“棱鏡門”事件敲響了全球網絡安全的警鐘,根據斯諾登爆料,歐盟機構都受到美國監控,使網絡安全一時間成為歐盟決策層關注的重點。實際上,近年來歐盟對網絡安全的關注一直在升溫。今年以來,歐盟不僅成立了歐洲網絡犯罪中心,還出臺了第一份涉及網絡安全的全面戰略,并正在推動相關立法。
根據歐盟文件,歐盟網絡安全戰略的根本目的在于構建一個“公開、自由和安全”的網絡空間,一方面確保數字經濟安全發展,另一方面在網絡空間中傳播和維護歐盟的價值觀念。為實現這一目標,歐盟網絡安全工作的重點集中在三個方面,即倡導合作、分級應對和技術研發。
歐盟認為,私人部門或公司在維護網絡安全方面往往缺乏有效動力。統計顯示,到2012年初,歐盟企業中只有26%制定了正式的信息安全政策。此前,曾有遭到網絡襲擊的公司因擔心影響自身利益和形象而加以隱瞞。因此,政府部門應在網絡安全建設方面發揮主導作用。
歐盟首先要求所有成員國、關鍵的互聯網公司和重要的基礎設施運營商確保數字環境安全。具體包括成員國必須制定網絡和信息安全戰略,成立專門的部門以防止、處理和應對相關風險和事件;成員國和歐盟委員會共享早期風險預警信息;金融、運輸、能源和醫療等基礎設施運營商和從事電子商務平臺、網絡支付、搜索引擎等業務的關鍵網絡公司以及公共行政部門必須采取風險管理措施。在這個過程中,歐盟倡導多層面合作,除成員國之間的合作外,還主張政府部門與私營部門的合作,歐盟與其他國家和國際機構合作等。
根據網絡威脅的性質和嚴重程度,歐盟初步將其分為三個層次,并針對不同層次采取相應策略。第一層次為網絡事故,包括人為或意外原因所造成的網絡中斷、運行失常等,屬于技術層面,由歐盟和成員國網絡技術部門負責盡快恢復;第二層次為各種形式的網絡犯罪,屬于司法層面,歐盟為此專門在海牙成立了歐洲網絡犯罪中心,同成員國相關機構一起,負責通過法律手段予以解決;第三層次為網絡竊聽和有政府背景的網絡攻擊,屬于國家安全范疇,由歐盟對外行動署、歐洲防務局和成員國相關部門共同處理,并在歐盟共同防務框架下,制定和實施網絡防御的政策和發展防御能力。
在網絡安全技術方面,歐盟已經意識到,雖然歐洲擁有先進的研發能力,但許多提供信息和通信產品與服務的全球大公司都不在歐洲,這使得歐洲過度依賴在別國研發和生產的網絡技術和產品,對網絡安全造成一定風險。
為此,歐盟指出,必須確保在歐盟和第三國生產的、用于關鍵服務和基礎設施的硬件和軟件值得信賴,安全可靠。此外,歐盟還在網絡安全戰略中提出要大力發展應用于網絡安全的工業和技術,具體措施包括促進網絡安全產品的統一市場,鼓勵研發投資和創新,從而逐漸減少對國外技術的依賴等。