostarczanie w celu użytkowania, przywóz, dystrybucję lub inne sposoby udostępniania urządzeń/narzędzi służących do popełniania przestępstw.
• Obejmuje okoliczności obciążające:
– przeprowadzanie ataków na wielką skalę – problem botnetów lub podobnych narzędzi zostałby uwzględniony poprzez wprowadzenie nowej okoliczności obciążającej – czyn polegający na stworzeniu botnetu lub innego podobnego narzędzia stanowi okoliczność obciążającą przy popełnianiu przestępstw wyszczególnionych w obecnej decyzji ramowej;
– jeśli takie ataki popełniane są przez sprawcę ukrywającego swoją prawdziwą tożsamość, a podejrzenia obciążają prawowitego właściciela tożsamości.
Dyrektywa wprowadza pojęcie nowego przestępstwa, a mianowicie „nielegalne przechwytywanie” oraz wprowadza środki, które mają poprawić współpracę europejskich wymiarów sprawiedliwości w sprawach karnych poprzez udoskonalenie obecnej struktury całodobowych punktów kontaktowych działających przez siedem dni w tygodniu.
Dyrektywa stanowi także odpowiedź na potrzebę dostarczania danych statystycznych dotyczących cyberprzestępczości, w tym przestępstw, o których mowa w obowiązującej decyzji ramowej, oraz nowo dodanego „nielegalnego przechwytywania”.
W definicjach przestępstw (nielegalny dostęp do systemów informatycznych, nielegalne ingerowanie w system oraz nielegalne ingerowanie w dane) dyrektywa zawiera przepis umożliwiający kryminalizację wyłącznie tych „przypadków, które nie są przypadkami mniejszej wagi” w procesie transpozycji dyrektywy do prawa krajowego.
Wnioski i zalecenia EKES
Komitet podziela głębokie zaniepokojenie Komisji rozmiarami zjawiska cyberprzestępczości w Europie oraz faktyczną i potencjalną szkodliwością dla gospodarki i dobrobytu obywateli z powodu rosnących zagrożeń.
Komitet podziela rozczarowanie Komisji, z powodu tego, że tylko 15 z 27 państw członkowskich dotychczas ratyfikowało Konwencję Rady Europy o cyberprzestępczości. Komitet wzywa pozostałe państwa członkowskie – Austrię, Belgię, Republikę Czeską, Grecję, Irlandię, Luksemburg, Maltę, Polskę, Szwecję i Zjednoczone Królestwo – do jak najszybszego ratyfikowania Konwencji o cyberprzestępczości.
Komitet zgadza się z Komisją co do pilnej potrzeby przyjęcia dyrektywy, aby zaktualizować definicję przestępstw związanych z atakami na systemy informatyczne oraz zapewnić lepszą koordynację i współpracę wymiarów sprawiedliwości w sprawach karnych w celu rozwiązania tego poważnego problemu.
Ze względu na konieczność przedsięwzięcia pilnych środków legislacyjnych specjalnie w celu rozwiązania problemu ataków na systemy informatyczne Komitet zgadza się z decyzją Komisji co do skorzystania z możliwości politycznej polegającej na przyjęciu dyrektywy wraz z towarzyszącymi środkami nielegislacyjnymi skierowanymi przeciwko temu konkretnemu aspektowi cyberprzestępczości.
Komitet pragnie jednak, aby działania Komisji przebiegały jednocześnie z pracami nad opracowaniem wszechstronnego prawodawstwa UE przeciwko cyberprzestępczości. Komitet jest przekonany, że dla powodzenia agendy cyfrowej i strategii „Europa 2020” niezbędne są wszechstronne ramy prawne. Oprócz egzekwowania prawa i kar, ramy te powinny obejmować również zagadnienia związane z zapobieganiem, wykrywaniem i edukacją.
W odpowiednim momencie EKES chciałby rozważyć propozycje Komisji dotyczące szerokich ram działań na rzecz rozwiązania ogólnego problemu bezpieczeństwa internetu.
