Da su vlasti u Bosni i
Hercegovini godinama radile tromo i neadekvatno najbolje na svojoj koži osjete
građani. Međutim, tek kada pročitate detaljnije izvještaje koje rade revizorske
kuće shvatite kako su našu budućnost godinama kreirali nesposobni ljudi.
Ne postoji drugo objašnjenje
za situaciju u koju su građane ove zemlje svojim nečinjenjem doveli oni koji su
upravljali ključnim institucijama.
Naime, krajem prošle godine
Ured za reviziju institucija BiH objavio je izvještaj revizije učinka pod
nazivom “Aktivnosti institucija BiH na osiguranju osnovnih pretpostavki za
kibersigurnost”.
U nastavku su najvažniji nalazi
revizije:
➢ Aktivnosti
na donošenju strateškog i zakonskog okvira kibersigurnosti pokrenute su još
2017. godine, a pet godina nakon toga aktivnosti nisu okončane i strateški i
zakonski
okvir kibersigurnosti još uvijek nije donesen.
➢
Ni nakon pet godina od zaduženja Vijeća ministara odgovorne institucije BiH nisu izradile
strateški i zakonski okvir kibersigurnosti i izvjesno je da dinamika aktivnosti
odgovornih institucija BiH neće osigurati završetak ovih aktivnosti u trenutno
definisanom roku.
➢
Na nivou institucija BiH ni nakon pet godina od donošenja Odluke VM-a o
određivanju CERT-a za institucije BiH nije uspostavljen CERT koji bi učinkovito
koordinirao I upravljao pružanjem odgovora na računarske incidente.
➢
Iako je VM zadužilo Ministarstvo sigurnosti da u kratkom roku preduzme
aktivnosti s ciljem uspostave
CERT-a
za institucije BiH, Ministartvo sigurnosti za pet godina nije osiguralo
potrebne uslove za uspostavu CERT-a.
➢
Institucije BiH su imale pasivan pristup u donošenju akata upravljanja
informacionom sigurnošću u skladu s Politikom upravljanja informacionom
sigurnošću i/ili
standardima
upravljanja informacionom sigurnošću.
➢
Samo 14 od 68 institucija BiH je donijelo akte upravljanja informacionom
sigurnošću
u
skladu s Politikom upravljanja informacionom sigurnošću.
Ured je donio i niz preporuka
za Vijeće ministara BiH, Ministarstvo komunikacija i prometa BiH i Ministarstvo
sigurnosti BiH.
No, vratimo se na nečinjenje
nadležnih institucija u BiH koje su time ugrozile i građane i institucije ove
zemlje.
Izloženi većim sigurnosnim rizicima i
prijetnjama
Ured za reviziju institucija BiH
proveo je reviziju učinka s ciljem da provjeri jesu li institucije BiH efikasne
u preduzimanju aktivnosti u osiguranju osnovnih pretpostavki za kibersigurnost.
“Provedena istraživanja, intervjui i
analiza relevantne dokumentacije omogućili su nam da sagledamo postojeće stanje
te da iznesemo sljedeći zaključak. Institucije BiH nisu efikasne u preduzimanju
aktivnosti s ciljem osiguranja osnovnih pretpostavki za kibersigurnost. Na
nivou institucija BiH nije osiguran strateški i zakonski
okvir kibersigurnosti, niti je
uspostavljen CERT za institucije BiH. Pojedinačne institucije BiH nisu bile
efikasne u donošenju akata upravljanja informacionom sigurnošću u skladu sa
Politikom upravljanja informacionom sigurnošću. Posljedice nedostatka osnovnih
pretpostavki za kibersigurnost
ugrožavaju poslovanje javne uprave i mogu dovesti do otuđenja podataka i
finansijskih sredstava neophodnih za funkcionisanje zemlje i svakodnevnog
života građana”, stoji u zaključku državnih revizora.
Na nivou institucija BiH značajno se
kasni u uspostavi strateškog i zakonskog okvira kibersigurnosti. Neblagovremeno
definisanje rokova za realizaciju aktivnosti je pridonijelo slaboj realizaciji
aktivnosti. Zbog nepostojanja strateškog i zakonskog okvira nisu
osigurane osnovne pretpostavke za
sistemsku izgradnju kibersigurnosti što je doprinijelo niskom nivou
kibersigurnosti.
“Odlaganje donošenja i usklađivanja
strateškog i zakonskog okvira kibersigurnosti sa zakonodavstvom EU za
posljedicu nema samo neispunjavanje preuzetih obaveza, već
doprinosi tehnološkom zaostajanju
institucija BiH. Tehnološko zaostajanje čini institucije BiH izloženijim većim
sigurnosnim rizicima i prijetnjama što otežava digitalnu transformaciju javne
uprave. Bez kibersigurnosti nije moguće uspostaviti digitalnu javnu upravu koja
će pružati elektronske usluge i koja će pridonijeti ostvarivanju pristupa
jedinstvenom digitalnom tržištu”, ocijenili su revizori.
