Програмне забезпечення, яке використовують сили прикордонної безпеки ЄС для запобігання пересуванню нелегальних іммігрантів та підозрюваних злочинців у регіоні, нібито рясніє дірами та є вразливим до кібератак.
Шенгенська інформаційна система другого покоління (SIS II) — це ІТ-система та база даних, якою спільно користуються більшість держав ЄС для правоохоронних цілей та забезпечення громадської безпеки. Згідно з новим спільним звітом Bloomberg та неприбуткової організації розслідувальної журналістики Lighthouse Reports, SIS II — яка використовується з 2013 року — страждає від “тисяч” проблем кібербезпеки, настільки серйозних, що аудитор ЄС позначив їх як “високої” важливості у звіті, поданому минулого року.
У звіті зазначається, що немає доказів крадіжки даних, але “надмірна кількість” облікових записів, які безпідставно мають доступ до бази даних, означає, що її можна досить легко використати зловмисно. Під час первинного впровадження основними доповненнями SIS II стали технологія відбитків пальців та фотографії в оповіщеннях, а в 2023 році програмне забезпечення було оновлено з покращеними даними та розширеннями до існуючого функціоналу, включаючи можливість сигналізувати, коли когось депортували з країни. Журналісти Bloomberg розмовляли з Роменом Ланно, юридичним дослідником із наглядової організації ЄС під назвою Statewatch, який попередив, що атака була б “катастрофічною, потенційно зачіпаючи мільйони людей”.
Зараз SIS II функціонує в ізольованій мережі, але незабаром буде інтегрована в систему в’їзду/виїзду ЄС (EES), яка зробить реєстрацію біометричних даних обов’язковою для осіб, що подорожують до районів, пов’язаних із Шенгеном, коли вона набуде чинності, імовірно пізніше цього року. Оскільки EES буде підключена до інтернету, злом бази даних SIS II стане значно легшим.
Bloomberg і Lighthouse зазначають, що хоча більшість із приблизно 93 мільйонів записів системи SIS II стосуються об’єктів, таких як викрадені транспортні засоби, близько 1,7 мільйона пов’язані з людьми. Додається, що люди зазвичай не знають, що їхні дані записані в базі даних, поки не втрутяться правоохоронці, тому якщо інформація витече, розшукуваним особам може стати легше ухилятися від влади.
Розробкою та обслуговуванням SIS II керує паризький підрядник під назвою Sopra Steria. Згідно зі звітом, коли повідомлялося про вразливості, їх усунення займало від восьми місяців до понад п’яти років. Це незважаючи на контрактне зобов’язання виправляти проблеми, які вважаються критично важливими, протягом двох місяців після випуску патчу.
Представник Sopra Steria не відповів Bloomberg щодо детального списку звинувачень стосовно дір безпеки SIS II, але заявив у відповіді, надрукованій у звіті, що протоколи ЄС дотримувалися. “Як ключовий компонент інфраструктури безпеки ЄС, SIS II керується суворими правовими, регуляторними та контрактними рамками”, — зазначалося в заяві. “Роль Sopra Steria виконувалася відповідно до цих рамок”.
EU-Lisa, агентство ЄС, яке наглядає за великомасштабними ІТ-системами, такими як SIS II, регулярно передає обов’язки зовнішнім консалтинговим фірмам замість розробки власних внутрішніх технологій, згідно з розслідуванням. Аудит звинуватив агентство в тому, що воно не інформувало своє керівництво про ризики безпеки, які були позначені, на що воно відповіло, заявивши, що всі системи під його управлінням “проходять безперервну оцінку ризиків, регулярне сканування вразливостей та тестування безпеки”.
