Nakon što su mediji u Hrvatskoj objavili kompromitirajuću komunikaciju preko WhatsAppa (WA) koju su međusobno vodili visokopozicionirani dužnosnici hrvatske policije, koji se putem poruka dogovaraju o ilegalnom tretmanu uhvaćenih migranata, o svemu se očitovao i ministar policije Davor Božinović.
On je u poznatom stilu izvrdavao odgovore na novinarska pitanja te tvrdio da WhatsApp poruke koje su objavili mediji uopće nisu problematične.
Znakovito je da je u tom izmotavanju Božinović rekao i da je neproblematično što policija koristi WhatsApp kao način interne komunikacije, tj., kako je rekao, za razmjenu operativnih informacija.
Novinari su ga pitali postoji li još policijskih WhatsApp grupa.
"To su zatvorene grupe osoba koje su ovlaštene. Whatsapp ima enkripciju. Može se dogodit pokušaj ubistva, to ćete vi, na najbrži način, porukom obavijestiti kolegu? Ili ćete čekati da sjednete za kompjuter i onda obavijestite? Ovo je operativna komunikacija, ako je", rekao je Božinović.
Ostalo je nejasno zašto bi policija uopće koristila WhatsApp u međusobnoj komunikaciji kada ima svoj interni komunikacijski sistem, piše Index.
Telegram je objavio da je Ministarstvo unutrašnjih poslova iz Schengen Facility fonda do 2023. dobilo 8.5 miliona eura za modernizaciju i proširenje pokrivenosti signalom sistema Tetra, a iz MUP-a su, u odgovoru medijima koji su istraživali sporne WA poruke, 30. marta objasnili kako "WhatsApp, Viber i slične aplikacije nisu službeni način razmjene podataka u Ministarstvu unutrsšnjih poslova Republike Hrvatske".
Ne zna se, dakle, zašto MUP RH umjesto vlastitog sistema bira Whatsapp, ali danas se moglo vidjeti da MUP kao ključno opravdanje za korištenje WhatsAppa koristi tezu da ta aplikacija "ima enkripciju", valjda kako bi javnost uvjerili da je policijska komunikacija ondje sigurna. Riječ "kriptirana" se u današnjem opširnom reagiranju MUP-a nakon objave priče o porukama spominje tri puta te još jednom u naslovu saopćenja.
Ono što su iz MUP-a zaboravili napomenuti jest to da oni nemaju nikakvu kontrolu nad aplikacijom WhatsApp, niti enkripcijom koju spominju. WhatsApp je aplikacija koja je u vlasništvu kompanije Meta, a podaci se pohranjuju na serverima u stranim zemljama. U konačnici, ta kriptirana komunikacija za koju policija kaže da se odvijala samo između ovlaštenih osoba na kraju je iscurila u javnosti preko screenshotova.
Upravo te činjenice informatički stručnjaci s kojima je Index razgovarao ističu kao potencijalni sigurnosni problem.
"Samo MUP može odgovoriti na pitanje da li je korištenje WA dozvoljeno u okviru obavljanja službenih aktivnosti, kao i na pitanje da li WA predstavlja službeni ili neslužbeni kanal komunikacije", kaže Lucijan Carić.
MUP tvrdi da to nije dozvoljeno, ministar Božinović danas tvrdi da jest.
"Korištenje WA, neke druge aplikacije ili komunikacijskog kanala, samo po sebi ne mora biti problematično jer se može desiti da se jednostavno, slijedom okolnosti, mora u određenim situacijama koristiti ono što je dostupno ili uobičajeno. Međutim, korištenje WA ili drugih aplikacija sigurno može otvoriti pitanja sigurnosti, privatnosti i poštivanja propisa s tog područja, poput GDPR-a, a ne samo onih koji se tiču obavljanja službe", smatra Carić.
Je li to potencijalni sigurnosni problem za policiju?
"WA se smatra relativno sigurnom aplikacijom koja osigurava enkriptiranu komunikaciju između primatelja i pošiljatelja (tzv. end-to-end encryption). Vlasnik aplikacije tvrdi da treće strane, pa ni on sam, ne mogu čitati tu komunikaciju niti je pohranjuje kod sebe", objašnjava.
WhatsApp sprema nove opcije, evo šta će biti poboljšano
"Korišteni enkripcijski algoritmi su sigurni, ali nisu javno objavljeni kao niti interni način funkcioniranja aplikacije. Aplikacija je u vlasništvu tvrtke Meta koja baš i nije poznata po etičnosti i sklona je prekomjernom prikupljanju podataka korisnika. Također arhive s porukama, koje se nalaze na uređajima korisnika, standardno nisu kriptozaštićene, već korisnik sam mora uključiti tu opciju", dodaje.
Carić podsjeća da američke tvrtke moraju surađivati s američkim sigurnosnim službama te se ne može isključiti postojanje tajnih mehanizama koji mogu kompromitirati ovaj, nazivno visok, nivo zaštite.
"Ali isto je pitanje u kojoj su mjeri američke tajne i druge službe zainteresirane za postupanje MUP-a prema migrantima, kao i u kojoj se mjeri MUP može zaštititi od takvog nadzora, čak i ako koristi svoje službene aplikacije", kaže.
Informatički stručnjak Marko Rakar je kratak i jasan: "Korištenje metoda komunikacije koji nisu službeni su uvijek i bez iznimke sigurnosni problem, neovisno o tome koliko je sama aplikacija sigurna."
Rakar ironično dodaje da je "filozofsko pitanje" je li WhatsApp siguran ili ne. "S obzirom na to da su poruke osvanule u javnosti, mogli bi se složiti da očito nije siguran", dodaje. "Kanali komunikacije sigurni su koliko i najslabija karika, a to u konkretnom slučaju znači da je cijela komunikacija sigurna koliko je bio i najnezaštićeniji telefon", zaključuje Marko Rakar.
U međuvremenu se velikim priopćenjem o svemu oglasio i MUP. Optužili su novinare da krše GDPR policajaca čija su imena objavili.
"Važeće sigurnosno operativne procedure za korisnike IS MUP-a ne zabranjuju korištenje aplikacija za razmjenu poruka tipa WhatsApp na mobilnim uređajima, a iste procedure propisuju mogućnost korištenja privatnih mobilnih uređaja od strane policijskih službenika u službene svrhe te dijeljenje audio/video i ostalih materijala putem mobilnih uređaja, posebice sadržaja koji nisu označeni stupnjem tajnosti, a što je ovdje slučaj", navodi MUP.
