Zabrinutost raste oko softvera za kibernetičku sigurnost između entiteta Republike Srpske u Bosni i Hercegovini i kineskog ELINC-a, u vlasništvu konglomerata protiv kojeg su Sjedinjene Države uvele sankcije zbog navodnih veza s kineskim 'vojno-industrijskim kompleksom'.
Zaobilazeći redovne procedure javne nabave, proruska vlada Republike Srpske pretežno naseljene Srbima potpisala je desetogodišnji ugovor vrijedan 29 miliona eura u junu 2024., iako je to postalo javno tek zahvaljujući medijskim izvještajima.
Prema ugovoru, ELINC, koji je u vlasništvu China Electronics Corporation, u procesu je instaliranja IT sigurnosnog softvera u 780 javnih tijela širom entiteta.
Kad je dogovor postao javan, vlada je rekla da će ojačati sigurnost ličnih podataka nakon nekoliko kibernetičkih napada na javne institucije, uključujući zdravstveni sistem, u kojem su podaci stotina ljudi ponuđeni na prodaju na dark webu.
Vlasti kažu da zbog sankcija koje su SAD uvele entitetskom predsjedniku Miloradu Dodiku, njegovoj porodici i brojnim političkim saveznicima, nemaju mnogo izbora nego preći na Kineze.
Međutim, kritičari, uključujući zaštitnike prava, zapadne diplomate i stručnjake za kibernetičku sigurnost, kažu da je izbor nepromišljen, a nedostatak transparentnosti alarmantan.
Ovaj potez dolazi u kontekstu smanjenja demokratskih sloboda u Republici Srpskoj, gdje su vlasti oživjele kaznene zakone o kleveti i promovisale zakone inspirirane Rusijom i Mađarskom koji bi nevladine organizacije koje se finansiraju iz inosranstva označavali kao 'agente', piše Balkan Insight.
Kako se građanski prostor smanjuje, kritičari su zabrinuti zbog saradnje s kineskom tvrtkom u tako osjetljivom području. Neki kažu da bi bio samo mali korak pretvoriti softver u alat za nadzor.
Bez “odgovarajuće” pravne regulative, “ovaj projekt je velika prijetnja digitalnom suverenitetu” entiteta, rekao je Feđa Kulenović, suradnik u nastavi na Fakultetu informacijskih tehnologija u glavnom gradu BiH, Sarajevu.
"Javnost nema pojma kako će se postupati s njihovim ličnim podacima niti ko će im pristupiti."
Duška Jurišić, zamjenica bosanskog ministra za ljudska prava, izjavila je za BIRN: "Tehnologije poput ove zahtijevaju strogu zakonsku kontrolu i nadzor; bez jasnih smjernica i neovisnog nadzora, postoji ozbiljan rizik od zlouporabe."
Reagirajući na medijska izvještaje o dogovoru, u julu 2024. ambasada SAD-a u Sarajevu rekla je da nedostatak jasnoće “izaziva ozbiljnu zabrinutost u vezi s pruženim uslugama, rizicima za stanovnike RS-a" i to što je "vlada RS-a odabrala tvrtku s vezama s kineskim vojno-industrijskim kompleksom umjesto uglednijih alternativa”.
S visoko decentraliziranim sistemom etničke podjele vlasti, Bosni i Hercegovini nedostaje jedinstvena pravna arhitektura za provjeru strane tehnologije u pogledu rizika po nacionalnu sigurnost.
Zakon o zaštiti ličnih podataka na državnom nivou predviđa određenu zaštitu potrošača, ali ne i zahtjev za procjenu rizika stranih digitalnih sistema.
U međuvremenu, Zakon o javnim nabavama na državnom nivou i u oba entiteta dopušta tajne ugovore u sektoru sigurnosti.
Nadzorna tijela su ili politički kompromitirana ili nemaju tehničkih mogućnosti za ispitivanje tako složenog softvera; u Republici Srpskoj, na primjer, dvije tvrtke koje mogu provoditi takve provjere podložne su američkim sankcijama zbog svojih veza s porodicom Dodik.
Obavještajno-sigurnosna agencija na državnom nivou, OSA, može intervenirati samo ako se utvrdi jasna nacionalna prijetnja, dok Agencija za zaštitu ličnih podataka nema kapacitet za reviziju stranih alata za nadzor.
“Ne postoji zahtjev za provjeru ugrađenih nadzornih funkcija, niti postoje standardi za procjenu usklađenosti softvera s lokalnim zakonima o podacima”, rekao je Kulenović za BIRN.
Za sada nema čvrstih dokaza da je sigurnosni softver nešto više od toga, ali to mnoge u Republici Srpskoj nije spriječilo da nagađaju kuda bi to moglo odvesti.
Stručnjak za kibernetičku sigurnost, koji je govorio pod uvjetom anonimnosti, rekao je: "Oni miješaju istinske potrebe kibernetičke sigurnosti s autoritarnim alatima kontrole; ovo spajanje je namjerno i opasno."
"Jednom kada izgradite sistem nadzora, on postaje dio institucionalnog tkiva", rekao je. "Buduće vlade mogle bi to koristiti na načine koje sadašnji čelnici nikada nisu zamislili ili nikada nisu priznali."
Kineska digitalna infrastruktura može se naći i drugdje na Balkanu.
U Srbiji su vlasti u Beogradu postavile kamere za prepoznavanje lica koje je izradio Huawei, dok su Crna Gora i Sjeverna Makedonija eksperimentirale sa sličnim alatima.
“Jugoistočna Europa postaje laboratorij za digitalni autoritarizam”, rekao je Vuk Vuksanović iz Beogradskog centra za sigurnosnu politiku. "Kina izvozi svoj priručnik o nadzoru, a lokalne elite spremne su to prihvatiti."
Foto: Pixabay