Skandali/ Shqipëria, i vetmi vend në Evropë pa strategji Kombëtare për Sigurinë Kibernetike. 70% e të dhënave të emaileve, rrjeteve sociale, bisedave dhe komunikimet e enteve publike, shtetërore, politikanëve, pushtetarë qendrorë, lokalë dhe qytetarëve kalojnë nga Shqipëria nëpërmjet internetit, në Malin e Zi dhe depozitohen në serverat e Serbisë. Këtij survejimi nuk i shpëtojnë as kartotekat, bankat dhe ato të partnerëve strategjikë
Ëngjëll Musai
Drejtor i “Telegraf”
Strategjia Kombëtare dhe ligji për Sigurinë Kibernetike. Si do të bëhet mbrojtja e infrastrukturës së rëndësishme e menaxhimi i krizave dhe detyrimet e Shqipërisë si vend anëtar i NATO-s
Shqipëria i vetmi vend në Europë pa siguri kibernetike
Transformimi kombëtar dhe digjitalizimi i shpejtë i të gjithë sektorëve në vende ka gjetur Shqipërinë të papërgatitur jo vetëm me akte ligjore dhe nënligjore që normojnë punën e të gjitha institucioneve shqiptare por e kanë ekspozuar egërsisht në institucione të mirëspecializuara të vendeve fqinjë dhe sidomos atyre me ndikim lindor dhe qasje anti-shqiptare. Entitetet publike, zotërues të infrastrukturës kritike, politikëbërës, drejtues të Teknologjisë së Informacionit në qeveri dhe sektorin privat, si telekomunikacionet, bankat, administratat, kartotekat, shërbimi i zakonshëm telefonik, imailet, rrjetet sociale etj. janë nën kontroll të plotë të atyre që sot na ofrojnë këto shërbime, të cilat na i rikthejnë vetëm pasi i kontrollojnë. Këto shërbime, të dhëna, qoftë me rëndësi kombëtare, por edhe ato të zakonshme publike dhe private janë nën kontroll të plotë të këtyre qarqeve, të cilat i përdorin për interesat e tyre ekonomike, politike, të presionit, represionit. Maturia e sigurisë kibernetike në Shqipëri lë shumë për të dëshiruar dhe ky konkluzion është bërë publik veç të tjerëve edhe nga Banka Botërore gjatë një seminari të zhvilluar muaj më parë në Tiranë. Shqiptarët pra janë të pambrojtur, deputetët të pambrojtur , Bankat të pa garantuara, madje edhe materialet ku përpunohen të dhënat në ministrinë e Mbrojtjes, Brendshme, Integrimit apo ato të specializuara si për strukturat evropiane, NATO-s, BE-së, Europol, Interpol, vendeve perëndimore dhe partnerëve të tjerë serioz. Po a ka Shqipëria servera që përpunojnë të dhëna dhe nuk lejojnë daljen e tyre jashtë territorit shqiptar ? Po të dhënat dhe komunikimet shtetërore dhe private nga kalojnë dhe cila është rruga e komunikimit telefonik dhe internetit? Po imailet që dërgohen dhe merren, sms, dhe të gjitha komunikimet me rrjetet online nga kalojnë dhe ku e kanë qendrën transit përpara shpërndarjes?
