Kada nestane struje, to retko kada znači samo neprijatnost. Za jednu zemlju, to može značiti paralizovane bolnice, onemogućene vodovodne sisteme i čitave zajednice u mraku. Širom sveta, energetski sistemi postali su prva linija odbrane u sajber sukobima, meta ne samo kriminalnih grupa već i aktera koje podržavaju države, a koji nastoje da iskoriste njihove slabosti.

Do danas nije bilo javno prijavljenih sajber napada koji su direktno ciljali kritičnu infrastrukturu Kosova. Ipak, pretnja nije ni apstraktna ni daleka. U novembru 2024. snažna eksplozija dogodila se u vodenom kanalu u Zubinom Potoku, prekinuvši dotok vode ka dve termoelektrane na ugalj koje zajedno proizvode više od 90% električne energije u zemlji. Iako je napad bio fizički, njegovi efekti su pokazali koliko lako jedan udar može ugroziti energetsku bezbednost države. Taj događaj takođe je podstakao strahove od mogućeg koordinisanog sajber napada — tihog, nevidljivog i potencijalno mnogo razornijeg.

Kako Kosovo modernizuje svoj energetski sistem, uvodi takozvane “pametne mreže” — elektroenergetske sisteme koji koriste digitalne tehnologije, senzore i podatke u realnom vremenu da bi unapredili pouzdanost, efikasnost i fleksibilnost snabdevanja. Međutim, te digitalne nadogradnje stvaraju i nove ulazne tačke za sajber napade. Dok pametniji sistemi pomažu u rešavanju dugogodišnjih problema poput nestanaka struje, neefikasnosti i ograničene kontrole, oni istovremeno povećavaju sajber rizike, zbog čega su neophodne snažne mere zaštite.

Veći deo kosovske elektroenergetske mreže izgrađen je pre više decenija, a obnavljanje ove zastarele infrastrukture bez adekvatnih mera sajber bezbednosti moglo bi ostaviti ključne sisteme izloženima ozbiljnim pretnjama. Prelazak sa analognih na pametne mreže znatno širi prostor za sajber rizike, a Kosovo ostaje posebno ranjivo jer i dalje nema sveobuhvatnu i posvećenu strategiju za zaštitu sajber bezbednosti i otpornosti svoje osnovne energetske infrastrukture. Zbog toga je hitno potrebno ojačati kapacitete energetskih regulatora i operatera.

Regulatori moraju biti osposobljeni da postavljaju i sprovode standarde sajber bezbednosti, dok je operaterima potrebna stručnost i alati za efikasno otkrivanje, sprečavanje i reagovanje na pretnje. Bez ovih ulaganja, koristi od pametnih mreža i integracije obnovljivih izvora energije mogle bi biti zasenčene rastućim sajber ranjivostima. Iako će jačanje sajber bezbednosti verovatno povećati troškove sistema, to je neophodno kako bi se obezbedila pouzdanost i otpornost energetskog sektora Kosova. U konačnici, troškovi nečinjenja — prekidi u snabdevanju, finansijski gubici i gubitak poverenja javnosti — bili bi mnogo veći.

Širom sveta, sajber napadi na energetske sisteme sve su učestaliji. Međunarodna agencija za energiju procenila je da su se napadi više nego udvostručili između 2020. i 2022. godine, sa rekordnih 1.101 napadom u 2022. godini u kojima su mete bile energetske kompanije. U poslednjih nekoliko godina, evropske energetske kompanije sve češće su meta ransomware napada, pa je Evropsko udruženje elektroprivreda (Eurelectric) pozvalo na jače mere sajber bezbednosti na nivou EU, razvoj stručnog kadra, povećana ulaganja i bolju saradnju radi sprečavanja nestanaka struje i društvenih poremećaja. Takvi primeri jasno pokazuju koliko je hitno uvođenje snažnih mera sajber bezbednosti u energetskom sektoru kako bi se sprečili prekidi u radu i zaštitile ključne usluge. Ovo nisu udaljene pretnje; to su jasna upozorenja šta bi se moglo dogoditi na Kosovu ako se postojeće ranjivosti ne otklone.