Jeśli wybiec myślą 10 lat do przodu, kiedy większość ludzie będzie korzystać z internetu, a większość działalności gospodarczej i społecznej będzie od niego zależeć, jest nie do pomyślenia, abyśmy wciąż mogli polegać na obecnym nieformalnym i niezorganizowanym podejściu do korzystania z internetu,. Czas na utworzenie organu, który ustalałby normy niezawodnych urządzeń końcowych (komputerów osobistych, tabletów, telefonów), bezpieczeństwa sieci, stron internetowych i danych. Kluczowym elementem obrony przed cyberprzestępczością jest fizyczna konfiguracja internetu. W UE potrzebny będzie organ regulacyjny z uprawnieniami w zakresie zarządzania internetem.
Dyrektywa skoncentruje się na definicji przestępstwa i zagrożenia karami. EKES wnosi, by równolegle skupiono się na kwestii zapobiegania poprzez lepsze środki bezpieczeństwa. Producenci sprzętu powinni spełniać normy dotyczące dostarczania niezawodnych urządzeń. Jest niedopuszczalne, by bezpieczeństwo urządzeń, a zatem i sieci zależało od kaprysów ich właścicieli. Należy rozważyć wprowadzenie ogólnoeuropejskiego systemu tożsamości elektronicznej, jednakże zaprojektowanego z zachowaniem ostrożności, by uniknąć naruszania prywatności; należy zapoczątkować pełne wykorzystanie możliwych zabezpieczeń w protokole IPv6, a jedną z kluczowych części szkoleń w zakresie posługiwania się technologiami cyfrowymi powinno być uczenie zasad osobistego bezpieczeństwa cyfrowego, w tym bezpieczeństwa danych.
Komitet wyraża zadowolenie, że we wniosku dotyczącym dyrektywy należycie uwzględniono ataki na systemy informatyczne z wykorzystaniem botnetów, w tym ataki typu „denial-of-service” (Atak typu „denial-of-service” (odmowa dostępu) polega na zablokowaniu dostępu do zasobów komputerowych (na przykład strony internetowej lub usługi internetowej) użytkownikom, dla których są one przeznaczone. Przy próbie kontaktu z serwerem lub stroną internetową pokaże się komunikat o niedostępności serwisu lub strony). Na skutek takiego ataku na przykład internetowy system płatniczy może przestać działać, powodując straty dla jego użytkowników.
Komitet jest również przekonany, że dyrektywa pomoże władzom w ściganiu cyberprzestępczości, która charakteryzuje się wykorzystywaniem międzynarodowych połączeń międzysystemowych, a także w ściganiu sprawców, którzy usiłują wykorzystywać skomplikowane narzędzia cyberprzestępcze do ukrycia swojej tożsamości.
Komitet wyraża również zadowolenie z powodu zawartego w dyrektywie wykazu przestępstw, szczególnie z uwzględnienia „nielegalnego przechwytywania” oraz wyraźnego wskazania „narzędzi używanych do popełniania przestępstw”.
Biorąc jednak pod uwagę znaczenie zaufania do gospodarki cyfrowej i jej bezpieczeństwa oraz ogromne koszty, jakie pochłania co roku cyberprzestępczość, Komitet proponuje przewidzieć w dyrektywie kary na tyle surowe, aby odzwierciedlały one wagę przestępstwa, a także stanowiły czynnik skutecznie odstraszający. We wniosku w sprawie dyrektywy przewidziano minimalne kary w wymiarze 2 lub 5 lat więzienia (5 lat w przypadku okoliczności obciążających).
Europejski Komitet Ekonomiczno-Społeczny proponuje skorzystać z nadarzającej się sposobności do nadania jasnego komunikatu w postaci przyjęcia bardziej surowych kar, skierowanego do przestępców i obywateli, którzy potrzebują bezpieczeństwa. Na przykład w Wielkiej Brytanii kara za zakrojony na wielką skalę atak na system informatyczny wynosi do 10 lat pozbawienia wolności. Również Estonia zwiększyła przewidywane kary i obecnie za przeprowadzenie atak na wielką skalę w celach terrorystycznych grozi kara do 25 lat pozbawienia wolności.
Komitet z zadowoleniem przyjmuje propozycję Komisji dotyczącą wsparcia dyrektywy środkami nielegislacyjnymi w celu promowania dalszych skoordynowanych działań na szczeblu UE oraz skuteczniejszego egzekwowania prawa. EKES podkreśla również potrzebę rozszerzenia współpracy, tak aby objęła ona ścisłą współpracę ze wszystkimi państwami EFTA i NATO.
