В ходе недавнего аудита были обнаружены тысячи лазеек в Шенгенской информационной системе II, программном обеспечении, созданном в рамках Шенгенской конвенции. Компании Sopra Steria, ответственной за это, потребовались месяцы или даже годы, чтобы исправить некоторые проблемы. В прошлом году вторая версия Шенгенской информационной системы (SIS) подверглась серьезной проверке со стороны Европейского контролера по защите данных (CEPD).
ПО Шенгенская информационная система используется пограничными органами стран Шенгенской зоны для регистрации лиц, находящихся в розыске, а также лиц, которым отказано во въезде или которым запрещен въезд.
Вторая версия системы (SIS II) была развернута в 2013 году, но в марте 2023 года она была «обновлена», и в нее были добавлены новые категории сообщений, биометрические данные и записи ДНК пропавших без вести лиц.
По данным Европейского агентства eu-LISA, использующего систему, по состоянию на 31 декабря 2024 года в ней хранилось более 93 миллионов предупреждений, из которых 1,7 миллиона касались отдельных лиц. Почти 1,2 миллиона из них связаны с задержанием на границе, отказом во въезде или пребывании на территории ЕС, и чуть более 195 000 человек зарегистрированы там как возможные угрозы национальной безопасности. В этой системе хранятся данные о лицах, на которых распространяется действие европейского ордера на арест, а также о лицах, о которых сообщается в целях недопуска или запрета на пребывание, в связи с уголовными преступлениями или разыскиваемых для отбывания наказания, о пропавших без вести. Эти данные включают семейное положение, фотографии, отпечатки пальцев и другую биометрическую информацию, которая в официальных сообщениях называется «особые, объективные и неизменяемые физические признаки». Таким образом, это особенно конфиденциальные данные. К ним могут быть добавлены комментарии, такие как «действия, которые необходимо предпринять в случае обнаружения», «орган, направивший сообщение» или тип правонарушения.
Согласно документам, с которыми ознакомился Bloomberg, на момент проверки программное обеспечение было полно уязвимостей. Тысячи проблем с безопасностью имели «высокий» уровень уязвимости. Европейский контролер также указал на «чрезмерное количество» учетных записей администраторов базы данных, как на «уязвимость, которая могла быть использована внутренними злоумышленниками». В ходе аудита CEPD указано, что 69 членов команды разработчиков имели доступ к базе данных системы без необходимых разрешений на безопасность.
С учетом этого сообщается, что на данный момент Шенгенская информационная система II работает в изолированной сети, поэтому многочисленные лазейки, подробно описанные в этом аудите, могут быть использованы только внутренним злоумышленником. Но в конечном итоге планируется, что она будет интегрирована в «систему въезда/выезда» лиц национальностей, не входящих в ЕС, которая должна быть введена в действие с октября 2025 года. Эта система будет подключена к интернету. В этой связи в отчете об аудите содержится тревога по поводу того, что хакерам будет легко получить доступ к базе данных в это время.
По данным Bloomberg, аудит объясняет, что хакеры и посторонние лица могли получить контроль над системой и несанкционированный доступ. Но издание объясняет, что, судя по документам, когда Европейское агентство eu-LISA сообщило об этих проблемах, компании Sopra Steria, которая отвечает за разработку и обслуживание системы, потребовалось от восьми месяцев до более чем пяти с половиной лет, чтобы решить их. И это несмотря на то, что контракт между Европейским агентством и компанией требует, чтобы Sopra Steria исправила «критические или опасные» уязвимости в течение двух месяцев.