Iz Ministarstva javne uprave (MJU) kažu da bi za jačanje sajber bezbjednost i digitalnih servisa u zemlji trebalo obezbijediti više sredstava u budžetu za 2026. godinu, kao i stabilno funkcionisanje ključnih institucija u ovoj oblasti.
“U predloženom budžetu za 2026. nedostaju finansijska sredstva neophodna za razvoj informacione infrastrukture. Sve to može uticati da dođemo u situaciju da ne možemo ispuniti određene obaveze iz Reformske agende (2024- 2027) Evropske unije (EU)”, kaže generalni direktor Direktorata za infrastrukturu, informacionu bezbjednost, digitalizaciju i e-servise u MJU Dušan Polović za Centar za istraživačko novinarstvo Crne Gore (CIN-CG).
Moglo bi faliti 2,5 miliona za iduću godinu, od kojih dva miliona za ulaganja u sajber bezbjednost i infrastrukturu, a oko pola miliona za Program digitalne transformacije iz Reformske agende, dodaje Polović.
Ministarstvo finansija iz godine u godinu predlaže sličan iznos sredstva za sajber bezjednost, a potrebe rastu. Iz Ministarstva finansija nijesu odgovorili na pitanja CIN-CG u vezi sa budžetom za MJU za 2026. godinu.
Prema Zakonu o informacionoj bezbjednosti, koji je usvojen u decembru 2024. godine, Agencija za sajber bezbjednost trebalo je da bude osnovana najkasnije krajem marta ove godine. To se, međutim, još nije dogodilo.
MJU je dva puta slalo Vladi predloge za imenovanje direktora i članova upravnog odbora Agencije. Prvi predlog poslali su u februaru, poštujući zakonske rokove, a potom u junu. Za direktora Agencije je Ministarstvo kojim rukovodi Maraš Dukaj predložilo Samira Orahovca , člana Vladinog tima za odgovor na računarsko bezbjednosne incidente u sajber prostoru Crne Gore (CIRT-a).
“Još od Vlade nijesmo dobili povratnu informaciju o ovom predlogu”, kazao Polović.
Iz Generalnog sekretarijata Vlade Crne Gore nijesu odgovorili na pitanja CIN-CG zbog čega se sa Agencijom kasni.
“Hitno formiranje Agencije je prioritet, i zbog bezbjednosti države i građana, i zbog kredibiliteta Crne Gore u procesu evropskih integracija. Planirani budžet za Agenciju još je neiskorišćen, a u slučaju ozbiljnog sajber napada svaki državni organ prepušten je sam sebi bez centralne podrške. To je nedopustivo, i direktno ugrožava ključne sisteme”, kaže za CIN-CG ekspert za oblast sajber bezbjednosti, Branko Džakula .
Nakon usvajanja Zakona, CIRT koji je pokrivao sajber bezbjednost u svim institucijama Crne Gore od 2012, izgubio je nadležnost za pitanja sajber bezbjednosti nezavisnih i privatnih subjekata u Crnoj Gori. Prema ovom Zakonu, u nadležnost Agencije spadaju svi nezavisni i privatni subjekti, dok je Vladina infrastruktura ostala pod ingerencijom CIRT-a.
“Ukoliko neko napadne recimo Aerodrome Crne Gore, Luku Bar ili neki drugi važan infrastrukturni sistem, nama su ruke vezane. CIRT nema više ovlašćenja da postupa u tim slučajevima, tako da je Agencija za sajber bezbjednost tu ključna, a ona još ne funkcioniše”, ističe Polović.
“Zastoj u uspostavljanju i operativnom funkcionisanju Agencije za sajber bezbjednost proizvodi ozbiljne strateške, institucionalne i bezbjednosne implikacije, budući da Agencija preuzima nadležnosti stručnog nadzora, proaktivnog skeniranja, upravljanja incidentima i međuinstitucionalne koordinacije”, kazala je za CIN-CG Andreja Mihailović iz organizacije Women4Cyber.
Bez centralnog, kompetentnog i operativno opremljenog tijela nadležnog za koordinaciju nacionalne sajber politike, država ostaje bez ključnog mehanizma koji omogućava nadzor nad operatorima kritične infrastrukture, harmonizaciju standarda, izgradnju nacionalnih kapaciteta, razmjenu informacija o prijetnjama i integrisani odgovor na incidente, objašnjava za CIN-CG Mihailović.
