BloguBurime LigjoreNdërrmarrësi & TregtiNjë Seri Ngjarjesh Fatkeqe: Shqipëria dhe Mungesa e një Reagimi Kibernetik

July 26, 20220
http://blog.legit.al/wp-content/uploads/2022/07/Nuk-jemi-me-ne-Kansas.png

Dita 456 e ngjarjeve fatkeqe në Shqipëri lidhur me teknologjinë. (Lexo: Nga momenti i publikimit të listës së patronazhistëve.)

Kuptueshëm, si një vend i digjitalizuar së fundmi, priteshin disa vështirësi në lidhje me hapësirën kibernetike. Por episode të tilla si publikimi i listës famëkeqe të patronazhistëve që pasqyronte lidhjet e supozuara politike të pothuajse 1 milion qytetarëve, nxjerrja e të dhënave të pagave, si dhe publikimi i databazës së targave, kanë bërë që shqiptarët të psherëtijnë prej disa kohësh “Pse ne?!”.

Siç thotë një thënie e vjetër shqiptare “Nëse nuk mund të qajmë, do të qeshim”, qytetarët e kanë perceptuar lajmin – se infrastruktura e qeverisë është hakuar – me një sens humori. Për të zbërthyer këtë rrjet akuzash dhe dyshimesh se kush ka bërë çfarë, le të kthehemi në ditën zero: e-Albania nuk po hapej.

 

Kush e fiku Wi-Fi?

 

Më 18 qershor 2022, AKSHI (Agjencia Kombëtare e Shoqërisë së Informacionit të Shqipërisë) sinjalizoi një përpjekje nga “jashtë vendit” për të kryer një sulm kibernetik. ‘Sulmi’ u perceptua si i sinkronizuar, i sofistikuar dhe kompleks. Për këtë arsye, agjenica filloi të ndiqte protokollet e reagimit. Protokollet e përgjigjes duhej të izolonin infrastrukturën dhe sistemet qeveritare në mënyrë që të mbroheshin të dhënat e ruajtura në sistemet qeveritare. Si rezultat, qytetarët nuk kanë qenë në gjendje të aksesojnë shërbimet publike dhe faqet e tjera të internetit qeveritare në internet.

Konflikti konceptual është se vetëm pak kohë më parë kryeministri Edi Rama prezantoi nismën për dixhitalizimin e infrastrukturës qeveritare në Shqipëri. Qëllimi ishte pozitiv – si një luftë kundër korrupsionit, por ekzekutimi, siç pritej, ishte me të meta. Vetëm tre muaj në vend, vendi u paralizua nga një sulm kibernetik, dhe njerëzit nuk mund të hynin në sisteme për të vazhduar jetën e tyre të përditshme për më shumë se tre ditë. Përveç kësaj, digjitalizimi i shërbimeve preku grupet e margjinalizuara dhe i bëri ata të pambrojtur ndaj shfrytëzimit nga palët e tjera (bizneset publike apo profesionistë të pavarur) të cilët e kanë kthyer ndërmjetësimin qytetar në një biznes kundrejt e-Albania. 

Në fund, asnjë vlerësim rreziku se si kjo do të ndikonte në të drejtat dhe aksesin e grupeve të caktuara si të moshuarit, personat me aftësi të kufizuara, personat që nuk kanë njohuri digjitale apo akses në internet etj., nuk u bë publik përpara se të vendosej heqja e sporteleve ADISA. Për më tepër, asnjë vlerësimin rrisku nuk u bë dhe në lidhje me aksesin në shërbimet publike qeveritare, në rast të një situate aq të rëndë sa për të njoftuar gjendjen e krizës kibernetike (gjë e cila nuk u bë në këtë rast).

Gjithsesi, megjithë përpjekjet e tyre për t’ia vënë fajin teknologjisë së avancuar të sulmeve kibernetike dhe për t’u fshehur pas justifikimit se “të njëjtin fat si ne e kanë hasur edhe vendet e tjera” – fakti që qeveria shqiptare nuk kishte parashikuar një plan emergjence për iniciativën e tyre digjitale po perceptohet negativisht.

Meqenëse nuk ka ende një deklaratë publike për atë që ndodhi dhe tani që qeveria është kthyer përsëri në linjë (me disa shërbime ende jo të aksesueshme), le të nxjerrim disa hipoteza për atë që mund të ketë ndodhur, duke analizuar tre skenarë:

  1. Malware në sistem
  2. Botnet dhe DDoS, dhe
  3. Mungesë e infrastrukturës së sigurt

 

Skenarët e mundshëm për atë që mund të ketë ndodhur

 

Skenari i Parë: Malware në sistem

 

Një malware përkufizohet si:

“Një program kompjuterik që vendoset në mënyrë të fshehtë në një kompjuter me qëllimin për të rrezikuar privatësinë, saktësinë ose besueshmërinë e të dhënave, aplikacioneve ose sistemit operativ të kompjuterit”.

