Procurorii europeni examinează modul în care biroul din Moscova al unui contractor IT a contribuit la construirea noului sistem electronic de frontieră al UE, care va crea cea mai mare bază de date cu informații personale din blocul comunitar. Potrivit documentelor consultate de Financial Times, grupul francez de IT Atos a folosit personal din Rusia pentru a cumpăra software în 2021 pentru proiectul extrem de sensibil, care vizează colectarea și stocarea datelor biometrice ale tuturor vizitatorilor din afara UE în UE. Sucursala Atos din Rusia a funcționat în baza unei licențe acordate de FSB.
Dezvăluirea implicării Rusiei a ridicat probleme semnificative de securitate cu privire la revizuirea ambițioasă a infrastructurii de frontieră a UE. Lansarea acestuia rămâne incertă după ce UE a anulat mai multe date limită din cauza unor probleme tehnice. Documentele divulgate sugerează că filiala Atos din Moscova funcționa în baza unei licențe care ar fi permis serviciului rus de securitate FSB să aibă acces la activitatea sa în țară. Patru persoane la curent cu evenimentele au declarat că personalul de la Moscova a fost direct implicat în achiziționarea de software pentru sistemul de frontieră, activitate care ar necesita în mod normal o autorizație de securitate UE.
Parchetul European (EPPO) investighează implicarea Atos Rusia în proiectul de frontieră, potrivit a două persoane care au cunoștință de anchetă, citate de Financial Times.
OLAF a anchetat din umbră
EPPO este responsabil pentru investigarea și urmărirea penală a infracțiunilor care afectează interesele financiare ale UE. EPPO a declarat că nu comentează cazurile și nu confirmă public investigațiile pe care le desfășoară. Până în prezent nu au fost formulate acuzații.
Așa-numitul sistem de intrare/ieșire (EES) al UE va colecta date care urmăresc deplasările fiecărui călător străin care intră sau iese din Uniune, înregistrând informații biometrice și personale, precum și statutul vizei. Atos Belgia a câștigat contractul EES, în valoare de 212 milioane EUR, împreună cu IBM Belgia și Leonardo din Italia în 2019.
Olaf, organismul de supraveghere antifraudă al UE, a investigat anul trecut acuzațiile privind implicarea Atos Rusia, o anchetă care nu a fost dezvăluită anterior.
Acesta a constatat că măsurile luate pe plan intern de EU-Lisa, agenția care pune în aplicare SEE, pentru a aborda „problemele de securitate” nu au fost suficiente, potrivit unei persoane care cunoaște direct ancheta. Persoana respectivă a declarat că nu au fost găsite suficiente dovezi pentru a deschide o anchetă în cadrul mandatului antifraudă al Olaf, dar au fost emise recomandări către EU-Lisa pentru remedierea deficiențelor.
Olaf a refuzat să comenteze. „Suntem conștienți de faptul că EU-Lisa cooperează îndeaproape cu Olaf … agenția poate lua toate măsurile legale necesare dacă se dovedește necesar”, a declarat un purtător de cuvânt al Comisiei Europene. Recomandat Uniunea Europeană UE va amâna noile controale electronice la frontieră Pasagerii stau cu bagajele în sala de plecări a aeroportului Madrid Barajas EU-Lisa a declarat că este „conștientă de acuzațiile legate de implicarea Atos Russia” în proiect și că „nu a avut niciodată relații contractuale cu Atos Russia”.
Agenția a precizat că „nu a fost identificată nicio încălcare a securității” și că „a continuat să efectueze evaluări sistematice ale securității și a luat toate măsurile relevante de când a aflat despre această problemă”.
Cum ar avea rușii acces la toate datele
Licențele software necesare pentru anumite părți ale EES au fost achiziționate prin birourile Atos din Moscova în 2021, potrivit documentelor interne obținute de FT. Nu există nicio dovadă că filiala Atos din Moscova a fost implicată în activitatea EES după invazia la scară largă a Rusiei în Ucraina în 2022.
