1 USD
1.65608 BGN
Петрол
67.16 $/барел
Bitcoin
$106,748.0

Европейската система за гранична сигурност Шенген е уязвима към хакерски атаки

Евентуален пробив в системата би бил „катастрофален и би могъл да засегне милиони хора“

Системата за обмен на информация, използвана от граничните сили на Европейския съюз за сигнализиране на нелегални имигранти и заподозрени в престъпления лица в реално време, е изпълнена с уязвимости в софтуера и сигурността, сочат имейли и поверителни одиторски доклади, получени от Bloomberg News и от разследващата медия Lighthouse Reports, цитирани от The Economic Times.

Шенгенската информационна система II (SIS II) е имала хиляди проблеми с киберсигурността, които Европейският надзорен орган по защита на данните (EDPS), одиторът на ЕС, е определил като „много“ сериозни в доклад от 2024 г. Той е установил също, че „твърде голям брой“ акаунти са имали достъп до базата данни на ниво администратор и това е създало „предотвратима слабост, която е можело да бъде използвана от вътрешни извършители на атаки“.

Макар да няма доказателства, че данни от SIS II са били достъпни или откраднати, евентуален пробив би бил „катастрофален и би могъл да засегне милиони хора“, коментира Ромен Лано, правен анализатор в регулатора на ЕС Statewatch.

Изберете магазин

Разгледай онлайн нашите промоционални брошури

Цените са валидни за периода на акцията или до изчерпване на наличностите. Всички цени са в лева с включен ДДС.
Advertisement

SIS II, която беше задействана за първи път през 2013 г., е част от усилията на ЕС за укрепване на външните граници на блока чрез използване на цифрови и биометрични технологии в момент, в който правителствата по целия свят заемат по-твърда позиция относно миграцията.

Системата позволява на държавите членки да издават и преглеждат сигнали в реално време, когато отбелязани лица, група, която включва заподозрени в тероризъм и хора, за които са издадени заповеди за арест, се опитват да преминат граница на ЕС.

SIS II, която сега работи в изолирана мрежа, в крайна сметка ще бъде интегрирана в системата за влизане/излизане на ЕС (EES), която ще автоматизира регистрацията на стотиците милиони посетители на блока годишно. EES ще бъде свързана с интернет, което може да улесни хакерите да получат достъп до  високочувствителната база данни SIS II, предупреждават авторите на доклада.

Предупрежденията, издадени от SIS II, може да съдържат снимки на заподозрени и биометрични данни като пръстови отпечатъци, взети от местопрестъпления. От март 2023 г. предупрежденията включват и т. нар. „решения за връщане“ – съдебни решения, които отбелязват дадено лице за депортиране. Докато по-голямата част от приблизително 93 млн. досиета в системата се отнасят до обекти като откраднати превозни средства и документи за самоличност, около 1,7 млн. са свързани с хора.

От тях 195 хил. са отбелязани като възможна заплаха за националната сигурност. Тъй като лицата обикновено не знаят, че информацията за тях се намира в SIS II, докато правоприлагащите органи не предприемат действия, изтичане на информация може да улесни издирваните лица да избегнат залавяне.

Одитът е установил, че SIS II е уязвима от хакери, които могат да претоварят системата, както и от атаки, които биха позволили на външни лица да получат неразрешен достъп, сочат документите. Когато EU-Lisa, агенция, наблюдаваща мащабни IT проекти като SIS II, е докладвала тези проблеми на Sopra Steria, базиран в Париж изпълнител, който отговаря за разработването и поддръжката на системата, той е имал нужда от осем месеца до над пет години и половина, за да отстрани проблемите, според доклада и имейли между служители на ЕС и на Sopra Steria.

Съгласно условията на договора с EU-Lisa, Sopra Steria е била длъжна да отстрани „критичните и високи“ уязвимости на софтуера в рамките на два месеца от подаването на сигнала, сочат имейли и два одиторски доклада.

Говорител на Sopra Steria е отказал да отговори на подробен списък с твърдения за уязвимости в сигурността на SIS II, но е посочил в изявление, че компанията е спазила протоколите на ЕС.