Ai perceptohet si kërcënimi dominues i sigurisë kibernetike i lehtësuar duke përdorur ransomware dhe fushata për të kërkuar dëmshpërblim për të dhënat. Ky argument bazohet në lajmin e pakonfirmuar në gazetën Top-Channel se hakerët kishin koduar dosjet si përgjigje ndaj politikës së Shqipërisë për të pritur opozitën iraniane dhe ata kërkonin 30 milionë euro në bitcoin si ransomëare. Ky lajm u konsiderua i rremë nga kryeministri Rama, megjithatë, për hir të argumentit, le ta shqyrtojmë më thellë këtë skenar.

Një shembull i spikatur i një sulmi ransomëare ishte cryptoworm ransomware WannaCry, i cili targetonte kompjuterët që përdornin sistemin operativ Microsoft Windows. Malware përfitoi nga dobësitë në sistemet Windows, hoqi aksesin e përdoruesit duke enkriptuar skedarët dhe kërkoi pagesë për t’i dhënë përsëri aksesin përdoruesve të këtij sistemi. Stacionet kompjuterike të punonjësve u bllokuan, skedarët e tyre u koduan dhe një kërkesë për shpërblim të bazuar në kohëmatës u shfaq në ekranet e përdoruesve të Window. Ky opsion është më pak i besueshëm të ketë ndodhur kundër të tjerëve, pasi një tipar i këtij lloji sulmi është nevoja për të bërë publike dhe për të bërë të ditur se është me të vërtetë një sulm ransomware.

Skenari i Dytë: Botnets and DDoS

 

Një hipotezë që është në tryezë për atë që ndodhi përfshin përdorimin e botnets dhe DDoS.

Botnet-et janë:

“Ciruse trojan të veçantë për të shkelur sigurinë e kompjuterëve të disa përdoruesve, për të marrë kontrollin e secilit kompjuter dhe për të organizuar të gjitha makinat e infektuara në një rrjet “bots” që krimineli mund t’i menaxhojë nga distanca”.

Këto sisteme të shpërndara vihen në punë për të kryer sulme të shpërndara të mohimit të shërbimit (DDoS), serverët targetohen me vëllime të larta të kërkesave legjitime derisa serveri nuk mund të përballojë këtë fluks. Shërbimet e e-Albania dhe të faqeve qeveritare, të ruajtura në serversa specifik, janë jashtë linje përkohësisht, por sulmet DDoS nuk janë të përhershme dhe ndikimet shpesh zgjidhen pasi serverët të kthehen në internet. Megjithatë, kohëzgjatja joproduktive mund të shkaktojë kosto të konsiderueshme ekonomike, të sigurisë ose politike.

 

Skenari i Tretë: Mungesa e infrastrukturës në vend

 

Nëse secili nga skenarët e parë është i vërtetë, rrjedhimisht skenari i tretë është i vërtetë. AKSHI (Agjencia Kombëtare e Shoqërisë së Informacionit) është institucioni shqiptar me mision zhvillimin dhe administrimin e sistemeve shtetërore të informacionit. Portali e-Albania, i cili shërben si portë hyrëse për çdo qytetar të interesuar në shërbimet e ofruara nga institucionet publike në Shqipëri nëpërmjet mjeteve elektronike, është krijuar dhe administrohet nga AKSHI.

Pa dyshim, ka një konsensus mes shqiptarëve se siguria kibernetike nuk është një sfidë e lehtë për asnjë qeveri, duke përfshirë një vend të vogël me burime jo të mjaftueshme njerëzore dhe financiare si Shqipëria. Gjithsesi, dilema vërtitet rreth pyetjes si qeveria ndërmori nismën për mbylljen e të gjitha zyrave të shërbimit dhe digjitalizimin e qeverisë pa bërë kontrollet e duhura se ky sistem ishte (pothuajse) i padeportueshëm? 

Në Strategjinë Kombëtare të Sigurisë Kibernetike 2020-2025, pranohet se qeverisë i mungojnë mjetet e nevojshme për të evidentuar të dhëna (data) për t’u ardhur në ndihmë organeve hetimore në Shqipëri, si dhe burimet njerëzore me kualifikime të përshtatshme për të adresuar sulmet kompjuterike. Pavarësisht synimit për të “garantuar sigurinë kibernetike në nivel kombëtar nëpërmjet mbrojtjes së infrastrukturës së informacionit”, realiteti dëshmoi të kundërtën.

