审计报告称欧洲申根边境软件易受黑客攻击——彭博社

bloomberg

2025-07-02

葡萄牙里斯本温贝托·德尔加多机场为抵达旅客设置的自动护照查验机。

摄影师：Horacio Villalobos/Getty Images

根据彭博新闻与调查新闻机构Lighthouse Reports获取的邮件和机密审计报告，欧盟边境部队用于实时标记非法移民和犯罪嫌疑人的信息共享系统存在大量软件漏洞与安全隐患。

申根信息系统II存在数千个网络安全问题，欧盟审计机构欧洲数据保护监督员在2024年报告中将其评估为"高危"级别。报告还发现"过量"账户拥有该数据库的 administrator 级权限，形成了"可能被内部攻击者利用的可避免弱点"。

尽管没有证据表明SIS II数据遭到访问或窃取，但欧盟监督机构Statewatch的法律研究员Romain Lanneau表示，一旦发生违规事件"将造成灾难性后果，可能影响数百万人"。

2013年首次投入使用的SIS II系统，是欧盟在全球各国政府对移民采取更强硬立场之际，利用数字和生物识别技术强化外部边境的重要举措。该系统允许成员国在标记人员（包括恐怖嫌疑人和未执行逮捕令人员）试图跨越欧盟边境时，实时发布和查看警报。

目前运行在隔离网络上的SIS II系统最终将与欧盟的出入境系统（EES）整合，该系统将实现欧盟每年数亿访客的自动登记。报告警告称，由于EES将接入互联网，黑客可能更容易访问高度敏感的SIS II数据库。

SIS II发布的警报可能包含嫌疑人照片及犯罪现场提取的指纹等生物特征数据。自2023年3月起，警报还纳入了所谓的“遣返决定”——即标记人员驱逐出境的法律裁决。虽然该系统约9300万条记录中绝大多数涉及被盗车辆和身份证件等物品，但约有170万条与人员相关。

4月15日里斯本温贝托·德尔加多机场，葡萄牙政要听取警官讲解欧盟外部边境管控新系统。摄影师：Horacio Villalobos/Getty Images其中，有19.5万条信息被标记为可能对国家安全构成威胁。由于个人通常只有在执法部门采取行动时才会知晓自己的信息被录入SIS II系统，数据泄露可能使通缉犯更容易逃避追捕。

审计文件显示，SIS II系统存在被黑客通过洪水攻击瘫痪的风险，也可能遭受外部人员未经授权访问的攻击。根据报告及欧盟机构与Sopra Steria公司的往来邮件，当负责监管SIS II等大型IT项目的欧盟机构EU-Lisa向该系统开发维护方——总部位于巴黎的Sopra Steria公司通报这些问题时，该公司耗时8个月至5年半不等才完成修复。

邮件和两份审计报告表明，根据与EU-Lisa的合同条款，Sopra Steria本应在补丁发布后两个月内修复"严重及高危"软件漏洞。

Sopra Steria发言人拒绝对SIS II安全漏洞的具体指控清单作出回应，但在声明中表示公司始终遵循欧盟协议。“作为欧盟安全基础设施的核心组成部分，SIS II受严格的法律、法规和合同框架约束，“发言人表示，“Sopra Steria的所有工作均在这些框架下开展。”

彭博社与Lighthouse Reports获取的邮件显示，2022年EU-Lisa员工曾多次向Sopra Steria提出网络安全问题。在一封邮件中，Sopra Steria辩称修复部分漏洞需额外支付1.9万欧元。而根据项目费用明细文件，EU-Lisa回应称这项工作应包含在现有合同中——该合同已包含每月51.9万至61.9万欧元的"纠正性维护"费用。

欧盟数据保护监督机构的审计还指出，尽管未获得必要的安全许可，但69名非欧盟直接雇用的团队成员仍能访问SIS II系统。目前尚不清楚这些人员是Sopra Steria员工还是其他承包商。

Sopra Steria公司位于巴黎拉德芳斯商务区的办公室。摄影师：Laurent Grandguillot/REA/Redux审计报告将部分疏漏归咎于欧盟-Lisa机构，该机构在发现安全漏洞后未向管理委员会通报。文件中，审计人员描述该欧盟机构正面临"组织性与技术性安全缺口"的困境，建议其制定包含"明确战略"的漏洞应对行动计划。除SIS II系统外，该机构还维护着名为Eurodac的寻求庇护者指纹数据库，以及类似美国ESTA的签证豁免系统。

欧盟-Lisa发言人表示无法对机密文件置评，但强调"该机构管理的所有系统都持续进行风险评估、定期漏洞扫描及安全测试”。

“所有已识别的风险都会根据严重程度进行评估、优先级排序和处理，同时制定适当的缓解措施并密切监控。“发言人补充道。

据三位不愿具名的知情人士透露，SIS II系统的隐患部分源于欧盟-Lisa过度依赖咨询公司而非自主培养技术能力的倾向。这一定程度上是由于项目交付压力所致，该机构缺乏足够人手快速完成任务。

旨在实现欧洲访客登记自动化的高科技边境系统——出入境系统（Entry/Exit System），以及另一个由欧盟-Lisa监管的项目，也一直举步维艰。该系统原定于2022年启动，但由于主要由法国IT公司Atos导致的技术问题，已多次推迟，彭博社和灯塔报告在12月报道。欧盟委员会表示两个月前，成员国将在10月启动EES的部分功能。

过去十年间，欧盟一直在尝试实施所谓的智能边境，以追踪日益增长的入境人员。巴斯克大学律师兼研究员、欧盟IT系统专家弗朗西斯卡·塔西纳里表示，2012年成立像欧盟-Lisa这样的分散机构本应使开发这些系统更加容易。“但不幸的是，事实证明该机构不足以管理项目的规模和复杂性。”

未来世代中心高级研究员莱昂纳多·夸特鲁奇解释说，部分原因在于欧盟缺乏在采购和管理这些合同方面有经验的人员。

“采购应被视为一项战略职能，但目前它只是一个合规流程，”他说。“你需要让流程的负责人成为专家。”