Hakovanje Telekoma i bezbednost podataka: Resornoj inspekciji nedostaje trećina ljudi, automobil dele sa još dve inspekcije
U eri neverovatnog tehnološkog napretka cele planete, ali i sve većih rizika po bezbednost podataka, Srbija i dalje ima resornu inspekciju skromnih kapaciteta. I po svemu sudeći i ne radi mnogo da ih unapredi. Kada u naslovu kažemo da republičkoj Inspekciji za informacionu bezbednost nedostaje trećina ljudi može se naslutiti i doza ironije. Ova inspekcija ima samo dva inspektora, a ukupni broj ljudi koje bi trebalo da ima je – tri.
I to možda i dovoljno govori o odnosu države prema pitanju informacione beznednosti. Posebno kada imamo u vidu izveštaj Državne revizorske institucije iz 2023. o stanju informacionih sistema u pravosuđu kada je zaključeno da su identifikovani sledeći problemi: zastareli računari i nebezbedni operativni sistemi, kao i informaciona bezbednost koja nije na neophodnom nivou.
Pitanje je i koliko bi još ovakvih zaključaka moglo da se donese i ove godine kada bi bila sprovedena temeljna provera.
Šta poseduje inspekcija
I u planu inspekcijskog nadzora za ovu godinu, kao i prethodnih godina, stoji da Inspekcija za informacionu bezbednost ima dva zaposlena inspektora.
„U Grupi za inspekcijski nadzor i kontrolu u oblasti elektronske identifikacije, usluga od poverenja i informacione bezbednosti zaposlena su dva inspektora za inspekcijski nadzor nad primenom propisa u oblasti elektronskog dokumenta, elektronske identifikacije i usluga od poverenja u elektronskom poslovanju i informacione bezbednosti“, stoji u kratkom opisu kapaciteta.
Izveštaji o radu iz prethodnih godina daju neku informaciju više (nažalost, još nije dostupan izveštaj šta je inspekcija radila prošle godine). U dokumentu s početka 2025. navodi se da su u ovoj inspekciji sistematizovana tri radna mesta.
To su „rukovodilac Grupe sa ovlašćenjima inspektora, jedan inspektor i jedno radno mesto za analitičko – statističke evidencione poslove, od čega su popunjena dva radna mesta, i to rukovodilac Grupe i jedan inspektor“. Što bi verovatno trebalo da bude utešno jer su popunjena inspektorska mesta i nedostaje analitičar.
U tom trenutku, iz izveštaja se moglo videti da inspekcija ima na raspolaganju desktop računare i – dva laptopa.
„Za terenski nadzor koristi se službeno vozilo namenjeno za potrebe tri inspekcije ministarstva“, stoji u dokumentu.
Šta inspekcija nadzire
Jedna od osnovnih stvari koje inspekcija nadzire jesu operatori IKT sistema od posebnog značaja. Oni su tako definisani Zakonom o informacionoj bezbednosti. Kod koga će inspektori ići u redovni nadzor zavisi od toga da li su „procenjeni kao prioritetni i važni“ i u kojima je „potrebno uspostaviti i održavati adekvatan nivo informacione bezbednosti“. Vanredne kontrole se sprovode kao prioritetne, „ukoliko se oceni da se hitno moraju preduzimati određene mere i ukoliko se dođe do saznanja o postojanju nezakonitosti“.
Kod onih operatora koje inspekcija nadzire po Zakonu o informacionoj bezbednosti u osnovi se proverava sedam stavki. Među njima je provera da li je operator doneo Akt o bezbednosti. Takođe i da li je donet u skladu sa propisima.
Potrebno je proveriti i da li su primenjene mere zaštite. Kao i da li je izvršena godišnja provera usklađenosti primenjenih mera zaštite, kao i da li je o tome sačinjen izveštaj. Utvrđuje se i da li operator dostavlja tačne statističke podatke o incidentima.
U nedostatku prošlogodišnjeg izveštaja, možemo da vidimo da je u izveštaju za 2024. navedeno da je tokom redovnih inspekcijskih nadzora ustanovljen „visok nivo usklađenosti poslovanja i postupanja nadziranih subjekata sa zakonom i drugim propisima“.
Telekom i ove godine bio u planu za kontrolu
Još jedna zanimljivost iz dokumenata inspekcije jeste da je Telekom Srbija ove godine bio predviđen za nadzor.
Kako se može videti iz plana za 2026. provera rada ove kompanije trebalo je da se dogodi već u prvom kvartalu. Da li je nadzor realizovan nije javno objavljeno ili nismo uspeli da pronađemo tu informaciju.
Telekom je u ovom planu (a i svi ostali operatori predviđeni za nadzor) označen u kategoriji srednjeg rizika (postoje još nizak, visok i veoma visok). I trebalo je da bude proverena usklađenost njegovog rada sa Zakonom o informacionoj bezbednosti.