Komitet zdecydowanie popiera programy szkoleń i zalecenia dotyczące sprawdzonych rozwiązań proponowanych w celu skuteczniejszego wykorzystywania przez organy ścigania istniejących całodobowych punktów kontaktowych działających przez całą dobę siedem dni w tygodniu.
Komitet wzywa Komisję, aby poza wspomnianymi we wniosku środkami nielegislacyjnymi szczególnie ukierunkowała fundusze B+R na rozwój systemów wczesnego wykrywania i reagowania w celu powstrzymania ataków na systemy informatyczne. Najnowsze osiągnięcia technologiczne w dziedzinach chmur obliczeniowych i przetwarzania rozproszonego mogą zapewnić Europie lepszą ochronę przed licznymi zagrożeniami.
Komitet zaleca, aby Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji, poza egzekwowaniem prawa, udzieliła finansowego wsparcia ukierunkowanemu programowi rozwoju kompetencji w celu poprawy zabezpieczeń w europejskim sektorze bezpieczeństwa technologii informacyjno-komunikacyjnych (TIK).
Aby wzmocnić europejskie zabezpieczenia przed atakami cybernetycznymi, Komitet pragnie ponownie podkreślić znaczenie utworzenia europejskiego partnerstwa publiczno prywatnego na rzecz odporności (EP3R) oraz włączyć je w działania Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) i Europejskiej Grupy Rządowych Zespołów Reagowania Na Incydenty Komputerowe (EGC).
W Europie należy wspierać rozwój silnego sektora bezpieczeństwa informatycznego, aby dorównał on kompetencjom bardzo dobrze finansowanego sektora w Stanach Zjednoczonych. Na badania i rozwój w dziedzinie bezpieczeństwa cybernetycznego oraz na edukację w tej dziedzinie należy przeznaczać znacznie większe środki.
Komitet przyjmuje do wiadomości zagwarantowane na mocy Protokołów do Traktatu zwolnienie Wielkiej Brytanii, Irlandii i Danii z obowiązku przyjęcia dyrektywy, której dotyczy wniosek. Bez względu na to zwolnienie Komitet wzywa te państwa członkowskie do jak największej współpracy w ramach przepisów dyrektywy, aby uniemożliwić przestępcom wykorzystywanie luk prawnych w Unii.
Struktura Internetu opiera się na wzajemnych połączeniach milionów komputerów, a funkcje przetwarzania danych, łączności i kontroli są rozproszone po całym świecie. Taka rozproszona struktura jest kluczem do stabilności i odporności Internetu, a w razie wystąpienia problemu umożliwia szybkie przywrócenie sprawnego przepływu danych. Oznacza to jednak również, że zakrojonych na szeroką skalę ataków cybernetycznych z brzegowej części sieci przy użyciu np. botnetów może dokonać dowolna osoba mająca taki zamiar i podstawową wiedzę.
Rozwój technologii informatycznych przyczynił się do zaostrzenia tych problemów, ponieważ obecnie łatwiej jest produkować i rozpowszechniać narzędzia (złośliwe oprogramowanie i botnety- pojęcie botnetu oznacza sieć komputerów zarażonych złośliwym oprogramowaniem (wirusami komputerowymi). Taka sieć zainfekowanych komputerów (tzw. zombie) może zostać aktywowana do wykonywania szczególnych zadań takich jak ataki na systemy informatyczne (cyberataki). Zainfekowane komputery „zombie” mogą być kontrolowane, często bez wiedzy użytkowników takich komputerów, przez inny komputer. Trudno jest namierzać sprawców, ponieważ komputery składające się na botnet i wykorzystywane do ataku mogą znajdować się w innymi miejscu niż sam przestępca) z zachowaniem anonimowości przestępców i rozłożeniem odpowiedzialności pomiędzy różnymi państwami. Ze względu na trudności w ściganiu cyberprzestępstw przestępczość zorganizowana może przynosić w tej dziedzinie znaczne zyski przy niewielkim ryzyku.
Z opracowania przedstawionego w 2009 r. na Światowym Forum Gospodarczym wynika, że łączne straty z powodu cyberprzestępczości wynoszą 1 bln USD i szybko rosną, a w sporządzonym ostatnio rządowym raporcie oszacowano roczne straty w samej Wielkiej Brytanii na kwotę 27 mld GBP. Wysokie koszty ponoszone z powodu cyberprzestępczości gwarantują podejmowanie zdecydowanych działań, bezwzględne egzekwowanie prawa i wysokie kary dla przestępców.
