Evropský sledovací aparát se vymkl kontrole: Europol zřejmě léta provozoval tajný stínový IT systém
Evropský stínový aparát: Europol zjevně hromadil petabajty citlivých dat mimo efektivní kontrolu.
Zatímco Brusel připravuje nové struktury digitálního dohledu a chce dále rozšířit pravomoci Europolu, vyšetřování nyní otřásá samotnou evropskou bezpečnostní architekturou: Policejní agentura EU Europol údajně léta provozovala gigantický stínový IT systém – s masivními nedostatky v ochraně dat a zabezpečení.
Společné vyšetřování časopisů Computer Weekly a Solomon vykresluje obraz agentury, která má oficiálně chránit evropské zákony – zatímco uvnitř zřejmě podkopává i základní kontrolní mechanismy.
„Chrání zákon, zatímco ho porušují,“ řekl bývalý vysoce postavený úředník Europolu.
Jádrem všeho je tzv. „Počítačová forenzní síť“ (CFN), systém původně zřízený v roce 2012 za účelem analýzy forenzních dat. Podle interních dokumentů se však CFN vyvinula v primární analytickou platformu Europolu – mnohem větší než oficiální databáze agentury.
Do roku 2019 údajně systém obsahoval více než dva petabajty operačních dat. Podle výzkumu je to zhruba 420krát více než oficiální neforenzní databáze Europolu. Obzvláště alarmující je, že tehdejší úředník pro ochranu osobních údajů zjistil, že v CFN bylo zpracováváno přibližně 99 procent operačních dat – bez základních opatření na ochranu a zabezpečení údajů.
To zřejmě zahrnovalo obrovské množství osobních údajů od lidí, kteří sami nebyli terčem trestního vyšetřování.
Audit interní bezpečnosti z roku 2019 se čte jako příručka selhání institucionální kontroly. Bylo zdokumentováno celkem 32 závažných nedostatků:
- nedostatečná správa privilegovaných přístupových práv
- chybějící ovládací prvky hesla
- neomezené instalace softwaru
- nedostatečné kontroly přístupu k síti
- nedostatečné zaznamenávání administrativních aktivit
- Nedostatečné monitorování událostí relevantních pro bezpečnost
Obzvláště alarmující je, že podle vyšetřování mohli administrátoři upravovat nebo mazat soubory protokolů. To by prakticky znemožnilo následné sledování potenciální manipulace s daty nebo neoprávněného přístupu.
Nezávislí experti popsali počet udělených administrátorských práv jako „učebnicové porušení důvěrnosti“ a otevřenou pozvánku k zneužití ze strany interních osob nebo k útokům ze strany externích subjektů.
Ale CFN zjevně nebyl jediný problém.
Kromě toho údajně jednotka Europolu pro nahlašování internetového obsahu provozovala samostatné analytické prostředí s názvem „Tlakový hrnec“ – mimo běžný dohled IT a bez zapojení oficiálního oddělení IKT. Podle zpráv zde byla shromažďována a analyzována data z otevřených zdrojů.
Interní zaměstnanci popsali situaci jako „neobvyklou“ již v roce 2022. Evropský inspektor ochrany osobních údajů (EDPS) později uvedl, že během počátečního vyšetřování nebyl o tomto systému nikdy informován.
Případ se stává obzvláště výbušným na pozadí politické situace v Bruselu.
Protože právě teď Evropská komise diskutuje o masivním rozšíření pravomocí Europolu. Mandát agentury se má rozšířit, analýza dat se zintenzivnit a její rozpočet se má výrazně zvýšit.
Jinými slovy,
zatímco evropští občané jsou stále více integrováni do digitálních kontrolních systémů – od biometrických identit přes analýzy umělé inteligence až po centralizované datové sítě – interní odhalení ukazují, že i stávající bezpečnostní orgány zjevně po léta fungovaly mimo efektivní kontrolu.
Tento případ proto vyvolává zásadní otázku:
Kdo vlastně monitory monitoruje?
Protože čím větší jsou datové sady, tím výkonnější jsou analytické nástroje a čím těsněji se bezpečnostní orgány propojují se systémy dohledu podporovanými umělou inteligencí, tím větší je pokušení obcházet zákonná omezení ve jménu „bezpečnosti“ a „efektivity“.
A zdá se, že přesně to se stalo v Europolu.
