Politica 89.8
Σύστημα Σένγκεν: Είναι ευάλωτο σε κυβερνοεπιθέσεις, μπορεί εύκολα να προσβληθεί από χάκερ
To σύστημα ανταλλαγής πληροφοριών Σένγκεν που χρησιμοποιείται από τις συνοριακές δυνάμεις της ΕΕ για την επισήμανση παράνομων μεταναστών και υπόπτων εγκληματιών σε πραγματικό χρόνο στη ζώνη είναι γεμάτο με ευπάθειες λογισμικού και ασφάλειας. Αυτό επισημαίνουν σε ρεπορτάζ το πρακτορείο Bloomberg και ο ερευνητικός ιστότοπος Lighthouse Reports, επικαλούμενα email και εμπιστευτικές εκθέσεις ελέγχου που έχουν στη διάθεσή τους.
Το 2024, ελεγκτής της ΕΕ διαπίστωσε ότι το Σύστημα Πληροφοριών Σένγκεν II (SIS II) είχε χιλιάδες προβλήματα κυβερνοασφάλειας, τα οποία χαρακτήρισε «υψηλής» σοβαρότητας. Διαπίστωνε επίσης ότι «υπερβολικός αριθμός» λογαριασμών είχε πρόσβαση σε επίπεδο διαχειριστή στη βάση δεδομένων. Αυτό, επισήμαινε, δημιουργούσε «μια αποτρέψιμη αδυναμία, την οποία θα μπορούσαν νε εκμεταλλευθούν εσωτερικοί εισβολείς».
Ενώ δεν υπάρχουν, για την ώρα, στοιχεία ότι κάποιοι απέκτησαν πρόσβαση ή έκλεψαν δεδομένα του SIS II, σύμφωνα με τον Ρομέν Ναλό, νομικό ερευνητή της εποπτικής αρχής της ΕΕ. Statewatch, μια παραβίαση «θα ήταν καταστροφική, επηρεάζοντας ενδεχομένως εκατομμύρια ανθρώπους».
Το SIS II εφαρμόστηκε πρώτη φορά το 2013. Είναι μέρος μιας πανευρωπαϊκής προσπάθειας για την ενίσχυση των εξωτερικών συνόρων του μπλοκ, χρησιμοποιώντας ψηφιακές και βιομετρικές τεχνολογίες σε μια στιγμή που οι κυβερνήσεις σε όλο τον κόσμο υιοθετούν αυστηρότερες θέσεις σχετικά με τη μετανάστευση. Το σύστημα επιτρέπει στα κράτη μέλη να εκδίδουν και να βλέπουν ειδοποιήσεις σε πραγματικό χρόνο όταν άτομα που έχουν επισημανθεί με ετικέτα επιχειρούν να διασχίσουν τα σύνορα της ΕΕ. Η προειδοποίηση αφορά υπόπτους για τρομοκρατία και άτομα για τα οποία εκκρεμούν εντάλματα σύλληψης.
Μια βάση δεδομένων στο διαδίκτυο
Το SIS II λειτουργεί επί του παρόντος σε απομονωμένο δίκτυο. Ωστόσο θα ενσωματωθεί στο Σύστημα Εισόδου/Εξόδου της ΕΕ (EES), το οποίο θα αυτοματοποιήσει την καταγραφή εκατοντάδων εκατομμυρίων ετήσιων επισκεπτών της Ένωσης. Το EES, ακολούθως, θα συνδεθεί με το διαδίκτυο, γεγονός που θα μπορούσε να διευκολύνει τους χάκερ να έχουν πρόσβαση στην εξαιρετικά ευαίσθητη βάση δεδομένων του SIS II, προειδοποιεί η έκθεση.
Οι ειδοποιήσεις που εκδίδονται από το SIS II μπορούν να περιέχουν φωτογραφίες υπόπτων και βιομετρικά δεδομένα, όπως δακτυλικά αποτυπώματα που λαμβάνονται από τόπους εγκλήματος. Από τον Μάρτιο του 2023, οι ειδοποιήσεις έχουν επίσης ενσωματώσει τις λεγόμενες «αποφάσεις επιστροφής» – νομικές αποφάσεις που επισημαίνουν ένα άτομο για απέλαση εντός της ζώνης Σένγκεν. Η συντριπτική πλειονότητα των εκτιμώμενων 93 εκατομμυρίων αρχείων του συστήματος αφορά αντικείμενα (κλεμμένα οχήματα και έγγραφα ταυτότητας). Ωστόσο, περίπου 1,7 εκατομμύρια αρχεία συνδέονται με άτομα. Από αυτά, 195.000 άνθρωποι έχουν επισημανθεί ως πιθανές απειλές για την εθνική ασφάλεια.
