BiH jedina u Europi ne posjeduje CERT
BiH ranjiva na cyber napade zbog nedostatka ključnih dokumenata
Tekst članka se nastavlja ispod banera
Nakon nedavnih cyber napada na državne institucije, stručnjaci upozoravaju da je nedostatak važnih dokumenata i timova za obranu alarmirajući u vrijeme kada se Bosna i Hercegovina suočava s povećanim brojem prijetnji izvana.
Državne zastupnike je u rujnu na ulazu u urede dočekao natpis da ne pale računare. Zastupnik Saša Magazinović je na svom Twitter nalogu objavio fotografiju vrata kancelarije u Parlamentarnoj skupštini na kojima je bio bijeli papir s natpisom: ''Molimo da ne palite računare dok ne dobijete obavijest''.
Institucije prepuštene same sebi
Niz drugih uposlenika Parlamenta i Vijeća ministara nekoliko tjedana nije imao pristup e-mailovima i drugim digitalnim servisima. Državne vlasti duže od mjesec nakon otklanjanja problema nisu priopćile što ga je uzrokovalo. Stručnjaci s kojima je razgovarala Balkanska istraživačka mreža Bosne i Hercegovine (BIRN BiH) kažu kako ovaj cyber napad pokazuje koliko su sistemi u državi ranjivi.
BiH i dalje ostaje jedina država na Zapadnom Balkanu koja nema državnu strategiju za cyber sigurnost. Nedostaje i cijeli niz dokumenata koje je potrebno uskladiti sa zakonodavstvom Europske unije (EU) u približavanju zemlje EU, ali i važna institucija na državnoj razini koja bi pomagala u obrani od snažnih napada.
Stručnjak Elmedin Selmanović kaže da ovi nedostaci ostavljaju ranjivim institucije.
''Dosta često, kada su ti manji napadi, institucije su prepuštene same sebi'', kaže Selmanović, direktor Univerzitetskog teleinformatičkog centra (UTIC) Univerziteta u Sarajevu.
''Neki IT odjeli koji su često potkapacitirani, ljudstvom, opremom se nose s tim, oni ugase požar, ugase vatru i nastavi se dalje. Međutim, kako broj napada raste, zaista se otvara i potreba za širim i društvenim angažmanom i formiranjem nekih tijela koja bi se borila s tim'', objašnjava Selmanović.
BiH još uvijek nema državno tijelo za cyber sigurnost
Nakon napada u rujnu, računari u zgradi Parlamenta i Vijeća ministara postali su praktično neupotrebljivi, ali osim svojih stručnjaka, ove institucije nisu se imale obratiti nijednoj drugoj državnoj specijaliziranoj agenciji.
Unatoč višegodišnjim pozivima Europske unije i drugih međunarodnih partnera, BiH nikada nije formirala Tim za odgovor na računarske incidente (CERT).
Zastupnik Zlatko Miletić potvrdio je BIRN-u BiH da su računari i internet veza osposobljeni nakon napada, ali ni njemu nije poznato na koji način je to urađeno.
''Tko, na koji način je izvršio popravku toga, ja vam u ovom trenutku zaista ne znam'', kaže Miletić.
On dodaje i kako je, samo nekoliko dana nakon što su popravljene posljedice cyber napada iz rujna, bilo dodatnih pokušaja upada u sistem. Jedan od takvih dogodio se 19. listopada, kada je zastupnicima u Državnom parlamentu stiglo upozorenje o spam e-mailovima u kojima se traži da unesu svoje pristupne podatke. Tada ih je posebno zabrinula činjenica da je ovakav sumnjivi e-mail stigao s domene parlament.ba, što znači da je neko, imitirajući administratora domene Državnog parlamenta, pokušavao doći do podataka zastupnika u ovoj instituciji, kaže Miletić.
Iz Generalnog tajništva Vijeća ministara za BIRN BiH su potvrdili kako je sistem e-vlade ove institucije u posljednje vrijeme konstantno izložen određenim vrstama cyber napada. Pojašnjavaju kako su u tom periodu ulagali iznimne napore kako bi omogućili korisnicima odgovarajući stupanj pristupa serverima i uslugama.
