CRNA GORA I SAJBER BEZBJEDNOST: I dalje nezaštićeni  

Predloženi budžet i kašnjenje u formiranju Agencije za sajber bezbjednost ugrožava sigurnost  

Đurđa RADULOVIĆ

Iz Ministarstvo javne uprave (MJU) kažu da bi za jačanje sajber bezbjednost i digitalnih servisa u zemlji trebalo obezbijediti više sredstava u budžetu za 2026, kao i stabilno funkcionisanje ključnih institucija u ovoj oblasti.

,,U predloženom budžetu za 2026. nedostaju finansijska sredstva neophodna za razvoj informacione infrastructure. Sve to može uticati da dođemo u situaciju da ne možemo ispuniti određene obaveze iz  Reformske agende (2024- 2027) Evropske unije (EU)“ kaže generalni direktor Direktorata za infrastrukturu, informacionu bezbjednost, digitalizaciju i e-servise u MJU Dušan Polović  za Centar za istraživačko novinarstvo Crne Gore (CIN-CG).

Mogli bi faliti 2,5 miliona za iduću godinu, od kojih se dva miliona za ulaganja u sajber bezbjednost i infrastrukturu, a oko pola miliona za Program digitalne transformacije iz Reformske agende, dodaje Polović.

Ministarstvo finansija iz godine u godinu predlažu sličan iznos sredstva za sajber bezjednost, a potrebe rastu. Iz Ministarstva finansija nijesu odgovorili na pitanja CIN-CG u vezi sa budžetom za MJU za 2026. godinu.

Prema Zakonu o informacionoj bezbjednosti, koji je usvojen u decembru 2024,  Agencija za sajber bezbjednost trebalo je da bude osnovana najkasnije krajem marta ove godine. To se, međutim, još nije dogodilo.  

MJU je dva puta slalo Vladi predloge za imenovanje direktora i članova upravnog odbora Agencije. Prvi predlog poslat je u februaru, poštujući zakonske rokove, a potom u junu. Za direktora Agencije je ministarstvo kojim rukovodi Maraš Dukaj predložilo Samira Orahvca, člana Vladinog tima za odgovor na računarsko bezbjednosne incidente u sajber prostoru Crne Gore (CIRT-a) „Još uvijek od Vlade nijesmo dobili povratnu informaciju o ovom predlogu”, kazao Polović. 

Iz Generalnog sekretarijata Vlade Crne Gore nijesu odgovorili na pitanja CIN-CG zbog čega se sa Agencijom kasni.

Bez zaštite brojne ključne institucije: Aerodromi, Luka Bar…

,,Hitno formiranje Agencije je prioritet, i zbog bezbjednosti države i građana, i zbog kredibiliteta Crne Gore u procesu evropskih integracija. Planirani budžet za Agenciju još je neiskorišten, a u slučaju ozbiljnog sajber napada svaki državni organ prepušten je sam sebi bez centralne podrške. To je nedopustivo, i direktno ugrožava ključne sisteme”, kaže za CIN-CG ekpsert za oblast sajber bezbjednosti, Branko Džakula. 

Nakon usvajanja Zakona, CIRT koji je pokrivao sajber bezbjednost u svim institucijama Crne Gore od 2012,  izgubio je nadležnost za pitanja sajber bezbjednosti nezavisnih i privatnih subjekata u Crnoj Gori. Prema ovom Zakonu u nadležnost Agencije spadaju svi nezaivisni i privatni subjekti, dok je  Vladina infrastruktura ostala pod ingrerencijom CIRT-a.

,,Ukoliko neko napadne recimo Aerodrome Crne Gore, Luku Bar ili neku drugi važan infrastrukturni sistem, nama su ruke vezane. CIRT nema više ovlašćenja da postupa u tim slučajevima, tako da je Agencija za sajber bezbjednost tu  ključna, a ona još ne funkcioniše “, ističe Polović.

,,Zastoj u uspostavljanju i operativnom funkcionisanju Agencije za sajber bezbjednost proizvodi ozbiljne strateške, institucionalne i bezbjednosne implikacije, budući da Agencija preuzima nadležnosti stručnog nadzora, proaktivnog skeniranja, upravljanja incidentima i međuinstitucionalne koordinacije”, kazala je za CIN-CG Andreja Mihailović iz organizacije Women4Cyber.

Bez centralnog, kompetentnog i operativno opremljenog tijela nadležnog za koordinaciju nacionalne sajber politike, država ostaje bez ključnog mehanizma koji omogućava nadzor nad operatorima kritične infrastrukture, harmonizaciju standarda, izgradnju nacionalnih kapaciteta, razmjenu informacija o prijetnjama i integrisani odgovor na incidente, objašnjava za CIN-CG Mihailović.

