Γεμάτο με ευπάθειες στο λογισμικό και την ασφάλεια βρέθηκε ότι ήταν σύστημα ανταλλαγής πληροφοριών που χρησιμοποιείται από τις συνοριακές δυνάμεις της ΕΕ για την επισήμανση παράνομων μεταναστών και υπόπτων εγκληματιών σε πραγματικό χρόνο, σύμφωνα με μηνύματα ηλεκτρονικού ταχυδρομείου και εμπιστευτικές εκθέσεις ελέγχου που περιήλθαν στην κατοχή του Bloomberg News και της ερευνητικής ειδησεογραφικής ομάδας Lighthouse Reports.
Το Σύστημα Πληροφοριών Σένγκεν ΙΙ είχε χιλιάδες ζητήματα κυβερνοασφάλειας τα οποία ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, ελεγκτής της ΕΕ, έκρινε ως «υψηλής» σοβαρότητας σε έκθεση του 2024. Διαπίστωσε επίσης ότι ένας «υπερβολικά μεγάλος αριθμός» λογαριασμών είχε πρόσβαση σε επίπεδο διαχειριστή στη βάση δεδομένων, δημιουργώντας «μια αναπόφευκτη αδυναμία που θα μπορούσε να αξιοποιηθεί από εσωτερικούς επιτιθέμενους».
Ενώ δεν υπάρχουν αποδείξεις ότι υπήρξε πρόσβαση ή κλοπή δεδομένων του SIS II, μια παραβίαση «θα ήταν καταστροφική, επηρεάζοντας ενδεχομένως εκατομμύρια ανθρώπους», δήλωσε ο Romain Lanneau, νομικός ερευνητής στο παρατηρητήριο της ΕΕ Statewatch.
Το SIS II, το οποίο τέθηκε για πρώτη φορά σε εφαρμογή το 2013, αποτελεί μέρος μιας προσπάθειας σε επίπεδο ΕΕ για την ενίσχυση των εξωτερικών συνόρων με τη χρήση ψηφιακών και βιομετρικών τεχνολογιών, σε μια στιγμή κατά την οποία οι κυβερνήσεις σε όλο τον κόσμο υιοθετούν αυστηρότερες θέσεις για τη μετανάστευση. Το σύστημα επιτρέπει στα κράτη μέλη να εκδίδουν και να προβάλλουν σε πραγματικό χρόνο ειδοποιήσεις όταν άτομα με ετικέτες, μια ομάδα που περιλαμβάνει υπόπτους για τρομοκρατία και άτομα με εκκρεμή εντάλματα σύλληψης, επιχειρούν να διασχίσουν τα σύνορα της ΕΕ.
Το SIS II, το οποίο επί του παρόντος λειτουργεί σε ένα απομονωμένο δίκτυο, θα ενσωματωθεί τελικά στο σύστημα εισόδου/εξόδου της ΕΕ, το οποίο θα αυτοματοποιήσει την καταγραφή των εκατοντάδων εκατομμυρίων ετήσιων επισκεπτών του μπλοκ. Το EES θα συνδέεται με το διαδίκτυο, γεγονός που θα μπορούσε να διευκολύνει την πρόσβαση των χάκερ στην εξαιρετικά ευαίσθητη βάση δεδομένων του SIS II, προειδοποιεί η έκθεση.
Οι ειδοποιήσεις που εκδίδονται από το SIS II μπορούν να περιέχουν φωτογραφίες υπόπτων και βιομετρικά δεδομένα, όπως δακτυλικά αποτυπώματα που λαμβάνονται από σκηνές εγκλήματος. Από τον Μάρτιο του 2023, οι ειδοποιήσεις έχουν επίσης ενσωματώσει τις λεγόμενες «αποφάσεις επιστροφής» – νομικές αποφάσεις που επισημαίνουν ένα άτομο για απέλαση. Ενώ η συντριπτική πλειονότητα των περίπου 93 εκατομμυρίων εγγραφών του συστήματος αφορά αντικείμενα όπως κλεμμένα οχήματα και έγγραφα ταυτότητας, περίπου 1,7 εκατομμύρια συνδέονται με ανθρώπους.
Από αυτούς, 195.000 έχουν επισημανθεί ως πιθανές απειλές για την εθνική ασφάλεια. Δεδομένου ότι τα άτομα γενικά δεν γνωρίζουν ότι οι πληροφορίες τους βρίσκονται στο SIS II μέχρι να ενεργήσουν οι αρχές επιβολής του νόμου, μια διαρροή θα μπορούσε ενδεχομένως να διευκολύνει ένα καταζητούμενο πρόσωπο να αποφύγει τον εντοπισμό του.