Podaci su očuvani, mreža je funkcionalna i svi računari se redovno koriste, kazali su iz Tajništva, dodavši kako su protekli period iskoristili za jačanje online sigurnosti u institucijama BiH.
Oni nisu mogli potvrditi odakle su napadi došli i da li su u bilo kakvoj vezi s napadima na institucije nekih drugih zemalja regije.
BiH bez digitalnog ministarstva vanjskih poslova
Osim hakerskih napada, stručnjaci upozoravaju da je značajan problem i to što BiH još uvijek nije razvila svoje zakone i propise o cyber sigurnosti i uskladila ih s međunarodnim standardima.
''U današnje vrijeme kada nemate CERT, to je kao da nemate Ministarstvo vanjskih poslova'', kaže za BIRN BiH Arben Murtezić, direktor Centra za edukaciju sudaca i tužilaca Federacije BiH, koji je uključen u formiranje akademskog Tima pri Univerzitetu u Sarajevu.
''CERT je nešto po čemu ste prepoznatljivi u ovom važnom segmentu i to moramo imati'', kaže on i pojašnjava da postoji i nacrt zakona koji bi mogao zadovoljiti sve standarde u osnivanju nacionalnog CERT-a, ali da ne postoji politička volja da se on usvoji.
Priča o uspostavi CERT-a u BiH počela je još 2010. godine, nakon Strategije Vijeća ministara BiH o uspostavi bosanskohercegovačkog CERT-a. Još dodatnih sedam godina bilo je potrebno kako bi, na prijedlog Ministarstva sigurnosti, Vijeće ministara usvojilo odluku o određivanju CERT-a za institucije BiH, čime je CERT uspostavljen i smješten u Ministarstvo sigurnosti.
Preduvjeti
Iz ovog ministarstva naglašavaju da oblast cyber sigurnosti nije zakonski uređena u našoj zemlji te da, iako postoji svjesnost o sigurnosnim izazovima u digitalnom prostoru, ovo ministarstvo nema operativno-istražno ovlaštenje.
Stoga je za postizanje prave funkcije CERT-a potrebno ispuniti i neke dodatne preduvjete.
''Tijelo je još uvijek u fazi uspostavljanja jer se čeka izmjena Pravilnika o sistematizaciji i unutrašnjoj organizaciji Ministarstva sigurnosti BiH. Materijal je upućen na Vijeće ministara BiH'', odgovorili su iz Ministarstva sigurnosti na upit BIRN-a BiH.
Iz Ministarstva pojašnjavaju i da je Vijeće ministara tijekom 2017. godine usvojilo analizu o usklađenosti pravnih propisa u domenu kibernetičke sigurnosti u BiH, obavezavši Ministarstvo da intenzivira aktivnosti na izradi Strategije o kibernetičkoj sigurnosti u BiH.
Politička volja
''Ministarstvo sigurnosti je zasad uspjelo izraditi, u suradnji s drugim zainteresiranim institucijama, Smjernice za strateški okvir za kibernetičku sigurnost u BiH, a dalje aktivnosti na samoj strategiji su u tijeku i uveliko ovise o političkoj volji'', dodaju.
Nepostojanje državne strategije iz ove oblasti, smatraju stručnjaci, najveća je kočnica u kreiranju čitavog niza dokumenata koji bi mogli osigurati cyber sigurnost građana BiH, ali i biti podloga za donošenje dokumenata koji su potrebni, ali i nezavisni od najviših zakonodavnih tijela.
''I upravo nam je potrebna strategija da to razvije, jer svaka institucija, svaka veća firma bi trebala da ima neka interna pravila vezana za kompjutersku sigurnost. Jer i u najrazvijenijim zemljama kompjuterska strategija i zakonska regulativa uvijek dolaze do malog čovjeka ili do male firme'', pojašnjava Murtezić.
Osim strategije, ključni dokumenti koji bi omogućili rad CERT-a za državne institucije jesu sveobuhvatni zakoni o informacijskoj sigurnosti i o organizaciji i nadležnostima državnih organa za borbu protiv kompjuterskog kriminala. Iz Misije OSCE-a kažu kako su odlučni da podrže razvoj CERT-ova u BiH, koji su ključni za smanjenje ranjivosti na prijetnje koje dolaze iz cyber prostora, ali da Ministarstvo nije uradilo svoj dio posla.
