This post is also available in:
English (אנגלית)
דו"ח ביקורת סודי שפורסם על ידי Bloomberg ו-Lighthouse Reports חשף כשלים חמורים במערכת מידע מרכזית של האיחוד האירופי המשמשת לניטור גבולות וזיהוי אנשים החשודים בפעילות פלילית. מערכת Schengen Information System II (SIS II), שמאפשרת שיתוף מידע בין סוכנויות אכיפת החוק והגבולות באירופה, כוללת נתוני זיהוי ביומטריים נרחבים — כולל טביעות אצבע, תמונות פנים, והתראות על אנשים החשודים בהפרות חוק או בכניסה בלתי מורשית.
לפי הדו"ח, שנכתב על ידי נציבות הגנת המידע האירופית (EDPS), המערכת סובלת ממאות רבות של פרצות אבטחה – חלקן מוגדרות בסיכון גבוה או קריטי. בין השאר נמצאו ליקויים שעלולים לאפשר מתקפות מסוג מניעת שירות (DDoS) או גישה לא מורשית לנתונים רגישים.
בעיה נוספת שהתגלתה היא מבנה הרשאות המשתמשים במערכת: לפי הדו"ח, מספר חריג של משתמשים מחזיקים בהרשאות ניהול מתקדמות, מה שמגביר את הסיכון לאיומים פנימיים או תקלות תפעוליות עקב טעויות אנוש.
אמנם SIS II פועלת כיום ברשת מבודדת (airgapped) המפחיתה חשיפה למתקפות חיצוניות, אך מצב זה עשוי להשתנות בקרוב. תוכניות עתידיות קובעות כי המערכת תחובר ל-Entry/Exit System (EES) של האיחוד — פלטפורמה דיגיטלית שתאסוף נתונים ביומטריים מכל אזרח שאינו תושב האיחוד בכניסתו לאזור שנגן. בניגוד ל-SIS II, מערכת EES תהיה מחוברת לאינטרנט, דבר שעשוי להרחיב משמעותית את שטח החשיפה לאיומי סייבר.
למרות שהקבלן הטכני של המערכת עודכן על הליקויים, הוא נדרש למספר חודשים ואף שנים לתיקון חלק מהבעיות — הרבה מעבר ללוחות הזמנים שהוגדרו במקור.
סוכנות eu-LISA, האחראית על תפעול מערכות המידע בקנה מידה רחב של האיחוד, לא התייחסה ישירות לממצאי הדו"ח, אך ציינה כי כלל המערכות שבאחריותה עוברות הערכות סיכון, סריקות חולשות, ובדיקות אבטחה באופן שוטף.
הדו"ח מדגיש את האתגרים ההולכים והגוברים באבטחת מערכות מידע עתירות נתונים, במיוחד כאשר מערכות שהיו בעבר מבודדות עוברות לחיבור מקוון. מומחי סייבר מזהירים כי ככל שהאיחוד האירופי מרחיב את השימוש בכלי מעקב ביומטריים ודיגיטליים, יש להקפיד על יישום אמצעי אבטחת מידע מחמירים כבר משלבי התכנון הראשוניים.
