Piše: Maja Radević

Bosna i Hercegovina jedina je zemlja Zapadnog Balkana koja i dalje nema tim na nivou institucija države kao odgovor na cyber sigurnosne incidente. U praksi, to bi značilo da grupa iole vještijih hakera u svakom momentu može „provaliti“ u sisteme institucija BiH i napraviti potpuni haos – no, čini se da naše političare ovakav scenarij za sada ni najmanje ne zabrinjava.

Prije godinu dana na meti hakerskih napada našli su se serveri Parlamentarne skupštine BiH. Kako je tada objavio Saša Magazinović, državne zastupnike i uposlenike Parlamenta na vratima njihovih kancelarija dočekao je natpis: „Molimo da ne palite računare dok ne dobijete obavijest“.

Dok su trajali cyber napadi, uposlenici Parlamenta i Vijeća ministara BiH nekoliko sedmica nisu mogli pristupiti svojim e-mailovima ni drugim servisima. Prijetnja je na koncu otklonjena, a zanimljivo je da iz institucija nikada nisu otkrili ko je stajao iza ovih napada, ni kakvu su im zapravo štetu nanijeli.

Ono što je izvjesno je da na ove napade nije reagovao Tim za odgovor na računarske incidente (CERT) koji, kako smo već rekli, u Bosni i Hercegovini ne postoji, iako je Vijeće ministara BiH još 2017. usvojilo odluku o uspostavljanju CERT-a. Prema toj odluci, Ministarstvo sigurnosti BiH je bilo zaduženo da izradi izmjene i dopune Pravilnika o unutrašnjoj organizaciji i sistematizaciji radnih mjesta s ciljem uspostavljanja CERT tijela za institucije Bosne i Hercegovine kao posebne organizacione jedinice u okviru Ministarstva, no to se još uvijek nije dogodilo. Poseban problem predstavlja i nedostatak odgovarajućih strategija i zakonskih rješenja kojim bi ova oblast bila uređena.

Prema globalnom istraživanju o kvaliteti digitalnog blagostanja u 117 zemalja (92% svjetske populacije), Bosna i Hercegovina trenutno zauzima 80. mjesto. Među evropskim zemljama nalazi se na zadnjem, 38. mjestu. Godiu ranije bili smo na pretposljednjem mjestu u Evropi, no prestigle su nas naše komšije – Crna Gora, koja je evidentno radila na unapređenju kvaliteta digitalnog života u prethodnih godinu dana. Indikativno je da je BiH najveći pad na svjetskoj ljestvici doživjela upravo u području cyber sigurnosti, i to za čak 23 mjesta.

U publikaciji „Izvještaj o cyber sigurnosnim prijetnjama u Bosni i Hercegovini“, koju su objavili Centar za izvrsnost u cyber sigurnosti (CSEC) i Balkanska istraživačka mreža (BIRN) BiH, navodi se da je samo u jednom mjesecu 2022. godine, u Bosni i Hercegovini registrovano više od 9,2 miliona prijetnji cyber sigurnosti, od kojih su DDoS napadi najčešće zabilježeni. Taj broj napada i najnoviji revizorski izvještaji institucija, koji su pokazali da ne postoji strateški i pravni okvir za cyber sigurnost u BiH, najbolje ilustruje ranjivost građana, kompanija i institucija BiH na cyber napade koji bi mogli ugroziti ključne sektore, kao što su vladavina prava, privreda, energetika, zdravstvo ili obrazovanje.

Prema izvještaju CSEC-a i BIRN-a BiH, cyber napadi zabilježeni u BiH najčešće su stizali iz Brazila, Nizozemske, SAD-a, Rusije, Njemačke i Kine. Neočekivano su se u vrhu liste našle Nizozemska i Njemačka, a pretpostavka je da je razlog činjenica da napadači iz nekih drugih zemalja najčešće koriste VPN servere u ove dvije zemlje za izvođenje napada i sakrivanje svojih podataka.