“Važno je osigurati da operativni početak rada Agencije bude zasnovan na stabilnoj institucionalnoj arhitekturi, adekvatnim ljudskim resursima i optimalnim tehničkim kapacitetima, kako bi Agencija u potpunosti mogla ostvariti stratešku ulogu u jačanju nacionalne digitalne otpornosti”, objašnjava Mihailović.
Još jedna obaveza iz novog Zakona o informacionoj bezbjednosti je da crnogrski CIRT mora posjedovati takozvane redundantne sisteme i rezervne radne prostorije kako bi se obezbijedio kontinuitet rada. Crnogorski CIRT ovu naprednu tehnologiju još uvijek nema.
“Za sada imamo backup sisteme zaštite, a do kraja godine ćemo imati opremljen redundantni prostor za CIRT državne uprave”, kaže Polović.
Backup i redundantni sistemi imaju različite uloge u sajber bezbjednosti. Backup je kopija podataka koji se tako čuvaju ako dođe do gubitka ili oštećenja, dok redundantni sistemi podrazumijevaju duplu ili paralelnu infrastrukturu koja omogućava da sistem nastavi da radi bez prekida ako jedan dio otkaže. Ukratko redundancija obezbjeđuje neprekidan rad sistema.
“Redundantni sistemi predstavljaju ključni element arhitekture visoke otpornosti i podrazumijevaju uspostavljanje paralelnih, geografski i tehnički raznovrsnih infrastrukturnih kapaciteta koji mogu autonomno preuzeti funkciju primarnih sistema u slučaju degradacije, prekida, kompromitacije ili potpunog pada”, objašnjava Mihailović.
Za CIRT je redundancija od strateške važnosti jer obezbjeđuje funkcionisanje u slučaju sajber smetnji, kao što su kaskadni incidenti, sofisticirani napadi, kompromitacija državnih servisa ili u slučaju fizičkih katastrofa i infrastrukturnih kvarova. Time se značajno povećava otpornost nacionalne digitalne infrastrukture, objašnjava Mihailović.
“U kontekstu Crne Gore, ovo znači da se rad CIRT-a ne prekida čak ni u ekstremnim okolnostima, što je suštinski uslov za stabilno funkcionisanje e-servisa i kritične infrastrukture”, kaže Mihailović.
Praksa u EU i NATO nalaže da nacionalni CIRT mora imati jasno definisan plan oporavka u slučaju katastrofe (DRP) i plan kontinuiteta poslovanja (BCP) i minimalno jedan geografski odvojen sekundarni operativni centar. Time se značajno redukuju rizici sistemskih zastoja, povećava otpornost nacionalne digitalne infrastrukture, stabilizuje proces odgovora na incidente i jača međunarodno povjerenje u Crnu Goru, kao pouzdanu bezbjednosnu tačku u regionalnim i euroatlantskim mrežama.
“U praksi to obuhvata primjenu različitih mehanizama i jačanje infrastrukture”, objašnjava Mihailović.
“Neophodno je uspostaviti savremene mehanizme za praćenje i detekciju prijetnji, kao i brz odgovor na incidente, uključujući napredne sisteme za monitoring mreža, rane alarme i jasne planove oporavka nakon napada. Sajber bezbjednost, kao proces koji zahtijeva stalno testiranje odbrane, redovne testove, simulacije napada i obuke, može biti održiva samo uz kombinaciju čvrste institucionalne strukture, stručnih kadrova, moderne tehnologije i razvijene svijesti na svim nivoima”, kaže Džakula.
Ističe da se spremnost ne smije graditi u krizi, već mnogo prije nje.
U Izvještaju Evropske komisije za 2025. navodi se da Crna Gora treba da “uskladi nacionalno zakonodavstvo sa Direktivom o mrežnoj i informacionoj bezbjednosti (NIS2) i implementira ga, uključujući i osnivanje Nacionalne agencije za sajber bezbjednost”, te da treba da nastavi da sprovodi pravni okvir EU u oblasti elektronskih komunikacija i audio-vizuelnih medijskih usluga, uključujući i zaštitu nezavisnosti regulatornih tijela. Preporučuje se angažovanje dodatnog osoblja na ovom polju, “čime bi se dodatno ojačali administrativni kapaciteti u oblastima elektronskih komunikacija, usluga informacionog društva i audio-vizuelnih medijskih usluga”, navodi se.
