Za samo 350 hiljada KM bez zahtjeva za sigurnosne provjere Agencija za bankarstvo FBIH omogućila je srbijanskoj kompaniji Energosoft, iza koje se krije Prointer Beograd, kompletan uvid u finansijski sektor Federacije BIH kao i privatne račune građana ovog bh. entiteta. Nastavak je to kontrole kritične infrastrukture FBIH od strane IT kompanija koje se dovode u vezu sa samim političkim vrhom R. Srbije.
Writes: Predrag Blagovčanin/Tačno.net
Početkom godine Agencija za bankarstvo FBIH na čelu sa Jasminom Mahmuzićem raspisuje tender za usluge dubinske analize rizika informaciono-komunikacionog sistema.
Tražena analiza predstavlja provjeru sigurnosti sistema Agencije za bankarstvo FBIH te detekciju slabih tačaka unutar IT sistema na hakerske upade koji bi mogli dovesti do neovlaštenog korištenja, objavljivanja ili uništenja podataka.
Značaj sigurnosti IKT sistema Agencije za bankarstvo FBIH ogleda se upravo u nadležnosti ove agencije kao i podacima s kojima raspolaže.
Po zakonu iz 2017. godine ova agencija vrši kompletan nadzor i superviziju komercijalnih banaka kao i drugih subjekata bankarskog i finansijskog sistema s kompletnim uvidom u poslovanja. U tom kontekstu Agencija čuva i obrađuje velike količine podataka o fizičkim i pravnim komitentima banaka kao i samim subjektima bankarskog sistema.
Ukoliko bi sigurnost ovih podataka na koji se primjenjuju Zakon o zaštiti ličnih podataka kao i Zakon o zaštiti tajnih podataka bila narušena, došlo bi do nesagledivih posljedica i poremećaja u funkcionisanju agencije ali i kompletnog finansijskog sektora FBIH.
Na tenderu kojim je omogućen kompletan uvid u poslovanje kao i podatke Agencije za bankarstvo FBIH prijavio se samo konzorcij kompanija „A MI Manera“ Beograd-Vračar „MC Global Audit“ Beograd, „Energosoft ITSS“ Beograd te „Atia“ Sarajevo.
Kompanija „A MI Manera“ koja predvodi ovaj konzorcij osnovana je 2020. godine a prema javno dostupnim podacima Republike Srbije nije učestvovala na tenderima u ovoj državi.
Osnivačica Tatjana Vukić prema dostupnoj biografiji ima više od 15 godina iskustva u vodećim bankarskim sistemima Srbije. Bila je predsjednik izvršnog odbora „Fidomestic banke“ Beograd te je vodila integraciju „Piraeus banke“ sa „Direktnom bankom Kragujevac“, a od 2016. godine je i Predsjednica nadzornog odbora državne kompanije „Dunav Osiguranje“.
Za razliku od Tatjane Vukić vlasnik kompanije „MC Global Audit“ Milivoje Cvetinović ima bogato iskustvo poslovanja u Bosni i Hercegovini.
U svojoj karijeri Dr. Cvetinović bio je i direktor za javni sektor kompanije SAP West Balkan, koja je zajedno s firmom B4B bila uključena u aferu milionskih nabavki SAP softwera od strane Elektroprivrede BIH, Elektroprenosa BIH i JU Apoteke Sarajevo, a koje od 2015. godine čekaju svoj tužilački epilog.
Iz Srbije s ljubavlju
Energosoft ITSS, treća kompanija u ovom zanimljivom konzorciju kćerka je kompanije Prointer ITSS Beograd koja se dovodi u vezu sa Slavišom Kokezom, visokopozicioniranim članom SNS-a i nekadašnjim predsjednikom Fudbalskog saveza Srbije.
Identično kao i istoimeni pandan s druge strane Drine, kompanija Prointer Beograd svoj poslovni uspjeh temelji na unosnim ugovorima s javnim sektorom R. Srbije. Tako je ova firma samo u decembru 2016. godine svakog dana od javnog sektora ove države dobijala po jedan tenderski ugovor.
Žana Gauk novinarka portala Žurnal.info koja godinama analizira poslovanje Prointera s javnim sektorom kao i ulogu porodice Dodik u „nevjerovatnom“ poslovnom uspjehu ove kompanije, ističe povezanost beogradskog i banjalučkog Prointera.