DDoS napadi u promatranom periodu prepoznati su kao najviše zastupljeni cyber napadi. Njihove namjene su raznovrsne, a sam učinak može biti katastrofalan po kritičnu infrastrukturu.

Ilustracija iz „Izvještaja o cyber sigurnosnim prijetnjama u Bosni i Hercegovini“ (CSEC i BIRN BiH)

Osim institucija i kompanija, meta cyber napada su sve češće i građani kao pojedinci koji su nerijetko žrtve različitih prevara putem interneta i e-maila, kao i krađe identiteta, već dugo prisutnog problema koji se redovno pojavljuje i uoči svakih izbora. I dalje nema efikasnog rješenja protiv zloupotrebe identiteta glasača na izborima, što svakako ide u korist onima koji stoje iza izbornih malverzacija i krađe glasova.

- Jedna od cyber sigurnosnih prijetnji koje je CSEC registrirao u posmatranom periodu posebno je zanimljiva jer je stigla sa e-mail adresa jedne od zvaničnih institucija BiH. CERT tim iz Španije primijetio je phishing kampanju sa e-mail adresa jedne od državnih institucija, a nakon reakcije srbijanskog CERT-a i CSEC-a ustanovljeno je odakle prijetnja dolazi i ona je u kratkom roku otklonjena.

Ovakve prijetnje otkrili su i novinar BIRN-a BiH, razgovarajući sa državnim parlamentarcima, koji su im pojasnili da su tokom oktobra 2022. godine sumnjivim označeni e-mailovi koji su stizali sa zvanične domene Državnog parlamenta BiH. To, praktično, znači da je neko, imitirajući administratora domene Parlamenta, pokušavao doći do podataka zastupnika u ovoj instituciji. Takvu izloženost konstantnim cyber napadima potvrdili su za BIRN BiH i u Generalnom sekretarijatu Vijeća ministara BiH, kazavši kako ne mogu potvrditi odakle su napadi došli, niti da li su u bilo kakvoj vezi s napadima na institucije nekih drugih zemalja regije - navodi se u pomenutoj publikaciji.

Bosna i Hercegovina je država potpisnica Konvencije Vijeća Evrope o cyber kriminalu (Konvencija iz Budimpešte), uključujući i njene Dodatne protokole, koji se odnose na inkriminaciju djela rasističke i ksenofobne prirode počinjenih putem kompjuterskih sistema. Prema ocjenama međunarodnih eksperata, propisi Bosne i Hercegovine dijelom su usklađeni sa okvirom koji predviđa Konvencija iz Budimpešte, uz određene nedostatke i praznine koje treba riješiti. Iz Vijeća Evrope navode da je trenutno u izradi Strategija o cyber sigurnosti, a na raspolaganju su i preliminarna podrška Vijeća Evrope i Smjernice za strateški okvir za cyber sigurnost u Bosni i Hercegovini. Kapaciteti relevantnih institucija u borbi protiv cyber kriminala i zaštiti cyber sigurnosti su ocijenjeni kao dobri, bez obzira na ponekad mali broj službenika koji se bave ovim poslovima.

- Evidentan je i napredak u jačanju kapaciteta istražitelja koji se bave cyber kriminalom i finansijskim istragama, tužilaca, predstavnika Finansijsko-obavještajnog odjela, sudija i savjetnika da se bore protiv cyber kriminala, kao i u jačanju međuagencijske i međunarodne saradnje, a i u razmjeni informacija između jedinica za cyber kriminal i između vlasti nadležnih za pravosudnu saradnju – navodi se u Akcionom planu Vijeća Evrope za BiH 2022. – 2025.

U decembru prošle godine zvanično je počeo 1,3 miliona eura vrijedan trogodišnji projekat koji finansira Vlada Savezne Republike Njemačke, a implementira Razvojni program Ujedinjenih nacija (UNDP) u BiH sa ciljem jačanja cyber sigurnosti prvenstveno u okviru institucija BiH.

