AGENCIJA ZA BANKARSTVO FBIH Srbija bi preko kritične infrastrukture mogla imati uvid u račune građana i tvrtki
Za samo 350 tisuća maraka bez zahtjeva za sigurnosne provjere Agencija za bankarstvo FBIH omogućila je srpskoj tvrtki Energosoft, iza koje se krije Prointer Beograd, kompletan uvid u financijski sektor Federacije BIH kao i privatne račune građana ovog bh. entiteta. Nastavak je to kontrole kritične infrastrukture FBIH od strane IT tvrtki koje se dovode u vezu sa samim političkim vrhom Republike Srbije.
Početkom godine Agencija za bankarstvo FBIH na čelu s Jasminom Mahmuzićem raspisuje natječaj za usluge dubinske analize rizika informacijsko-komunikacijskog sustava.
"Tražena analiza predstavlja provjeru sigurnosti sustava Agencije za bankarstvo FBIH te detekciju slabih točaka unutar IT sustava na hakerske upade koji bi mogli dovesti do neovlaštenog korištenja, objavljivanja ili uništenja podataka", donosi portal tačno.net.
Značaj sigurnosti IKT sustava Agencije za bankarstvo FBIH ogleda se upravo u nadležnosti ove agencije kao i podacima s kojima raspolaže.
Po zakonu iz 2017. godine ova agencija vrši kompletan nadzor i superviziju komercijalnih banaka kao i drugih subjekata bankarskog i financijskog sustavas kompletnim uvidom u poslovanja. U tom kontekstu Agencija čuva i obrađuje velike količine podataka o fizičkim i pravnim komitentima banaka kao i samim subjektima bankarskog sustava.
Ukoliko bi sigurnost ovih podataka na koji se primjenjuju Zakon o zaštiti osobnih podataka kao i Zakon o zaštiti tajnih podataka bila narušena, došlo bi do nesagledivih posljedica i poremećaja u funkcioniranju agencije, ali i kompletnog financijskog sektora FBIH.
Na natječaju kojim je omogućen kompletan uvid u poslovanje kao i podatke Agencije za bankarstvo FBIH prijavio se samo konzorcij tvrtki „A MI Manera“ Beograd-Vračar „MC Global Audit“ Beograd, „Energosoft ITSS“ Beograd te „Atia“ Sarajevo.
Tvrtka „A MI Manera“ koja predvodi ovaj konzorcij osnovana je 2020. godine a prema javno dostupnim podacima Republike Srbije nije sudjelovala na natječajima u ovoj državi.
Osnivačica Tatjana Vukić prema dostupnoj biografiji ima više od 15 godina iskustva u vodećim bankarskim sustavima Srbije. Bila je predsjednik izvršnog odbora „Fidomestic banke“ Beograd te je vodila integraciju „Piraeus banke“ s „Direktnom bankom Kragujevac“, a od 2016. godine je i Predsjednica nadzornog odbora državne tvrtke „Dunav Osiguranje“.
Za razliku od Tatjane Vukić vlasnik tvrtke „MC Global Audit“ Milivoje Cvetinović ima bogato iskustvo poslovanja u Bosni i Hercegovini.
U svojoj karijeri Dr. Cvetinović bio je i direktor za javni sektor tvrtke SAP West Balkan, koja je zajedno s tvrtkom B4B bila uključena u aferu milijunskih nabavki SAP softwera od strane Elektroprivrede BIH, Elektroprenosa BIH i JU Apoteke Sarajevo, a koje od 2015. godine čekaju svoj tužiteljski epilog.
Iz Srbije s ljubavlju
Energosoft ITSS, treća tvrtka u ovom zanimljivom konzorciju kćerka je tvrtke Prointer ITSS Beograd koja se dovodi u vezu sa Slavišom Kokezom, visokopozicioniranim članom SNS-a i nekadašnjim predsjednikom Fudbalskog saveza Srbije.
Identično kao i istoimeni pandan s druge strane Drine, tvrtka Prointer Beograd svoj poslovni uspjeh temelji na unosnim ugovorima s javnim sektorom R. Srbije. Tako je ova tvrtka samo u prosincu 2016. godine svakog dana od javnog sektora ove države dobivala po jedan natječajni ugovor.
Žana Gauk novinarka portala Žurnal.info koja godinama analizira poslovanje Prointera s javnim sektorom kao i ulogu obitelji Dodik u „nevjerojatnom“ poslovnom uspjehu ove tvrtke, ističe povezanost beogradskog i banjolučkog Prointera.
