Državna infrastruktura Crne Gore bila je pogođena masovnim cyber napadom “bez presedana”, saopćile su tamošnje vlasti nakon što su od 22. augusta trajali višednevni napadi na servere vlade i ključnu infrastrukturu. Navodno, nije pričinjena velika šteta

Piše: Mirza Bahić; E-mail: redakcija@asadria.com

Informacije o napadu počele su curiti u javnost nekoliko dana kasnije, kada je prijavljen i pad sistema za fiskalizaciju. Uprava prihoda i carina Crne Gore objavila je da je usljed napada otežano izdavanje fiskalnih računa, što govori o jednoj novoj dimenziji cyber prijetnji u do sada relativno sigurnom ambijentu zemalja Zapadnog Balkana. U kombinaciji sa šturim informacijama o udaru i na elektroenergetski sistem i nepoznanicama o planerima i izvođačima napada, Crna Gora se našla u centru pažnje laičke i stručne javnosti, koja sada traži više informacija o sjenovitoj, no ništa manje opasnoj prijetnji.

Energetski sektor i finansije na udaru

Po početku napada Ambasada Sjedinjenih Američkih Država u Crnoj Gori izdala je upozorenje svojim građanima da ograniče putovanja i kretanje kroz tu zemlju. Navedena informacija bila je signal da je situacija dovoljno ozbiljna jer bi padom sistema za provjeru ličnih dokumenata bilo otežano korištenje putnih isprava za građane. Na web-stranici Ambasade te noći je objavljeno upozorenje o kontinuiranom cyber napadu koji bi mogao utjecati na ključne sektore kao što su državna infrastruktura za identifikaciju ljudi, komunalni sektor, granični prijelazi, aerodromi i telekomunikacijski sistemi. Na drugoj strani, reagovala je i crnogorska Agencija za nacionalnu sigurnost, koja je stupila u kontakt s institucijama zaduženim za upravljanje kritičnom infrastrukturom. Ovim tijelima je izdata instrukcija da se pripreme za sanaciju štete od cyber napada. Kao odgovor, Elektroprivreda Crna Gore se prebacila na tzv. manuelni režim rada s ciljem minimizacije štete.

To nije bilo sve. Kako se elektroenergetski sistem države našao pod prijetnjom cyber napada, Elektroprivreda je privremeno prekinula pružanje dijela svojih usluga. Dan poslije napada oglasila se i država, budući da je tadašnji premijer Dritan Abazović zakazao vanrednu sjednicu Savjeta za nacionalnu bezbjednost, na kojoj se govorilo o pogoršanoj cyber sigurnosnoj situaciji. Kao i drugdje na Balkanu, inicijalne reakcije odmah su krenule u pravcu pripisivanja napada političkom pritisku na vladu, koja je samo sedmicu prije bila ozbiljno uzdrmana. Maraš Dukaj, ministar javne uprave, izjavio je da je Crna Gora pretrpjela sveobuhvatan cyber napad, ali da se štete još procjenjuju, nakon čega će se pristupiti njihovoj sanaciji. “Sistem neće trpjeti trajne posljedice”, naveo je Dukaj, prema pisanju podgoričkih medija.

Milionski virus?

Manje umirujućim tonom govorio je Dušan Polović, direktor Direktorata za informatičku bezbjednost Crne Gore, koji je naveo da je u sveopći cyber napad na informacijske sisteme u Crnoj Gori uloženo “od 100.000 do 2,5 miliona dolara”, koliko se kreće cijena korištenih virusa na tzv. dark webu. Zbog njih je država bila prinuđena deaktivirati izvjesne usluge koje se pružaju preko interneta, uz ograničenu kompromitaciju ograničenog broja radnih stanica. Broj ovih stanica se procjenjuje na 150, pri čemu je cyber perimetar probijen u desetak državnih tijela. Odgovor države bio je školski, te su zaražene radne stanice skinute s mreže. Nakon toga pristupilo se slanju hard diskova na forenziku. Prema preliminarnim rezultatima, državni serveri su napadnuti ransomwareom, što znači da je, u teoriji, pokušano šifriranje podataka u zamjenu za plaćanje otkupnine za njihovo “oslobađanje”.

