Šta je kritična infrastruktura i zašto je važna: Prijetnje rastu svakodnevno, a BiH još uvijek nema ozbiljan odgovor

Stručnjaci za sigurnost nedavno su u Sarajevu na ljetnoj školi "Sigurnost i otpornost kritične infrastrukture u digitalnom dobu" upozorili da su cyber napadi na ključne sisteme širom svijeta u stalnom porastu.

Naglašeno je da samo jedan takav napad može da ostavi zemlju bez električne energije i uzrokuje brojne probleme, a alarmirali su javnost da BiH još uvijek nije spremna za adekvatan odgovor.

Kritična infrastruktura podrazumijeva energetske mreže, vodovodne sisteme, bolnice, telekomunikacije, bankarski sektor i druge sisteme čiji bi prekid rada imao ozbiljne posljedice po društvo i sigurnost države.

Evropska unija ovo pitanje uređuje kroz NIS2 i CER direktive, a u BiH je stanje znatno složenije. Infrastruktura je u velikoj mjeri zastarjela.

Direktive NIS2 i CER su dvostruki propisi Evropske unije osmišljeni da povećaju fizičku, digitalnu i ekonomsku otpornost u državama članicama. NIS2 se strogo fokusira na cyber sigurnost i zaštitu mreže, dok CER provodi fizičku otpornost na sve opasnosti, uključujući sabotažu, terorizam i prirodne katastrofe, za kritičnu infrastrukturu.

Profesor na Fakultetu za kriminalistiku, kriminologiju i sigurnosne studije i voditelj ljetne škole Kenan Hodžić govorio je za Klix.ba na temu kritične infrastrukture, a pojasnio je i zašto je važna.

"Kritična infrastruktura su sistemi koji drže društvo u životu. Od njih ovisi hoće li iz česme poteći voda, hoće li bolnica imati struju, hoće li bankomat raditi. Zamislite ih kao nevidljivi nervni sistem moderne države. Podrazumijeva sisteme, mreže i objekte čiji bi poremećaj ili uništenje imalo ozbiljan negativan učinak na nacionalnu sigurnost, javno zdravlje, ekonomsku aktivnost ili svakodnevni život građana", pojasnio je.

Evropska unija taj pojam operacionalizira kroz dva komplementarna instrumenta i to direktivu NIS2 i CER direktivu (Critical Entities Resilience), što je zapravo, kako navodi, odraz činjenice da su fizičke i digitalne prijetnje isprepletene i da ih ne možemo odvojeno adresirati.

Prijetnje koje nisu daleke

Problematizirao je i zastarjelost infrastrukture u BiH i naglasio da su nedovoljne mjere zaštite i fragmentirani institucionalni odgovori.

"BiH nema pravni okvir koji može odgovoriti na ove složene izazove. Organizacije različite incidente rješavaju interno i bez razmjene informacija s drugima u istom sektoru. Rezultat je da ni institucije ni privatni sektor nemaju realnu sliku stanja. Digitaliziramo se brže nego što osiguravamo ono što digitaliziramo", upozorio je.

Upozorio je i na sve izraženije sigurnosne prijetnje, posebno ransomware napade - oblik zlonamjernog softvera koji funkcioniše kao digitalna ucjena.

"Dosadašnji slučajevi napada u BiH upozorenje su da se konačno uspostave zakonski okviri jer se pitanje zaštite kritične infrastrukture ne smije više odlagati. Napadi ransomwareom na kritičnu infrastrukturu eksponencijalno su porasli i većina napada dolazi od državno sponzoriranih aktera. Dakle ne od kriminalnih skupina, nego od organizacija koje djeluju u funkciji strateških ciljeva pojedinih država. Ovo je metodologija hibridnog djelovanja ispod praga formalnog sukoba, u mirnodopskim uvjetima, bez formalne objave rata. Ne zaboravimo da se BiH nalazi u regionu koji EU i NATO eksplicitno identificiraju kao prostor pojačanog hibridnog pritiska", kazao je.

Naglasio je da BiH u kratkom roku treba model zaštite kritične infrastrukture na državnom nivou.

"Hrvatska je to učinila u junu 2025. zakonom implementirajući evropsku CER direktivu, propisujući jasne nadležnosti, obavezu prijave incidenata i funkciju sigurnosnog koordinatora unutar svakog kritičnog subjekta. Organizacijama koje upravljaju kritičnom infrastrukturom poruka je jednako direktna. Sigurnost mora ući u upravljačke strukture i mora biti predmet većeg interesa. Menadžment koji ne razumije rizike za kontinuitet ključnih usluga nije opremljen da u kriznim situacijama donosi prave odluke", naglasio je.

Ukazao je da se prosječan trošak oporavka od jednog ozbiljnog napada na kritičnu infrastrukturu mjeri u stotinama hiljada KM, ako ne i više.

"Ono što slijedi mora biti sistemski kontinuirani odgovor. Integracija sadržaja o kritičnoj infrastrukturi u studijske programe, razvoj istraživačkih kapaciteta i dalje umrežavanje s evropskim partnerima koji rade na ovim pitanjima dio je dugoročnih očekivanja. BiH ima potencijal da u ovoj oblasti gradi domaće kapacitete koji su međunarodno relevantni jer digitalno doba ne pita jesmo li spremni", zaključio je.

Potreba za zakonom

Tokom četiri dana rada ljetne škole, polaznici su kroz pet tematskih modula prošli put od osnova operativne tehnologije (OT) i analize IT/OT konvergencije, preko mjera zaštite sistema, pa sve do specifičnih prijetnji i upravljanja rizicima i incidentima.

Stručnjaci su posebno naglasili potrebu za donošenjem krovnog zakona o kritičnoj infrastrukturi kako bi se eliminisale strukturne ranjivosti sistema u Bosni i Hercegovini.

Ministar prometa i komunikacija BiH Edin Forto izjavio da je bh. kritična infrastruktura potpuno izložena cyber prijetnjama te da promjena mora doći od struke koju će politika pratiti.

"Pošto je sve povezano moguće je srušiti mreže elektroprenosa i ostaviti čitave zemlje bez struje. Moramo biti spremni odgovoriti na moderne načine ratovanja i izazivanja kriza, a Bosna i Hercegovina trenutno nije spremna", poručio je Forto ranije.

Hodžić je naglasio važnost donošenja zakona i istakao da bi trebao identificirati sektore, definisati obaveze za upravitelje sistema, uključujući izradu sigurnosnih planova, procjenu rizika i implementaciju mjera zaštite.

"Na kraju, zakon uspostavlja jasan lanac odgovornosti, mehanizme nadzora i obavezu prijave svih incidenata nadležnim tijelima kako bi se osigurao kontinuitet pružanja usluga", rekao je Hodžić.

Na kraju, ekspertski doprinos programu ljetne škole dali su univerzitetski profesori sa Univerziteta u Sarajevu, vodeći globalni i domaći lideri industrije poput kompanija OPSWAT, Cisco, TeamViewer, Acronis, Whalebone i Agencije za zaštitu ljudi i imovine DSC, koji su polaznicima prenijeli najsavremenija praktična znanja i iskustva.

Uspješna realizacija ovog programa rezultat je uspješne saradnje i zajedničke organizacije Fakulteta za kriminalistiku, kriminologiju i sigurnosne studije i kompanije Results Consulting uz pomoć Ministarstva sigurnosti BiH, projekta Vlade Sjedinjenih Američkih Država - Asistencija energetskom sektoru (EPA), Misije OSCE-a u BiH, Javnog preduzeća Međunarodni aerodrom Sarajevo i Agencije za zaštitu ljudi i imovine DSC.