Софтуерът за границите на Шенген е уязвим за хакерски атаки

Система за споделяне на информация, използвана от граничните сили на ЕС за сигнализиране на нелегални имигранти и заподозрени престъпници в реално време, е била пълна със софтуерни проблеми и уязвимости в сигурността, според имейли и поверителни одитни доклади, получени от Bloomberg News и разследващата редакция Lighthouse Reports.

Шенгенската информационна система II (SIS II) е имала хиляди проблеми с киберсигурността, които Европейският надзорен орган по защита на данните (EDPS), одитор на ЕС, е определил като с „високо“ ниво на тревожност в доклад от 2024 г. Той също така е установил, че „прекомерен брой“ акаунти са имали достъп на администраторско ниво до базата данни, създавайки „избежима слабост, която би могла да бъде използвана от вътрешни нападатели“.

Въпреки че няма доказателства, че са били достъпни или откраднати данни от SIS II, едно нарушение „би било катастрофално, потенциално засягащо милиони хора“, каза Ромен Лано, правен изследовател в надзорния орган на ЕС Statewatch.

SIS II, която беше внедрена за първи път през 2013 г., е част от усилията на ЕС за укрепване на външните граници на блока, използващи цифрови и биометрични технологии в момент, в който правителствата по света заемат по-твърди позиции по отношение на миграцията. Системата позволява на държавите членки да издават и преглеждат сигнали в реално време, когато маркирани лица, група, която включва заподозрени в тероризъм и лица с неизпълнени заповеди за арест, се опитват да преминат граница на ЕС.

SIS II, която в момента работи в изолирана мрежа, в крайна сметка ще бъде интегрирана със Системата за влизане/излизане на ЕС (EES), която ще автоматизира регистрацията на стотиците милиони годишни посетители на блока. Системата за влизане/излизане ще бъде свързана с интернет, което би могло да улесни достъпа на хакерите до високочувствителната база данни на SIS II, предупреждава докладът.

Сигналите, издадени от SIS II, могат да съдържат снимки на заподозрени и биометрични данни, като например пръстови отпечатъци, взети от местопрестъпления. От март 2023 г. сигналите включват и така наречените „решения за връщане“ – съдебни решения, които маркират дадено лице за депортиране. Докато по-голямата част от приблизително 93 милиона записа в системата се отнасят до обекти като откраднати превозни средства и документи за самоличност, около 1,7 милиона са свързани с хора.

От тях 195 000 са маркирани като възможни заплахи за националната сигурност. Тъй като хората обикновено не знаят, че информацията им е в SIS II, докато правоохранителните органи не предприемат действия по нея, изтичането на информация би могло потенциално да улесни издирваното лице да избегне разкриването.

Одитът установи, че SIS II е уязвима за хакери, които претоварват системата, както и за атаки, които биха могли да позволят на външни лица да получат неоторизиран достъп, показват документи. Когато EU-Lisa, агенцията, която наблюдава мащабни ИТ проекти като SIS II, е докладвала тези проблеми на Sopra Steria, базирания в Париж изпълнител, отговорен за разработването и поддръжката на системата, на компанията са били необходими между осем месеца и повече от пет години и половина, за да отстрани проблемите, според доклада и имейлите между служители на ЕС и Sopra Steria.

Съгласно условията на договора си с EU-Lisa, Sopra Steria е била задължена да отстрани „критични и високи“ софтуерни уязвимости в рамките на два месеца след пускането на корекция, показват имейли и два одиторски доклада.

Говорител на Sopra Steria отказа да отговори на подробен списък с твърдения за уязвимости в сигурността на SIS II, но заяви в изявление, че компанията е спазвала протоколите на ЕС.