„Като ключов компонент от инфраструктурата за сигурност на ЕС SIS II се управлява от строги правни, регулаторни и договорни рамки. Ролята на Sopra Steria беше изпълнена в съответствие с тези рамки“, отбелязва говорителят.

Имейли, видени от Bloomberg и Lighthouse Reports, показват, че служители на EU-Lisa са сигнализирали за проблеми с киберсигурността на Sopra Steria няколко пъти през 2022 г. Sopra Steria твърди в един от имейлите, че отстраняването на някои от уязвимостите ще струва допълнителни 19 хил. евро. В отговор EU-Lisa заявява, че дейността трябва да бъде покрита от съществуващия договор, който включва такса между 519 хил. и 619 хил. евро на месец за „коригираща поддръжка“, според документ, в който таксите на Sopra Steria за проекта са описани подробно.

В одита на EDPS се отбелязва също, че 69 членове на екипа, които не са наети директно от ЕС, са имали достъп до SIS II, въпреки че не са разполагали с необходимото разрешение за достъп до класифицирана информация. Не е ясно дали те са били служители на Sopra Steria или на други изпълнители.

Одитът хвърля част от вината върху EU-Lisa, която не е информирала зa уязвимости в сигурността. В документите одиторите описват агенцията на ЕС като бореща се с „организационни и технически пропуски в сигурността“ и препоръчват тя да изготви план за действие с „ясна стратегия“ за справяне с уязвимостите. В допълнение към SIS II агенцията поддържа база данни с пръстовите отпечатъци на хора, търсещи убежище, наречена Eurodac, и система за премахване на визи, подобна на ESTA в САЩ.

Говорител на EU-Lisa заяви, че агенцията не може да коментира поверителни документи, но допълни, че „всички системи под управлението на агенцията преминават през непрекъснати оценки на риска, редовни прегледи за уязвимости и тестове за сигурност“.

„Всички установени рискове се оценяват, приоритизират и адресират въз основа на тяхното значение, като се определят и следят внимателно уместни мерки за смекчаване на рисковете“, допълни говорителят.

Според трима запознати с въпроса източници, пожелали анонимност, част от проблемите на EU-Lisa да разчита силно на консултантски компании вместо да изгражда технологичен капацитет в рамките на самата агенция. Това се дължи отчасти на натиска да се изпълнят проекти, за които агенцията не разполага със служители, за да ги завърши бързо.

Системата за влизане/излизане (EES) - високотехнологичната гранична система, предназначена да автоматизира регистрацията на посетители в Европа - и още един проект, ръководен от EU-Lisa, също среща трудности. Системата трябваше да заработи през 2022 г., но беше отлагана многократно поради технически проблеми, които до голяма степен се приписват на френската IT компания Atos, съобщиха Bloomberg и Lighthouse Reports през декември. Преди два месеца Европейската комисия съобщи, че страните членки ще пуснат в експлоатация някои части на EES през октомври.

През последното десетилетие Европейският съюз се опитва да въведе т. нар. „умни граници“, за да следи нарастващия брой хора, които пътуват в блока. Според Франческа Тасинари, адвокат и изследовател в университета на Страната на баските и експерт по IT системите на ЕС, създаването на децентрализирана агенция като EU-Lisa през 2012 г. е трябвало да улесни разработването на тези системи.

„Но за съжаление агенцията не се оказа достатъчна, за да се справи с мащаба и сложността на проекта“, допълва тя.

Част от причината за това, обяснява Леонардо Куатручи, старши научен сътрудник в Центъра за бъдещите поколения, е, че в ЕС липсват хора с опит в сключването и управлението на такива договори.

„Сключването на договори трябва да се разглежда като стратегическа функция, но в момента то е само процес на спазване на изискванията. Необходимо е ръководителите на процеса да бъдат специалисти“, отбелязва той. 

Последвайте businessnovinite.bg в INSTAGRAM 

Последвайте businessnovinite.bg във FACEBOOK

Последвайте businessnovinite.bg в LINKEDIN

Съдържанието е информативно и не представлява консултация, препоръка или съвет за вземане на инвестиционно решение.

Последни публикации

Бизнес Видео Подкаст

Виж всички предложения от брошурата тук