Elektroprivreda Srbije nabavila je krajem 2019. godine programe za enkripciju sa najvećim stepenom zaštite za 20 mobilnih telefona i za to platila 227.000 evra, odnosno 26.7 miliona dinara.
To se vidi na osnovu tenderske dokumentacije i ugovora u koje je BIRN imao uvid.
Posao nabavke enkriptovanih telefona dobile su dve firme ranije malo poznate javnosti, ali sa značajnim poslovima u oblasti bezbednosti – IntellSec i Orbita Technologies, navodi BIRN i dodaje: IntellSec se u tekstu francuskog portala Intelligence Online od 2. juna navodi kao firma preko koje zapadna industrija špijunaže ulazi na tržište zapadnog Balkana.
Pozivajući se na ugovor o poslovnoj tajni, EPS je odbio da BIRN-u dostavi informacije o tome šta je bio razlog ove nabavke i ko koristi navedenu opremu. Oni su u dopisu od 1. oktobra 2021. potvrdili da je nabavka sprovedena bez ikakvih izmena.
BIRN je EPS-u zahtev za dobijanje informacija poslao sredinom septembra, a žalbu povereniku 5. oktobra, i u njoj su zahtevali da im se dostave traženi podaci.
Oprema sofisticiranija od Sky, a i košta više
Eksperti sa kojima je BIRN razgovarao kažu da je oprema koju je nabavio EPS neprobojna i daleko sofisticiranija od, na primer, aplikacije Sky koju su koristili članovi klana Veljka Belivuka.
U prilog tome govori i cena koja je gotovo pet puta veća - najjača verzija Sky EEC-a vredi 2.200 evra, dok oprema koju je nabavio EPS-a prelazi 10.000 evra po enkriptovanom telefonu, navodi se u tekstu.
Eksperti dodaju i da je enkripcija urađena tako da je presretanje komunikacije između ovih 20 enkriptovanih telefona praktično nemoguće.
Ko je zadužio telefone kupljene javnim novcem?
Advokat Rodoljub Šabić, nekadašnji poverenik za informacije od javnog značaja, kaže za BIRN da su u konkretnom slučaju enkriptovani telefoni za EPS i softver plaćeni javnim novcem "i to u vrlo velikom iznosu, u svrhu komunikacije povodom obavljanja poslova u javnom interesu".
"U tom kontekstu zaštita privatnosti nikako ne može biti razlog za ovakvu nabavku”, kaže Šabić navodeći da bi “valjalo čuti ko su, ako ne poimence ono bar po funkcijama", ljudi koji su "zadužili" ove enkriptovane telefone.
"Ako je moguće, treba isključiti situaciju da se resursi javnih preduzeća stavljaju na raspolaganje ljudima iz drugih organa ili čak političkih stranaka", zaključuje Šabić.
Pitanje korišćenja ovakve vrste tehnologije aktuelizovano je nakon što se saznalo da je kriminalna grupa Veljka Belivuka koristila aplikaciju Sky.
Zbog toga je ministar unutrašnjih poslova Aleksandar Vulin u martu ove godine zapretio da će tražiti zabranu Sky-ja i sličnih enrkiptovanih telefona. "Jednostavno, ne možete objasniti zašto vam je to potrebno. Od koga krijete i šta krijete?", rekao je tada Vulin.
Šta je EPS tražio od dobavljača?
Ispod radara javnosti prošao je tender koji je avgusta 2019. godine Javno preduzeće "Elektroprivreda Srbije" Beograd raspisalo za nabavku "softvera za zaštitu mobilnih telefona". Da je neko detaljnije pogledao dokumentaciju, mogao je da primeti da se ne radi o uobičajenoj nabavci opreme za jedno javno preduzeće koje se bavi električnom energijom, navodi BIRN.
Kako prenose, u opsežnom dokumentu na 74 strane, detaljno su navedene karakteristike opreme koju EPS traži od potencijalnih dobavljača.
"Sistem treba da bude takav da čak ni administrator sistema ne može čuti glas u jasnoj (ne-enkriptovanoj) formi", stoji u opisu uz napomenu da bi nakon svakog razgovora trebalo da dođe do automatskog brisanja podataka. Pozivi između mobilnih telefona u sistemu moraju da budu enkriptovani od jednog do drugog kraja.
Potrebna je "jaka međusobna autentifikacija između korespondenata na početku uspostavljanja veze između mobilnih telefona". To praktično znači da bi pre uspostavljanja veze telefoni "razmenili lozinke" odnosno ključeve na osnovu kojih bi se prepoznavali. "Sistem treba da generiše novi ključ za svaku sesiju".
Predviđeno je da enkriptovani telefon za EPS poseduje mogućnost "zaključavanja ekrana sa jakom autentifikacijom, boljom od one koju pružaju proizvođači mobilnih telefona".
"U slučaju nestanka mobilnog telefona koji je u ovom sistemu, treba da postoji mogućnost da administrator pošalje komandu za daljinsko bezbedno brisanje sadržaja telefona", navodi se u dokumentu.
EPS je zahtevao da "sistem treba da podržava vezu sa internetom preko proxy servera u cilju zaštite od zlonamernih sajtova i zlonamernog softvera", da bude jednostavan za upotrebu, kao i da korisnici ne moraju da menjaju svoje navike u komunikaciji.
Pobedničke firme bile su dužne da obezbede instalaciju, tri nivoa tehničke podrške, obuku za administratore sistema i krajnje korisnike. U konkursnoj dokumentaciji stoji da se enkripcija izvršava na Samsung Galaxy modelima telefona godišta ne starijeg od 2017. godine.