Zgodnie ze szczegółowymi informacjami zawartymi w dokumencie roboczym służb Komisji dołączonym do wniosku dotyczącego dyrektywy przestępczość zorganizowana i wrogie rządy wykorzystują destrukcyjny potencjał ataków na systemy informatyczne w Unii. Ataki przeprowadzane przy użyciu botnetów stanowią poważne zagrożenie dla funkcjonowania całego państwa i mogą być również wykorzystywane przez terrorystów lub inne osoby do wywierania presji politycznej na państwo.
Problem ujawnił się podczas ataku na Estonię na przełomie kwietnia i maja 2007 r. W wyniku ataku krytyczna rządowa struktura informatyczna w znacznym stopniu przestała działać, a sektor prywatny poniósł z powodu zakrojonych na wielką skalę ataków znaczne straty w wysokości 19–28 mln EUR oraz poważne koszty polityczne, a skutki ataku utrzymywały się przez wiele dni. Również Litwa i Gruzja ucierpiały na skutek podobnych ataków.
Globalne sieci łączności są w znacznym stopniu wzajemnie powiązane w wymiarze transgranicznym. Niezwykle istotne jest wspólne podjęcie przez wszystkie 27 państw członkowskich spójnych działań wobec cyberprzestępczości, a szczególnie wobec ataków na systemy informatyczne. Taka międzynarodowa współzależność nakłada na UE obowiązek prowadzenia zintegrowanej polityki ochrony systemów informatycznych przed atakami i karania sprawców.
Komitet już w 2007 roku zalecał przyjęcie wszechstronnego prawodawstwa UE przeciwko cyberprzestępczości. Poza atakami na systemy informatyczne wszechstronne ramy prawne powinny obejmować cyberprzestępstwa finansowe, nielegalne treści w internecie, gromadzenie/przechowywanie/przekazywanie dowodów elektronicznych oraz bardziej szczegółowe przepisy jurysdykcyjne.
Komitet rozumie, że utworzenie wszechstronnych ram prawnych stanowi bardzo ciężkie zadanie dodatkowo utrudnione brakiem porozumienia politycznego oraz problemami wynikającymi z istotnych różnic między państwami członkowskimi co do dopuszczalności dowodów w formie elektronicznej w postępowaniach sądowych. Takie wszechstronne ramy prawne oznaczałyby jednak maksymalne korzyści wynikające zarówno z instrumentów prawnych, jak i pozaprawnych dla rozwiązania szerokiego spectrum problemów związanych z cyberprzestępczością. Umożliwiłyby również uporanie się z trudnościami związanymi z prawem karnym, a jednocześnie doprowadziły do lepszej współpracy w dziedzinie egzekwowania prawa w Unii. Komitet ponagla Komisję do prowadzenia dalszych prac zmierzających do utworzenia wszechstronnych ram prawnych w odniesieniu do cyberprzestępczości.
Walka z cyberprzestępczością wymaga specjalnych umiejętności. Komitet wyraża zadowolenie z postępów Komisji w tworzeniu platformy szkoleniowej w dziedzinie cyberprzestępczości z udziałem organów ścigania i sektora prywatnego, zgodnie z propozycją przedstawioną w komunikacie COM(2007) 267.
Podmiotami zainteresowanymi bezpieczeństwem cybernetycznym w UE są wszyscy obywatele, których życie może zależeć od usług o kluczowym znaczeniu. Ci sami obywatele są odpowiedzialni za ochronę swojego połączenia z Internetem przed atakami w miarę swoich możliwości. Jeszcze większą odpowiedzialność ponoszą dostawcy technologii i usług TIK, którzy opracowują systemy informatyczne.
Należyte poinformowanie wszystkich tych zainteresowanych stron o bezpieczeństwie cybernetycznym jest sprawą o decydującym znaczeniu. Ważne dla Europy jest również utworzenie licznego grona ekspertów mających specjalistyczne kompetencje w dziedzinie bezpieczeństwa cybernetycznego.
