Srpska obaveštajna služba počela nabavku kontroverznog softvera za nadzor još pre 10 godina

Autorke: Natalija Jovanović i Mirjana Jevtović, Izvor: Radio Slobodna Evropa

U pitanju je ponuda za obnovu licenci za forenzički alat izraelske kompanije “Cellebrite” koji se koristi za otključavanje i skidanje sadržaja sa pametnih telefona.

Ovaj dokument, u koji je Radio Slobodna Evropa (RSE) imao uvid, datira iz septembra 2015. godine.

Samo je jedan u nizu procurelih dokumenata iz nabavke srpske službe bezbednosti koje je RSE pronašao na takozvanom dark netu, delu interneta kome se pristupa uz pomoć posebnih pretraživača, a koji se često koristi za anonimnu komunikaciju i razmenu.

Iako dosadašnji podaci govore da BIA koristi alate za nadzor mobilnih komunikacija u poslednjih nekoliko godina, istraživanje RSE pokazalo je da srpska služba bezbednosti po svemu sudeći ima sveobuhvatnu forenzičku opremu za gotovo sve tipove uređaja.

I to bar deceniju unazad.

Novinari RSE sproveli su i unakrsnu proveru dokumenata kroz javno dostupne baze podataka – pretragom firmi, pojedinaca, kao i određenih detalja koji su vidljivi na samim dokumentima, poput potpisa i pečata.

Šta je sporno?

Analiza dokumenata koji su objavljeni na “dark netu” pokazuje da je BIA u najmanje dva navrata, tokom 2015. i 2019. godine, tajno pozivala kompanije da joj dostave ponude za obnovu licenci (dozvola) za različite forenzičke alate.

Među njima je i moćan uređaj za ekstrakciju podataka sa mobilnih telefona “UFED” (Universal Forensic Extraction Device), kompanije “Cellebrite”.

Izveštaj međunarodne nevladine organizacije Amnesty International iz decembra 2024. pokazuje da je te godine u Srbiji ovaj uređaj korišćen za nasilno otključavanje telefona u najmanje sedam slučajeva.

Izveštaj sadrži detaljne forenzičke dokaze o praksi nezakonitog korišćenja uređaja tokom informativnih razgovora u srpskoj policiji i BIA.

Navodi se da su, uz korišćenje softvera kompanije “Cellebrite”, otključavani telefoni novinara i aktivista, nakon čega je preuziman njihov kompletan sadržaj.

Na pojedinim telefonima je, prema izveštaju, instaliran i do tada neidentifikovan špijunski softver “NoviSpy” preko kojeg su praćene dalje aktivnosti na mobilnom – fotografije, poruke i internet pretrage.

Iako proizvode “Cellebrite” koriste policijske službe širom sveta, izraelska kompanija je dva meseca nakon otkrića Amnesty Internationala saopštila da je povukla određene licence u Srbiji, ne navodeći na koje se institucije odnose.

Komentar BIA na izveštaj o zloupotrebama alata kompanije “Cellebrite” tada je bio kratak – “trivijalni senzacionalizam”.

BIA, međutim, sada nije odgovorila na upite RSE o tome kako i zašto su “sporan” softver nabavljali i pre deset godina.

Ni kompanija “Cellebrite” nije odgovorila na niz pitanja RSE – od kada BIA koristi njihove licence, na koji način ih nabavlja, ali i kako sama kompanija proverava klijente sa kojima sarađuje zbog potencijalnih zloupotreba.

Dopisom od 24. jula su međutim za RSE naglasili da njihova tehnologija pomaže u otprilike 1,5 miliona slučajeva godišnje, uključujući neke od najznačajnijih istraga našeg vremena – od zaštite dece od trgovine ljudima, preko zlostavljanja, do hapšenja ubica, podmetača požara, terorista i drugih koji žele da nanesu štetu.

Šta pokazuju procureli dokumenti?

Dokumenti koji sadrže ponude za nabavku više različitih forenzičkih softvera je na poziv BIA-e slala državna IT kompanija “Informatika AD” iz Beograda.

Dokumenti su na “dark net” procureli nakon hakerskog napada na ovu kompaniju krajem juna 2025. godine.

“Informatika AD” u odgovorima za RSE od 24. jula dovodi u pitanje njihovu autentičnost, ali potvrđuje da je bila meta hakerskog napada.

“Informatika AD je bila meta kriminalne grupe koja je pokušala da uceni kompaniju tražeći otkup podataka. To je prijavljeno Tužilaštvu za organizovani kriminal”, navodi se u odgovoru.

Na niz pitanja o ponudama za softverske licence za potrebe BIA, kao i načinu provere klijenata sa kojima sarađuju, iz ove kompanije navode da je njihovo poslovanje “zaštićeno brojnim odredbama o poverljivosti koji uključuju interna, pravila klijenata, ali i opšte propise o službenim tajnama i poverljivosti podataka”.

Tvrde i da “nikada nisu imali nikakvu poslovnu aktivnost sa izraelskom kompanijom ‘Cellebrite'”.

“Informatika AD”, međutim, nije razjasnila zbog čega je, ukoliko nema poslovnu saradnju, tokom 2015. službi bezbednosti dala ponudu za licencu softverskog alata “UFED” kompanije “Cellebrite”.

Šta je sve nabavljala BIA?

Prvu ponudu, koja se između ostalih forenzičkih alata odnosi i na obnovu licenci za uređaj “UFED” Cellebrite, “Informatika AD” je sastavila 22. septembra 2015. godine, pokazuju procurela dokumenta.

Ukupna vrednost posla bila je oko 6,6 miliona dinara (oko 55 hiljada evra) i obuhvata licence za nekoliko forenzičkih alata, kao i licence za različita softverska rešenja za potrebe BIA.

