Goditjet e ditëve të fundit në infrastrukturën e të dhënave statistikore të shqiptarëve, INSTAT janë një sirenë alarmi për efektshmërinë e masave të ndërmarra pas sulmit kibernetik ndaj portalit online të shërbimeve qeveritare. Hetimet mbi sulmet që gjunjëzuan AKSHI-n janë pezulluar ndërsa përgjegjës nën akuzë janë vetëm punonjësit fundorë që nuk përditësuan antiviruset.
Rritja e strukturave të reja në mbrojtjen kibernetike dhe pagave të punonjësve të tyre nuk është shoqëruar me bashkëpunimin dhe transparencën e duhur.
Nga Anila Hoxha
Në një postim në profilin e tyre në rrjetin Telegram, grupi famëkeq i hakerave “Homeland Justice”, premtoi shitjen e të dhenave të hakeruara nga serverat e një kompanie telefonike në Shqipëri, plot 259 terabyte të dhëna, me vlerën e 1 Bitcoin ose rreth 40 mijë euro. Ende nuk është bërë publike përmbajtja, por përveç të dhënave personale, kompanitë e telefonisë janë të detyruara të ruajnë për një periudhë 2-vjeçare të dhënat e telefonatave të kryera nga klientët e tyre, duke u klasifikuar si infrastrukturë kritike nga legjislacioni shqiptar.
Po atë ditë, logo e grupit “Homeland Justice” u shfaq në ballinën kryesore të faqes zyrtare të internetit të Kuvendit të Shqipërisë duke dëshmuar infiltrimin në serverin e një prej institucioneve më të rëndësishme në vend. Një seri sulmesh të reja u njoftuan edhe nga disa banka të nivelit të dytë në vend, por pa arritur të shkaktojnë dëme, të paktën nga ajo që dihet deri tani.
Pa u mbushur dy vite nga sulmet që gjunjëzuan sistemet shtetërore shqiptare dhe garancive të ofruara nga autoritet vendase dhe partnerët e huaj të thirrur në ndihmë, hakerat iranianë kanë goditur sërish infrastrukturën sensitive, duke ngritur dyshime për efektshmërinë e masave të ndërmarra.
Opozita akuzon kryeministrin Rama, hetimet pezullohen për mungesë provash
Sulmet kibernetike të viteve të fundit ndaj institucioneve kryesore shqiptare kanë ekspozuar tashmë publikisht të dhënat personale të qytetarëve shqiptarë. Kartat e identitetit, pagat, numrat e telefonit apo edhe targat e makinave, janë informacione të aksesueshme nga çdokush që i kërkon.
Opozita, vuri në shenjëstër qeverinë si autore të këtyre sulmeve. Liderët e opozitës Sali Berisha dhe Ilir Meta deklaruan se ky është një sulm i orkestruar nga Edi Rama. Mediat nga ana tjetër e cilësuan si një sulm që vinte nga Rusia në bashkëpunim me Serbinë, një version që në këto raportime u lidh edhe me agresionin rus ndaj Ukrainës.
Në 7 shtator 2022, qeveria shqiptare njoftoi ndërprerjen e marrëdhënieve diplomatike me Iranin, duke e akuzar atë si urdhëruesin e sulmeve si një hakmarrje për mirëpritjen e opozitarëve iranianë në territorin shqiptar. Kjo u shoqërua edhe me dëbimin e një të riu iranian me shtëtësi Italiane nga Shqipëria. Akuzat e opozitës ndaj kryeministrit Edi Rama kanë vijuar edhe gjatë 2024. Lideri i opozitës Sali Berisha i cili ështe edhe i arrestuar ka pretenduar se kryeministri Rama ka nxjerrë informacione të klasifikuara dhe ja ka shitur ato armiqve të Shqipërisë por edhe të Natos Berisha i referohet shitjes së të dhënave sekrete të TIMS.
