Odsjek za borbu protiv kompjuterskog kriminala Federalne uprave policije (FUP) još u augustu 2020. identifikovao je osobu koja se sumnjiči da je počinila krivično djelo oštećenje računarskih podataka i programa, i to da je 5. i 6. juna te godine izvršio hakerski napad na informacioni sistem Općine Centar Sarajevo i UTIC Sarajevo.
U akciji FUP-a, obavljenoj pod nadzorom Tužilaštva Kantona Sarajevo i u saradnji sa Europolom (Agencija Evropske unije za borbu protiv kriminala), utvrđeno je da je državljanin Irana inicijala R.N.G (1993.), iskoristio ranjivost informacionog sistema Općine Centar i neovlašteno instalirao maliciozni računarski program pod nazivom Sorena.
Prikrivao stvarnu lokaciju
Koristeći se znanjem iz oblasti informacionih tehnologija, on je to radio sa lokacija servera u Francuskoj, Njemačkoj, Nizizemskoj i Finskoj, čime je prikrivao stvarne lokacije sa koje se vršio internet napad (Chalus-Iran).
"Osumnjičeni je navedeni program Sorena koristio za tzv. kriptovanje podataka na informacionom sistemu, te pojavu tzv. ransom poruke, koja je za sadržaj imala obilježja iznude, odnosno zahtjev za plaćanje otkupnine za vršenje dekripcije na naprijed opisan način kriptovanih podataka", objavili su iz FUP-a.
Naveli su i da je dan kasnije osumnjičeni izvršio istovjetan napad i na informacioni sistem UTIC-a (Univerzitetski teleinformatički centar Sarajevo) te koristeći maliciozni program pod nazivom “Mamba” onemogućio funkcionisanje informacionog sistema UTIC-a.
"Na opisani način je počinjena neutvrđena materijalna šteta, koja se ogleda u vremenu potrebnom za vraćanje informacionog sistema u prethodno ispravno stanje, kao i zastoju u radu Općine prilikom izdavanja uvjerenja građanima”, dodali su tada iz FUP-a.
Neće sprovoditi istragu
Međutim, nakon gotovo tri i po godine, Tužilaštvo KS je donijelo naredbu da se neće provoditi istraga protiv Reze Nakhaeija Ghasema (puno ime Iranca), "zbog krivičnih djela oštećenje računalnih podataka i programa i neovlašten pristup zaštićenom sistemu i mreži elektronske obrade podataka jer iz prijave I pratećih spisa očigledno da prijavljeno djelo nije krivično djelo"?
U obrazloženju se, između ostalog, navodi da je, analizirajući spis te nakon pribavljanja informacije da je navedeni registar kompromitovan i da je kompromitovana virtualna mašina povezana sa centralnim registrom građana Federacije BiH, smještena u prostorijama Federalnog ministarstva unutrašnjih poslova (MUP FBiH), pristupljeno obezbjeđenju podataka.
O događaju je i obaviješten ovlašteni službenik FMUP-a koji je pristupio provjerama sistema smještenog u FMUP-u, odnosno isključenju i pregledu te, prema njegovim navodima, nisu konstatovane anomalije u sistemu, odnosno kriptovanje podataka u posjedu FMUP-a, dodali su iz kantonalnog tužilaštva.
U opširnom obrazloženju se dalje navodi da za se krivično djelo oštećenje računarskih podataka i programa iz Krivičnog zakona FBiH osnov inkriminacije nalazi u Konvenciji o cyber kriminalu, tačnije u njenom članu 4. (ometanje podataka).
Konvencija o cyber kriminalu
Ovim su se članice obavezale na usvajanje takvih legislativnih i ostalih neophodnih mjera da bi se bespravno oštećenje, brisanje, kvarenje, mijenjanje ili prikrivanje kompjuterskih podataka okvalifikovalo u njihovom nacionalnom pravu kao krivično djelo, ukoliko se učini s namjerom.
"Međutim, za postojanje djela neophodno je da se radi o napravama, sredstvima, računarskim programima ili podacima koji su stvoreni ili prilagođeni upravo za učinjenje navedenih krivičnih djela.
U stavu 2. člana 6. Konvencije o cyber kriminalu izričito se navodi da se ne smije tumačiti da ovaj član uspostavlja krivičnu odgovornost u slučaju kada proizvodnja, prodaja, nabavljanje radi upotrebe, uvoz, distribucija i drugi vidovi stavljanja na raspolaganje ili posjedovanje ne služe u svrhu učinjenja djela navedenih u članovima 2. - 5 Konvencije, na primjer kada služe za ovlašteno testiranje ili zaštitu kompjuterskih sistema.
Djelo se može učiniti samo s umišljajem
Djelo se može učiniti samo s umišljajem koji mora obuhvatiti svijest o neovlaštenom postupanju kao i o tome da se radi o napravama, sredstvima, računalnim programima ili o podacima koji su stvoreni ili prilagođeni upravo radi počinjenja krivičnog djela iz stava 1. do 3. ovog člana", navodi Tužilaštvo.
Što se tiče neovlaštenog pristupa zaštićenom sistemu i mreži elektronske obrade, u KZ FBiH ovim se krivičnim djelom štiti sigurnost sistema i mreže elektronske obrade podataka.
U dopisu Tužilaštva KD slijedi opširan opis radnji koje obuhtava ovo krivično djelo, ali i navodi da "za razliku od odredbe člana 5. Konvencije, naš zakonodavac ne navodi ni primjera radi načine na koje se može onemogućiti ili otežati rad ili korišćenje računalnog sustava, računalnih podataka ili programa ili računalna komunikacija".