Elektoprivreda Srbije je krajem 2019. nabavila programe za enkripciju telefona za koje stručnjaci kažu da pružaju bolju zaštitu od Sky-ja, softvera koji su koristile kriminalne grupe. EPS odbija da odgovori ko koristi ove aparate i šta će javnom preduzeću zaštita za telefone skuplja od 10.000 evra po komadu
Kako piše BIRN, posao nabavke enkriptovanih telefona dobile su dve firme ranije malo poznate javnosti, ali sa značajnim poslovima u oblasti bezbednosti – IntellSec i Orbita Technologies. IntellSec se u tekstu francuskog portala Intelligence Online od 2. juna navodi kao firma preko koje zapadna industrija špijunaže ulazi na tržište zapadnog Balkana.
Pozivajući se na ugovor o poslovnoj tajni, EPS je odbio da BIRN-u dostavi informacije o tome šta je bio razlog ove nabavke i ko koristi navedenu opremu. Oni su u dopisu od 1. oktobra 2021. potvrdili da je nabavka sprovedena bez ikakvih izmena. BIRN je EPS-u zahtev za dobijanje informacija poslao sredinom septembra, a žalbu povereniku 5. oktobra, i u njoj smo zahtevali da nam se dostave traženi podaci.
EPS je “sa drugom ugovornom stranom zaključilo Ugovor o čuvanju poslovne tajne i poverljivih informacija”, zbog čega BIRN-u “ne može dostaviti informacije” koje se tiču razloga nabavke navedene opreme, kao i osoba koje je koriste, stoji u dopisu javnog preduzeća. Eksperti sa kojima je BIRN razgovarao kažu da je oprema koju je nabavio EPS neprobojna i daleko sofisticiranija od, na primer, aplikacije Sky koju su koristili članovi klana Veljka Belivuka.
U prilog tome govori i cena koja je gotovo pet puta veća – najjača verzija Sky EEC-a vredi 2.200 evra, dok oprema koju je nabavio EPS-a prelazi 10.000 evra po enkriptovanom telefonu. Eksperti dodaju i da je enkripcija urađena tako da je presretanje komunikacije između ovih 20 enkriptovanih telefona praktično nemoguće, piše BIRN.
Ko koristi enkriptovane telefone?
Advokat Rodoljub Šabić, nekadašnji poverenik za informacije od javnog značaja, kaže za BIRN da su u konkretnom slučaju enkriptovani telefoni za EPS i softver plaćeni javnim novcem “i to u vrlo velikom iznosu, u svrhu komunikacije povodom obavljanja poslova u javnom interesu”.
“U tom kontekstu zaštita privatnosti nikako ne može biti razlog za ovakvu nabavku”, kaže Šabić navodeći da bi “valjalo čuti ko su, ako ne poimence ono bar po funkcijama”, ljudi koji su “zadužili” ove enkriptovane telefone.
“Ako je moguće, treba isključiti situaciju da se resursi javnih preduzeća stavljaju na raspolaganje ljudima iz drugih organa ili čak političkih stranaka”, zaključuje Šabić. Pitanje korišćenja ovakve vrste tehnologije aktuelizovano je nakon što se saznalo da je kriminalna grupa Veljka Belivuka koristila aplikaciju Sky.
Zbog toga je ministar unutrašnjih poslova Aleksandar Vulin u martu ove godine zapretio da će tražiti zabranu Sky-ja i sličnih enrkiptovanih telefona. “Jednostavno, ne možete objasniti zašto vam je to potrebno. Od koga krijete i šta krijete?”, rekao je tada Vulin. Nakon što su svetski mediji u julu 2021. objavili priču o izraelskom špijunskom programu Pegasus, uz pomoć koga su vlade pojedinih zemalja bile u mogućnosti da presretnu komunikaciju svojih političkih neprijatelja, novinara i aktivista, BIRN je krenuo da istražuje ko su domaći distributeri opreme za nadzor, kakve osobine imaju softveri koji se u tu svrhu koriste i u kojoj meri je ugrožena privatnost građana Srbije.
