Informatikai téren sincsenek biztonságban az unió határai - súlyos hiányosságokat tártak fel

Informatikai téren sincsenek biztonságban az Európai Unió határai. A Bloomberg News és a Lighthouse Reports oknyomozó hírportál által megszerzett e-mailek és bizalmas dokumentumok alapján az uniós határőrizeti szervek az illegális bevándorlók és a feltételezett bűnözők valós idejű megjelölésére használt információmegosztó rendszere tele van szoftveres és biztonsági hiányosságokkal.

A vizsgálatok alapján a Schengeni Információs Rendszer II. több ezer kiberbiztonsági problémát tartalmazott, amelyeket egy uniós ellenőr egy 2024-es jelentésében magas súlyosságúnak minősített. Feltárta, hogy túl sok fióknak volt rendszergazdai szintű hozzáférése az adatbázishoz, ami elkerülhető sérülékenységet okozott, amit belső támadók kihasználhattak.

„Habár nincs bizonyíték arra, hogy a SIS II. adataihoz hozzáfértek volna, vagy ellopták volna azokat, egy esetleges jogsértés katasztrofális lenne, és emberek millióit érinthetné” – emelte ki Romain Lanneau, a Statewatch uniós megfigyelőszervezet elemzője.

Durva hibákkal van tele a SIS II.

A SIS II.-t 2013-ban vezették be, része annak az uniós erőfeszítésnek, melynek célja az EU külső határainak megerősítése digitális és biometrikus technológiák segítségével. A rendszer lehetővé teszi a tagállamok számára, hogy valós idejű riasztásokat adjanak ki, ha a megjelölt – a terrorizmussal gyanúsított és a még nem jogerősen letartóztatott – személyek megpróbálnak átlépni egy uniós határt.

A SIS II. jelenleg egy elszigetelt hálózaton fut, de a tervek szerint idővel integrálják az unió be- és kiléptető rendszerébe, amely automatizálni fogja a blokk évente több százmillió látogatójának regisztrációját. Az Entry/Exit System (EES) az internethez kapcsolódik majd, ami megkönnyítheti a hackerek számára a SIS II. rendkívül érzékeny adatbázisához való hozzáférést.

A rendszer által kiadott figyelmeztető jelzések a gyanúsítottak fényképeit és biometrikus adataikat, például a bűncselekmények helyszínein vett ujjlenyomatokat tartalmazhatnak. Míg a rendszer becslések szerint 93 millió rekordjának túlnyomó többsége tárgyakra, például lopott járművekre és személyazonosító okmányokra vonatkozik, körülbelül 1,7 millió rekord személyhez köthető. Közülük 195 ezret jelöltek meg lehetséges nemzetbiztonsági fenyegetésként.

Mivel az egyének általában nem tudják, hogy az adataik szerepelnek a SIS II.-ben, egy kiszivárgás potenciálisan megkönnyítheti egy körözött személy számára, hogy elkerülje a felderítést.

Az ellenőrzés megállapította, hogy a SIS II. sebezhető volt a rendszert elárasztó hackerekkel szemben, valamint az olyan támadásokkal szemben is, amelyek lehetővé tették a kívülállók számára, hogy jogosulatlan hozzáférést szerezzenek.

Amikor az EU-Lisa, a SIS II.-höz hasonló, nagyszabású informatikai projekteket felügyelő ügynökség jelentette ezeket a problémákat a Sopra Steriának, a rendszer fejlesztéséért és karbantartásáért felelős, párizsi székhelyű vállalkozónak, a vállalatnak nyolc hónaptól több mint öt és fél évig tartott az egyes problémák kijavítása. Ez különösen annak fényében volt igencsak kellemetlen, hogy az EU-Lisával kötött szerződés értelmében a Sopra Steria köteles volt a jelzést követő két hónapon belül kijavítani a kritikus és magas szintű szoftveres sebezhetőségeket. A Sopra Steria szóvivője nem kívánt reagálni a SIS II. biztonsági réseit érintő állításokra, szűkszavú nyilatkozatában azt mondta, hogy a vállalat betartotta az uniós protokollokat.

A Bloomberg által is megtekintett e-mailekből kiderült, hogy az EU-Lisa alkalmazottai 2022-ben több alkalommal is jelezték a Sopra Steria számára a kiberbiztonsági problémákat.

• A Sopra Steria az egyik e-mailváltásban azzal érvelt, hogy egyes sebezhetőségek befoltozása 19 ezer eurós többletköltséget jelentene.
• Válaszul az EU-Lisa azt mondta, hogy a munkát a meglévő szerződésnek kellene fedeznie, amely a Sopra Steria díjait részletező dokumentum szerint havi 519 ezer és 619 ezer euró (200 és 250 millió forint) közötti díjat határozott meg a rendszert javító karbantartásért.

Az európai adatvédelmi biztos ellenőrzése azt is megállapította, hogy 69, nem közvetlenül az EU által alkalmazott csapattagnak volt hozzáférése a SIS II.-höz, annak ellenére, hogy nem rendelkeztek a szükséges biztonsági engedélyekkel. Nem világos, hogy ők a Sopra Steria alkalmazottai vagy más cégnél dolgozó alvállalkozók voltak-e.

Biztonsági hibák miatt késik az új határellenőrzési rendszer

Nemcsak a SIS II. volt tele hibákkal. Az Entry/Exit System, az európai látogatók regisztrációját automatizálni hivatott csúcstechnológiás határellenőrzési rendszer is nehézségekkel küzd. A szintén az EU-Lisa által felügyelt rendszer az eredeti tervek szerint 2022-ben indult volna el, azonban az indítás többször is késett, főleg a francia Atos informatikai cégnek tulajdonított technikai problémák miatt. Az Európai Bizottság két hónappal ezelőtt jelentette be, hogy a tagállamok októberben kapcsolják be az EES egyes részeit.

„Az elmúlt évtizedben az Európai Unió úgynevezett intelligens határokat próbált bevezetni, hogy nyomon követhesse a blokkba utazók egyre növekvő számát. Egy olyan decentralizált ügynökség, mint az EU-Lisa 2012-es létrehozásával könnyebbé kellett volna tenni e rendszerek fejlesztését. De sajnos az ügynökség nem bizonyult elégségesnek a projekt méretének és összetettségének kezeléséhez” – mondta Francesca Tassinari, a Baszkföldi Egyetem jogásza és kutatója, az uniós informatikai rendszerek szakértője.