Європейська прокуратура (EPPO) вивчає, як московський офіс ІТ-підрядника допоміг створити нову електронну прикордонну систему ЄС, яка матиме найбільшу базу даних персональних даних у блоці, пише Financial Times.
Згідно з документами, з якими ознайомилася FT, французька ІТ-група “Atos” використовувала співробітників у Росії, щоб придбати програмне забезпечення у 2021 році для надзвичайно конфіденційного проєкту, який має на меті збір і зберігання біометричних даних усіх відвідувачів ЄС з країн, які не входять до блоку.
“Європрокурори розслідують причетність “Atos Russia” до прикордонного проєкту... Станом на сьогодні жодних обвинувачень не пред'явлено”,‒ йдеться у матеріалі.
Розкриття участі Росії підняло серйозні питання безпеки в амбітній реконструкції прикордонної інфраструктури ЄС. Водночас початок запуску системи залишається невизначеним, оскільки Євросоюз скасував кілька дат через технічні проблеми.
“Злиті” документи свідчать про те, що філія “Atos” у Москві діяла за ліцензією, яка надала службі безпеки ФСБ Росії доступ до її роботи в країні. Четверо людей, обізнані з подіями, розповіли, що московські співробітники брали безпосередню участь у купівлі програмного забезпечення для прикордонної системи, ‒ це робота, яка зазвичай потребує допуску ЄС до секретної інформації.
Один європейський чиновник розповів, що викриття “Atos Russia” порушили нагальні питання щодо доступу до такого чутливого проєкту. “Проблема безпеки відразу спадає на думку через величезний обсяг даних, які EES міститиме”, ‒ заявив він.
Так звана система в'їзду/виїзду (EES) ЄС збиратиме дані, що відстежують переміщення кожного іноземного мандрівника, що в'їжджає до блоку або виїжджає з нього, реєструючи біометричну та особисту інформацію, а також статус їхньої візи. Atos Belgium виграла контракт EES, який тепер коштує 212 млн євро, разом з IBM Belgium та італійською Leonardo у 2019 році.
Розслідування Євроуправління з питань запобігання шахрайству (OLAF) щодо “Atos Russia”
Європейське управління з питань запобігання зловживанням та шахрайству (OLAF) торік розслідувало обвинувачення щодо причетності “Atos Russia”, однак інформацію про розслідування не розголошували. За інформацією джерел, заходи, вжиті EU-Lisa, агентством, що впроваджує EES, для вирішення “питань безпеки” були недостатніми. Для відкриття розслідування в рамках антишахрайського мандату OLAF достатніх доказів не знайшли, але EU-Lisa отримала рекомендації “щодо усунення слабких місць”.
У EU-Lisa заявили, що знають про обвинувачення, пов'язані з участю “Atos Russia” у проєкті, і що агентство “ніколи не мало жодних договірних відносин з Atos Russia”. В агентстві кажуть, що “не було виявлено жодних порушень безпеки” і що EU-Lisa провело систематичні оцінки безпеки і “зробило всі відповідні дії з моменту отримання інформації”.
Ліцензії на програмне забезпечення, необхідні для EES, придбали через офіси “Atos” у Москві в 2021 році, згідно з внутрішніми документами, отриманими FT. “Немає жодних доказів того, що московське відділення Atos було залучено до роботи EES після повномасштабного вторгнення Росії до України у 2022 році”, ‒ зазначає видання. З 2016 року відділення Atos працювало за ліцензією, виданою ФСБ, одним із агентств-наступників КДБ Радянського Союзу. Згідно з російськими публічними записами, це стосувалося “розробки, виробництва, поширення шифрувальних (криптографічних) засобів, інформаційних систем та телекомунікаційних систем”.
Андрій Солдатов, автор та експерт з російських служб безпеки, сказав, що така ліцензія надає ФСБ “чорний хід” у діяльність Atos Russia ‒ спецслужба може стежити за всім, над чим працює ця компанія.
В “Atos” кажуть, що компанія відмовилася від свого російського бізнесу у вересні 2022 після вторгнення.
