Ευρώπη: Τα τεράστια κενά στο σύστημα συνοριακής ασφάλειας

Ένα σύστημα ανταλλαγής πληροφοριών που χρησιμοποιείται από τις συνοριακές δυνάμεις της ΕΕ για την επισήμανση παράνομων μεταναστών και υπόπτων εγκληματιών σε πραγματικό χρόνο ήταν γεμάτο με ευπάθειες λογισμικού και κενά ασφάλειας, σύμφωνα με email και εμπιστευτικές εκθέσεις ελέγχου που ελήφθησαν από το Bloomberg News και το ερευνητικό πρακτορείο Lighthouse Reports.

Το Σύστημα Πληροφοριών Σένγκεν II (SIS II) είχε χιλιάδες προβλήματα σε επίπεδο κυβερνοασφάλειας που ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έκρινε «υψηλής» σοβαρότητας σε έκθεση του 2024. Διαπίστωσε επίσης ότι ένας «υπερβολικός αριθμός» λογαριασμών είχε πρόσβαση σε επίπεδο διαχειριστή στη βάση δεδομένων, δημιουργώντας «μια αποφευκτέα αδυναμία που θα μπορούσαν εισβολείς να εκμεταλλευτούν».

Ενώ δεν υπάρχουν στοιχεία ότι υπήρξε παραβίαση ή ότι κλάπηκαν δεδομένα του SIS II, μια παραβίαση «θα ήταν καταστροφική, επηρεάζοντας ενδεχομένως εκατομμύρια ανθρώπους», δήλωσε στους Financial Times o Ρομέν Λανεάου, νομικός ερευνητής στην εποπτική αρχή της ΕΕ Statewatch.

Το SIS II, το οποίο εφαρμόστηκε για πρώτη φορά το 2013, αποτελεί μέρος μιας πανευρωπαϊκής προσπάθειας για την ενίσχυση των εξωτερικών συνόρων της Ένωσης χρησιμοποιώντας ψηφιακές και βιομετρικές τεχνολογίες σε μια χρονική στιγμή που οι κυβερνήσεις σε όλο τον κόσμο υιοθετούν αυστηρότερες θέσεις σχετικά με τη μετανάστευση. Το σύστημα επιτρέπει στα κράτη μέλη να εκδίδουν και να βλέπουν ειδοποιήσεις σε πραγματικό χρόνο όταν σεσημασμένα άτομα, όπως ύποπτοι τρομοκρατίας και άτομα με εκκρεμή εντάλματα σύλληψης, επιχειρούν να διασχίσουν τα σύνορα της ΕΕ.

Τα σύνορα της ΕΕ σε κίνδυνο

Το SIS II, το οποίο λειτουργεί επί του παρόντος σε ένα απομονωμένο δίκτυο, θα ενσωματωθεί τελικά στο Σύστημα Εισόδου/Εξόδου (EES) της ΕΕ, το οποίο θα αυτοματοποιήσει την καταγραφή εκατοντάδων εκατομμυρίων ετήσιων επισκεπτών της Ένωσης. Το EES θα συνδεθεί με το διαδίκτυο, γεγονός που θα μπορούσε να διευκολύνει τους χάκερ να έχουν πρόσβαση στην εξαιρετικά ευαίσθητη βάση δεδομένων του SIS II, προειδοποιεί η έκθεση.

Οι ειδοποιήσεις που εκδίδονται από το SIS II μπορούν να περιέχουν φωτογραφίες υπόπτων και βιομετρικά δεδομένα, όπως δακτυλικά αποτυπώματα που λαμβάνονται από τόπους εγκλήματος. Από τον Μάρτιο του 2023, οι ειδοποιήσεις έχουν επίσης ενσωματώσει τις λεγόμενες «αποφάσεις επιστροφής», δηλαδή απέλασης. Ενώ η συντριπτική πλειοψηφία των περίπου 93 εκατομμυρίων αρχείων του συστήματος σχετίζεται με αντικείμενα όπως κλεμμένα οχήματα και έγγραφα ταυτότητας, περίπου 1,7 εκατομμύρια συνδέονται με άτομα.

Δεδομένου ότι τα άτομα γενικά δεν γνωρίζουν ότι οι πληροφορίες τους βρίσκονται στο SIS II μέχρι να ενεργήσουν οι αρχές επιβολής του νόμου, μια διαρροή θα μπορούσε ενδεχομένως να διευκολύνει την αποφυγή της ανίχνευσης ενός καταζητούμενου.

Ο έλεγχος διαπίστωσε ότι το SIS II ήταν ευάλωτο σε χάκερ και σε επιθέσεις που θα μπορούσαν να επιτρέψουν σε τρίτους να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση, σύμφωνα με έγγραφα. Όταν η EU-Lisa, η υπηρεσία που επιβλέπει μεγάλης κλίμακας έργα πληροφορικής όπως το SIS II, ανέφερε τα προβλήματα στην Sopra Steria, τον εργολάβο με έδρα το Παρίσι που είναι υπεύθυνος για την ανάπτυξη και τη συντήρηση του συστήματος, η εταιρεία χρειάστηκε από οκτώ μήνες έως και περισσότερα από πεντέμισι χρόνια για να διορθώσει τα διάφορα προβλήματα.

