Niveli i menaxhimit të rrezikut kibernetik të qeverisë shqiptare: I mirë, i keq, inekzistent?

Në Shqipëri, një fjalë e urtë thotë: “Çudia më e madhe zgjat 3 ditë”. Me anë të kësaj thënie, shqiptarët shprehin çudinë e tyre se si kriza që përfshiu vendin gjatë dy muajve të fundit u zhduk nga objekti i bisedave pa kuptuar. Për kontekst, në qershor 2022, qeveria shqiptare u detyrua të mbyllte shërbimet e saj elektronike dhe faqet e internetit të qeverisë pasi u godit nga një “sulm masiv kibernetik”. Kjo erdhi dy muaj pasi qeveria shqiptare vendosi të kalojë shumicën e shërbimeve publike tërësisht në formë elektronike.

 

Nëse ky do të ishte incidenti i parë kibernetik në lidhje me qeverinë në Shqipëri, mund të kishim mbajtur një qëndrim më të butë ndaj përpjekjeve të tyre për të funksionuar mirë në fushën dixhitale. Megjithatë, vetëm në dy vitet e fundit, të dhënat e rreth 910,000 shqiptarëve në listën e patronazhistëve, të dhënat personale dhe të pagave për 637,138 shtetas shqiptarë dhe informacione private për targat e makinave dhe numrat e telefonit për 650,000 shqiptarë u zbuluan dhe u bënë pjesë e sferës publike. Këto janë shifra të konsiderueshme duke pasur parasysh se Shqipëria ka një popullsi prej 2.8 milionë banorësh dhe ka një bazë të dhënash diku që përmban të dhëna personale të më shumë se gjysmës së saj. Duke marrë parasysh ndërthurjen fatkeqe të qeverisë me teknologjinë, kalimi në qeverisjen dixhitale është parë si një hap i dyshimtë.

 

Ky shkrim bën një përpjekje të zbardhë situatën që bëri që kryeministri Edi Rama të japë dritën jeshile për dixhitalizimin e shërbimeve bazë të vendit, përgjigjen ndaj sulmit kibernetik dhe pasojat e tij.

 

Arkitektura e qeverisjes dixhitale

 

Qasja ndaj shërbimeve publike në shoqërine shqiptare post-komuniste ka mbetur e njëjtë në tre dekadat e fundit: shërbime joefikase që duan shumë kohë për t’u marrë dhe për të cilat duhen telefonuar një numër njerëzish – duke ju bërë të mendoni se po kërkoni akses në një informacion sekret shtetëror, e jo për certifikatën e lindjes. Pas shqetësimeve të qytetarëve shqiptarë, kryeministri mendoi se zgjidhja më e mirë do të ishte heqja e të gjitha kontakteve të mundshme mes punonjësit të administratës publike dhe qytetarëve dhe bizneseve.

 

Nëse kanali nuk mund të korruptohet, atëherë vetë korrupsioni nuk duhet të ekzistojë në Shqipëri? – kjo duhet të ketë qenë ajo që ka menduar kryeministri dhe kabineti i tij me këtë ide avantgardë (për Shqipërinë) për t’u kthyer në një qeveri të dixhitalizuar.

 

Strategjia e Axhendës Dixhitale siguroi bazën për zhvillimin e Qeverisjes Dixhitale, taksave elektronike, prokurimit elektronik, doganave elektronike, e-patentave, shërbimeve elektronike të gjobave dhe shërbimeve të tjera elektronike. Kjo u reflektua në krijimin e portalit www.e-albania.al, e vetmja pikë kontakti për shërbimet qeveritare. Nëpërmjet portalit e-Albania, qytetari shqiptar mund të kërkojë dhe të marrë informacion dhe shërbime për 1200 shërbime që ofrohen nga administrata publike. Kjo përkthehet në 95% të shërbimeve publike, krahasuar me 1% të shërbimeve që ofroheshin online në vitin 2014. Nga viti 2020, qytetarët dhe biznesi mund të marrin shërbime publike vetëm online. Qytetarët dhe bizneset aplikojnë përmes platformës e-Albania dhe punonjësit e qeverisë mbledhin të gjitha dokumentet përkatëse të shërbimeve. Ky ndërveprim kalon përmes rrjetit qeveritar GovNet. Në parim, siç tha kryeministri Edi Rama, se tani “shteti shkon te qytetari dhe jo më qytetari te shteti”, dixhitalizimi nuk është i keq në vetvete. Është mungesa e kontrolleve dhe llogaridhënies ajo që cenon të drejtën tonë për të ditur se çfarë po ndodh në Qeverinë Dixhitale.

