EU a hackeři, viry a podvodníci, aneb Společně proti počítačové kriminalitě
Nevím, jak dlouho dopředu se plánuje program jednání Evropské komise, ale určitě nikdo nepředpokládal, že návrh Rámcového rozhodnutí Rady o "Útocích proti informačním systémům" bude schválen právě ve dnech, kdy se zásluhou wormu Klez počítačové sítě po celém světě zahlcují e-maily s věru neodolatelnými předměty. Ač na první pohled z těch nevinnějších, i takovýto "dáreček" dokáže ve velkých firemních sítích napáchat neuvěřitelné ekonomické škody a věřím, že i ti, kdo stihli své systémy účinně "ochránit", skřípali zuby, když se museli ve svých schránkách denně probírat i několika desítkami nesmyslných mailů. A to nemluvím o tom, že tato ochrana není zadarmo a investice do antivirových programů by se daly jistě využít příjemněji. Závažnost situaci roste s každým dalším podobným útokem, a to se stále jedná naštěstí "jen" o poškození technického a potažmo finančního charakteru. Co všechno by mohl způsobit cílený teroristický útok na informační systémy, je lépe si raději ani nepředstavovat. Naštěstí se tím zabývají kompetentní instituce, a to například i na půdě Evropské unie.
Návrh Rámcového rozhodnutí představený 23. dubna 2002 je jen dalším logickým krokem v řadě opatření, která přijímá Evropská unie už od roku 2000, kdy schválila první verzi akčního plánu eEurope [4]. V lednu 2001 následovalo obsáhlé sdělení Evropské komise o "Vytváření bezpečnější informační společnosti zlepšováním zabezpečení informačních infrastruktur a potíráním počítačové kriminality [5]", které obsahovalo návrh na sbližování trestního práva v oblasti kriminality ve sféře vyspělých technologií. Další sdělení - o zabezpečení sítí a informačních systémů podtrhlo zájem Evropské komise podpořit rozvoj zabezpečené informační infrastruktury v Evropě. Nyní představené Rámcové rozhodnutí [6] se snaží postihnout podstatu počítačové kriminality tím, že navrhuje sblížení trestního práva a zjednodušení justiční spolupráce při nelegálním pronikání do informačních systémů ("hackerství") a nelegálním zasahování do informačních systému (které má často podobu útoků na jednotlivé služby nebo šíření škodlivých programů všeobecně známých jako viry). Podstatné na novém Rámcovém rozhodnutí je to, že má být všeobecně platné bez ohledu na použitou technologii a vychází z nejširšího možného kontextu informační společnosti. Jediným jasně vymezeným cílem je ochrana uživatelů a posílení zabezpečení veškeré informační infrastruktury, aniž by tím byla narušena rovnováha mezi společenským zájmem (jako je bezpečnost sítí), prosazováním práva, rozsahem trestních postihů, ochranou osobních dat, právy uživatelů, rozvojem nových technologií a ekonomickými prioritami.
Rozvoj politiky potírání počítačové kriminality proto vyžaduje i zapojení uživatelů. Předkládaný návrh je výsledkem intenzivních a otevřených konzultací mezi experty na nejrůznějších úrovních (viz "Forum o počítačové kriminalitě [7]").
Toto Rozhodnutí navazuje na obdobné mezinárodní aktivity např. skupiny G8 a především Rady Evropy, která v listopadu 2001 schválila text "Úmluvy o počítačové kriminalitě [8]".
Tato Úmluva byla první mezinárodní smlouvou o trestných činech páchaných prostřednictvím internetu a dalších počítačových sítí. Zabývá se především porušováním autorských práv, počítačovými podvody, dětskou pornografií a násilným porušením zabezpečení sítí. Hlavním cílem úmluvy je povzbudit obecnou trestně právní politiku, která by chránila společnost proti počítačové kriminalitě, zejména cestou přijímání odpovídající legislativy a posilováním mezinárodní spolupráce. Úmluva je výsledkem čtyřleté práce expertů nejen z Rady Evropy, ale také ze Spojených států, Kanady, Japonska a dalších zemí. Předpokládá se, že bude ještě rozšířena o Doplňkový protokol, který označí za trestný čin jakoukoliv propagaci rasismu a xenofobie prostřednictví počítačových sítí.
Přestože je návrh Rámcového rozhodnutí Rady EU všeobecně vnímán jako významný krok k jednotnému postupu proti počítačové kriminalitě, k jeho praktické účinnosti je stále ještě daleko. Jednotlivé členské země mají na zavedení čas do konce roku 2003, o rok později by měla Evropská komise předložit Parlamentu zprávu o postupu a účinnosti zavádění navržených opatření.
S bojem proti počítačové kriminalitě jde ruku v ruce o ochrana osobních dat - jejíž selhání představuje další "časovanou bombu" tikající v útrobách stále rozsáhlejších informačních systémů. Ačkoliv návrh směrnice o zpracování osobních dat tvoří součást "telekomunikačního balíku", neboli regulačního rámce pro infrastrukturu elektronické komunikace (více viz březnové číslo Ikara), ukázal se být natolik politicky citlivým problémem, že se jeho schválení protáhlo a návrh se dostal do druhého čtení v Parlamentu. (V prvním čtení Parlament navrhl ponechat pravomoc řešení této otázky na jednotlivých státech.) V dubnu rozhodl v rámci dalšího projednávání Výbor EP pro občanská práva, že:
- osobní údaje nesmí být uchovávány déle, než je nutné pro účely fakturace;
- členské státy by měly mít pravomoc omezit ochranu osobních dat pouze ve "výjimečných a specifických oblastech";
- uživatelé by měli mát právo odmítnout "cookies";
- na členských státech se ponechává rozhodnutí, zda uživatelé budou muset být dotázáni, zda si přejí dostat komerční e-mail, a budou mít právo se domáhat vymazání z rozesílacích seznamů.
Reakce na toto rozhodnutí jsou rozporuplné - zatímco Evropská spotřebitelská organizace (BEUC) tvrdí, že Výbor zřejmě zapomněl na své poslání hájit práva občanů, Federace evropských direct marketingových asociací (FEDMA) rozhodnutí přivítala a akceptuje ho včetně ustanovení o cookies a nevyžádaných e-mailech. Naproti tomu Sdružení evropských malých podniků (ESBA) se obává, že rozdílná praxe v jednotlivých zemích bude překážkou přeshraniční spolupráce v oblasti malého a středního podnikání a může způsobit citelné ztráty. Jak to dopadne bychom se měli dozvědět 14. května, kdy bude Evropský parlament o směrnici hlasovat podruhé. Síly pro i proti jsou prý prozatím vyrovnané.
Ale dost bylo černých myšlenek. V oblasti informačních systémů a technologií se naštěstí dějí i pozitivní věci - například zavádění zcela nového informačního systému pro právě spouštěný 6. rámcový program vědy a výzkumu. Ale o tom třeba zase příště.