Nakon hakerskog napada crnogorska ulaganja u softver upitna

Nakon hakerskog napada crnogorska ulaganja u softver upitna

Ilustracija. Foto: EPA-EFE/RITCHIE B. TONGO
Ilustracija. Foto: EPA-EFE/RITCHIE B. TONGO
20.07.2024

Eksperti preispituju sklonost crnogorskih vlasti da daju prednost skupim licencama za softvere Majkrosofta i Orakla u odnosu na softver otvorenog koda

Otkad je sistem cijele javne administracije paralisan u sajber napadu u avgustu 2022. godina, Crna Gora je potrošila milione eura preko 15 javnih tendera za jačanje sajber bezbjednosti, ali pojedini eksperti preispituju ispravnost tog ulaganja.

Napad 22. avgusta pogodio je servere u 10 javnih institucija. Crnogorske vlasti su u početku okrivile Rusiju, zatim iznuđivačku grupu pod nazivom Cuba Ranosmware, a skoro dvije godine kasnije istraga je i dalje u toku.

Evropska banka za rekonstrukciju i razvoj (EBRD) je 2013. godine okaraktersala stepen "digitalne zrelosti" Crne Gore kao "osnovni" i preporučila zahtijevane standarde za sajber bezbjednost za sve pružaoce digitalnih usluga.

U periodu između septembra 2020. godine, nakon izbora na kojima je smijenjena Demokratska partija socijalista (DPS) poslije tri godine neprekidne vladavine, i kraja 2023. godine, ukupno je objavljeno 35 tendera za nabavku softvera, servera i slične IT opreme, ukupne vrijednosti od preko 13 miliona eura. Većina ulaganja uslijedila je nakon hakerskog napada 2022.

Prema informacijama do koji je došao BIRN od Ministarstva javne uprave preko zahtjeva od slobodnom pristupu informacijama, u septembru 2022 putem javnog tendera izabrana je ponuda podgoričke firme Coreit u vrijednosti od 1,6 miliona eura za nabavku servera, IT i komunikacione opreme i uređaja za bezbjednost.

Istog mjeseca, još jedna kompanija "4sec", pobijedila je na tenderu vrijednom 400 hiljada eura za nabavku bezbjednosnih softverskih rješeja za državna tijela.

Što se tiče prava korišćenja najnovijih verzija Majkrosoft softvera, kompanija pod imenom Comtrade Distribution dobila je posao tri godine zaredom, za 1,14 miliona eura 2021. godine, istu sumu 2022. godine, i za 1,27 miliona 2023. godine. U decembru 2022. godine, 4sec je takođe dobio ugovor vrijedan 325.000 eura za nabavku licenci.

Mihal Voznijak, stručnjak za informacionu bezbjednost i aktivista za digitalna prava, izjavio je da je nemoguće procijeniti da li takvi ugovori predstavljaju dobar odnos uloženog i dobijenog. Međutim, on je za BIRN kazao da postoji mnogo potpuno funkcionalnih softvera otvorenog koda koji mogu poslužiti kao alternativa skupim vlasničkim proizvodima.

"U kontekstu Orakla, to bi mogao biti softver poput PostgreSQL", kazao je on. "U kontekstu Majkrosofta, to bi mogao biti paket za produktivnost LibreOffice, ili rješenje u oblaku za pohranu i dijeljenje dokumenata NextCloud, ili drugi softverski paketi za druge tipove softverskih paketa koje Majkrosoft možda nudi ovdje".

Ministar javne uprava Maraš Dukaj na sjednici Savjeta za reformu javne uprave. Foto:
Ministar javne uprave Maraš Dukaj na sjednici Savjeta za reformu javne uprave. Foto:

Specifikacije označene kao "interno"

U tenderskoj dokumentaciji do je koje je došao BIRN preko zahtjeva o slobodnom pristupu informacijama, neke od tehničkih specifikacija su zadržane kao "interne", uglavnom one koje se tiču softverskih paketa za bezbjednosne alate i praćenje mrežne i serverske infrastrukture.