 

Duke studiuar strategjitë dhe atë që ne mund ta perceptojmë si një punë prej një dekade për planifikimin, buxhetimin dhe zbatimin e dixhitalizimit të vendit, nuk mund të dalim në përfundimin se qeveria nuk kishte mundësi të ishte përgatitur për një sulm kibernetik drejtuar sistemit qeveritar. Pyetja është çfarë ndodhi?

 

Një sukses jetëshkurtër: Mesazhi i gabimit 404 e-Albania

 

Më 18 qershor 2022, Agjencia Kombëtare e Shoqërisë së Informacionit (AKSHI) dha një deklaratë se po bëhej një përpjekje e sinkronizuar, e sofistikuar dhe komplekse nga “jashtë vendit” për të ndërhyrë në sistemin dixhital të qeverisë. Duke qenë se sulmet kibernetike nuk mund të perceptohen si një fenomen i ri në vetvete, AKSHI vendosi protokollet e reagimit për të izoluar infrastrukturën dhe për të mbrojtur të dhënat dhe informacionin personal. Kjo qasje bllokoi qytetarët për të hyrë në e-Albania dhe faqet e tjera të internetit në rrjetin qeveritar (GovNet), duke rezultuar në një paralizë të shtetit.

 

Strategjia Kombëtare e Sigurisë Kibernetike 2020-2025 pranoi mungesën e mjeteve të duhura për të marrë inteligjencë të nevojshme për aktivitetet e zbatimit të ligjit dhe mungesën e burimeve njerëzore me aftësi dhe kualifikime të përshtatshme për të adresuar sfidat e sigurisë kibernetike. Pavarësisht synimit të tyre për të “garantuar sigurinë kibernetike në nivel kombëtar nëpërmjet mbrojtjes së infrastrukturës së informacionit”, realiteti dëshmoi të kundërtën. Për më tepër, qeverisë jo vetëm iu desh të ndërpriste festimet në lidhje me e-Qeverisjen, por duhej të jepte llogari për çfarë ndodhi, duke përdorur argumentet si më poshtë:

 

  1. e-Albania nuk ruan të dhëna.

 

Diskutimi më i madhe ishte sa të dhëna personale mund të kishin dalë nga ky sulm kompjuterik. Qytetarët ishin të shqetësuar, që të dhënat e tyre personale të ruajtura në GovNet dhe e-Albania, mund të dilnin në Dark Web. Qeveritarët kanë deklaruar në rrjedhjet e mëparshme të të dhënave se e-Albania nuk ruan të dhëna personale dhe se funksionon vetëm si një portal që lidh përdoruesin me gjendjen civile. Megjithatë, kjo do të nënkuptonte shpërfilljen e të gjitha teorive që thonë se ne lëmë gjurmë dixhitale në hapësirën kibernetike. Gjurmët e të dhënave që lëmë pas kur qasemi në portal, informacionet tona të hyrjes dhe të dhëna të tjera “metadata” do të ishin të mjaftueshme për të na dëmtuar nëse bien në duar të gabuara.

 

  1. Edhe qeveritë e tjera u hakeruan.

 

Raporti Significant Cyber Incidents nga CSIS tregon se kjo deklaratë është e vërtetë: rreth 70 sulme kibernetike kanë ndodhur ndaj agjencive qeveritare, kompanive të mbrojtjes dhe të teknologjisë së lartë, apo krime ekonomike me humbje mbi një milion dollarë, vetëm në vitin 2020 – sulmi kibernetik i e-Albania përfshihej gjithashtu.

 

Veçanërisht në këtë sfond të tensioneve gjeopolitike dhe gjeo-ekonomike, qoftë në formën e ransomware, phishing, apo ndonjë formë tjetër sulmi, qeveria është një objektiv kryesor për hakerat për arsyen kryesore: informacioni privat i qeverisë. Sidoqoftë, kjo nuk nënkupton që qeveritë duhet t’i dorëzohen armikut të padukshëm, por ato duhet të kenë një plan kombëtar të dedikuar reagimit dhe rikuperimit ndaj incidenteve, një program kombëtar për mbrojtjen e infrastrukturës kritike dhe të investojnë në një ekosistem të larmishëm të sigurisë kibernetike. Këto boshllëqe u evidentuan në sulmin e fundit kibernetik të Shqipërisë. Mungesa e një plani për menaxhimin e rrezikut ishte evidente, pasi qeveria vonoi në përgjigjet ndaj mbylljes së faqeve të internetit të qeverisë dhe portalit e-Albania, si rihapja e pikave fizike dhe planeve të tjera të emergjencës që duhet të ishin menduar përpara sulmit.

