Європейська прокуратура (EPPO) вивчає, як московський офіс ІТ-підрядника допоміг створити нову електронну прикордонну систему ЄС, яка матиме найбільшу базу даних персональних даних у блоці, пише Financial Times.
Згідно з документами, з якими ознайомилася FT, французька ІТ-група “Atos” використовувала співробітників у Росії, щоб придбати програмне забезпечення у 2021 році для надзвичайно конфіденційного проєкту, який має на меті збір і зберігання біометричних даних усіх відвідувачів ЄС з країн, які не входять до блоку.
“Європрокурори розслідують причетність “Atos Russia” до прикордонного проєкту”,‒ йдеться у матеріалі.
Розкриття участі Росії підняло серйозні питання безпеки в амбітній реконструкції прикордонної інфраструктури ЄС. Водночас початок запуску системи залишається невизначеним, оскільки Євросоюз скасував кілька дат через технічні проблеми.
“Злиті” документи свідчать про те, що філія “Atos” у Москві діяла за ліцензією, яка надала службі безпеки ФСБ Росії доступ до її роботи в країні. Четверо людей, обізнані з подіями, розповіли, що московські співробітники брали безпосередню участь у купівлі програмного забезпечення для прикордонної системи, ‒ це робота, яка зазвичай потребує допуску ЄС до секретної інформації.
Один європейський чиновник розповів, що викриття “Atos Russia” порушили нагальні питання щодо доступу до такого чутливого проєкту. “Проблема безпеки відразу спадає на думку через величезний обсяг даних, які EES міститиме”, ‒ заявив він.
Європрокуратура відповідає за розслідування та судове переслідування кримінальних злочинів, які стосується фінансових інтересів ЄС. Станом на сьогодні жодних звинувачень не пред’явлено.
Так звана система в’їзду/виїзду (EES) ЄС збиратиме дані, що відстежують переміщення кожного іноземного мандрівника, що в’їжджає до блоку або виїжджає з нього, реєструючи біометричну та особисту інформацію, а також статус їхньої візи. Atos Belgium виграла контракт EES, який тепер коштує 212 млн євро, разом з IBM Belgium та італійською Leonardo у 2019 році.
Європейське управління з питань запобігання зловживанням та шахрайству (OLAF) торік розслідував обвинувачення щодо причетності “Atos Russia”, однак інформацію про розслідування не розголошували. Джерела повідомили ‒ було встановлено, що заходи, вжиті EU-Lisa, агентством, що впроваджує EES, для вирішення “питань безпеки” були недостатніми. Для відкриття розслідування в рамках антишахрайського мандату OLAF достатніх доказів не знайшли, але EU-Lisa отримала рекомендації “щодо усунення слабких місць”.
EU-Lisa заявила, що знає про обвинувачення, пов’язані з участю “Atos Russia” у проєкті, і що вона “ніколи не мала жодних договірних відносин з Atos Russia”. В Агентстві кажуть, що “не було виявлено жодних порушень безпеки” і що EU-Lisa провело систематичні оцінки безпеки і “зробило всі відповідні дії з моменту отримання інформації”.
Ліцензії на програмне забезпечення, необхідні для EES, придбали через офіси “Atos” у Москві в 2021 році, згідно з внутрішніми документами, отриманими FT. “Немає жодних доказів того, що московське відділення Atos було залучено до роботи EES після повномасштабного вторгнення Росії до України у 2022 році”, ‒ зазначає видання. З 2016 року відділення Atos працювало за ліцензією, виданою ФСБ, одним із агентств-наступників КДБ Радянського Союзу. Згідно з російськими публічними записами, це стосувалося “розробки, виробництва, поширення шифрувальних (криптографічних) засобів, інформаційних систем та телекомунікаційних систем”.
Андрій Солдатов, автор та експерт з російських служб безпеки, сказав, що така ліцензія надає ФСБ “чорний хід” у діяльність Atos Russia ‒ спецслужба може стежити за всім, над чим працює ця компанія.