Por ndërsa akuzat vijojnë, çështja po hetohet nga prokuroria e Tiranës për katër akuza të lidhura me “përgjim të paligjshëm të të dhënave kompjuterike”, “ndërhyrje në të dhënat kompjuterike”, “ndërhyrje në sistemet kompjuterike“, “keqpërdorim i pajisjeve“, të cilat dyshohet se kanë dirigjente Gardën Revolucionare Iraniane dhe Ministrinë e Inteligjencës së këtij vendi.
Zyra e shtypit në prokurorinë e kryeqytetit konfirmon në përgjigje të kërkesës së “Faktoje” se janë pezulluar hetimet duke mos mundur të përpilohet akuzë zyrtare mbi organizatorët e sulmit që paralizoi shërbimet online qeveritare. Pezullimi i hetimeve ka ndodhur mbasi grupi i hetimit po pret përgjigjet e letërporosive të dërguara në disa shtete. Dosja e sulmeve të organizuara në disa episode me numër Nr.5430, ka vetëm një rezultat me fraksion një, ku finalizohet një segment i hetimit mbi pesë nëpunës shqiptarë të dyshuar për shpërdorim detyre, por që është larg autorëve të sulmeve.
“Në 15 korrik 2022 aktorët kibernetikë shtetërorë iranianë – të identifikuar si “Drejtësia e Atdheut” (Homeland Justice) nisën një sulm kibernetik shkatërrues kundër qeverisë së Shqipërisë, i cili i bëri faqet e internetit dhe shërbimet të padisponueshme. Një hetim konfidencial i Agjencisë Partnere të Investigimit tregon se aktorët kibernetikë shtetërore iranianë patën akses fillestar në rrjetën e viktimës afërsisht 14 muaj para se të nisnin sulmin shkatërrues kibernetik, i cili përfshinte një kodues skedari të stilit ransomëare dhe një malëare për fshirjen e diskut. Aktorët mbajtën akses të vazhdueshëm në rrjet përafërsisht një vit, duke aksesuar dhe shfrytëzuar periodikisht përmbajtjen e postës elektronike.”
Kështu i argumenton prokuroria e Tiranës sulmet kibernetike ndaj shërbimeve qeveritare online të bashkuar me një agresion kibernetik të mëpasshëm në shtator 2022, nga i cili “Homeland Justice” postoi në Telegram të dhëna dhe dokumenta të Policisë së Shtetit, hakeruar dhe kopjuar prej Ministrisë së Brendshme.
Prej më tepër se një viti, prokurori i dosjes që përfshin të gjitha sulmet deri në shtator 2022, Bledar Valikaj ka “ngecur” në investigimin penal derisa disa shtete t’i përgjigjen me letërporosi. Shkresat e administruara tregojnë se pasi një gjyqtare lëshoi të dhënat e sistemeve kompjuterike dhe ndaloi publikimin e mëtejshëm të dokumentacionit të hakeruar nga sistemet e AKSHI-t dhe të Ministrisë së Brendshme, Shqipëria kërkoi ndihmë juridike nga Britania e Madhe, Federata Ruse dhe Republika Popullore e Kinës për të provuar lidhjet e autorëve të sulmeve dhe publikimit të të dhënave të hakeruara. Përgjigjet nuk janë vendosur ende në dispozicion. Megjithatë prokurori i çështjes, Valikaj shton për “Faktoje” se hetimet po vazhdojnë.