W Europie należy wspierać rozwój silnego sektora bezpieczeństwa informatycznego, aby dorównał on kompetencjom bardzo dobrze finansowanego sektora w Stanach Zjednoczonych. Na badania i rozwój w dziedzinie bezpieczeństwa cybernetycznego oraz na edukację w tej dziedzinie należy przeznaczyć znacznie większe środki.
Streszczenie wniosku dotyczącego dyrektywy
Wniosek ma na celu zastąpienie decyzji ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne. Decyzja ramowa stanowiła odpowiedź na potrzebę usprawnienia współpracy między organami sądowymi i innymi właściwymi organami, włącznie z policją i innymi wyspecjalizowanymi organami ścigania państw członkowskich, poprzez zbliżanie w państwach członkowskich przepisów prawa karnego w dziedzinie ataków na systemy informatyczne. Wprowadziła ona przepisy UE dotyczące postępowania w przypadku przestępstw takich jak nielegalne uzyskiwanie dostępu do systemów informatycznych, nielegalne ingerowanie w te systemy oraz nielegalne ingerowanie w dane, jak również szczegółowe przepisy dotyczące odpowiedzialności osób prawnych, jurysdykcji i wymiany informacji. Państwa członkowskie zobowiązane były do przedsięwzięcia środków niezbędnych w celu wykonania przepisów decyzji ramowej do dnia 16 marca 2007 r.
W dniu 14 lipca 2008 r. Komisja opublikowała sprawozdanie z wykonania decyzji ramowej. We wnioskach stwierdzono, że liczne „ataki, jakie miały miejsce w całej Europie od czasu przyjęcia decyzji ramowej, uświadamiają wiele rodzących się zagrożeń, a w szczególności pojawienie się zjawiska masowych jednoczesnych ataków na systemy informatyczne oraz wzrost przestępczego wykorzystania tzw. botnetów”. Ataki te nie znajdowały się w centrum uwagi w momencie przyjmowania decyzji ramowej.
W przedmiotowym wniosku uwzględniono nowe metody popełniania cyberprzestępstw, w szczególności wykorzystanie botnetów. Bardzo trudno jest namierzać sprawców, ponieważ komputery składające się na botnet i wykorzystywane do ataku mogą znajdować się w innymi miejscu niż sam przestępca.
Ataki przeprowadzane za pośrednictwem botnetu wykonywane są często na wielką skalę. Ataki na wielką skalę to ataki przeprowadzane z wykorzystaniem narzędzi oddziałujących na znaczną liczbę systemów informatycznych (komputerów) bądź ataki powodujące znaczne szkody, np. polegające na zakłóceniu świadczenia usług realizowanych przez system, powodujące koszty finansowe, utratę danych osobowych itp. Szkody powodowane atakami na wielką skalę mają istotny wpływ na funkcjonowanie samego celu tych ataków lub negatywnie oddziałują na jego środowisko pracy. W tym kontekście uważa się, że „duży botnet” jest siecią zdolną do wyrządzenia poważnych szkód. Trudno jest zdefiniować botnety pod względem wielkości, jednak największe odnotowane wśród nich szacowano na od 40 do 100 tys. połączeń (tzn. zainfekowanych komputerów) w ciągu 24 godzin.
Przepisy decyzji ramowej wykazują szereg braków, pod względem tendencji w zakresie skali i liczby przestępstw (cyberataków). Dyrektywa zbliża przepisy wyłącznie w odniesieniu do ograniczonej liczby przestępstw, równocześnie nie likwidując w pełni potencjalnego zagrożenia, jakie stwarzają dla społeczeństwa ataki na wielką skalę. Nie uwzględnia ona również wystarczająco wagi tych przestępstw i kar za nie nakładanych.
Przedmiotowa dyrektywa ma na celu zbliżenie przepisów prawa karnego w państwach członkowskich w dziedzinie ataków na systemy informatyczne oraz poprawę współpracy między organami sądowymi i innymi właściwymi organami, w tym policją i pozostałymi wyspecjalizowanymi organami ścigania państw członkowskich.
Ataki na systemy informatyczne, w szczególności ze względu na zagrożenie ze strony przestępczości zorganizowanej, są coraz bardziej niebezpieczne, narastają również obawy o możliwość ataków terrorystycznych lub mających podłoże polityczne ukierunkowanych na systemy informatyczne stanowiące element infrastruktury krytycznej państw członkowskich i Unii. Zagraża to dążeniom do zapewnienia bezpieczniejszego społeczeństwa informacyjnego oraz przestrzeni wolności, bezpieczeństwa i sprawiedliwości, dlatego też wymaga reakcji na szczeblu Unii Europejskiej.