BIRN je proteklih meseci prikupio dokaze o povezanosti bezbednosnih službi, države i privatnog sektora u masovnom korišćenju opreme za nadgledanje i kontrolu. U prvom delu serijala bavimo se softverom za enkripciju telefona koje je nabavila Elektroprivreda Srbije.
Jednostavni za upotrebu i neprobojni
Ispod radara javnosti prošao je tender koji je avgusta 2019. godine Javno preduzeće “Elektroprivreda Srbije” Beograd raspisalo za nabavku “softvera za zaštitu mobilnih telefona”. Da je neko detaljnije pogledao dokumentaciju, mogao je da primeti da se ne radi o uobičajenoj nabavci opreme za jedno javno preduzeće koje se bavi električnom energijom.
U opsežnom dokumentu na 74 strane, detaljno su navedene karakteristike opreme koju EPS traži od potencijalnih dobavljača.
“Sistem treba da bude takav da čak ni administrator sistema ne može čuti glas u jasnoj (ne-enkriptovanoj) formi”, stoji u opisu uz napomenu da bi nakon svakog razgovora trebalo da dođe do automatskog brisanja podataka. Pozivi između mobilnih telefona u sistemu moraju da budu enkriptovani od jednog do drugog kraja. Potrebna je “jaka međusobna autentifikacija između korespondenata na početku uspostavljanja veze između mobilnih telefona”. To praktično znači da bi pre uspostavljanja veze telefoni “razmenili lozinke” odnosno ključeve na osnovu kojih bi se prepoznavali. “Sistem treba da generiše novi ključ za svaku sesiju”.
Predviđeno je da enkriptovani telefon za EPS poseduje mogućnost “zaključavanja ekrana sa jakom autentifikacijom, boljom od one koju pružaju proizvođači mobilnih telefona”.
“U slučaju nestanka mobilnog telefona koji je u ovom sistemu, treba da postoji mogućnost da administrator pošalje komandu za daljinsko bezbedno brisanje sadržaja telefona”, navodi se u dokumentu. EPS je zahtevao da “sistem treba da podržava vezu sa internetom preko proxy servera u cilju zaštite od zlonamernih sajtova i zlonamernog softvera”, da bude jednostavan za upotrebu, kao i da korisnici ne moraju da menjaju svoje navike u komunikaciji.
Pobedničke firme bile su dužne da obezbede instalaciju, tri nivoa tehničke podrške, obuku za administratore sistema i krajnje korisnike. U konkursnoj dokumentaciji stoji da se enkripcija izvršava na Samsung Galaxy modelima telefona godišta ne starijeg od 2017. godine. Na pitanje da li se ovi enkriptovani uređaji fizički razlikuju od običnih telefona, Igor Franc, stručnjak za digitalnu bezbednost, kaže da “telefon može biti potpuno isti”.
“Čak mislim da je ovde predviđeno da se koriste uređaji koji su već u posedu korisnika”. On tvrdi da je enkripcija namenjena isključivo uređajima sa SIM karticom, što su ovom slučaju telefoni i tablet Samsung Galaxy S4. To znači da se enkripcija ne odnosi na računare i laptopove. Iako BIRN nije dobio uvid u konkretan softver korišćen za zaključavanje komunikacije, stručnjaci iz firme Data Solutions kažu da se na prvi pogled radi o Thalesovom CryptoSmart-u.
“Cena je visoka jer se radi o programu za koji je potrebna dozvola francuske vlade i NATO-a. Vrlo je moguće da sama hardver komponenta kao osnova košta dosta, a da broj telefona igra finansijski manju ulogu”, kažu iz firme Data Solutions.
BONUS VIDEO: Koga sve EPS sluša
Učestvuj u diskusiji ili pročitaj komentare