Prema nalazu Ureda za reviziju,
izrada strateškog okvira kibersigurnosti je izazov na koji Ministarstvo
sigurnosti nije blagovremeno odgovorilo
i bez osigurane podrške nije moglo ponuditi najbolje moguće rješenje,
uvažavajući
kompleksno uređenje BiH.
“Bez strateškog okvira nije moguće
uspostaviti koordinirani i planski pristup izgradnji kibersigurnosti, a bez
takvog pristupa je teško osigurati kiberzaštitu informacionih sistema i mreža
institucija BiH i njenih poslovnih subjekata i građana. Zbog nedostatka
strateškog okvira donatori smatraju da BiH ima neozbiljan pristup izgradnji
kibersigurnosti zbog čega manje sredstava ulažu u ovu oblast”, navodi se u
revizorskom izvještaju.
Bez saradnje ključnih ministarstava
Poseban problem je što nadležna
ministarstva nisu sarađivala međusobno u ovom procesu.
“Ministarstvo komunikacija i prometa
i Ministarstvo sigurnosti nisu zajednički pristupili pripremi zakonskog okvira
kibersigurnosti i nisu ponudili najbolje moguće rješenje u datim okolnostima.
Zakonski okvir kibersigurnosti nije donesen, što je uticalo na slabu
implementaciju mjera i standarda informacione
sigurnosti u institucijama u BiH.
Slaba implementacija mjera dovodi do većih rizika i ranjivosti na
kiberprijetnje. U takvim situacijama koriste se informacioni i mrežni sistemi
koji nemaju odgovarajući nivo zaštite, a finansijska sredstva i podaci koji
pripadaju institucijama BiH su lakše dostupni za nezakonito korištenje”, dio je
Izvještaja Ureda za reviziju koji najbolje oslikava u kakvu situaciju su građane
Bosne i Hercegovine doveli funkcioneri koji su upravljali nadležnim
institucijama.
Nemamo čak ni CERT-a
Ni CERT (Tim za odgovore na
računarske incidente) u BiH još nije uspostavljen.
“Na nivou institucija BiH značajno se
kasni u uspostavi CERT-a za institucije BiH u odnosu na definisani rok. Zbog
kašnjenja Ministarstva sigurnosti u osiguravanju potrebnih uslova nije
uspostavljen CERT i nije osiguran koordinirani pristup u upravljanju pružanjem
odgovora na kiberincidente. U izostanku koordiniranog pristupa nisu
implementirane proaktivne i reaktivne mjere kibersigurnosti u institucijama
BiH. Na taj način nije dostignut odgovarajući nivo kiberpripravnosti razmjeran
kiberprijetnjama. Neformiranjem CERT-a odgovorna institucija BiH nije osigurala
uslove za uspostavu
mreže CERT-ova zbog čega nema
evidencija o kiberincidentima niti razmjene informacija
i sigurnosnih preporuka. U nedostatku
CERT-a nisu osigurana sigurnosna upozorenja i preporuke za pružanje odgovora na
kiberincidente zbog čega su informacioni i mrežni sistemi institucija BiH
podobniji za realizaciju kiberprijetnji. Svaki zabilježeni kibernapad narušava
ugled institucija BiH i bez odgovarajućeg pruženog odgovora čini veću i
dugotrajniju štetu po institucije BiH”, stoji u Izvještaju Ureda za reviziju.
Nizak nivo svijesti
Revizori upozoravaju da većina
institucija BiH nije imala proaktivan pristup u donošenju akata upravljanja
informacionom sigurnošću u skladu s
Politikom upravljanja informacionom sigurnošću.
“Neke od institucija BiH nisu ni bile
upoznate s tim da postoji Politika, a neke smatraju da im nije potrebno
upravljanje informacionom sigurnošću za poslovanje. Ministarstvo komunikacija i
prometa i Ministarstvo sigurnosto nisu pratili implementaciju Politike
upravljanja informacionom sigurnošću u institucijama BiH i
na taj način upoznali i aktivirali
institucije BiH sa Politikom. Nizak nivo svijesti o važnosti
kibersigurnosti je možda i najviše
uticao na pasivan pristup donošenju usklađenih akata upravljanja informacionom
sigurnošću. Tako je propuštena prilika da institucije BiH
postignu odgovarajući nivo zaštite
informacione sigurnosti koja je normirana i potrebna za sigurno i učinkovito
poslovanje”, zaključak je Ureda za reviziju institucija BiH.
Dva ključna državna ministarstva u
prethodnom mandatu su vodili kadrovi SNSD-a i SDA. Ministar komunikacija i
prometa bio je Vojin Mitrović, a ministar sigurnosti Selmo Cikotić.
Ako ste se pitali zbog čega nas
zaobilaze strani investitori, dovoljno je samo da pročitate kompletan Izvještaj
Ureda za reviziju koji je dostupan na web-stranici ove institucije.
Niko ne želi poslovati u nesigurnom
okruženju.