Kako se čuvaju naši podaci u Državnom data centru i ko može da im priđe "na zadnja vrata"

Ako želite da zakažete pregled kod lekara, upotrebićete aplikaciju. Ukoliko odete na bolovanje – to će biti u sistemu e-bolovanja. Želite da upišete dete u vrtić ili školu – ništa lakše. Preko sistema e-uprave podnećete zahtev, a sistem će svu neophodnu dokumentaciju povući iz baze državnog organa koji tu dokumentaciju poseduje. Uspeh i vladanje vašeg deteta u školi zabeležen je u e-dnevniku. Poresko rešenje za porez na imovinu će vam stići u e-sanduče. Ukoliko ste želeli da upišete pravo svojine na nekretnini po novom zakonu, to ste mogli da uradite i onlajn, a sve podatke o svim nekretninama u Srbiji Katastar takođe čuva u nekim elektronskim bazama koje su dostupne onlajn. I tako dalje, i tako dalje…

Praktično sve što se tiče ove zemlje i njenih građana je smešteno u nekom virtuelnom i nama nevidljivom svetu, pa se nameće pitanje ko to čuva, kako i gde. I da li Srbija ima suverenitet nad svime time?

Aleksandar Mastilović, konsultant za digitalne transformacije i elektroinženjer, za sajt N1 objašnjava da digitalni suverenitet predstavlja sposobnost države da autonomno kontroliše svoju digitalnu infrastrukturu, podatke građana i institucija, tehnološke standarde i regulatorni okvir - bez prinudne zavisnosti od stranih aktera. Napominje da to nije anti-globalistički koncept, već uslov za ravnopravno učešće u globalnoj ekonomiji.

Na drugoj strani pola nalazi se digitalna kolonija, odnosno država koja konzumira tehnologiju bez kapaciteta da je razume, kontroliše ili zameni.

“Njeni podaci teku ka stranim serverima, njena regulativa prati tuđe standarde, a njena ekonomija ostaje zarobljena u servisnom, a ne inovacionom modelu”, objašnjava sagovornik N1.

Naučni saradnik na Fakultetu političkih nauka Miloš Vukelić u objašnjavanju digitalnog suvereniteta kao "autonomnog delovanja države u digitalnom prostoru u odnosu na bilo kakve spoljne uticaje", navodi i unutrašnju komponentu - gde strani ili domaći posrednički akteri mogu da vrše sabotaže, špijunaže i subverzije vrlo retko i isključivo uz izuzetan napor i značajne resurse. 

Srbija na sredini: Ko kontroliše infrastrukturu, kontroliše i vaše opcije

Neminovno se nameće pitanje gde se nalazi Srbija između ta dva pola, a Mastilović kaže da smo negde na sredini skale, ali ne na stabilan način.

“Imamo delimičnu infrastrukturnu autonomiju, razvijamo institucije, ali nemamo ni tehnološku bazu, ni koherentnu stratešku doktrinu koja bi digitalni suverenitet tretirala kao nacionalni prioritet prvog reda. Geopolitički, to direktno ograničava naš manevarski prostor: ko god kontroliše vašu digitalnu infrastrukturu, kontroliše i vaše opcije u pregovorima, sankcijama i krizama”, kaže Mastilović.

Podaci naše državne uprave čuvaju se u Data centru u Kragujevcu, a država je najavila izgradnju takvih centara i u Novom Sadu i Nišu, ali i izgradnju “najsavremenijeg nacionalnog centra za informacionu bezbednost" baš u Kragujevcu do 2030. godine.

Stručnjaci koje smo konsultovali za potrebe ovog teksta kažu da Državni data centar u Kragujevcu poseduje sertifikate i opremu zbog kojih zakonski deluje da je sve kako treba, ali da zabrinutost može da predstavlja to što su u njegovoj izgradnji učestvovali Microsoft, Oracle, IBM, Huawei I Nutanix, kao i da se pod istim krovom nalazi oprema koju koriste Oracle, IBM i Huawei za svoje potrebe kao korisnici Data centra.