''Odsustvo takvog mehanizma na državnom nivou predstavlja veliki nedostatak u cyber sigurnosti. Ministarstvo sigurnosti BiH nije učinilo ono što je potrebno za uspostavljanje CERT-a za institucije BiH, posebno u smislu identifikacije i osiguranja zakonskih, organizacionih, ljudskih i tehničkih zahtjeva i resursa'', napominju iz OSCE-a.
Dodaju i da je nedostatak napretka alarmantan s obzirom na to da su cyber napadi sve više ciljani na institucije na državnoj razini.
Cyber napadi u regiji važno upozorenje za BiH
Zemlje regije u posljednjih nekoliko mjeseci često su bile žrtve cyber napada, a jedan od najaktualnijih je napad na institucije Crne Gore u vrijeme duboke političke krize u ovoj državi.
Ministar javne uprave ove države Maraš Dukaj za crnogorski javni servis potvrdio je da iza napada stoji kriminalna grupa ''Cuba ransomware'' i da je za ovaj napad ''kreiran poseban virus koji je koštao deset milijuna dolara i nigdje do sada nije upotrijebljen''. Albanija se nedavno suočila s napadima, za koje su prvi izvještaji pokazivali da dolaze iz Irana.
Moglo bi doći do velikog napada
Izvještaj organizacije DiploFoundation iz Ženeve upozorava na činjenicu da bi veliki broj malih napada u regiji mogao dovesti i do jednog većeg napada, kao i da bi cyber napadi na nivou države mogli rezultirati gubicima većim od deset milijuna eura dnevno. Navode i to da većina zemalja regije nema odgovarajuće institucionalne sisteme koji bi mogli pomoći u prevenciji i borbi protiv cyber napada.
''Ovo dolazi, primarno, kao rezultat nedostatka političke svijesti o ovom problemu i institucionalnih kapaciteta da prepoznaju rizike i djeluju na njih, surađujući na nivou regije'', zaključuje se u ovom izvještaju.
Do sada su u BiH osnovana dva CERT-a – jedan u Republici Srpskoj, koji je s radom počeo 2015. godine, te akademski CERT, uspostavljen ove godine, koji djeluje kao Centar za izvrsnost u cyber sigurnosti (CSEC).
Nacrti zakona kvalitetni
Predrag Puharić, voditelj akademskog CERT-a, kaže kako je sam pojam još uvijek poprilično nepoznat javnosti, ali da je, pored razmjene obavještajnih podataka o cyber napadima i novim načinima napada, jedna od njihovih ključnih zadaća i edukacija. Napominje da u stručnoj zajednici nema problema u vezi sa uspostavljanjem nacionalnog CERT-a, nego da su problemi administrativne prirode.
''Nacrti zakona su vrlo kvalitetni, usuglašeni sa svim direktivama i ostalim relevantnim zakonskim okvirom u BiH i spremni su. Dakle, ne postoji neki problem i očekujemo sad da će možda novi saziv vlasti više djelovati, više zakona generalno usvajati u parlamentu i samim tim da će i cyber security. Vidjeli smo, jako nam je bitan, ne možemo ostati izvan toga'', kaže Puharić.
BiH jedina u Europi ne posjeduje CERT
Saša Mrdović, profesor računarskih mreža na Elektrotehničkom fakultetu Univerziteta u Sarajevu, pojašnjava kako je čudno i zabrinjavajuće to što je BiH jedina zemlja Europe koja ne posjeduje CERT. On smatra da takav tim, iako neće spriječiti napad kada već dođe do njega, može znatno utjecati na informiranost o napadima i načinima obrane.
''Ako ste vi lagana žrtva, time više povećavate šanse da će vas neko napasti, da će napad biti uspješan za napadača, odnosno poguban za vas'', objašnjava on.
U posljednjem izvještaju Europske unije o napretku BiH navodi se kako je potrebno uskladiti propise o cyber kriminalu s pravnom stečevinom Unije.
Bosna i Hercegovina treba dovršiti strateški okvir za borbu protiv cyber kriminala, navodi izvještaj, u kome se objašnjava da strategija postoji samo u Republici Srpskoj.