Σύμφωνα με τους όρους της σύμβασής της με την EU-Lisa, η Sopra Steria ήταν υποχρεωμένη να διορθώσει «κρίσιμες και υψηλές» ευπάθειες λογισμικού εντός δύο μηνών από την κυκλοφορία μιας ενημέρωσης κώδικα.

Εκπρόσωπος της Sopra Steria αρνήθηκε να απαντήσει σε μια λεπτομερή λίστα ισχυρισμών σχετικά με ευπάθειες ασφαλείας στο SIS II, αλλά ανέφερε σε μια ανακοίνωση ότι η εταιρεία ακολούθησε τα πρωτόκολλα της ΕΕ.

Τα ηλεκτρονικά μηνύματα που είδαν τα Bloomberg και Lighthouse Reports έδειξαν ότι οι υπάλληλοι της EU-Lisa επισήμαναν προβλήματα κυβερνοασφάλειας στην Sopra Steria επανειλημμένα το 2022.

Καθυστερήσεις και τρωτότητες

Ο έλεγχος του Ευρωπαϊκός Επόπτης Προστασίας Δεδομένων – EDPS σημείωσε επίσης ότι 69 μέλη της ομάδας που δεν απασχολούνταν απευθείας από την ΕΕ είχαν πρόσβαση στο SIS II, παρότι δεν είχαν την απαραίτητη άδεια ασφαλείας. Δεν είναι σαφές εάν ήταν υπάλληλοι της Sopra Steria ή άλλοι συμβασιούχοι.

Ο έλεγχος έδειξε κενά στην EU-Lisa, η οποία δεν ενημέρωσε το διοικητικό της συμβούλιο. Στα έγγραφα, οι ελεγκτές περιέγραψαν τον οργανισμό της ΕΕ ως οργανισμό που αντιμετώπιζε «οργανωτικά και τεχνικά κενά ασφαλείας» και συνέστησαν να καταρτίσει σχέδιο δράσης με «σαφή στρατηγική» για την αντιμετώπιση των τρωτών σημείων. Εκτός από το SIS II, ο οργανισμός διατηρεί βάση δεδομένων με δακτυλικά αποτυπώματα των αιτούντων άσυλο, που ονομάζεται Eurodac, και ένα σύστημα απαλλαγής από την υποχρέωση θεώρησης παρόμοιο με αυτό του ESTA των Ηνωμένων Πολιτειών.

Εκπρόσωπος της EU-Lisa δήλωσε ότι ο οργανισμός δεν μπορούσε να σχολιάσει εμπιστευτικά έγγραφα, αλλά ότι «όλα τα συστήματα υπό τη διαχείριση του οργανισμού υποβάλλονται σε συνεχείς αξιολογήσεις κινδύνου, τακτικές σαρώσεις τρωτότητας και δοκιμές ασφαλείας».

Ορισμένα από τα προβλήματα με το SIS II προέκυψαν από την τάση της EU-Lisa να βασίζεται σε συμβουλευτικές εταιρείες αντί να αναπτύσσει τεχνολογικές δυνατότητες εσωτερικά, σύμφωνα με τρία άτομα που μίλησαν στο Bloomberg. Αυτό οφειλόταν εν μέρει στην πίεση για την υλοποίηση έργων που ο οργανισμός δεν διέθετε το προσωπικό για να ολοκληρώσει γρήγορα.

Το Σύστημα Εισόδου/Εξόδου – EES, που προοριζόταν για την αυτοματοποίηση της καταγραφής επισκεπτών στην Ευρώπη αντιμετωπίζει επίσης δυσκολίες. Το σύστημα επρόκειτο να ξεκινήσει το 2022, αλλά έχει καθυστερήσει πολλές φορές λόγω τεχνικών προβλημάτων που αποδίδονται σε μεγάλο βαθμό στη γαλλική εταιρεία πληροφορικής Atos, όπως αναφέρθηκαν από το Bloomberg και το Lighthouse Reports τον Δεκέμβριο. Η Ευρωπαϊκή Επιτροπή δήλωσε πριν από δύο μήνες ότι τα κράτη μέλη θα ενεργοποιήσουν ορισμένα μέρη του EES τον Οκτώβριο. Την τελευταία δεκαετία, η Ευρωπαϊκή Ένωση προσπαθεί να εφαρμόσει τα λεγόμενα έξυπνα σύνορα για να παρακολουθεί τον αυξανόμενο αριθμό ανθρώπων που ταξιδεύουν στην Ένωση.