بررسی نقش روسیه در خرید نرم‌افزار برای سیستم مرزی اتحادیه اروپا توسط دادستان‌ها

دادستان‌های اروپایی در حال بررسی این موضوع هستند که چگونه دفتر مسکو یک پیمانکار فناوری اطلاعات به ساخت سیستم مرزی الکترونیکی جدید اتحادیه اروپا کمک کرده است، سیستمی که بزرگترین پایگاه داده اطلاعات شخصی این بلوک را ایجاد خواهد کرد.

بر اساس اسنادی که توسط فایننشال تایمز مشاهده شده است، گروه فناوری اطلاعات فرانسوی Atos در سال 2021 از کارمندان خود در روسیه برای خرید نرم‌افزار برای این پروژه بسیار حساس استفاده کرد. هدف از این پروژه جمع آوری و ذخیره داده‌های بیومتریک همه بازدیدکنندگان غیر اتحادیه اروپا به اتحادیه اروپا است.

افشای دخالت روسیه سؤالات امنیتی قابل توجهی را در مورد این بازسازی جاه‌طلبانه زیرساخت‌های مرزی اتحادیه اروپا مطرح کرده است. پس از آنکه اتحادیه اروپا چندین تاریخ هدف را به دلیل مشکلات فنی لغو کرد، آغاز به کار آن همچنان نامشخص است.

اسناد فاش شده نشان می‌دهد که شعبه Atos در مسکو تحت مجوزی فعالیت می‌کرد که به سرویس امنیتی FSB روسیه اجازه دسترسی به کار خود در این کشور را می‌دهد. چهار نفر که از این وقایع اطلاع داشتند گفتند که کارمندان مستقر در مسکو مستقیماً در خرید نرم‌افزار برای سیستم مرزی دخالت داشتند، کاری که معمولاً نیاز به مجوز امنیتی اتحادیه اروپا دارد.

به گفته دو نفر که از این تحقیقات اطلاع دارند، دفتر دادستان عمومی اروپا (EPPO) در حال بررسی دخالت Atos Russia در پروژه مرزی است.

EPPO مسئول بررسی و تعقیب جرایم جنایی است که به منافع مالی اتحادیه اروپا آسیب می‌رساند. EPPO اعلام کرد که در مورد پرونده‌ها اظهار نظر نمی‌کند یا تحقیقاتی را که در حال انجام است به طور علنی تأیید نمی‌کند. تاکنون هیچ اتهامی مطرح نشده است.

به اصطلاح سیستم ورود/خروج (EES) اتحادیه اروپا داده‌های مربوط به تردد هر مسافر خارجی که وارد یا خارج از این بلوک می‌شود را جمع‌آوری می‌کند و اطلاعات بیومتریک و شخصی و همچنین وضعیت ویزای آنها را ثبت می‌کند. Atos بلژیک قرارداد EES را که اکنون 212 میلیون یورو ارزش دارد، به همراه IBM بلژیک و Leonardo ایتالیا در سال 2019 برنده شد.

اولاف، دیده‌بان مبارزه با تقلب اتحادیه اروپا، سال گذشته ادعاهایی مبنی بر دخالت Atos Russia را بررسی کرد، تحقیقاتی که قبلاً فاش نشده بود. به گفته یک فرد مطلع از این تحقیق، این تحقیقات نشان داد که اقداماتی که به طور داخلی توسط EU-Lisa، آژانس مجری EES، برای رسیدگی به "مسائل امنیتی" انجام شده، کافی نبوده است.

سخنگوی کمیسیون اروپا گفت: "ما از این واقعیت آگاه هستیم که EU-Lisa از نزدیک با اولاف همکاری می‌کند و این آژانس در صورت لزوم تمام اقدامات قانونی لازم را انجام می‌دهد."

EU-Lisa گفت که "از اتهامات مربوط به دخالت Atos Russia" در این پروژه "آگاه است و هرگز هیچ رابطه قراردادی با Atos Russia نداشته است".

این آژانس اعلام کرد که "هیچ نقض امنیتی شناسایی نشده است" و "از زمان اطلاع از موضوع، به انجام ارزیابی‌های امنیتی سیستماتیک ادامه داده و تمام اقدامات مربوطه را انجام داده است".

بر اساس اسناد داخلی که توسط FT به دست آمده است، مجوزهای نرم‌افزاری مورد نیاز برای بخش‌هایی از EES از طریق دفاتر Atos در مسکو در سال 2021 خریداری شده است. هیچ مدرکی وجود ندارد که شعبه Atos در مسکو پس از تهاجم تمام عیار روسیه به اوکراین در سال 2022 در کار EES دخالت داشته باشد.

