Institucionet publike qendrore të vendit deklarojnë për Faktoje se në strukturën e tyre nuk ka një specialist IT. Ky shërbim është i përqëndruar tek insititucioni i AKSHI-t, i cili gjate 12 viteve të fundit ka shpenzuar të paktën 186 milionë euro për tendera që duhet të siguronin ruajten e të dhënave personalë të qytetarëve të shtetit shqiptar. Eksperti i kibernetikës Besmir Semanaj, I pyetur nga Faktoje mbi raportin e AKSHI mbi sulmin kibernetik të 15-16 Korrikut, deklaron se aty mungon shpjegimi se si u arrit infiltrimi i infrastrukturës së AKSHI-t. Faktoje dërgoi një kërkesë për informacion AKSHI-t për të pyetur se si, nga ana teknike, ka qenë i mundur kalimi nga serveri SharePoint administrata.al në netëork/sistemin e AKSHI. Por deri në kohën e publikimt të këtij shkrimi, nuk ka një përgjigje nga ky institucion. Ndërkaq, Prokuroria e Tiranës më 30 nëntor ka kërkuar arrest shtëpie për pesë punonjës IT të DAP nën akuzën e shpërdorimit të detyrës.
Patris Pustina
Në 3 tetor 2022, grupi i hakerave përgjegjës për sulmin kibernetik të Korrikut 2022, Homeland Justice, publikoi në Telegram një listë emrash, fotosh, dhe informacioni personal të një sërë qytetarëve shqiptarë. Dosja e emërtuar “Suspects” (të dyshuar) u përfol se përmbante të dhëna mbi të dyshuarit e policisë dhe kishte rrjedhur specifikisht nga sistemi i brendshëm i Policisë MEMEX.
Më 3 tetor, pyetur mbi burimin e këtyre të dhënave, Ministri i Brendshëm Bledi Çuçi shpjegoi se çështja ishte ende nën hetim dhe nuk dispononte një përgjigje konkrete. Më shumë se tre javë më vonë, më 27 tetor, Ministri përsëriti të njejtin justifikim përpara Komisionit parlamentar për Sigurinë Kombëtare: “Është një çështje që na shqetëson të gjithëve, por e kam shtyrë vetë për arsye se po pres nga dita në ditë raportin e ekspertëve të FBI dhe Microsoft-it, të cilët po punojnë ngushtësisht të dy ekipet dhe raporti pritet të dalë nga dita në ditë.”
Kështu, thuajse dy muaj pas rrjedhjes së të dhënave nga Homeland Justice, nuk ka ende një version zyrtar se si ka ndodhur ngjarja. Për krahasim, pas sulmit të 15 korrikut 2022, që nxorri jashtë funksionit faqet qeveritare dhe shërbimet online për qytetarët, firma e sigurisë kibernetike Mandiant botoi një raport të detajuar mbi ngjarjen më 4 gusht, më pak se 3 javë më vonë.
Më 30 nëntor 2022, Prokuroria e Tiranës kërkoi arrest shtëpie për pesë punonjës IT nën akuzën e shpërdorimit të detyrës “për sulmin kibernetik ndaj institucionit shtetëror të AKSHI-t që përmbledh gjithë faqet zyrtare qeveritare në Republikën e Shqipërisë.” Bëhet fjalë për sulmin kibernetik të Korrikut 2022. Prokuroria pretendon se pesë specialistët e IT në Departamentin e Adminisatratës Publike duhet të kishin kërkuar raportim nga operatori ekonomik i kontraktuar nga DAP për mirëmbajtjen e sistemit administrata.al lidhur me gjendjen e këtij sistemi. Nëse ata do të kishin kërkuar këtë raportim, “atëherë atëherë do ishte zbuluar në sistemet e tyre virusi i cili ka hyrë fillimisht tek administrata.al në mënyrë që të bëhej e mundur neutralizimi i tij pa prekur sistemin e AKSHI-t.”