Istnieją dowody wskazujące na tendencję do coraz bardziej niebezpiecznych i ponawianych ataków na wielką skalę przeprowadzanych na systemy informatyczne o zasadniczym znaczeniu dla państw lub poszczególnych funkcji w sektorze publicznym lub prywatnym. Tendencji tej towarzyszy tworzenie coraz bardziej wyrafinowanych narzędzi, z których przestępcy mogą korzystać do przeprowadzania różnego rodzaju cyberataków.
Wspólne definicje w tej dziedzinie, w szczególności definicje systemów informatycznych oraz danych komputerowych, mają istotne znaczenie dla zapewnienia przyjęcia przez państwa członkowskie spójnego podejścia do stosowania przedmiotowej dyrektywy.
Zachodzi potrzeba zapewnienia wspólnego podejścia do kwestii znamion przestępstwa poprzez powszechne wprowadzenie definicji przestępstw polegających na nielegalnym dostępie do systemu informatycznego, nielegalnym ingerowaniu w system, nielegalnym ingerowaniu w dane oraz nielegalnym przechwytywaniu.
Państwa członkowskie powinny przewidzieć kary za ataki na systemy informatyczne. Kary te powinny być skuteczne, proporcjonalne i odstraszające.
Dyrektywa uchyli wprawdzie decyzję ramową 2005/222/WSiSW, jednak zachowa jej obecne przepisy z dodaniem następujących nowych elementów:
• Penalizuje wytwarzanie, sprzedaż, dostarczanie w celu użytkowania, przywóz, dystrybucję lub inne sposoby udostępniania urządzeń/narzędzi służących do popełniania przestępstw.
• Obejmuje okoliczności obciążające:
– przeprowadzanie ataków na wielką skalę – problem botnetów lub podobnych narzędzi zostałby uwzględniony poprzez wprowadzenie nowej okoliczności obciążającej – czyn polegający na stworzeniu botnetu lub innego podobnego narzędzia stanowi okoliczność obciążającą przy popełnianiu przestępstw wyszczególnionych w obecnej decyzji ramowej;
– jeśli takie ataki popełniane są przez sprawcę ukrywającego swoją prawdziwą tożsamość, a podejrzenia obciążają prawowitego właściciela tożsamości.
Dyrektywa wprowadza pojęcie nowego przestępstwa, a mianowicie „nielegalne przechwytywanie” oraz wprowadza środki, które mają poprawić współpracę europejskich wymiarów sprawiedliwości w sprawach karnych poprzez udoskonalenie obecnej struktury całodobowych punktów kontaktowych działających przez siedem dni w tygodniu.
Dyrektywa stanowi także odpowiedź na potrzebę dostarczania danych statystycznych dotyczących cyberprzestępczości, w tym przestępstw, o których mowa w obowiązującej decyzji ramowej, oraz nowo dodanego „nielegalnego przechwytywania”.
W definicjach przestępstw (nielegalny dostęp do systemów informatycznych, nielegalne ingerowanie w system oraz nielegalne ingerowanie w dane) dyrektywa zawiera przepis umożliwiający kryminalizację wyłącznie tych „przypadków, które nie są przypadkami mniejszej wagi” w procesie transpozycji dyrektywy do prawa krajowego.
Wnioski i zalecenia EKES
Komitet podziela głębokie zaniepokojenie Komisji rozmiarami zjawiska cyberprzestępczości w Europie oraz faktyczną i potencjalną szkodliwością dla gospodarki i dobrobytu obywateli z powodu rosnących zagrożeń.
Komitet podziela rozczarowanie Komisji, z powodu tego, że tylko 15 z 27 państw członkowskich dotychczas ratyfikowało Konwencję Rady Europy o cyberprzestępczości. Komitet wzywa pozostałe państwa członkowskie – Austrię, Belgię, Republikę Czeską, Grecję, Irlandię, Luksemburg, Maltę, Polskę, Szwecję i Zjednoczone Królestwo – do jak najszybszego ratyfikowania Konwencji o cyberprzestępczości.
