System kontroli europejskich granic jest dziurawy. Przerażające zaniedbania

Poufne raporty audytowe uzyskane przez Bloomberg News i redakcję Lighthouse Reports ujawniają szokujące zaniedbania w zabezpieczeniu systemu, który codziennie przetwarza dane milionów osób.

Europejski Inspektor Ochrony Danych (EDPS) - działający jako audytor UE - sklasyfikował w raporcie z ubiegłego roku tysiące wykrytych problemów cyberbezpieczeństwa jako o wysokiej krytyczności. System SIS II, który funkcjonuje od 2013 r., zawiera obecnie ponad 93 mln rekordów, z czego około 1,7 mln dotyczy osób. Wśród tych osób aż 195 tys. zostało oznaczonych jako potencjalne zagrożenie dla bezpieczeństwa narodowego.

Audyt wykazał nadmierną liczbę kont z dostępem administratora do bazy danych, co stworzyło możliwą do uniknięcia słabość, która może być wykorzystana przez wewnętrznych atakujących. To klasyczny przykład tego, co specjaliści od cyberbezpieczeństwa nazywają zbyt szerokim dostępem uprzywilejowanym - problem, który może doprowadzić do kompletnego przejęcia systemu.

To też jest bardzo ważne:

Prawnik z organizacji nadzorczej Statewatch, Romain Lanneau, ostrzega że potencjalne naruszenie bezpieczeństwa byłoby katastrofalne, potencjalnie wpływając na miliony ludzi. System przechowuje nie tylko podstawowe dane osobowe, ale także zdjęcia podejrzanych, dane biometryczne takie jak odciski palców pobrane z miejsc przestępstw, a od marca 2023 r. również decyzje o powrocie - prawne orzeczenia oznaczające osobę do deportacji.

Szczególnie dramatyczne jest to, że osoby zazwyczaj nie wiedzą o tym, że ich informacje znajdują się w SIS II, dopóki organy ścigania nie podejmą działań. Wyciek danych mógłby potencjalnie ułatwić poszukiwanym osobom unikanie wykrycia.

Odpowiedzialny za rozwój i utrzymanie systemu francuski kontraktor Sopra Steria wykazał się wręcz skandaliczną powolnością w usuwaniu wykrytych luk. Według dokumentów firma potrzebowała od ośmiu miesięcy do ponad pięciu i pół roku na naprawienie problemów. To szczególnie bulwersujące, gdy weźmiemy pod uwagę, że zgodnie z warunkami kontraktu z EU-Lisa Sopra Steria była zobowiązana do naprawy krytycznych i wysokich luk w oprogramowaniu w ciągu dwóch miesięcy od wydania łatki.

Ironią losu jest to, że Sopra Steria równocześnie reklamuje swoje usługi testów penetracyjnych chwaląc się, że używa tych samych narzędzi i technik co złośliwy atakujący. Najwyraźniej teoria nie zawsze przekłada się na praktykę we własnych projektach.

Agencja EU-Lisa, nadzorująca duże projekty IT takie jak SIS II, również otrzymała ostrą krytykę. Nie poinformowała swojej rady zarządzającej o lukach bezpieczeństwa po ich wykryciu. Audytorzy opisali agencję UE jako zmagającą się z organizacyjnymi i technicznymi lukami bezpieczeństwa i zalecono jej stworzenie planu działania z jasną strategią radzenia sobie z lukami.

Problem pogłębia nadmierne poleganie EU-Lisa na firmach konsultingowych zamiast budowania zdolności technologicznych we własnym zakresi. To efekt presji na szybkie dostarczanie projektów, do szybkiego ukończenia których agencja nie miała personelu.

System SIS II, który obecnie działa w izolowanej sieci, ma zostać zintegrowany z systemem wjazdów/wyjazdów UE (EES), który będzie automatyzował rejestrację setek milionów rocznych odwiedzających blok. EES będzie połączony z Internetem, co może ułatwić hakerom dostęp do wysoce wrażliwej bazy danych SIS II.

System EES, który miał zostać uruchomiony w 2022 r., był wielokrotnie opóźniany z powodu problemów technicznych przypisywanych głównie francuskiej firmie IT Atos. Komisja Europejska stwierdziła dwa miesiące temu, że państwa członkowskie włączą niektóre części EES w październiku.

 Już w 2022 r. posłanka Cornelia Ernst alarmowała o szeregu incydentów bezpieczeństwa związanych z SIS II, w tym o hakerach, którzy pobrali dane przez duńskie biuro centralne, oraz o nielegalnym tworzeniu kopii przez państwa członkowskie. Wielka Brytania, jeszcze przed opuszczeniem UE, była znana z nielegalnego kopiowania danych i przechowywania ich na lotniskach i w portach w niebezpiecznych warunkach. Problemy z SIS II rzucają cień na ambitne plany UE dotyczące inteligentnych granic.

Chociaż nie ma dowodów na to, że jakiekolwiek dane z SIS II zostały skradzione, sama możliwość takiego naruszenia w systemie tak krytycznym dla bezpieczeństwa Europy jest przerażająca. W czasach, gdy cyberataki stają się coraz bardziej wyrafinowane, a państwa-agresorzy nie wahają się atakować infrastruktury krytycznej, takie luki są po prostu nieakceptowalne.

Pozostaje mieć nadzieję, że ta afera będzie sygnałem ostrzegawczym dla wszystkich zaangażowanych stron. Bezpieczeństwo granic to nie miejsce na eksperymenty ani oszczędności na jakości. W przeciwnym razie następny nagłówek może być znacznie bardziej przerażający.