U odgovoru zastupnicima u Državnom parlamentu, od kojih su neki ranije putem društvenih mreža upozoravali na probleme koje je ovaj napad prouzrokovao, navedeno je da je predmet u fazi prijave, te da Ministarstvo nije uključeno u procjenu i analizu incidenta, budući da je BiH jedina zemlja u regionu u kojoj, uprkos višegodišnjim pozivima Evropske unije i drugih međunarodnih partnera, nije uspostavljen tim za odgovor na računarske incidente za institucije, koji je neophodan dio cyber zaštite.

“U današnje vrijeme kada nemate CERT, to je kao da nemate Ministarstvo vanjskih poslova”, izjavio je ranije Arben Murtezić, direktor Centra za edukaciju sudija i tužilaca Federacije BiH o osnivanju tima čija je osnovna zadaća uspostavljanje kanala komunikacije za prikupljanje svih detalja o potencijalnim cyber napadima, propustima i drugim vrstama opasnosti kojima su izloženi korisnici interneta u BiH.

Osim toga, BiH nema strateški i zakonski okvir za cyber sigurnost, ali su nakon Izvještaja o cyber prijetnjama, Centra za izvrsnost u cyber sigurnosti (CSEC) i Balkanske istraživačke mreže Bosne i Hercegovine, te revizorskog izvještaja koji je ukazao na nepripremljenost državnih institucija u slučajevima ovakvih napada, napravljeni prvi koraci ka osnivanju CERT tima.

Ministar za komunikacije i promet Edin Forto za BIRN BiH kaže da CERT ranije nije formiran zbog “inat politike“ i sedmogodišnje nemogućnosti dogovora kom će ministarstvu pripasti.

“Mogli smo još jedan mandat potrošiti u nadmudrivanju i preglasavanju, ali smatram da je bitnije da dobijemo CERT nego gdje će biti pozicioniran. Taj proces smo otkočili i konačno se krenulo u kapacitiranje CERT-a za institucije BiH“, dodao je.

Kao jedan od svojih prioriteta, Forto navodi rad na polju cyber sigurnosti, izradu prijedloga zakona o cyber sigurnosti, za šta je, kako kaže, potreban puni konsenzus Vijeća ministara i oba entiteta. Pored toga, usaglašeni su Strategija širokopojasnog pristupa internetu i Politika razvoja sektora elektroničkih komunikacija, dok su u toku aktivnosti na izradi zakona o e-komunikacijama, uslugama i elektronskim potpisima.

“Gubimo vrijeme i ostajemo na vjetrometini bez sistema prevencije i zaštite, odnosno brze reakcije na cyber napade. Svijest o značaju ove tematike pokazat će da li smo sazreli kao društvo da prioritete građana i privrede stavimo ispred politikanstva“, govori Forto.

Potrebno obezbijediti resurse za CERT tim

Vijeće ministara je na 11. sjednici u maju 2023. dalo saglasnost za izmjene Pravilnika o unutrašnjem ustrojstvu Ministarstva sigurnosti, čime su stvoreni funkcionalni uvjeti za rad CERT tima.

“Novim pravilnikom je uspostavljena nova organizaciona jedinica – Tim za odgovor na računarske incidente za institucije BiH, sa ukupno pet sistematizovanih radnih mjesta, čiji opis poslova je urađen shodno ENISA-inim preporukama i najboljim praksama“, kazali su iz Ministarstva sigurnosti za BIRN BiH.

Sve aktivnosti, dodali su, intenzivirane su nakon prošlogodišnjih cyber napada na institucije BiH, kada zaposlenici državnih institucija nekoliko sedmica nisu imali pristup e-mailovima i drugim digitalnim servisima, o čemu je BIRN BiH ranije izvještavao.

Uspostava CERT-a će u praksi sačekati još nekoliko političkih odluka, jer je resorno ministarstvo tek pokrenulo proceduru djelimičnog popunjavanja novih radnih mjesta u timu, ali još uvijek im nedostaju finansije za popunjavanje kompletnog tima. Za to vrijeme, Ministarstvo sigurnosti je počelo izradu plana za operativno i institucionalno uspostavljanje CERT-a, te ispunjavanje njegovih ciljeva, koji će tek biti upućen Vijeću ministara.

