Prema pisanju "Nedeljnog telegrafa" jedan od najznacajnijih savetodavnih firmi i partner Ministarstva i Agencije za privatizaciju, beogradski "Ekonomski biro – Koneko"bio je poslednjih 15 dana dva puta meta nocnih "napada". U noci izmedju 26. i 27. decembra 2002, nepoznati izvrsioci su se kroz neobezbedjeni ulaz zgrade popeli na treci sprat, razvalili ulaznu bravu i sa sest od ukupno desetak kompjutera skinuli i odneli hard diskove. Odneti su hard diskovi sa racunara koji je pripadao direktorki i vodecim ekonomskim savetnicima u firmi. Ostali racunari, nisu ni dirani.

U noci izmedju 10. i 11. januara ove godine, "Ekonomski biro – Koneko" je bio ponovo meta "napada" i tom prilikom nepozanti izvrsioci su iz prostorija ove firme odneli neke tehnicke uredjaje i vecu kolicinu kompakt diskova na kojima je snimljen deo vazne dokumentacije o preduzecima ciju su vrednost procenjivali u Ekonomskom birou.

Na hard i kompakt diskovima koje su nepoznati ucinioci ukrali iz ove frime nalazila se procena vrednosti kompletnog kapitala vise stotina srpskih preduzeca koje se pripremaju za privatizaciju. "Ekonomski biro – Koneko" je ove podatke prikupljao i obradjivao sa zvanicnom licencom Ministarstva za privredu i privatizaciju. Vaznost ovih podataka je u tome, sto onome ko ih poseduje daju startnu prednost u odnosu na konkurenciju, na aukcijama ili tenderima koji budu raspisani za preduzeca ciju je procenu vrednosti kapitala radio "Ekonomski biro Koneko". Naime, informacije iz pripreme tendera uvek su vrednije nego one koje dobije krajnji korisnik. Konsultant ima mnogo vise informacija od onih iznetih u tenderskoj dokumentaciji. Sve to otvara mnogobrojne mogucnosti za zloupotrebu a posledice ce biti vidljive cim krene privatizacija preduzeca sa liste Ekonomskog biroa.

Policija je po recima direktora Ekonomskog biroa Koneko, Vesne Petrovski, ovu provalu okarakterisala kao "kradju tehnickih uredjaja racunara".

• Na ukradenim hard i kompakt diskovima se nalazila procena vrednosti kompletnog kapitala vise stotina srpskih preduzeca koje se pripremaju za privatizaciju.
• Kradjom ovih vaznih informacija lopovi ili oni koji iza njih stoje, stekli su orgomnu prednost u strateskom planiranju, kako se u daljem toku privatizacije. Njihov takmaci koji na aukcijama ili tenderima nemaju ove podatke bitno su osteceni.

Ove cinjenice ukazuju na to da se navedeno krivicno delo nikako ne moze okvalifikovati kao "kradja tehnickih uredjaja racunara". Krivicno delo vezano za za provalu u Ekonomski biro Koneko ima u sebi elemente kompjuterskog kriminaliteta i ekonomske spijunaze.

• Elementi kompjuterskog kriminaliteta: U ovom slucaju kompjuter je cilj izvrsenja krivicnog dela a skidanjem hard diskova izvrsena je i protivpravna povreda imovine kod koje su racunarski podaci razoreni. Kad je rec o obliku kompjuterskog kriminaliteta, radi se o neovlascenom pribavljanju informacija, kradji podataka sadrzanih u kompjuterskim sistemima, a u cilju ostvarivanja protivpravne imovinske koristi.
• Elementi ekonomske spijunaze: Kradja hard i kompakt diskova na kojim su se nalazile informacije o proceni vrednosti kapitala jasno upucuje na zakljucak da su ciljevi lopova bile informacije koje su po tipu ekonomske i imaju svojstvo strateskih u odnosu na dalju privatizaciju. Osim toga, procena vrednosti kapitala je poslovna tajna svake firme.

Pogresno definisanje ovog krivicnog dela od strane MUP-a kao "kradja tehnickih uredjaja kompjutera" s obzirom na to da su se na hard i kompakt diskovima "Ekonomskog biroa Koneko" cuvali podaci cijom se kradjom do odredjenog stepena moze ugroziti privatizacija u Srbiji:

• imalo je za posledicu neadekvatnu reakciju ovog drzavnog organa u cilju njihove zastite – krivicno delo je ponovljeno 10. i 11. januara ove godine i tom prilikom su lopovi ukrali i ostatak potrebnih informacija.
• imace za posledicu otezavanje otkrivanja ucinioca ovog dela i njhovih eventualnih nalogodavaca
• ima za posledicu nepreduzimanje adekvatnih mera kako ova pojava – kradja informacija iz firmi koje su neposredno vezane za proces privatizacije ne bi poprimila karakter sirih razmera, sto moze da ima za posledicu ugrozavanje samog procesa privatizacije

