Lỗ hổng an ninh ở Europol ?

Chuyện khó tin

Các tài liệu mật thường được cất giữ an toàn trong két an toàn của một phòng lưu trữ kiên cố sâu bên trong trụ sở chính của Europol ở The Hague (Hà Lan), nơi chỉ có những nhân viên đặc biệt mới được quyền tiếp cận, và số người biết mã mở khóa có lẽ đếm trên đầu ngón tay. Tờ Politico mới đây tiết lộ thông tin được một số quan chức từng làm việc tại Europol và cả những người đang tại nhiệm cho biết một số hồ sơ cá nhân đã "biến mất" bí ẩn từ hồi mùa Hè 2023, trong đó có cả Giám đốc điều hành Europol Catherine De Bolle và 3 phó giám đốc là Jurgen Ebner, Andrei Linta và Jean-Philippe Lecouffe. Những tập tin này chứa thông tin về đơn xin việc, trình độ học vấn, ngày sinh, tình trạng hôn nhân, người phụ thuộc, địa chỉ hiện tại và một số nội dung khác.

Europol là một trong những cơ quan lớn nhất của Liên minh châu Âu (EU), phối hợp các cuộc điều tra và hoạt động quốc tế quy mô với các cơ quan cảnh sát quốc gia và các đối tác như Tổ chức Cảnh sát Hình sự Quốc tế (Interpol) và Cục Điều tra Liên bang (FBI) của Mỹ.

Hiện tại vẫn chưa rõ những hồ sơ vốn do phòng nhân sự lưu trữ này đã mất từ bao lâu và tại sao chúng lại bị lấy đi. Một số nguồn tin cho biết người dân đã tìm thấy các hồ sơ này bị bỏ lại ở khu vực công cộng ở The Hague và mang chúng đến đồn cảnh sát địa phương, và đó cũng là lúc dư luận biết đến sự việc.

Chuyện lạ mà quen

Đây không phải lần đầu bê bối rò rỉ thông tin hoặc thất lạc tài liệu diễn ra ở Europol.

Năm 2016, hơn 700 trang hồ sơ mật của Europol về 54 vụ khủng bố ở châu Âu đã bị tung lên mạng. Một sự mỉa mai đối với cơ quan an ninh như Europol.

Lý do đưa ra cho vụ việc đơn giản đến ngỡ ngàng. Người phát ngôn của Europol Jan Op Gen Oorth giải thích rằng một cựu nhân viên đã mang tài liệu về nhà, hành động trái với chính sách Europol, và cài chúng vào ổ đĩa cứng Iomega kết nối mạng mà không nhận thức được rằng tất cả mọi người đều rất dễ tiếp cận số tài liệu này. Người ta đã tiến hành một cuộc điều tra an ninh liên quan với sự phối hợp của các cơ quan có thẩm quyền tương ứng ở cấp quốc gia. Vụ việc sau đó được kết luận là do sai sót cá nhân và không phải vì mục đích xấu.

Những tài liệu này bao gồm thông tin về 54 cuộc điều tra khác nhau của cảnh sát, trong đó có tên và số điện thoại của các đối tượng tình nghi, cùng với các phân tích về các nhóm khủng bố. Các tài liệu này chủ yếu nằm trong giai đoạn năm 2006-2008, với nội dung liên quan vụ đánh bom ở Madrid, các cuộc tấn công thất bại vào máy bay bằng chất nổ lỏng cũng như các cuộc điều tra khủng bố chưa bao giờ được công khai.

Cơ sở dữ liệu tình báo chính của Europol, Hệ thống Thông tin Europol (EIS) - cho phép theo dõi tội phạm, nghi phạm và những phần tử đã bị kết án, kể cả những vụ án liên quan đến khủng bố. Theo quy định, chỉ có thành viên Europol mới được phép truy cập trực tiếp EIS và những quốc gia khác muốn tiếp cận nội dung đều phải gửi yêu cầu đến tổ chức. Europol tuyên bố họ vận hành hệ thống cơ sở dữ liệu hiện đại và khả năng liên lạc an toàn để xử lý và phân tích thông tin một cách bảo mật, do đó lỗi thuộc về con người là "mắt xích yếu nhất" trong quá trình vận hành và phối hợp giữa các bộ phận và công nghệ. 

Tham vọng quá sức ?

Được thành lập như một cơ quan điều phối cho lực lượng cảnh sát quốc gia ở EU và có trụ sở chính tại The Hague, Europol đã được một số quốc gia thành viên tích cực đầu tư và xem như một giải pháp cho những lo ngại về khủng bố sau vụ tấn công Bataclan năm 2015, được khuyến khích thu thập dữ liệu trên nhiều lĩnh vực. Tuy nhiên, chính xu hướng này đã góp phần dẫn đến không ít rắc rối.

Năm 2022, Cơ quan Giám sát Bảo vệ Dữ liệu châu Âu (EDPS) cáo buộc Europol nắm giữ thông tin một cách bất hợp pháp và có ý định vận hành theo kiểu một cơ quan giám sát như Cơ quan An ninh Quốc gia Mỹ (NSA). Europol sau đó buộc phải xóa phần lớn kho dữ liệu cá nhân khổng lồ được thu thập trong khoảng 6 năm. Các dữ liệu nhạy cảm được lấy từ các báo cáo tội phạm, bị lén lấy đi từ nguồn dữ liệu điện thoại được mã hóa, hoặc thậm chí là từ thông tin từ những người xin tị nạn chưa bao giờ dính líu đến bất kỳ tội phạm nào. Trong số hàng triệu byte được lưu trữ có dữ liệu nhạy cảm về ít nhất 250.000 nghi phạm khủng bố và tội phạm nghiêm trọng cũng như vô số người khác mà họ đã tiếp xúc. EDPS yêu cầu Europol sau đó xóa các dữ liệu, với thời hạn 1 năm để phân loại những nội dung có thể được lưu giữ hợp pháp.