„Като ключов компонент на инфраструктурата за сигурност на ЕС, SIS II се регулира от строги правни, регулаторни и договорни рамки“, написа говорителят. „Ролята на Sopra Steria се изпълняваше в съответствие с тези рамки.“

Имейли, видени от Bloomberg и Lighthouse Reports, показват, че служители на EU-Lisa са сигнализирали за проблеми с киберсигурността на Sopra Steria няколко пъти през 2022 г. Sopra Steria твърди в един от имейлите, че отстраняването на някои от уязвимостите ще струва допълнителни 19 000 евро. В отговор EU-Lisa заяви, че работата трябва да бъде покрита от съществуващия договор, който включва такса между 519 000 и 619 000 евро на месец за „корективна поддръжка“, според документ, в който се описват подробно таксите на Sopra Steria за проекта.

Одитът на EDPS отбеляза също, че 69 членове на екипа, които не са били директно наети от ЕС, са имали достъп до SIS II, въпреки че не са имали необходимото разрешение за достъп до класифицирана информация. Не е ясно дали са били служители на Sopra Steria или други изпълнители.

Одитът обвини EU-Lisa за някои пропуски, тъй като не е информирала управителния си съвет за уязвимостите в сигурността, след като те са били идентифицирани. В документите одиторите описват агенцията на ЕС като бореща се с „организационни и технически пропуски в сигурността“ и препоръчват да се създаде план за действие с „ясна стратегия“ за справяне с уязвимостите. В допълнение към SIS II, агенцията поддържа база данни с пръстови отпечатъци на търсещите убежище, наречена Eurodac, и система за отмяна на визите, подобна на тази на ESTA в САЩ.

Говорител на EU-Lisa заяви, че агенцията не може да коментира поверителни документи, но че „всички системи под управлението на агенцията преминават през непрекъснати оценки на риска, редовни сканирания за уязвимости и тестове за сигурност“.

„Всички идентифицирани рискове се оценяват, приоритизират и се адресират въз основа на тяхната критичност, като се определят подходящи мерки за смекчаване, които се наблюдават отблизо“, добави говорителят.

Някои от проблемите със SIS II произтичат от склонността на EU-Lisa да разчита в голяма степен на консултантски фирми, вместо да изгражда технологични възможности самостоятелно, според трима души, запознати с въпроса, които поискаха да не бъдат идентифицирани, тъй като не са упълномощени да говорят публично. Това се дължи отчасти на натиска за изпълнение на проекти, за които агенцията не е разполагала с персонал, за да ги завърши бързо.

Системата за влизане/излизане, високотехнологичната гранична система, предназначена да автоматизира регистрацията на посетители в Европа – и друг проект, ръководен от EU-Lisa – също има проблеми. Системата трябваше да стартира през 2022 г., но беше отлагана многократно поради технически проблеми, до голяма степен приписвани на френската IT фирма Atos, както съобщиха Bloomberg и Lighthouse Reports през декември. Преди два месеца Европейската комисия заяви, че държавите членки ще включат някои части от Системата за влизане/излизане (EES) през октомври.

През последното десетилетие Европейският съюз се опитва да внедри така наречените интелигентни граници, за да следи нарастващия брой хора, пътуващи в блока. Създаването на децентрализирана агенция като EU-Lisa през 2012 г. трябваше да улесни разработването на тези системи, каза Франческа Тасинари, адвокат и изследовател в Университета на баските и експерт по информационни системи на ЕС. „Но за съжаление агенцията не се е доказала като достатъчна, за да управлява мащаба и сложността на проекта.“

Част от причината за това, обясни Леонардо Куатручи, старши сътрудник в Центъра за бъдещи поколения, е, че в ЕС липсват хора с опит в обществените поръчки и управлението на тези договори.

„Обществените поръчки трябва да се третират като стратегическа функция, но в момента това е процес на съответствие“, каза той. „Необходимо е собствениците на процеса да бъдат специалисти.“

Още по темата

България трупа дълг, за да вдига пенсии. А лихвите вече са 2 млрд. лв. на година

Шенген може да направи България по-атрактивна за инвеститори извън Евросъюза

Шенген е възможност за развиване на общобалкански туристически продукт

България в Шенген. Какви са позитивите? Попитахме експертите.