Koliko je Bosna i Hercegovina ranjiva na cyber napade
Posljednji u nizu cyber napada s kojima se Bosna i Hercegovina suočila su hakerski napadi na Integrisani zdravstveni informacioni sistem i Poresku upravu Republike Srpske usljed kojih je došlo do curenja podataka.
S obzirom na nedostatak legislative, adekvatnih institucionalnih operativnih mehanizama i strateškog okvira za cyber sigurnost, ne čudi ranjivost Bosne i Hercegovine na cyber napade koji postaju sve učestaliji i sofisticiraniji, a koji bi mogli ugroziti ključne sektore.
Smatra to i Emir Peštelić, senior analitičar centra za sigurnosne operacije u kompaniji HTEC Group, podsjećajući da je Bosna i Hercegovina jedina zemlja Zapadnog Balkana bez državne strategije za cyber sigurnost.
Napominje da su pitanja cyber sigurnosti u Bosni i Hercegovini aktuelizovana proteklih godina kroz razne inicijative. Ipak su, primjećuje, većinu njih pokrenuli entuzijasti, strane vlade ili nevladine organizacije. Tako je u protekloj godini u BiH održan veliki broj konferencija na temu cyber sigurnosti i na svakoj je, ističe ovaj stručnjak, donesen uglavnom isti zaključak: “Kritične infrastrukture u BiH su u izuzetno rizičnom položaju kada je riječ o cyber sigurnosti.”
“U proteklih nekoliko godina, naročito nakon pandemije i rata u Ukrajini, vidjeli smo kako vlade užurbano donose strategije zaštite kritičnih infrastruktura – elektroenergetskog, naftnog, gasnog, zdravstvenog, bankarskog i mnogih drugih sektora kako bi se pripremili za potencijalne napade. Nažalost, Bosna i Hercegovina ne shvata da je odbrana od cyber sigurnosnih prijetnji imperativ u očuvanju državnosti”, ističe Peštelić.
Prijetnje se mjere u desecima miliona
Samo u prošloj godini registrovani su deseci miliona prijetnji cyber sigurnosti u Bosni i Hercegovini, a posljednji u nizu cyber napada s kojima se ova zemlja suočila su hakerski napadi na Integrisani zdravstveni informacioni sistem Republike Srpske i Poresku upravu tog entiteta.
Usljed ovih napada došlo je do takozvanog data breacha, odnosno do curenja važnih podataka i informacija, pojašnjava Peštelić. Tako su se na raznim forumima – od dark weba do nekih lokalnih – pojavili fragmenti podataka koji većinom ukazuju na korisničke pristupne podatke ovih institucija, no nije došlo do curenja ličnih informacija stanovnika i korisnika sistema u smislu podataka pacijenata, kako su to neki medijski izvještaji sugerirali.
“Neophodno je napraviti diferencijaciju između pristupnih i ličnih podataka”, ističe. “Pristupni podaci, korisnička imena i lozinke jesu usko vezani za lične, jer mogu biti vektor ulaza u sisteme i prikupljanje ličnih podataka, no zakonska regulativa o zaštiti ličnih podataka u BiH, iako neadekvatna, lične podatke tretira drugačije.”
“O dijametru podataka koji su iscurili je teško pričati bez forenzičkih podataka, no apsolutno je sigurno da je do toga došlo”, kaže Peštelić.
Saša Petrović, inspektor Federalne uprave policije za cyber kriminal, kaže da ovi napadi prije svega pokazuju da u cyber svijetu ne postoji apsolutna sigurnost.
“Prvenstveno iz razloga što računari i ostali uređaji na informatičkoj mreži zavise od prethodne konfiguracije koju vrši ljudsko biće, a koje posjeduje svoje određene ljudske osobine, poput lakovjernosti, zaboravnosti, lijenosti i slično, koje su nepoznate informatičkim uređajima, odnosno dovode do pogrešne interpretacije zaprimljenih naredbi od čovjeka, koje rezultiraju pogrešnim outputom, odnosno greškama u sistemu koje ‘napadaču’ omogućavaju ostvarivanje privilegija u sistemu koje posjeduje ili bi trebao da posjeduje isključivo legalni korisnik informatičkog sistema”, kaže Petrović.
Napominje da računari i ostali uređaji na informatičkoj mreži rade isključivo ono za što su ih ljudska bića programirala i da ne griješe, osim u slučaju pogrešne konfiguracije te lošeg održavanja.
‘Nepotreban trošak’
Govoreći o tome kako podići svijest o cyber opasnosti, a samim tim i nivo zaštite koji bi u konačnici rezultirao većom otpornosti na ovu vrstu napada, Petrović kaže da se ulaganje u cyber sigurnost nerijetko smatra “nepotrebnim troškom”.
“Taj ‘trošak’ nije vidljiv, odnosno kasno je vidljiv”, kaže Petrović. “Vidljiv je tek kada se nešto desi, naprimjer kada poslovni subjekt izgubi desetostruko veće iznose nova od onog koji bi bio uložen u podizanje nivoa svijesti o opasnostima na internetu i ulaganjem u bezbjedniji informacioni sistem.”
Na kraju ističe da je svijest o opasnostima koje prijete u virtuelnom svijetu moguće podići jedino kontinuiranom edukacijom na navedenu temu, te stremljenju prema poštivanju standarda informacionih tehnologija koje se upotrebljavaju u razvijenim državama u svijetu.
“Primjera radi, kreiranja sigurnosne politike upotrebe informacionih tehnologija u poslovnom subjektu, kojoj bi prethodila procjena sigurnosti, te striktno poštivanje politike, sa jasno definisanim sankcijama za osobe koje obavljaju svoje dužnosti izvan politike upotrebe informacionih tehnologija”, navodi Petrović.
Šta su potencijalna rješenja?
Potencijalna rješenja ranjivosti Bosne i Hercegovine na cyber napade su mnogostruka, analizira Peštelić, no ističe da se uvijek vraćamo na krovni nivo.
“Državi Bosni i Hercegovini i svim organizacijama koje funkcionišu u okviru vlasti prijeko je potrebno usvajanje krovne cyber security strategije te usklađivanje zakona o zaštiti ličnih podataka sa evropskom regulativom GDPR. Ovim regulativama će nosiocima kritičnih procesa biti propisano na koji način da zaštite infrastrukture od državne važnosti”, pojašnjava.
Također je, dodaje, kroz te strategije i zakone potrebno uskladiti i obrazovanje te omogućiti, ne samo učenicima i studentima, nego svim građanima da kroz programe informatičkog opismenjavanja i digitalizacije steknu znanja i vještine potrebne za prvi nivo odbrane od prijetnji cyber sigurnosti.
“Smatram da su nedavni napadi na Integrisani zdravstveni informacioni sistem i Poresku upravu Republike Srpske upravo posljedica neznanja, neadekvatnog shvatanja o ozbiljnosti sistema koji se koristi i u konačnici kompromitovanja korisničkih podataka, a ne neke tehničke greške u infrastrukturi ili softveru, iako ni njih isključujem”, kaže.
“Citirat ću jednog kolegu koji mi je rekao da je softver dobar onoliko koliko i korisnik koji upravlja njime. Mi u Bosni i Hercegovini imamo vrhunske stručnjake iz oblasti razvoja softvera i informacijske sigurnosti, ali oni nisu pozvani da primjene svoje znanje na nivou od državnog značaja”, ističe Peštelić.