Η πρόσφατη αποκάλυψη μιας τεράστιας σκιώδους υποδομής IT (shadow IT system) στη Europol έχει προκαλέσει σφοδρές αντιδράσεις στους κόλπους της Ευρωπαϊκής Ένωσης, καθώς η υπηρεσία φέρεται να διατηρούσε δεδομένα εκατομμυρίων ανθρώπων χωρίς επαρκή έλεγχο.

Που ήταν τα υπόλοιπα Magura V3 και γιατί βρέθηκε μόνο ένα σκάφος στην Λευκάδα; Ποιος ήταν ο πραγματικός στόχος του Κιέβου

Πρόκειται για μια διεθνή έρευνα που δημοσιεύτηκε από το Computer Weekly μαζί με το Solomon και το Correctiv και υπογράφηκε από τους δημοσιογράφους Apostolis Fotiadis, Gaicomo Zandonini, Luděk Stavinoha, Frida Thurm, Lydia Emmanouilidou, Bill Goodwin και Sebastián Klovig Skelton αποκάλυψε την ύπαρξη ενός παράλληλου συστήματος υπολογιστών εντός της Europol που φέρεται να λειτουργούσε για χρόνια με μεγάλους όγκους προσωπικών δεδομένων χωρίς τις νομικές και τεχνικές εγγυήσεις που απαιτούνται από τη νομοθεσία της Ευρωπαϊκής Ένωσης. 

Σύμφωνα με αυτήν την έρευνα, η ευρωπαϊκή αστυνομική υπηρεσία φέρεται να ανέπτυξε και να χρησιμοποίησε μια "εσωτερική υποδομή" που ονομάζεται Δίκτυο Εγκληματολογίας Υπολογιστών (CFN), η οποία αρχικά σχεδιάστηκε ως περιβάλλον για την ανάλυση σύνθετων εγκληματολογικών δεδομένων.

Νοροϊός σε κρουαζιερόπλοιο στην Καραϊβική με πάνω από 100 ασθενείς

Ωστόσο, εσωτερικά έγγραφα, διαρροές email και μαρτυρίες πρώην αξιωματούχων υποδηλώνουν ότι αυτό το σύστημα κατέληξε να γίνει η κύρια πλατφόρμα ανάλυσης δεδομένων της Europol, αποθηκεύοντας εξαιρετικά ευαίσθητες πληροφορίες και λειτουργώντας εκτός των συνήθων ελέγχων της ΕΕ.

Το σύστημα φέρεται να περιείχε τουλάχιστον 2 petabytes δεδομένων το 2019, συμπεριλαμβανομένων τηλεφωνικών αρχείων, εγγράφων ταυτότητας και πληροφοριών γεωγραφικής τοποθεσίας.

Ορισμένες από αυτές τις πληροφορίες φέρεται να αφορούσαν άτομα που δεν ήταν ύποπτα για διάπραξη εγκλημάτων, εγείροντας σοβαρά ερωτήματα σχετικά με τη συμμόρφωσή του με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR).

Πρώην αξιωματούχοι που αναφέρονται στην έρευνα περιγράφουν το CFN ως ένα «παράλληλο υπολογιστικό περιβάλλον» που δεν διαθέτει βασικά μέτρα ασφαλείας, όπως αποτελεσματικά μέτρα ελέγχου πρόσβασης, αρχεία καταγραφής δραστηριότητας ή εποπτεία στην τροποποίηση δεδομένων.

Στην πράξη, αυτό θα επέτρεπε την πρόσβαση και την επαναχρησιμοποίηση μεγάλου όγκου πληροφοριών σε έρευνες χωρίς επαρκείς εγγυήσεις.

Μία από τις πιο εντυπωσιακές μαρτυρίες που συλλέχθηκαν στην έρευνα συνοψίζει την κατάσταση με μια φράση που αποδίδεται σε έναν πρώην υψηλόβαθμο αξιωματούχο της υπηρεσίας: «Προστατεύουν τον νόμο ενώ τον παραβιάζουν».

Στρατιωτικό drone στη Λευκάδα: Τα ερωτήματα για το «φονικό» εύρημα και η συγκλονιστική μαρτυρία του ψαρά που το εντόπισε

Η προέλευση του συστήματος χρονολογείται από το 2012, όταν η Europol το δημιούργησε για να υποστηρίξει την ανάλυση σύνθετων δεδομένων σε ποινικές έρευνες.