Δεδομένου ότι τα άτομα γενικά δεν γνωρίζουν ότι οι πληροφορίες τους βρίσκονται στο SIS II μέχρι να ενεργήσουν οι αρχές επιβολής του νόμου, μια διαρροή θα μπορούσε ενδεχομένως να διευκολύνει την αποφυγή της ανίχνευσης από ένα καταζητούμενο άτομο.
Πέντε χρόνια για να διορθωθούν προβλήματα
Ο έλεγχος διαπίστωσε ότι το SIS II ήταν ευάλωτο σε χάκερ που κατακλύζουν το σύστημα, καθώς και σε επιθέσεις που θα μπορούσαν να επιτρέψουν σε τρίτους να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση. Όταν η EU-Lisa, η υπηρεσία που επιβλέπει έργα πληροφορικής μεγάλης κλίμακας όπως το SIS II, ανέφερε αυτά τα προβλήματα στη Sopra Steria, τον ανάδοχο που είναι υπεύθυνος για την ανάπτυξη και τη συντήρηση του συστήματος, η εταιρεία χρειάστηκε από οκτώ μήνες έως περισσότερα από πεντέμισι χρόνια για να διορθώσει τα προβλήματα.
Ωστόσο, σύμφωνα με τους όρους της σύμβασής της, η Sopra Steria ήταν υποχρεωμένη να διορθώσει «κρίσιμες και υψηλές» ευπάθειες λογισμικού εντός δύο μηνών από την κυκλοφορία μιας ενημέρωσης κώδικα.
Εκπρόσωπος της Sopra Steria αρνήθηκε να απαντήσει σε πολλά ερωτήματα σχετικά με ευπάθειες ασφαλείας στο σύστημα Σένγκεν. Ωστόσο, δήλωσε ότι η εταιρεία ακολούθησε τα πρωτόκολλα της ΕΕ. «Ως βασικό στοιχείο της υποδομής ασφαλείας της ΕΕ, το SIS II διέπεται από αυστηρά νομικά, κανονιστικά και συμβατικά πλαίσια», έγραψε ο εκπρόσωπος. «Ο ρόλος της Sopra Steria εκτελέστηκε σύμφωνα με αυτά τα πλαίσια».
Έβλεπαν προβλήματα από το 2022
Τα ηλεκτρονικά μηνύματα που είδαν το Bloomberg και το Lighthouse Reports έδειξαν ότι οι υπάλληλοι της EU-Lisa επισήμαναν ζητήματα κυβερνοασφάλειας στην Sopra Steria επανειλημμένα το 2022. Η ανάδοχος εταιρεία υποστήριξε ότι η επιδιόρθωση ορισμένων από τα τρωτά σημεία θα κόστιζε επιπλέον 19.000 ευρώ. Η EU-Lisa δήλωσε ότι οι εργασίες θα πρέπει να καλύπτονται από την υπάρχουσα σύμβαση, η οποία περιελάμβανε αμοιβή μεταξύ 519.000 και 619.000 ευρώ ανά μήνα για «διορθωτική συντήρηση», σύμφωνα με έγγραφο που περιγράφει λεπτομερώς τις αμοιβές της Sopra Steria για το έργο.
Πρόσβαση σε άτομα χωρίς άδεια
Ο έλεγχος διαπίστωσε επίσης ότι 69 μέλη της ομάδας που δεν απασχολούνταν άμεσα από την ΕΕ είχαν πρόσβαση στο σύστημα της Σένγκεν, παρά το γεγονός ότι δεν είχαν την απαραίτητη διαπίστευση ασφαλείας. Δεν είναι σαφές εάν ήταν υπάλληλοι της Sopra Steria ή άλλοι εργολάβοι.
Ο έλεγχος απέδωσε ορισμένα κενά στην EU-Lisa, η οποία δεν ενημέρωσε το διοικητικό της συμβούλιο για τα τρωτά σημεία ασφαλείας μετά τον εντοπισμό τους. Οι ελεγκτές περιέγραψαν τον οργανισμό της ΕΕ ως οργανισμό που αντιμετώπιζε «οργανωτικά και τεχνικά κενά ασφαλείας» και συνέστησαν να καταρτίσει ένα σχέδιο δράσης με «σαφή στρατηγική» για την αντιμετώπιση των τρωτών σημείων.
