System, na którym w dużej mierze opiera się bezpieczeństwo granic Unii Europejskiej, może być poważnie zagrożony cyberatakami. Mowa o Schengen Information System II (SIS II), czyli bazie danych i oprogramowaniu używanym przez większość państw członkowskich UE do walki z nielegalną migracją oraz ścigania osób podejrzanych o przestępstwa.
Jak ujawnia wspólny raport Bloomberga i organizacji śledczej Lighthouse Reports, SIS II jest obarczony „tysiącami” problemów związanych z cyberbezpieczeństwem. Skala tych luk jest tak duża, że jeden z europejskich audytorów określił je w raporcie z zeszłego roku jako „wysokiego ryzyka”.
Jak ujawnia wspólny raport Bloomberga i organizacji śledczej Lighthouse Reports, SIS II jest obarczony „tysiącami” problemów związanych z cyberbezpieczeństwem.
Choć w raporcie zaznaczono, że nie ma dowodów na kradzież danych, problemem jest zbyt szeroki dostęp do systemu. Ogromna liczba kont z uprawnieniami do korzystania z SIS II zwiększa ryzyko wycieku lub nadużyć. "Atak na ten system byłby katastrofalny, potencjalnie dotykając milionów ludzi" - ostrzega Romain Lanneau, prawnik i badacz z unijnego think tanku Statewatch, cytowany przez Bloomberg.
Miliony danych wrażliwych
SIS II, działający od 2013 roku, przechowuje obecnie około 93 milionów rekordów. Choć większość dotyczy obiektów (na przykład skradzionych pojazdów) w bazie znajduje się też ok. 1,7 miliona wpisów o osobach. Co istotne, wiele osób nawet nie wie, że ich dane znajdują się w systemie, dopóki nie zetkną się z organami ścigania. W przypadku wycieku takich danych osoby poszukiwane mogłyby łatwiej unikać wymiaru sprawiedliwości.
SIS II początkowo wprowadził innowacje takie jak zdjęcia i dane linii papilarnych przy alertach. W 2023 roku zyskał kolejne ulepszenia, m.in. możliwość odnotowania informacji o deportacji osób z danego kraju.
Wkrótce jeszcze większe ryzyko
Obecnie SIS II działa w sieci izolowanej, ale już wkrótce ma zostać zintegrowany z systemem Entry/Exit (EES). EES ma wymagać rejestrowania danych biometrycznych wszystkich podróżnych wjeżdżających do strefy Schengen. Ponieważ EES będzie podłączony do internetu, potencjalny atak na dane SIS II stanie się znacznie łatwiejszy.
Sopra Steria pod lupą
Za rozwój i utrzymanie SIS II odpowiada francuski wykonawca Sopra Steria. Według raportu, firma potrzebowała od ośmiu miesięcy do nawet ponad pięciu lat na naprawę zgłoszonych luk w zabezpieczeniach, mimo że kontrakt zobowiązywał ją do usunięcia najpoważniejszych usterek w ciągu dwóch miesięcy.
Sopra Steria w oświadczeniu dla Bloomberga nie odniosła się szczegółowo do zarzutów, ograniczając się do stwierdzenia, że działała zgodnie z unijnymi procedurami: „Jako kluczowy element infrastruktury bezpieczeństwa UE, SIS II podlega rygorystycznym ramom prawnym, regulacyjnym i kontraktowym. Rola Sopra Steria była realizowana zgodnie z tymi ramami”.
Brak nadzoru ze strony EU-Lisa?
Śledztwo ujawniło też wątpliwości co do sposobu, w jaki EU-Lisa (unijna agencja odpowiedzialna za duże systemy IT) nadzoruje projekt. Zamiast budować własne rozwiązania technologiczne, EU-Lisa często zleca zadania zewnętrznym firmom konsultingowym. Audyt zarzucił agencji, że nie informowała kierownictwa o wykrytych zagrożeniach bezpieczeństwa. Agencja broni się, zapewniając, że wszystkie zarządzane przez nią systemy poddawane są stałej analizie ryzyka, regularnym skanom podatności oraz testom bezpieczeństwa.
Specjaliści podkreślają, że ujawnione nieprawidłowości w SIS II mogą podważać zaufanie do bezpieczeństwa danych w jednym z najważniejszych systemów granicznych Europy. Jeśli zagrożenia nie zostaną szybko usunięte, integracja SIS II z EES może oznaczać poważne konsekwencje, nie tylko technologiczne, ale i polityczne.
Pokaż / Dodaj komentarze do: System do ochrony granic UE dziurawy jak ser szwajcarski. Jak to naprawić?