Sulmet kibernetike mbi sistemet dixhitale dhe kompjuterike të qeverisë shqiptare, në mes të korrikut, krijuan dëme, kostot e të cilave mund të jenë të larta në avancë, për shkak se hakerat kanë përvetësuar një seri dokumentesh të rëndësishme në institucione kyçe si Ministria e Jashtme, Agjencia e Kadastrës, Ministria e Financave, ajo e Mbrojtjes etj.
Qytetarët në të gjithë vendin dhe bizneset u përballën gjithashtu me kosto të larta nga mungesa e ofrimit të shërbimeve.
Qindra udhëtime u pezulluan për shkak se, qytetarët nuk shkarkuan dot vaksinat dhe nuk morën dot pasaportat. Komunikimi me Tatimet dhe Qendrën Kombëtare të biznesit u bllokua për disa ditë për të gjithë bizneset, të cilat ishin në kohën e dorëzimit të bilanceve të vitit 2021 dhe tani mund të përballen me gjoba, për shkak të mosrespektimit të afateve.
Përtej dëmeve të momentit, burimet brenda institucioneve të qeverisë, sidomos Ministrisë së Jashtme, Mbrojtjes dhe Hipotekës bëjnë të ditur se kanë humbur dokumente me rëndësi, të cilat edhe në ditën e shtatë pas sulmit nuk janë rikuperuar. Të njëjtat burime thonë se janë rritur shqetësimet për një valë të tretë sulmesh.
Në harkun e një viti, të dhënat sensitive të qytetarëve dhe dokumenteve qeveritare që administrohen nga Agjencia Kombëtare e Shoqërisë së Informacionit (AKSHI) kanë rrjedhur shpeshherë. Fillimisht, një listë me të dhëna sensitive të qytetarëve të Tiranës u publikua në prag të zgjedhjeve të vitit 2021, më pas një listë me pagat dhe targat e automjeteve dhe së fundmi, një sulm i gjerë që erdhi nga jashtë ka përvetësuar një seri dokumentesh të rëndësishme.
Një ekspert i teknologjisë me përvojë të gjatë pune në ngritjen e sistemeve qeveritare dixhitale tha se, rënia e sistemeve të shtetit shqiptar në formën që po i përjetojmë këto ditë është një kronikë e paralajmëruar që në 2017-n, kur Këshilli i Ministrave miratoi VKM Nr. 673, datë 22.11.2017 për riorganizimin e AKSHI-t.
Nëpërmjet atyre ndryshimeve dhe të tjerave që e ndoqën, AKSHI u bë pronar i vetëm, pa asnjë lloj mbikëqyrje i shtetit dixhital, duke qenë edhe politikëbërës, edhe hartues projektesh, edhe prokurues, edhe zbatues, auditues, d.m.th të gjitha. Ky ndryshim komprometoi në mënyrë jashtëzakonisht të rëndë sigurinë e të dhënave dhe kaloi me shumë pak vëmendje dhe komente, si në media ashtu edhe në Parlament, tha eksperti.
Erjona Preçi, eksperte në fushën e sigurisë së informacionit, në Hamburg, Gjermani, tha se sulmi kibernetik në Shqipëri erdhi në një kohë plotësisht të papërshtatshme, ku emigrantët potencialisht mund të shfrytëzojnë sezonin veror për të marrë shërbime në Shqipëri, po ashtu kur qeveria sapo ka marrë vendimin e mbylljes së sporteleve fizike dhe ofrimin e shërbimit vetëm përmes kanaleve dixhitale.
Sipas saj, organet shtetërore, si dhe organizatat e tjera publike apo private, duhet të alokojnë në mënyrë racionale burimet mes mbrojtjes dhe përgjigjes ndaj sulmeve kibernetike. Çdo entitet duhet të ndërtojë dhe të zbatojë procese efektive të menaxhimit të incidenteve të sigurisë së informacionit, duke trajtuar me seriozitet dhe konsistencë të gjitha fazat, tha zonja Preçi.
Qendërzimi i të dhënave ka rritur mundësitë për sulme
Institucionet publike shqiptare, si kudo në botë, disponojnë të dhëna sensitive të qytetarëve të tyre dhe të dhëna të tjera me rëndësi shtetërore, shumë prej tyre klasifikohen me rëndësi të lartë, si Hipoteka, Ministria e Jashtme, Policia, Shërbimi Informativ, Fondi i Sigurimeve Shëndetësore, Regjistri i Gjendjes Civile.