U regionu gde su svetla nekada gasila zbog rata, ne smeju ponovo utihnuti zbog nečinjenja. Sajber napad nije samo rušenje jednog računara — on može onesposobiti elektroenergetsku mrežu, bolnicu ili sistem za vodosnabdevanje, s posledicama koje daleko prevazilaze tehničke kvarove. Ključna infrastruktura više nije samo fizička; ona je danas prva linija nacionalne bezbednosti. Ako Kosovo ozbiljno misli o energetskoj sigurnosti, sajber bezbednost mora biti prepoznata kao prioritet državnog upravljanja, a ne samo kao tehničko pitanje.

Sajber štit Kosova: pravni skelet bez organa

Kosovo je na papiru preduzelo određene korake. Dva zakona sada čine osnovu njegovog regulatornog odgovora. Prvi, donet 2018. godine, jeste Zakon o ključnoj infrastrukturi. Ovaj temeljni zakon, prvi takve vrste na Zapadnom Balkanu, uspostavlja sveobuhvatan okvir za identifikaciju, zaštitu i upravljanje ključnom infrastrukturom u sektorima kao što su energetika, transport i vodosnabdevanje. Usaglašen je sa standardima EU i propisuje da operateri moraju da razviju planove bezbednosti i koordiniraju aktivnosti kroz institucionalne mehanizme pod okriljem Ministarstva unutrašnjih poslova.

Drugi, usvojen početkom 2023. godine, jeste Zakon o sajber bezbednosti. Ovim zakonom postavljaju se temelji nacionalne arhitekture sajber bezbednosti Kosova. On definiše osnovne principe i uloge, propisuje institucionalnu saradnju i uspostavlja Agenciju za sajber bezbednost. Zakon je usklađen sa direktivama EU, čime se jača sigurnost informacionih sistema i mreža u zemlji. Navodno je u opticaju i nacrt Nacionalne strategije sajber bezbednosti. Na regionalnom nivou, Kosovo učestvuje u inicijativama Energetske zajednice i dijalozima Zapadnog Balkana o sajber otpornosti.

Iako je Kosovo na papiru uspostavilo zakonski okvir, primena ovih zakona ostaje neujednačena, fragmentisana i spora. Trenutno, energetski sektor Kosova nema operativni Tim za reagovanje na bezbednosne incidente u računarskim sistemima (CSIRT) — tim koji nadgleda, otkriva i reaguje na sajber incidente, kako na organizacionom, tako i na nacionalnom nivou. Kako bi se taj nedostatak otklonio, organizacije poput NRD Cyber Security predložile su 2023. godine osnivanje sektorskog Energetskog CSIRT-a (E-CERT) — tima posvećenog isključivo energetskom sektoru.

Kada postane operativan, E-CERT će nadgledati i reagovati na incidente u oblasti sajber bezbednosti širom energetske infrastrukture Kosova, koordinisati brze mere za suzbijanje pretnji, deliti informacije među operaterima i obezbeđivati da ključni sistemi — uključujući elektrane i prenosne mreže — ostanu bezbedni.

Prema Zakonu o sajber bezbednosti, energetski sektor Kosova je zvanično označen kao deo ključne infrastrukture. Subjekti koji se bave proizvodnjom, prenosom i distribucijom energije sada su definisani kao Operateri osnovnih usluga (OES). Zakon propisuje stroge zahteve u oblasti sajber bezbednosti za sve OES, uključujući izradu bezbednosnih politika, prijavljivanje incidenata u određenim vremenskim rokovima i primenu tehničkih mera. Ipak, i pored uspostavljenog regulatornog okvira, praktična primena ostaje ograničena, a pošto E-CERT još uvek nije u potpunosti operativan, postoje ozbiljni nedostaci u sposobnosti sektora da otkrije, spreči i otkloni posledice sajber pretnji.

