SPAK të hetoj daljen e të dhënave/ Raporti investigues i KLSH për drejtimin e AKSHI-t! Mungon ‘regjistri i incidenteve’.

73
Sigal

Mos identifikimii elementëve kritikë, ka bërë që procesi i centralizimit të shërbimeve publike nga institucionet qeveritare nën përgjegjësinë e Keshillit të Ministrave të mos rezultojë i mirë planifikuar, duke vulosur dështimin e AKSHI-t

 

Gjetjet janë shqetësuese dhe ngrenë shumë pikëpyetje për sigurinë në të cilën është realizuar procesi në periudhën 2017-2020. Ajo që ka rezultuar nga auditimi është se procesi i përqëndrimit të strukturës së AKSHI-t ka rezultuar efektiv në drejtim të rritjes së numrit të shërbimeve, por pjesërisht efektiv në drejtim të përqëndrimit të burimeve njerëzore dhe aseteve.

 Raporti shqetësues i KLSH për drejtimin e AKSHI-t! Mungon ‘regjistri i incidenteve’

 

Kohët e fundit Shqipëria po përballet me sulme të vazhdueshme kibernetike ku kanë dalë të dhëna sensitive të qytetarëve e zyrtarëve shqiptarë. Sulmi më i madh është ai i korrikut të këtij viti që ka vënë në pikëpyetje jo vetëm mënyrën sesi e ka menaxhuar Agjencia Kombëtare e Shoqërisë së Informacionit procesin e digjitalizimit të shërbimeve publike, por edhe efektivitetin e investimeve të kushtueshme, që janë kryer për këtë qëllim. Raporti i Byrosë Federale të Hetimeve (FBI) mbi hetimin e sulmit kibernetik ndaj shtetit shqiptar, ka dalë në konkluzionin se sulmi ka nisur 14 muaj më parë. Sipas raportit, sulmuesit kanë shfrytëzuar dobësitë e sistemit të lidhur me AKSHI-n dhe janë infiltruar në infrastrukturën teknologjike të shtetit shqiptar. E kjo ngre pikëpyetje nëse drejtimi i AKSHI-t nga Mirlinda Karcanaj ka qenë eficent dhe nëse procesit të digjitalizimit të shërbimeve publike i është dhënë rëndësia e duhur për vetë natyrën që përfaqëson. Kontrolli i Lartë i Shtetit ka marrë në analizë mënyrën sesi është bërë procesi i centralizimit të shërbimeve publike nga institucionet qeveritare tek AKSHI duke nxjerrë në pah një sërë të metash në rolin e AKSHI-t në këtë drejtim. Auditimi i performancës së AKSHI-t nisi nga viti 2017, kur u mor vendimi që disa shërbime publike, sëbashku me stafet e IT-së dhe asetet e disa institucioneve të transferoheshin te AKSHI. Praktikisht, i gjithë rrjeti i Teknologjisë së Informacionit që ishte i decentralizuar, u vendos që të centralizohej duke kaluar në një dorë të vetme, te AKSHI. Ligjërisht, AKSHI është përgjegjës për administrimin e sistemeve IT softëare dhe infrastrukturën hardëare për institucionet, që janë nën përgjegjësinë e Këshillit të Ministrave, përfshirë edhe për sigurinë kibernetike të tyre. Por nëse lexon raportin, del në konkluzionin se ky proces i një rëndësie kaq madhore, është trajtuar duke mos i dhënë rëndësinë e duhur. Por, cilat janë konkluzionet e auditimit të performancës nga KLSH?

Gjetjet janë shqetësuese dhe ngrenë shumë pikëpyetje për sigurinë në të cilën është realizuar procesi në periudhën 2017-2020. Ajo që ka rezultuar nga auditimi është se procesi i përqëndrimit të strukturës së AKSHI-t ka rezultuar efektiv në drejtim të rritjes së numrit të shërbimeve, por pjesërisht efektiv në drejtim të përqëndrimit të burimeve njerëzore dhe aseteve. “Procesi i qendërzimit të infrastrukturës së Teknologjisë së Informacionit të AKSHI ka rezultuar me ekonomicitet, por rezultatet mund dhe duhet të ishin më të larta. Me gjithë përpjekjet e bëra, AKSHI nuk ka marrë masa të mjaftueshme rregullatore dhe organizative për menaxhimin e ndryshimit. Në gjykimin tonë, mungesa e identifikimit dhe administrimit të elementëve kritikë në funksion të përcaktimeve të VM nr. 673 ka bërë që procesi i qendërzimit të strukturave dhe infrastrukturave të institucioneve dhe organeve të administratës shtetërore nën përgjegjësinë e Këshillit të Ministrave të mos rezultojë i mirëplanifikuar. Ky proces ka ndikuar gjithashtu në mos maksimizimin e ndërveprimit dhe bashkëpunimit të sistemeve të informacionit në lidhje me automatizimin dhe bashkëveprimin e të dhënave”- shkruhet në raportin e KLSH-së. Një problematikë tjetër shqetësuese për rolin e AKSHI-t është ajo që lidhet me mënyrën sesi ky institucion u jepte zgjidhje incidenteve kibernetike. “Ofruesi i shërbimit (AKSHI) duhet të zotërojë një bazë të dhënash të gabimeve të njohura dhe historikun e incidenteve të mëparshme. Me anë të procedures së administrimit të problemeve ofruesi i shërbimit (AKSHI) duhet të kryejë analizën e prirjes së informacionit për të identifikuar rrënjët e incidenteve dhe mundësitë për të parandaluar ndodhjen e tyre. Ofruesi i shërbimit (AKSHI) duhet të jetë i disponueshëm për të ofruar shërbim në institucionin përfitues të këtij shërbimi që janë institucionet përfituese. Për plotësimin e këtyre kërkesave thelbësore grupi i auditimit nuk administroi asnjë dokument që të vërtetonte që këto pika ishin trajtuar. Drejtoritë apo sektorët e TIK të AKSHI-t të atashuar pranë institucioneve i menaxhojnë risqet mbi bazë ngjarjesh. Suporti, mbështetje teknike dhe logjike për operacionet IT kryhen nëpërmjet shkëmbimeve verbale dhe nuk dokumentohen“,- shkruhet në raportin e audituesve të KLSH-së. Më tej, në raport, grupi i auditimit e ka konsideruar procesin e qendërzimit të strukturave dhe infrastrukturave TIK në AKSH si “një proces dinamik, i cili krahas avantazheve paraqet risk të mbartur për sigurinë e informacionit”. “AKSHI duke konsideruar procesin e qendërzimit të strukturave dhe Minifrastrukturave TIK në përputhje me VRM 673 datë 22.11.2017 si një proces dinamik të vlerësojë riskun e mbartur që sjell përqëndrimi i këtyre aseteve e burime njerëzore në sigurinë e informacionit dhe marrë masa për minimizimin e tij” përfundonte raporti i KLSH-së. Raporti vlerëson pozitivisht parimin e procesit të qëndërzimit të shërbimeve, por vë seriozisht në pikëpyetje seriozitetin me të cilin AKSHI e ka trajtuar këtë proces.