Na dark webu je početkom juna 2026. godine objavljena baza koja sadrži više od 50.000 ličnih podataka građana Bosne i Hercegovine, a koja je predstavljena kao evidencija jedne od institucija iz entiteta Republika Srpska – Agencije za agrarna plaćanja. Ovaj slučaj izazvao je ozbiljnu zabrinutost javnosti i otvorio pitanje sigurnosti državnih informacionih sistema.
Desetak dana nakon objave, nadležne institucije još uvijek ne mogu sa sigurnošću potvrditi da su podaci zaista procurili iz njihovih sistema. Prve tehničke analize ukazuju da bi se moglo raditi o kombinaciji podataka prikupljenih iz različitih izvora, a ne isključivo o jednoj kompromitovanoj bazi.
Nejasno porijeklo i sumnje u autentičnost podataka
Prema dostupnim informacijama, objavljena baza sadrži različite kategorije ličnih podataka, uključujući imena, adrese i identifikacione brojeve građana. Međutim, struktura i sadržaj baze ne odgovaraju u potpunosti zvaničnim registrima institucija, što dodatno otežava utvrđivanje njenog porijekla.
Institucije u Republici Srpskoj navode da, nakon provjera, nisu pronašle evidenciju koja bi u potpunosti odgovarala objavljenom setu podataka. Također se ističe da broj zapisa u objavljenoj bazi ne odgovara broju korisnika u zvaničnim sistemima, što dodatno otvara sumnju da podaci nisu direktno iz jednog izvora.
U javnosti se pojavio i navod da je cijela baza prvobitno podijeljena na hakerskim forumima putem jednog screenshot-a, koji je potom masovno distribuiran, bez jasnih dokaza o originalnom izvoru.
Hakerska grupa i regionalni incidenti
Objavu podataka preuzela je hakerska grupa koja se u javnim i sigurnosnim krugovima povezuje s nizom incidenata u regionu. Ista grupa se u prethodnom periodu dovodila u vezu s napadima u Hrvatskoj i Srbiji, uključujući kompromitacije državnih i javnih sistema.
Među ranijim slučajevima spominju se napadi na institucije u Hrvatskoj, gdje su kompromitovane web stranice ministarstava i javnih servisa, kao i incidenti u kojima su na javnim ekranima u Srbiji prikazivane političke i poruke propagandnog sadržaja.
Također su zabilježeni i navodi o curenju podataka iz sportskih i drugih organizacija u regionu, uključujući baze korisnika i članova različitih sistema, iako obim i autentičnost tih podataka u mnogim slučajevima nisu zvanično potvrđeni.
Reakcije institucija i sigurnosne provjere
Nadležne institucije u Republici Srpskoj pokrenule su provjere kako bi utvrdile da li je došlo do neovlaštenog pristupa sistemima Agencije za agrarna plaćanja. Prema dosadašnjim informacijama, nije potvrđeno da je došlo do klasičnog hakerskog upada u sistem, ali se incident i dalje tretira kao sigurnosni rizik.
Službe za cyber sigurnost navode da je prerano donositi konačne zaključke, te da se trenutno analiziraju svi dostupni tehnički tragovi kako bi se utvrdilo da li je riječ o internom curenju, eksternom napadu ili kombinaciji više izvora podataka.
U međuvremenu, građanima se skreće pažnja da i osnovni lični podaci mogu predstavljati ozbiljan sigurnosni rizik, posebno u kontekstu mogućih zloupotreba identiteta i različitih vrsta online prevara.
Zabrinutost među korisnicima i poljoprivrednicima
Posebnu zabrinutost izrazili su korisnici podsticaja i poljoprivrednici, koji strahuju da bi objavljeni podaci mogli biti zloupotrijebljeni za finansijske prevare ili lažno predstavljanje. U pojedinim sredinama pojavile su se i informacije da su korisnici počeli povlačiti ili premještati sredstva zbog straha od potencijalnih zloupotreba.
Istovremeno, iz institucija koje upravljaju sistemom podsticaja tvrdi se da objavljena baza ne odgovara njihovim zvaničnim evidencijama, niti se može generisati u prikazanom obliku iz njihovih informacionih sistema.
Digitalizacija i sigurnosni izazovi
Stručnjaci za cyber sigurnost upozoravaju da je ovakav incident dio šireg trenda u kojem se informacioni sistemi u Bosni i Hercegovini, ali i regionu, suočavaju s rastućim sigurnosnim izazovima. Iako se slični napadi dešavaju i u razvijenijim državama, naglašava se da je ključni problem nedovoljna zaštita sistema i neujednačeni sigurnosni standardi.
Posebno se ističe da potpuna sigurnost ne postoji, ali da se rizici mogu značajno smanjiti kroz bolju kontrolu pristupa, modernizaciju infrastrukture i jačanje procedura zaštite podataka.
Širi kontekst hakerskih napada u BiH
Ovaj slučaj nije izolovan. U prethodnim godinama zabilježeni su brojni cyber napadi na institucije u Bosni i Hercegovini, uključujući napade na parlamentarne institucije, poreske uprave, zdravstvene sisteme i javna preduzeća.
U nekim slučajevima došlo je do potpunih blokada sistema, dok su u drugim na internetu objavljivani fragmenti podataka ili pristupne informacije. Posebno ozbiljan incident zabilježen je i u obrazovnom sektoru, gdje je jedan univerzitet bio meta hakerskog napada uz pokušaj ucjene otkupom podataka.
Incident s objavom baze od više od 50.000 ličnih podataka dodatno je otvorio pitanje digitalne sigurnosti u Bosni i Hercegovini. Iako još uvijek nije u potpunosti potvrđeno porijeklo podataka, slučaj pokazuje ranjivost sistema i potencijalne posljedice koje curenje informacija može imati po građane.
Dok se istraga nastavlja, ostaje nepoznato da li je riječ o direktnom hakerskom napadu, kombinaciji više izvora ili pogrešno interpretiranim podacima objavljenim na dark webu.