Për më tepër, shpenzimet e nevojshme për zbatimin e Strategjisë, përkatësisht për objektivat specifike për përmirësimin e kuadrit ligjor dhe përafrimin e këtij kuadri me direktivat dhe rregulloret e Bashkimit Evropian, për të forcuar infrastrukturën kritike dhe të rëndësishme të informacionit, dhe për të përmirësuar infrastrukturën e informacionit për të luftuar krimin kibernetik, akordohen në 46,133,8491 lekë ngushtësisht për periudhën 2021-2022. Kur të vijë koha për të matur koston e këtij incidenti, është thelbësore të kryhet një hetim nëse paratë e taksapaguesve janë shpenzuar siç duhet (epo, duke gjykuar nga rezultati – pa koment).

Gjithçka ka të bëjë me faktin se efektet e një incidenti të tillë janë të rëndësishme, pasi emrat e përdoruesve të komprometuar, informacioni personal, numri i ID-së dhe fjalëkalimet mund të përdoren në sulme të tjera, duke krijuar një treg të konsiderueshëm për kredencialet e vjedhura. Si rezultat, ky duhet të jetë incidenti i fundit në lidhje me të dhënat që nuk pasohet nga një hetim dhe përgjigje e plotë ndaj shkeljeve të shumta të të dhënave.

 

Kthehemi online – Cili është rendi i ditës? 

 

Duke qenë se faqet e qeverisë janë bërë të aksesueshme për qytetarët, mund të supozojmë se alarmi i kuq ka kaluar. Nëse nga momenti i aludimit për aktivitetin e pazakontë në serverat, deri në neutralizimin përfundimisht të situatës, ka qenë një situatë alarmante që kërkonte urgjencën për kthimin e shërbimeve, tani qeveria dhe prokuroria do të jenë në kërkim të “çfarë ndodhi dhe kush bëri çfarë?”.

Realiteti është se ka pak ose aspak të dhëna për aktorët e kërcënimit të sigurisë kibernetike në Shqipëri. Meqenëse nuk kemi ndonjë informacion përfundimtar, mund të shqyrtojmë të gjitha mundësitë për atë që ka ndodhur, duke përmendur gabimin njerëzor, shkaqet natyrore, defektet teknike ose sulmet. Megjithatë, gjetja e përgjegjësve mund të jetë e vështirë. 

Në tërësi, Kodi Penal ofron një bazë ligjore të përshtatshme për të ndjekur penalisht autorin (nëse identifikohet). Në rast se konstatohet se bëhet fjalë për sulm të mohimit të shërbimit (DDoS), parashikohet se krijimi i pengesave të rënda dhe të paautorizuara për të dëmtuar funksionimin e një sistemi kompjuterik dënohet me burgim nga tre deri në shtatë vjet. Infektimi i sistemeve të IT me malware (duke përfshirë ransomware, spyware, worms, trojans dhe viruse) dënohet me burgim nga gjashtë muaj deri në tre vjet.

Çdo aktivitet tjetër që ndikon negativisht ose kërcënon sigurinë, konfidencialitetin, integritetin ose disponueshmërinë e çdo sistemi IT, infrastrukturës, rrjetit të komunikimit, pajisjes ose të dhënave siguron dëmtim, deformim, ndryshim ose fshirje të paautorizuar të të dhënave kompjuterike, kur bëhet në lidhje me çështjet ushtarake, të dhënat kompjuterike, siguria kombëtare, rendi publik, mbrojtja civile dhe shëndetësia ose në çdo të dhënë tjetër kompjuterike me rëndësi publike, dënohet me burgim nga tre gjer në 10 vjet.

Interesant është fakti se Ligji Nr. 2/2017 “Për sigurinë kibernetike” parashikon se moszbatimi i masave të sigurisë kibernetike nga një organizatë nuk përbën vepër penale, por konsiderohet shkelje administrative dhe dënohet me gjobë. Ndërprerjet e zgjatura të shërbimit janë ndjerë nga e gjithë popullata dhe duhet të bëhet ende një vlerësim për ndikimin që ka pasur në punën dhe jetën e qytetarëve shqiptarë. Megjithatë, është e dyshimtë se si do të atashohet përgjegjësia jo vetëm tek ata që kryen krime të sigurisë kombëtare, tek ata që nuk arritën të mbronin sistemin.

Lufta kundër krimit kibernetik duhet të jetë më shumë sesa të zgjidhet në masa ligjore ex ante. Në vend të kësaj, qeveria duhet të mësojë nga mësimet e saj të panumërta për shkeljet e sigurisë se duhet të marrë një qasje më holistike për të siguruar elementin kryesor që na nevojitet në shoqërinë e sotme – të dhënat.

Në këto kushte duhet të mendojmë patjetër të marrim një numër të ri personal.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

http://blog.legit.al/wp-content/uploads/2020/12/logit-white-red-icon.png
Tirana, Albania & Pristina, Kosovo
+ 355 69 634 0059
info@legit.al

Follow us:

STAY INFORMED

Subscribe


Legit.al. Calls may be recorded for quality and training purposes.

Copyright © Legit 2020