
Три за щастие: Мъск обеща да създаде нова партия в САЩ
Ще разбие ли милиардерът двупартийната система на Америка?
Евентуален пробив в системата би бил „катастрофален и би могъл да засегне милиони хора“
Системата за обмен на информация, използвана от граничните сили на Европейския съюз за сигнализиране на нелегални имигранти и заподозрени в престъпления лица в реално време, е изпълнена с уязвимости в софтуера и сигурността, сочат имейли и поверителни одиторски доклади, получени от Bloomberg News и от разследващата медия Lighthouse Reports, цитирани от The Economic Times.
Шенгенската информационна система II (SIS II) е имала хиляди проблеми с киберсигурността, които Европейският надзорен орган по защита на данните (EDPS), одиторът на ЕС, е определил като „много“ сериозни в доклад от 2024 г. Той е установил също, че „твърде голям брой“ акаунти са имали достъп до базата данни на ниво администратор и това е създало „предотвратима слабост, която е можело да бъде използвана от вътрешни извършители на атаки“.
Макар да няма доказателства, че данни от SIS II са били достъпни или откраднати, евентуален пробив би бил „катастрофален и би могъл да засегне милиони хора“, коментира Ромен Лано, правен анализатор в регулатора на ЕС Statewatch.
SIS II, която беше задействана за първи път през 2013 г., е част от усилията на ЕС за укрепване на външните граници на блока чрез използване на цифрови и биометрични технологии в момент, в който правителствата по целия свят заемат по-твърда позиция относно миграцията.
Системата позволява на държавите членки да издават и преглеждат сигнали в реално време, когато отбелязани лица, група, която включва заподозрени в тероризъм и хора, за които са издадени заповеди за арест, се опитват да преминат граница на ЕС.
SIS II, която сега работи в изолирана мрежа, в крайна сметка ще бъде интегрирана в системата за влизане/излизане на ЕС (EES), която ще автоматизира регистрацията на стотиците милиони посетители на блока годишно. EES ще бъде свързана с интернет, което може да улесни хакерите да получат достъп до високочувствителната база данни SIS II, предупреждават авторите на доклада.
Предупрежденията, издадени от SIS II, може да съдържат снимки на заподозрени и биометрични данни като пръстови отпечатъци, взети от местопрестъпления. От март 2023 г. предупрежденията включват и т. нар. „решения за връщане“ – съдебни решения, които отбелязват дадено лице за депортиране. Докато по-голямата част от приблизително 93 млн. досиета в системата се отнасят до обекти като откраднати превозни средства и документи за самоличност, около 1,7 млн. са свързани с хора.
От тях 195 хил. са отбелязани като възможна заплаха за националната сигурност. Тъй като лицата обикновено не знаят, че информацията за тях се намира в SIS II, докато правоприлагащите органи не предприемат действия, изтичане на информация може да улесни издирваните лица да избегнат залавяне.
Одитът е установил, че SIS II е уязвима от хакери, които могат да претоварят системата, както и от атаки, които биха позволили на външни лица да получат неразрешен достъп, сочат документите. Когато EU-Lisa, агенция, наблюдаваща мащабни IT проекти като SIS II, е докладвала тези проблеми на Sopra Steria, базиран в Париж изпълнител, който отговаря за разработването и поддръжката на системата, той е имал нужда от осем месеца до над пет години и половина, за да отстрани проблемите, според доклада и имейли между служители на ЕС и на Sopra Steria.
Съгласно условията на договора с EU-Lisa, Sopra Steria е била длъжна да отстрани „критичните и високи“ уязвимости на софтуера в рамките на два месеца от подаването на сигнала, сочат имейли и два одиторски доклада.
Говорител на Sopra Steria е отказал да отговори на подробен списък с твърдения за уязвимости в сигурността на SIS II, но е посочил в изявление, че компанията е спазила протоколите на ЕС.
„Като ключов компонент от инфраструктурата за сигурност на ЕС SIS II се управлява от строги правни, регулаторни и договорни рамки. Ролята на Sopra Steria беше изпълнена в съответствие с тези рамки“, отбелязва говорителят.