Ono što se još vidi iz dokumenata jeste da je Telekom bio u planu provere i u 2025. Tada je bio „na rasporedu“ u drugom kvartalu. Unazad dve godine, nadzor se sprovodi i nad njegovim konkurentima – Jetelom i A1.
Ministarstvo ćuti
Dve godine unazad, resorno Ministarstvo informisanja i telekomunikacija ne odgovara na upite Forbes Srbija o Inspekciji za informacionu bezbednost.
Prvi put smo se obratili ministarstvu krajem januara 2024. nakon što se dogodio incident sa navodnim hakovanjem EPS-a. Tada smo pitali instituciju, koju je vodio sadašnji v.d. direktora Kancelarije za IT i eUpravu Mihajlo Jovanović, da li je u planu jačanje kapaciteta inspekcije. Uz to, zanimalo nas je da li je inspekcija trebalo da sprovede nadzor nakon incidenta u EPS-u. Kao i da li je to učinila, šta je utvrdila i da li su naložene mere. Međutim, nikada nam nije odgovoreno.
Slični upit uputili smo i krajem decembra prošle godine. Tada smo ministarstvo koje sada vodi Boris Bratina pitali da li je u planu jačanje kapaciteta inspekcije u 2026. i na koji način. Odgovor nikada nismo dobili.
Novi zakon posle skoro decenije
Inače, Srbija je u oktobru prošle godine posle skoro 10 godina dobila moderniji Zakon o informacionoj bezbednosti. Donet je prvenstveno radi usklađivanja sa novijom evropskom regulativom (direktiva NIS2).
Novi zakon predvideo je i formiranje Kancelarije za informacionu bezbednost koja će između ostalog reagovati u slučajevima incidenata koji narušavaju bezbednost. Kancelarija će imati stalni operativni tim za reakciju na incidente visokog i veoma visokog nivoa. Ova institucija bi donosila i plan reagovanja koji usvaja Vlada.
Kada dođe do incidenta, kancelarija prikuplja informacije, pruža podršku pogođenom operatoru i utvrđuje nivo opasnosti. Međutim, zanimljivo je i zakonsko rešenje o transparentnosti odnosno obaveštavanju javnosti.
„Kada je neophodno da javnost bude upoznata sa incidentom ili kada je incident takav da je od interesa za javnost, Kancelarija za informacionu bezbednost objavljuje informaciju o incidentu, nakon savetovanja sa operatorom IKT sistema od posebnog značaja u kome se incident dogodio“.
Inspekcija za informacionu bezbednost zadržava svoj značaj i u novom zakonu. Ona će i dalje biti tu da nadzire primenu zakona. Između ostalog, može da naloži operatoru od posebnog značaja skeniranje i testiranje sistema u cilju utvrđivanja bezbednosnih ranjivosti. Može i da naloži operatoru da obavesti javnost o informacijama koje se tiču nepoštovanja odredbi zakona „a za koje postoji opravdan interes javnosti na utvrđeni način“.
Objašnjenje Telekoma
Da li će ovo doprineti boljem informisanju javnosti i dobijanju više informacija u slučajevima koji su se dogodili Informatici, EPS-u, katastru, Pravosudnom sistemu, a sada i Telekomu, pokazaće vreme.
Telekom Srbija prethodnih dana obavestio je javnost da je hakerskim napadom bila pogođena aplikacija koju koriste tehničari za intervenciju kod korisnika satelitske televizije, kao i kod onih koji su u poslednjih sedam godina imali neku intervenciju. Kako je objašnjeno, tehničari prikupljaju određene podatke o korisniku kod kojih otklanjaju kvarove ili menjaju opremu, kao što su ime, adresa i kontakt. Direktor Telekoma objasnio je da su to osnovni podaci i da teško može doći do zloupotreba. Kako je rekao, nije došlo do hakerskog upada u sistem već su jednom tehničaru kompromitovani korisničko ime i šifra.
Direktor Telekoma Srbija objasnio je i da se došlo do podataka o hakeru koji je iz inostranstva. I da se očekuje da bude priveden, a da je tražio otkup za podatke u iznosu tri bitkoina. To je odbijeno.
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Milan Marinović, juče je izjavio da će od Telekoma zatražiti dodatne informacije o posledicama hakerskog napada. Dodao je i da će „vrlo verovatno“ biti pokrenut inspekcijski nadzor. Rekao je da je dobio izjašnjenje Telekoma Srbija za koje je ocenio da je „prilično uopšteno“. On je rekao da nije precizirano koji su podaci narušeni i o kolikom broju korisnika je reč. Direktor Telekoma pre nekoliko dana izjavio je da je reč o nešto više od 200.000 korisnika.