“Kemi zbardhur mekanizmin e ngjarjes dhe burimin e sulmit , i cili siç është publik, ka burim iranian. Ne nuk mund ngremë akuzë penale ndaj një shteti, sepse përgjegjësia është individuale. Jemi në pritje të përgjigjeve të letërporosive, që bazuar në marrëdhëniet juridiksionale me jashtë, do na sjellin të dhëna përmes të cilave identifikohen personat apo grupi i personave të përfshirë. Përveç kësaj, prokuroria e juridiksionit të përgjithshëm Tiranë ka në dispozicion një vendim gjyqësor, për sekuestrimin e mbylljen e këtij profili, prej nga ku janë publikuar të dhënat e përftuara nga hakerimi. Duke qenë se “Homeland Justice” është domain, i rrjetit Telegram, në Rusi i kemi dërguar edhe Federatës Ruse urdhër ekzekutimi për këtë vendim gjyqësor. Shtetet e tjera ku është përcjellë letërporosi janë Britania e Madhe, Hong Kong, Singapor etj., janë disa shtete dhe IP e identifikuara janë të lëvizshme. Përgjigjet mund të jenë jo të plota, por për të arritur në konkluzion do kryqëzojmë të dhënat” – Bledar Velikaj
Hetime në dy prokurori
Si një ekspert për çështjet e sigurisë kombëtare, Arjan Dyrmishi këmbëngul se megjithëse sulmet kibernetike janë të pashmangshme, sistemet duhet të jenë të afta t’i ndalojnë ato.
“Siguria është cënuar në 3 aspekte: 1) marrja e të dhënave sensitive të qytetarëve, punonjësve të administratës dhe institucioneve të sigurisë 2) marrja e informacioneve dhe dokumenteve zyrtare, përfshirë të klasifikuara, 3) pengimi i funksionimit normal të administratës për një kohë të caktuar, përfshirë Policinë dhe Mbrojtjen. Përsa i përket dështimit, ai konsiston në mungesën e përgatitjes së sistemit të qeverisjes kibernetike dhe mbrojtjes kibernetike për të penguar ose minimizuar pasojat. Kjo mbrojtje ka qenë inekzistente për aq kohë sa sulmuesit kane penetruar në sistemin duke ndenjur për muaj të tërë në sistem duke monitoruar sistemin, vjelur të dhëna dhe në momentin që e panë të përshtatshme e goditën atë duke i mohuar përdoruesve legjitime aksesin në sisteme, përfshirë dhe TIMS”.
Përpara se lufta kibernetike të shpërthente në verën e 2022, me hakera që kishin hyrë në sisteme një vit përpara, një tjetër prej 2017 po drejtohej nga agjencitë ligjzbatuese që kishin rritur vigjilencën për aktivitete spiunazhi nga Irani. Kjo e fundit kulmoi në 2018 me dëbimin e ambasadorit të Iranit në Tiranë, Golam Mohamadnia dhe të shefit të tij të Inteligjencës.
Ndërkohë denoncimi i rastësishëm i një shtetasje që kallëzoi bashkëjetuesin për përdorim të telefonit, solli arrestimin e Bijan Salaman Pooladrag, një 47 vjeçar, ish-anëtar i kampit Ashraf, që u dyshua se ishte rekrutuar nga Garda Revolucionare për spiunazh. Procesi gjyqësor pranë SPAK ngriti dyshime se Pooladrag ishte pjesë e planeve për sulm ndaj Shqipërisë dhe për këtë shkak, mbas dy viteve, në 2022 ai u shpall fajtor për organizatë terroriste dhe kryerje të veprimeve me persona të shpallur. Në fakt personat e tjerë të dyshuar si bashkëpunëtorë të Pooladrag janë pjesë e një tjetër hetimi sekret në SPAK, midis tyre edhe anëtarë të shoqatës kulturore “ASILA”, po ashtu nën hetim, si një nga grupet që u përfshi në sulmet kibernetike.