Kho dữ liệu này chứa ít nhất 4 petabyte - tương đương với 3 triệu đĩa CD-Rom hoặc 1/5 toàn bộ nội dung của Thư viện Quốc hội Mỹ. Những người ủng hộ quyền bảo vệ dữ liệu cho rằng khối lượng thông tin được lưu giữ trên các hệ thống của Europol có thể xem như một hệ thống giám sát hàng loạt và là một bước trên con đường trở thành đối tác châu Âu của NSA, cơ quan từng dính bê bối khi cựu nhân viên Edward Snowden đã tiết lộ hoạt động gián điệp diện rộng.

Vụ việc khi đó càng được chú ý trong bối cảnh Europol thúc đẩy các nỗ lực học máy và đào tạo trí tuệ nhân tạo để phục vụ công tác đảm bảo an ninh như những gì họ tuyên bố. Cuộc đối đầu của EDPS với Europol cũng bộc lộ sự chia rẽ chính trị sâu sắc giữa những người ra quyết định ở châu Âu về sự đánh đổi giữa an ninh và quyền riêng tư.

Có những ý kiến ủng hộ hành động của Europol, cho rằng các cơ quan thực thi pháp luật cần các công cụ, nguồn lực và thời gian để phân tích dữ liệu và ở châu Âu, Europol là nền tảng hỗ trợ các cơ quan cảnh sát quốc gia thực hiện nhiệm vụ nặng nề này. Họ nhấn mạnh những lo ngại pháp lý mà EDPS đưa ra đã đặt ra "thách thức nghiêm trọng" đối với khả năng hoàn thành nhiệm vụ của Europol.

Mối lo ngại của các chuyên gia không chỉ giới hạn ở việc Europol vi phạm các quy định về lưu giữ dữ liệu. Họ nhắc đến tham vọng của một cơ quan thực thi pháp luật mong muốn tiến hành các hoạt động giám sát hàng loạt. Nhiều ý kiến cho rằng Europol đang sử dụng các lập luận tương tự như những lập luận được NSA sử dụng để bảo vệ các hoạt động thu thập dữ liệu hàng loạt và giám sát hàng loạt như Edward Snowden đã tiết lộ, chẳng hạn như họ không xử lý dữ liệu, họ chỉ thu thập và chỉ xử lý nó trong trường hợp cần thiết cho các cuộc điều tra.

Trở lại vụ bê bối mới nhất, Europol vẫn đang tiến hành các cuộc điều tra song cho tới nay vẫn chưa có thông tin hay kết luận cụ thể nào được công bố. Sau sự cố, Giám đốc Nhân sự của Europol, Massimiliano Bettin, đã bị đình chỉ công tác. Tờ Politico cho biết thư điện tử gửi đến địa chỉ của ông Bettin tại Europol nhận được phản hồi tự động với nội dung: "Cảm ơn thông tin của bạn, tôi hiện đang có việc. Tôi không truy cập email của mình". Trang LinkedIn của ông Bettin cho biết ông đang "tích cực ứng tuyển" một công việc mới. Sau đó, ông Massimiliano Bettin được cho là đã gửi một email riêng tới Politico để thông báo rằng ông không thể bình luận về vụ việc.

Massimiliano Bettin từng là Cảnh sát trưởng trong lực lượng Cảnh sát Italy, giữ chức vụ Giám đốc Nhân sự tại Europol từ năm 2016, cơ quan có tổng cộng hơn 1.400 nhân viên. Europol được cho là đang đối mặt với nhiều xung đột nội bộ, và một giả thuyết đặt ra là các tập tài liệu bị lấy đi để gây tổn hại uy tín của ông Bettin.

Theo một bản ghi chép nội bộ và qua các cuộc trò chuyện với các cựu nhân viên và đương nhiệm, bản cứng hồ sơ nhân sự của những lãnh đạo cấp cao đã thất lạc từ khoảng thời gian trước tháng 9/2023. Trong một ghi chú nội bộ khác, các nhân viên Europol có lẽ đã nhận thấy rằng các tập tài liệu bị thiếu trong kho lưu trữ giấy tờ vào ngày 6/9/2023, nhưng kể từ đó, có vẻ như họ không thể hiểu ai đã lấy chúng hoặc vì lý do gì.

Không ai có thể hiểu nổi việc làm thế nào các hồ sơ biến mất, và quan trọng nhất, vì sao cơ quan thực thi pháp luật trung tâm châu Âu lại rơi vào tình trạng hỗn loạn như vậy. Một đoạn bình luận được chia sẻ trên hệ thống tin nhắn nội bộ ngày 18/9/2023 có đoạn: "Xét vai trò của Europol như một cơ quan thực thi pháp luật, việc mất các hồ sơ nhân viên cấu thành một vụ vi phạm an ninh và dữ liệu cá nhân nghiêm trọng".

Điều đáng nói là một cơ quan an ninh từng có ý định thu thập và lưu trữ dữ liệu quy mô lớn - nguồn tài nguyên cực kỳ quan trọng và quý giá, song cũng tiềm ẩn nhiều rủi ro nếu bị sử dụng cho mục đích xấu - lại chẳng thể bảo vệ chính nguồn dữ liệu nội bộ của mình! Đúng là chuyện khó tin nhưng có thật.