Программное обеспечение границ ЕС уязвимо для хакеров, предупреждают конфиденциальные отчеты

2 июля 2025, 07:12 / Технологии → Новости / Технологии

Система обмена информацией, используемая пограничными службами ЕС для отслеживания нелегальных мигрантов и подозреваемых в преступлениях в режиме реального времени, содержит множество уязвимостей в программном обеспечении и системе безопасности. Об этом свидетельствуют электронные письма и конфиденциальные аудиторские отчеты, полученные Bloomberg News и журналистским объединением Lighthouse Reports.

В Шенгенской информационной системе II (SIS II) обнаружены тысячи проблем с кибербезопасностью, которые Европейский надзорный орган по защите данных (EDPS) в своем отчете за 2024 год классифицировал как «высокий» уровень угрозы. Также выяснилось, что «чрезмерное количество» учетных записей имело доступ уровня администратора к базе данных, что создавало «избежимую слабость, которой могли бы воспользоваться внутренние злоумышленники».

«Утечка данных была бы катастрофической, потенциально затронув миллионы людей», — заявил Ромен Ланно, правовой исследователь из наблюдательной организации Statewatch.

SIS II, впервые запущенная в 2013 году, является частью общеевропейской инициативы по усилению внешних границ с использованием цифровых и биометрических технологий. Система позволяет государствам-членам ЕС выдавать и просматривать предупреждения в реальном времени, когда помеченные лица (включая подозреваемых в терроризме и разыскиваемых преступников) пытаются пересечь границу ЕС.

В настоящее время SIS II работает в изолированной сети, но в будущем будет интегрирована с системой въезда/выезда ЕС (EES), которая автоматизирует регистрацию сотен миллионов ежегодных посетителей. Однако, поскольку EES будет подключена к интернету, это может облегчить хакерам доступ к высокочувствительной базе данных SIS II, предупреждает отчет.

Аудиторская проверка выявила, что SIS II уязвима к атакам, которые могут перегрузить систему или позволить посторонним получить несанкционированный доступ. Подрядчик Sopra Steria, отвечающий за разработку и обслуживание системы, устранял критические уязвимости от 8 месяцев до 5,5 лет, хотя по контракту обязан был исправлять их в течение двух месяцев.

Представитель Sopra Steria отказался комментировать конкретные обвинения, заявив, что компания действовала в рамках установленных ЕС протоколов. Тем временем аудиторы критиковали агентство EU-Lisa, управляющее системой, за недостаточную прозрачность и организационные пробелы в обеспечении безопасности.

ИИ: Учитывая растущую зависимость государств от цифровых систем безопасности, подобные уязвимости вызывают серьезные опасения. Особенно тревожно, что критически важная инфраструктура ЕС годами оставалась незащищенной из-за бюрократических проволочек и недостаточной компетентности подрядчиков.