Ωστόσο, η χρήση του φέρεται να επεκτάθηκε σημαντικά μετά τις επιθέσεις του Παρισιού το 2015, όταν η υπηρεσία της ΕΕ αντιμετώπισε αυξανόμενη πίεση για να βελτιώσει την ικανότητά της να αναλύει μεγάλους όγκους πληροφοριών σε αντιτρομοκρατικές έρευνες.

Σε αυτό το πλαίσιο, δημιουργήθηκε η Ομάδα Εργασίας Fraternité, στην οποία τα κράτη μέλη άρχισαν να στέλνουν μεγάλες ποσότητες δεδομένων, συμπεριλαμβανομένων τηλεφωνικών καταγραφών και υλικού πληροφοριών. Ορισμένες από αυτές τις πληροφορίες κατέληξαν να υποβάλλονται σε επεξεργασία στο CFN, το οποίο, σύμφωνα με την έρευνα, εξελίχθηκε σε ένα κεντρικό σύστημα για την επιχειρησιακή ανάλυση της υπηρεσίας.

Εκτός των επίσημων συστημάτων

Εσωτερικά έγγραφα αποκαλύπτουν επίσης την ύπαρξη ενός δεύτερου περιβάλλοντος γνωστού ως «χύτρα ταχύτητας», που χρησιμοποιείται από την αντιτρομοκρατική μονάδα της Europol για την ανάλυση δεδομένων ανοιχτού κώδικα στο διαδίκτυο εκτός των επίσημων συστημάτων της υπηρεσίας.

Η έρευνα υποστηρίζει ότι και τα δύο συστήματα λειτουργούσαν με περιορισμένη εποπτεία και μερικές φορές εν αγνοία του κύριου φορέα εποπτείας της ιδιωτικής ζωής της Ευρωπαϊκής Ένωσης μέχρι το 2019.

Μια εσωτερική έκθεση του υπεύθυνου προστασίας δεδομένων της Europol, Daniel Drewer, προειδοποίησε την ίδια χρονιά ότι έως και το 99% των δεδομένων του οργανισμού θα μπορούσαν να αποθηκευτούν στο CFN χωρίς τις εγγυήσεις που απαιτούνται από τους ευρωπαϊκούς κανονισμούς.

Το έγγραφο προειδοποιούσε επίσης ότι το σύστημα είχε δομικά ελαττώματα ασφαλείας και ότι η χρήση του θα μπορούσε να οδηγήσει σε παρέμβαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (EDPS), με ακραίο κίνδυνο παράλυσης της δραστηριότητας της Europol.

Μεταξύ των προβλημάτων που εντοπίστηκαν ήταν η απουσία επαρκών ελέγχων πρόσβασης, η έλλειψη αρχείων καταγραφής ελέγχου, η απεριόριστη εγκατάσταση λογισμικού και ο πολλαπλασιασμός λογαριασμών με διαχειριστικά προνόμια, τα οποία, σύμφωνα με τους αναφερόμενους εμπειρογνώμονες, αύξησαν τον κίνδυνο εσωτερικών καταχρήσεων και εξωτερικών επιθέσεων.

Η αποκάλυψη συμπίπτει με τις προσπάθειες της Ευρωπαϊκής Επιτροπής να διευρύνει την εντολή (mandate) της Europol και να αυξήσει τον προϋπολογισμό της.

Μέλη του Ευρωπαϊκού Κοινοβουλίου (MEPs) ζητούν ήδη να παγώσει η επέκταση της Europol μέχρι να υπάρξει πλήρης λογοδοσία.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) είχε διατάξει από το 2022 τη διαγραφή δεδομένων που κρατούνταν παράνομα, αλλά η Europol φέρεται να μην εφάρμοσε κρίσιμες συστάσεις ασφαλείας ακόμα και μέχρι το 2026.

Υπενθυμίζουμε ότι ο προϋπολογισμός της Europol αυξήθηκε από τα 207 εκατ. € το 2023 στα 241 εκατ. € το 2025, με προοπτική διπλασιασμού του προσωπικού.

 Η Europol υποστηρίζει ότι η ανάλυση μεγάλων δεδομένων είναι απαραίτητη για την καταπολέμηση του σοβαρού εγκλήματος, ωστόσο η κριτική εστιάζει στο ότι η υπηρεσία λειτουργεί πέρα από τα νομικά της όρια, και ο κίνδυνος είναι τεράστιος για την χρήση αυτών των τεράστιων δεδομένων από πολίτες της Ευρώπης, που δεν εμπλέκονται σε κανένα έγκλημα.