Шенгенският граничен софтуер е уязвим на хакерски атаки

Системата за обмен на информация, използвана от граничните сили на Европейския съюз за сигнализиране на нелегални имигранти и заподозрени в престъпления лица в реално време, е изпълнена с уязвимости в софтуера и сигурността, сочат имейли и поверителни одиторски доклади, получени от Bloomberg News и от разследващата медия Lighthouse Reports.

Шенгенската информационна система II (SIS II) е имала хиляди проблеми с киберсигурността, които Европейският надзорен орган по защита на данните (EDPS), одиторът на ЕС, е определил като „много“ сериозни в доклад от 2024 г. Той е установил също, че „твърде голям брой“ акаунти са имали достъп до базата данни на ниво администратор и това е създало „предотвратима слабост, която е можело да бъде използвана от вътрешни извършители на атаки“.

Макар да няма доказателства, че данни от SIS II са били достъпни или откраднати, евентуален пробив би бил „катастрофален и би могъл да засегне милиони хора“, коментира Ромен Лано, правен анализатор в регулатора на ЕС Statewatch.

SIS II, която беше задействана за първи път през 2013 г., е част от усилията на ЕС за укрепване на външните граници на блока чрез използване на цифрови и биометрични технологии в момент, в който правителствата по целия свят заемат по-твърда позиция относно миграцията. Системата позволява на страните членки да издават и преглеждат сигнали в реално време, когато отбелязани лица, група, която включва заподозрени в тероризъм и хора, за които са издадени заповеди за арест, се опитват да преминат граница на ЕС.

SIS II, която сега работи в изолирана мрежа, в крайна сметка ще бъде интегрирана в системата за влизане/излизане на ЕС (EES), която ще автоматизира регистрацията на стотиците милиони посетители на блока годишно. EES ще бъде свързана с интернет, което може да улесни хакерите да получат достъп до  високочувствителната база данни SIS II, предупреждават авторите на доклада.

Предупрежденията, издадени от SIS II, може да съдържат снимки на заподозрени и биометрични данни като пръстови отпечатъци, взети от местопрестъпления. От март 2023 г. предупрежденията включват и т. нар. „решения за връщане“ – съдебни решения, които отбелязват дадено лице за депортиране. Докато по-голямата част от приблизително 93 млн. досиета в системата се отнасят до обекти като откраднати превозни средства и документи за самоличност, около 1,7 млн. са свързани с хора.

Португалски политици са информирани от полицейски служител за новата система за контрол на външните граници на ЕС на летище "Умберто Делгадо" в Лисабон на 15 април. Снимка: Horacio Villalobos/Getty Images

От тях 195 хил. са отбелязани като възможна заплаха за националната сигурност. Тъй като лицата обикновено не знаят, че информацията за тях се намира в SIS II, докато правоприлагащите органи не предприемат действия, изтичане на информация може да улесни издирваните лица да избегнат залавяне.

Одитът е установил, че SIS II е уязвима от хакери, които могат да претоварят системата, както и от атаки, които биха позволили на външни лица да получат неразрешен достъп, сочат документите. Когато EU-Lisa, агенция, наблюдаваща мащабни IT проекти като SIS II, е докладвала тези проблеми на Sopra Steria, базиран в Париж изпълнител, който отговаря за разработването и поддръжката на системата, той е имал нужда от осем месеца до над пет години и половина, за да отстрани проблемите, според доклада и имейли между служители на ЕС и на Sopra Steria.

Съгласно условията на договора с EU-Lisa, Sopra Steria е била длъжна да отстрани „критичните и високи“ уязвимости на софтуера в рамките на два месеца от подаването на сигнала, сочат имейли и два одиторски доклада.

Говорител на Sopra Steria е отказал да отговори на подробен списък с твърдения за уязвимости в сигурността на SIS II, но е посочил в изявление, че компанията е спазила протоколите на ЕС.