“Crna Gora će krajem 2025. dobiti 1,3 miliona eura od EU zato što je ispunila obaveze iz Plana digitalne transformacije za ovu godinu. Međutim, 2026. bi moglo doći do poteškoća, jer da bismo povukli sredstva predviđena za narednu godinu, u budžetu koji je predložio MF nedostaje oko pola miliona eura za sprovođenje II faze plana digitalne transformacije za 2026. godinu”, objašnjava Polović.
Ističe da nije jasna logika MF da ne izdvoji pola miliona za ove potrebe, nakon čega bi mogao da dobije višestruko veći iznos od EU, odnosno oko dva miliona zbog ispunjavanja Plana digitalne transformacije.
“Iako će Vlada povući 1,3 miliona za digitalnu transformaciju ove godine, mogla su se dobiti i mnogo veća sredstva od EU u 2025. Međutim, zbog sporosti oko uspostavljanja Agencije za sajber bezbjednost i jačanja kapaciteta CIRT-a, Crna Gora je propustila da povuče dodatnih 3,4 miliona eura od EU”, objašnjava Polović.
Uprkos preporukama EU da se poveća broj zaposlenih, CIRT bi sljedeće godine mogao doći u opasnost da ostane bez dijela kadra. Ovoj organizaciji fali za isplatu plata za oko polovine zaposlenih koji se trenutno finansiraju iz sredstava EU, objašnjava Polović.
“Od 13 zaposlenih pet je stalno zaposleno, a ostalima ugovori po projektima brzo ističu. Za sve to je potrebna podrška. Umjesto da ojača u narednom periodu, CIRT bio mogao biti oslabljen”, kaže Polović.
MJU je Vladi predočio da im je neophodna podrška za plate u CIRT-u. Iako budžet za 2026. predviđa zaposlenje osmoro novih ljudi, na nivou cijelog MJU, pitanje je koliko je njih planirano za CIRT. Međutim, i kada bi bila obezbijeđena sredstva za nove kadrove, to ne bi riješilo problem.
“Vlada nije donijela generalni kadrovski plan za 2025, što je onemogućilo raspisivanje konkursa, iako smo imali sredstva ove godine da zaposlimo još nekog u CIRT-u”, dodaje Polović.
Više podzakonskih akata trebalo je da bude doneseno u roku od šest mjeseci od stupanja na snagu Zakona o informacionoj bezbjednosti, ali ni do toga nije došlo.
Polović najavljuje do kraja godine donošenje jednog podzakonskog akta – Nacionalnog plana za odgovor za incidente, kao i donošenje Liste kritične infrastrukture.
Polović ističe da će donošenje ova dva dokumenta omogućiti dalje ispunjavanje indikatora iz Plana rasta i samim time omogućiti povlačenje finansijskih sredstava iz ovoga mehanizma u iznosu od 1.158 miliona eura
Sva ministarstva su imala obavezu da MJU dostave sektorske liste kako bi se napravio registar ključnih subjekata sajber bezbjednosti. Rok da se sastavi registar istekao je u avgustu, ali on još nije sačinjen.
“Većina ministarstava je dostavila sektorske liste, MJU, sad treba da pregledamo sve te liste, da ih šaljemo Vladi na odobrenje, pa onda da sastavimo registar, tako da sve to ide sporije od predviđenog”, kaže Polović.
Crna Gora kreće ka jedinstvenom, evropski kompatibilnom sistemu sajber otpornosti, pri čemu su određena kašnjenja razumljiva zbog transformacije institucija, kaže za CIN-CG Andreja Mihailović.
“Zakon uvodi kompleksne obaveze – od identifikacije ključnih subjekata i upravljanja incidentima, do registara, nadzora i sertifikacije – pa privremena odstupanja uglavnom odražavaju potrebu za dosljednom primjenom propisa, koordinacijom i usklađivanjem sa EU praksama i NIS2 direktivom”, smatra Mihailović.
Krajem oktobra, a potom početkom novembra sajt Vlade Crne Gore i svih ministarstava bili su meta hakerskih, odnosno DDoS napada, i danima su nakon napada neki od tih servisa bili nedostupni. Međutim, iz Ministarstva javne uprave (MJU) su kazali za CIN-CG da su svi servisi i sajtovi bili dostupni brzo istog dana. Novinari CIN-CG-a uvjerili su se da i dva dana nakon pada servisa sajtovi ministarstava i Vlade nijesu bili u potpunosti funkcionalni.