В “Atos” кажуть, що компанія відмовилася від свого російського бізнесу у вересні 2022 після вторгнення.
Відповідно до “злитих документів” та джерел, які займаються продажем програмного забезпечення в Atos, EU-Lisa та їхніх постачальниках, “Atos” використовував свій російський офіс для закупівлі програмного забезпечення для тої частини системи EES, яке дозволило б авіакомпаніям перевіряти інформацію про мандрівників, як от статус візи. Юлія Плавунова, московська співробітниця Atos, була “основною” контактною особою клієнта для купівлі криптографічних сертифікатів у американської компанії AppViewX, які допомагають перевіряти користувачів цієї частини EES.
Московська адреса “Atos” також вказана у документах у зв’язку з ліцензією на програмне забезпечення, яку продала швейцарська група Magnolia для проміжного програмного забезпечення, яке з’єднує різні частини комп’ютерної системи.AppViewX та Magnolia підтвердили, що “Atos” використовувала свій московський офіс для закупівель, у той час як їхні контракти були з Atos France та Atos Belgium. Колишній співробітник “Atos”, який працював над проєктом, сказав, що
Плавунова була “частиною відділу закупівель” і “вона постійно брала участь у закупівлях за участю сторонніх підрядників”. За його словами, вони не знали, що Плавунова перебуває в Росії, і що це “дивно”, оскільки на проєкт можуть призначати лише “працівників, які мають допуск ЄС”.
Згідно з основним контрактом EES, з яким ознайомилася FT, всі співробітники ІТ-підрядників, які працюють над проєктом, “мають дійсний допуск до секретної інформації ЄС, виданий Управлінням національної безпеки (у державі-члені) до надання послуг”.
EU-Lisa заявила, що “не було виявлено жодних порушень безпеки”, оскільки співробітник Atos Russia “не мав доступу до ІТ-систем, конфіденційної інформації або приміщень EU-Lisa”. Програмне забезпечення, придбане AppViewX, нібито ніколи не використовувалося, а Magnolia використовувалася до 2022 року.
Плавунова заявила, що пішла з Atos у 2021 році і “не може розкривати жодної інформації, яка належить її колишньому роботодавцю”. Вона розповіла, що її діяльність як покупця програмного забезпечення “не пов’язана з бізнесом Atos у Росії” і що Atos “надавала співробітникам рівні можливості для роботи в різних регіонах… Бути росіянином не означає працювати на ФСБ”.
Представник Європейської комісії заявив, що “цілком впевнений у здатності EU-Lisa керувати безпекою EES” і що EU-Lisa “проведе аудит безпеки перед запуском EES”.
- Нові правила в’їзду до країн Шенгенської зони мали набути чинності з 10 листопада. Вони стосуватимуться усіх негромадян ЄС, включно з українцями. Йдеться про нову IT-систему прикордонного контролю – Entry/Exit Scheme (EES).
- Система EES автоматично фіксуватиме в’їзд і виїзд усіх іноземців до країн Шенгенської зони, а під час першого в’їзду у охочих перетнути кордон братимуть біметричні дані: відбитки пальців та фото обличчя для ідентифікації. Їх система зберігатиме три роки. Якщо людина відмовлятиметься надати біометричні дані, їй відмовлятимуть у в’їзді.
- Штампів у паспорті більше не ставитимуть. Реєстрація проходитиме автоматично через термінали самообслуговування.Згодом при кожному перетині кордону потрібно буде сканувати паспорт у терміналі самообслуговування.
- Система EES діятиме в усіх країнах ЄС, крім Кіпру та Ірландії, де залишиться традиційна процедура проставлення штампів.
- Також система застосовуватиметься в чотирьох державах Шенгенської зони, що не входять до ЄС: Ісландії, Ліхтенштейні, Норвегії та Швейцарії.
