Istraga razotkrila Europolov paralelni sustav za obradu podataka u "sivoj zoni"
Istraživački izvještaj otkriva postojanje paralelnog informatičkog sustava u kojem je Europol godinama, bez adekvatnog nadzora i zaštite, obrađivao petabajte osjetljivih podataka građana EU-a
Višegodišnja istraga koju su proveli portal Computer Weekly te civilne organizacije Correctiv i Solomon, razotkrila je postojanje opsežnog IT sustava "u sjeni" unutar Europola, poznatog kao Computer Forensic Network (CFN). Prema iskazima bivših dužnosnika i internim dokumentima dobivenim putem zahtjeva za pristup informacijama, ovaj sustav je funkcionirao paralelno sa službenim bazama podataka europske policije. CFN je omogućavao osoblju pristup i analizu iznimno osjetljivih informacija, uključujući telefonske zapise, financijske podatke i geolokacijske informacije, često bez jasne zakonske osnove.
Ogromna ilegalna baza
Izvori navode kako je sustav s vremenom narastao do golemih razmjera. Do 2019. godine, CFN je sadržavao najmanje dva petabajta podataka, što je bilo gotovo 420 puta više od službenih kriminalističkih baza podataka koje je Europol tada koristio. Iako je sustav prvotno bio zamišljen za forenzičku obradu sirovih podataka, on je de facto postao primarna platforma za operativnu analizu kriminala, omogućujući analitičarima pretraživanje golemih količina osobnih podataka osoba – i to onih koje uopće nisu bile osumnjičene za kaznena djela.
Izvješća o reviziji ukazuju na to da je CFN godinama djelovao bez osnovnih sigurnosnih i zaštitnih mjera koje nalaže pravo Europske unije. Sustav nije imao adekvatne kontrole pristupa niti zapise (logove) o aktivnostima, što je onemogućilo praćenje tko je i s kojom svrhom pristupao podacima ili ih mijenjao. Unutarnja izvješća iz 2019. godine potvrdila su da je čak 99% operativnih podataka agencije bilo pohranjeno u ovom okruženju koje nije zadovoljavalo osnovne sigurnosne standarde.
Izbjegavanje procedura
Bivši visoki dužnosnici opisali su situaciju kao "čuvanje zakona dok ga istovremeno krše", ističući da su zaštitni mehanizmi namjerno izbjegavani jer je rad u takvom okruženju bio brži i učinkovitiji. Posebno zabrinjava postojanje alata unutar sustava, poput onog pod nazivom "Pressure Cooker", koji je navodno služio za zaobilaženje pravila o zaštiti podataka. Te su informacije, prema navodima iz istrage, godinama bile skrivane od Europskog nadzornika za zaštitu podataka.
Reakcija: djelomično priznanje
Europol je, očekivano, u svojem odgovoru na ove optužbe odbacio tvrdnje o tajnom djelovanju, navodeći da su o svojim sustavima izvještavali nadzorna tijela na transparentan način. Agencija tvrdi da je CFN bio nužan za obradu složenih i velikih skupova podataka, posebice nakon terorističkih napada u Europi, kada se povećao pritisak za brzim generiranjem obavještajnih podataka. Ipak, priznali su postojanje sustava u svrhu transparentnosti tek 2019. godine, nakon što su unutarnje kontrole ukazale na ozbiljne probleme s usklađenošću.
Europski nadzornik za zaštitu podataka (EDPS) je u siječnju 2022. godine prvi put iskoristio svoje korektivne ovlasti te naredio Europolu da obriše podatke o osobama koje nemaju potvrđenu vezu s kriminalnim aktivnostima. Unatoč tim naredbama i uvođenju akcijskih planova, nadzorna tijela su krajem 2023. godine utvrdila da ključni problemi, poput nemogućnosti praćenja pristupa osobnim podacima, i dalje postoje unutar sustava koji se aktivno koristi.