Eksperti i IT, i cili dëshiroi të fliste në anonimat, tha se kur u krijua baza e të dhënave për të ofruar shërbime në e-Albania, serverët ishin të lidhura kokë me kokë (në gjuhën teknike informacionet ishin më të fragmentuara). Por, për të rritur sigurinë në vitet e mëvonshme, u qendërzuan të dhënat në përputhje me arkitekturën ESB (Platformën unike qeveritare të ndërveprimit) pranë AKSHI.
Kjo do të thotë se tani, informacionet nga të gjitha institucionet grumbullohen në një ESB, e cila monitorohet dhe mirëmbahet nga AKSHI. Ndërveprimi nëpërmjet platformës unike qeveritare lejon shkëmbimin e mesazheve elektronike ndërmjet Government Gateway dhe sistemeve të brendshme.
Infrastruktura mbështetëse që shërben për të shkëmbyer informacion me Platformën Qeveritare të Ndërveprimit është DIS (Department Integration Server). DIS realizon komunikim të dyanshëm, merr kërkesa nga Core Government Gateway / ESB dhe i dërgon drejt sistemeve fundore dhe duke marrë mbrapsht një përgjigje nga sistemi fundor e dërgon drejt Government Gateway Core / ESB.
Ndalimi për disa ditë (ende nuk e dimë se sa kohë do të duhet për t’i kthyer të gjitha shërbimet online) i të gjitha shërbimeve dixhitale të ofruara në AKSHI është i fundit në radhën e incidenteve të sigurisë, në administrimin e sistemeve qeveritare dhe se këto ngjarje janë pasojë e strategjisë totalisht të gabuar që në fillim për përqendrimin e shërbimeve, tha eksperti.
Sulme u kanë ndodhur edhe shteteve të tjera dhe janë hakeruar institucione me infrastrukturë teknologjike dhe njerëzore shumë më të fuqishme se AKSHI. Por nuk ka ndodhur në asnjë vend që të bien në të njëjtën kohë dhe për një kohë kaq të gjatë të gjitha shërbimet dixhitale shtetërore, shtoi ai. Përqendrimi i të dhënave rrit mundësinë për dëm të madh në rast sulmi, si në rastin konkret, në një kohë që ekipet e njësisë për sigurinë kibernetike nuk janë funksionale.
CSIRT, njësia ligjore për sigurinë kibernetike jo eficiente
Në vitin 2017, Parlamenti i Shqipërisë miratoi një ligj “Për Sigurinë Kibernetike”. Qëllimi i këtij ligji është arritja e një niveli të lartë të sigurisë kibernetike.
Në nenin 7 të ligjit është përcaktuar funksionimi i CSIRT (Ekipi i Përgjigjes ndaj Incidenteve të Sigurisë Kompjuterike).
Në ligj, CSIRT është konceptuar si ekip i përgjigjes ndaj incidenteve të sigurisë kompjuterike dhe në përbërje të tij duhet të jenë specialistë të fushës së sigurisë kompjuterike pranë çdo operatori që administron infrastrukturën kritike të informacionit.
Ligji thotë se, operatorët e infrastrukturave të rëndësishme të informacionit duhet të kenë të paktën një person përgjegjës për incidentet e sigurisë kompjuterike. Ministri përgjegjës nxjerr udhëzim për metodologjinë e punës, detyrat që duhet të zbatojnë ekipet, ose personat përgjegjës dhe kriteret e përgjithshme që duhet të respektojnë operatorët në përzgjedhjen tyre.
Por që kur ligji ka hyrë në fuqi, ekipi CSIRT, nuk është bërë funksional, thotë eksperti. “Dhe arsyeja është e thjeshtë, që ky ekip pothuaj nuk ekziston. Me ligj, Autoriteti i Certifikimit Elektronik dhe Sigurisë Kibernetike (CESK), i cili përmban edhe CSIRT-in në strukturë, duhet të ishte i pari në frontin e ‘përleshjes me armikun’ dhe të koordinonin masat mbrojtëse, por ky ekip nuk ekziston”, tha eksperti. Sipas tij, si në të gjithë entet publike, mënyra e përzgjedhjes së stafeve, si dhe dhe në rastin e sigurinë kibernetike, lë shumë për të dëshiruar.
