MINISTAR unutarnjih poslova Davor Božinović pokazao je jučer razinu neznanja, bahatosti i nekompetencije neobičnu čak i za hrvatske ministre. Opravdavajući policijsku komunikaciju putem WhatsAppa, opravdavao je da se sigurnosne informacije Republike Hrvatske prenose preko aplikacije strane firme, sa sjedištem u stranoj zemlji, i serverima tko zna gdje razmještenim po svijetu.
Istina, te su poruke enkriptirane, jer kaže ministar "WhatsApp ima enkripciju", što bi valjda trebalo zadiviti birače i pokazati elokvenciju našeg uvaženog ministra koji u govoru koristi te fine, pomalo egzotične strane riječi.
Uistinu, WhatsApp ima enkripciju, jer sami kažu da imaju enkripciju. To, istina, malo podsjeća na onaj stari vic kada se Mujo vratio kući nakon što je bio kockar u Mississippiju, pa ga u birtiji pitali:
"Dobro Mujo, kako je bilo?"
"Pa prvo mi je išlo dosta loše, a onda sam shvatio da tamo igraju na povjerenje, e kad me kocka krenula…"
No, krenimo redom.
Sadržaji objavljenih poruka su jako nezgodni za europejca Plenkovića
U studenom prošle godine neprofitnoj istraživačkoj redakciji Lighthouse Reports dostavljeno je šezdeset screenshotova, odnosno snimki zaslona koje sadrže odabrane dijelove komunikacije samog vrha hrvatske policije u grupi za dopisivanje na aplikaciji WhatsApp u periodu od kolovoza 2019. do veljače 2020.
Ton i sadržaj su politički vrlo nezgodni i za Plenkovića i za HDZ i općenito za aktualnu hrvatsku politiku, jer će oko ovoga biti vrlo nezgodnih pitanja u Europskom parlamentu, što Plenković koji vjerojatno gađa mjesto u Europskoj komisiji nakon premijerske funkcije nikako ne želi. Ovakve grupe, s ovako opisanim postupanjem prema migrantima, mogu naime narušiti demokršćansko političko lice našeg premijera. Vidi se to i po hitnoj izjavi ministra i po prekovremenom radu PR-službe MUP-a, opsežnim udarnički pisanim priopćenjima kojima su cijeli dan zasipali medije.
No sadržaj i političke posljedice ovdje ostavimo sa strane – bit će oko toga još priče.
Zatvorena grupa na WhatsAppu je za ministra jamac sigurnosti
Ministar Božinović, u pokušaju relativiziranja vrlo nezgodnog curenja informacija, govori: "To su zatvorene grupe osoba koje su ovlaštene. WhatsApp ima enkripciju. Može se dogoditi pokušaj ubojstva, to ćete vi, na najbrži način, porukom obavijestiti kolegu? Ili ćete čekati da sjednete za kompjuter i onda obavijestite? Ovo je operativna komunikacija, ako je."
Vidimo veliki, umni, intelektualni govor našeg ministra namijenjen valjda, kako bi zadivio, ono što bi se nekada reklo, priprosti puk. Pa ministar spominje "zatvorene grupe", pa "osobe koje su ovlaštene". Pa je tu i svemoguća enkripcija. I naravno, pozivanje na emocije, evo u slučaju pokušaja ubojstva – što će policija, nego koristiti WhatsApp? Kako su uopće funkcionirali bez WhatsAppa? Kako je ljudska civilizacija hvatala kriminalce bez američkih komercijalnih sustava za prijenos poruka?
Da stvar nije rečena slučajno, govori i par sati kasnije izdano priopćenje MUP-a koje među ostalim navodi: "Važeće sigurnosno operativne procedure za korisnike IS MUP-a ne zabranjuju korištenje aplikacija za razmjenu poruka tipa WhatsApp na mobilnim uređajima, a iste procedure propisuju mogućnost korištenja privatnih mobilnih uređaja od strane policijskih službenika u službene svrhe te dijeljenje audio/video i ostalih materijala putem mobilnih uređaja, posebice sadržaja koji nisu označeni stupnjem tajnosti, a što je ovdje slučaj."
Dakle i ministar, a i stručne službe MUP-a ne vide ništa neobično da se službena komunikacija provodi putem mobitela, uključivo privatne, i to putem aplikacija koje šalju tko zna gdje podatke i čiji su serveri smješteni opet nemamo pojma gdje (ugrubo: u hladnijim područjima u blizini hidrocentrala).
Informatički stručnjaci upozoravaju na opasnosti ovakvih aplikacija
Informatički stručnjaci upozoravaju, Lucijan Carić kaže: "Korišteni enkripcijski algoritmi su sigurni, ali nisu javno objavljeni kao niti interni način funkcioniranja aplikacije. Aplikacija je u vlasništvu tvrtke Meta koja baš i nije poznata po etičnosti i sklona je prekomjernom prikupljanju podataka korisnika. Također arhive s porukama, koje se nalaze na uređajima korisnika, standardno nisu kriptozaštitne, već korisnik sam mora uključiti tu opciju".
Marko Rakar je više filozofski raspoložen pa na pitanje o sigurnosti WhatsAppa odgovara: "S obzirom na to da su poruke osvanule u javnosti, mogli bi se složiti da očito nije siguran." Također navodi: "Kanali komunikacije sigurni su koliko i najslabija karika, a to u konkretnom slučaju znači da je cijela komunikacija sigurna koliko je bio i najnezaštićeniji telefon."
Zašto policija ne koristi skupo plaćenu TETERA-u?