Na spisku su dve licence za alat “UFED” Cellebrite.

Osim alata izraelske kompanije, BIA nabavlja i licence švedskog proizvođača “Micro systemation” za alat “XRY/XACT”, pokazuje jedan od dokumenata.

Ovaj alat se koristi za izvlačenje podataka sa mobilnih uređaja poput poruka, kontakata, aplikacija, ali i kopije celokupne memorije uređaja, uključujući i izbrisane, skrivene ili zaštićene podatke (memory dump).

Alat ima slične karakteristike kao i izraelski “Cellebrite”.

U procurelim dokumentima, novinari RSE nisu pronašli potpisan ugovor između BIA i “Informatika AD”, koji potvrđuje da je upravo ovoj firmi dodeljena nabavka.

BIA nabavku softverskih licenci vrši u postupku pogađanja i pregovora sa pojedinim Privrednim društvima među kojima je “Informatika AD” samo jedan od više ponuđača, pokazuju procurela dokumenta.

Ni BIA, ni “Informatika AD” nisu odgovorili na pitanja o tome ko je angažovan u ovom postupku.

Šest licenci nabavljano 2019. godine

Iz ponude firme “Informatika AD”, uočljivo je da je BIA produžavala licencu za alat “Cellebrite” i tokom kasnijih godina.

“Otvaranje ponude i pogađanje obaviće se 15. jula 2019. godine u 12 sati na adresi naručioca Kraljice Ane bb”, navodi se pozivom za podnošenje ponuda koji je BIA dostavila “Informatici AD” početkom jula 2019. godine.

Nabavka koja se odnosi na niz forenzičkih alata za ekstrakciju podataka sa telefona, podeljena je u dve partije.

Prva se odnosi na niz forenzičkih licenci, dok druga partija nabavke obuhvata šest licenci za “UFED” uređaje kompanije “Cellebrite”.

Produžavanje godišnjih licenci obuhvata i pomenuti forenzički alat “XRY/XACT” švedskog proizvođača, ali i FT softver (forencis toolkit) kompanije “AccessData”, zatim alate “Forensic Explorer”, “Magnet Axiom”, “X-ways Forencis”, koji se koriste za obradu računara i hard-diskova.

Ni za ovu nabavku novinari RSE nisu pronašli potpisan ugovor, a u postupku je učestvovalo još pet firmi iz Srbije.

Šta mogu alati koje nabavlja BIA?

“Svi ovi alati pokrivaju praktično sve digitalne forenzičke radnje, i to za rad sa mobilnim telefonima i tabletima, desktop i laptop računarima, kao i svim uređajima za skladištenje podataka kao što su hard diskovi i fleš memorije”, objašnjava Filip Milošević iz organizacije “Share Foundation”, koja prati uticaje novih tehnologija i stanje digitalnih prava.

Milošević navodi da pojedini alati, poput “Forensic Explorer”, mogu da povrate ranije obrisane podatke, i da u njima pronađu istoriju pregledanja i pretrage interneta i email prepiske.

On kaže da alati kao što su “Magnet Axiom” i “AccessData Tools” efikasno obrađuju velike količine podataka iz različitih izvora.

“Mogu da ih sortiraju po vremenskim linijama, rade korelaciju podataka sa telefona i na primer Google naloga, rekonstruišu aktivnosti osumnjičenih, i sve to vizualizuju na različite načine”, dodaje Milošević.

‘Strogo poverljiva’ nabavka

Nabavka je u dokumentima označena kao strogo poverljiva.

Zakon o BIA daje službi ovlašćenja da samostalno odlučuje o načinu sprovođenja nabavki koje su od značaja za operativni rad i bezbednost, uključujući i mogućnost da ih klasifikuje kao poverljive.

Srpska javnost zbog toga već godinama nema informacije o tome šta i na koji način BIA nabavlja.

“Upoznati smo da se nabavka ne vrši na način i u postupku predviđenom Zakonom o javnim nabavkama, već po podzakonskim aktima Vlade Republike Srbije i Bezbednosno-informativne agencije”, navodi se tekstom ponude “Informatike AD” od 22. septembra 2015. godine, koju potpisuje predstavnik firme.

Isti zaposleni, čije je ime poznato redakciji, potpisuje poseban obrazac da “drugim licima u lancu nabavke usluga neće imenovati krajnjeg korisnika”, odnosno BIA, kao i da će prethodno pribaviti saglasnost BIA za sve informacije koje budu tražene o krajnjem korisniku.

‘Opasan globalni trend’

“Istraživanje RSE još jednom potvrđuje da se moćni alati za nadzor nabavljaju i koriste u potpunoj tajnosti, bez uvida javnosti i odgovornosti, a to je globalni trend koji ne samo da je neprihvatljiv, već je i opasan i štetan”, kaže Aljoša Ajanović Andelić iz organizacije EDRi (European Digital Rights).

EDRi je mreža organizacija iz Evrope koje se bave zaštitom digitalnih prava građana, kao što su pravo na privatnost, sloboda izražavanja i pristup informacijama, a Ajanović Andelić navodi da nova saznanja situaciju čine još više uznemirujućom.

“Cellebrite je deo ekosistema špijunskog softvera i kao takav mora biti tretiran. Kada se koristi protiv aktivista, novinara, političkih protivnika ili migranata, postaje oruđe političke represije.”

Ajanović Andelić podvlači da njegova primena tada nije samo problematična – ona predstavlja jasno kršenje osnovnih ljudskih prava i treba da bude zabranjena.

Tekst prenet sa portala Radija Slobodna Evropa.