Llojet më të zakonshme të sulmeve kibernetike
Sulmet kundër sistemeve për lehtësi kuptimi nga publiku mund t’i ndajmë në 2 kategori, shpjegon Eksperti i IT:
Të parat, më të zakonshmet, janë sulmet DDoS, të cilat synojnë të pengojnë / pamundësojnë qasjen e përdoruesve në shërbimet dixhitale. Këto lloj sulmesh zakonisht kanë si taktikë të gjenerojnë trafik (kërkesa) të mëdha ndaj sistemeve që ofrojnë shërbimet dhe në këtë mënyrë bllokojnë përdoruesit. Është njësoj sikur të shtohej aq shumë në mënyrë artificiale numri i makinave “fake” në rrugë saqë qytetarëve do t’i bëhej i pamundur përdorimi i rrugës.
Të dytat janë sulmet Ransomware, të cilat synojnë marrjen e aksesit të paautorizuar në sisteme. Këto lloj sulmesh përdorin teknika të sofistikuara dhe janë më të vështira se të parat për t’u kapur dhe për t’u menaxhuar.
Gjasat janë për sulm të llojit Ransomware në Shqipëri
Nga rezultati që kemi parë deri tani, duket që nuk jemi në kategorinë e parë të sulmeve të llojit DDOs, pasi pas mbarimit të sulmit do të duhet të ishin kthyer të gjitha shërbimet në të njëjtën kohë, shprehet eksperti i IT. Ka ndodhur një sulm i tipit Ransomware, pasi ajo që ka ndodhur është që sulmuesit kanë marrë akses në serverat (një ose disa nuk dihet) që mbartin shërbimet qeveritare.
Sipas qeverisë, nuk janë dëmtuar të dhënat, por mesa duket janë dëmtuar vetëm sistemet. Por ajo që nuk dimë është a janë vjedhur të dhëna dhe a janë vjedhur dokumente elektronike. Eksperti i IT shpjegoi se të gjithë kompjuterët personalë të institucioneve qendrore (Ministritë, etj.) janë të lidhur në një rrjet të vetëm. Përdoruesit e këtyre kompjuterëve, për të hyrë në kompjuterin e tyre, duhet të identifikohen në një sistem të vetëm, i cili me shumë gjasa ruan edhe të gjitha dokumentet e prodhuara nga secili përdorues në një vend.
Deri tani, qeveria është prononcuar në lidhje me shërbimet online të cilat janë të prekshme nga qytetarët. Por nëse sulmuesit (që prezumohet të jenë shtete jomiqësore) kanë marrë akses në serverat e AKSHI-t dhe kanë mundur të marrin akses edhe në sistemin e identifikimit, atëherë problemet mund të jenë edhe më të mëdha dhe vërtet ky sulm të jetë kërcënim për sigurinë kombëtare, shpjegoi më tej ai.
Nëpërmjet sistemit të identifikimit, sulmuesit mund të kenë pasur akeses në dokumente të prodhuara në Ministrinë e Jashtme, atë të Mbrojtjes apo Ministrinë e Brendshme, konstatoi eksperti. Natyrisht në kushte normale, në këtë lloj rrjeti nuk do të duhet të kishte informacion të klasifikuar, por asnjëherë nuk mund të jemi të sigurt se çfarë mund të bëjnë përdoruesit e papërgjegjshëm.
Nga ana tjetër, pas “kundërofensivës” së suksesshme, shërbimet po kthehen, por çfarë sigurie kemi që kur armiku iku vetë, nuk na ka lënë të instaluar ndonjë portë të fshehtë që të vazhdojë të bëjë punën e vet në vazhdimësi, shpjegoi ai.
Sulmi mund të ishte frenuar dhe rikuperimi mund të ishte më i shpejtë
Eksperti i IT shpjegon se sulmi në vetvete nuk mund të parandalohet. Ajo që entet përgjegjëse për sigurinë kibernetike mund të bëjnë është që të marrin masa për të minimizuar dëmet, të cilat mund të vijnë nga sulme të tilla. Në botë aplikohen praktika të zakonshme testimi dhe auditimi i sigurisë së sistemeve. Tek ne jo dhe aq, thotë eksperti. Sulmi i fundit tregoi se sistemi ka shfaqur dobësi të cilat janë shfrytëzuar nga sulmuesi.