- Svjesni smo da implementacija ovog projekta dolazi u veoma turbulentno i izazovno vrijeme kada su institucije u Bosni i Hercegovini sve više meta cyber napada. Smatram da trebamo i moramo iskoristiti ovu priliku i pomoć, prije svega SR Njemačke, da izgradimo kapacitete za borbu protiv cyber napada, koje institucije Bosne i Hercegovine na svim nivoima, nažalost, dočekuju nespremne i sa neizgrađenim kapacitetima - izjavio je tada Mladen Mrkaja, pomoćnik ministra sigurnosti Bosne i Hercegovine.

Sa prošlogodišnje konferencije o cyber sigurnosti Foto: UNDP

- Digitalni razvoj može pomoći ljudima i zajednicama da ostvare svoje cijeve i unaprijede kvalitet života, ali uz njega dolaze i određene prijetnje koje mogu pogoditi vlade, privatni sektor, kao i građanke i građane. Bitno je izgraditi spremnost i otpornost na cyber prijetnje, a od izuzetne je važnosti da u tom procesu učestvuju sve zainteresirane strane, institucije vlasti, privatni sektor, akademska zajednica, međunarodne i regionalne institucije i organizacije - naglašava Steliana Nedera, rezidentna predstavnica UNDP-a u Bosni i Hecegovini.

Iako vlasti u BiH evidentno imaju veliku podršku institucija Evropske unije u realizaciji strateških ciljeva koji se odnose na cyber sigurnost, i dalje se u toj oblasti krećemo puževim koracima. Uređenje ove oblasti jedan je od uvjeta za pridruživanje EU, tako da će se uz dobijanje kandidatskog statusa nadležne institucije definitivno morati odlučnije pozabaviti ovim pitanjem bez obzira na sve komplikacije pravne i administrativne prirode koje taj proces neizbježno prate.

- U skladu sa naporima BiH u procesu pridruživanja EU, država će morati provesti mjere koje će osigurati visok nivo sigurnosti njenih digitalnih mreža i infomacijskih sistema. Obavezna je izmijeniti svoje nacionalno zakonodavstvo i provedbu prema Sporazumu o stabilizaciji i pridruživanju potpisanom sa Evropskim zajednicama 2008. godine, što je u direktnoj vezi sa provođenjem Konvencije Vijeća Evrope o cyber kriminalu (Konvencija iz Budimpešte) i Opšte uredbe EU-a o zaštiti podataka (GDPR).

Ono što je prijeko potrebno za razvoj cyber sigurnosti u BiH jeste usvajanje Strategije o kibernetičkoj sigurnosti, zatim zakona o organizaciji i nadležnostima državnih organa za borbu protiv cyber kriminala te informacionoj sigurnosti, kao i rad na jačanju kadrovskih kapaciteta u informacionoj i komunikacijskoj struci – zaključuje se u Izvještaju o cyber sigurnosnim prijetnjama u Bosni i Hercegovini.

DRŽAVA BEZ STRATEGIJE PROTIV CYBER NAPADA: BiH je zadnja u Evropi u području cyber sigurnosti; zbog čega nadležni nisu ništa naučili iz prošlogodišnjeg haosa sa serverima u institucijama?! je izrađen/a uz podršku regionalnog projekta SMART Balkan – Civilno društvo za povezan Zapadni Balkan kojeg implementira Centar za promociju civilnog društva (CPCD), Center for Research and Policy Making (CRPM) i Institute for Democracy and Mediation (IDM) a finansijski podržava Ministarstvo vanjskih poslova Kraljevine Norveške.

Sadržaj DRŽAVA BEZ STRATEGIJE PROTIV CYBER NAPADA: BiH je zadnja u Evropi u području cyber sigurnosti; zbog čega nadležni nisu ništa naučili iz prošlogodišnjeg haosa sa serverima u institucijama?! je isključiva odgovornost Slobodne Bosne i ne odražava nužno stavove Centra za promociju civilnog društva, Center for Research and Policy Making (CRPM), Institute for Democracy and Mediation i Ministarsvta vanjskih poslova Kraljevine Norveške.