Dështimi institucional, faji vetëm te punonjësit fundorë
Në dy raporte të kompanisë së kontraktuar “Microsoft” dhe partnerëve amerikanë të FBI zbulohet se institucionet shqiptare që duhet të përballeshin me sulmet kibernetike dështuan në misionin e tyre. Mësohet se në 21 maj 2021 hakerat iranianë shfrytëzuan një “derë të hapur” në faqen qeveritare “www.administrata.al”, duke marrë rolin e administratorit lokal. Me kredenciale të kompromentuara eksfiltruan në janar 2022 rreth 2.7 GB emaile zyrtare të ministrive dhe institucioneve të tjera publike. Operacioni u zhvillua nga katër grupe iraniane kryesuar nga grupi OILRIG (ndryshe Europium), të cilët synuan gjithashtu me programin “ZeroCleare”, fshirjen e të gjithë sistemeve dhe databazeve qeveritare. Raportet konfirmojnë se gjatë 15- 16 korrikut 2022, u fshinë vetëm dhjetë përqind të sistemeve qeveritare, të cilat për fat të mirë u rikthyen në funksion përmes backup dhe recovery.
Fajtorët e vetëm për gjunjëzimin e mbrotjes kibernetike shqiptare mbeten ende dhe sot vetëm pesë punonjësit fundorë të AKSHI-t, të cilët nuk përditësuan antiviruset. Pesë punonjësit A. Gj, A.S, A.S, I.L dhe R. Ll janë të vetmit persona të vendosur nën akuzë për shpërdorim detyre (neni 248 i Kodit Penal). Sipas prokurorisë, për ngritjen e akuzës ndaj tyre grupi i hetimit i referohet gjetjeve të AKSHI-t, ndryshe Agjencisë Kombëtare të Shoqërisë së Informacionit, që ka theksuar se në rast se këta punonjës do kishin vepruar në përputhje me rregulloren e sigurisë së informacionit (datë 17.1.2022) duke kërkuar informacion dhe duke e azhornuar me antiviruse më të fundit, atëherë do ishte zbuluar në sistemet e tyre virusi, i cili ka infektuar fillimisht “administrata.al”, implementuar me share point 2016 dhe i pa-azhornuar në versionin e fundit.
Veç përgjegjësive së tyre, organet e hetimit nuk shpjegojnë në kërkesën për gjykim, nëse është shpërdoruar apo jo detyra nga drejtuesit e tyre. Në një dokument të publikuar në webin e AKSHI-t që i përket vitit 2020 dhe të investiguar nga Faktoje, titulluar “Rregullore e AKSHI-t”, përcaktohet shkalla e hierarkisë dhe përgjegjësisë. Në nenin 6 të saj citohet se “për kontrollin e realizimit të detyrave nga drejtoritë përkatëse, drejtori i përgjithshëm i AKSHI kërkon periodikisht nga drejtuesit e tyre raport me shkrim çdo javë”. Prokuroria argumenton në hetimin e saj një tjetër faktor që ka “lënë jetim” fajin dhe zbulon problematikën në mënyrën e funksionimit të AKSHI. “Ky sistem i prokuruar nga fondet IPA (fondet e Para-Aderimit në Bashkimin Europian) nuk është implementuar, menaxhuar apo ndjekur nga AKSHI, por vetëm është hostuar fizikisht pranë Datacenter-it Qeveritar”. Pra, si një donacion i huaj, sistemi i informimit pas “administrata.al”, i cili hapi portën për aksesin e hakerëve në emailet qeveritare, nuk ka patur mbështetje të vazhdueshme financiare dhe përgjegjësinë afatgjatë për mirëmbajtje.
Masat pas sulmeve të 2022
Në përgjigje të sulmeve kibernetike qeveria shqiptare njoftoi marrjen e një sërë masash për të forcuar arkitekturën e saj të sigurisë kibernetike, duke ngritur një Qendër Operative të Sigurisë Kibernetike dhe përfshirë 289 nga 140 që ishin më parë në listën e infrastrukturave kritike të informacionit dhe infrastrukturave të rëndësishme informative. Ky klasifikim mbulon tashmë sektorë të tillë si institucionet qeveritare, energjinë, shëndetësinë, sektorin financiar/bankar, transportin, telefoninë, ujësjellësat etj. Një qendër kombëtare operacionesh për mbrojtjen kibernetike u krijua brenda Autoritetit Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike (AKCESK), i cili tashmë ka kompetencat e Koordinatorit Kombëtar për Sigurinë Kibernetike.