Sipas të dhënave jo zyrtare, por tepër të sigurta, çdo komunikim telefonik me jashtë dhe çdo komunikim nëpërmjet internetit në masën 70% kalojnë nga linjat shqiptare, në Malin e Zi dhe prej andej në serverat e Serbisë. Aty përpunohen dhe rikthehen përsëri në destinacionin për ku janë nisur. Pra nëse nisim një imail apo bëjmë një bisedë telefonike me internet apo rrjetet sociale (fb,twitter, viber, whatsapp, instagram) etj., kalojnë nga personat që e nisin privat apo zyrtar dhe transmetohet me linjat në Malin e Zi dhe prej andej në Serverat e Serbisë. Nga aty shpërndahen sipas destinacionit të burimit fillestar. Dihet që serverat bëjnë edhe përpunimin,edhe regjistrimin dhe i transmetojnë por ruajnë edhe një kopje dhe përdoren sipas interesave. Madje serverat serbë, pse jo edhe shërbimet e tyre të specializuara kanë nën kontroll çdo informacion, telefonat, imail, dhe çdo lloj komunikimi me rrjetet sociale që përdorin internetin. Ka dhe një linjë të dytë, e cila përballon rreth 30% të kapacitetit me internet që merret dhe transmetohet nga Italia. Në një bisedë me ekspertë të specializuar amerikanë, pak muaj më parë kur u përgatit edhe raporti i mëposhtëm, “Telegraf” mësojë prej tyre që Shqipëria, politika, institucionet e sigurisë, ato të rëndësisë së veçantë, bankat dhe çdo person duke përfshirë edhe kreun e shtetit, të qeverisë, të Kuvendit dhe me radhë janë tërësisht të pambrojtur. Është koha që shteti të negociojë dhe minimalisht ato institucione dhe ato çështje që janë të karakterit të rëndësisë dhe sigurisë kombëtare duhet të kalojnë nga Italia dhe tentohet zgjerimi i shpejt i sajë me satelitë ose kabull optik duke u larguar një sahat e më parë nga serverat e Serbisë.
Mbrojtje e dobët nga krimi kibernetik
Shqiptarët mbeten ende në hapat e parë lidhur me sigurinë kibernetike. Shumica janë konservatorë kur vjen puna te shërbimet online që ofrohen nga institucionet, pasi kanë mungesë besimi që kjo praktikë funksionon. Por, kur vjen puna te përdorimi i rrjeteve sociale, shumica prej tyre nuk kanë filtra sigurie dhe mund të japin lirisht informacion sensitiv. Lidhur me blerjet online vihet re se një pjesë e mirë parapëlqejnë që të përdorin sisteme si Pay Pal, pasi nuk i zënë besë përdorimit direkt të kartave. Raporti për Maturitetin e Sigurisë Kibernetike në Shqipëri ka kaluar në analizë sistemet e institucioneve kryesore, menaxhimin e krizave të sigurisë kibernetike, por edhe nevojën për qasje të re të edukimit dhe trajnimeve në sektorin publik dhe privat, duke dhënë përshtypjet dhe rekomandimet për situatën e hasur sot në terren. Autoriteti Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike kërkoi vitin e shkuar një vlerësim të përgjithshëm të sigurisë kibernetike në vend. Me ndihmën e Bankës Botërore, Qendra Globale për Kapacitetet e Sigurisë Kibernetike zhvilloi një vlerësim të maturitetit të sigurisë kibernetike në Shqipëri, për të mundësuar dhe për të kuptuar nivelin ku ndodhet vendi ynë, si dhe për të marrë masa për investime në kapacitetet e sigurisë kibernetike. Gjatë periudhës 3-4 shtator 2018 u zhvilluan një sërë tryezash me aktorë të ndryshëm nga akademikë, drejtësia, policia, përfaqësues dhe drejtues të drejtorive të teknologjisë dhe informacionit, përfaqësues nga entitetet publike, zotërues të infrastrukturës kritike, politikëbërës, drejtues të Teknologjisë së Informacionit në qeveri dhe sektorin privat, si telekomunikacionet apo bankat. Vlerësimi u ndal në disa dimensione, duke nisur nga strategjia dhe politikat për sigurinë kibernetike te kultura dhe shoqëria kibernetike, edukimi, trajnimet dhe aftësitë për sigurinë kibernetike, si dhe kuadri ligjor dhe rregullator apo standardet organizative dhe teknologjitë. Analiza e detajuar për çdo dimension doli edhe në disa përfundime që i gjeni më poshtë në formë të shkurtuar, duke cituar raportin.