Prema riječima eksperta Branka Džakule, nedavni napad na sve važne onlajn servise Vlade, govori da državna internet infrastruktura nema dovoljan nivo otpornosti.
“U idealnom slučaju, čak i da dođe do jakog DDoS napada, što znači hiljade ili milione lažnih zahtjeva ka sajtu u sekundi, sistemi odbrane trebalo bi da apsorbuju udar ili preusmjere saobraćaj. Privremeni pad može da se desi svakome, ali ako su sajtovi nedostupni dva dana nakon napada, to znači da ili napad i dalje traje bez uspješnog odgovora ili oporavak nije urađen dovoljno brzo”, objašnjava Džakula za CIN-CG.
Jedno od objašnjenja je da je možda nakon samog napada, određeni broj servisa bio isključen preventivno, dok se ne uvjere da je sve sigurno, kaže Džakula.
“Dešavalo se i ranije kod nas da se poslije radnog vremena isključe sistemi, dok se prijetnja analizira. Ovo ukazuje na reaktivan pristup: umjesto da infrastruktura ostane dostupna uz otpornost, mi je gasimo ‘da šteta ne eskalira’. To je razumljivo kada nemate jake zaštitne mehanizme, ali nije dobro rješenje dugoročno”, poručuje ovaj ekspet.
Ni tri godine nakon velikog sajber napada na infrastrukturu Vlade Crne Gore, nema zvaničnog odgovora ko stoji iza ovog napada. U avgustu 2022. godine, ransomware napad zlonamjernog softvera, pogodio je servere Vlade Crne Gore. Tokom napada, hakeri su zaključali i šifrovali podatke i ključne fajlove državnih sistema, a potom zahtijevali novčanu otkupninu za njihovo otključavanje i dešifrovanje. Mjesecima nakon napada servisi Vlade bili su nedostupni, a mejl adrese nijesu radile. Iako su iz Vlade u periodu nakon napada naveli više špekulacija o tome ko bi mogao stajati iza toga – od hakerske grupe Cuba Ransomware, do Rusije – do danas ne postoji zvanični odgovor na ovo pitanje.
U januaru 2023. Uprava policije saopštila je da je od FBI-ja dobila izvještaj o sajber napadima na vladine servere iz 2022, zasnovan na velikoj količini podataka prikupljenih putem mreže Ministarstva javne uprave i praćenja kretanja informacija između različitih sistema. Međutim, taj izvještaj nikada nije objavljen.
“Ovaj izvještaj je prema preporuci FBI ostao interan, samo za potrebe jačanja otpornosti Vladine infrastrukture i mreže državnih organa. Međutim, u ovom izvještaju se ne navodi ko je i na koji način izvršio napad”, tvrdi Polović.
“Zabrinjavajuće je što ni nakon više od tri godine ne znamo ko je izveo sajber napad na Vladu 2022. godine. Time se stvara utisak da napadači mogu ostati nekažnjeni ili da institucije nijesu sposobne da ih otkriju. Moguće je da nije bilo dovoljno dokaza za sudski epilog, ali nedostatak informacija narušava povjerenje javnosti. Ljudi s pravom pitaju: da li se na tome radi i jesmo li danas bezbjedniji nego 2022”, kaže Džakula.
Iz Osnovnog državnog tužilaštva u Podgorici nijesu odgovorili na pitanje CIN-CG-a u kojoj je fazi postupak pokrenut u vezi sa napadom prije tri godine.
U medijima je lani objavljeno da je Tužilaštvo uputilo urgenciju za postupanje povodom ovog slučaja Upravi policije (UP), odnosno Odsjeku za kriminalističko-obavještajne poslove i Grupi za suzbijanje krivičnih djela visokotehnološkog kriminala.
Iz UP nijesu odgovorili na pitanja CIN-CG-a u vezi sa ovim slučajem i uputili su nas na Tužilaštvo.
Prema riječima Džakule, problem je i što se ne zna kako je tačno došlo do napada 2022.
“Do danas nisu javno predstavljene detaljne analize i izvještaji, koje su tačne slabosti iskorišćene od strane napadača i šta je sve preduzeto da se one otklone. Možda postoji izvještaj interno, ali ako postoji i ako se skriva, to otežava nezavisnim stručnjacima da procijene gdje smo kada je zaštita u pitanju”, kaže Džakula.
