Nakon nedavnih cyber napada na državne institucije, stručnjaci upozoravaju da je nedostatak važnih dokumenata i timova za odbranu alarmirajući u vrijeme kada se Bosna i Hercegovina suočava s povećanim brojem prijetnji izvana.
Piše: Enes Hodžić/Birn
Državne zastupnike je u septembru na ulazu u kancelarije dočekao natpis da ne pale računare. Zastupnik Saša Magazinović je na svom Twitter nalogu objavio fotografiju vrata kancelarije u Parlamentarnoj skupštini na kojima je bio bijeli papir s natpisom: “Molimo da ne palite računare dok ne dobijete obavijest.”
Niz drugih uposlenika Parlamenta i Vijeća ministara nekoliko sedmica nije imao pristup e-mailovima i drugim digitalnim servisima. Državne vlasti duže od mjesec nakon otklanjanja problema nisu saopćile šta ga je uzrokovalo. Stručnjaci s kojima je razgovarala Balkanska istraživačka mreža Bosne i Hercegovine (BIRN BiH) kažu kako ovaj cyber napad pokazuje koliko su sistemi u državi ranjivi.
BiH i dalje ostaje jedina država na Zapadnom Balkanu koja nema državnu strategiju za cyber sigurnost. Nedostaje i cijeli niz dokumenata koje je potrebno uskladiti sa zakonodavstvom Evropske unije (EU) u približavanju zemlje EU, ali i važna institucija na državnom nivou koja bi pomagala u odbrani od snažnih napada.
Stručnjak Elmedin Selmanović kaže da ovi nedostaci ostavljaju ranjivim institucije.
“Dosta često, kada su ti manji napadi, institucije su prepuštene same sebi”, kaže Selmanović, direktor Univerzitetskog teleinformatičkog centra (UTIC) Univerziteta u Sarajevu.
“Neki IT odjeli koji su često potkapacitirani, ljudstvom, opremom se nose s tim, oni ugase požar, ugase vatru i nastavi se dalje. Međutim, kako broj napada raste, zaista se otvara i potreba za širim i društvenim angažmanom i formiranjem nekih tijela koja bi se borila s tim”, objašnjava Selmanović.
Ali BiH još uvijek nema državno tijelo za cyber sigurnost.
Nakon napada u septembru, računari u zgradi Parlamenta i Vijeća ministara postali su praktično neupotrebljivi, ali osim svojih stručnjaka, ove institucije nisu se imale obratiti nijednoj drugoj državnoj specijalizovanoj agenciji.
Uprkos višegodišnjim pozivima Evropske unije i drugih međunarodnih partnera, BiH nikada nije formirala Tim za odgovor na računarske incidente (CERT).
Zastupnik Zlatko Miletić potvrdio je BIRN-u BiH da su računari i internet veza osposobljeni nakon napada, ali ni njemu nije poznato na koji način je to urađeno.
“Ko, na koji način je izvršio popravku toga, ja vam u ovom trenutku zaista ne znam”, kaže Miletić.
On dodaje i kako je, samo nekoliko dana nakon što su popravljene posljedicecyber napada iz septembra, bilo dodatnih pokušaja upada u sistem. Jedan od takvih dogodio se 19. oktobra, kada je zastupnicima u Državnom parlamentu stiglo upozorenje o spam e-mailovima u kojima se traži da unesu svoje pristupne podatke. Tada ih je posebno zabrinula činjenica da je ovakav sumnjivi e-mail stigao s domene parlament.ba, što znači da je neko, imitirajući administratora domene Državnog parlamenta, pokušavao doći do podataka zastupnika u ovoj instituciji, kaže Miletić.
Iz Generalnog sekretarijata Vijeća ministara za BIRN BiH su potvrdili kako je sistem e-vlade ove institucije u posljednje vrijeme konstantno izložen određenim vrstama cyber napada. Pojašnjavaju kako su u tom periodu ulagali iznimne napore kako bi omogućili korisnicima odgovarajući stepen pristupa serverima i uslugama.
