O sistema de informação Schengen de segunda geração (SIS II), utilizado pelas forças de segurança de fronteira da União Europeia, apresenta vulnerabilidades significativas que o tornam suscetível a ataques cibernéticos. Este sistema, essencial para o controle de imigração e identificação de potenciais criminosos, é compartilhado entre a maioria dos estados membros da UE para fins de segurança pública e aplicação da lei.
Um relatório colaborativo entre a Bloomberg e a organização investigativa sem fins lucrativos Lighthouse Reports revelou que o SIS II, em operação desde 2013, possui milhares de falhas de segurança. Uma auditoria da UE classificou essas falhas como de alta gravidade já no ano passado. Embora não haja evidências de roubo de dados, o número excessivo de contas com acesso à base de dados aumenta o risco de exploração. A situação se agrava com a futura integração do SIS II ao sistema de entrada/saída (EES) da UE, que exigirá o registro de dados biométricos para viajantes em áreas associadas a Schengen. A conexão do EES à internet facilitará substancialmente o acesso não autorizado ao SIS II.
Apesar de a maioria dos registros do SIS II se referir a objetos, como veículos roubados (aproximadamente 93 milhões), cerca de 1,7 milhão estão ligados a pessoas. Muitas vezes, os indivíduos não têm conhecimento de que seus dados estão armazenados no sistema até que as autoridades policiais entrem em ação. Um vazamento dessas informações poderia comprometer a segurança, permitindo que indivíduos procurados escapem das autoridades. A Sopra Steria, empresa sediada em Paris responsável pelo desenvolvimento e manutenção do SIS II, levou de oito meses a mais de cinco anos para resolver as vulnerabilidades reportadas, mesmo estando contratualmente obrigada a corrigir problemas críticos em até dois meses após o lançamento de uma correção. A agência da UE responsável por supervisionar sistemas de TI de grande escala como o SIS II, a EU-Lisa, frequentemente terceiriza tarefas para empresas de consultoria externas, em vez de construir sua própria equipe técnica interna, levantando questões sobre a eficácia da gestão de riscos.
Origem: Link