“Samo jedan odsto zaposlenih javnih službenika prošao je obuku na temu sajber bezbjednosti. Nedostatak eksperata iz oblasti sajber bezbjednosti je prepoznat kao globalan problem, dok je u Crnoj Gori zbog ograničenih ljudskih resursa ovaj problem još izraženiji”, ističe se u Strategiji za sajber bezbjednost 2022-2026.
Plan da se taj broj podigne na 15 odsto je dobar korak, ali potrebno je vrijeme i istrajnost da se to postigne, naglašava Džakula. Slaba je i kultura prijavljivanja incidenata, mnoge organizacije radije prećute “manje” bezbjednosne probleme, što usporava učenje na greškama i poboljšanje sistema.
Crna Gora bi trebalo da se intenzivno bavi jačanjem kapaciteta kadrova – ljudski resursi i nedostatak stručnjaka identifikovani su kao veliki problem.
“Potrebno je ubrzano obučavati i zapošljavati stručnjake za sajber bezbjednost, kako u javnom sektoru, tako i kroz podsticanje obrazovnih programa na univerzitetima. Jedan od najvažnijih segmenata sajber bezbjednosti je i digitalna pismenost samih građana. Potrebno je pokrenuti nacionalne kampanje edukacije o osnovnoj digitalnoj bezbjednosti. Građani moraju znati kako da prepoznaju prevare, takozvane fišing mejlove, lažne oglase i kako da zaštite svoje lične podatke na internetu. Ljudski faktor je često najslabija karika, zato ulaganje u znanje i kulturu sajber higijene donosi veliki benefit”, upozorava Džakula.
Džakula ističe i važnost međunarodne saradnje. Potrebno je proširiti saradnju sa partnerskim zemljama i organizacijama.
“Crna Gora je, srećom, već uključena u NATO i regionalne inicijative, a nedavno je postala i članica Evropske organizacije za sajber bezbjednost (ECSO). Trebalo bi iskoristiti tu mrežu za pristup najnovijim saznanjima, obukama i možda razmjenu stručnjaka. Takođe, pohvalno je što je u Podgorici sjedište Regionalnog centra za borbu protiv sajber kriminala uz podršku Francuske, gdje se naši kadrovi obučavaju rame uz rame sa inostranim ekspertima”, navodi Džakula.
Crna Gora se suočava s ozbiljnim nedostatkom kvalifikovanih stručnjaka za sajber bezbjednost, upozorava Džakula, ističući da je riječ o globalnom problemu, a kod nas izraženijem zbog male IT baze i odliva kadrova.
“U državnoj upravi, bankama i telekomunikacijama često jedna osoba pokriva više uloga. CIRT tim ima daleko manje ljudi nego što bi standardi preporučili, a u manjim firmama bezbjednost gotovo i ne postoji”, kaže Džakula.
On upozorava da javni sektor teško može zadržati mlade stručnjake zbog malih plata i nedostatka profesionalnih izazova.
“Ako ne osmislimo stimulativne modele – veće plate, obuke, saradnju s međunarodnim partnerima, rizikujemo da nova Agencija za sajber bezbjednost bude kadrovski slaba već na početku”, navodi on.
Ipak, dodaje, ima i pomaka: uveden je master program Informaciona bezbjednost na Univerzitetu Crne Gore, a pojavljuju se i privatne inicijative poput UN1QUELY Cybersecurity akademije, Logate instituta i regionalnog centra WB3C, koji grade novu generaciju stručnjaka.
“U Crnoj Gori se na raznim univerzitetskim studijskim programima školuju kadrovi za ove poslove. Prevashodni zadatak je da Ministarstvo finansija prepozna prioritet u privlačenju ovakvih kadrova i kroz Zakon o zaradama u javnom sektoru obezbijedi adekvatna primanja za ove deficitarne pozicije, što je inicijativa MJU”, kazali su za CIN-CG iz MJU.
“Ključno je da država podrži programe stipendija i partnerstvo sa privatnim sektorom”, naglašava Džakula.
Kao potencijalno rješenje navodi i ideju “cyber rezervista” – civilnih eksperata koji bi u kriznim situacijama pomagali odbrani nacionalnih mreža, po uzoru na Estoniju.
Iako kadrovsko stanje ocjenjuje kao kritično, Džakula vjeruje da nije beznadežno. “Ako budemo ulagali u obrazovanje, obuke i međunarodnu saradnju, možemo u nekoliko godina stvoriti dovoljno domaćih stručnjaka. Ulaganje u ljude jednako je važno kao ulaganje u opremu.”