Ο έλεγχος διαπίστωσε ότι το SIS II ήταν ευάλωτο σε χάκερς που κατέκλυσαν το σύστημα, καθώς και σε επιθέσεις που θα μπορούσαν να επιτρέψουν σε ξένους να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση, όπως προκύπτει από τα έγγραφα. Όταν η EU-Lisa, ο οργανισμός που επιβλέπει έργα πληροφορικής μεγάλης κλίμακας όπως το SIS II, ανέφερε τα ζητήματα αυτά στη Sopra Steria, τον εργολάβο με έδρα το Παρίσι που είναι υπεύθυνος για την ανάπτυξη και τη συντήρηση του συστήματος, η εταιρεία χρειάστηκε από οκτώ μήνες έως περισσότερα από πεντέμισι χρόνια για να διορθώσει τα προβλήματα, σύμφωνα με την έκθεση και τα μηνύματα ηλεκτρονικού ταχυδρομείου μεταξύ υπαλλήλων της ΕΕ και της Sopra Steria.
Σύμφωνα με τους όρους της σύμβασής της με την EU-Lisa, η Sopra Steria ήταν υποχρεωμένη να επιδιορθώνει «κρίσιμα και υψηλής σπουδαιότητας» τρωτά σημεία του λογισμικού εντός δύο μηνών από την κυκλοφορία ενός διορθωτικού λογισμικού, όπως προκύπτει από τα μηνύματα ηλεκτρονικού ταχυδρομείου και δύο εκθέσεις ελέγχου.
Εκπρόσωπος της Sopra Steria αρνήθηκε να απαντήσει σε λεπτομερή κατάλογο ισχυρισμών σχετικά με τα τρωτά σημεία ασφαλείας του SIS II, αλλά ανέφερε σε δήλωσή του ότι η εταιρεία ακολούθησε τα πρωτόκολλα της ΕΕ.
«Ως βασικό στοιχείο της υποδομής ασφάλειας της ΕΕ, το SIS II διέπεται από αυστηρά νομικά, κανονιστικά και συμβατικά πλαίσια», έγραψε ο εκπρόσωπος. «Ο ρόλος της Sopra Steria εκτελέστηκε σύμφωνα με αυτά τα πλαίσια».
Οι υπάλληλοι της EU-Lisa υπέδειξαν στη Sopra Steria θέματα κυβερνοασφάλειας σε αρκετές περιπτώσεις το 2022. Η Sopra Steria υποστήριξε σε μια ανταλλαγή μηνυμάτων ηλεκτρονικού ταχυδρομείου ότι η επιδιόρθωση ορισμένων ευπαθειών θα κόστιζε επιπλέον 19.000 ευρώ. Σε απάντηση, η EU-Lisa δήλωσε ότι οι εργασίες θα έπρεπε να καλύπτονται από την υφιστάμενη σύμβαση, η οποία περιελάμβανε αμοιβή μεταξύ 519.000 και 619.000 ευρώ ανά μήνα για «διορθωτική συντήρηση», σύμφωνα με έγγραφο που περιγράφει λεπτομερώς τις αμοιβές της Sopra Steria για το έργο.
Ο έλεγχος του ΕΕΠΔ σημείωσε επίσης ότι 69 μέλη της ομάδας που δεν απασχολούνταν απευθείας από την ΕΕ είχαν πρόσβαση στο SIS II, παρά την έλλειψη της απαραίτητης εξουσιοδότησης ασφαλείας. Δεν είναι σαφές αν επρόκειτο για υπαλλήλους της Sopra Steria ή για άλλους εργολάβους.
Ο έλεγχος επέρριψε την ευθύνη για ορισμένες παραλείψεις στην EU-Lisa, η οποία δεν ενημέρωσε το διοικητικό της συμβούλιο για τα τρωτά σημεία ασφαλείας μετά τον εντοπισμό τους. Στα έγγραφα, οι ελεγκτές περιέγραφαν ότι ο οργανισμός της ΕΕ αντιμετώπιζε «οργανωτικά και τεχνικά κενά ασφαλείας» και συνέστησαν να καταρτίσει σχέδιο δράσης με «σαφή στρατηγική» για την αντιμετώπιση των ευπαθειών. Εκτός από το SIS II, ο οργανισμός διατηρεί μια βάση δεδομένων με τα δακτυλικά αποτυπώματα των αιτούντων άσυλο, που ονομάζεται Eurodac, και ένα σύστημα απαλλαγής από την υποχρέωση θεώρησης, παρόμοιο με αυτό του ESTA στις ΗΠΑ.
