حدود الاتحاد الأوروبي مخترقة؟ ثغرات تهدد بكشف 93 مليون سجل

يُفترض أن يكون نظام معلومات شنغن (SIS II) بمثابة حارس رقمي لحدود أوروبا. فهو يُحدد المشتبه بهم، ويُنبّه المسؤولين، ويُسجّل البيانات البيومترية آنيًا. لكن وراء هذا الوعد يكمن نظام مليء بالثغرات الأمنية.

"بلومبيرغ" راجعت وثائق سرية تُظهر آلاف الثغرات الأمنية غير المُصحَّحة. بعضها يعود إلى سنوات مضت. في تدقيق أُجري عام 2024، صنّف المشرف الأوروبي على حماية البيانات العديد منها على أنها "عالية الخطورة". أما الأمر الأكثر إثارة للقلق هي سهولة الوصول للبيانات في ظل غياب أي رقابة كافية.

ورغم أنه لم يُؤكَّد أي خرق أمني، لكن يبدو أن احتمالية ذلك واردة وفق ما نقله موقع Information Security Buzz المتخصص في أمن المعلومات. فما هو هذا النظام، وما هي ثغراته التي تهدد حدود الاتحاد الأوروبي؟

يُعد نظام SIS II أكبر قاعدة بيانات أمنية في الاتحاد الأوروبي. ويعمل النظام منذ عام 2013، وهو مصمم لمساعدة الدول الأعضاء على تبادل التنبيهات بشأن المركبات المسروقة والوثائق المزورة والأفراد المطلوبين أو الممنوعين من دخول الاتحاد الأوروبي.

يحتوي النظام على ما يُقدر بـ 93 مليون سجل، منها حوالي 1.7 مليون تتعلق بأشخاص.

ويُصنف ما يقرب من 200 ألف سجل كتهديدات محتملة للأمن القومي.

يعمل النظام على شبكة مغلقة، ولكن لن يستمر طويلًا بهذا المنوال حيث يجري دمجه في نظام الدخول والخروج الأوروبي (EES)، الذي سيسجل عمليات الوصول والمغادرة من منطقة شنغن، وبسبب أن نظام EES متصل بالإنترنت، فقد يُنشئ مسارا هجوميا سيبرانيا جديدا.

ويحذر التقرير من أن "هذا التكامل يزيد من كشف البيانات شديدة الحساسية"، مثل ما تتضمنه التنبيهات في نظام SIS II من صور لموقوفين وبصمات الأصابع.

ومنذ مارس 2023، شملت البيانات أيضًا أوامر الترحيل، أو ما يُسمى "قرارات الإعادة"، وهو عادةً ما لا يعلم الأشخاص الذين تم ضبطهم في قاعدة البيانات بذلك إلا عند إيقافهم على الحدود، وبالتالي قد يساعدهم التسريب على الهرب قبل أن يتم إيقافهم.

أبرزت وكالة EU-Lisa، وهي الوكالة التي تُدير أنظمة تكنولوجيا المعلومات الكبرى في أوروبا، هذه الثغرات وأُبلغت شركة Sopra Steria، المقاول الفرنسي المسؤول عن تطوير وصيانة نظام SIS II، بذلك.

ولكن في كثير من الحالات، استغرقت الإصلاحات شهورًا، وفي بعض الحالات سنوات، بالرغم من وجود بند في العقد ينص على وجوب تصحيح الأخطاء الحرجة أو عالية الخطورة في غضون شهرين.

ويُعزى هذا التأخير، وفقًا لرسائل البريد الإلكتروني الداخلية، جزئيًا إلى خلافات حول التكاليف. ففي إحدى الحالات، طلبت Sopra Steria مبلغًا إضافيًا قدره 19 ألف يورو لإصلاح النظام.

لكن EU-Lisa رفضت ذلك، بحجة أن مدفوعاتها الشهرية (التي تتراوح بين 519 ألف و619 ألف يورو) تغطي بالفعل تكاليف الصيانة التصحيحية.

وقال متحدث باسم الشركة لبلومبيرغ بأن نظام SIS II يخضع لقواعد قانونية وتعاقدية صارمة.

لا تقتصر الثغرات الأمنية على الكود، فقد وجد تدقيق EDPS أيضًا أن 69 فردًا، غير موظفين بشكل مباشر من الاتحاد الأوروبي، كانوا قادرين على الوصول إلى نظام SIS II. ولم يكن لدى أي منهم تصريح المطلوب، وألقى التقرير باللوم على كل من Sopra Steria وEU-Lisa.

يقول النقاد إن الوكالة قد أثُقلت كاهلها، فهي تعتمد بشكل كبير على مستشارين خارجيين بدلاً من بناء عمق تقني داخلي.

والنتيجة هي نظام يُدار بواسطة فرق متناوبة، ووفقًا لبلومبرغ، يقول بعض المطلعين إن EU-Lisa تفتقر إلى الكوادر اللازمة.

واجه نظام الدخول والخروج نفسه تأخيرات، وكان من المقرر إطلاقه في عام 2022، لكنه واجه مشاكل فنية متكررة.

وتتولى شركة Atos، وهي شركة فرنسية أخرى في مجال تكنولوجيا المعلومات، مسؤولية تطوير نظام EES، في وقت تعتزم فيه الدول الأعضاء إطلاقه في أكتوبر.

وعند إطلاقه، سيُسجل نظام EES مئات الملايين من المسافرين، وسيُشكل، إلى جانب نظام SIS II، العمود الفقري للبنية التحتية لإدارة الحدود الأوروبية المستقبلية.

ولكن في ظل الوضع الحالي لنظام SIS II، فإن أساسه يبدو هشا، خاصة أنه في مجال الأمن السيبراني يُعدّ التذبذب خطيرا، وفق الموقع المتخصص بأمن المعلومات.