Strategjia Kombëtare e Sigurisë Kibernetike
Angazhimi i Shqipërisë drejt sigurisë kibernetike ka ecur para, duke adoptuar një sërë strategjish të sigurisë dhe transformimit kombëtar digjital. Një nga këto është Agjenda Digjitale e Shqipërisë 2015-2020. Në mes të këtij viti pritet që të kalojë një strategji e dedikuar, e njohur si Strategjia Kombëtare e Sigurisë Kibernetike, e cila është duke u hartuar. Kjo strategji do të përfshijë një program 5-vjeçar për sigurinë kibernetike. Përtej dokumenteve dhe nismave, vlerësimi i përgjithshëm për kornizën e strategjive nga grupi i vlerësimit cilësohet si “formative”, e cila tregon se kemi kuadër të konceptuar por që mbetet i çorganizuar, i konceptuar dobët, ose i ri.
Mbrojtja e infrastrukturës së rëndësishme
Vetëm pak kohë më parë, mbrojtja e infrastrukturës së rëndësishme ishte në hapa embrionikë në Shqipëri. Gjithsesi, tashmë është bërë progres në këtë aspekt. Është përcaktuar me ligj pjesa e masave që duhet të marrin pjesa e institucioneve shtetërore dhe ato private, lidhur me Infrastrukturën e Informacionit Kritik. Operatorët që kanë këtë lloj infrastrukture janë të detyruar që të zbatojnë masa sigurie dhe të dokumentojnë zbatimin e këtij hapi. Lista, e cila u krijua në vitin 2018, mbahet nga Autoriteti Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike.
Menaxhimi i krizave, planifikimi ende i papërfunduar
Ligji për sigurinë kibernetike nënvizon gjendjen e krizave kibernetike, zgjatjen e tyre dhe masat e nivelit të lartë që duhet të merren. Vetëm Këshilli i Ministrave mund të deklarojë krizën dhe Kryeministri të zgjasë gjendjen. Pjesëmarrësit e tregut thanë se palë të interesuara të Infrastrukturës Kritike, si dhe organizata të sektorit financiar, mbajnë plane të ecurisë së biznesit, në varësi të gjendjes kritike të sistemit. Krizat kibernetike nuk cilësohen si të tilla, gjithsesi sektori bankar ka kuptuar nevojën për përpjekje të bashkërenduara. Bankat po marrin pjesë në Planifikimin e Ecurisë së Biznesit dhe Rikuperimi në raste problematike. Autoriteti i Mbikëqyrjes Financiare ka nisur një program për menaxhimin e krizave që nga tetori i vitit 2018. Albcontrol, si pjesë e Euro, ka plane kontigjence dhe çdo plan, sistem apo softuer është i duplikuar. Edhe Operatori i Sistemit të Transmetimit zhvillon ushtrime të menaxhimit të krizave në bazë vjetore. Kuptohet që menaxhimi i përgjithshëm i krizave është i nevojshëm për sigurinë kombëtare, por siguria kibernetike ende nuk konsiderohet si komponent. Ushtrimet për menaxhimin e krizave mund të jenë konceptuar në princip, por planifikimi për menaxhimin e krizave të sigurisë kibernetike nuk është përfunduar.
Mbrojtja kibernetike, detyrimet që rrjedhin nga NATO
Siguria kibernetike dhe mbrojtja kibernetike janë cilësuar si kyçe në agjendën e Shqipërisë, e lidhur kjo me institucionet. Situata e tyre konsiderohet në një fazë mes konceptimit të kornizës ligjore dhe zbatimit të tyre praktik. Si pjesë e NATO-s, Shqipëria ka qenë e detyruar që të implementojë disa strategji dhe të konceptojë një lloj mbrojtje të kësaj natyre, sipas parimeve që kërkon traktati. Strategjia për mbrojtjen kibernetike ka katër objektiva kryesorë, të lidhur me implementimin e masave organizative dhe teknike të sistemeve të sigurisë kibernetike, zhvillimi i niveleve dhe aftësive të specialistëve për sigurinë kibernetike, rritja e bashkëpunimit me strukturat në nivel kombëtar dhe në kuadër të NATO-s.