Agjencia Kombëtare për Shoqërinë e Informacionit (AKSHI), vijon gjithashtu të jetë përgjegjëse për incidentet e sigurisë kibernetike dhe krizat brenda sistemeve qeveritare të komunikimit. Shqipëria ka lidhur marrëveshje për sigurinë kibernetike me Izraelin, Arabinë Saudite dhe Emiratet e Bashkuara Arabe, vende të cilat kanë qënë të sulmuara më parë dhe kanë krijuar eksperiencë në mbrojtjen nga sulmet e hakerave iranianë.
Por ashtu siç konstatohet në Raportin e Komisionit Evropian të vitit 2023 për Shqipërinë, “Autoritetet duhet të forcojnë më tej kapacitetet e sigurisë kibernetike duke përfshirë aktivitetet dhe trajnimet për rritjen e ndërgjegjësimit si dhe bashkëpunimit me sektorin privat dhe shoqërinë civile”.
Të gjitha këto struktura të reja nevojiten sigurisht të kalibrohen se sa funksionale do të jenë në bashkëpunim mes tyre dhe përballjen e sulmeve të reja.
Më 16 qershor 2023, AKSHI miratoi rregulloren për përdorimin e postës elektronike, duke parashikuar si përgjegjësi të njësisë e së Teknologjisë së Informacionit dhe Komunikimit (TIK) detyrën e instalimit dhe përditësimit të programeve antivirus dhe antispyëare. Kjo si një korrigjim i problematikës së konstatuar më parë me përditësimin e antiviruseve dhe përgjegjësisë së munguar të stafeve që do të duhet të kontrollojnë sistemet e ngritura.
Gjithashtu, me qëllim rekrutimin dhe mbajtjen e profesionistëve në një sektor mjaft të paguar si ai i IT, qeveria shtoi pagat dhe përfitimet e tjera për punonjësit e agjencisë. Në tabelën e pagave që AKSHI i vendosi në dispozicion “Faktoje” vërehet se përpos pagës sipas kategorisë, punonjësit ku përfshihen edhe drejtorët e drejtorive paguhen edhe për vështirësi pune. Paga bruto e një drejtori drejtorie ka arritur në fundin e vitit 2023 në rreth 249,237,48 lekë, prej të cilave rreth 160.000 lekë janë shtesa për vështirësi pune. Një pagesë në nivelet e larta të administratës publike në Shqipëri.
Një tjetër institucion i njohur si Autoriteti Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike (AKCESK), i cili është përgjegjës për masat e sigurisë kibernetike dhe funksionon si pikë qendrore kontakti në nivel kombëtar, ishte mesa duket përfituesi kryesor i ndryshimit të fokusit post sulmeve të vitit 2022.
Në përgjigje të kërkesës për informacion, AKCESK pranon se “për të rritur sigurinë kibernetike në vend dhe për të mbrojtur strukturat kritike, bazuar në urdhërin nr.32 , datë 16.03.2023 të kryeministrit është miratuar struktura e re e AKCESK. Nëpërmjet të cilës është ngritur Qendra Kombëtare e Sigurisë Kibernetike ( SOK) . Rezulton se numri i punonjësve është trefishuar nga 24 punonjës në 85 punonjës.” Në funksion të kësaj strukture të re të AKCESK dhe me rekrutime që u pohuan të domosdoshme , rezulton se u miratuan pagat e reja të këtij institucioni duke nisur nga drejtori i përgjithshëm që ka si pagë bruto 967.908 lekë, zv. drejtori i përgjithshëm me pagë 436.550 lekë. Pagat e specialistëve që monitorojnë dhe reagojnë ndaj incidenteve varion nga 196.440 – 274.080 lekë.