Відповідно до “злитих документів” та джерел, які займаються продажем програмного забезпечення в "Atos", EU-Lisa та їхніх постачальниках, “Atos” використовував свій російський офіс для закупівлі програмного забезпечення для тої частини системи EES, яка дозволяє авіакомпаніям перевіряти інформацію про мандрівників, як от статус візи. Юлія Плавунова, московська співробітниця Atos, була “основною” контактною особою клієнта для купівлі криптографічних сертифікатів у американської компанії AppViewX, які допомагають перевіряти користувачів цієї частини EES.
Московська адреса “Atos” також вказана у документах у зв'язку з ліцензією, яку продала швейцарська група Magnolia для проміжного програмного забезпечення, яке з'єднує різні частини комп'ютерної системи. AppViewX та Magnolia підтвердили, що “Atos” використовувала свій московський офіс для закупівель, у той час як їхні контракти були з "Atos France" та "Atos Belgium".
За словами колишнього співробітника "Atos", Плавунова була “частиною відділу закупівель” і “вона постійно брала участь у закупівлях за участю сторонніх підрядників”. Він підкреслює ‒ вони не знали, що Плавунова перебуває в Росії, і що це “дивно”, оскільки на проєкт можуть призначати лише “працівників, які мають допуск ЄС”.
Згідно з основним контрактом EES, з яким ознайомилася FT, всі співробітники ІТ-підрядників, які працюють над проєктом, "мають дійсний допуск до секретної інформації ЄС, виданий Управлінням національної безпеки (у державі-члені) до надання послуг”.
EU-Lisa заявила, що “не було виявлено жодних порушень безпеки”, оскільки співробітник Atos Russia “не мав доступу до ІТ-систем, конфіденційної інформації або приміщень EU-Lisa”. Програмне забезпечення, придбане AppViewX, нібито ніколи не використовувалося, а Magnolia використовувалася до 2022 року.
Плавунова заявила, що пішла з Atos у 2021 році і “не може розкривати жодної інформації, яка належить її колишньому роботодавцю”. Вона розповіла, що її діяльність як покупця програмного забезпечення “не пов'язана з бізнесом Atos у Росії” і що Atos “надавала співробітникам рівні можливості для роботи в різних регіонах... Бути росіянином не означає працювати на ФСБ”.
Представник Європейської комісії заявив, що “цілком впевнений у здатності EU-Lisa керувати безпекою EES” і що EU-Lisa “проведе аудит безпеки перед запуском EES”.
- Нові правила в’їзду до країн Шенгенської зони мали набути чинності з 10 листопада. Однак запуск нової IT-системи прикордонного контролю – Entry/Exit Scheme (EES) знову відклали, бо держави-члени все ще не готові до зміни порядку перетину кордону.
- Зміни стосуватимуться усіх негромадян ЄС, включно з українцями. Система EES автоматично фіксуватиме в’їзд і виїзд усіх іноземців до країн Шенгенської зони, а під час першого в’їзду у охочих перетнути кордон братимуть біметричні дані: відбитки пальців та фото обличчя для ідентифікації. Їх система зберігатиме три роки. Якщо людина відмовлятиметься надати біометричні дані, їй відмовлятимуть у в'їзді.
- Штампів у паспорті більше не ставитимуть. Реєстрація проходитиме автоматично через термінали самообслуговування.Згодом при кожному перетині кордону потрібно буде сканувати паспорт у терміналі самообслуговування.
- Система EES діятиме в усіх країнах ЄС, крім Кіпру та Ірландії, де залишиться традиційна процедура проставлення штампів.
- Також система застосовуватиметься в чотирьох державах Шенгенської зони, що не входять до ЄС: Ісландії, Ліхтенштейні, Норвегії та Швейцарії.
- Зараз міністрам закордонних справ країн ЄС пропонують альтернативні варіанти: або вводити систему поступово, в кожному окремо взятому пункті пропуску, або погодитися на "лайтову" версію EES, коли біометричну інформацію будуть збирати не одразу на кордоні, а пізніше, наприклад, через мобільний додаток.