,,Važno je osigurati da operativni početak rada Agencije bude zasnovan na stabilnoj institucionalnoj arhitekturi, adekvatnim ljudskim resursima i optimalnim tehničkim kapacitetima, kako bi Agencija u potpunosti mogla ostvariti stratešku ulogu u jačanju nacionalne digitalne otpornosti”, objašnjava Mihailović.

I dalje bez redundantnih sistema

Još jedna obaveza iz novog Zakona o informacionoj bezbjednosti je da crnogrski CIRT mora posjedovati takozvane redundantne sisteme i rezervne radne prostorije kako bi se obezbijedio kontinuitet rada. Crnogorski CIRT ovu naprednu tehnologiju još uvijek nema.  

,,Za sada imamo backup sisteme zaštite, a do kraja godine ćemo imati opremljen redundantni prostor za CIRT državne uprave”, kaže Polović.

Backup i redundantni sistemi imaju različite uloge u sajber bezbjednosti. Backup je kopija podataka koji se tako čuvaju ako dođe do gubitka ili oštećenja, dok redundantni sistemi podrazumijevaju duplu ili paralelnu infrastrukturu koja omogućava da sistem nastavi da radi bez prekida ako jedan dio otkaže. Ukratko redundancija obezbjeđuje neprekidan rad sistema.

,,Redundantni sistemi predstavljaju ključni element arhitekture visoke otpornosti i podrazumijevaju uspostavljanje paralelnih, geografski i tehnički raznovrsnih infrastrukturnih kapaciteta koji mogu autonomno preuzeti funkciju primarnih sistema u slučaju degradacije, prekida, kompromitacije ili potpunog pada”, objašnjava Mihailović.

Za CIRT je redundancija od strateške važnosti jer obezbjeđuje funkcionisanje u u slučaju sajber smetnji, kao što su kaskadni incidenati, sofisticirani napadi, kompromitacija državnih servisa ili u slučaju fizičkih katastrofa i infrastrukturnih kvarova. Time se značajno povećava otpornost nacionalne digitalne infrastrukture, objašnjava Mihailović. ,,U kontekstu Crne Gore, ovo znači da se rad CIRT-a ne prekida čak ni u ekstremnim okolnostima, što je suštinski uslov za stabilno funkcionisanje e-servisa i kritične infrastrukture”, kaže Mihailović

Praksa u EU i NATO  nalaže da nacionalni CIRT mora imati jasno definisan plan oporavka u slučaju katasterofe (DRP) i  plan kontinuiteta poslovanja (BCP) i minimalno jedan geografski odvojen sekundarni operativni centar. Time se značajno redukuju rizici sistemskih zastoja, povećava otpornost nacionalne digitalne infrastrukture, stabilizuje proces odgovora na incidente ri jača međunarodno povjerenje u Crnu Goru, kao pouzdanu bezbjednosnu tačku u regionalnim i euroatlantskim mrežama. ,,U praksi to obuhvata primjenu različitih mehanizama i jačanje  infrastrukture”, objašnjava Mihailović.

,,Neophodno je uspostaviti savremene mehanizme za praćenje i detekciju prijetnji, kao i brz odgovor na incidente, uključujući napredne sisteme za monitoring mreža, rane alarme i jasne planove oporavka nakon napada. Sajber bezbjednost, kao proces koji zahtijeva stalno testiranje odbrane, redovne testove, simulacije napada i obuke, može biti održiva samo uz kombinaciju čvrste institucionalne strukture, stručnih kadrova, moderne tehnologije i razvijene svijesti na svim nivoima”, kaže Džakula. Ovaj ekspet ističe da se spremnost ne smije graditi u krizi, već mnogo prije nje.

Bez ispunjavanja obaveza nema ni novca EU

U Izvještaju Evropske komisije za 2025 navodi se da Crna Gora treba da ,,uskladi nacionalno zakonodavstvo sa Direktivom o mrežnoj i informacionoj bezbjednosti (NIS2) i implementira ga, uključujući i osnivanje Nacionalne agencije za sajber bezbjednost”, te da treba da nastavi da sprovodi pravni okvir EU u oblasti elektronskih komunikacija i audiovizuelnih medijskih usluga, uključujući i zaštitu nezavisnosti regulatornih tijela. Preporučuje se angažovanje dodatnog osoblja na ovom polju ,,čime bi se dodatno ojačali administrativni kapaciteti u oblastima elektronskih komunikacija, usluga informacionog društva i audiovizuelnih medijskih usluga”, navodi se.