 

  1. “Ne bëmë më të mirën që mundëm”.

 

Departamenti i IT, ndoshta i nënfinancuar i qeverisë shqiptare, mund të justifikohet deri në një nivel të caktuar për dështimin për t’iu përgjigjur në kohën e duhur sulmit kibernetik. Megjithatë, duke qenë se sulmet kibernetike janë të pashmangshme, qeveria duhet të ketë një reagim kombëtar ndaj incidenteve dhe plan rikuperimi për situatat e ardhshme si ajo e fundit.

 

Një plan i qartë do të përcaktonte siç duhet procedurat e raportimit për të raportuar incidentet kibernetike në Shqipëri, monitorimin aktiv për kërcënimet kibernetike, krijimin e kanaleve për mbledhjen e informacionit mbi kërcënimet, duke bërë përpjekje proaktive për të luftuar kërcënimet kibernetike dhe duke pasur një plan mobilizimi për t’iu përgjigjur në mënyrë efektive situatave të tilla.

 

Në vlerësimin dhe menaxhimin e rrezikut dixhital – i cili i referohet të gjitha pasojave që vijnë nga transformimi dixhital dhe pengon realizimin e objektivave – qeveria shqiptare duhet të fokusohet më tej në rritjen e infrastrukturës fizike, njerëzore dhe logjistike të GovNet, si dhe ndërgjegjësimit për sulmet kibernetike dhe përmirësimi i kapaciteteve të qendrës për të dhënat e qeverisë.

 

Axhendën 2022-2026, qeveria siguron se do të përpiqet të zhvillojë aftësitë për të kufizuar, kontrolluar dhe rikuperuar nga sulmet kibernetike. Ata po eksplorojnë kalimin në teknologjinë cloud, si një teknologji që mund të jetë më elastike dhe e sigurt, duke mbajtur në fokus mbrojtjen e të dhënave personale dhe privatësinë.

 

Pasojat e sulmeve kibernetike

Nëse shikojmë prapa sesi qeveria shqiptare i ka trajtuar tre rrjedhjet e të dhënave në vitet e fundit, do të hasim një mungesë risie në metodologjinë e tyre. Ka qenë një qasje më e përqendruar në “kush mund të marrë fajin për këtë”, sesa “çfarë mund të bëjmë që kjo të mos ndodhë më – të paktën në të ardhmen e afërt”. Kjo nuk arrin të trajtojë natyrën e krimit kompjuterik, si një vepër me një autor anonim që është vështirë të gjurmohet dhe që kryen një krim, elementët e të cilit janë të vështira për t’u provuar.

 

Problemi me lojën e “fajësimit”, veçanërisht për një qeveri që kohët e fundit ka filluar të varet shumë nga teknologjia, është se ajo nuk na sjell diçka pozitive. Nisur nga kjo, disa qeveri po përpiqen të përmirësojnë infrastrukturën e tyre dixhitale, pasi kjo mund t’i ekspozojë ato ndaj një sërë sulmesh kibernetike. Të tjerë po eksplorojnë teknologjinë e bazuar në cloud, duke enkriptuar informacione të ndjeshme dhe duke inkurajuar përdorimin e vërtetimit me dy faktorë dhe trajnimin e punonjësve për higjienën e sigurisë kibernetike. Meqenëse ende nuk është publikuar një raport përfundimtar nga qeveria se cili ishte shkaku mbizotërues i hakërimit, nëse ishte një gabim njerëzor apo një teknologji e pandalshme, ne duhet të jemi për proaktive në sigurimin e fushave kritike kundër sulmeve kibernetike.

 

Ndërkohë që ndodhemi në pritje të sistemit gjyqësor shqiptar për të hetuar se kush, çfarë, pse ndodhi, nuk ka asnjë garanci se kjo nuk do të ndodhë më. Sigurisht, një zgjidhje e propozuar nuk do të ishte izolimi i plotë i dixhitalizimit dhe promovimi i një stili jetese të epokës së gurit. Të kesh frikë nga teknologjia, ndoshta do të rezultonte në më shumë të këqija sesa përfitime. Megjithatë, efektet e një shkeljeje janë të rëndësishme sepse emrat e përdoruesve të komprometuar, informacioni personal, numri i ID-së dhe fjalëkalimet mund të përdoren në sulme të tjera, duke krijuar një treg të konsiderueshëm për kredencialet e vjedhura. Si rezultat, ky bën mirë të jetë incidenti i fundit në lidhje me të dhënat që nuk pasohet nga një hetim dhe përgjigje e plotë ndaj shkeljeve të shumta të të dhënave në Shqipëri – për hir të privatësisë së qytetarëve shqiptarë.