يعاني نظام تبادل المعلومات الذي يستخدم في الاتحاد الأوروبي للإبلاغ عن المهاجرين غير الشرعيين والمجرمين المشتبه بهم، من ثغرات أمنية وبرمجية يمكن استغلالها من قبل قراصنة ومهاجمين، حسب ما أظهرت رسائل بريد إلكتروني وتقارير تدقيق سرية حصلت عليها “بلومبرغ” وغرفة الأخبار الاستقصائية “لايتهاوس ريبورتس”.
ويعاني “نظام معلومات شنجن 2” المعروف اختصاراً بـ 2 SIS من آلاف المشاكل المتعلقة بالأمن السيبراني، التي اعتبرها الجهاز الأوروبي المشرف على حماية البيانات، وهو مؤسسة رسمية داخل الاتحاد الأوروبي، “شديدة الخطورة” في تقرير صدر عام 2024.
ووجد التقرير أن “عدداً كبيراً” من الحسابات تتمتع بإمكانية الوصول إلى القاعدة البيانات، مما يشكل “نقطة ضعف يمكن تجنبها ويمكن استغلالها من قبل المهاجمين”.
في حين لا يوجد دليل على الوصول إلى أي بيانات من “نظام معلومات شنجن 2” أو سرقتها، قال رومان لانو، الباحث القانوني في هيئة مراقبة الاتحاد الأوروبي “ستيت ووتش”، إن أي اختراق “سيكون كارثياً، وقد يؤثر على ملايين الأشخاص”.
نظام SIS 2
يُعد نظام SIS 2، الذي شُرع في استخدامه لأول مرة عام 2013، جزءاً من خطة الاتحاد الأوروبي لتعزيز الحدود الخارجية للاتحاد باستخدام التقنيات الرقمية والبيومترية، في وقتٍ تتخذ فيه حكومات العالم مواقف أكثر صرامةً بشأن الهجرة.
ويتيح النظام للدول الأعضاء إصدار تنبيهاتٍ آنيةٍ ومشاهدتها عند محاولة الأفراد الذين يشتبه في “ارتباطهم بالإرهاب” والأشخاص الذين صدرت بحقهم أوامر اعتقال، عبور حدود الاتحاد الأوروبي.
وسيتم دمج نظام SIS 2، الذي يعمل حالياً على شبكةٍ معزولة، مع “نظام الدخول والخروج” (EES) التابع للاتحاد الأوروبي، وهو ما سيتيح أتمتة عملية تسجيل مئات الملايين من زوار الاتحاد سنوياً. ويُحذِّر التقرير من أن نظام EES سيكون مُتصلاً بالإنترنت، مما قد يُسهِّل على المُخترقين الوصول إلى قاعدة بيانات SIS 2 شديدة الحساسية.
ويمكن أن تحتوي التنبيهات الصادرة عن نظام SIS 2 على صورٍ للمشتبه بهم وبياناتٍ بيومتريةٍ مثل بصمات الأصابع.
ومنذ مارس 2023، تضمنت التنبيهات أيضاً ما يُسمى بـ”قرارات الإعادة”، وهي أحكامٌ قضائية تنص على ضرورة إخضاع شخصٍ ما للترحيل. وفي حين أن الغالبية العظمى من سجلات النظام، المقدرة بـ 93 مليون سجل، تتعلق بأشياء مثل المركبات المسروقة ووثائق الهوية، فإن حوالي 1.7 مليون منها مرتبطة بأشخاص.
ومن بين هؤلاء الأشخاص، تم تصنيف 195 ألف شخص على أنهم يشكلون تهديداً محتمل للأمن القومي. ونظراً لأن الأفراد لا يعلمون عادةً بوجود معلوماتهم في نظام SIS 2 إلا بعد اتخاذ إجراءات قانونية بشأنها، فإن التسريب قد يُسهّل على الشخص المطلوب التهرب من الكشف.
وأظهرت الوثائق أن التدقيق كشف أن نظام SIS 2 كان عرضة لهجمات قد تُمكّن جهات خارجية من الوصول غير المصرح به.
مشاكل مع الشركة المطورة
وعندما أبلغت وكالة EU-Lisa، وهي الوكالة المشرفة على مشاريع تكنولوجيا المعلومات واسعة النطاق مثل SIS 2، شركة Sopra Steria، وهي شركة مقاولات مقرها باريس مسؤولة عن تطوير وصيانة النظام، بهذه المشكلات، استغرقت الشركة ما بين ثمانية أشهر وأكثر من خمس سنوات ونصف لإصلاحها، وفقاً للتقرير ورسائل البريد الإلكتروني المتبادلة بين موظفي الاتحاد الأوروبي وشركة Sopra Steria.
وبموجب شروط عقدها مع EU-Lisa، كانت شركة Sopra Steria مُلزمة بإصلاح ثغرات البرامج “الحرجة والمُرتفعة” في غضون شهرين من إصدار تحديث، وفقاً لرسائل البريد الإلكتروني وتقريري تدقيق.