Siguria kibernetike, bizneset e mëdha e kalojnë te prioritetet
Ekosistemi kibernetik në Shqipëri është në fazat e tij të hershme. Pjesëmarrësit nënvizuan se në disa agjenci qeveritare dhe kompani të mëdha, çështja e sigurisë kibernetike ka nisur të zhvillohet, por në përgjithësi përdoruesit janë të pavetëdijshëm mbi risqet që lidhen me përdorimin e internetit. Brenda sektorit privat, kompanitë e mëdha kanë nisur të vendosin më shumë në prioritet çështjen e sigurisë kibernetike, duke identifikuar praktikat me risk të lartë. Kjo sigurisht vlen për kompanitë e mëdha, kurse për ndërmarrjet e vogla dhe të mesme, në nivel lokal, ka mungesë të këtij aspekti.
Ofrimi i shërbimeve online, shqiptarët mbeten skeptikë
Raporti vlerëson se ofrimi i shërbimeve online mbetet peng i besimit në internet. Shkalla ku ndodhet sot ky aspekt në Shqipëri sapo ka kaluar nivelin start-up. Qeveria ka vijuar që të rrisë ofrimin e e-shërbimeve në faqe të dedikuara, por ka një perceptim të përgjithshëm se shqiptarët nuk janë familjarizuar me këtë dhe kanë mungesë besimi te shërbimet e formës elektronike që iu ofrohen. Kështu, gjatë kësaj kohe, është ofruar e-albania, e tax, e-prokurimet, por qëndrimi i qytetarëve është disi i ngurtë karshi këtyre, duke pasur parasysh ngjarje të caktuara që ndodhin me internetin. Kompanitë private kanë nisur aplikimin drejt e-cloud, por kjo perceptohet edhe më e vështirë, pasi koncepti është abstrakt dhe jo diçka që mund të preket apo shihet. E-commerce mbetet ende në fazë të hershme dhe vuan nga çështja e besimit.
Sa e kuptojnë përdoruesit mbrojtjen online të të dhënave personale
Në raport, kjo shkallë konsiderohet ende në fillesat e saj. Ndërgjegjësimi për mbrojtjen e të dhënave personale dhe shqetësimi për sigurinë e këtyre të dhënave është në përgjithësi i ulët. Përdoruesit dhe aktorët brenda sektorëve privatë dhe publikë kanë mungesë të njohurive për mënyrën sesi menaxhohet informacioni personal online. Pjesëmarrësit u shprehën se informacioni personal ndahet shpesh përmes medias sociale, sidomos nga përdoruesit e rinj. Mungesa e besimit në privatësi dhe mbrojtja e të dhënave është një nga barrierat më të mëdha për përdorimin më të madh të shërbimeve në internet.
Mekanizmat e raportimit, ekzistojnë por pa konceptim final
Mekanizmat e raportimit të incidenteve online ekzistojnë, por janë ende në fazën e dytë të zhvillimit nga pesë që janë në total. Qytetarët mund t’i denoncojnë ato pranë Policisë së Shtetit, duke u paraqitur vetë aty ose përmes një platforme online. Policia, pasi merr rastet, i ndan ato me institucionet e tjera përgjegjëse. Pavarësisht kësaj, raporti doli në përfundimin se investigimi i krimeve të sigurisë kibernetike nga Policia e Shtetit kufizohet nga burimet e pamjaftueshme dhe mungesa e pajisjeve harduer për të mbuluar pjesën e incidenteve në nivel kombëtar
“Çudia më e madhe, tri ditë zgjat”
Media në vetvete dhe media sociale ka një mbulim jo të gjerë të sigurisë kibernetike, me një informacion të limituar sa i përket raportimit të çështjeve specifike që individët hasin online dhe që lidhen me mbrojtjen e fëmijëve apo bulizmin. Po kështu, ka pak debat për sigurinë kibernetike në median sociale. Aktorët që u pyetën thanë se media dhe blogerat në këto rrjete sociale janë më të interesuar për incidentet kibernetike dhe ata që kanë rënë viktima të çështjeve specifike lidhur me bulizmin kibernetik. Mbulimi i këtyre problematikave zakonisht zgjat tri ditë dhe më pas zbehet.