„Като ключов компонент от инфраструктурата за сигурност на ЕС SIS II се управлява от строги правни, регулаторни и договорни рамки. Ролята на Sopra Steria беше изпълнена в съответствие с тези рамки“, отбелязва говорителят.

Имейли, видени от Bloomberg и Lighthouse Reports, показват, че служители на EU-Lisa са сигнализирали за проблеми с киберсигурността на Sopra Steria няколко пъти през 2022 г. Sopra Steria твърди в един от имейлите, че отстраняването на някои от уязвимостите ще струва допълнителни 19 хил. евро. В отговор EU-Lisa заявява, че дейността трябва да бъде покрита от съществуващия договор, който включва такса между 519 хил. и 619 хил. евро на месец за „коригираща поддръжка“, според документ, в който таксите на Sopra Steria за проекта са описани подробно.

В одита на EDPS се отбелязва също, че 69 членове на екипа, които не са наети директно от ЕС, са имали достъп до SIS II, въпреки че не са разполагали с необходимото разрешение за достъп до класифицирана информация. Не е ясно дали те са били служители на Sopra Steria или на други изпълнители.

Одитът обвинява EU-Lisa за някои пропуски, тъй като тя не е информирала управителния си съвет за уязвимостите в сигурността, след като те са били установени. В документите одиторите определят агенцията на ЕС като бореща се с „организационни и технически пропуски в сигурността“ и препоръчват тя да изготви план за действие с „ясна стратегия“ за справяне с уязвимостите. В допълнение към SIS II агенцията поддържа база данни с пръстовите отпечатъци на хора, търсещи убежище, наречена Eurodac, и система за премахване на визи, подобна на ESTA в САЩ.

Говорител на EU-Lisa заяви, че агенцията не може да коментира поверителни документи, но допълни, че „всички системи под управлението на агенцията преминават през непрекъснати оценки на риска, редовни прегледи за уязвимости и тестове за сигурност“.

„Всички установени рискове се оценяват, приоритизират и адресират въз основа на тяхното значение, като се определят и следят внимателно уместни мерки за смекчаване на рисковете“, допълни говорителят.

Някои от проблемите със SIS II произтичат от склонността на EU-Lisa да разчита силно на консултантски компании вместо да изгражда технологичен капацитет в рамките на самата агенция, казват трима запознати с въпроса източници, пожелали да останат анонимни, тъй като нямат разрешение да говорят публично. Това се дължи отчасти на натиска да се изпълнят проекти, за които агенцията не разполага със служители, за да ги завърши бързо.

Системата за влизане/излизане, високотехнологичната гранична система, предназначена да автоматизира регистрацията на посетители в Европа - и още един проект, ръководен от EU-Lisa, също среща трудности. Системата трябваше да заработи през 2022 г., но беше отлагана многократно поради технически проблеми, които до голяма степен се приписват на френската IT компания Atos, съобщиха Bloomberg и Lighthouse Reports през декември. Преди два месеца Европейската комисия съобщи, че страните членки ще пуснат в експлоатация някои части на EES през октомври.

През последното десетилетие Европейският съюз се опитва да въведе т. нар. „умни граници“, за да следи нарастващия брой хора, които пътуват в блока. Създаването на децентрализирана агенция като EU-Lisa през 2012 г. трябваше да улесни разработването на тези системи, казва Франческа Тасинари, адвокат и изследовател в университета на Страната на баските и експерт по IT системите на ЕС. „Но за съжаление агенцията не се оказа достатъчна, за да се справи с мащаба и сложността на проекта“, допълва тя.

Част от причината за това, обяснява Леонардо Куатручи, старши научен сътрудник в Центъра за бъдещите поколения, е, че в ЕС липсват хора с опит в сключването и управлението на такива договори.

„Сключването на договори трябва да се разглежда като стратегическа функция, но в момента то е само процес на спазване на изискванията. Необходимо е ръководителите на процеса да бъдат специалисти“, отбелязва той.