Mastilović kaže da posedovanje fizičke zgrade nije isto što i digitalni suverenitet, a da su ključna pitanja – ko je isporučio hardver, ko je isporučio softver, ko ima pristup za održavanje i ko ima zakonski osnov da zatraži podatke.

“Učešće Huawei-a i američkih kompanija u izgradnji i opremanju tih centara nije automatski problem - ali jeste kompleksnost koja zahteva ozbiljan upravljački okvir koji Srbija, koliko je javno poznato, još nema formalizovan”, napominje Mastilović.

Vukelić pojašnjava da američke kompanije pružaju hardversku i softversku pozadinu za funkcionisanje data centra, odnosno da u Kragujevcu postoje dva odvojena data centra u okviru jednog prostornog kompleksa.

Kako kaže, paket koji se primenjuje u našem data centru zavisi od dogovara postignutog sa ovim kompanijama.

“U praksi postoje tzv. ‘suvereni data centri’ sa najvišim stepenom kontrole podataka, gde operateri, odnosno države, imaju svoje, zasebne bezbednosne protokole, i time bi u teoriji trebalo i da osiguraju da podaci ostaju izvan zakonodavstva druge države. Službe bezbednosti, Ministarstvo odbrane i Ministarstvo unutrašnjih poslova imaju zaseban data centar u Kragujevcu, i možemo da pretpostavimo da pored fizičke odvojenosti primenjuju i zasebne protokole u odnosu na susedni data centar privatnih kompanija i javne uprave. Ukoliko to nije slučaj, onda se svakako poštuju najviši svetski standardi za čuvanje podataka, ali u teoriji onda ne možemo biti sigurni da li velike strane tehnološke kompanije, poput Oracle na primer, nemaju takozvani ‘zadnji ulaz’ u sisteme data centara. Da budem precizniji, ne možemo da znamo da li država, gde Oracle ima sedište, ima i ovu vrstu pristupa, kao što znamo da je imala pristup Microsoftu, naravno, bez i da obavesti tu kompaniju”, rekao je Vukelić.

Kada je u pitanju čuvanje i upravljanje državnim podacima veliki uticaj ima strano zakonodavstvo, pre svega američki Cloud Act.

“US Cloud Act je posebno kritična tačka. Američki zakon iz 2018. obavezuje sve kompanije pod američkom jurisdikcijom da na zahtev federalnih organa predaju podatke bez obzira na to gde su fizički skladišteni. Ako ijedan ključni softverski sloj u tim centrima dolazi od kompanija pod US jurisdikcijom, a najčešće dolazi, Cloud Act potencijalno neutrališe fizički suverenitet. To nije teorija zavere; to je pozitivno pravo”, kaže Mastilović.

On dodaje da Srbija mora da uradi sistemsku analizu softverskog i uslužnog steka u tim objektima i da definiše gde prihvata taj rizik, a gde ne.

Primena UC Cloud Act je, prema rečima Vukelića, sudbina malih država poput Srbije.

“A u moru promašaja, data centar je jedan od uspešnijih projekata ove vlasti”, kazao je Vukelić.

Evropa se udaljava od Amerike

Pitanje je kako Srbija može da se izbori za svoj digitalni suverenitet, kada to ne može ni Evropa, koja tek sada pokušava da se “osamostali”. Evropa se dugo u tehnološkom smislu oslanjala na svog saveznika s druge strane Atlantika i vodila idejom: “Amerika inovira, Kina kopira, a Evropa reguliše”, rekao je Vukelić.

On objašnjava da se po stepenu suverenosti ispod Kine i SAD nalazi Rusija, koja zaostaje u hardveru, ali ima svoj Big Tech i snažnu kontrolu komunikacija. Dodaje da je ispod Rusije EU, koja nema hardver, nema ni softver, ali ima nekakvu normativnu moć regulacije digitalnog prostora, što se vidi “u kažnjavanju američkih tehnoloških giganata”.

“Srbija je još jedan nivo ispod, jer ne samo da nema autohtoni hardver i softver, niti je realno očekivati da se to desi u bliskoj budućnosti, nego nema ni nezavisnu normativnu moć, budući da je u obavezi da prati EU zakonodavstvo”, rekao je sagovornik N1 sa Fakulteta političkih nauka.