Sredinom 90-ih Europski institut za telekomunikacijske standarde, ETSI, objavio je standard pod nazivom Terrestrial Trunked Radio, TETRA, upravo kako bi omogućio zaštićene profesionalne komunikacije. U Hrvatskoj je TETRA sustav pušten u rad 2006., završetak izgradnje je bio 2008., a projekt je bio vrijedan tadašnjih 33 milijuna eura. Njime je omogućena zaštićena digitalna radiokomunikacija policije, ali i drugih službi u Hrvatskoj. I onda umjesto profesionalnog, zaštićenog sustava, mi imamo situaciju gdje policija koristi i još opravdava korištenje WhatsAppa!
Kao prvo, WhatsApp je u vlasništvu Mete – iste firme koja je vlasnik Facebooka, dakle onih koji žive od prodaje vaših informacija. Drugo, to je američka firma – dakle neće imati nikakvih problema surađivati s američkim tajnim službama. Ne znamo postoji li neki sustav koji omogućuje ulaz u "kriptirane" poruke samoj Meti i američkim specijaliziranim službama. Naravno da će svi oni govoriti da ne postoji – upravo kako bi vas uvjerili da koristite njihov sustav.
Ako su hrvatski političari tako uvjereni da je WhatsApp ili bilo koja slična aplikacija sigurna i putem te aplikacije šalju osjetljivu komunikaciju, nikada ne znamo kada će promijeniti mišljenje jer će ih posjetiti dvojica iz Buzina u elegantnim ljetnim odijelima sa Stetson šeširima i pokazati im za njih nezgodnu komunikaciju. Dodatno i Amerikancima mogu informacije iscuriti van i cure im – dakle do osjetljivih informacija pogodnih za ucjenu netko može doći na crnom tržištu. Ne moram vam objašnjavati što to znači za nacionalnu sigurnost.
Sigurnost mobitela kao uređaja je vrlo upitna
Komunikacija je, kažu, zaštićena, ali arhiva razgovora na vašem telefonu se može zaštititi tek od 2021., i to ako takvu zaštitu uključite. Fotografije koje se šalju ovim aplikacijama se opet znaju smještati svugdje i kako je Rakar lijepo primijetio, sustav je pouzdan koliko i najslabiji telefon. Šifra "1234", jednostavan potez rukom kao zaštita, otključan telefon u birtiji – i evo vas u zaštićenoj policijskih grupi za komunikaciju!
Sam MUP spominje i mogućnost korištenja privatnih mobitela u službene svrhe, što je tek posebna glupost. Tko nadzire softver na tim telefonima? Sigurnosne nadogradnje? Što je s TikTok aplikacijom, možda instaliranoj na istom telefonu, koja izvlači podatke kao da radite televizijski prijenos u visokoj rezoluciji?
Ako imate grupu s recimo 30 ljudi, ta grupa je pouzdana točno toliko koliko je pouzdan najslabiji, najstariji telefon sudionika te grupe. Dakle, točno koliko je pouzdan telefon bez sigurnosnih nadogradnji i s najjednostavnijom zaporkom. To je sigurnost koja se približava nuli, a "zaštićena grupa" na aplikaciji je samo eufemizam za nepoznavanje temeljnih pravila službene komunikacije.
Dodatno, komunikacija u policijskom slučaju gotovo uvijek uključuje osjetljive osobne podatke (policija sama voli podsjećati kako su eto ugroženi osobni podaci njihovih službenika, a čini se zaboravlja na osobne podatke svih drugih koje prenosi takvom neslužbenom komunikacijom!).
Ova država je kupila i platila TETRA-u, plaća i održavanje tog sustava – i službena komunikacija preko raznih aplikacija za koje "stražnji ulaz" imaju tko zna koje službe ne bi se smjela koristiti. Ne bi se smjela koristiti ni komunikacija putem mobilnih telefona na koje je instalirano tko zna što, preko službenih i privatnih telefona koji onda tu komunikaciju drže bez šifre, fotografije još snimaju u lokalnu memoriju ili još ljepše šalju u neki sigurnosni oblak skupa sa snimkama privatnog izleta – to je ugroza nacionalne sigurnosti i samo je pitanje ne shvaća li to naš ministar ili samo pokušava umanjiti štetu.
HDZ-u je radi vlasti normalno i opravdati ugrozu nacionalne sigurnosti
Ovakvo potpuno neshvaćanje informacijske sigurnosti, standarda zaštite podataka i da vas ne gnjavim dalje s ISO 27001, sramotno je. Nikada nismo bili dobri u čuvanju tajnih podataka, a sada kako bismo zaštitili premijerov klimav europski put, duboko pogrešno postupanje u sustavu komunikacije proglašava – ispravnim.
Nesigurna komunikacija iz koje podaci očigledno cure se pokušava opravdati, umjesto da se pogreška priznala, odgovorni smijenili i ovakav način "neformalne" komunikacije preko aplikacija trećih firmi u trećim zemljama i serverima tko zna gdje – jasno zabranio.
Znamo već da će HDZ učiniti sve za vlast. No, da je spreman prihvatiti sigurnosnu ugrozu države kao nešto normalno samo da bi spasio svoje političare – to je čak i za Hrvatsku nešto novo. Usput, ministre Božinoviću, savjet – koristite drugi put za komunikaciju chat u nekoj igri, manje ćete biti pod lupom raznih mreža i službi.
*Stavovi izneseni u kolumnama i komentarima su osobni stavovi autora i ne odražavaju nužno stav redakcije Index.hr portala