Polović je naglasio i da nema trajne štete na podacima, makar će prioritet u sanaciji štete biti stavljen na oporavak poreskog i fiskalnog sistema koji je posebno pogođen. Država je na pad poreskog sistema odgovorila uvođenjem tzv. offline režima rada. Zapravo, riječ je o zakonskoj obavezi koja stupa na snagu u vrijeme vanrednih situacija sa cyber napadima. Poreski obveznici su, po njemu, obavezni da izdaju račune koji će, izuzev JIKR koda, sadržavati sve potrebne informacije za njegovu obradu. Uprava prihoda i carina Crne Gore navela je da su se na udaru našli njeni servisi i portali, kao i sve ostale gov.me domene.

Iza napada stoji grupa, a vjerovatno i država

Priča o ugroženim podacima neminovno dovodi i do jednog od ključnih pitanja: za čije pare je izveden i zašto? Da je napad bio dovoljno ozbiljan da probudi i državu i javnost u segmentu cyber sigurnosti pokazuje i informacija da je Crna Gora o napadu odmah obavijestila svoje NATO partnere, a crnogorskim istražiteljima se priključio i tim eksperata za cyber sigurnost iz FBI-ja. Obim i ciljevi ove složene operacije upućuju na grupu iskusnih aktera, sa ili bez državne podrške, pa je teorija o napadaču vuku samotnjaku odmah odbačena. Ipak, insajderima nije promaknulo da su premijerovi komentari o tome da su podaci građana i privrednih subjekata “sigurni” došli u djelimičnu koliziju s informacijama koje je iznio Polović o tome da nije bilo “zahtjeva za otkup kompromitovanih podataka”.

 Napadi povezani s Rusijom?

Od posljednjih velikih cyber napada na Crnu Goru iz 2016. i 2017. pitanje odgovornosti i motivacije privlači više pažnje javnosti nego sama šteta ili poroznost nacionalnog sistema informatičke zaštite. Prve reakcije bile su gotovo refleksne i u skladu s postojećim geopolitičkim zbivanjima – za napad je optužena Rusija, koja s Crnom Gorom ima složene odnose još od ulaska te zemlje u NATO. Koliko god se ova reakcija činila ishitrenom, treba podsjetiti da se Crna Gora po pristupanju u NATO savez našla na udaru hakerske grupe APT28, koja se povezuje s Rusijom. Meta su tada, pored državnih organa, bili i medijske platforme. Auri misterije izvedenog napada doprinijela je i službena informacija o uključenosti hakerske grupe Kuba Ransomware u njegovu izvedbu. Na internetskoj stranici te grupe na dark webu navedeno je da su u augustu navodno oduzeti podaci Skupštine Crne Gore. Ministar Dukaj je naveo da će kompromitovani dokumenti do kojih se došlo upadom u računarske sisteme biti objavljivani na ovom mjestu.

 Greške u vođenju krize?

U odsustvu konkretnijih informacija, stručna javnost u Crnoj Gori već skreće pažnju na manjkavosti u vođenju ove krize. Za buduću prevenciju napada, država je ažurirala svoj protokol za zaštitu cyber prostora, uz sugestiju građanima da koriste samo licencirane operativne sisteme i izrade rezervne kopije svojih esencijalnih podataka. Neki stručnjaci upozoravaju da je crnogorska Strategija cyber sigurnosti zastarjela i da ju je potrebno zamijeniti novom. To uključuje jačanje kapaciteta za odbranu i trajnu edukaciju osoba koje rade u ovom sigurnosnom segmentu. Makar su NATO saveznici Crne Gore obećali pojačane aktivnosti na suzbijanju ovog vida hibridnog rata protiv nove članice, ova serija napada je, smatraju u Agenciji za nacionalnu bezbjednost, tek najava nove runde pravog cyber rata čiji će ishodi odlučiti sigurnosnu, ali i ekonomsko-političku budućnost ove evropske zemlje.