“Faktoje” pyeti AKCESK për procedurat e rekrutimit, për të cilët u pretendua rritja e pagave, por përgjigjja ishte se AKCESK i kryen procedurat nëpërmjet shpalljes publike. Nga investigimi, rezulton se në disa raste kriteret e rekrutimeve nuk janë të lidhura me ekspertizën e nevojshme në fushën e sigurisë kibernetike, si rasti i zv.drejtorit të përgjithshëm, që njëkohësisht, është edhe një prej drejtorëve të drejtorive. Sipas ligjit, në mungesë të Drejtorit të Përgjithshëm, autorizimin për marrjen e vendimeve e ka zv.drejtori i përgjithshëm. Pagat e larta në këtë mënyrë rekrutimi favorizuese rrezikojnë të kthehen në një problem për plotësimin e strukturës së këtij institucioni të rëndësishëm me profesionistët e duhur.
Por a po përfiton siguria kibernetike më shumë produkte nga këta punonjës të superpaguar? Sipas burimeve nga kjo drejtori (SOC) pranë AKCESK, kjo strukturë prej 30 punonjësish, kontrollon vetëm 6 infrastruktura kritike në vend dhe nuk ka veprim proaktiv për të parandaluar dhe menaxhuar sulmet dhe incidentet kibernetike në kohë reale. Kjo pasi mungon aksesi teknik i AKCESK në sistemet e informacionit të rëndësishëm publik dhe privat në energji, komunikim, transport etj.
Këtë kompetencë teknike, mësohet se e mban përsëri një qendër tjetër operacionale që mbron infrastruktën e sistemeve qeveritare pranë AKSHI, e cila emërtohet Qendra Qeveritare Operacionale e Sigurisë, e domosdoshme për mbrojtjen nga sulme të mundshme. Mungesa e kompetencës për ndërhyrje pranohet edhe nga AKCESK, i cili në përgjigjen zyrtare paraqet ligjin funksional, i cili parashikon ”miratimin e masave të sigurisë dhe kontrollit për përmbushjen e tyre dhe në asnjë rast nuk ka kompetencë për të patur akses me të drejta administrative të kryejë veprime parandaluese, reaguese dhe menaxhuese për incidentet”.Rezulton gjithashtu se më tepër se një vit e gjysëm nga sulmet kibernetike ende nuk është kryer raportimi mbi incidentet kibernetike nga AKCESK.
Kërkesës së Faktoje për informacion, AKCESK iu përgjigj zyrtarisht se “këto raporte përmbajnë informacione në lidhje me sistemet kritike të afektuara, dobësitë e përdorura nga sulmuesit, teknika dhe taktikat e sulmit dhe të dhëna të tjera sensitive, publikimi i të cilave cënon sigurinë e strukturave kritike dhe të rëndësishme të informacionit dhe sigurinë kombëtare të Republikës së Shqipërisë. Sa më sipër – shton AKCESK-, për shkak të informacionit shumë sensitiv që përmbajnë raportet e analizimit të incidenteve kibernetike, këto raporte nuk mund të bëhen publike”.
Megjithatë, një nga punonjësit në AKCESK, u shpreh në kushtet e anonimitetit se raporti duhej publikuar duke analizuar dobësitë e sistemeve sikundër është bërë i njohur nga AKSHI dhe nga Microsoft, por edhe ndërgjegjësimin e duhur dhe rritjen e bashkëpunimit të aktorëve publikë dhe privatë, ashtu siç konstatohet si një pikë e dobët në raportin vjetor të Komisionit Evropian. “Është detyrim për të informuar publikun sipas shembullit të CISA amerikane, ENISA, EU etj, mbi natyrat e incidenteve, impaktin tek qytetarët, masat e marra dhe aktorët keqdashës. Kjo mund të bëhet duke anonimizuar të dhënat sensitive“-shpjegoi një tjetër punonjës për “Faktoje”. Sulmet e fundit të hakerave iranianë në faqen e internetit të Parlamentit dhe kompanisë “One Albania”, janë një këmbanë alarmi se ka ende shumë për të bërë për të siguruar një mburojë të pathyeshme kibernetike.