Nedostatak stručnjaka za sajber bezbednost dodatno komplikuje situaciju. Kosovo, kao i veći deo Zapadnog Balkana, suočava se sa manjkom IT stručnjaka, pri čemu mnogi odlaze u EU u potrazi za bolje plaćenim poslovima. Izgradnja kapaciteta za specijalizovane uloge u industrijskoj sajber bezbednosti zahteva ne samo obrazovne i obuke programe, već i stimulativne mere za zadržavanje talenata. Prema izveštaju Organizacije za ekonomsku saradnju i razvoj (OESR) “Izveštaj o konkurentnosti Zapadnog Balkana 2024”, Kosovo ima teškoće u privlačenju i zadržavanju kvalifikovanih profesionalaca, uključujući i one iz oblasti sajber bezbednosti, zbog ograničenih lokalnih mogućnosti i privlačnijih prilika u inostranstvu.

Pretnje modernizacije energetskog sektora Kosova

Energetski sektor Kosova nalazi se na prekretnici. Uvođenje pametnih mreža, automatizacije, integracije obnovljivih izvora energije i nadzora zasnovanog na podacima menja način na koji se energija proizvodi, distribuira i koristi. Kosovska energetska korporacija (KEK), koja upravlja glavnim termoelektranama u zemlji, i Operater sistema, prenosa i tržišta Kosova (KOSTT), koji upravlja nacionalnom elektroenergetskom mrežom i tržištem, prolaze kroz proces modernizacije svog poslovanja. Pametno brojilo postaje sve rasprostranjenije, a država sve više ulaže u digitalna rešenja kako bi rešila dugogodišnje probleme — od nestanaka struje do neefikasnog obračuna potrošnje.

Ali pitanje koje gotovo niko ne postavlja glasi: možemo li zaštititi ovu novu infrastrukturu?

Za razliku od tradicionalnih jednosmernih elektroenergetskih sistema, pametne mreže omogućavaju dvosmeran protok i električne energije i informacija, što olakšava integraciju obnovljivih izvora, smanjuje nestanke i optimizuje obračun i efikasnost rada. Međutim, ovaj proces ujedno značajno širi spektar rizika u oblasti sajber bezbednosti.

Kosovska elektroenergetska mreža i dalje se uglavnom upravlja putem starijih digitalnih kontrolnih sistema (SCADA), koji nadgledaju i kontrolišu protok električne energije i ključni su za rad elektrana i prenosnih linija — ali prvobitno nisu bili projektovani imajući u vidu sajber bezbednost. Prenosnu infrastrukturu upravlja KOSTT, dok KEDS upravlja distribucijom električne energije. Kako sektor prolazi kroz proces digitalizacije, zaštita SCADA sistema postaje presudna kako bi se sprečila njihova zloupotreba kroz sajber napade. Energetski sektor suočava se sa čitavim spektrom sajber pretnji, među kojima su najčešće ransomware napadi — slučajevi kada zlonamerni softver enkriptuje podatke ili sisteme kompanije i zahteva otkupninu za povraćaj pristupa.

Sa više od 95% stanovništva uzrasta od 16 do 74 godine koje redovno koristi internet, Kosovo je izrazito povezano društvo. Pametni sistemi za merenje potrošnje, automatizovane platforme za naplatu i digitalni alati za upravljanje mrežom mogu postati mete napada, što bi potencijalno moglo izazvati široko rasprostranjene nestanke struje, pogrešne račune i prekide u snabdevanju vodom i električnom energijom. Ako bi pametna brojila bila kompromitovana, mogla bi otkriti osetljive podatke o potrošačima ili biti iskorišćena za izazivanje grešaka u obračunu ili funkcionisanju elektroenergetske mreže. Čak i digitalni ugovori i automatizovani sistemi za izveštavanje, na kojima sektor zasniva operativnu efikasnost, često nemaju dovoljno snažne mehanizme enkripcije ili autentifikacije, što ih čini ranjivim na sajber zloupotrebe.

Uz ove tehničke praznine, dodatni problem predstavlja nedostatak redovnih sajber revizija i sektorskih simulacionih vežbi koje bi testirale spremnost na napade, dok je svest zaposlenih o rizicima i dalje niska. Ograničen broj vežbi, slabi sistemi za reagovanje na incidente i nedostatak koordinacije između javnog i privatnog sektora ozbiljno umanjuju sposobnost sektora da odgovori na sajber pretnje. Svakodnevni operativni problemi lako bi mogli da prerastu u šire rizike po energetsku bezbednost, čineći ovaj sektor posebno privlačnom metom za napade.