U sugjerua nga aktorët e tregut se nga Policia e Shtetit duhet të bashkëpunohet me median për të promovuar nivele ndërgjegjësimi më të larta mbi sigurinë kibernetike. Bashkëpunimi mes policisë, mediave dhe dhomave të tregtisë duhet të rrisë ndërgjegjësimin edhe për mashtrimin online dhe risqe të tjera kompjuterike. Për këto çështje, raporti jep disa rekomandime siç janë identifikimi i grupeve vulnerabël dhe me risk të lartë, që më pas të targetohen për t’u informuar. Promovimi me organizatat joqeveritare dhe sektorin privat për programe të sigurisë së të rinjve dhe sjellje të përgjegjshme online. Ngritja e një grupi disapalësh për të udhëhequr një projekt të përbashkët, si dhe për të lehtësuar diskutimet mbi krimin kibernetik dhe çështje të sigurisë kibernetike. Po kështu, për punonjësit e administratës të zhvillohen programe trajnimi.
Rritja e ndërgjegjësimit, shqiptarët japin informacion sensitiv lirisht
Ky komponent vlerësohet si në fazë fillestare. Një program për rritjen e ndërgjegjësimit që udhëhiqet nga një organizatë e dedikuar dhe që i adresohet një niveli të gjerë demografik mbetet për t’u vendosur. Shqipëria ka zhvilluar aktivitete të dedikuara për sigurinë kibernetike, ndërkohë që ka pasur një fokus edhe te siguria e fëmijëve. Nga pjesëmarrësit në procesin e vlerësimit u nënvizua se duhet të bëhet më shumë për rritjen e ndërgjegjësimit të kontrollit prindëror dhe mbrojtjen e fëmijëve nga përmbajtjet e dëmshme në internet. Kjo kërkon më shumë vëmendje nga institucionet, organizatat joqeveritare, sektori privat apo komuniteti prindëror. AKCESK, në bashkëpunim me Ministrinë e Arsimit dhe Sportit, dhe sektorin bankar kanë zhvilluar një program pilot në shkolla, në lidhje me rritjen e vëmendjes ndaj bulizmit kibernetik. Gjithsesi, kjo përpjekje ishte e kufizuar në qëllimin e saj. Vetë sektori privat ka nisur të marrë në konsideratë rritjen e ndërgjegjësimit për sigurinë kibernetike, por ky proces gjithsesi mbetet në hapat e parë. Ka një hendek në edukim dhe mes prindërve, si dhe te fëmijët. Edhe pse penetrimi i internetit është 70%, sidomos mes të rinjve, shumica e popullsisë nuk duket e shqetësuar për njohuritë kompjuterike. Media sociale si Facebook po përdoren për qëllime tregtare dhe përdoruesit ndajnë informacionin e tyre lirisht online. Ka mungesë ndërgjegjësimi për sigurinë mes të rinjve dhe pjesëmarrësit në vlerësim nënvizuan se të rinjtë janë më të shqetësuar për vlerësimin e produkteve dhe shitësve, sesa për sigurinë e këtij mjedisi. Pay pal përdoret shpesh për blerjet online, pasi prindërit nuk i besojnë përdorimit të kartave të kreditit në mënyrë direkt. Sulmet inxhinierike sociale po shtohen, pasi njerëzit kanë tendencën të japin informacion sensitiv lirisht dhe me vullnet të plotë drejt dikujt që pretendon se është i menaxhimit apo IT. Është propozuar rritja e ndërgjegjësimit, duke nisur nga qeveria te ministritë dhe më pas të vijohet me institucionet e varësisë.
