Los fiscales europeos están examinando cómo la oficina de Moscú de un contratista de TI ayudó a construir el nuevo sistema fronterizo electrónico de la UE, que establecerá la base de datos de información personal más grande del bloque.
Según los documentos observados por el Financial Times, el Grupo de TI francés ATOS usó al personal en Rusia para comprar software en 2021 para el proyecto altamente sensible, cuyo objetivo es recopilar y almacenar datos biométricos en todos los visitantes de la UE a la UE.
La divulgación de la participación rusa ha planteado preguntas de seguridad significativas sobre la ambiciosa revisión de la infraestructura fronteriza de la UE. Su lanzamiento sigue siendo incierto después de que la UE desechó varias fechas objetivo debido a problemas técnicos.
Los documentos filtrados sugieren que la sucursal de ATOS en Moscú operaba bajo una licencia que otorgaría el acceso al servicio de seguridad FSB de Rusia a su trabajo en el país. Cuatro personas con conocimiento de los eventos dijeron que el personal con sede en Moscú estaba directamente involucrado en la compra de software para el sistema fronterizo, trabajo que generalmente requeriría una autorización de seguridad de la UE.
La Oficina del Fiscal Público Europeo (EPPO) está investigando la participación de Atos Rusia en el Proyecto Fronterizo, según dos personas con conocimiento de la investigación.
El EPPO es responsable de investigar y enjuiciar delitos penales que afectan los intereses financieros de la UE. El EPPO dijo que no hace comentarios sobre casos ni confirma públicamente las investigaciones que está realizando. No se han presentado cargos hasta la fecha.
El llamado sistema de entrada/salida de la UE (EES) recopilará datos que rastrean los movimientos de cada viajero extranjero que ingresa o saldrá del bloque, registrando información biométrica y personal, así como su estado de visa. Atos Bélgica ganó el contrato de EES, ahora por valor de 212 millones de euros, junto con IBM Belgium e Italy’s Leonardo en 2019.
Olaf, el perro guardián antifraude de la UE, investigó el año pasado acusaciones sobre la participación de Atos Rusia, una investigación que no se ha revelado previamente. Encontró que las medidas tomadas internamente por EU-LISA, la agencia que implementa el EES, para abordar los “problemas de seguridad” no eran suficientes, según una persona con conocimiento directo de la investigación.
Se encontró que la evidencia insuficiente abre una investigación bajo el mandato antifraude de Olaf, dijo la persona, pero se emitieron recomendaciones a EU-LISA para abordar las debilidades. Olaf declinó hacer comentarios.
“Somos conscientes del hecho de que Eu-Lisa está cooperando estrechamente con OLAF. . . La agencia puede tomar todas las acciones legales necesarias si es necesario ”, dijo un portavoz de la Comisión Europea.
EU-Lisa dijo que era “consciente de las acusaciones relacionadas con la participación de la Rusia de la Atos” en el proyecto y que “nunca tuvo ninguna relación contractual con las Atos Rusia”.
La agencia dijo que “no ha habido violación de seguridad identificada” y que “había seguido realizando evaluaciones de seguridad sistemáticas y ha tomado todas las medidas relevantes desde el aprendizaje del asunto”.
Las licencias de software necesarias para partes del EES se compraron a través de las oficinas de Atos en Moscú en 2021, de acuerdo con los documentos internos obtenidos por el FT. No hay evidencia de que la sucursal de Moscú de ATOS estuvo involucrada en el trabajo de EES después de la invasión a gran escala de Rusia de Ucrania en 2022.
La sucursal de ATOS, desde 2016, operaba bajo una licencia otorgada por la FSB, una de las agencias sucesoras de la KGB de la Unión Soviética. Esto cubrió el “desarrollo, producción, distribución de herramientas de cifrado (criptográfica), sistemas de información y sistemas de telecomunicaciones”, según los registros públicos rusos.
Andrei Soldatov, autor y experto en servicios de seguridad de Rusia, dijo que tal licencia otorga al FSB una “puerta trasera” a las actividades de Atos Rusia. “Pueden ver todo lo que esta compañía está trabajando”, dijo Soldatov.
Atos ha dicho que se desvió de su negocio ruso en septiembre de 2022 después de la invasión. Atos, IBM y Leonardo declinaron hacer comentarios.
Un funcionario europeo dijo que las revelaciones sobre Atos Rusia plantearon preguntas urgentes sobre el acceso a un proyecto tan delicado. “El problema de seguridad inmediatamente viene a la mente debido a la enorme cantidad de datos que [the EES] contendrían ”, dijeron.
Atos utilizó su oficina rusa para adquirir software para una parte del EES que permitiría a las aerolíneas verificar la información de los viajeros, como el estado de la visa, de acuerdo con los documentos filtrados y cuatro personas involucradas en las ventas de software en ATOS, EU-LISA y sus proveedores.
Yulia Plavunova, una empleada de ATOS con sede en Moscú, fue el contacto del cliente “principal” para la compra de certificados criptográficos de la compañía de EE. UU. AppViewx que ayudan a verificar a los usuarios de esa parte del EES, según los documentos filtrados.
La dirección de Moscú de ATOS también figura en los documentos en relación con una licencia de software vendida por el grupo suizo Magnolia para el llamado middleware que conecta diferentes partes del sistema informático.
Tanto AppViewx como Magnolia confirmaron que ATOS usó su oficina de Moscú para adquisiciones, mientras que sus contratos fueron con Atos Francia y Atos Bélgica.
Un ex empleado de ATOS que trabaja en el proyecto dijo que Plavunova era “parte de la oficina de adquisiciones” y que “ella estaba constantemente involucrada por compras que involucraban al contratista de terceros[s]”.
El empleado dijo que no había sido consciente de que Plavunova estaba basado en Rusia, y que esto era “extraño” ya que solo se podía asignar “personal aprobado por la UE” al proyecto.
Según el contrato principal de EES, visto por el FT, todo el personal de los contratistas de TI que trabaja en el proyecto “debe tener una autorización de seguridad válida a nivel secreto de la UE emitido por una autoridad de seguridad nacional [in a member state] antes de proporcionar servicios ”.
EU-Lisa dijo que “no ha habido violación de seguridad identificada” como el empleado de Atos Rusia “no tenía acceso a los sistemas de TI de EU-Lisa, información confidencial o local”. El software comprado por AppViewx nunca se usó y Magnolia se usó hasta 2022, según EU-LISA.
Plavunova dijo que dejó a Atos en 2021 y “no puede revelar ninguna información que pertenezca a mi antiguo empleador”. Ella dijo que su actividad como comprador de software “no estaba conectada con el negocio de la Atos Rusia” y que Atos “brindó a los empleados igualdad de oportunidades para trabajar para diferentes regiones. . . Ser ruso no significa trabajar para la FSB “.
Un portavoz de la Comisión Europea dijo que tenía “plena confianza en la capacidad de Eu-Lisa para administrar la seguridad de los EES” y que EU-Lisa “realizaría una auditoría de seguridad antes de que EES se vaya a vivir”.
Informes adicionales de Chris Cook en Londres
About the Author