„Crna Gora će krajem 2025. dobiti 1,3 miliona eura od EU zato što je ispunila obaveze iz Plana digitalne transformacije za ovu godinu. Меđutim, 2026.  bi moglo doći do poteškoća, јеr da bismo povukli sredstva predviđena za narednu godinu, u budžetu koji je predložilo MF nedostaje oko pola miliona eura za sprovođenje II faze  plana digitalne transformacije za 2026 godinu,“ оbjašnjava Polović. Ističe da nije jasna logika MF da ne izdvoji pola miliona za ove potrebe, nakon čega bi mogla da dodbije višestruko veći iznos od EU, odnosno oko dva miliona zbog ispunjavanja Plana digitalne transformacije.

„Iako će Vlada povući 1,3 miliona za digitalnu transformaciju ove godine, mogla su se dobiti i mnogo veća sredstva od EU u 2025. Međutim, zbog sporosti oko uspostavljanja  Agencije za sajber bezbjednost i jačanja kapaciteta CIRT-a, Crna Gora je propustila da povuče dodatnih 3,4  miliona eura od EU”, objašnjava Polović. 

Uprkos preporukama EU da se poveća broj zaposlenih, CIRT bi sledeće godine mogao doći u opasnost da ostane bez dijela kadra. Ovoj organizaciji fali za isplatu plata za oko polovine zaposlenih koji se trenutno finansiraju iz sredstava EU, objašnjava Polović. ,,Od 13 zaposlenih pet je stalno zaposleno, a ostalima  ugovori po projektima brzo istriču. Za sve to je potrebna podrška. Umjetso da ojača u narednom periodu, CIRT bio mogao biti oslabljen“, kaže Polović.

MJU je Vladi predočilo da im je neophodna podrška za plate u CIRT-u. Iako budžet za 2026. previđa zaposlenje osmoro novih ljudi, na nivou cijelog MJU, pitanje je koliko je njih planirano za CIRT. Međutim,  i kada bi bila obezbijeđena sredstva za nove kadrove, to ne bi riješilo problem. ,,Vlada nije donijela generalni kadrovski plan za 2025, što je onemogućilo raspisivanje konkursa, iako smo imali sredstva ove godine da zaposlimo još nekog u CIRT-u”, dodaje Polović.

Više podzakonskih akata  trebalo je da bude doneseno u roku od šest mjeseci od stupanja na snagu Zakona o informacionoj bezbjednosti, ali ni do toga nije došlo. Polović najavljuje do kraja godine donošenje jednog podzakonskog akta - Nacionalnog plana za odgovor za incidente, kao i donošenje Liste kritične infrastrukture.

Polović ističe da će donošenje ova dva dokumenta omogućiti dalje ispunjavanje indikatora iz Plana rasta i samim time omogućiti povlačenje finansijskih sredstava iz ovoga mnehanizma u iznosu od 1.158 miliona eura

Sva ministarstva su imala obavezu da MJU dostave sektorske liste kako bi se napravio registar ključnih subjekata sajber bezbjednosti. Rok da se sastavi registar istekao je u avgustu, ali on još nije sačinjen. ,,Većina ministarstava je dostavila sektorske liste, MJU, sad treba da pregledamo sve te liste, da ih šaljemo Vladi na odobrenje, pa onda da sastavimo registar, tako da sve to ide sporije od predviđenog“, kaže Polović.

Crna Gora kreće ka jedinstvenom, evropski kompatibilnom sistemu sajber otpornosti, pri čemu su određena kašnjenja razumljiva zbog transformacije institucija, kaže za CIN-CG Andreja Mihailović. „Zakon uvodi kompleksne obaveze – od identifikacije ključnih subjekata i upravljanja incidentima, do registara, nadzora i sertifikacije – pa privremena odstupanja uglavnom odražavaju potrebu za dosljednom primjenom propisa, koordinacijom i usklađivanjem sa EU praksama i NIS2 direktivom”, smatra Mihailović.

Još se ne zna ko stoji iza napada 2022

Krajem oktobra, a potom početkom novembra sajt Vlade Crne Gore i svih ministarstava bili su meta hakerskih, odnosno DDoS napada, i danima su nakon napada neki od tservisa su bili nedostupni. Međutim, iz Ministarstva javne uprave (MJU) su kazali za CIN-CG da su svi servisi i sajtovi bili dostupni brzo istog dana. Novinari CIN-CG uvjerili su se da i dva dana nakon pada servisa sajtovi ministarstava i Vlade nijesu bili u potpunosti funkcionalni.