Εκτός από το SIS II, ο οργανισμός διατηρεί μια βάση δεδομένων με τα δακτυλικά αποτυπώματα των αιτούντων άσυλο, που ονομάζεται Eurodac, και ένα σύστημα απαλλαγής από την υποχρέωση θεώρησης παρόμοιο με αυτό του ESTA στις ΗΠΑ.
Εκπρόσωπος της EU-Lisa δήλωσε ότι ο οργανισμός δεν μπορούσε να σχολιάσει εμπιστευτικά έγγραφα, αλλά ότι «όλα τα συστήματα που βρίσκονται υπό την εποπτεία του οργανισμού υποβάλλονται σε συνεχείς αξιολογήσεις κινδύνου, τακτικούς ελέγχους ευπάθειας και δοκιμές ασφαλείας. «Οποιοιδήποτε κίνδυνοι εντοπίζονται αξιολογούνται, ιεραρχούνται και αντιμετωπίζονται με βάση την κρισιμότητά τους, με καθορισμένα και στενά παρακολουθούμενα κατάλληλα μέτρα μετριασμού», πρόσθεσε ο εκπρόσωπος.
Οι συνέπειες του… outsourcing
Ορισμένα από τα προβλήματα με το σύστημα αυτό της Σένγκεν προέκυψαν από την τάση της EU-Lisa να βασίζεται σε μεγάλο βαθμό σε συμβουλευτικές εταιρείες αντί να αναπτύσσει τεχνολογικές δυνατότητες εσωτερικά. Αυτό επισήμαναν τρία άτομα που γνωρίζουν το θέμα, τα οποία ζήτησαν να μην κατονομαστούν, καθώς δεν είχαν εξουσιοδότηση να μιλήσουν δημόσια. Αυτό οφειλόταν εν μέρει στην πίεση για την υλοποίηση έργων που ο οργανισμός δεν διέθετε το προσωπικό για να ολοκληρώσει γρήγορα.
Το EES, το υψηλής τεχνολογίας σύστημα ελέγχου των συνόρων που προοριζόταν για την αυτοματοποίηση της καταγραφής επισκεπτών στην Ευρώπη αντιμετωπίζει επίσης δυσκολίες. Το σύστημα επρόκειτο να ξεκινήσει το 2022, αλλά έχει καθυστερήσει πολλές φορές λόγω τεχνικών προβλημάτων που αποδίδονται σε μεγάλο βαθμό στη γαλλική εταιρεία πληροφορικής Atos, όπως αναφέρθηκαν τον Δεκέμβριο από το Bloomberg και το Lighthouse Reports. Η Ευρωπαϊκή Επιτροπή δήλωσε πριν από δύο μήνες ότι τα κράτη μέλη θα ενεργοποιήσουν ορισμένα μέρη του EES τον Οκτώβριο.
Τα όχι και τόσο «έξυπνα σύνορα»
Την τελευταία δεκαετία, η Ευρωπαϊκή Ένωση προσπαθεί να εφαρμόσει τα λεγόμενα έξυπνα σύνορα για να παρακολουθεί τον αυξανόμενο αριθμό ατόμων που ταξιδεύουν στο μπλοκ. Σύμφωνα με την Φρανσέσκα Τασινάρι, δικηγόρο και ερευνήτρια στο Πανεπιστήμιο της Χώρας των Βάσκων, η δημιουργία ενός αποκεντρωμένου οργανισμού όπως η EU-Lisa το 2012 θα έπρεπε να είχε διευκολύνει την ανάπτυξη αυτών των συστημάτων. Αλλά «ο οργανισμός δεν έχει αποδειχθεί επαρκής για να διαχειριστεί την κλίμακα και την πολυπλοκότητα του έργου».
Όπως εξηγεί ο Λεονάρντο Κουατρούτσι, ανώτερος συνεργάτης στο Κέντρο για τις Μελλοντικές Γενιές, η ΕΕ δεν διαθέτει άτομα με εμπειρία στην προμήθεια και τη διαχείριση αυτών των συμβάσεων.
«Οι προμήθειες θα πρέπει να αντιμετωπίζονται ως στρατηγική λειτουργία, αλλά προς το παρόν είναι μια διαδικασία συμμόρφωσης. Οι υπεύθυνοι της διαδικασίας πρέπει να είναι ειδικοί».
