Elektroprivreda Srbije nabavila je krajem 2019. godine programe za enkripciju sa najvećim stepenom zaštite za 20 mobilnih telefona i za to platila 227.000 evra, odnosno 26.7 miliona dinara. Ovo se vidi na osnovu tenderske dokumentacije i ugovora u koje je BIRN imao uvid.
Posao nabavke enkriptovanih telefona dobile su dve firme ranije malo poznate javnosti, ali sa značajnim poslovima u oblasti bezbednosti – IntellSec i Orbita Technologies.
IntellSec se u tekstu francuskog portala Intelligence Online od 2. juna navodi kao firma preko koje zapadna industrija špijunaže ulazi na tržište zapadnog Balkana.
Pozivajući se na ugovor o poslovnoj tajni, EPS je odbio da BIRN-u dostavi informacije o tome šta je bio razlog ove nabavke i ko koristi navedenu opremu. Oni su u dopisu od 1. oktobra 2021. potvrdili da je nabavka sprovedena bez ikakvih izmena.
BIRN je EPS-u zahtev za dobijanje informacija poslao sredinom septembra, a žalbu povereniku 5. oktobra, i u njoj smo zahtevali da nam se dostave traženi podaci.
Eksperti sa kojima je BIRN razgovarao kažu da je oprema koju je nabavio EPS neprobojna i daleko sofisticiranija od, na primer, aplikacije Sky koju su koristili članovi klana Veljka Belivuka.
U prilog tome govori i cena koja je gotovo pet puta veća – najjača verzija Sky EEC-a vredi 2.200 evra, dok oprema koju je nabavio EPS-a prelazi 10.000 evra po enkriptovanom telefonu.
Eksperti dodaju i da je enkripcija urađena tako da je presretanje komunikacije između ovih 20 enkriptovanih telefona praktično nemoguće.
Ko koristi enkriptovane telefone?
Advokat Rodoljub Šabić, nekadašnji poverenik za informacije od javnog značaja, kaže za BIRN da su u konkretnom slučaju enkriptovani telefoni za EPS i softver plaćeni javnim novcem “i to u vrlo velikom iznosu, u svrhu komunikacije povodom obavljanja poslova u javnom interesu”.
“U tom kontekstu zaštita privatnosti nikako ne može biti razlog za ovakvu nabavku”, kaže Šabić navodeći da bi “valjalo čuti ko su, ako ne poimence ono bar po funkcijama”, ljudi koji su “zadužili” ove enkriptovane telefone.
“Ako je moguće, treba isključiti situaciju da se resursi javnih preduzeća stavljaju na raspolaganje ljudima iz drugih organa ili čak političkih stranaka”, zaključuje Šabić.
Pitanje korišćenja ovakve vrste tehnologije aktuelizovano je nakon što se saznalo da je kriminalna grupa Veljka Belivuka koristila aplikaciju Sky.
Zbog toga je ministar unutrašnjih poslova Aleksandar Vulin u martu ove godine zapretio da će tražiti zabranu Sky-ja i sličnih enrkiptovanih telefona. “Jednostavno, ne možete objasniti zašto vam je to potrebno. Od koga krijete i šta krijete?”, rekao je tada Vulin.
Serijal BIRN-a o bezbednosti
Nakon što su svetski mediji u julu 2021. objavili priču o izraelskom špijunskom programu Pegasus, uz pomoć koga su vlade pojedinih zemalja bile u mogućnosti da presretnu komunikaciju svojih političkih neprijatelja, novinara i aktivista, BIRN je krenuo da istražuje ko su domaći distributeri opreme za nadzor, kakve osobine imaju softveri koji se u tu svrhu koriste i u kojoj meri je ugrožena privatnost građana Srbije.
BIRN je proteklih meseci prikupio dokaze o povezanosti bezbednosnih službi, države i privatnog sektora u masovnom korišćenju opreme za nadgledanje i kontrolu.
U prvom delu serijala bavimo se softverom za enkripciju telefona koje je nabavila Elektroprivreda Srbije.
Jednostavni za upotrebu i neprobojni
Ispod radara javnosti prošao je tender koji je avgusta 2019. godine Javno preduzeće “Elektroprivreda Srbije” Beograd raspisalo za nabavku “softvera za zaštitu mobilnih telefona”. Da je neko detaljnije pogledao dokumentaciju, mogao je da primeti da se ne radi o uobičajenoj nabavci opreme za jedno javno preduzeće koje se bavi električnom energijom.
U opsežnom dokumentu na 74 strane, detaljno su navedene karakteristike opreme koju EPS traži od potencijalnih dobavljača.
“Sistem treba da bude takav da čak ni administrator sistema ne može čuti glas u jasnoj (ne-enkriptovanoj) formi”, stoji u opisu uz napomenu da bi nakon svakog razgovora trebalo da dođe do automatskog brisanja podataka. Pozivi između mobilnih telefona u sistemu moraju da budu enkriptovani od jednog do drugog kraja.
