AB sınır güçleri tarafından kullanılan Schengen Bilgi Sistemi II (SIS II)’nin yazılım ve güvenlik açıklarıyla dolu olduğu konusunda dahili e-postalar ve denetim raporları yayınlandığı bildiriliyor.
2024’deki gizli bir AB denetimi, SIS II’de aşırı yönetici ayrıcalıklarından potansiyel hizmet reddi ve yetkisiz erişim güvenlik açıklarına kadar binlerce yüksek öneme sahip yazılım açığını ortaya çıkardı.
Herhangi bir ihlal bildirilmese de uzmanlar başarılı bir saldırının şifrelenmiş biyometrik verileri, sınır dışı verilerini ve kolluk kuvvetleri uyarılarını (~1,7 milyon kişi, ~93 milyon kayıt) sızarak felaketle sonuçlanabileceği konusunda uyarıyor.
Denetimler, baş yüklenici Sopra Steria’nın büyük güvenlik açıklarını kapatmak için 8 aydan 5,5 yıla kadar bir süre harcadığını ortaya koydu. Bu, EU-LISA ile yaptığı sözleşmede belirtilen 2 aylık sürenin çok ötesinde.
SIS II şu anda izole bir ağda çalışıyor. Schengen Bölgesine giren veya çıkan her bireyi kaydeden Giriş/Çıkış Sistemine (EES) entegre olması planlanıyor.
SIS II’nin aksine, EES internete bağlanacak ve yeni siber güvenlik sorunları yaratabilecek.
EU-LISA, riskleri bildirimde gecikmeler ve yetersiz dahili güvenlik becerilerine sahip harici danışmanlara aşırı güvenmek gibi nedenlerle eleştiriliyor. Bu nedenle güvenlik düzeltmesi için net, yapılandırılmış bir eylem planı isteniyor ve zamanında güncellemeler ve denetim sağlayarak sözleşme uygulamasının iyileştirilmesi bekleniyor. Ayrıca sistemleri izlemek için EU-LISA’daki dahili kapasitenin güçlendirilmesi önemli.
SIS II’nin Gelişmeleri
SIS II, 2013 yılında orijinal SIS’in yerini almak üzere başlatıldı. EES ile birlikte çalışabilirlik de dahil olmak üzere yenilenen SIS, 7 Mart 2023’te yayına girdi. EES ile tam entegrasyon devam ediyor, ancak kesin bir tamamlanma tarihi açıklanmadı.
Karmaşıklığı ve gösterilen gecikmeler göz önüne alındığında (tarihsel olarak 2008’e kadar uzanıyor) entegrasyonun tam dağıtıma ulaşması yıllar alabilir.
SIS II için acil güvenlik denetimleri ve hedefli yama dağıtımları gerekiyor. Sopra Steria ve diğer satıcılar için daha sıkı sözleşme şartları ve denetim isteniyor. Sağlam siber güvenlik önlemleri doğrulanana kadar EES-SIS entegrasyonunun ertelenmesi veya aşamalı olarak devreye alınması uyarısı yapıldı.
Ayrıca aşırı yönetici ayrıcalıkları ve yavaş yanıt süreleri göz önüne alındığında içeriden erişime yönelik olası soruşturmalar başlatılabilir. SIS II Denetim Koordinasyon Grubu (SCG) süreçlerinin gerçek zamanlı denetim ve şeffaflık içerecek şekilde yükseltilmesi de gerekiyor.
Özetle SIS II, AB sınır güvenliğinin temel taşlarından biri, ama şu anda açıkta ve yetersiz güvenliğe sahip. İnternete bağlı EES’ye entegrasyon ciddi güvenlik riskleri doğurur.
AB’nin acil düzeltmeler, sözleşme yaptırımı ve güvenlik açıkları tamamen giderilene kadar daha fazla dağıtımda gecikmeler uygulaması bekleniyor.
Kaynak : 