Имейли, видени от Bloomberg и Lighthouse Reports, показват, че служители на EU-Lisa са сигнализирали за проблеми с киберсигурността на Sopra Steria няколко пъти през 2022 г. Sopra Steria твърди в един от имейлите, че отстраняването на някои от уязвимостите ще струва допълнителни 19 хил. евро. В отговор EU-Lisa заявява, че дейността трябва да бъде покрита от съществуващия договор, който включва такса между 519 хил. и 619 хил. евро на месец за „коригираща поддръжка“, според документ, в който таксите на Sopra Steria за проекта са описани подробно.
В одита на EDPS се отбелязва също, че 69 членове на екипа, които не са наети директно от ЕС, са имали достъп до SIS II, въпреки че не са разполагали с необходимото разрешение за достъп до класифицирана информация. Не е ясно дали те са били служители на Sopra Steria или на други изпълнители.
Одитът хвърля част от вината върху EU-Lisa, която не е информирала зa уязвимости в сигурността. В документите одиторите описват агенцията на ЕС като бореща се с „организационни и технически пропуски в сигурността“ и препоръчват тя да изготви план за действие с „ясна стратегия“ за справяне с уязвимостите. В допълнение към SIS II агенцията поддържа база данни с пръстовите отпечатъци на хора, търсещи убежище, наречена Eurodac, и система за премахване на визи, подобна на ESTA в САЩ.
Говорител на EU-Lisa заяви, че агенцията не може да коментира поверителни документи, но допълни, че „всички системи под управлението на агенцията преминават през непрекъснати оценки на риска, редовни прегледи за уязвимости и тестове за сигурност“.
„Всички установени рискове се оценяват, приоритизират и адресират въз основа на тяхното значение, като се определят и следят внимателно уместни мерки за смекчаване на рисковете“, допълни говорителят.
Според трима запознати с въпроса източници, пожелали анонимност, част от проблемите на EU-Lisa да разчита силно на консултантски компании вместо да изгражда технологичен капацитет в рамките на самата агенция. Това се дължи отчасти на натиска да се изпълнят проекти, за които агенцията не разполага със служители, за да ги завърши бързо.
Системата за влизане/излизане (EES) - високотехнологичната гранична система, предназначена да автоматизира регистрацията на посетители в Европа - и още един проект, ръководен от EU-Lisa, също среща трудности. Системата трябваше да заработи през 2022 г., но беше отлагана многократно поради технически проблеми, които до голяма степен се приписват на френската IT компания Atos, съобщиха Bloomberg и Lighthouse Reports през декември. Преди два месеца Европейската комисия съобщи, че страните членки ще пуснат в експлоатация някои части на EES през октомври.
През последното десетилетие Европейският съюз се опитва да въведе т. нар. „умни граници“, за да следи нарастващия брой хора, които пътуват в блока. Според Франческа Тасинари, адвокат и изследовател в университета на Страната на баските и експерт по IT системите на ЕС, създаването на децентрализирана агенция като EU-Lisa през 2012 г. е трябвало да улесни разработването на тези системи.
„Но за съжаление агенцията не се оказа достатъчна, за да се справи с мащаба и сложността на проекта“, допълва тя.
Част от причината за това, обяснява Леонардо Куатручи, старши научен сътрудник в Центъра за бъдещите поколения, е, че в ЕС липсват хора с опит в сключването и управлението на такива договори.
„Сключването на договори трябва да се разглежда като стратегическа функция, но в момента то е само процес на спазване на изискванията. Необходимо е ръководителите на процеса да бъдат специалисти“, отбелязва той.
Последвайте businessnovinite.bg в INSTAGRAM
Последвайте businessnovinite.bg във FACEBOOK
Последвайте businessnovinite.bg в LINKEDIN
Ще разбие ли милиардерът двупартийната система на Америка?
От януари 2026 г. около 6 милиона работници ще получават около 190 евро бруто повече на месец
Глобалната икономика навлиза в етап на дълбока трансформация, казва управителят на БНБ Димитър Радев