Согласно электронным письмам и конфиденциальным аудиторским отчетам, полученным Bloomberg News и уязвимыми для расследования, система распределения и уязвимостей по вопросам обеспечения нелегальных иммигрантов и подозреваемых преступников с уязвимостями программного обеспечения и безопасности, полученных Bloomberg News и расследовательными.
Информационная система Schengen II (SIS II) имела тысячи проблем с кибербезопасностью, которые Европейский орган по защите данных европейского надзора (EDPS), аудитор ЕС, описанный как «высокий» уровень беспокойства в отчете 2024 года. Также показало, что «чрезмерное число» имело измерение до уровня администратора от внутренних нападающих. «
Хотя нет никаких доказательств того, что данные были доступны или украдены из SIS II, нарушение «будет катастрофическим, потенциально затронув миллионы людей», — сказал Ромен Лано, юридический исследователь из ЕС StateWatch.
SIS II, которая была впервые внедрена в 2013 году, является частью усилий ЕС по укреплению внешних границ блока с использованием цифровых и биометрических технологий в то время, когда правительства по всему миру занимают более жесткие позиции по миграции. Система позволяет государствам -членам выпускать и проверять реальные сигналы времени, когда помеченные лица, группа, в которую входят подозреваемые в терроризме и лица с невыполненными приказами на арест, пытаются пересечь границу ЕС.
SIS II, которая в настоящее время работает над изолированной сетью, в конечном итоге будет интегрирована с системой входа/выхода ЕС (EES), которая автоматизирует регистрацию сотен миллионов годовых посетителей в блок. В отчете предупреждает, что система ввода/выхода будет подключена к Интернету, что может облегчить доступ хакеров к высокочувствительной базе данных SIS II.
Знаки, выпущенные SIS II, могут содержать фотографии подозреваемых и биометрических данных, таких как отпечатки пальцев, взятые с места преступления. С марта 2023 года предупреждения также включают в себя «решения о возврате» — решения, которые отмечают лицо для депортации. В то время как большинство из примерно 93 миллионов записей в системе относятся к таким сайтам, как украденные транспортные средства и идентификационные документы, около 1,7 миллиона связаны с людьми.
Из них 195 000 были отмечены как возможные угрозы для национальной безопасности. Поскольку люди обычно не знают, что их информация находится в SIS II, в то время как правоохранительные органы не предпринимают меры, утечка информации может потенциально облегчить разыскиваемого человека, чтобы избежать раскрытия.
Аудит обнаружил, что SIS II была уязвима для хакеров, которые перегружают систему, а также атаки, которые могут позволить посторонним получить несанкционированный доступ, показывают документы. Когда ЕС-Лиза, агентство, которое контролирует крупномасштабные ИТ-проекты, такие как SIS II, сообщило об этих проблемах Sopra Steria, парижскому подрядчику, ответственному за разработку и поддержание системы, компания потребовалась в течение восьми месяцев и более пяти с половиной лет, чтобы решить проблемы, согласно отчету и старшему EU, и старший EU потребовался более пяти с половиной лет.
Согласно условиям его контракта с ЕС-Лизой, Sopra Steria была обязана устранить «критические и высокие» уязвимости программного обеспечения в течение двух месяцев после исправления, электронные письма и два отчета аудита показывают.
Представитель Sopra Steria отказался ответить на подробный список обвинений в уязвимости SIS II Security, но заявил в своем заявлении, что компания выполнила протоколы ЕС.
«Как ключевой компонент инфраструктуры безопасности ЕС, SIS II регулируется строгими юридическими, регулирующими и договорными рамками», — написал представитель. «Роль Sopra Steria была сыграна в соответствии с этими рамками».
Электронные письма, увиденные Bloomberg и Lighthouse Reports, показывают, что чиновники ЕС-Лизы несколько раз сигнализировали о проблемах кибербезопасности Sopra Steria несколько раз в 2022 году. Сопра Стерия в одном из электронных писем о ликвидации некоторых уязвимых обойдется еще в 19 000 евро. В ответ ЕС-Лиза заявила, что работа должна быть покрыта существующим контрактом, который включает в себя плату между 519 000 и 619 000 евро в месяц за «корректирующее обслуживание», согласно документу, подробно описывающему плату Sopra Steria за проект.
Аудит EDPS также отметил, что 69 членов команды, которые не были прямо арендованы из ЕС, имели доступ к SIS II, хотя у них не было необходимого разрешения на доступ к секретной информации. Неясно, были ли они сотрудниками Sopra Steria или другими подрядчиками.
Аудит обвинил ЕС-Лизу в некоторых пробелах, поскольку он не сообщил своему управляющему совету по уязвимости безопасности после их идентификации. В документах аудиторы описывают агентство ЕС как борьбу с «организационными и техническими пробелами безопасности» и рекомендуют создать план действий с «четкой стратегией» для борьбы с уязвимостями. В дополнение к SIS II, агентство поддерживает базу данных отпечатков пальцев для лиц, ищущих убежища, называемых Eurodac и системой отмены визы, аналогичной ESTA в Соединенных Штатах.
Представитель ЕС-Лизы сказал, что агентство не может комментировать конфиденциальные документы, но «все системы под руководством агентства проходят непрерывные оценки риска, регулярные сканирования уязвимостей и тесты безопасности».
«Все выявленные риски оцениваются, приоритеты и решаются на основе их критичности, выявляя соответствующие меры по смягчению последствий, которые тщательно контролируются», — добавил представитель.
Некоторые из проблем с SIS II связаны с тенденцией ЕС-Лизы в основном полагаться на консалтинговые компании вместо того, чтобы создавать технологические возможности самостоятельно, в соответствии с тремя людьми, знакомыми с вопросом, что они не были идентифицированы, поскольку они не уполномочены говорить публично. Отчасти это связано с давлением, чтобы реализовать проекты, для которых агентство не имело сотрудников, чтобы быстро их закончить.
Система входа/выхода, высокотехнологичная пограничная система, предназначенная для автоматизации регистрации посетителей в Европе-еще один проект, возглавляемый Eu-Lisa-Also, имеет проблемы. Система должна была начать в 2022 году, но она неоднократно откладывалась из -за технических проблем, в значительной степени связанных с французской ИТ -компанией Atos, как сообщает Bloomberg и Lighthouse Reports в декабре. Два месяца назад Европейская комиссия заявила, что государства -члены будут включать некоторые части системы входа/выхода (EES) в октябре.
За последнее десятилетие Европейский союз пытался реализовать так называемые интеллектуальные границы, чтобы отслеживать растущее число людей, путешествующих в блоке. Создание децентрализованного агентства, такого как Eu-Lisa в 2012 году, заключалось в том, чтобы облегчить разработку этих систем, сказала Франческа Тассинари, адвокат и исследователь Университета Баски и эксперта по информационным системам ЕС. «Но, к сожалению, агентство не оказалось достаточным для управления масштабами и сложностью проекта».
Часть этого, объяснил Леонардо Катручи, старший сотрудник Центра для будущих поколений, заключается в том, что в ЕС отсутствуют люди с опытом работы в общественных закупках и управлении этими контрактами.
«Общественные закупки следует рассматривать как стратегическую функцию, но в настоящее время это процесс соответствия», — сказал он. «Владельцы процесса необходимо быть специалистами».