Potrebna je “jaka međusobna autentifikacija između korespondenata na početku uspostavljanja veze između mobilnih telefona”. To praktično znači da bi pre uspostavljanja veze telefoni “razmenili lozinke” odnosno ključeve na osnovu kojih bi se prepoznavali. “Sistem treba da generiše novi ključ za svaku sesiju”.
Predviđeno je da enkriptovani telefon za EPS poseduje mogućnost “zaključavanja ekrana sa jakom autentifikacijom, boljom od one koju pružaju proizvođači mobilnih telefona”.
“U slučaju nestanka mobilnog telefona koji je u ovom sistemu, treba da postoji mogućnost da administrator pošalje komandu za daljinsko bezbedno brisanje sadržaja telefona”, navodi se u dokumentu.
EPS je zahtevao da “sistem treba da podržava vezu sa internetom preko proxy servera u cilju zaštite od zlonamernih sajtova i zlonamernog softvera”, da bude jednostavan za upotrebu, kao i da korisnici ne moraju da menjaju svoje navike u komunikaciji.
Pobedničke firme bile su dužne da obezbede instalaciju, tri nivoa tehničke podrške, obuku za administratore sistema i krajnje korisnike.
U konkursnoj dokumentaciji stoji da se enkripcija izvršava na Samsung Galaxy modelima telefona godišta ne starijeg od 2017. godine.
Na pitanje da li se ovi enkriptovani uređaji fizički razlikuju od običnih telefona, Igor Franc, stručnjak za digitalnu bezbednost, kaže da “telefon može biti potpuno isti”.
“Čak mislim da je ovde predviđeno da se koriste uređaji koji su već u posedu korisnika”.
On tvrdi da je enkripcija namenjena isključivo uređajima sa SIM karticom, što su ovom slučaju telefoni i tablet Samsung Galaxy S4. To znači da se enkripcija ne odnosi na računare i laptopove.
Iako BIRN nije dobio uvid u konkretan softver korišćen za zaključavanje komunikacije, stručnjaci iz firme Data Solutions kažu da se na prvi pogled radi o Thalesovom CryptoSmart-u.
“Cena je visoka jer se radi o programu za koji je potrebna dozvola francuske vlade i NATO-a. Vrlo je moguće da sama hardver komponenta kao osnova košta dosta, a da broj telefona igra finansijski manju ulogu”, kažu iz firme Data Solutions.
“Paralelna bezbednosna struktura u EPS-u”
Pavle Grbović, predsednik Pokreta slobodnih građana, izjavio je na konferenciji za štampu održanoj u ponedeljak 25. oktobra, da je 2016. u Elektroprivredi Srbije formirana paralelna bezbednosna struktura.
On je kazao da je tada kupljena oprema za praćenje vredna dva miliona evra i da je zaposleno 25 osoba iz civilnih i vojnih službi bezbednosti.
Grbović je kazao da je 2016. godine u EPS-u osnovan Sektor unutrašnje kontrole čiji su pripadnici pratili neistomišljenike, opoziciju, ali i dve godine oca predsednika Srbije, Anđelka Vučića.
Elektroprivreda Srbije je ove navode ocenila kao „potpuno besmislene i notorne laži“. Oni su naveli da je služba unutrašnje kontrole formirana i da „uspešno radi na otkrivanju raznih krađa i zloupotreba unutar EPS-a“.
Posao firmama specijalizovanim za špijunsku tehnologiju
Ugovor o nabavci 20 enkriptovanih telefona je u ime EPS-a potpisao Milorad Grčić, član SNS-a i predsednik obrenovačkog Opštinskog odbora. On je ostavljen za vršioca dužnosti direktora EPS-a marta 2016. godine i na toj funkciji je i danas, iako Zakon o javnim preduzećima ne dozvoljava obavljanje funkcije vršioca dužnosti direktora duže od godinu dana.
Na tender su stigle dve ponude, a bolje je ocenjena ona koju su podnele IntellSec i Orbita Technologies AD. Drugu ponudu podnela je firma QMS.
IntellSec već četiri godine posluje sa specijalnom bezbednosnom opremom za državno-bezbednosne institucije i partner je više inostranih kompanija koje se bave nadzorom.
Na specijalizovanom sajtu za obaveštajne poslove Intelligence Online, navodi se da je firmu 2017. godine osnovao stručnjak za obaveštajne sisteme Milan Blagojević.
Intellsec je inače upisan u Registar lica ovlašćenih za obavljanje poslova izvoza i uvoza naoružanja i vojne opreme, partner je nemačkih firmi Belkasoft, WillBurt, britanske Hiddentec, a zainteresovan za izraelsku anti-dron tehnologiju D-Fend Solutions, prenosi portal Intelligence Online.