شعبه Atos از سال 2016 تحت مجوزی که توسط FSB، یکی از آژانس‌های جانشین KGB اتحاد جماهیر شوروی، صادر شده بود، فعالیت می‌کرد. بر اساس سوابق عمومی روسیه، این مجوز شامل "توسعه، تولید، توزیع ابزارهای رمزگذاری (رمزنگاری)، سیستم‌های اطلاعاتی و سیستم‌های مخابراتی" بود.

آندری سولداتوف، نویسنده و کارشناس سرویس‌های امنیتی روسیه، گفت که چنین مجوزی به FSB "دری پشتی" برای دسترسی به فعالیت‌های Atos Russia می‌دهد. سولداتوف گفت: "آنها می‌توانند به هر چیزی که این شرکت روی آن کار می‌کند نگاه کنند."

Atos اعلام کرده است که پس از تهاجم، در سپتامبر 2022 از تجارت خود در روسیه جدا شده است. Atos، IBM و Leonardo از اظهار نظر خودداری کردند.

یکی از مقامات اروپایی گفت که افشاگری‌ها در مورد Atos Russia سؤالات فوری در مورد دسترسی به چنین پروژه حساسی را برانگیخته است. وی گفت: "به دلیل حجم عظیمی از داده‌هایی که [EES] شامل آن خواهد بود، مسئله امنیت فورا به ذهن خطور می‌کند."

بر اساس اسناد فاش شده و اظهارات چهار نفر که در فروش نرم‌افزار در Atos، EU-Lisa و تامین کنندگان آنها دخالت داشتند، Atos از دفتر روسیه خود برای تهیه نرم‌افزار برای بخشی از EES استفاده کرد که به خطوط هوایی اجازه می‌دهد اطلاعات مسافران مانند وضعیت ویزا را تأیید کنند.

بر اساس اسناد فاش شده، یولیا پلاونوا، کارمند Atos مستقر در مسکو، "تماس اصلی" مشتری برای خرید گواهی‌های رمزنگاری از شرکت آمریکایی AppViewX بود که به تأیید کاربران آن بخش از EES کمک می‌کند.

آدرس Atos در مسکو نیز در اسناد مربوط به مجوز نرم‌افزاری که توسط گروه سوئیسی Magnolia برای به اصطلاح میان‌افزار که بخش‌های مختلف سیستم کامپیوتری را به هم متصل می‌کند، فروخته شده است، ذکر شده است.

AppViewX و Magnolia تأیید کردند که Atos از دفتر مسکو خود برای تدارکات استفاده کرده است، در حالی که قراردادهای آنها با Atos فرانسه و Atos بلژیک بود.

یکی از کارمندان سابق Atos که در این پروژه کار می‌کرد گفت که پلاونوا "بخشی از دفتر تدارکات" بود و "او به طور مداوم در خریدهایی که شامل پیمانکاران شخص ثالث می‌شد، دخالت داشت".

این کارمند گفت که از اینکه پلاونوا در روسیه مستقر بوده است، آگاه نبوده است و این "عجیب" است زیرا فقط "کارکنان دارای مجوز اتحادیه اروپا" می‌توانند به این پروژه منصوب شوند.

بر اساس قرارداد اصلی EES که توسط FT مشاهده شده است، تمام کارکنان پیمانکاران فناوری اطلاعات که روی این پروژه کار می‌کنند "باید قبل از ارائه خدمات، دارای مجوز امنیتی معتبر در سطح EU Secret باشند که توسط یک سازمان امنیت ملی [در یک کشور عضو] صادر شده باشد".

EU-Lisa اعلام کرد که "هیچ نقض امنیتی شناسایی نشده است" زیرا کارمند Atos Russia "به سیستم‌های IT EU-Lisa، اطلاعات حساس یا اماکن دسترسی نداشته است". به گفته EU-Lisa، نرم‌افزاری که توسط AppViewX خریداری شده بود، هرگز استفاده نشد و Magnolia تا سال 2022 استفاده می‌شد.

پلاونوا گفت که در سال 2021 Atos را ترک کرده است و "نمی‌تواند اطلاعاتی را که متعلق به کارفرمای سابقم است فاش کند". وی گفت که فعالیت وی به عنوان خریدار نرم‌افزار "به تجارت Atos Russia ارتباطی ندارد" و Atos "فرصت‌های برابری را برای کار در مناطق مختلف در اختیار کارکنان قرار داده است... روسی بودن به معنای کار برای FSB نیست."

سخنگوی کمیسیون اروپا گفت که "اعتماد کامل به توانایی EU-Lisa در مدیریت امنیت EES دارد" و EU-Lisa "قبل از راه‌اندازی EES، یک ممیزی امنیتی انجام خواهد داد".

گزارش اضافی توسط کریس کوک در لندن