„U vrijeme kada je 'Prointer' u RS počeo da dobiva sve poslove u javnom sektoru, kao prekodrinski suvlasnik, spominjan je i Slaviša Kokeza, donedavni predsjednik Fudbalskog saveza Srbije i veliki prijatelj Milorada Dodika. Baš kao i Igor Dodik, ni Kokeza nikada nije bio službeno vlasnik beogradskog „Prointera“, ali jest „Eurosalona“. Danas je na čelu i jedne i druge tvrtke, prema zvaničnim podacima u APR-u, izvjesna Ivana Rajić. Zanimljivo je da se obje ove tvrtke nalaze na istoj adresi na kojoj se nalazi Kokezina firma „Senior tim“. Beogradska tvrtka majka je, također, bila dominantna na natječajima. Zapravo, važila je za jednu od glavnih IT tvrtki povezanih s tamošnjim vladajućim SNS-om.“
„Prointer“ Beograd službeno 2020. godine izlazi iz vlasničke strukture „Prointera“ Banja Luka čiji 100% vlasnik postaje Infinity international grupa. Međutim dodatne sankcije američke administracije iz 2022. godine prema Miloradu Dodiku kao i tvrtkama koje se dovede u vezu s njegovom obitelji nisu imale veliki utjecaj na poslovanje Prointera Banja Luka.
Žana Gauk u ovome vidi nevjerojatnu sličnost s beogradskim pandanom. Bez obzira na činjenicu da je Kokeza uhićen i saslušavan u predmetu koji se u Srbiji vodi protiv kriminalne grupe Veljka Belivuka, Prointer Beograd nastavio je dobivati javne poslove u ovoj državi.
„Čak i nakon uhićenja Slaviše Kokeze, „Prointer“ je nastavio dobivati važne državne poslove. U Republici Srpskoj je do nedavno pooštrenih sankcija SAD-a Miloradu Dodiku i Alternativnoj televiziji, a koja je bila u vlasništvu „Prointera“, situacija bila identična. Sve baze s osobnim podacima građana ove zemlje u rukama su „Prointera“. „Microsoft“ i „IBM“, koji su prekinuli partnerstvo, nisu previše omeli tvrtku. Od dana kada su objavljene sankcije, 5. siječnja, pa do 18. ožujka „Prointer“ je od javnog sektora dobio ugovore vrijedne više od četiri milijuna maraka. Za 72 dana.“
Jedina bh. tvrtka koja će sudjelovati u analizi IKT sistema Agencije za bankarstvo FBIH je sarajevska tvrtka „Atia Consulting“. Relativno nepoznata u IT branši svoje poslovanje s javnim sektorom u BIH bazira na pružanju usluga penetracijskih testiranja i sigurnosti informacijskih sustava.
Zbog specifičnosti podataka i informacija kojima Agencija za bankarstvo FBIH raspolaže kao i činjenice da su podaci zaštićeni Zakonom o zaštiti osobnih podataka te Zakonom o zaštiti tajnih podataka iz Agencije su odgovorili jesu li za gore spomenute tvrtke tražili sigurnosne provjere.
„U pogledu Vašeg pitanja, a u mjeri u kojoj smo razumjeli isto, informiramo Vas da se pitanja povjerljivosti, tajnosti i sigurnosti razmjene podataka osiguravaju po potpisivanju ugovora s odabranim ponuđačem, na način da se potpisuju izjave o tajnosti i povjerljivosti podataka sa svim članovima ponuđača koji sudjeluju u realizaciji predmetne usluge.“ Odgovor Agencije za bankarstvo FBIH.
Međutim, značaj kao i pravna težina izjave o tajnosti i povjerljivosti podataka koju će Agencija potpisati s ovim konzorcijem ekvivalentna je prihvaćanjem suglasnosti za prijavu na Newsletter “Sarajevskog kiseljaka” ili neke druge komercijalne tvrtke.
Bosna i Hercegovina ima zakonsku legislativu kao i jasno definiran postupak izdavanja industrijske sigurnosne dozvole. Ova dozvola predstavlja primjenu sigurnosnih mjera za zaštitu tajnih podataka kada je u okviru poslova potrebno angažirati pravno ili fizičko lice za izvršenje određenog posla.
Ministarstvo sigurnosti BIH koje izdaje ove dozvole, nakon provjera tvrtki od strane Obavještajne agencije – OSA-e, dostavilo je portalu Tačno.net popis 12 tvrtki iz oblasti IT-a koje na razini BIH imaju industrijsku sigurnosnu dozvolu.