U tenderu objavljenom u novembru 2022. godine, tri mjeseca nakon hakerskog napada navodi se: "Analiza aktuelnih sajber prijetnji pokazuje povećane zloćudne aktivnosti na globalnom i regionalnom nivou. Konkretno, bugarska državna administracija je bila meta DDoS napada [Distributed Denial of Service] u oktobru 2022. godine, a neposredno prije toga na meti su bile i druge zemlje u regionu".

"Obzirom na ovo, utvrđeno je postojanje neposredne prijetnje crnogorskom sajber prostoru, naročito informacionim sistemima državnih organa. Zbog toga je neophodno što prije nabaviti softverske alate za odbranu i praćenje informacionih sistema i mreža organa državne uprave."

Međutim, Voznijak je kazao da se određeni broj država već rado oslanja na proizode otvorenog koda.

Novac koji bi bio potrošen na licence može biti upotrijebljen za obuku ili plaćanje lokalnim IT kompanijama da prilagode softver da bolje odražava lokalni kontekst, kazao je on za BIRN.

"Na taj način novac ne samo da ostaje u lokalnoj privredi, već i ostali mogu imati koristi od tog rada ukoliko se integriše u glavne projekte", kazao je on. "Da ne pominjem da takva vrsta prilagođavanja skoro sigurno nije moguća sa vlasničim softverom od prodavaca kao što su Orakl i Majkrosoft".

Majkrosoft, prema njegovim riječima, ima "apsoluto užasan učinak kada je u pitanju bezbjednost".

Crna Gora troši velike sume na sajber bezbjednost. Foto: Pixabay
Crna Gora troši velike sume na sajber bezbjednost. Foto: Pixabay

Zašto određeni prodavac?

Godinu prije hakerskog napada, 2021, kompanija pod nazivom Digit Montenegro izabrana je za isporuku osam Oraklovih softverskih licenci za 36 517 eura.

Naredne godine, u aprilu, Coreit je dobio ugovor za nabavku 74 Orakl licenci i pratećih usluga podrške u vrijednosti od oko 668.000 eura; iste godine, Coreit je osvojio tender vrijedan 40.000 eura za održavanje i nadogradnju elektronskog informacionog sistema za plaćanje NS-NAT i još jedan vrijedan oko 449.000 eura za obnovu licenci za softver za virtualizaciju.

Coreit je 2023. godine dobio još jedan tender u vrijedosti od 946. 000 eura za isporuku Orakl licenci.

Voznijak je kazao da je uvijek "moguće" da je u određenom slučaju potreban softver određene kompanije poput Orakla ili Majkrosofta.

"Ali, važno je pitati zašto", kazao je on za BIRN.

"Ako bi neka javna ustanova angažovala konkretno, recimo, najskupljeg dobavljača proizvoda od papira u okolini, mi bismo se pitali: zašto baš ’ta’ kompanija za papir, a ne neka druga, jeftinija, koja i dalje zadovoljava potrebe institucije? Koja je to navodno vrlo specifična i veoma važna potreba zbog koje se ta institucija "konkretno" odlučuje za tu naročito skupu kompaniju za papir?"

"Iz nekog razloga ne postavljamo takva pitanja u slučaju softverskih proizvoda, a ja čvrsto vjerujem da bi trebalo".

Značajne sume novca takođe su potrošene za nabavku aktivne mrežne opreme za mrežu organa državne administracije i serverske opreme za primarni centar podataka. Za to, na tenderu iz maja 2022. koji je vrijedio 380 000 eura izabrana je kompanija Niss iz Podgorice.

Kompanija "4sec" je 2022. i 2023. godine dobila dva tendera ukupne vrijednosti od preko milion eura za nabavku softvera za bezbjednost i za praćenje mreže i serverske infrastrukture. Dio dokumentacije iz oba tendera je označen kao "interni".

Međutim, dok država troši velike sume na sajber bezbjednost, otvaranje Centra za sajber kapacitete Zapadnog Balkana, WB3, u glavnom gradu Podgorici, odloženo je, saopštila je vlada u aprilu, navodeći kao razlog kašnjenje u izgradnji.

Off