Prema riječima eksperta Branka Džakule, nedavni napad na sve važne onlajn servise Vlade, govori da državna internet infrastruktura nema dovoljan nivo otpornosti. ,,U idealnom slučaju, čak i da dođe do jakog DDoS napada, što znači hiljade ili milione lažnih zahtjeva ka sajtu u sekundi, sistemi odbrane trebalo bi da apsorbuju udar ili preusmjere saobraćaj. Privremeni pad može da se desi svakome, ali ako su sajtovi nedostupni dva dana nakon napada, to znači da ili napad i dalje traje bez uspješnog odgovora ili oporavak nije urađen dovoljno brzo”, objašnjava Džakula za CIN-CG. 

Jedno od objašnjenja je da je možda nakon samog napada, određeni broj servisa bio isključen preventivno, dok se ne uvjere da je sve sigurnom, kaže Džakula. „Dešavalo se i ranije kod nas da se posle radnog vremena isključe sistemi, dok se prijetnja analizira. Ovo ukazuje na reaktivan pristup: umjesto da infrastruktura ostane dostupna uz otpornost, mi je gasimo 'da šteta ne eskalira'. To je razumljivo kada nemate jake zaštitne mehanizme, ali nije dobro rješenje dugoročno”, poručuje ovaj ekspet.

Ni tri godine nakon velikog sajber napada na infrastrukturu Vlade Crne Gore nema zvaničnog odgovora ko stoji iza ovog napada. U avgustu 2022. godine, ransomware napad zlonamjernog softvera, pogodio je servere Vlade Crne Gore. Tokom napada, hakeri su zaključali i šifrovali podatke i ključne fajlove državnih sistema, a potom zahtijevali novčanu otkupninu za njihovo otključavanje i dešifrovanje. Mjesecima nakon napada servisi Vlade bili su nedostupni, a meil adrese nijesu radile. Iako su iz Vlade u periodu nakon napada naveli više špekulacija o tome ko bi mogao stajati iza toga- od hakerske grupe Cuba Ransomware, do Rusije- do danas ne postoji zvanični odgovor na ovo pitanje.

U januaru 2023. Uprava policije saopštila je da je od FBI-ja dobila izvještaj o sajber napadima na vladine servere iz 2022, zasnovan na velikoj količini podataka prikupljenih putem mreže Ministarstva javne uprave i praćenja kretanja informacija između različitih sistema. Međutim, taj izvještaj nikada nije objavljen. ,,Ovaj izvještaj je prema preporuci FBI ostao interan, samo za potrebe jačanja otpornosti Vladine infrastrukture i mreže državnih organa. Međutim, u ovom izvještaju se ne navodi ko je i na koji način izvršio napad”, tvrdi Polović.

,,Zabrinjavajuće je što ni nakon više od tri godine ne znamo ko je izveo sajber napad na Vladu 2022. godine. Time se stvara utisak da bi napadači mogu ostati nekažnjeni ili da institucije nijesu sposobne da ih otkriju. Moguće je da nije bilo dovoljno dokaza za sudski epilog, ali nedostatak informacija narušava povjerenje javnosti. Ljudi s pravom pitaju: da li se na tome radi i jesmo li danas bezbjedniji nego 2022”, kaže Džakula.

Iz Osnovnog državnog tužilaštva u Podgorici nijesu odgovorili na pitanje CIN-CG u kojoj je fazi postupak pokrenut u vezi sa napadom prije tri godine. U medijima je lani objavljeno da je Tužilaštvo uputilo urgenciju za postupanje povodom ovog slučaja Upravi policije (UP), odnosno Odsjeku za kriminalističko-obavještajne poslove i Grupi za suzbijanje krivičnih djela visokotehnološkog kriminala. Iz UP nijesu odgovorili na pitanja CIN-CG u vezi sa ovim slučajem i uputili su nas na Tužilaštvo.

Prema riječima Džakule, problem je i što se ne zna kako je tačno došlo do napada 2022. ,, Do danas nisu javno predstavljene detaljne analize i izvještaji, koje su tačne slabosti iskorišćene od strane napadača i šta je sve preduzeto da se one otklone. Možda postoji izvještaj interno, ali ako postoji i ako se skriva, to otežava nezavisnim stručnjacima da procijene gdje smo kada je zaštita u pitanju.”, kaže Džakula.

