Een cruciaal softwaresysteem dat wordt gebruikt door Europese grensautoriteiten om illegale migranten en verdachte personen in realtime te signaleren, blijkt vol te zitten met ernstige beveiligingslekken. Dat blijkt uit interne e-mails en vertrouwelijke auditrapporten die zijn ingezien door Bloomberg News en onderzoeksplatform Lighthouse Reports.
Het gaat om het Schengen Informatie Systeem II (SIS II), dat sinds 2013 operationeel is. Het systeem speelt een centrale rol in het EU-grensbeleid en bevat zo’n 93 miljoen meldingen, waaronder gegevens over gestolen voertuigen en identiteitsdocumenten, maar ook over 1,7 miljoen personen, waarvan 195.000 zijn gemarkeerd als mogelijke bedreiging voor de nationale veiligheid.
Kwetsbaar
Volgens een auditrapport van de Europese Toezichthouder voor Gegevensbescherming (EDPS) uit 2024 bevatte SIS II duizenden kwetsbaarheden, waarvan vele werden aangemerkt als van ‘hoge’ ernst. Zo bleek een ‘overmatig aantal accounts’ te beschikken over administratorrechten. Een risico dat volgens de toezichthouder eenvoudig uitgebuit zou kunnen worden door interne aanvallers.
Hoewel er geen aanwijzingen zijn dat er daadwerkelijk gegevens zijn buitgemaakt, zou een datalek volgens experts zoals Romain Lanneau van Statewatch ‘catastrofaal’ zijn. Individuen die in het systeem staan, worden daar immers pas van op de hoogte gesteld wanneer de politie daadwerkelijk optreedt. Een lek zou hen in staat kunnen stellen te vluchten of gegevens te manipuleren.
Kritieke lekken
Verantwoordelijk voor het systeem is de EU-agentschap EU-Lisa, dat grote IT-projecten beheert. Volgens het rapport heeft de Franse aannemer Sopra Steria, belast met het onderhoud van SIS II, in sommige gevallen meer dan vijf jaar gedaan over het verhelpen van ernstige fouten. Dit terwijl contractueel was vastgelegd dat kritieke lekken binnen twee maanden na de release van een beveiligingspatch moesten worden opgelost.
Uit documenten blijkt dat 69 externe medewerkers zonder de juiste veiligheidsmachtiging toegang hadden tot SIS II, waardoor het systeem extra kwetsbaar werd. De audits bekritiseren de gebrekkige interne communicatie bij EU-Lisa en adviseren een helder actieplan om deze kwetsbaarheden aan te pakken.
Zorgen
De zorgen nemen toe nu SIS II binnenkort wordt gekoppeld aan het Entry/Exit System (EES), dat online zal functioneren en automatisch bezoekers registreert. Experts waarschuwen dat deze koppeling de toegankelijkheid voor hackers vergroot en gebruikers daarmee kwetsbaar maakt. De EES-implementatie kampt al met ernstige vertragingen door technische problemen bij IT-leverancier Atos.
Volgens deskundigen zoals Francesca Tassinari (Universiteit van Baskenland) en Leonardo Quattrucci (Center for Future Generations) lijdt de EU onder een structureel gebrek aan expertise in het beheren van complexe IT-aanbestedingen. “Inkoop is nu een bureaucratisch proces, terwijl het een strategische functie zou moeten zijn”, aldus Quattrucci.
Veiligheidscontroles
Hoewel EU-Lisa benadrukt dat er doorlopend risicobeoordelingen en veiligheidscontroles worden uitgevoerd, roept dit rapport ernstige vragen op over de digitale veiligheid van Europese grenssystemen en over het vermogen van de EU om die adequaat te beheren.