Программное обеспечение ЕС для охраны границ, по сообщениям, полно уязвимостей.

Система, используемая европейскими пограничными службами для предотвращения незаконной иммиграции и выявления подозреваемых в преступлениях, предположительно содержит множество уязвимостей и подвержена кибератакам. Вторая Генерация Шенгенской Информационной Системы (SIS II) – это ИТ-система и база данных, совместно используемая большинством государств-членов ЕС в целях обеспечения правопорядка и общественной безопасности. Согласно новому совместному отчету Bloomberg и некоммерческой организации Lighthouse Report, SIS II, используемая с 2013 года, страдает от "тысяч" проблем с кибербезопасностью, что было отмечено аудитором ЕС как представляющее "высокую" степень риска в отчете, представленном в прошлом году. В отчете отмечается, что нет доказательств кражи данных, но "чрезмерное" количество учетных записей, имеющих ненужный доступ к базе данных, означает, что ее можно относительно легко взломать.

В ходе первоначального развертывания SIS II, основными дополнениями стали технология распознавания отпечатков пальцев и фотографии в оповещениях. В 2023 году программное обеспечение было обновлено с улучшенными данными и расширением существующей функциональности, включая возможность сигнализировать о депортации человека из страны. Журналисты Bloomberg поговорили с Роменом Ланно (Romain Lanneau), научным сотрудником европейской организации Statewatch, который предупредил, что атака будет "катастрофической и потенциально затронет миллионы людей". В настоящее время SIS II работает в изолированной сети, но скоро будет интегрирована во Входно-Выходную систему (EES) ЕС, которая сделает обязательной регистрацию биометрических данных для лиц, въезжающих в страны Шенгенской зоны, когда она вступит в силу, вероятно, позднее в этом году. Поскольку EES будет подключен к интернету, взлом базы данных SIS II станет значительно проще.

Bloomberg и Lighthouse отмечают, что большинство из примерно 93 миллионов записей в системе SIS II относятся к объектам, таким как угнанные транспортные средства, но около 1,7 миллиона связаны с людьми. Добавляется, что люди обычно не знают, что их данные хранятся в базе данных, пока не вмешаются правоохранительные органы, поэтому в случае утечки информации лица, находящиеся в розыске, могут легче уклониться от правосудия. Разработкой и обслуживанием SIS II занимается парижский подрядчик Sopra Steria. Согласно отчету, на устранение выявленных уязвимостей уходило от восьми месяцев до более чем пяти лет. Это несмотря на то, что по контракту Sopra Steria обязана устранять проблемы, признанные критическими, в течение двух месяцев после выпуска исправления. Представитель Sopra Steria не ответил на запрос Bloomberg относительно подробного списка обвинений в отношении уязвимостей SIS II, но заявил в своем заявлении, опубликованном в отчете, что протоколы ЕС были соблюдены. "Как ключевой компонент инфраструктуры безопасности ЕС, SIS II регулируется строгими правовыми, нормативными и договорными рамками", – говорится в заявлении. "Роль Sopra Steria выполнялась в соответствии с этими рамками".

EU-Lisa, агентство ЕС, которое осуществляет надзор за крупномасштабными ИТ-системами, такими как SIS II, регулярно передает обязанности внешним консалтинговым фирмам вместо создания собственных внутренних технологий, согласно расследованию. В ходе аудита агентство обвинили в том, что оно не информировало свое руководство о выявленных рисках безопасности, на что оно ответило, заявив, что все системы, находящиеся под его управлением, "подвергаются непрерывной оценке рисков, регулярному сканированию уязвимостей и тестированию безопасности".