Komitet zgadza się z Komisją co do pilnej potrzeby przyjęcia dyrektywy, aby zaktualizować definicję przestępstw związanych z atakami na systemy informatyczne oraz zapewnić lepszą koordynację i współpracę wymiarów sprawiedliwości w sprawach karnych w celu rozwiązania tego poważnego problemu.
Ze względu na konieczność przedsięwzięcia pilnych środków legislacyjnych specjalnie w celu rozwiązania problemu ataków na systemy informatyczne Komitet zgadza się z decyzją Komisji co do skorzystania z możliwości politycznej polegającej na przyjęciu dyrektywy wraz z towarzyszącymi środkami nielegislacyjnymi skierowanymi przeciwko temu konkretnemu aspektowi cyberprzestępczości.
Komitet pragnie jednak, aby działania Komisji przebiegały jednocześnie z pracami nad opracowaniem wszechstronnego prawodawstwa UE przeciwko cyberprzestępczości. Komitet jest przekonany, że dla powodzenia agendy cyfrowej i strategii „Europa 2020” niezbędne są wszechstronne ramy prawne. Oprócz egzekwowania prawa i kar, ramy te powinny obejmować również zagadnienia związane z zapobieganiem, wykrywaniem i edukacją.
W odpowiednim momencie EKES chciałby rozważyć propozycje Komisji dotyczące szerokich ram działań na rzecz rozwiązania ogólnego problemu bezpieczeństwa internetu.
Jeśli wybiec myślą 10 lat do przodu, kiedy większość ludzie będzie korzystać z internetu, a większość działalności gospodarczej i społecznej będzie od niego zależeć, jest nie do pomyślenia, abyśmy wciąż mogli polegać na obecnym nieformalnym i niezorganizowanym podejściu do korzystania z internetu,. Czas na utworzenie organu, który ustalałby normy niezawodnych urządzeń końcowych (komputerów osobistych, tabletów, telefonów), bezpieczeństwa sieci, stron internetowych i danych. Kluczowym elementem obrony przed cyberprzestępczością jest fizyczna konfiguracja internetu. W UE potrzebny będzie organ regulacyjny z uprawnieniami w zakresie zarządzania internetem.
Dyrektywa skoncentruje się na definicji przestępstwa i zagrożenia karami. EKES wnosi, by równolegle skupiono się na kwestii zapobiegania poprzez lepsze środki bezpieczeństwa. Producenci sprzętu powinni spełniać normy dotyczące dostarczania niezawodnych urządzeń. Jest niedopuszczalne, by bezpieczeństwo urządzeń, a zatem i sieci zależało od kaprysów ich właścicieli. Należy rozważyć wprowadzenie ogólnoeuropejskiego systemu tożsamości elektronicznej, jednakże zaprojektowanego z zachowaniem ostrożności, by uniknąć naruszania prywatności; należy zapoczątkować pełne wykorzystanie możliwych zabezpieczeń w protokole IPv6, a jedną z kluczowych części szkoleń w zakresie posługiwania się technologiami cyfrowymi powinno być uczenie zasad osobistego bezpieczeństwa cyfrowego, w tym bezpieczeństwa danych.
Komitet wyraża zadowolenie, że we wniosku dotyczącym dyrektywy należycie uwzględniono ataki na systemy informatyczne z wykorzystaniem botnetów, w tym ataki typu „denial-of-service” (Atak typu „denial-of-service” (odmowa dostępu) polega na zablokowaniu dostępu do zasobów komputerowych (na przykład strony internetowej lub usługi internetowej) użytkownikom, dla których są one przeznaczone. Przy próbie kontaktu z serwerem lub stroną internetową pokaże się komunikat o niedostępności serwisu lub strony). Na skutek takiego ataku na przykład internetowy system płatniczy może przestać działać, powodując straty dla jego użytkowników.
Komitet jest również przekonany, że dyrektywa pomoże władzom w ściganiu cyberprzestępczości, która charakteryzuje się wykorzystywaniem międzynarodowych połączeń międzysystemowych, a także w ściganiu sprawców, którzy usiłują wykorzystywać skomplikowane narzędzia cyberprzestępcze do ukrycia swojej tożsamości.
Komitet wyraża również zadowolenie z powodu zawartego w dyrektywie wykazu przestępstw, szczególnie z uwzględnienia „nielegalnego przechwytywania” oraz wyraźnego wskazania „narzędzi używanych do popełniania przestępstw”.