Εκπρόσωπος της EU-Lisa δήλωσε ότι ο οργανισμός δεν μπορεί να σχολιάσει εμπιστευτικά έγγραφα, αλλά ότι «όλα τα συστήματα υπό τη διαχείριση του οργανισμού υποβάλλονται σε συνεχείς αξιολογήσεις κινδύνου, τακτικές σαρώσεις ευπάθειας και δοκιμές ασφαλείας».
«Οι κίνδυνοι που εντοπίζονται αξιολογούνται, ιεραρχούνται και αντιμετωπίζονται με βάση την κρισιμότητά τους, ενώ ορίζονται και παρακολουθούνται στενά τα κατάλληλα μέτρα μετριασμού», πρόσθεσε ο εκπρόσωπος.
Ορισμένα από τα προβλήματα με το SIS II προήλθαν από την τάση της EU-Lisa να βασίζεται σε μεγάλο βαθμό σε εταιρείες συμβούλων αντί να αναπτύσσει τεχνολογικές δυνατότητες στο εσωτερικό της, σύμφωνα με τρία άτομα που γνωρίζουν το θέμα, τα οποία ζήτησαν να μην κατονομαστούν, καθώς δεν είχαν την εξουσιοδότηση να μιλήσουν δημοσίως. Αυτό οφειλόταν εν μέρει στην πίεση για παράδοση έργων που ο οργανισμός δεν είχε το προσωπικό για να ολοκληρώσει γρήγορα.
Το Entry/Exit System, το σύστημα υψηλής τεχνολογίας για τα σύνορα που προορίζεται να αυτοματοποιήσει την καταγραφή των επισκεπτών στην Ευρώπη – και ένα άλλο έργο που εποπτεύεται από την EU-Lisa – έχει επίσης δυσκολευτεί. Το σύστημα υποτίθεται ότι θα ξεκινούσε το 2022, αλλά έχει καθυστερήσει πολλές φορές λόγω τεχνικών προβλημάτων που αποδίδονται σε μεγάλο βαθμό στη γαλλική εταιρεία πληροφορικής Atos, ανέφεραν το Bloomberg και το Lighthouse Reports τον Δεκέμβριο. Η Ευρωπαϊκή Επιτροπή δήλωσε πριν από δύο μήνες ότι τα κράτη μέλη θα θέσουν σε λειτουργία ορισμένα τμήματα του EES τον Οκτώβριο.
Κατά την τελευταία δεκαετία, η Ευρωπαϊκή Ένωση προσπαθεί να εφαρμόσει τα λεγόμενα έξυπνα σύνορα για να παρακολουθεί τον αυξανόμενο αριθμό των ανθρώπων που ταξιδεύουν στο μπλοκ. Η δημιουργία ενός αποκεντρωμένου οργανισμού όπως η EU-Lisa το 2012 θα έπρεπε να έχει διευκολύνει την ανάπτυξη αυτών των συστημάτων, δήλωσε η Francesca Tassinari, δικηγόρος και ερευνήτρια στο Πανεπιστήμιο της Χώρας των Βάσκων και ειδικός στα συστήματα πληροφορικής της ΕΕ. «Αλλά δυστυχώς ο οργανισμός δεν αποδείχθηκε επαρκής για να διαχειριστεί την κλίμακα και την πολυπλοκότητα του έργου».
Ένας από τους λόγους γι’ αυτό, εξήγησε ο Leonardo Quattrucci, ανώτερος συνεργάτης του Κέντρου για τις Μελλοντικές Γενιές, είναι ότι η ΕΕ δεν διαθέτει άτομα με εμπειρία στην ανάθεση και διαχείριση αυτών των συμβάσεων.
«Οι δημόσιες συμβάσεις θα έπρεπε να αντιμετωπίζονται ως στρατηγική λειτουργία, αλλά επί του παρόντος είναι μια διαδικασία συμμόρφωσης», δήλωσε. «Χρειάζεται οι ιδιοκτήτες της διαδικασίας να είναι ειδικοί».
Διαβάστε ακόμη
«Μυστήριοι» μαύροι δίσκοι ξεβράζονται στις ακτές (pics)
Skroutz: Σχεδόν τετραπλασιάστηκαν τα κέρδη – Το νέο μεγάλο στοίχημα (pic)
Για όλες τις υπόλοιπες ειδήσεις της επικαιρότητας μπορείτε να επισκεφτείτε το Πρώτο Θέμα