Parchetul European investighează rolul rușilor în achiziționarea de software pentru noul sistem de frontieră al UE
Conform documentelor consultate de Financial Times, grupul francez de IT Atos a folosit personalul din Rusia pentru a cumpăra software în 2021 pentru proiectul extrem de sensibil, care vizează colectarea și stocarea datelor biometrice ale tuturor vizitatorilor din afara UE în interiorul blocului comunitar, transmite Digi24.ro.
Dezvăluirea implicării Rusiei a ridicat probleme semnificative de securitate cu privire la ambițioasa revizuire a infrastructurii de frontieră a UE.
Lansarea acesteia rămâne incertă după ce UE a anulat mai multe date limită din cauza unor probleme tehnice.
Acces pentru FSB
Scurgerile de documente sugerează că filiala Atos din Moscova a funcționat sub o licență care ar acorda serviciului de securitate FSB al Rusiei acces la activitatea sa în țară.
Patru persoane la curent cu evenimentele au declarat că personalul de la Moscova a fost direct implicat în achiziționarea de software pentru sistemul de frontieră, activitate care ar necesita în mod normal o autorizație de securitate UE.
Parchetul European (EPPO), condus de românca Laura Codruța Kovesi, investighează implicarea Atos Rusia în proiectul de frontieră, potrivit unor persoane care au cunoștință de anchetă.
EPPO este responsabil pentru investigarea și urmărirea penală a infracțiunilor care afectează interesele financiare ale UE.
EPPO a declarat că nu comentează cazurile și nu confirmă public investigațiile pe care le desfășoară.
Până în prezent nu au fost formulate acuzații, scrie Financial Times.
Ce reprezintă sistemul
Așa-numitul sistem de intrare/ieșire (EES) al UE va colecta date de urmărire a deplasărilor fiecărui călător străin care intră sau iese din blocul comunitar, înregistrând informații biometrice și personale, precum și statutul vizelor acestora.
Atos Belgia a câștigat contractul EES, în valoare de 212 milioane de euro, împreună cu IBM Belgia și Leonardo din Italia în 2019.
OLAF, organismul de supraveghere antifraudă al UE, a investigat anul trecut acuzațiile privind implicarea Atos Rusia, o anchetă care nu a fost dezvăluită anterior.
Acesta a constatat că măsurile luate pe plan intern de EU-Lisa, agenția care pune în aplicare SEE, pentru a aborda „problemele de securitate”, nu au fost suficiente, potrivit unei persoane care cunoaște direct ancheta.
Persoana respectivă a declarat că nu au fost găsite suficiente dovezi pentru a deschide o anchetă în cadrul mandatului antifraudă al OLAF, dar au fost emise recomandări către EU-Lisa pentru remedierea deficiențelor. OLAF a refuzat să comenteze informațiile.
„Suntem conștienți de faptul că EU-Lisa cooperează îndeaproape cu OLAF ... agenția poate lua toate măsurile legale necesare dacă se dovedește necesar”, a declarat un purtător de cuvânt al Comisiei Europene.
EU-Lisa a declarat că era „conștientă de acuzațiile legate de implicarea Atos Russia” în proiect și că „nu a avut niciodată relații contractuale cu Atos Russia”.
Agenția a declarat că „nu a fost identificată nicio încălcare a securității” și că „a continuat să efectueze evaluări sistematice ale securității și a luat toate măsurile relevante de când a aflat despre acest lucru”.
Licențele software necesare pentru anumite părți ale EES au fost achiziționate prin birourile Atos din Moscova în 2021, potrivit documentelor interne obținute de FT.
Nu există nicio dovadă că filiala Atos din Moscova a fost implicată în activitatea EES după invazia la scară largă a Rusiei în Ucraina în 2022. Sucursala Atos din 2016 a funcționat în baza unei licențe acordate de FSB, una dintre agențiile succesoare ale KGB-ului din Uniunea Sovietică.
Aceasta acoperea „dezvoltarea, producția, distribuția de instrumente de criptare (criptografice), sisteme informatice și sisteme de telecomunicații”, conform înregistrărilor publice ruse.
Andrei Soldatov, autor și expert în serviciile de securitate din Rusia, a declarat că o astfel de licență acordă FSB o posibilitate de acces în activitățile Atos Russia.
„Ei se pot uita la tot ceea ce face această companie”, a spus Soldatov.
Atos a declarat că a renunțat la activitățile sale din Rusia în septembrie 2022, în urma invaziei ruse din Ucraina. Atos, IBM și Leonardo au refuzat să comenteze informațiile, adaugă Financial Times.
Îngrijorări cu privire la accesul la un proiect atât de sensibil
Un oficial european a declarat că dezvăluirile despre Atos Rusia au ridicat îngrijorări cu privire la accesul la un proiect atât de sensibil.
„Problema securității vine imediat în minte din cauza cantității enorme de date pe care [EES] ar conține-o”, a declarat acesta.
Atos și-a folosit biroul din Rusia pentru a achiziționa software pentru o parte a EES care ar permite companiilor aeriene să verifice informațiile despre călători, cum ar fi statutul vizei, potrivit documentelor divulgate și a patru persoane implicate în vânzarea de software la Atos, EU-Lisa și furnizorii acestora.
Intermediara din Rusia Iulia Plavunova, o angajată Atos cu sediul la Moscova, a fost contactul „principal” al clientului pentru o achiziție de certificate criptografice de la compania americană AppViewX care ajută la verificarea utilizatorilor acelei părți a EES, conform documentelor divulgate.
Adresa din Moscova a Atos este, de asemenea, menționată în documente în legătură cu o licență de software vândută de grupul elvețian Magnolia pentru așa-numitul middleware care conectează diferite părți ale sistemului informatic.
Atât AppViewX, cât și Magnolia au confirmat că Atos a folosit biroul său din Moscova pentru achiziții, în timp ce contractele lor erau cu Atos Franța și Atos Belgia.
Un fost angajat al Atos care lucra la proiect a declarat că Plavunova „făcea parte din biroul de achiziții” și că „era implicată în mod constant în achizițiile care implicau contractori terți”.
Angajatul a declarat că nu știau că Plavunova era stabilită în Rusia și că acest lucru era „ciudat”, deoarece numai „personalul autorizat de UE” putea fi desemnat pentru proiect.
„Nu a fost identificată nicio încălcare a securității”
În conformitate cu contractul principal EES, consultat de FT, tot personalul contractorilor IT care lucrează la proiect „trebuie să dețină o autorizație de securitate valabilă la nivelul secret UE, eliberată de o autoritate națională de securitate dintr-un stat membru înainte de a furniza servicii”.
EU-Lisa a declarat că „nu a fost identificată nicio încălcare a securității”, deoarece angajatul Atos Rusia „nu a avut acces la sistemele IT, la informațiile sensibile sau la sediile EU-Lisa”.
Software-ul achiziționat de AppViewX nu a fost utilizat niciodată, iar Magnolia a fost utilizat până în 2022, potrivit EU-Lisa.
Plavunova a declarat că a părăsit Atos în 2021 și „nu poate dezvălui nicio informație care aparține fostului său angajator”.
Ea a spus că activitatea sa în calitate de cumpărător de software „nu a avut legătură cu afacerile Atos Rusia” și că Atos „a oferit angajaților oportunități egale de a lucra pentru diferite regiuni.
A fi rus nu înseamnă a lucra pentru FSB”.
Un purtător de cuvânt al Comisiei Europene a declarat că are „deplină încredere în capacitatea EU-Lisa de a gestiona securitatea EES” și că EU-Lisa va „efectua un audit de securitate înainte ca EES să intre în funcțiune”.