Biorąc jednak pod uwagę znaczenie zaufania do gospodarki cyfrowej i jej bezpieczeństwa oraz ogromne koszty, jakie pochłania co roku cyberprzestępczość, Komitet proponuje przewidzieć w dyrektywie kary na tyle surowe, aby odzwierciedlały one wagę przestępstwa, a także stanowiły czynnik skutecznie odstraszający. We wniosku w sprawie dyrektywy przewidziano minimalne kary w wymiarze 2 lub 5 lat więzienia (5 lat w przypadku okoliczności obciążających).
Europejski Komitet Ekonomiczno-Społeczny proponuje skorzystać z nadarzającej się sposobności do nadania jasnego komunikatu w postaci przyjęcia bardziej surowych kar, skierowanego do przestępców i obywateli, którzy potrzebują bezpieczeństwa. Na przykład w Wielkiej Brytanii kara za zakrojony na wielką skalę atak na system informatyczny wynosi do 10 lat pozbawienia wolności. Również Estonia zwiększyła przewidywane kary i obecnie za przeprowadzenie atak na wielką skalę w celach terrorystycznych grozi kara do 25 lat pozbawienia wolności.
Komitet z zadowoleniem przyjmuje propozycję Komisji dotyczącą wsparcia dyrektywy środkami nielegislacyjnymi w celu promowania dalszych skoordynowanych działań na szczeblu UE oraz skuteczniejszego egzekwowania prawa. EKES podkreśla również potrzebę rozszerzenia współpracy, tak aby objęła ona ścisłą współpracę ze wszystkimi państwami EFTA i NATO.
Komitet zdecydowanie popiera programy szkoleń i zalecenia dotyczące sprawdzonych rozwiązań proponowanych w celu skuteczniejszego wykorzystywania przez organy ścigania istniejących całodobowych punktów kontaktowych działających przez całą dobę siedem dni w tygodniu.
Komitet wzywa Komisję, aby poza wspomnianymi we wniosku środkami nielegislacyjnymi szczególnie ukierunkowała fundusze B+R na rozwój systemów wczesnego wykrywania i reagowania w celu powstrzymania ataków na systemy informatyczne. Najnowsze osiągnięcia technologiczne w dziedzinach chmur obliczeniowych i przetwarzania rozproszonego mogą zapewnić Europie lepszą ochronę przed licznymi zagrożeniami.
Komitet zaleca, aby Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji, poza egzekwowaniem prawa, udzieliła finansowego wsparcia ukierunkowanemu programowi rozwoju kompetencji w celu poprawy zabezpieczeń w europejskim sektorze bezpieczeństwa technologii informacyjno-komunikacyjnych (TIK).
Aby wzmocnić europejskie zabezpieczenia przed atakami cybernetycznymi, Komitet pragnie ponownie podkreślić znaczenie utworzenia europejskiego partnerstwa publiczno prywatnego na rzecz odporności (EP3R) oraz włączyć je w działania Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) i Europejskiej Grupy Rządowych Zespołów Reagowania Na Incydenty Komputerowe (EGC).
W Europie należy wspierać rozwój silnego sektora bezpieczeństwa informatycznego, aby dorównał on kompetencjom bardzo dobrze finansowanego sektora w Stanach Zjednoczonych. Na badania i rozwój w dziedzinie bezpieczeństwa cybernetycznego oraz na edukację w tej dziedzinie należy przeznaczać znacznie większe środki.
Komitet przyjmuje do wiadomości zagwarantowane na mocy Protokołów do Traktatu zwolnienie Wielkiej Brytanii, Irlandii i Danii z obowiązku przyjęcia dyrektywy, której dotyczy wniosek. Bez względu na to zwolnienie Komitet wzywa te państwa członkowskie do jak największej współpracy w ramach przepisów dyrektywy, aby uniemożliwić przestępcom wykorzystywanie luk prawnych w Unii.
Teksty opublikowane na portalu prezentują wyłącznie poglądy ich Autorów i Autorek i nie należy ich utożsamiać z poglądami redakcji. Podobnie opinie, komentarze wyrażane w publikowanych artykułach nie odzwierciedlają poglądów redakcji i wydawcy, a mają charakter informacyjny.