O software usado pelas forças de segurança nas fronteiras da UE para impedir imigrantes sem documentos e suspeitos de que viajam na região está supostamente repleto de buracos e vulneráveis a ataques cibernéticos. O Sistema de Informação de Schengen de segunda geração (SIS II) é um sistema de TI e um banco de dados compartilhado entre a maioria dos estados da UE para fins de aplicação da lei e segurança pública. E de acordo com uma nova colaboração entre Bloomberg e sem fins lucrativos investigativos Relatório do LighthouseS, SIS II – que tem sido usado desde 2013 – é atormentado por “milhares” de questões de segurança cibernética, na medida em que um auditor da UE os sinalizou para ser de severidade “alta” em um relatório apresentado no ano passado.
O relatório observa que não há evidências de roubo de dados, mas o “número excessivo” de contas que desnecessariamente têm acesso ao banco de dados significa que ele pode ser facilmente explorado. Durante seu lançamento inicial, as principais adições do SIS II incluíram tecnologia de impressão digital e fotografias em alertas e, em 2023, o software foi com dados atualizados e aprimoramentos para sua funcionalidade existente, incluindo a capacidade de sinalizar quando alguém foi deportado de um país. Bloomberg Os repórteres conversaram com Romain Lanneau, pesquisador jurídico de um vigia da UE chamado Statewatch, que alertou que um ataque seria “catastrófico, potencialmente afetando milhões de pessoas”.
No momento, o SIS II opera dentro de uma rede isolada, mas em breve será rolada para a UE O que tornará os detalhes biométricos de registro um requisito para indivíduos que viajam para áreas associadas a Schengen quando entrar em vigor, provavelmente este ano. Como o EES estará conectado à Internet, um hack no banco de dados do SIS II se tornará significativamente mais fácil.
Bloomberg e Farol Observe que, embora a maioria dos 93 milhões de registros estimados do sistema SIS II seja pertencente a objetos como veículos roubados, existem cerca de 1,7 milhão vinculados às pessoas. Acrescenta que as pessoas geralmente não sabem que seus detalhes estão registrados no banco de dados até que a aplicação da lei se envolva; portanto, se as informações vazarem, os indivíduos procurados poderão achar mais fácil evitar as autoridades.
O desenvolvimento e a manutenção da SIS II são gerenciados por um empreiteiro de Paris chamado Sopra Steria. Segundo o relatório, como as vulnerabilidades foram relatadas, elas levaram entre oito meses e mais de meia década para resolver. Isso apesar de ser contratualmente obrigado a corrigir questões consideradas de importância crítica dentro de dois meses após a liberação de um patch.
Um porta -voz da Sopra Steria não respondeu a Bloomberg Em relação à lista detalhada de alegações sobre os orifícios de segurança do SIS II, mas disse em comunicado impresso no relatório que os protocolos da UE haviam sido respeitados. “Como um componente -chave da infraestrutura de segurança da UE, o SIS II é governado por estruturas estritas legais, regulatórias e contratuais”, afirmou. “O papel da Sopra Steria foi realizado de acordo com essas estruturas”.
A UE-LISA, a agência da UE que supervisiona sistemas de TI em larga escala, como o SIS II, cultiva regularmente as tarefas de empresas de consultoria externa em vez de construir sua própria tecnologia interna, de acordo com a investigação. A auditoria acusou a agência de não informar sua administração sobre os riscos de segurança que foram sinalizados, aos quais respondeu dizendo que todos os sistemas sob sua administração “passam por avaliações de risco contínuas, varreduras regulares de vulnerabilidade e testes de segurança”.
