Već gotovo godinu dana nije poznato tko je izvršio cyber napade na bh. institucije

Tekst članka se nastavlja ispod banera

Bosna i Hercegovina je konačno, nakon revizorskih kritika i objave prvog izvještaja o cyber sigurnosnim prijetnjama u BiH, napravila određene korake ka uspostavljanju neophodnog tima za odgovor na incidente i donošenje dokumenata kojima bi se štitili građani i institucije, ali za njihovo funkcioniranje potrebno je osigurati resurse i dočekati još neke političke odluke u zemlji koja nema ni zakonsko uređenje ove oblasti.

Već gotovo godinu dana nije poznato tko je izvršio cyber napad na Državni parlament i Vijeće ministara Bosne i Hercegovine. Iz Ministarstva sigurnosti BiH državnim parlamentarcima je ranije rečeno da je pred Državnim tužiteljstvom formiran predmet o napadu, te pronađena e-mail adresa koja se dovodi u vezu s njim. Napad je, kako je navelo Ministarstvo, izvršen na eksternom disku “D” i tom prilikom je kriptovana, odnosno šifrirana kompletna infrastruktura Parlamentarne skupštine, pa uposlenici tjednima nisu mogli pristupiti mailovima i drugim servisima.

Do trenutka objave ovog teksta iz Tužiteljstva BiH nije odgovoreno na upit o fazi u kojoj se predmet nalazi.

U odgovoru zastupnicima u Državnom parlamentu, od kojih su neki ranije putem društvenih mreža upozoravali na probleme koje je ovaj napad prouzrokovao, navedeno je da je predmet u fazi prijave, te da Ministarstvo nije uključeno u procjenu i analizu incidenta, budući da je BiH jedina zemlja u regiji u kojoj, unatoč višegodišnjim pozivima Europske unije i drugih međunarodnih partnera, nije uspostavljen tim za odgovor na računarske incidente za institucije, koji je neophodan dio cyber zaštite.

“U današnje vrijeme kada nemate CERT, to je kao da nemate Ministarstvo vanjskih poslova”, izjavio je ranije Arben Murtezić, direktor Centra za edukaciju sudaca i tužitelja Federacije BiH o osnivanju tima čija je osnovna zadaća uspostavljanje kanala komunikacije za prikupljanje svih detalja o potencijalnim cyber napadima, propustima i drugim vrstama opasnosti kojima su izloženi korisnici interneta u BiH.

Osim toga, BiH nema strateški i zakonski okvir za cyber sigurnost, ali su nakon Izvještaja o cyber prijetnjama, Centra za izvrsnost u cyber sigurnosti (CSEC) i Balkanske istraživačke mreže Bosne i Hercegovine, te revizorskog izvještaja koji je ukazao na nepripremljenost državnih institucija u slučajevima ovakvih napada, napravljeni prvi koraci ka osnivanju CERT tima.

Ministar za komunikacije i promet Edin Forto za BIRN BiH kaže da CERT ranije nije formiran zbog “inat politike“ i sedmogodišnje nemogućnosti dogovora kom će ministarstvu pripasti.

“Mogli smo još jedan mandat potrošiti u nadmudrivanju i preglasavanju, ali smatram da je bitnije da dobijemo CERT nego gdje će biti pozicioniran. Taj proces smo otkočili i konačno se krenulo u kapacitiranje CERT-a za institucije BiH“, dodao je.

Kao jedan od svojih prioriteta, Forto navodi rad na polju cyber sigurnosti, izradu prijedloga zakona o cyber sigurnosti, za šta je, kako kaže, potreban puni konsenzus Vijeća ministara i oba entiteta. Pored toga, usuglašeni su Strategija širokopojasnog pristupa internetu i Politika razvoja sektora elektroničkih komunikacija, dok su u toku aktivnosti na izradi zakona o e-komunikacijama, uslugama i elektronskim potpisima.

 “Gubimo vrijeme i ostajemo na vjetrometini bez sistema prevencije i zaštite, odnosno brze reakcije na cyber napade. Svijest o značaju ove tematike pokazat će da li smo sazreli kao društvo da prioritete građana i privrede stavimo ispred politikanstva“, govori Forto.

Potrebno osigurati resurse za CERT tim

Vijeće ministara je na 11. sjednici u svibnju 2023. dalo suglasnost za izmjene Pravilnika o unutarnjem ustrojstvu Ministarstva sigurnosti, čime su stvoreni funkcionalni uvjeti za rad CERT tima.

“Novim pravilnikom je uspostavljena nova organizaciona jedinica – Tim za odgovor na računarske incidente za institucije BiH, sa ukupno pet sistematiziranih radnih mjesta, čiji opis poslova je urađen shodno ENISA-inim preporukama i najboljim praksama“, kazali su iz Ministarstva sigurnosti za BIRN BiH.

