Amendamentele aferente fiecărei linii bugetare Document consolidat secţiunea III (Integrarea amendamentelor convenite în proiectul de buget sau în poziţia Consiliului) Rubrică

Descoperirea unei vulnerabilități grave în biblioteca software de funcții criptografice OpenSSL în aprilie 2014 a atras atenția în măsură mai mare asupra nevoii de a înțelege care este legătura dintre gestionarea codurilor și calitatea codurilor și a revizuirii codurilor. Atât publicul larg, cât și instituțiile UE utilizează regulat și se bazează pe programe informatice gratuite și cu sursă deschisă – de la dispozitive pentru utilizatorii finali până la sisteme de servere. Din acest motiv, necesitatea unor eforturi coordonate pentru menținerea unui nivel rezonabil de securitate și protecție a utilizatorilor este o cerință recunoscută și repetată atât a cetățenilor, cât și a Parlamentul European însuși, indiferent de modul în care se acordă licențele pentru acest tip de software și indiferent dacă acesta este întreținut de companii de software sau de voluntari.

Vulnerabilitățile bibliotecilor software proiectate pentru a fi utilizate în mai multe locuri sunt deosebit de importante. Proiectul-pilot și-a propus să treacă dincolo de eforturile lăudabile ale CERT-UE, să nu se rezume la avertizarea instituțiilor, organismelor și agențiilor UE și a publicului larg cu privire la amenințările iminente, ci și să colaboreze proactiv cu comunitățile de programatori astfel încât să ajute și să contribuie la descoperirea problemelor de securitate ale software-ului care este purtător de funcții esențiale ale infrastructurii informaționale. Activitățile ar trebui să se desfășoare luând drept referință Contractul social Debian în ceea ce privește eficacitatea și încrederea și în conformitate cu procedurile consacrate privind divulgarea rezonabilă.

Acțiunea pregătitoare va folosi și extinde rezultatele proiectului-pilot în ceea ce privește:

- crearea unui inventar al programelor informatice gratuite și cu sursă deschisă utilizate în cadrul instituțiilor UE;

- dezvoltarea unui set de criterii fiabile pentru un cadru de auditare a programelor informatice și a proiectelor;

- crearea unei infrastructuri pentru a încuraja comunitățile de programatori să ajute și să contribuie la descoperirea bugurilor relevante pentru securitate;

- dezvoltarea și îmbunătățirea celor mai bune practici de reducere a amenințărilor la adresa securității prin revizuirile codurilor și promovarea acestor revizuiri;

- găsirea unor noi stimulente pentru îmbunătățirea securității informatice, cum ar fi abordările de tip „bug bounty” (recompense pentru găsirea de buguri);

- efectuarea de revizuiri ale codurilor programelor informatice cu sursă deschisă care au o importanță critică.

Astfel cum s-a subliniat în evaluarea Comisiei, în timpul proiectului-pilot care a precedat această acțiune pregătitoare, ideea unei abordări de tip „bug bounty” (stimularea descoperirii problemelor relevante de securitate ale programelor informatice utilizate de către instituții prin acordarea de recompense) a fost deja luată în considerare, însă a fost mai apoi ignorată din cauză de resurse insuficiente. Astfel de abordări sunt însă foarte răspândite și aplicate cu succes în domeniu și ele ar permite o implicare pe scară mai largă a comunității din domeniul securității în vederea îndeplinirii obiectivului comun al unei infrastructuri informatice mai sigure.

Referințe:

https://joinup.ec.europa.eu/community/eu-fossa/home

https://www.debian.org/social_contract

http://googleonlinesecurity.blogspot.de/2013/10/going-beyond-vulnerability-rewards.html

https://epnet.europarl.europa.eu/http://www.itecnet.ep.parl.union.eu/itecnet/webdav/site/itecnet/shared/Homepage_news/Annex%202%20-%20IT%20environment%20in%20the%20EP.PDF

https://epnet.europarl.europa.eu/http://www.itecnet.ep.parl.union.eu/itecnet/webdav/site/itecnet/shared/Homepage_news/Annexe%201%20Structure%20TIC.PDF

http://ec.europa.eu/dgs/informatics/oss_tech/index_en.htm

Acțiune pregătitoare în sensul articolului 54 alineatul (2) din Regulamentul (UE, Euratom) nr. 966/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind normele financiare aplicabile bugetului general al Uniunii și de abrogare a Regulamentului (CE, Euratom) nr. 1605/2002 al Consiliului (JO L 298, 26.10.2012, p. 1).

Acest proiect-pilot le va permite Parlamentului European și Comisiei să dezvolte un mijloc de autentificare electronică pentru a face posibilă accesarea în condiții de siguranță a serviciilor online, precum și semnături electronice cu ajutorul cărora să poată fi semnate online documentele elaborate în cursul activității de zi cu zi a instituțiilor UE. Regulamentul eIDAS va fi, de asemenea, pus în aplicare, ceea ce va permite recunoașterea reciprocă, la nivelul instituțiilor UE, a semnăturilor electronice și a sistemelor naționale de identificare electronică (e-ID).

Proiect-pilot în sensul articolului 54 alineatul (2) din Regulamentul (UE, Euratom) nr. 966/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind normele financiare aplicabile bugetului general al Uniunii și de abrogare a Regulamentului (CE, Euratom) nr. 1605/2002 al Consiliului (JO L 298, 26.10.2012, p. 1).

Această acțiune pregătitoare va continua să sprijine implementarea unor sisteme de comunicații electronice sigure în cadrul instituțiilor europene.

O modalitate de a dispune de comunicații electronice mult mai sigure ar fi utilizarea unei tehnologii de criptare de ultimă generație în serviciile de poștă electronică ale instituțiilor. Proiectul va consta în dezvoltarea unor standarde de criptare la nivelul UE, pe care guvernele statelor terțe să nu le poată compromite sau slăbi.

Proiectul actual a ajuns în stadiul recomandărilor. Au fost prezentate recomandări atât la nivel de grup de lucru, cât și la nivelul conducerii DG DIGIT.

Obiectivul acțiunii pregătitoare este de a continua să sprijine serviciile IT ale Consiliului, Președinției Consiliului, Comisiei și Parlamentului în implementarea sistemelor necesare pentru securizarea comunicațiilor pentru comisari, deputați, funcționari, administratori și membrii personalului tuturor instituțiilor implicate în procesul decizional la nivelul UE.

Acțiunea pregătitoare va permite continuarea etapei de punere în aplicare a proiectului-pilot precedent. Pe termen mai lung, acțiunea ar putea să cuprindă atât comunicațiile electronice scrise (e-mail-uri și SMS-uri), cât și comunicațiile electronice vocale (fixe și mobile).

Punerea în practică a recomandărilor formulate pe baza proiectului-pilot ar fi calea de urmat. De asemenea, se va avansa în direcția unui mod de a pilota proiecte mai operativ și mai orientat către prestarea de servicii. Ar putea fi nevoie ca acțiunea să fie încredințată unei echipe operative. Prin urmare, prima etapă a acțiunii pregătitoare va trebui să constea în desemnarea echipei respective, ceea ce va necesita o coordonare între instituțiile UE. A doua etapă va fi aplicarea în continuare și la scară mai largă a proiectului-pilot la un nivel mai operațional.

Temei juridic:

Acțiune pregătitoare în sensul articolului 54 alineatul (2) din Regulamentul (UE, Euratom) nr. 966/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind normele financiare aplicabile bugetului general al Uniunii și de abrogare a Regulamentului (CE, Euratom) nr. 1605/2002 al Consiliului (JO L 298, 26.10.2012, p. 1).