Neophodno poboljšati digitalnu pismenost  

,,Samo jedan odsto zaposlenih javnih službenika prošao je obuku na temu sajber bezbjednosti. Nedostatak eksperata iz oblasti sajber bezbjednosti je prepoznat kao globalan problem, dok je u Crnoj Gori zbog ograničenih ljudskih resursa ovaj problem još izraženiji”, ističe se u Strategiji za sajber bezbjednost 2022-2026.

Plan da se taj broj podigne na 15 odsto je dobar korak , ali potrebno je vrijeme i istrajnost da se to postigne, naglašava Džakula. Slaba je i kultura prijavljivanja incidenata, mnoge organizacije radije prećute “manje” bezbjednosne probleme, što usporava učenje na greškama i poboljšanje sistema.

Crna Gora bi trebalo da se intenzivno baviti jačanjem kapaciteta kadrova- ljudski resursi i nedostatak stručnjaka identifikovani su kao veliki problem. ,,Potrebno je ubrzano obučavati i zapošljavati stručnjake za sajber bezbjednost, kako u javnom sektoru, tako i kroz podsticanje obrazovnih programa na univerzitetima.

Jedan od najvažnijih segmenata sajber bezbjednosti je i digitalna pismenost samih građana. ,,Potrebno je pokrenuti nacionalne kampanje edukacije o osnovnoj digitalnoj bezbjednosti. Građani moraju znati kako da prepoznaju prevare, takozvane fišing meilove, lažne oglase i kako da zaštite svoje lične podatke na internetu. Ljudski faktor je često najslabija karika, zato ulaganje u znanje i kulturu sajber higijene donosi veliki benefit”, upozorava Džakula.

Džakula ističe i važnost međunarodne saradnje. Potrebno je proširiti saradnju sa partnerskim zemljama i organizacijama.  ,,Crna Gora je, srećom, već uključena u NATO i regionalne inicijative, a nedavno je postala i članica Evropske organizacije za sajber bezbjednost (ECSO). Trebalo bi iskoristiti tu mrežu za pristup najnovijim saznanjima, obukama i možda razmjenu stručnjaka. Takođe, pohvalno je što je u Podgorici sjedište Regionalnog centra za borbu protiv sajber kriminala uz podršku Francuske, gdje se naši kadrovi obuče rame uz rame sa inostranim ekspertima”, navodi Džakula

Trebalo bi ulagati u ljude

Crna Gora se suočava s ozbiljnim nedostatkom kvalifikovanih stručnjaka za sajber bezbjednost, upozorava Džakula, ističući da je riječ o globalnom problemu, a kod nas izraženijem zbog male IT baze i odliva kadrova. „U državnoj upravi, bankama i telekomunikacijama često jedna osoba pokriva više uloga. CIRT tim ima daleko manje ljudi nego što bi standardi preporučili, a u manjim firmama bezbjednost gotovo i ne postoji“, kaže Džakula.

On upozorava da javni sektor teško može zadržati mlade stručnjake zbog malih plata i nedostatka profesionalnih izazova. „Ako ne osmislimo stimulativne modele- veće plate, obuke, saradnju s međunarodnim partnerima, rizikujemo da nova Agencija za sajber bezbjednost bude kadrovski slaba već na početku“, navodi on. Ipak, dodaje, ima i pomaka: uveden je master program Informaciona bezbjednost na Univerzitetu Crne Gore, a pojavljuju se i privatne inicijative poput UN1QUELY Cybersecurity akademije, Logate instituta i regionalnog centra WB3C, koji grade novu generaciju stručnjaka.

 ,,U Crnoj Gori se na raznim univerzitetskim studijskim programima školuju kadrovi za ove poslove. Prevashodni zadatak je da Ministarstvo finansija prepozna prioritet u privlačenju ovakvih kadrova i kroz Zakon o zaradama u javnom sektoru obezbjedi adekvatna primanja za ove deficitarne pozicije, što je inicijativa MJU”, kazali su za CIN-CG iz MJU.

„Ključno je da država podrži programe stipendija i partnerstvo sa privatnim sektorom“, naglašava Džakula. Kao potencijalno rješenje navodi i ideju „cyber rezervista“ – civilnih eksperata koji bi u kriznim situacijama pomagali odbrani nacionalnih mreža, po uzoru na Estoniju. Iako kadrovsko stanje ocjenjuje kao kritično, Džakula vjeruje da nije beznadežno. „Ako budemo ulagali u obrazovanje, obuke i međunarodnu saradnju, možemo u nekoliko godina stvoriti dovoljno domaćih stručnjaka. Ulaganje u ljude jednako je važno kao ulaganje u opremu.“