Kada je Evropa shvatila opasnosti tehnološke zavisnosti od SAD, počela je polako da se udaljava od američkih IT kompanija. Tako je Francuska odlučila da državni službenici umesto Zuma i Timsa koriste domaći proizvod za video konferencije, austrijska vojska je prestala da koristi Microsoft Office zbog izveštaja da Microsoft premešta skladištenje datoteka u cloud, čime su ti podaci postali ranjivi. A sličnih primera je u poslednje vreme sve više.

Vukelić ocenjuje da je ovaj strah opravdan, budući da je administracija Donalda Trampa i društvene mreže pretvorila u neku vrstu oruđa za kontrolu evropskih političkih sistema.

“Ilon Mask se, recimo, direktno mešao u izbore u Nemačkoj i Velikoj Britaniji. Džej Di Vens je direktno zapretio EU ukoliko nastavi da sankcioniše i kažnjava velike američke tehnološke kompanije zbog nefer praksi, u smislu monopola, podsticanja polarizacije, zloupotrebe podataka, itd. Za očekivati je da SAD tretiraju čitav digitalni prostor kao svoje oruđe, što su uistinu uvek i radile, samo ne tako otvoreno. EU je trenutno u situaciji očaja gde postoji mnogo neuspešnih pokušaja da razviju sopstveni IT ekosistem, i prinuđenosti da koriste američke sisteme”, istakao je naš sagovornik.

Šta mogu da urade male zemlje?

Mastilović upozorava da je važno da se digitalni suverenitet ne pomeša sa samodovoljnošću ili, još gore, samoizolacijom.

“Niko ne može biti tehnološki samodovoljan, pa čak ni velike države predvodnice EU: ni Nemačka, ni Francuska. Taj luksuz možda, ali samo možda, sebi mogu da priušte SAD i Kina. Ipak, cilj nije autarkija, nego strateška autonomija: sposobnost zamene ključnih komponenti, diversifikacija zavisnosti i izgradnja domaćih kapaciteta u onim slojevima koji nose najviši bezbednosni rizik. Sarađivaćemo sa svima ali nikome nećemo dozvoliti da od njih esencijalno zavisimo”, rekao je Mastilović.

Dodaje da je to krupna ambicija za jednu relativno malu zemlju kao što je Srbija, uz napmenu – “ako ga ne izgovorimo onda se zasigurno nećemo ni probližavati tome - ako ništa bar znamo gde želimo biti”.

Direktor Kancelarije za IT i eUpravu Mihailo Jovanović je najavio da će u narednom periodu fokus biti na razvoju i dizajnu čipova za stratešku oblast, ključnu za tehnološku nezavisnost.

Mastilović kaže da rad na tehnološkoj nezavisnosti zahteva realan plan i da ciljeve treba postaviti kao kratkoročne, srednjeročne i dugoročne. Objašnjava da se u prvom periodu treba baviti inventarom zavisnosti po kritičnosti, kalsifikacijom podataka po osetljivosti i usvajanjem politike suverenog oblaka za državne podatke. U narednom periodu, za tri do sedam godina, potrebno je raditi na razvoju domaćih kompetencija u oblasti veštačke inteligencije, sajber bezbednosti I cloud upravljanju, ali i ostvariti strateška partnerstva sa EU u toj oblasti. A dugoročno, u narednih sedam do 15 godina, neophodno je stvoriti regionalne tehnološke ekosistemee sa sopstvenom inovacionom bazom.

“Bez politčke volje i budžetske posvećenosti, ovi rokovi su samo akademska vežba”, ističe naš sagovornik.

Budućnost donosi i koncept koji je danas nepoznat, a to su digitalna savezništva radi postizanja što većeg sopstvenog digitalnog suvereniteta.

S kim i kako bi Srbija mogla da ostvari ovakva savezništva, s obzirom na veoma složene istorijske i političke odnose sa zemljama u regionu?

Mastilović priznaje da je ovo kompleksno pitanje, a da se odgovor mora uskladiti sa političkim, odnosno geopolitičkim opredeljenjem zemlje.