Kuadri për arsimin, Shqipëria vuan për profesionistë të sigurisë kibernetike
Nevoja për zgjerimin e edukimit për sigurinë kibernetike në shkolla dhe universitete është pranuar tashmë nga qeveria, industria dhe universitetet. Aktualisht janë 1496 laboratorë kompjuterësh në edukimin parauniversitar. Rrjeti i internetit është instaluar në shkolla, duke iu mundësuar studentëve dhe mësuesve që të përdorin burime të ndryshme informacioni, si dhe të asistojnë në mënyrë specifike punët e tyre mësimore. Çdo shkollë ka një lidhje të dedikuar interneti, por mbetet i lidhur vetëm në kompjuterët e laboratorit. Raporti i kompjuterëve për student varion nga shkolla në shkollë, por qëndron afërsisht në 1:27, ndërkohë që në raste të veçanta, është më i ulët. Aktualisht në universitetet publike dhe private, si dhe kolegje ofrohen kurse edukative, në fushat që lidhen me sigurinë kibernetike siç është informacioni mbi sigurinë, siguria në rrjet dhe kriptografia, por nuk ofrohen kurse të veçanta për sigurinë kibernetike. Universiteti kombëtar është duke zhvilluar një program, që do të përfshijë workshop-e me sektorin bankar, drejtues të informacionit, kompanitë celulare, ato të sigurimeve, për të kuptuar nevojat e sektorit privat. Lidhur me lektorët ka një ngërç, pasi vetëm ata që mbajnë gradën doktor mund të shërbejnë si lektorë, por ndërkohë nuk ka mjaftueshëm të tillë që të jenë të specializuar për sigurinë kibernetike. Shqipëria, ashtu si vende të tjera, ka mungesë të profesionistëve të sigurisë kibernetike, çka është një nga çështjet më kyçe. Ndaj ka nevojë për profesionistë që të japin leksione.
Kuadri për trajnime profesionale, IT-të bëjnë gjithçka, nuk janë të specializuar
Nevoja për trajnime profesionale për sigurinë kibernetike, edhe pse njihet nga qeveria, nuk është dokumentuar në ndonjë dokument në nivel kombëtar. Në Shqipëri, Agjencitë publike dhe private nuk certifikohen nën standardet që njihen ndërkombëtarisht. Brenda institucioneve publike, trajnimi për sigurinë kibernetike, si për stafin e IT, edhe për atë në përgjithësi, janë shumë të limituara dhe shpesh varen nga menaxhimi i institucionit. Ajo që u nënvizua nga palët që morën pjesë në vlerësim ishte fakti që nuk është aq e thjeshtë për qeverinë që të alokojë fonde për trajnimin e burimeve. Në vend ekzistojnë kurse trajnimi nga kompani ndërkombëtare për sigurinë kibernetike, ashtu sikurse ka shpesh nisma që burojnë nga angazhimet e institucioneve të rëndësishme, siç është Bashkimi Evropian. Nga pjesëmarrësit në vlerësim u përmend se perceptimi i sektorit privat, kryesisht bordeve dhe drejtuesve menaxherialë drejt sigurisë kibernetike, ka nevojë për përmirësim të dukshëm. Shpesh, disa shqetësohen për barrierat financiare që siguria kibernetike sjell para tyre. Gjithashtu është e zakonshme që stafi teknik i IT është i përgjithshëm, pra bën gjithçka lidhur me pjesën e kompjuterëve përfshirë sigurinë kibernetike. Stafet e IT kanë mungesë në shprehinë e tyre për të bindur bordet që të marrin masa lidhur me sigurinë kibernetike. Kompanitë shpesh janë të detyruara që të kursejnë në maksimum, çka i detyron të përdorin pajisje të dorës së dytë, çka nënkupton që pjesa e trajnimeve për sigurinë kibernetike konsiderohet një luks.