“Shodno navedenom, CERT za institucije BiH će početi s radom po obezbjeđivanju potrebnih resursa“, zaključili su iz Ministarstva sigurnosti, uz dodatak da planiraju i učlanjivanje CERT tima u međunarodna udruženja, organizacije i mreže, s ciljem razmjene informacija za oblast koja u BiH nije zakonski uređena.

BiH bez zakona i odgovora na inicijative

Stručnjaci su ranije za BIRN BiH pojašnjavali da je jedna od najvećih kočnica nepostojanje državne strategije iz ove oblasti, koja bi bila podloga za donošenje cijelog niza dokumenata koji bi mogli obezbijediti cyber sigurnost građana BiH.

Predrag Puharić, voditelj CSEC-a i glavni stručnjak za informacione sisteme na Fakultetu za kriminalistiku, kriminologiju i sigurnosne studije u Sarajevu, kaže da je pohvalno usvajanje Pravilnika o sistematizaciji za CERT tim, ali je to samo jedan u nizu potrebnih koraka.

“Kako bi i tim imao što fokusiranije uloge i zadatke, neophodno je definisati strategiju cyber sigurnosti na državnom nivou, te ubrzati kreiranje ostatka zakonskog okvira koji će djelimično izvirati iz same strategije“, pojasnio je Puharić.

Na nivou Državnog parlamenta u maju ove godine usvojena su četiri zaključka zastupnika u Predstavničkom domu Parlamentarne skupštine BiH, čiji je osnovni cilj realizacija zaključaka iz revizije stanja cyber sigurnosti u institucijama BiH, na koje do danas nisu odgovorile institucije.

Zaključcima je Predstavnički dom zadužio Vijeće ministara da poduzme dodatne mjere za ažuriranje perioda provođenja, ali i unapređenje i osiguranje većeg stepena politike upravljanja informacijskom sigurnošću u institucijama BiH. Posljednjim zaključkom zadužili su Ministarstvo komunikacija i prometa, kao i Ministarstvo sigurnosti, da u roku od 90 dana u parlamentarnu proceduru upute prijedloge zakona o informatičkoj sigurnosti i kritičnoj infrastrukturi.

Aida Baručija, jedna od članica grupe zastupnika koji su podnijeli ove zaključke u Predstavničkom domu, kaže da do sada nije dobila odgovor nijedne institucije, iako su rokovi koji su usvojeni zaključcima već istekli. Pojašnjava da to nije slučaj samo sa ovim, nego i sa drugim zaključcima, te da njihovu realizaciju mogu pratiti samo putem izvještaja revizorskih institucija.

“Znate da i mi sami nismo imali pristup računarima, odnosno svojim e-mailovima i kompletan Parlament. Na računarima je pisalo ‘ne pali’, jer nismo imali pristup pošti. Niko nije smio upaliti svoj računar zato što je, kako sam čula, neka službenica slučajno otvorila nešto što nije trebala i došlo je do napada na sigurnost jedne takve državne institucije. Znači, nije bilo na visini zadatka“, dodala je Baručija.

Osim zaključaka za pojedine institucije, ona je neka pitanja uputila i ministru za sigurnost BiH, ali do danas nije dobila odgovor.

Puharić, i pored kašnjenja BiH u aktivnostima u području cyber sigurnosti, vidi šansu da BiH harmonizira zakonska rješenja sa najnovijim direktivama, te dobrim praksama i preporukama.

“Sigurno je da ne postoji magično rješenje i jednoznačan odgovor šta je najbolje rješenje, ali jasno je da samo donošenje dokumenata, bez iskrene posvećenosti, neće donijeti uspješnu borbu i zadovoljavajući nivo sigurnosti“, zaključio je Puharić.

O nedostacima i rješenjima problema u bh. cyber sigurnosnom sektoru u oktobru će na Forumu za upravljanje internetom u BiH govoriti domaći i strani stručnjaci.