ورفض متحدث باسم Sopra Steria الرد على قائمة مُفصلة من الادعاءات حول الثغرات الأمنية في SIS 2، لكنه قال في بيان إن الشركة التزمت ببروتوكولات الاتحاد الأوروبي.
وكتب المتحدث: “بصفته مُكوناً أساسياً في البنية التحتية الأمنية للاتحاد الأوروبي، يخضع SIS 2 لأطر قانونية وتنظيمية وتعاقدية صارمة”. “وقد نُفذ دور Sopra Steria وفقاً لهذه الأطر”.
وأظهرت رسائل البريد الإلكتروني التي اطلعت عليها “بلومبرغ” و”لايتهاوس ريبورتس” أن موظفي EU-Lisa أبلغوا Sopra Steria بمشكلات الأمن السيبراني في عدة مناسبات خلال عام 2022.
وجادلت Sopra Steria في إحدى رسائل البريد الإلكتروني المُتبادلة بأن تصحيح بعض الثغرات سيُكلف 19 ألف يورو إضافية. رداً على ذلك، قالت EU-Lisa إن العمل يجب أن يكون مشمولاً بالعقد الحالي، والذي تضمن رسوماً تتراوح بين 519 ألف و619 ألف يورو شهرياً مقابل “الصيانة التصحيحية”، وفقاً لوثيقة تُفصّل تكاليف Sopra Steria.
كما أشار التقرير إلى أن 69 عضواً من أعضاء الفريق غير الموظفين مباشرةً من قِبل الاتحاد الأوروبي، كانوا قادرين على الوصول إلى نظام SIS 2 على الرغم من افتقارهم إلى التصريح الأمني اللازم. وليس من الواضح ما إذا كانوا موظفين في Sopra Steria أم متعاقدين آخرين.
تقصير في المتابعة
وألقى التدقيق باللوم في بعض الثغرات على EU-Lisa، التي لم تُبلغ مجلس إدارتها بالثغرات الأمنية بعد تحديدها. وفي الوثائق، وصف المدققون الوكالة الأوروبية بأنها تُعاني من “ثغرات أمنية تنظيمية وتقنية”، وأوصوا بوضع خطة عمل ذات “استراتيجية واضحة” لمعالجة الثغرات.
وبالإضافة إلى نظام SIS 2، تتوفر الوكالة على قاعدة بيانات لبصمات أصابع طالبي اللجوء، تسمى Eurodac، ونظام إعفاء من التأشيرة مماثل لنظام ESTA في الولايات المتحدة.
وصرح متحدث باسم EU-Lisa بأن الوكالة لا تستطيع التعليق على وثائق سرية، ولكن “جميع الأنظمة الخاضعة لإدارة الوكالة تخضع لتقييمات مستمرة للمخاطر، وعمليات مسح دورية للثغرات الأمنية، واختبارات أمنية”.
وأضاف المتحدث: “يتم تقييم أي مخاطر يتم تحديدها، وتحديد أولوياتها، ومعالجتها بناءً على أهميتها، مع تحديد تدابير التخفيف المناسبة ومراقبتها عن كثب”.
ونقلت “بلومبرغ” عن ثلاثة أشخاص مطلعين على الأمر قولهم إن بعض مشاكل نظام SIS 2 تنبع من ميل EU-Lisa إلى الاعتماد بشكل كبير على شركات الاستشارات بدلاً من بناء القدرات التكنولوجية داخلياً. ويعود ذلك جزئياً إلى الضغط لتنفيذ مشاريع لم يكن لدى الوكالة الموظفين اللازمين لإنجازها بسرعة.
كما أن “نظام الدخول والخروج”، وهو نظام حدودي عالي التقنية يهدف إلى أتمتة تسجيل الزوار في أوروبا تشرف عليه EU-Lisa، يعاني أيضاً من مشاكل مشابهة. وعلى مدار العقد الماضي، حاول الاتحاد الأوروبي اعتماد ما يُسمى بـ”الحدود الذكية” لتتبع العدد المتزايد من المسافرين إلى دوله.
وقالت فرانشيسكا تاسيناري، المحامية والباحثة في جامعة إقليم الباسك والخبيرة في أنظمة تكنولوجيا المعلومات في الاتحاد الأوروبي، إن إنشاء وكالة لامركزية مثل EU-Lisa في عام 2016 كان من المفترض أن يُسهّل تطوير هذه الأنظمة. وأضافت: “لكن للأسف، لم تُثبت الوكالة جدارتها لإدارة مشروع بهذا الحجم والتعقيد”.
وأوضح ليوناردو كواتروتشي، الزميل البارز في مركز أجيال المستقبل، أن جزءا ًمن السبب في ذلك هو افتقار الاتحاد الأوروبي إلى أشخاص ذوي خبرة في إبرام هذه العقود وإدارتها.