„U vrijeme kada je „Prointer“ u RS počeo da dobija sve poslove u javnom sektoru, kao prekodrinski suvlasnik, spominjan je i Slaviša Kokeza, donedavni predsjednik Fudbalskog saveza Srbije i veliki prijatelj Milorada Dodika. Baš kao i Igor Dodik, ni Kokeza nikada nije bio zvanično vlasnik beogradskog „Prointera“, ali jeste „Eurosalona“. Danas je na čelu i jedne i druge firme, prema zvaničnim podacima u APR-u, izvjesna Ivana Rajić. Zanimljivo je da se obje ove firme nalaze na istoj adresi na kojoj se nalazi Kokezina firma „Senior tim“. Beogradska firma majka je, takođe, bila dominantna na tenderima. Zapravo, važila je za jednu od glavnih IT firmi povezanih sa tamošnjim vladajućim SNS-om.“
„Prointer“ Beograd zvanično 2020. godine izlazi iz vlasničke strukture „Prointera“ Banja Luka čiji 100% vlasnik postaje Infinity international grupa. Međutim dodatne sankcije američke administracije iz 2022. godine prema Miloradu Dodiku kao i kompanijama koje se dovede u vezu s njegovom porodicom nisu imale veliki uticaj na poslovanje Prointera Banja Luka.
Žana Gauk u ovome vidi nevjerovatnu sličnost s beogradskim pandanom. Bez obzira na činjenicu da je Kokeza uhapšen i saslušavan u predmetu koji se u Srbiji vodi protiv kriminalne grupe Veljka Belivuka, Prointer Beograd nastavio je dobivati javne poslove u ovoj državi.
„Čak i nakon hapšenja Slaviše Kokeze, „Prointer“ je nastavio da dobija važne državne poslove. U Republici Srpskoj je do nedavno pooštrenih sankcija SAD-a Miloradu Dodiku i Alternativnoj televiziji, a koja je bila u vlasništvu „Prointera“, situacija bila identična. Sve baze sa ličnim podacima građana ove zemlje u rukama su „Prointera“. „Microsoft“ i „IBM“, koji su prekinuli partnerstvo, nisu previše omeli firmu. Od dana kada su objavljene sankcije, 5. januara, pa do 18. marta „Prointer“ je od javnog sektora dobio ugovore vrijedne više od četiri miliona maraka. Za 72 dana.“
Jedina bh. kompanija koja će učestvovati u analizi IKT sistema Agencije za bankarstvo FBIH je sarajevska firma „Atia Consulting“. Relativno nepoznata u IT branši svoje poslovanje s javnim sektorom u BIH bazira na pružanju usluga penetracijskih testiranja i sigurnosti informacionih sistema.
Za razliku od svojih poslovnih kolega iz Republike Srbije, vlasnik kompanije „Atia Consultin“ Anel Tanović polovično je odgovorio je pitanja portala Tačno.net. Nakon telefonskog razgovora u kojem je naglasio da nije prošao sigurnosnu provjeru ali da će nakon završenog posla potpisati ugovor o povjerljivosti za dalje odgovore uputio nas je na Agenciju za bankarstvo.
Agencija za bankarstvo FBIH: Nisu razumjeli šta su dali
Zbog specifičnosti podataka i informacija kojima Agencija za bankarstvo FBIH raspolaže kao i činjenice da su podaci zaštićeni Zakonom o zaštiti ličnih podataka te Zakonom o zaštiti tajnih podataka uputili smo upit da li su za gore pomenute kompanije tražili sigurnosne provjere.
„U pogledu Vašeg pitanja, a u mjeri u kojoj smo razumjeli isto, informišemo Vas da se pitanja povjerljivosti, tajnosti i sigurnosti razmjene podataka osiguravaju po potpisivanju ugovora sa odabranim ponuđačem, na način da se potpisuju izjave o tajnosti i povjerljivosti podataka sa svim članovima ponuđača koji učestvuju u realizaciji predmetne usluge.“ Odgovor Agencije za bankarstvo FBIH.
Međutim, značaj kao i pravna težina izjave o tajnosti i povjerljivosti podataka koju će Agencija potpisati s ovim konzorcijem ekvivalentna je prihvatanjem saglasnosti za prijavu na Newsletter “Sarajevskog kiseljaka” ili neke druge komercijalne kompanije.
Bosna i Hercegovina ima zakonsku legislativu kao i jasno definisan postupak izdavanja industrijske sigurnosne dozvole. Ova dozvola predstavlja primjenu sigurnosnih mjera za zaštitu tajnih podataka kada je u okviru poslova potrebno angažovati pravno ili fizičko lice za izvršenje određenog posla.
Ministarstvo sigurnosti BIH koje izdaje ove dozvole, nakon provjera kompanija od strane Obavještajne agencije – OSA-e, dostavilo je portalu Tačno.net spisak 12 kompanija iz oblasti IT-a koje na nivou BIH imaju industrijsku sigurnosnu dozvolu.
