O software utilizado pelas forças de segurança fronteiriça da União Europeia para impedir a entrada de imigrantes indocumentados e de suspeitos de crimes na região está alegadamente repleto de falhas e vulnerável a ciberataques. O Sistema de Informação de Schengen de Segunda Geração (SIS II), uma base de dados partilhada pela maioria dos estados da UE para fins de segurança pública, apresenta milhares de problemas de cibersegurança, alguns de elevada gravidade.
A revelação surge de um novo relatório colaborativo da Bloomberg e da organização de investigação sem fins lucrativos Lighthouse Reports. Segundo a investigação, que cita um relatório de um auditor da UE do ano passado, o sistema em uso desde 2013 está minado por vulnerabilidades críticas.
Um sistema partilhado por toda a UE com vulnerabilidades críticas
Embora o relatório note que não há evidências de roubo de dados, o "número excessivo" de contas com acesso desnecessário à base de dados significa que esta poderia ser explorada com relativa facilidade. O SIS II, que foi atualizado em 2023 com novas funcionalidades como a capacidade de assinalar quando alguém foi deportado de um país, contém tecnologia de impressões digitais e fotografias nos seus alertas.
Romain Lanneau, um investigador jurídico da organização de vigilância Statewatch, alertou em declarações à Bloomberg que um ataque bem-sucedido seria "catastrófico, podendo afetar milhões de pessoas".
Dos cerca de 93 milhões de registos no sistema, a maioria pertence a objetos como veículos roubados. No entanto, aproximadamente 1,7 milhões estão ligados a pessoas. O relatório acrescenta que os indivíduos geralmente não sabem que os seus dados estão na base de dados até ao envolvimento das autoridades, o que significa que uma fuga de informação poderia facilitar a evasão de suspeitos procurados.
O perigo vai aumentar com a ligação à internet
Atualmente, o SIS II opera numa rede isolada, mas em breve será integrado no Sistema de Entrada/Saída (EES) da UE. Este novo sistema, que deverá entrar em vigor ainda este ano, tornará obrigatório o registo de dados biométricos para quem viaja para o espaço Schengen.
A principal preocupação é que o EES estará ligado à internet, o que tornará um ataque à base de dados do SIS II significativamente mais fácil de executar, aumentando exponencialmente os riscos de segurança.
A empresa contratada e a resposta lenta às ameaças
O desenvolvimento e a manutenção do SIS II são geridos por uma empresa sediada em Paris chamada Sopra Steria. De acordo com o relatório, as vulnerabilidades reportadas levaram entre oito meses e mais de cinco anos a ser resolvidas. Este prazo contrasta fortemente com a obrigação contratual de corrigir problemas de importância crítica no prazo de dois meses após o lançamento de uma correção.
Um porta-voz da Sopra Steria não respondeu à lista detalhada de alegações, mas afirmou numa declaração que os protocolos da UE foram cumpridos. "Como um componente chave da infraestrutura de segurança da UE, o SIS II é regido por quadros legais, regulamentares e contratuais rigorosos", disse a empresa. "O papel da Sopra Steria foi desempenhado de acordo com esses quadros".
A eu-LISA, a agência da UE que supervisiona sistemas de TI de grande escala como o SIS II, foi também visada na auditoria. A investigação acusa a agência de não informar a sua própria gestão sobre os riscos de segurança que foram assinalados. Em resposta, a eu-LISA afirmou que todos os sistemas sob a sua gestão "são submetidos a avaliações de risco contínuas, verificações regulares de vulnerabilidades e testes de segurança".
Nenhum comentário
Seja o primeiro!