Na pitanje da li se ovi enkriptovani uređaji fizički razlikuju od običnih telefona, Igor Franc, stručnjak za digitalnu bezbednost, kaže da "telefon može biti potpuno isti". "Čak mislim da je ovde predviđeno da se koriste uređaji koji su već u posedu korisnika", dodao je on.
On tvrdi da je enkripcija namenjena isključivo uređajima sa SIM karticom, što su ovom slučaju telefoni i tablet Samsung Galaxy S4. To znači da se enkripcija ne odnosi na računare i laptopove.
Program za koji je potrebna dozvola NATO i Francuske
Iako BIRN nije dobio uvid u konkretan softver korišćen za zaključavanje komunikacije, stručnjaci iz firme Data Solutions kažu da se na prvi pogled radi o Thalesovom CryptoSmart-u.
"Cena je visoka jer se radi o programu za koji je potrebna dozvola francuske vlade i NATO-a. Vrlo je moguće da sama hardver komponenta kao osnova košta dosta, a da broj telefona igra finansijski manju ulogu", kažu iz firme Data Solutions.
Grčić potpisao, a ko su "dobavljači"
Ugovor o nabavci 20 enkriptovanih telefona je u ime EPS-a potpisao Milorad Grčić, član SNS-a i predsednik obrenovačkog Opštinskog odbora. On je ostavljen za vršioca dužnosti direktora EPS-a marta 2016. godine i na toj funkciji je i danas, iako Zakon o javnim preduzećima ne dozvoljava obavljanje funkcije vršioca dužnosti direktora duže od godinu dana, podseća BIRN.
Na tender su stigle dve ponude, a bolje je ocenjena ona koju su podnele IntellSec i Orbita Technologies AD. Drugu ponudu podnela je firma QMS.
IntellSec već četiri godine posluje sa specijalnom bezbednosnom opremom za državno-bezbednosne institucije i partner je više inostranih kompanija koje se bave nadzorom.
Na specijalizovanom sajtu za obaveštajne poslove Intelligence Online, navodi se da je firmu 2017. godine osnovao stručnjak za obaveštajne sisteme Milan Blagojević.
Intellsec je inače upisan u Registar lica ovlašćenih za obavljanje poslova izvoza i uvoza naoružanja i vojne opreme, partner je nemačkih firmi Belkasoft, WillBurt, britanske Hiddentec, a zainteresovan za izraelsku anti-dron tehnologiju D-Fend Solutions, prenosi portal Intelligence Online.
IntellSec na matičnom sajtu ističe kako se bavi zakonskim presretanjem, geolociranjem, tajnim praćenjem, snimanjem službenika i drugo. Za potrebe digitalne forenzike koristi uređaje izraelske kompanije Cellebrite, a usluge dešifrovanja telefona nudi pravnim licima.
Drugi učesnik u nabavci je Orbita Technologies, kojoj je ovo prva i jedina pobeda na nekom tenderu.
Orbita, osnovana iste godine kad i IntellSec, se prema podacima Agencije za privredne registre bavi poslovima programiranja. Nemaju zvaničan sajt, pa nije poznato šta tačno nude, niti ko su im klijenti, navodi Birn.
Kako se dodaje u tekstu, u novobeogradskoj centrali, obezbeđenje zgrade nije znalo za pomenutu firmu sa trećeg sprata. Ipak, natpis na vratima stana pokazuje da firma u realnosti postoji.
Ogranak u Čačku vodi se na Žarka Zagorca, nekada tehničkog savetnika u firmi Krupnik koja je jedan od najvećih izvoznika oružja. Komšije koje smo zatekli u prizemlju zgrade gde je smešten čačanski ogranak kažu da “u taj lokal nit’ ko ulazi nit’ izlazi”.
Pobednici na tenderu odbili su da kažu za BIRN ko su krajnji korisnici enkriptovanih telefona u EPS-u. "Sve što mogu da kažem je javno dostupno", kaže Milan Blagojević, vlasnik IntellSec-a. Iz Orbita nisu odgovarali na mejlove BIRN-a.
Ništa od podataka se ne čuva na telefonu
Igor Franc, stručnjak za digitalnu bezbednost i osnivač udruženja E-sigurnost, kaže za BIRN-u da softver koji je nabavio EPS- ima dodatne funkcionalnosti u odnosu na neke druge sisteme enkripcije, poput Sky EEC.
"Ništa od podataka se ne čuva na telefonu. Ako neko skine nešto sa Interneta, čim jednom to otvori, posle toga se automatski briše. Ne može se instalirati ništa što nije eksplicitno navedeno, tako da možeš da napraviš belu listu dozvoljenih aplikacija i samo njih korisnik može da instalira", navodi on.
Franc tvrdi da je ključ za kriptovanje uvek kod kompanije koja je proizvela softver.
“Pretpostavlja se da niko osim eventualno proizvođača nema ulaz u zaštitni softver, takozvana ‘zadnja vrata’, i jedino u slučaju policijske istrage ta vrata se otvaraju.”
Dragan Simić iz kompanije Cyber Security&Defence zastupa stranu zaštite privatnosti i kaže da sistemi i komunikacija u javnim preduzecima moraju da budu obezbeđeni od upada, brisanja podataka, isključenja i zloupotrebe.
Simić dodaje da bi policija u slučaja istrage mogla da izvuče prepisku, jer sam softver nadgleda istu.
"Ključ je van aparata i formira ga sam softver kako u odlaznoj šifri tako i u dolaznoj. Dakle ostaje pisani trag. Sistem je dizajniran da neko spolja ne uđe unutra, ali onaj ko ima ključ ima i svu arhivu – logovanja, smerove komunikacije sa tačnim podacima korisnika i sa vremenima i datumima", kaže Simić koji pretpostavlja da bi policija u slučaju istrage imala pristup ključu.
