ЕС разследва ролята на Русия в купуването на софтуер за граничната система

Европейските прокурори проучват как московският офис на ИТ изпълнител е помогнал за изграждането на новата електронна гранична система на ЕС, която ще създаде най-голямата база данни с лична информация в блока, пише Financial Times. Според документи, с които разполага Financial Times, френската IT група Atos е използвала персонал в Русия, за да закупи софтуер през 2021 г. за изключително чувствителния проект, който има за цел да събира и съхранява биометрични данни за всички посетители извън ЕС в ЕС.

Разкриването на руското участие повдигна значителни въпроси за сигурността относно амбициозния ремонт на граничната инфраструктура на ЕС. Стартирането му остава несигурно, след като ЕС отмени няколко целеви дати поради технически проблеми.

Изтеклите документи предполагат, че клонът на Atos в Москва е работил с лиценз, който би предоставил на руската служба за сигурност ФСБ достъп до работата й в страната. Четирима души, запознати със събитията, казаха, че базираният в Москва персонал е участвал пряко в закупуването на софтуер за граничната система, работа, която обикновено изисква разрешение за сигурност на ЕС. Европейската прокуратура (EPPO) проучва участието на Atos Russia в граничния проект, според двама души, запознати с разследването.

Европейската прокуратура отговаря за разследването и наказателното преследване на престъпления, засягащи финансовите интереси на ЕС. Европейската прокуратура заяви, че не коментира случаи и не потвърждава публично разследванията, които провежда. До момента няма повдигнати обвинения.

Така наречената система за влизане/излизане на ЕС (EES) ще събира данни, проследяващи движенията на всеки чуждестранен пътник, влизащ или излизащ от блока, записвайки биометрична и лична информация, както и техния визов статус. Atos Белгия спечели договора за EES, сега на стойност 212 милиона евро, заедно с IBM Белгия и италианската Leonardo през 2019 г.
Олаф, надзорният орган на ЕС за борба с измамите, миналата година разследва твърдения относно участието на Atos Russia, разследване, което не е било оповестено досега. Той установи, че мерките, взети вътрешно от EU-Lisa, агенцията, прилагаща EES, за справяне с „проблемите със сигурността“ не са достатъчни, според един човек, който е пряко запознат с разследването.

Не са открити достатъчно доказателства за започване на разследване съгласно мандата на Олаф за борба с измамите, каза лицето, но са издадени препоръки към EU-Lisa за отстраняване на слабостите. Олаф отказа коментар.

„Наясно сме с факта, че EU-Lisa си сътрудничи тясно с Olaf, агенцията може да предприеме всички необходими правни действия, ако се окаже необходимо“, каза говорител на Европейската комисия.

EU-Lisa заяви, че е „наясно с обвиненията, свързани с участието на Atos Russia“ в проекта и че „никога не е имала никакви договорни отношения с Atos Russia“.

Агенцията каза, че „няма идентифициран пробив в сигурността“ и че е „продължила да извършва систематични оценки на сигурността и е предприела всички съответни действия, откакто е научила за въпроса“.

Софтуерните лицензи, необходими за части от EES, бяха закупени чрез офисите на Atos в Москва през 2021 г., според вътрешни документи, получени от FT. Няма доказателства московският клон на Atos да е участвал в работата по EES след пълномащабното нахлуване на Русия в Украйна през 2022 г.

От 2016 г. клонът на Atos работи с лиценз, издаден от ФСБ, една от агенциите наследници на КГБ на Съветския съюз. Това обхваща „разработването, производството, разпространението на криптиращи (криптографски) инструменти, информационни системи и телекомуникационни системи“, според руските публични регистри.

Андрей Солдатов, автор и експерт по руските служби за сигурност, каза, че подобен лиценз дава на ФСБ „заден вход“ в дейностите на Atos Russia. „Те могат да видят всичко, върху което работи тази компания“, каза Солдатов.

Atos каза, че се е отказал от руския си бизнес през септември 2022 г. след инвазията. Atos, IBM и Leonardo отказаха коментар.
Европейски служител, пожелал анонимност, каза, че разкритията за Atos Russia повдигат спешни въпроси относно достъпа до такъв чувствителен проект.

„Проблемът със сигурността веднага идва на ум поради огромното количество данни, които [EES] ще съдържа“, казаха те.
Atos използва руския си офис, за да закупи софтуер за част от EES, който ще позволи на авиокомпаниите да проверяват информацията за пътниците, като статут на виза, според изтеклите документи и четирима души, участващи в продажбите на софтуер в Atos, EU-Lisa и техните доставчици.

Юлия Плавунова, базиран в Москва служител на Atos, е била „основният“ контакт с клиенти за закупуване на криптографски сертификати от американската компания AppViewX, които помагат за проверка на потребителите на тази част от EES, според изтеклите документи.

Московският адрес на Atos също е посочен в документите във връзка със софтуерен лиценз, продаден от швейцарската група Magnolia за така наречения междинен софтуер, който свързва различни части на компютърната система. Както AppViewX, така и Magnolia потвърдиха, че Atos е използвала московския си офис за доставки, докато техните договори са били с Atos Франция и Atos Белгия. Бивш служител на Atos, работещ по проекта, каза, че Плавунова е била „част от службата за обществени поръчки“ и че „тя е постоянно участвала в покупки, включващи трети страни-изпълнители“.

Служителят каза, че не са знаели, че Плавунова е базирана в Русия и че това е „странно“, тъй като само „персонал с разрешение от ЕС“ може да бъде назначен за проекта.

Според основния договор за EES, видян от FT, целият персонал на ИТ изпълнителите, работещ по проекта, „трябва да притежава валидно разрешение за сигурност на ниво EU Secret, издадено от Национален орган по сигурността [в държава членка] преди предоставяне на услуги“.

EU-Lisa каза, че „няма идентифициран пробив в сигурността“, тъй като служителят на Atos Russia „не е имал достъп до ИТ системите на EU-Lisa, чувствителната информация или помещенията“. Софтуерът, закупен от AppViewX, никога не е бил използван и Magnolia е бил използван до 2022 г., според EU-Lisa.

Плавунова каза, че е напуснала Atos през 2021 г. и „не може да разкрие никаква информация, която принадлежи на бившия ми работодател“. Тя каза, че нейната дейност като купувач на софтуер „не е свързана с бизнеса на Atos Русия“ и че Atos „предоставя на служителите равни възможности да работят за различни региони. . . Да си руснак не означава да работиш за ФСБ.

Говорител на Европейската комисия каза, че има „пълно доверие в капацитета на EU-Lisa да управлява сигурността на EES“ и че EU-Lisa ще „извърши одит на сигурността, преди EES да започне да работи“.