Elektroprivreda Srbije nabavila je krajem 2019. godine programe za enkripciju sa najvećim stepenom zaštite za 20 mobilnih telefona i za to platila 227.000 evra, odnosno 26,7 miliona dinara, piše BIRN.
Enkripcija je proces pretvaranja podataka sa telefona u nerazumljivu formu sa ciljem da se sakriju od neaovlašćenih lica.
BIRN je imao uvid u tendersku dokumentaciju i ugovore.
Posao nabavke enkriptovanih telefona, kako navodi Birn, dobile su dve firme ranije malo poznate javnosti, ali sa značajnim poslovima u oblasti bezbednosti – IntellSec i Orbita Technologies.
IntellSec se u tekstu francuskog portala Intelligence Online od 2. juna navodi kao firma preko koje zapadna industrija špijunaže ulazi na tržište zapadnog Balkana.
Poslovanje Elektroprivrede Srbije: Molopol, a pravi gubitkePozivajući se na ugovor o poslovnoj tajni, EPS je odbio da BIRN-u dostavi informacije o tome šta je bio razlog ove nabavke i ko koristi navedenu opremu. Oni su u dopisu od 1. oktobra 2021. potvrdili da je nabavka sprovedena bez ikakvih izmena.
Eksperti sa kojima je BIRN razgovarao kažu da je oprema koju je nabavio EPS neprobojna i daleko sofisticiranija od, na primer, aplikacije Sky koju su koristili članovi klana Veljka Belivuka.
U prilog tome govori i cena koja je gotovo pet puta veća – najjača verzija Sky EEC-a vredi 2.200 evra, dok oprema koju je nabavio EPS-a prelazi 10.000 evra po enkriptovanom telefonu.
Eksperti dodaju i da je enkripcija urađena tako da je presretanje komunikacije između ovih 20 enkriptovanih telefona praktično nemoguće.
BIRN: Glavni poslovni partner Gradskog zavoda registrovan u stanu zamenika direktora
BIRN: Među donatorima MUP-a Srbije „dobro poznata“ imena i sukob interesaKo koristi enkriptovane telefone?
Advokat Rodoljub Šabić, nekadašnji poverenik za informacije od javnog značaja, kaže za BIRN da su u konkretnom slučaju enkriptovani telefoni za EPS i softver plaćeni javnim novcem „i to u vrlo velikom iznosu, u svrhu komunikacije povodom obavljanja poslova u javnom interesu“.
„U tom kontekstu zaštita privatnosti nikako ne može biti razlog za ovakvu nabavku“, kaže Šabić navodeći da bi „valjalo čuti ko su, ako ne poimence ono bar po funkcijama“, ljudi koji su „zadužili“ ove enkriptovane telefone.
Pitanje korišćenja ovakve vrste tehnologije aktuelizovano je nakon što se saznalo da je kriminalna grupa Veljka Belivuka koristila aplikaciju Sky.
Zbog toga je ministar unutrašnjih poslova Aleksandar Vulin u martu ove godine zapretio da će tražiti zabranu Sky-ja i sličnih enrkiptovanih telefona. „Jednostavno, ne možete objasniti zašto vam je to potrebno. Od koga krijete i šta krijete?“, rekao je tada Vulin.
Ispod radara javnosti prošao je tender koji je avgusta 2019. godine Javno preduzeće “Elektroprivreda Srbije” Beograd raspisalo za nabavku „softvera za zaštitu mobilnih telefona“.
Da je neko detaljnije pogledao dokumentaciju, mogao je da primeti da se ne radi o uobičajenoj nabavci opreme za jedno javno preduzeće koje se bavi električnom energijom.
Jednostavni za upotrebu i neprobojni
U opsežnom dokumentu na 74 strane, detaljno su navedene karakteristike opreme koju EPS traži od potencijalnih dobavljača.
„Sistem treba da bude takav da čak ni administrator sistema ne može čuti glas u jasnoj (ne-enkriptovanoj) formi“, stoji u opisu uz napomenu da bi nakon svakog razgovora trebalo da dođe do automatskog brisanja podataka.
Pozivi između mobilnih telefona u sistemu moraju da budu enkriptovani od jednog do drugog kraja.
Predviđeno je da enkriptovani telefon za EPS poseduje mogućnost „zaključavanja ekrana sa jakom autentifikacijom, boljom od one koju pružaju proizvođači mobilnih telefona“.
„U slučaju nestanka mobilnog telefona koji je u ovom sistemu, treba da postoji mogućnost da administrator pošalje komandu za daljinsko bezbedno brisanje sadržaja telefona“, navodi se u dokumentu.
Pobedničke firme bile su dužne da obezbede instalaciju, tri nivoa tehničke podrške, obuku za administratore sistema i krajnje korisnike.
Iako BIRN nije dobio uvid u konkretan softver korišćen za zaključavanje komunikacije, stručnjaci iz firme Data Solutions kažu da se na prvi pogled radi o Thalesovom CryptoSmart-u.
„Cena je visoka jer se radi o programu za koji je potrebna dozvola francuske vlade i NATO-a. Vrlo je moguće da sama hardver komponenta kao osnova košta dosta, a da broj telefona igra finansijski manju ulogu“, kažu iz firme Data Solutions.
Ugovor o nabavci 20 enkriptovanih telefona je u ime EPS-a potpisao Milorad Grčić, član SNS-a i predsednik obrenovačkog Opštinskog odbora.
Pobednici na tenderu odbili su da nam kažu ko su krajnji korisnici enkriptovanih telefona u EPS-u. „Sve što mogu da kažem je javno dostupno“, kaže Milan Blagojević, vlasnik IntellSec-a. Iz Orbita nisu odgovarali na mejove Birn-a.
Stručnjak za digitalnu bezbednost i osnivač udruženja E-sigurnost Igor Franc kaže za BIRN-u da softver koji je nabavio EPS- ima dodatne funkcionalnosti u odnosu na neke druge sisteme enkripcije, poput Sky EEC.
„Ništa od podataka se ne čuva na telefonu. Ako neko skine nešto sa Interneta, čim jednom to otvori, posle toga se automatski briše. Ne može se instalirati ništa što nije eksplicitno navedeno, tako da možeš da napraviš belu listu dozvoljenih aplikacija i samo njih korisnik može da instalira.
Franc tvrdi da je ključ za kriptovanje uvek kod kompanije koja je proizvela softver.
„Pretpostavlja se da niko osim eventualno proizvođača nema ulaz u zaštitni softver, takozvana „zadnja vrata“, i jedino u slučaju policijske istrage ta vrata se otvaraju.“
Dragan Simić iz kompanije Cyber Security&Defence zastupa stranu zaštite privatnosti i kaže da sistemi i komunikacija u javnim preduzecima moraju da budu obezbeđeni od upada, brisanja podataka, isključenja i zloupotrebe.
„Da li će se ti resursi koristiti na predviđen način ili na neki drugi, ja ne mogu znati i ne bi bilo korektno sa moje strane da tvrdim nešto tako. Opet, ne treba isključiti i tu mogućnost.2
Simić dodaje da bi policija u slučaja istrage mogla da izvuče prepisku, jer sam softver nadgleda istu.
„Ključ je van aparata i formira ga sam softver kako u odlaznoj šifri tako i u dolaznoj. Dakle ostaje pisani trag. Sistem je dizajniran da neko spolja ne uđe unutra, ali onaj ko ima ključ ima i svu arhivu – logovanja, smerove komunikacije sa tačnim podacima korisnika i sa vremenima i datumima“, kaže Simić koji pretpostavlja da bi policija u slučaju istrage imala pristup ključu.