Sajber bezbednost na Zapadnom Balkanu i usklađivanje sa EU

Na globalnom nivou, pretnja od sajber napada daleko je od teorijske. Ruski hakeri su 2015. godine uspešno upali u ukrajinsku elektroenergetsku mrežu, koristeći malver BlackEnergy i Industroyer kako bi isključili struju za stotine hiljada ljudi. Godine 2021, ransomware napad na američki Colonial Pipeline poremetio je snabdevanje gorivom širom istočnih delova Sjedinjenih Država, pokazavši kako sajber incidenti u energetskim sistemima mogu izazvati paniku i ekonomske poremećaje. U aprilu 2025. godine, ruski hakeri su nakratko preuzeli kontrolu nad norveškom branom, ispuštajući 500 litara vode u sekundi tokom četiri sata pre nego što su zaustavljeni — što je pokazalo ranjivost norveškog hidroenergetskog sistema.

U regionu, Kosovo nije jedino koje se suočava sa sajber rizicima u energetici. Vlade širom Zapadnog Balkana već su iskusile razorne posledice ovakvih napada. Tokom 2022. godine, Albanija je pretrpela jedan od najtežih sajber incidenata u regionu kada su iranski hakeri, uz podršku države, oborili vladine servise na više nedelja, parališući komunikacione sisteme i nateravši Tiranu da prekine diplomatske odnose sa Teheranom. Te iste godine, Crna Gora je bila pogođena ransomware napadima koji su poremetili rad državnih institucija, finansijskih sistema i operatera u energetskom sektoru, što je izazvalo intervenciju NATO timova za sajber pomoć. Severna Makedonija i Bosna i Hercegovina takođe su prijavile oštar porast pokušaja upada u javne institucije.

Ovi napadi naglašavaju ključnu lekciju: u malim, digitalno ranjivim državama, jedan sajber incident može prerasti u potpunu krizu nacionalne bezbednosti. Energija, kao okosnica savremene ekonomije, predstavlja idealnu metu. Za razliku od banaka ili ministarstava, elektroenergetske mreže i elektrane ne mogu jednostavno da “odu van mreže” kako bi sprečile štetu — svaki prekid trenutno znači nestanke struje, zastoje u proizvodnji i paniku među građanima.

Godine 2024, Evropska unija uspostavila je Delegiranu uredbu Komisije (EU) 2014/1366, poznatu kao Mrežni kodeks o sajber bezbednosti, koja postavlja sektorska pravila za prekogranične tokove električne energije i usklađuje zahteve za međusobno povezane sisteme. EU je već prepoznala rastuću pretnju i odlučno reagovala kroz Direktivu o mrežnoj i informacionoj bezbednosti (NIS2), koja je stupila na snagu 2023. godine. NIS2 obavezuje države članice da usvoje snažnije okvire za zaštitu ključne infrastrukture, uvedu obavezno prijavljivanje incidenata i prošire nadzor nad operaterima u ključnim sektorima, uključujući energetiku. ENISA, Agencija Evropske unije za sajber bezbednost, dodatno je naglasila da su energetske mreže — posebno prenos i distribucija električne energije — među najprivlačnijim metama za sajber kriminalce i neprijateljske države.

Sekretarijat Energetske zajednice, međunarodna organizacija koja pomaže zemljama van EU, poput Kosova, u usklađivanju sa pravilima EU u oblasti energetike, trenutno razmatra načine kako da svoje članice uskladi sa ovim regulatornim okvirom. Vode se razgovori o prilagođavanju i uvođenju konzistentnih regionalnih standarda sajber bezbednosti. Za Kosovo i njegove susede, bliža koordinacija između operatera elektroenergetskih sistema je od presudnog značaja — uključujući usklađene mehanizme reagovanja na incidente, razmenu informacija i zajedničko planiranje. Sajber napad na jednom delu mreže nosi rizik od lančanih posledica, naročito preko granica, što bi, ako se ne spreči, moglo destabilizovati ceo međupovezani sistem.