IntellSec na matičnom sajtu ističe kako se bavi zakonskim presretanjem, geolociranjem, tajnim praćenjem, snimanjem službenika i drugo. Za potrebe digitalne forenzike koristi uređaje izraelske kompanije Cellebrite, a usluge dešifrovanja telefona nudi pravnim licima.
Drugi učesnik u nabavci je Orbita Technologies, kojoj je ovo prva i jedina pobeda na nekom tenderu.
Orbita, osnovana iste godine kad i IntellSec, se prema podacima Agencije za privredne registre bavi poslovima programiranja. Nemaju zvaničan sajt, pa nije poznato šta tačno nude, niti ko su im klijenti.
U novobeogradskoj centrali, obezbeđenje zgrade nije znalo za pomenutu firmu sa trećeg sprata. Ipak, natpis na vratima stana pokazuje da firma u realnosti postoji.
Ogranak u Čačku vodi se na Žarka Zagorca, nekada tehničkog savetnika u firmi Krupnik koja je jedan od najvećih izvoznika oružja. Komšije koje smo zatekli u prizemlju zgrade gde je smešten čačanski ogranak kažu da “u taj lokal nit’ ko ulazi nit’ izlazi”.
Pobednici na tenderu odbili su da nam kažu ko su krajnji korisnici enkriptovanih telefona u EPS-u. “Sve što mogu da kažem je javno dostupno”, kaže Milan Blagojević, vlasnik IntellSec-a. Iz Orbita nisu odgovarali na naše mailove.
Unosni poslovi: Od čaja od šipka, do prodaje oružja
Milan Blagojević, vlasnik firme IntellSec, prethodno je radio u firmama Crony, Vizus i Roaming Electronics – ova poslednja je u vlasništvu Nenada Kovača, u medijima poznatijeg kao Neša “Roaming”.
Blagojević je u firmi Crony radio od 2014. do 2017. i tu je bio zadužen za informacionu sigurnost, navodi se na njegovom Linkedin profilu. Na sajtu firme Crony navodi se da nudi opremu za odbranu i bezbednost MUP-u, kao i vojnim obaveštajnim službama – VBA, VOA.
Firma Vizus, gde je Blagojević bio tehnički savetnik, bavi se nespecijalizovanom trgovinom na veliko – od preprodaje čajeva od šipka, preko radnih uniformi, pa do opreme za digitalnu forenziku.
U drugoj kompaniji koja je dobila posao sa EPS-om, Orbita Technologies, udeo u vlasništvu od 27 odsto ima firma u vlasništvu Milana Simovića, koji je istovremeno vlasnik Krupnika i Krupnik International DOO, koje su poznate po prodaji oružja i bliskoj saradnji sa Krušikom.
Krupnik je 2015. i 2016. ušao na listu top 10 izvoznika naoružanja, da bi narednih godina potpisao ugovore sa Krušikom o prodaji oružja Saudijskoj Arabiji.
Eksperti: Ostaje trag, policija bi trebalo da ima pristup ključu
Igor Franc, stručnjak za digitalnu bezbednost i osnivač udruženja E-sigurnost, kaže za BIRN-u da softver koji je nabavio EPS- ima dodatne funkcionalnosti u odnosu na neke druge sisteme enkripcije, poput Sky EEC.
“Ništa od podataka se ne čuva na telefonu. Ako neko skine nešto sa Interneta, čim jednom to otvori, posle toga se automatski briše. Ne može se instalirati ništa što nije eksplicitno navedeno, tako da možeš da napraviš belu listu dozvoljenih aplikacija i samo njih korisnik može da instalira.”
Franc tvrdi da je ključ za kriptovanje uvek kod kompanije koja je proizvela softver.
“Pretpostavlja se da niko osim eventualno proizvođača nema ulaz u zaštitni softver, takozvana ‘zadnja vrata’, i jedino u slučaju policijske istrage ta vrata se otvaraju.”
Dragan Simić iz kompanije Cyber Security&Defence zastupa stranu zaštite privatnosti i kaže da sistemi i komunikacija u javnim preduzecima moraju da budu obezbeđeni od upada, brisanja podataka, isključenja i zloupotrebe.
“Da li će se ti resursi koristiti na predviđen način ili na neki drugi, ja ne mogu znati i ne bi bilo korektno sa moje strane da tvrdim nešto tako. Opet, ne treba isključiti i tu mogućnost.”
Simić dodaje da bi policija u slučaja istrage mogla da izvuče prepisku, jer sam softver nadgleda istu.
“Ključ je van aparata i formira ga sam softver kako u odlaznoj šifri tako i u dolaznoj. Dakle ostaje pisani trag. Sistem je dizajniran da neko spolja ne uđe unutra, ali onaj ko ima ključ ima i svu arhivu – logovanja, smerove komunikacije sa tačnim podacima korisnika i sa vremenima i datumima”, kaže Simić koji pretpostavlja da bi policija u slučaju istrage imala pristup ključu.