Sve aktivnosti, dodali su, intenzivirane su nakon prošlogodišnjih cyber napada na institucije BiH, kada zaposlenici državnih institucija nekoliko sedmica nisu imali pristup e-mailovima i drugim digitalnim servisima, o čemu je BIRN BiH ranije izvještavao.

Uspostava CERT-a će u praksi sačekati još nekoliko političkih odluka, jer je resorno ministarstvo tek pokrenulo proceduru djelomičnog popunjavanja novih radnih mjesta u timu, ali još uvijek im nedostaju financije za popunjavanje kompletnog tima. Za to vrijeme, Ministarstvo sigurnosti je počelo izradu plana za operativno i institucionalno uspostavljanje CERT-a, te ispunjavanje njegovih ciljeva, koji će tek biti upućen Vijeću ministara.

“Shodno navedenom, CERT za institucije BiH će početi s radom po osiguravanju potrebnih resursa“, zaključili su iz Ministarstva sigurnosti, uz dodatak da planiraju i učlanjivanje CERT tima u međunarodna udruženja, organizacije i mreže, s ciljem razmjene informacija za oblast koja u BiH nije zakonski uređena.

BiH bez zakona i odgovora na inicijative

Stručnjaci su ranije za BIRN BiH pojašnjavali da je jedna od najvećih kočnica nepostojanje državne strategije iz ove oblasti, koja bi bila podloga za donošenje cijelog niza dokumenata koji bi mogli osigurati cyber sigurnost građana BiH.

Predrag Puharić, voditelj CSEC-a i glavni stručnjak za informacione sisteme na Fakultetu za kriminalistiku, kriminologiju i sigurnosne studije u Sarajevu, kaže da je pohvalno usvajanje Pravilnika o sistematizaciji za CERT tim, ali je to samo jedan u nizu potrebnih koraka.

“Kako bi i tim imao što fokusiranje uloge i zadatke, neophodno je definirati strategiju cyber sigurnosti na državnoj razini, te ubrzati kreiranje ostatka zakonskog okvira koji će djelomično izvirati iz same strategije“, pojasnio je Puharić.

Na razini Državnog parlamenta u maju ove godine usvojena su četiri zaključka zastupnika u Predstavničkom domu Parlamentarne skupštine BiH, čiji je osnovni cilj realizacija zaključaka iz revizije stanja cyber sigurnosti u institucijama BiH, na koje do danas nisu odgovorile institucije.

Zaključcima je Zastupničkog dom zadužio Vijeće ministara da poduzme dodatne mjere za ažuriranje razdoblja provođenja, ali i unapređenje i osiguranje većeg stupnja politike upravljanja informacijskom sigurnošću u institucijama BiH. Posljednjim zaključkom zadužili su Ministarstvo komunikacija i prometa, kao i Ministarstvo sigurnosti, da u roku od 90 dana u parlamentarnu proceduru upute prijedloge zakona o informatičkoj sigurnosti i kritičnoj infrastrukturi.

Aida Baručija, jedna od članica grupe zastupnika koji su podnijeli ove zaključke u Zastupničkom domu, kaže da do sada nije dobila odgovor nijedne institucije, iako su rokovi koji su usvojeni zaključcima već istaknuli. Pojašnjava da to nije slučaj samo sa ovim, nego i s drugim zaključcima, te da njihovu realizaciju mogu pratiti samo putem izvještaja revizorskih institucija.

“Znate da i mi sami nismo imali pristup računarima, odnosno svojim e-mailovima i kompletan Parlament. Na računarima je pisalo ‘ne pali’, jer nismo imali pristup pošti. Niko nije smio upaliti svoj računar zato što je, kako sam čula, neka službenica slučajno otvorila nešto što nije trebala i došlo je do napada na sigurnost jedne takve državne institucije. Znači, nije bilo na visini zadatka“, dodala je Baručija.

Osim zaključaka za pojedine institucije, ona je neka pitanja uputila i ministru za sigurnost BiH, ali do danas nije dobila odgovor.

Puharić, i pored kašnjenja BiH u aktivnostima u području cyber sigurnosti, vidi šansu da BiH harmonizira zakonska rješenja sa najnovijim direktivama, te dobrim praksama i preporukama.

“Sigurno je da ne postoji magično rješenje i jednoznačan odgovor šta je najbolje rješenje, ali jasno je da samo donošenje dokumenata, bez iskrene posvećenosti, neće donijeti uspješnu borbu i zadovoljavajući nivo sigurnosti“, zaključio je Puharić.

O nedostacima i rješenjima problema u bh. cyber sigurnosnom sektoru u oktobru će na Forumu za upravljanje internetom u BiH govoriti domaći i strani stručnjaci.