Prema metodu izvrsenja ovog krivicnog dela moze se zakljuciti da su izvrisoci medju sobom imali nekog ko poznaje hardver – "montazu i demontazu". U tajnim obavestajnim aktivnostima vezanim za ekonomsku spijunazu cija su meta napada racunari ovakvi napadi se nazivaju "Hard" – jednostavno fizicko unistavanje i demontaza hardvera. Medjutim to nikako ne znaci da se radi o pravim industrijskim spijunima, pravi industrijski spijuni ne ostavljaju trag svojih aktivnosti. Najcesce se koriste tzv. Soft napadi, koji su nevidljivi, izvarendno tesko ih je otkriti i jos teze popraviti. "Hard" napadi se preduzimaju izuzetno retko u iznimnim situacijama i u svetu industrijskih spijuna smataraju se vandalizmom. "Soft" ili "Hard" je ono sto pravi razliku izmedju elite kakvi su industrijski spijuni i obicni obijaci i kradljivci.

Izvrsioci ovog krivicnog dela su najverovatnije lokalni kriminalci, specijalisti za obijanja koji su medju sobom imali nekog poznavaoca montaze i demontaze hardvera. Osim toga cinjenice da su odneli:

• hrad diskove samo sa racunara na kojima su se nalazile procene vrednosti kompletnog kapitala preduzeca koje je Ekonomski biro procenjivao.
• kompakt diskove sa snimljenom dokumentacijom

kao i to da su tacno znali koji su ciji racunari upucuje da su u izvrsenju ovog krivicnog dela imali saucesnika iznutra, tzv. insajdera, koji ih je snabdeo neophodnim informacijama.

Ovo su parametri koji odredjuju na koja lica kao moguce izvrsioce ovog krivicnog dela MUP treba da koncetrise svoju istragu.

Gospodja Petrevski, direktor Ekonomskog biroa, kaze da su da su imali resetke na vratima ali da one nista nisu pomogle. Ovo je ocigledan primer izuzetno niskog nivoa kulture i politike bezbednosti koja je vodjena u Ekonomskom birou. A kad je rec o sigurnosti informacija i upravljanju sigurnoscu istih to su verovatno pojmovi za koje oni nikad nisu culi, jer da jesu znali bi da su najcesci izvori pretnji sigurnosti informacija prirodne katastrofe, nesavrsenost i greske u hardveru i softveru, te nenameran i nameran ljudski uticaj.

• Priroda kao izvor pretnji sigurnosti informacija moze delovati kroz razlicite pojavne oblike, a najcesci je uzrok pretnji.
• Unistenje, sabotaze, spijunaza, razaranje, neautorizovani pristupi, kradje, virusi, prisluskivanje najcesci su oblici pretnji sa predznakom namere.
• Nepaznje, nedisciplina, nemar, neznanje, losa programska oprema, losa organizacija primeri su izvora pretnji informatickim resursima koji su po svom izvoru najcesce nenamernog karaktera.
• Razliciti incidenti s informatickom opremom, tehnicke pogreske, problemi u napajanju ispadi, zracenja itd., primeri su iz ove grupe pretnji koje se odnose na nesavrsenost i greske u softveru.

Svi ovi izvori pretnji moraju da budu uzeti u obzir kad se pravi sistem zasitite informacija u nekoj organizaciji i politika upravljanje sigurnoscu informacija uz istovremno razvijanje kulture sigurnosti informacija. Prema tome, postavljanje resetki je samo jedan od elemenata ukupnog sistema bezbednosti a u okviru njega sistema zastiite informacija u nekoj organizacija, i to onaj element kojim se samo delimicno neutralise pretnja sa predznakom namere.

Ako je za utehu, ovakvo stanje je u preko 95% procenta nasih firmi i moze se smatrati opstim i nasem drustvu. Posledice niskog nivoa kulture bezbednosti u ovom slucaju niskog nivoa kulture sigurnosti informacija su i finansijske i nematrerijalne sto ce za krajnji rezlutat ima gubitak poslovnih partnera, los imidz firme i sl.

Za nizak nivo kulture bezbednosti u ovom slucaju nizak nivo kulture sigurnost informacija nikako ne treba okrivljivati samo vlasnike firmi ili direktore drustvenih preduzeca. Da taj nivo bude kakv jeste, zasluzna je i drzava. Prosto je neverovatno da Ministarstvo za privatizaciju izda licence firmama, a da nikom ne padne na pamet da se kao jedan od uslova za izdavanje te licence postavi i uslov koji se odnosi na sigurnosti informcija, s obzirom na to da se "oticanjem" informacija ili njihovom kradjom kao u ovom slucaju u zanacajnoj meri moze ugorizti legalnost samog procesa privatizacije. Zbog toga je hitno potrebno:

• Proceniti stetu koja je nastala kradjom informacija u Ekonomskom birou Koneko.
• Proceniti stepen sigurnosti informacija, stepen kulture sigurnosti infomacija, obucenost zaposlenih i sl. u firmama koje imaju licence Ministarstav za privatizaciju.
• Na osnovu tih procena organizovati seminar na kojim ce se polaznicima iz ovih firmi obucavati u koriscenju odgovarajucih mera tehnicke zastite, softvera, automatizaovanim procedurama i kratkim recpetima, koje pokrivaju podrucja zastite informacija u njihovom okruzenju.
• Mere tehnicke zastite, softveri, automatizovane procedure, recepti, treba da budu standardizovani jednim "instant" standardom. Pojam "instant standard" se u ovom. slucaju koristi da oznaci standard koji je potrebno da navedene firme primenjuju u zastiti informacija do donosenja nacionalnih standarda jer je za njhihovo donosenje potrebno vreme, koga mi u ovom slucaju nemamo. Privatizacija je u toku i potrebna su nam brza resenja.
• Vrsiti kontrolu primene standarda i svim onim firmamama koje ga se ne pridrzavaju oduzeti licence.

U suprotnom ovakvi ili slicni sigurnosni incidenti ce s obzirom na izvore pretnji sigurnosti informacija biti stalna pojava, a ono na sta se oni koji sprovode proces privatizacije mogu osloniti bice jedino faktor srece koji oni koji se bave bezbednoscu ne priznaju.

Osim toga, nizak stepen bezbednosne kulture nasih privrednika narocito u oblasti sigurnosti informacija, uocena pojava ekonomske spijunaze koja nije nova na nasem prostoru ali ce sve vise dobijati zamah, iskustva drugih zemalja u suzbijanju ove pojave, sasvim jasno upucuju na zakljucak da je neophodna hitna intervencija drzave u oblasti sigurnosti informacija, i to pre svega u zakonskoj regulativi, definisanju i uvodjenu standarda koji se odnose na oblast sigurnosti informacija i edukaciji privrednih subjekata u upravljanju sigurnoscu informacija. Kako je sve to jedna proces koji se odvija u duzem vremenskom periodu ono sto se odmah moze uraditi paralelno sa realizacijom ovog procesa, jeste priprema i realizacija seminara na kojima ce se polaznici iz privrede obucavati u koriscenju odgovarajucih mera tehnicke zastite, softvera, automatizaovanim procedurama i kratkim recpetima, koje pokrivaju podrucja zastite informacija u njihovom okruzenju.

Bez obzira preduzela drzava neophodnu intervenciju ili ne, privrednici moraju da ulazu u bezbednost svojih informacija, jer je to najbolji nacin da se realizuje vlastita poslovna misiju i da se pritom izbegnu, ili na najmanju meru svedu rizici vezani sa sigurnost informacija koji bi mogle da ugroze interese same orgnizacije ili interese njenih partnera. Stete izazvane "informacionim incidentima" su uvek i finansijske i nematerijaljne, ponekad su neporavljive i toliko velike da mogu da ugroze i postojanje same organizacije.

U jednom od svojih intervjuua Premijer Srbije, dr. Zoran Dindjic je govorio da ako vam je organizam slab, pun sala, morate trcati, ustajati ujutro i tusirati se hladnom vodom, da bi ozdravio. Ako oblast sigurnosti informacija shvatimo kao organizam, definisanje njegovog trenutnog stanja je da je on tesko bolestan. I to ne pokazuje samo ovaj slucaj vezan za Ekonomski biro Konko, ko za koliko ima slicnih slucajeva za koje javnost i ne zna. Sam autor ovog teksta je pisao o slucaju vezanom za RTB Bor, koji je po posledicama mnogo tezi. Izvrsioci tog krivicnog dela nikad nisu nadjeni a podaci koje su oni ukrali ko zna gde su. Osim toga, gotovo svaki cas Hrvati u svojim novinama izbace po neki stenogram prisluskivanja bivsih politicara na vlasti.

Gore navedene mere jesu hladan tus za oslabljeni organizam. Svaka prica da u nasoj zemlji ne postoje ljudi koji bi ovom problematiko mogli da se bave moze da bude samo proizvod neznanja ili zle namere da se tesko bolesni organizam jos vise oslabi. Tehnicka resenja takodje postoje, siroko su dostupna i u civilnoj upotrebi, i poznata su nasim ljudima. Obuka za njhovo koriscenje je laka i bespotrebno mistifikovana od ljudi kojima je znanje o bezbednosti jednog drustva na niovu skole NKVD-a.. Ono sto nedostaje i sto treba doneti jesu standardi i zakonska reglulativa, kao i obezbedjenje sprovodjenja istih, a to je niz hladnih tuseva i zahteva vreme. Ono sto je sad potrebno jesu brza resenja koja bi se realizovala paralelno sa glavnim procesom.