Denuncian deficiencias de seguridade informática non Sistema de Información de Shengen

O Sistema de Información de Schengen de segunda xeración (SIS II), empregado polas forzas de seguridade europeas para sinalar en tempo real a inmigrantes en situación irregular e sospeitosos de delitos, presenta importantes deficiencias de seguridade informática e xestión, segundo correos electrónicos e auditorías confidenciais obtidos por Bloomberg News e Lighthouse Reports.
Nun informe de 2024, o Supervisor Europeo de Protección de Datos cualificou como de gravidade alta milleiros de vulnerabilidades detectadas no sistema. A auditoría tamén advertiu dun número excesivo de contas con acceso de administrador á base de datos, o que representa «unha debilidade evitable que podería ser explotada por atacantes internos».
SIS II, operativo desde 2013, permite aos Estados membros emitir e consultar alertas en tempo real cando individuos catalogados (incluíndo sospeitosos de terrorismo ou persoas cunha orde de detención pendente) intentan cruzar as fronteiras exteriores da UE. As alertas poden incluír fotos, impresións dixitais e, desde marzo de 2023, decisións de retorno que sinalan a deportación dunha persoa. Aínda que a maioría dos 93 millóns de rexistros refírense a obxectos como vehículos ou documentos roubados, uns 1,7 millóns están vinculados a persoas, das cales 195.000 foron sinaladas como ameazas para a seguridade nacional.
A auditoría sinala que SIS II é vulnerable a ataques destinados a saturar o sistema ou a obter acceso non autorizado. Cando a axencia EU-Lisa, responsable dos grandes proxectos TIC da UE, notificou estas deficiencias á empresa francesa Sopra Steria (encargada do desenvolvemento e mantemento do sistema), a resolución dos problemas levou entre oito meses e cinco anos e medio, segundo os documentos revisados.
O contrato estipulaba que as vulnerabilidades críticas e altas debían ser corrixidas nun prazo de dous meses tras a dispoñibilidade dos parches. Nun comunicado, Sopra Steria defendeu que o seu traballo se axustou aos protocolos da UE: «Como compoñente clave da infraestrutura de seguridade da UE, SIS II réxese por marcos legais, normativos e contractuais estritos. O papel de Sopra Steria realizouse de acordo con estes marcos».
Segundo os correos aos que tivo acceso Bloomberg, EU-Lisa alertou á empresa de varios fallos de ciberseguridade en 2022. Nun intercambio, Sopra Steria argumentou que corrixir certas vulnerabilidades custaría 19.000 euros adicionais. EU-Lisa respondeu que ese traballo xa debía estar cuberto polo contrato existente, cun custo mensual de entre 519.000 e 619.000 euros por «mantemento correctivo».
A auditoría tamén detectou que 69 membros do equipo sen vinculación directa coa UE tiñan acceso ao SIS II sen contar coa acreditación de seguridade requirida. Non se precisa se eran empregados de Sopra Steria ou doutros contratistas.
EU-Lisa tampouco informou ao seu consello de dirección sobre as vulnerabilidades detectadas, unha omisión cualificada polos auditores como resultado de «eivas organizativas e técnicas en materia de seguridade». Recomendaron, así, que a axencia deseñe un plan de acción cunha estratexia clara para abordar os fallos.
Parte dos problemas parecen derivar da excesiva dependencia de empresas externas para tarefas técnicas que EU-Lisa debería desenvolver internamente. Isto estaría motivado pola presión para entregar proxectos sen contar co persoal necesario.