“Forma koja nama treba i koja praktično funkcioniše nije politički savez, već tehničke radne grupe, zajednički standardi, i zajednička pregovaračka pozicija prema velikim tehnološkim akterima. Model je sličan tome šta su nordijske zemlje uradile decenijama unazad u energetici. Internet nema granice, napadi na jedni zemlju teško mogu da ne pogode i njene komšije - šta god oni u sferi svakodnevne politike mislili jedni o drugima”, rekao je Mastilović.

Ističe da se politici može svideti ili ne kako internet funkcioniše, ali da stvari stoje tako da u slučaju nekog sajbet napada lansiranog iz Azije na Srbiju - taj saobraćaj mora proći kroz Rumuniju ili Mađarsku ili Hrvatsku i sistemi telekom operatora u tim zemljama će trpiti deo posledica tog napada.

“Zbog toga je u ovoj ravni saradnja neophodna obostrano i bez izbora da se izbegne čak i kada neka druga pitanja svakodnevne politike nisu na zadovoljavajućem nivou. Prosto, Srbija mora u prvom redu da ima saradnju sa državama sa kojima neposredno graniči a sa kojima ima direktne veze optičkim kičmenim vezama za prenos podataka”, naveo je.

On predlaže da se u Ministarstvu inostranih poslova inovativno uvede poseban sektor za sajber - digitalnu diplomatiju i da se tu sagleda istovremeno i tehnološki i ekononski interes i napravi presek sa političkim pozicijama i strategijom inostranih poslova.

Između SAD i Kine

U odabiru tehnoloških kompanija sa kojima će sarađivati Srbija se oslonila na partnere iz SAD, ali je tu u i kuneski Huawei.

Sagovornici N1 objašnjavaju da diverzifikacija izbora, kao i u drugim oblastima, može biti i sigurnost i višetruka opasnost.

“Ako bi postojao visok stepen diverzifikacije, to bi davalo prednost populaciji i državi da budu prilagodljiviji u trenucima krize, nedostatka neke tehnologije ili nečeg trećeg. To istovremeno nosi i veći rizik i opterećenje u vidu dvostrukog ili trostrukog poznavanja i primene protokola i standarda. Konačno, na slučaju neuspešnog uvođenja 5G mreže u Srbiju 2020. godine smo videli da u današnjem svetu diverzifikacija može da bude i nedozvoljena”, kazao je Vukelić.

On podseća i na Vašingtonski sporazum koji je predsednik Srbije 2020. godine potpisao, a kojim se Srbija odriče uvođenja „neproverene“ tehnologije u naše sisteme.

“Naravno, ovde se pre svega mislilo na to da kineski Huawei ne može u Srbiji da dobije tender za uvoženje 5G mreže”, navodi Vukelić.

Mastilović diverzifikaciju izvora od kojih uzimamo tehnologiju vidi kao “najdelikatnije pitanje” i ističe da odgovor nije binaran.

Iako diverzifikacija smanjuje zavisnost od jednog aktera, što navodi kao stratešku vrednost, Mastilović upozorava i da "diversifikacija između dve supersile koje su u tehnološkom ratu" nije ista stvar kao strateška autonomija.

“To je potencijalno dvostruka izloženost i više je od tehnolškog pitanja. Pre svega to je i političko pitanje i pitanje nacionalne bezbednosti”, napominje.

Stručni saradnik sa FPN Miloš Vukelić kaže da se između SAD i Kine vodi modernizacijska borba i da je za očekivati sve veći pritisak da budemo u jednom ili drugom kampu.

“Makar će biti tako sve dok Evropa ne uspe da spozna koji je njen samostalni put, bio on u proizvodnji sopstvenih digitalnih komponenti, ili diverzifikaciji digitalnih izvora, u šta čisto sumnjam”, zaključio je Vukelić.

Mastilović smatra da bi Srbija trebalo da razvije jasnu matricu: koje komponente mogu biti strane i od koga, a koje moraju biti pod punom kontrolom — bez izuzetaka.

Kako kaže, EU tu logiku već primenjuje kroz 5G Toolbox i kritičnu infrastrukturnu regulativu.

"I tu se treba ugledati na EU pristup i sprovesti ga bez odlaganja”, istakao je Mastilović.