Za Kosovo, koje teži usklađivanju sa evropskim standardima, nedostatak regulatornog nadzora predstavlja ozbiljan problem. Dok su pojedine susedne zemlje, poput Hrvatske i Slovenije, već počele da uvode NIS2 zahteve u svoje zakonodavstvo, Kosovo još uvek nema sveobuhvatnu, sektorski specifičnu strategiju sajber bezbednosti za energetski sektor. Postojeći okviri, iako napreduju, ostaju fragmentisani i nedovoljno finansirani. Bez jačeg usklađivanja, Kosovo rizikuje da dodatno zaostane u trenutku kada sajber napadi na ključne energetske sisteme postaju sve češći, sofisticiraniji i geopolitički motivisani.

Izgradnja kosovskog sajber štita

Put Kosova ka otpornijem sistemu zahteva kombinaciju institucionalne reforme, regulatornog usklađivanja i izgradnje kapaciteta. Najhitniji korak je osnivanje i potpuno operativno pokretanje E-CERT-a. Ova institucija mora imati dovoljne resurse, osoblje i tehničke kapacitete, kao i zakonska ovlašćenja da nadgleda, otkriva i reaguje na sajber pretnje u celom energetskom sektoru. Bez te osnove, svi drugi napori rizikuju da budu oslabljeni fragmentisanim reakcijama i zakašnjelim delovanjem.

Paralelno s tim, Kosovo bi trebalo da usklađuje svoje regulatorne okvire sa EU Direktivom NIS2. Time bi se obezbedila usklađenost sa evropskim standardima i poslao jasan signal o spremnosti za integraciju. Usvajanje sektorskih standarda sajber bezbednosti za operatere poput KEK-a, KOSTT-a i KESCO-a podjednako je važno. Ti standardi treba da obuhvate zaštitu ranjivosti u SCADA sistemima, sprovođenje redovnih revizija i obaveznu primenu snažnih protokola za enkripciju i autentifikaciju na svim digitalnim infrastrukturnim komponentama.

Izgradnja stručne radne snage mora se tretirati kao nacionalni prioritet. Kosovu su potrebni obučeni stručnjaci za operativne tehnologije i sajber bezbednost, uz stvaranje podsticaja da se takav kadar zadrži u zemlji. Partnerstva sa univerzitetima, stručnim školama i međunarodnim donatorima mogu pomoći u razvoju ove ekspertize, ali za njeno zadržavanje neophodni su konkurentni uslovi i priznanje da je sajber bezbednost ključni stub nacionalne bezbednosti.

Transparentnost i odgovornost takođe su od ključnog značaja. Operateri bi zakonom morali biti obavezani da prijave sajber incidente u strogo propisanim rokovima i podele tehničke analize kako bi se ojačala zajednička otpornost. Prikrivanje bezbednosnih proboja koristi samo napadačima. Konačno, Kosovo mora da prihvati saradnju izvan svojih granica. Saradnja sa ENISA-om, NATO-om i regionalnim CSIRT timovima doprinela bi boljoj razmeni informacija i omogućila pristup najboljim međunarodnim praksama. Stalni forum između vlade i industrije o sajber bezbednosti u energetici mogao bi dodatno da poveže donosioce politika i operatere, obezbeđujući da reakcije na sajber pretnje budu usklađene i pravovremene.

Ključna infrastruktura postala je prva linija nacionalne bezbednosti, a svaka slabost u sajber zaštiti sada predstavlja direktnu pretnju bezbednosti i dobrobiti građana. Incident u Zubinom Potoku bio je ozbiljno upozorenje. Energetski sistem Kosova nalazi se na prekretnici. Prelazak na pametne mreže, automatizaciju i obnovljive izvore energije donosi efikasnost i modernizaciju, ali istovremeno stvara nove ranjivosti. Bez odlučne i brze akcije, Kosovo rizikuje da ponovi greške viđene drugde — poput namernih prekida napajanja u Ukrajini ili obustave rada vlade Albanije izazvane sajber upadima.

Za Kosovo, sajber bezbednost ne sme ostati tehnička fusnota. Ona mora postati sastavni deo energetske politike i upravljanja, u potpunosti integrisana u planiranje i operativne strategije. Vreme je da se deluje, jer energetska i nacionalna bezbednost više nisu odvojive i moraju se tretirati kao jedinstvena celina.

Naslovna fotografija: Atdhe Mulla