„MIBO KOMUNIKACIJE d.o.o. Sarajevo, SECTOR ADS d.o.o., ORKA doo, QSS d.o.o., BOSNIEN BUSINESS SYSTEMS – BBS d.o.o., PING doo, NEONTX d.o.o, KING ICT d.o.o., PAGE d.o.o., ROAMING NETWORKS d.o.o., LANACO d.o.o. i CORE d.o.o.“
Upravo Industrijska sigurnosna dozvola treba biti jedan od primarnih alata zaštite IT sigurnosti kritične infrastrukture Bosne i Hercegovine kao i FBIH od neovlaštenog prikupljanja podataka kao i objavljivanja ili uništavanja.
Podsjećamo, Republika Srpska je još 2019. godine po uzoru na države u okruženju usvojila „Zakon o sigurnosti kritičnih infrastruktura“ kojim su definirane aktivnosti kojima je za cilj zaštita industrije i energetike, IKT infrastrukture, prometa, zdravstva, komunalne djelatnosti, vodoprivrede, distribucije hrane, skladišta opasnih materija itd.
Za razliku od ovog entiteta, Bosna i Hercegovina a ni Federacija nema Zakon o zaštiti kritične infrastrukture. Razloge treba tražiti u indolentnosti ili partikularnim interesima da se ovaj krucijalni sigurnosni problem ne riješi.
Bilo kuda Prointer svuda
Kada analiziramo podatke poduzeća ili institucije s državnog i Federalnog nivoa, tvrtke u okviru grupacije Prointer dobivale su natječajne ugovore u RAK-u, Opštini Centar Sarajevo, Kancelariji za Veterinarstvo BIH, KJKP VIK Sarajevo, Uredu za reviziju institucija BIH, Savjetu Ministara BIH, Ministarstvu vanjske trgovine i ekonomskih odnosa BIH, Elektroprenosu BIH, JP Autocestama FBIH, Agenciji za statistiku BIH, Ministarstvu poljoprivrede, vodoprivrede i šumarstva FBIH, JP Elektroprivredi HZHB, IDDEEA-i BIH, Upravi za neizravno oporezivanje BIH, NOS-u BIH, Kliničkom centru Sarajevo itd.
A od ožujka ove godine, kao što vidimo Prointer Beograd nekadašnji vlasnik Prointera Banja Luka imat će priliku za dubinsku analizu informacijsko-komunikacijskog sustava Agencije za bankarstvo FBIH.
U tom kontekstu postavlja se pitanje efikasnosti zabrane ulaska u BIH osoba koje Obavještajno sigurnosna agencija proglasi prijetnjom za nacionalnu sigurnost BIH. Podsjećamo 2007. godine kompletan bankarski sustav Estonije bio je izložen masovnom DDoS napadu koji doslovno paralizirao državne institucije, internet medije kao i druge segmente kritične infrastrukture. Problem je riješen u suradnji s NATO ekspertima na način da je Estonija samu sebe diskonektirala s interneta.
Stručnjak za sigurnost Ahmed Kico naglašava eventualne posljedice činjenice da tvrtke koje su angažirane od strane Agencije za Bankarstvo na poslovima dubinske analize informacijsko-komunikacijske infrastrukture nemaju industrijsku sigurnosnu dozvolu.
„Sve tvrtke koje imaju direktni ili indirektni pristup tajnim ili zaštićenim podacima moraju proći sigurnosne provjere i imati industrijsku sigurnosnu dozvolu. Da bi se spriječio upad ovlaštene ili neovlaštene agencije iz neke druge države u kompletan bankarski sustav mora se izvršiti sigurnosna provjera. Ukoliko se to ne uradi postoji izvjesna šansa da će povjerljivi podaci biti transferirani obavještajnim sustavima susjednih ili drugih država. To može predstavljati ogroman problem ne samo za bankarski sustav nego i za kompletnu državu.“
Transferiranje povjerljivih podataka kao i njihovo korištenje u obavještajne svrhe, prema mišljenju Kice, predstavlja samo jedan od alata hibridnih operacija koje se hipotetički mogu pokrenuti protiv Bosne i Hercegovine.
„U ovakvom slučaju strane obavještajne agencije mogu blagovremeno planirati sve vrste hibridnih operacija usmjerenih protiv BIH. Agencija za bankarstvo FBIH ukoliko ne bude na visini zadatka u ovom slučaju može hipotetički biti odgovorna za, na primjer, nefunkcioniranje bankomata u FBIH što bi kod građana dovelo do kaosa i panike a to je ključna svrha hibridnih operacija. Panika i haos kao što znamo mogu odvesti u nepoznatom smjeru.“
Indikativno, Agencija za bankarstvo FBIH ugovor s konzorcijem iza kojeg se krije Prointer Beograd potpisala je nepunih mjesec dana nakon preuzimanja Sberbank BiH d.d. Sarajevo i prodaje ove banke za 15 milijuna KM ASA finance-u.