Podaci su očuvani, mreža je funkcionalna i svi računari se redovno koriste, kazali su iz Sekretarijata, dodavši kako su protekli period iskoristili za jačanje online sigurnosti u institucijama BiH.
Oni nisu mogli potvrditi odakle su napadi došli i da li su u bilo kakvoj vezi s napadima na institucije nekih drugih zemalja regije.
BiH bez digitalnog ministarstva vanjskih poslova
Osim hakerskih napada, stručnjaci upozoravaju da je značajan problem i to što BiH još uvijek nije razvila svoje zakone i propise o cyber sigurnosti i uskladila ih s međunarodnim standardima.
“U današnje vrijeme kada nemate CERT, to je kao da nemate Ministarstvo vanjskih poslova”, kaže za BIRN BiH Arben Murtezić, direktor Centra za edukaciju sudija i tužilaca Federacije BiH, koji je uključen u formiranje akademskog Tima pri Univerzitetu u Sarajevu.
“CERT je nešto po čemu ste prepoznatljivi u ovom važnom segmentu i to moramo imati”, kaže on i pojašnjava da postoji i nacrt zakona koji bi mogao zadovoljiti sve standarde u osnivanju nacionalnog CERT-a, ali da ne postoji politička volja da se on usvoji.
Priča o uspostavi CERT-a u BiH počela je još 2010. godine, nakon Strategije Vijeća ministara BiH o uspostavi bosanskohercegovačkog CERT-a. Još dodatnih sedam godina bilo je potrebno kako bi, na prijedlog Ministarstva sigurnosti, Vijeće ministara usvojilo odluku o određivanju CERT-a za institucije BiH, čime je CERT uspostavljen i smješten u Ministarstvo sigurnosti.
Iz ovog ministarstva naglašavaju da oblast cyber sigurnosti nije zakonski uređena u našoj zemlji te da, iako postoji svjesnost o sigurnosnim izazovima u digitalnom prostoru, ovo ministarstvo nema operativno-istražno ovlaštenje.
Stoga je za postizanje prave funkcije CERT-a potrebno ispuniti i neke dodatne preduslove.
“Tijelo je još uvijek u fazi uspostavljanja jer se čeka izmjena Pravilnika o sistematizaciji i unutrašnjoj organizaciji Ministarstva sigurnosti BiH. Materijal je upućen na Vijeće ministara BiH”, odgovorili su iz Ministarstva sigurnosti na upit BIRN-a BiH.
Iz Ministarstva pojašnjavaju i da je Vijeće ministara tokom 2017. godine usvojilo analizu o usklađenosti pravnih propisa u domenu kibernetičke sigurnosti u BiH, obavezavši Ministarstvo da intenzivira aktivnosti na izradi Strategije o kibernetičkoj sigurnosti u BiH.
“Ministarstvo sigurnosti je zasad uspjelo izraditi, u saradnji s drugim zainteresovanim institucijama, Smjernice za strateški okvir za kibernetičku sigurnost u BiH, a dalje aktivnosti na samoj strategiji su u toku i uveliko ovise o političkoj volji”, dodaju.
Nepostojanje državne strategije iz ove oblasti, smatraju stručnjaci, najveća je kočnica u kreiranju čitavog niza dokumenata koji bi mogli obezbijediti cybersigurnost građana BiH, ali i biti podloga za donošenje dokumenata koji su potrebni, ali i nezavisni od najviših zakonodavnih tijela.
“I upravo nam je potrebna strategija da to razvije, jer svaka institucija, svaka veća firma bi trebala da ima neka interna pravila vezana za kompjutersku sigurnost. Jer i u najrazvijenijim zemljama kompjuterska strategija i zakonska regulativa uvijek dolaze do malog čovjeka ili do male firme”, pojašnjava Murtezić.
Osim strategije, ključni dokumenti koji bi omogućili rad CERT-a za državne institucije jesu sveobuhvatni zakoni o informacionoj sigurnosti i o organizaciji i nadležnostima državnih organa za borbu protiv kompjuterskog kriminala. Iz Misije OSCE-a kažu kako su odlučni da podrže razvoj CERT-ova u BiH, koji su ključni za smanjenje ranjivosti na prijetnje koje dolaze iz cyber prostora, ali da Ministarstvo nije uradilo svoj dio posla.