„MIBO KOMUNIKACIJE d.o.o. Sarajevo, SECTOR ADS d.o.o., ORKA doo, QSS d.o.o., BOSNIEN BUSINESS SYSTEMS – BBS d.o.o., PING doo, NEONTX d.o.o, KING ICT d.o.o., PAGE d.o.o., ROAMING NETWORKS d.o.o., LANACO d.o.o. i CORE d.o.o.“
Upravo Industrijska sigurnosna dozvola treba da bude jedan od primarnih alata zaštite IT sigurnosti kritične infrastrukture Bosne i Hercegovine kao i FBIH od neovlaštenog prikupljanja podataka kao i objavljivanja ili uništavanja.
Podsjećamo, Republika Srpska je još 2019. godine po uzoru na države u okruženju usvojila „Zakon o bezbjednosti kritičnih infrastruktura“ kojim su definisane aktivnosti kojima je za cilj zaštita industrije i energetike, IKT infrastrukture, saobraćaja, zdravstva, komunalne djelatnosti, vodoprivrede, distribucije hrane, skladišta opasnih materija itd.
Za razliku od ovog entiteta, Bosna i Hercegovina a ni Federacija nema Zakon o zaštiti kritične infrastrukture. Razloge treba tražiti u indolentnosti ili partikularnim interesima da se ovaj krucijalni sigurnosni problem ne riješi.
Bilo kuda Prointer svuda
Kada analiziramo podatke preduzeća ili institucije s državnog i Federalnog nivoa, kompanije u okviru grupacije Prointer dobijale su tenderske ugovore u RAK-u, Opštini Centar Sarajevo, Kancelariji za Veterinarstvo BIH, KJKP VIK Sarajevo, Uredu za reviziju institucija BIH, Savjetu Ministara BIH, Ministarstvu vanjske trgovine i ekonomskih odnosa BIH, Elektroprenosu BIH, JP Autocestama FBIH, Agenciji za statistiku BIH, Ministarstvu poljoprivrede, vodoprivrede i šumarstva FBIH, JP Elektroprivredi HZHB, IDDEEA-i BIH, Upravi za indirektno oporezivanje BIH, NOS-u BIH, Kliničkom centru Sarajevo itd.
A od marta ove godine, kao što vidimo Prointer Beograd nekadašnji vlasnik Prointera Banja Luka imat će priliku za dubinsku analizu Informaciono-komunikacionog sistema Agencije za bankarstvo FBIH.
U tom kontekstu postavlja se pitanje efikasnosti zabrane ulaska u BIH licima koje Obavještajno sigurnosna agencija proglasi prijetnjom za nacionalnu sigurnost BIH. Podsjećamo 2007. godine kompletan bankarski sistem Estonije bio je izložen masovnom DDoS napadu koji doslovno paralizovao državne institucije, internet medije kao i druge segmente kritične infrastrukture. Problem je riješen u suradnji s NATO ekspertima na način da je Estonija samu sebe diskonektovala s interneta.
Stručnjak za sigurnost Ahmed Kico naglašava eventualne posljedice činjenice da kompanije koje su angažovane od strane Agencije za Bankarstvo na poslovima dubinske analize Informaciono-komunikacionog sistema nemaju industrijsku sigurnosnu dozvolu.
„Sve kompanije koje imaju direktni ili indirektni pristup tajnim ili zaštićenim podacima moraju proći sigurnosne provjere i imati industrijsku sigurnosnu dozvolu. Da bi se spriječio upad ovlaštene ili neovlaštene agencije iz neke druge države u kompletan bankarski sistem mora se izvršiti sigurnosna provjera. Ukoliko se to ne uradi postoji izvjesna šansa da će povjerljivi podaci biti transferirani obavještajnim sistemima susjednih ili drugih država. To može predstavljati ogroman problem ne samo za bankarski sistem nego i za kompletnu državu.“
Transferiranje povjerljivih podataka kao i njihovo korištenje u obavještajne svrhe, prema mišljenju Kice, predstavlja samo jedan od alata hibridnih operacija koje se hipotetički mogu pokrenuti protiv Bosne i Hercegovine.
„U ovakvom slučaju strane obavještajne agencije mogu blagovremeno planirati sve vrste hibridnih operacija usmjerenih protiv BIH. Agencija za bankarstvo FBIH ukoliko ne bude na visini zadatka u ovom slučaju može hipotetički biti odgovorna za, na primjer, nefunkcionisanje bankomata u FBIH što bi kod građana dovelo do haosa i panike a to je ključna svrha hibridnih operacija. Panika i haos kao što znamo mogu odvesti u nepoznatom smjeru.“
Indikativno, Agencija za bankarstvo FBIH ugovor sa konzorcijem iza kojeg se krije Prointer Beograd potpisala je nepunih mjesec dana nakon preuzimanja Sberbank BiH d.d. Sarajevo i prodaje ove banke za 15 miliona KM ASA finance-u.