U digitalnom dobu gubitak identiteta je više nego realna opasnost za svakog ko posjeduje nešto što zovemo digitalnim ličnim podacima. Šta je novo što blockchain i NFT tehnologija donose da rastjeraju oblake iznad vlasnika digitalnih ličnih podataka?

Piše: Mirza Bahić; E-mail: redakcija@asadria.com

U posljednje vrijeme sve je više glasova o spajanju tehnologije blockchaina i upravljanja identitetima, što će omogućiti kreiranje i pakovanje identiteta u svojevrsni digitalni “novčić” ili token. Pomodarstvo građeno na popularnosti bitcoina i drugih kriptovaluta ili poželjni obrat u sferi zaštite identiteta? Istina je negdje između.

Kakvi tokeni?

Za početak, nekoliko riječi o samim “novčićima”. Ne, s ovim nećete moći otići u šoping, makar kao digitalni resurs ili imovina vrijedili kao suho zlato. U pitanju su tzv. nezamjenjivi (non-fungible) tokeni kao izdanak tehnologije korištene za kriptovalute. U token, odnosno novčić možete pretvoriti bilo koji digitalni resurs, bila to umjetnička slika, pjesma ili nefizički predmet iz igre ili virtuelne stvarnosti (vozilo, oružje). U ovom slučaju, u token bi se pakovala i vaša lična karta i biometrijski podaci. Odakle ova veza? Pa, većina ovih tokena radi na Ethereum blockchainu, koji je i garant njihove jedinstvenosti i nezamjenjivosti. Dakle, vi možete tokenizirati i virtuelnu sjekiru u videoigri, ali i skupu umjetničku grafiku i ona će biti samo vaša. Tako kreirani NFT token moguće je prodavati u kriptovalutama i upravo ova potencijalna sinergija blockchaina i ličnih podataka potaknula je inicijativu da svoj identitet jednom za svagda spakujete u digitalni novčić i oduzmete ga iz ruku pohlepnih tehnoloških divova ili hakera.

 Divlji cyber zapad za lične podatke

No, prvo dijagnoza. Iako je iza nas vrijeme praznika i neobuzdane online kupovine, konzumerističko veselje ponešto kvare informacije o tome da je u 2021. barem 89% ljudi strahovalo od krađe vlastitih ličnih podataka u budućnosti. Ovo je rezultat nedavnog opsežnog istraživanja rađenog u okviru projekta PhotoChromic. Ono je pokazalo i da samo 22% ispitanika zna šta činiti i gdje potražiti pomoć u slučaju krađe ličnih podataka u cyber svijetu. Nakon više od dvije decenije od prelaska interneta u mainstream, uključujući i njegovu transformaciju u najveću globalnu pijacu na svijetu, ovi podaci jesu prilično poražavajući.

U vrijeme najave prelaska u tzv. metaverzum, u kojem će se lični podaci dobrovoljno predavati korporacijama u zamjenu za participaciju u njemu, čini se da javnost internet danas češće percipira kao tehnološku pustaru bezakonja u kojoj se lični podaci kradu kao torbe ili mobiteli. Ipak, kombinacija straha i osjećaja bespomoćnosti kod ispitanika je tek ilustracija mentalnog ambijenta u kojem se radi na projektima zaštite ličnih podataka na mreži. Je li to realistično?

