Sérülékeny az uniós határőrizeti rendszer
Az EU belső biztonsági adatbázisán, a SIS II rendszeren végzett audit számos súlyos biztonsági hiányosságot tárt fel. A rendszer, amely többek között bűnözők, eltűntek, keresett személyek adatait is tartalmazza – közel 93 millió rekorddal, és 1,7 millió emberi bejegyzéssel – komoly célponttá vált a támadók számára.
A vizsgálat szerint a rendszer sebezhető DDoS támadással, illetéktelen hozzáférésekkel is. Jelenleg nem áll rendelkezésre bizonyíték adatlopásra, az érzékeny biometrikus, vagy egyéb szenzitív adatok kiszivárgására, de ezek kompromittálódása katasztrofális következményekkel járhat. A helyzetet súlyosbítja, hogy az EU tervezett beléptető-rendszerével (EES) való integráció – amely internetre kötött – tovább növelné a támadási felületet.
Az audit szerint túl sok admin fiók van a rendszerben, a sebezhetőségek kijavítása hihetetlenül lassú – kritikus hibák maradtak a rendszerben 5 évig –, és 69 külső fejlesztő hozzáférhetett olyan jogosultságokkal, melyekhez nem volt megfelelő biztonsági ellenőrzésük.
A SIS II működtetéséért az EU-LISA felelős, a fejlesztő-partner pedig a Sopra Steria, amely – bár kötelezett lett volna – nem tartotta be a kritikus hibák javítására előírt két hónapos határidőt. A jelentés említi, hogy egyes javítási munkákért további díjakat kértek, pedig azoknak a szerződés keretein belül kellett volna megoldaniuk.
Az EDPS (Európai Adatvédelmi Felügyelő) jelentése szerint hiányosságokat találtak a EU-LISA belső szervezeti működésben és biztonsági folyamataiban, többek között az illetékes szabályozások és technikai stratégiák hiányában.
A SIS II nem pusztán technikai rendszer, hanem több tízmillió ember érzékeny adatainak őrzője. A jelenlegi sebezhetőségek – lassú hibakezelés, túl sok jogosultság, gyenge szervezeti felügyelet – komoly biztonsági és adatvédelmi kockázatokat hordoznak. Az EES integráció pedig további támadási felületeket nyit.