Në kushtet kur nga qeveria thuhet se në sulm është përfshirë një shtet, atëherë minimalisht duhet të thirrej Komisioni i Sigurisë për t’u informuar dhe për të vlerësuar dëmin dhe pse jo, për të vendosur mbi hapat ligjorë që do të duhet të ndërmerren për të bërë përmirësime për të ardhmen, u shpreh ai.
Eksperti tha se komuniteti i IT në Shqipëri është i shqetësuar për natyrën e sulmit dhe se cila infrastrukturë u sulmua. Në mënyrë që të sigurohet një mbrojtje më e mirë duhen ditur llojet e teknologjisë që janë sulmuar dhe nëse ka teknologji alternative etj. Duhet ditur se cila është arkitektura e sigurisë së komunikimit, të dhënave dhe informacionit, cili defekt i arkitekturës kontribuoi në amplifikimin e dëmit, cila pjesë duhet ndryshuar, cilat sisteme janë prekur dhe si janë prekur.
Cili ishte reagimi dhe sa ishte koha e reagimit. A ka procedura standarde reagimi dhe a u ndoqën këto procedura dhe mbi të gjitha, cili ishte efekti. Gjithashtu duhen marrë masat për të garantuar që sistemet e kthyera në punë janë të pastra. Eksperti ngre dyshime për infrastrukturën e AKSHI-t, për rastet e rikuperimit nga katastrofat. AKSHI duhet t’i sqarojë publikut, nëse ka procedura për këto raste dhe nëse po, si u përdorën për rikuperimin e shërbimeve. Nëse jo, cila ka qenë strategjia alternative dhe sa është koha e parashikuar për kthimin e shërbimeve në rast katastrofash?
Por çështja kryesore që sot shqetëson komunitetin e IT-së është pas skandaleve me tenderët sekretë dhe vlerat jashtë çdo logjike të tyre, pas skandalit me të dhënat personale, pas paralizimit total të shërbimeve dixhitale, duhet një reformë tërësore në burimet njerëzore të AKSHI-it.
Krimet kibernetike, në rritje të shpejtë
Gjatë vitit të kaluar janë proceduar në organet e prokurorisë 231 raste për krime kibernetike, ose 48% më shumë se në vitin 2020. Mirëpo sipas burimeve zyrtare në Prokurorinë e Përgjithshme të referuara në raportet vjetore në vitin 2021, nga 231 kallëzime, vetëm 10 raste janë dërguar në gjykatë. Të dhënat tregojnë se sulmet kibernetike po rriten me shpejtësi. Nga vetëm 115 të tilla që u raportuan në prokurori gjatë vitit 2019, vitin e kaluar, procedimet u rritën më shumë se dyfishi.
Numri më i lartë i procedimeve të regjistruara për krimin kibernetik është në prokuroritë pranë Gjykatës së Shkallës së Parë të Tiranës, me 65% të numrit total të procedimeve të regjistruara për këto vepra, Elbasan dhe Shkodër me 6% të procedimeve të regjistruara, etj. Sipas prokurorisë, rritjen më të madhe brenda krimeve kibernetike e ka mashtrimi me kompjuter dhe ndërhyrja në të dhënat kompjuterike, që është rritur me 37%.
Gjithashtu Shërbimi Informativ ka njoftuar se në vitit 2021 ka arritur të përballojë një numër të madh kërcënimesh kibernetike në perimetrat publikë. Në raportet zyrtare, SHISH deklaron se të gjitha këto kërcënime janë neutralizuar në fazën e hershme, ku është arritur të identifikohet targeti dhe burimi i kërcënimit. Aktorët shtetërorë dhe joshtetërorë të vendeve joperëndimore, si dhe entitetet e lidhura me to, përbëjnë burimin kryesor të kërcënimeve, shoqëruar me aktivitet të përhershëm.
Objekt i sulmeve gjatë 2021 kanë qenë, në pjesën dërrmuese, bazat e të dhënave, infrastrukturat VoIP, si dhe sigurimi i qëndrueshmërisë së depërtimit nëpërmjet serverëve C2 (Command and Control). SHISH ka njoftuar se hapësira kibernetike po shfrytëzohet edhe për operacione informative ndikimi, edhe për shkak se avantazhi dhe dimensioni i ndikimit është më i madh se sa kostoja e tyre dhe rreziku i ekspozimit./ Monitor