“Odsustvo takvog mehanizma na državnom nivou predstavlja veliki nedostatak u cyber sigurnosti. (…) Ministarstvo sigurnosti BiH nije učinilo ono što je potrebno za uspostavljanje CERT-a za institucije BiH, posebno u smislu identifikacije i osiguranja zakonskih, organizacionih, ljudskih i tehničkih zahtjeva i resursa”, napominju iz OSCE-a.
Dodaju i da je nedostatak napretka alarmantan s obzirom na to da su cybernapadi sve više ciljani na institucije na državnom nivou.
Cyber napadi u regiji važno upozorenje za BiH
Zemlje regije u posljednjih nekoliko mjeseci često su bile žrtve cyber napada, a jedan od najaktuelnijih je napad na institucije Crne Gore u vrijeme duboke političke krize u ovoj državi.
Ministar javne uprave ove države Maraš Dukaj za crnogorski javni servis potvrdio je da iza napada stoji kriminalna grupa “Cuba ransomware” i da je za ovaj napad “kreiran poseban virus koji je koštao deset miliona dolara i nigdje do sada nije upotrijebljen”. Albanija se nedavno suočila s napadima, za koje su prvi izvještaji pokazivali da dolaze iz Irana.
Izvještaj organizacije DiploFoundation iz Ženeve upozorava na činjenicu da bi veliki broj malih napada u regiji mogao dovesti i do jednog većeg napada, kao i da bi cyber napadi na nivou države mogli rezultirati gubicima većim od deset miliona eura dnevno. Navode i to da većina zemalja regije nema odgovarajuće institucionalne sisteme koji bi mogli pomoći u prevenciji i borbi protiv cybernapada.
“Ovo dolazi, primarno, kao rezultat nedostatka političke svijesti o ovom problemu i institucionalnih kapaciteta da prepoznaju rizike i djeluju na njih, sarađujući na nivou regije”, zaključuje se u ovom izvještaju.
Do sada su u BiH osnovana dva CERT-a – jedan u Republici Srpskoj, koji je s radom počeo 2015. godine, te akademski CERT, uspostavljen ove godine, koji djeluje kao Centar za izvrsnost u cyber sigurnosti (CSEC).
Predrag Puharić, voditelj akademskog CERT-a, kaže kako je sam pojam još uvijek poprilično nepoznat javnosti, ali da je, pored razmjene obavještajnih podataka o cyber napadima i novim načinima napada, jedna od njihovih ključnih zadaća i edukacija. Napominje da u stručnoj zajednici nema problema u vezi sa uspostavljanjem nacionalnog CERT-a, nego da su problemi administrativne prirode.
“Nacrti zakona su vrlo kvalitetni, usaglašeni sa svim direktivama i ostalim relevantnim zakonskim okvirom u BiH i spremni su. Dakle, ne postoji neki problem i očekujemo sad da će možda novi saziv vlasti više djelovati, više zakona generalno usvajati u parlamentu i samim tim da će i cyber security. Vidjeli smo, jako nam je bitan, ne možemo ostati izvan toga”, kaže Puharić.
Saša Mrdović, profesor računarskih mreža na Elektrotehničkom fakultetu Univerziteta u Sarajevu, pojašnjava kako je čudno i zabrinjavajuće to što je BiH jedina zemlja Evrope koja ne posjeduje CERT. On smatra da takav tim, iako neće spriječiti napad kada već dođe do njega, može znatno utjecati na informiranost o napadima i načinima odbrane.
“Ako ste vi lagana žrtva, time više povećavate šanse da će vas neko napasti, da će napad biti uspješan za napadača, odnosno poguban za vas”, objašnjava on.
U posljednjem izvještaju Evropske unije o napretku BiH navodi se kako je potrebno uskladiti propise o cyber kriminalu s pravnom stečevinom Unije.
Bosna i Hercegovina treba dovršiti strateški okvir za borbu protiv cyberkriminala, navodi izvještaj, u kome se objašnjava da strategija postoji samo u Republici Srpskoj.