Sucursala Atos, din 2016, a funcționat în baza unei licențe acordate de FSB, una dintre agențiile succesoare ale KGB-ului din Uniunea Sovietică.
Aceasta acoperea „dezvoltarea, producția, distribuția de instrumente de criptare (criptografice), sisteme informatice și sisteme de telecomunicații”, conform înregistrărilor publice ruse. Andrei Soldatov, autor și expert în serviciile de securitate din Rusia, a declarat că o astfel de licență acordă FSB o „ușă din spate” în activitățile Atos Russia.
„Se pot uita la tot ceea ce face această companie”, a spus Soldatov. Atos a declarat că a renunțat la activitățile sale din Rusia în septembrie 2022, în urma invaziei. Atos, IBM și Leonardo au refuzat să comenteze. Un oficial european a declarat că dezvăluirile despre Atos Rusia au ridicat întrebări urgente cu privire la accesul la un proiect atât de sensibil. „Problema securității vine imediat în minte din cauza cantității enorme de date pe care [EES] ar conține-o”, a spus acesta.
Atos și-a folosit biroul din Rusia pentru a achiziționa software pentru o parte a SEAE care ar permite companiilor aeriene să verifice informațiile despre călători, cum ar fi statutul vizei, potrivit documentelor divulgate și a patru persoane implicate în vânzarea de software la Atos, EU-Lisa și furnizorii acestora.
Femeia de legătură, din Rusia
Iulia Plavunova, o angajată Atos cu sediul la Moscova, a fost contactul „principal” al clientului pentru o achiziție de certificate criptografice de la compania americană AppViewX care ajută la verificarea utilizatorilor acelei părți a EES, conform documentelor divulgate. Adresa din Moscova a Atos este, de asemenea, menționată în documente în legătură cu o licență de software vândută de grupul elvețian Magnolia pentru așa-numitul middleware care conectează diferite părți ale sistemului informatic.
Atât AppViewX, cât și Magnolia au confirmat că Atos a folosit biroul său din Moscova pentru achiziții, în timp ce contractele lor erau cu Atos Franța și Atos Belgia. Un fost angajat al Atos care lucra la proiect a declarat că Plavunova „făcea parte din biroul de achiziții” și că „era implicată în mod constant în achizițiile care implicau contractori terți”.
Angajatul a declarat că nu știau că Plavunova era stabilită în Rusia și că acest lucru era „ciudat”, deoarece numai „personalul autorizat de UE” putea fi desemnat pentru proiect.
În conformitate cu contractul principal EES, consultat de FT, tot personalul contractorilor IT care lucrează la proiect „trebuie să dețină o autorizație de securitate valabilă la nivelul secret UE, eliberată de o autoritate națională de securitate [dintr-un stat membru] înainte de furnizarea serviciilor”.
EU-Lisa a declarat că „nu a fost identificată nicio încălcare a securității”, deoarece angajatul Atos Rusia „nu a avut acces la sistemele IT, la informațiile sensibile sau la sediile EU-Lisa”. Software-ul achiziționat de AppViewX nu a fost utilizat niciodată, iar Magnolia a fost utilizat până în 2022, potrivit EU-Lisa.
Plavunova a declarat că a părăsit Atos în 2021 și „nu poate dezvălui nicio informație care aparține fostului meu angajator”.
Ea a spus că activitatea sa ca cumpărător de software „nu a avut legătură cu afacerile Atos Rusia” și că Atos „a oferit angajaților oportunități egale de a lucra pentru diferite regiuni . . . A fi rus nu înseamnă a lucra pentru FSB”.
Un purtător de cuvânt al Comisiei Europene a declarat că are „deplină încredere în capacitatea EU-LISA de a gestiona securitatea EES” și că EU-Lisa va „efectua un audit de securitate înainte ca EES să intre în funcțiune”.