Isti, poseban i samo svoj na blockchainu

Šta je novo što blockchain i NFT tehnologija donose da rastjeraju oblake iznad vlasnika digitalnih ličnih podataka? Za početak, prije pojave blockchain tehnologije nije bilo načina da se kreiraju digitalni identiteti koji bi, u isto vrijeme, bili i decentralizirani i pouzdani. Decentralizirani ovdje znači da nema trećih strana koje upravljaju vašim identitetom, uključujući i svaki socijalni medij na kojem imate račun. Zamislite da neka kompanija za društvene medije sutra uvede plaćanje ili ugasi biznis – sve što ste ikada ostavili od ličnih podataka na njima pripalo bi isključivo navedenim monopolistima. S druge strane, blockchain nudi algoritamske alate za naprednu sigurnost i tačnost, bez angažmana trećih strana. Gdje tu u igru ulaze NFT tokeni? Pa, oni su savršeno prikladni za pohranjivanje digitalnih i ličnih identiteta jer su, po definiciji, jedinstveni (kao i vaš identitet, kojem NFT posuđuje nešto od svoje tehnološke jedinstvenosti) i zaštićeni od prevara naprednim kriptografskim algoritmima.

Vratimo se na gore citirano istraživanje – PhotoChromic ga nije radio bez razloga. Na osnovu njegovih nalaza, tim tehnoloških i kriptoloških entuzijasta već je lansirao ideju o pohrani digitalnih identiteta na blockchain u formi NFT tokena. Ovako dizajniran, token će objediniti verifikaciju identiteta koja će biti lako provjeriva i kod državnih organa, kao i informacije o biometrijskim karakteristikama korisnika (poput ličnih fizičkih atributa). Ove informacije će se pakovati u enkripcijom zaštićeni token koji se pohranjuje na blockchainu. Revolucija? Tehnološki zasigurno da, no pravi preokret počinje s mogućnošću da prvi put samostalno raspolažete svojim identitetom kao resursom koji možete i unovčiti. Kako?

Pojednostavljenje provjera

Dakle, jednom kada dobijete svoj token, vi svoj lični akreditiv možete slobodno podijeliti s bilo kim u svijetu kako biste dokazali svoj identitet. Strane uključene u proces uključuju državna tijela, banke i slične treće strane. Svoj identitetski token možete dopuniti i skupom ličnih dokumenata i drugih verifikatora identiteta. Svaki od njih se može heširati i sigurno pohraniti na blockchain u formi tokena. Što se tiče praktičnih aplikacija izrade tokena, u teoriji, nebo je granica. Danas se o njemu najčešće govori u kontekstu ubrzavanja procedura provjere klijenata u sigurnosno osjetljivim procedurama poput bankarskih poslova i čuvanja zdravstvenih kartona. Uz pečat blockchaina, banke i srodne institucije mogu vjerovati navedenoj tehnologiji u mjeri u kojoj im dodatne vremenski zahtjevne provjere više neće biti potrebne.

 Identitet za sve ili nikoga

Ima li ovaj pristup slabih tačaka? Pored tehnoloških izazova, najveća prepreka prebacivanju ličnih podataka iza zlatne ograde blockchaina je, ironično, upravo sam blockchain. Na spomen ove tehnologije reakcije javnosti su uglavnom polarizirane, od nerealnog maksimalizma u pogledu upotrebljivosti do potpunog negiranja potencijala. Ipak, uz rast popularnosti NFT-a i kriptovaluta općenito, ovaj drugi tabor je neuporedivo manji, što, opet, ne znači da zagovornici tokenizacije identiteta nemaju ogromnih problema. Najveći od njih je kako postići zadovoljavajuću dinamiku prihvaćenosti ove tehnologije. Od samog početka  blockchain tehnologija je bila pod stigmom da je njena primjena rezervisana isključivo za tehnološki orijentisane entuzijaste. Situacija je danas nešto bolja, no za pristup koji se oslanja na globalnu pokrivenost neophodno je osmisliti strategiju koja će ovu tehnologiju približiti i običnom vlasniku fizičke lične karte. Na kraju, oni će birati hoće li internet za njihove digitalne identitete postati cyber distopija ili virtuelni dom.