Në këtë të raport të Prokurorisë, pra, pranohet se sistemi i AKSHI është prekur në incidentin e 15 Korrikut i cili pati si pikë hyrëse serverin administrata.al.
Në raportin e AKSHI mbi sulmin kibernetik të 15-16 Korrikut, një raport i cilësuar nga eksperti i sigurisë kibernetike Besmir Semanaj si më shumë politik se sa teknik, theksohet se infiltrimi është bërë i mundur me anë të shfrytëzimit të vulnerabiliteteve të sistemit administrata.al. “Ky sistem i prokuruar me fonde të IPA-s, nuk është implementuar, menaxhuar apo ndjekur nga AKSHI, por vetëm është hostuar fizikisht pranë Datacenter-it Qeveritar,” deklaron raporti.
Megjithatë, ky raport, megjithëse e quan veten “një analizë e detajuar”, nuk përfshin një shpjegim se si u arrit infiltrimi i infrastrukturës së AKSHI.
Duke folur për Faktoje.al, eksperti i sigurisë kibernetike Besmir Semanaj tha se nëse serveri SharePoint administrata.al nuk ka qenë i menaxhuar nga AKSHI, atëherë ky server duhej të kishte qenë i izoluar. Nëse politikat e sigurisë do të kishin qenë të përditësuara siç duhet, atëherë kalimi nga serveri administrata.al në infrastrukturën e AKSHI nuk duhet të ishte i mundur.
“Faktoje” dërgoi një kërkesë për informacion AKSHI-t për të pyetur se si, nga ana teknike, ka qenë i mundur kalimi nga serveri SharePoint administrata.al në netëork/sistemin e AKSHI. Në kohën e publikimt të këtij shkrimi, ende nuk ka një përgjigje nga ky institucion.
Korniza ligjore
Në një përpjekje për të kuptuar më mirë strukturat e ruajtjes së të dhënave të qytetarëve të Shqipërisë dhe sigurinë kibernetike të sistemeve institucionale të informacionit, Faktoje dërgoi kërkesa informacion tek Ministritë e qeverisë shqiptare. Specifikisht, pyetëm nëse secila Ministri përmbante një drejtori IT (teknologji informacioni) në organikën e saj, dhe çfarë investimesh ishin kryer nga secila Ministri në fushën e sigurisë kibernetike në një periudhë 5-vjeçare.
Pyetjet që “Faktoje” i dërgoi 11 Ministrive
Vetëm 7 nga 11 Ministri iu përgjigjën kërkesave për informacion nga “Faktoje”. Me përjashtim të Ministrisë së Mbrojtjes, të gjitha institucionet që u përgjigjën pohuan se nuk përfshinin në organikë drejtori IT, duke iu referuar Vendimit të Këshillit të Ministrave nr. 673, datë 22.11.2017, “Për riorganizimin e Agjencisë Kombëtare të Shoqërisë së Informacionit“, të ndryshuar.
Përgjigja e Ministrisë së Brendshme kërkesës për infromacion dërguar nga Faktoje
Përgjigja e Ministrisë së Kulturës kërkesës për infromacion dërguar nga Faktoje
Përgjigja e Ministrisë së Drejtësisë kërkesës për informacion dërguar nga Faktoje
Bazuar në këtë VKM, strukturat përgjegjëse TIK janë përthithur nga AKSHI, e cila është përgjegjëse edhe për investimet në siguri. AKSHI ofron shërbimet e përqendruara të TIK-ut për institucionet dhe organet e administratës shtetërore nën përgjegjësinë e Këshillit të Ministrave.
Dispozita 5.1, pika “i” parashikon se AKSHI “përgjigjet për ngritjen, mirëmbajtjen dhe administrimin e sistemeve dhe aplikacioneve të teknologjisë së informacionit dhe komunikimit, për infrastrukturën e qendërzuar dhe infrastrukturën TIK, për institucionet dhe organet e administratës shtetërore nën përgjegjësinë e Këshillit të Ministrave.”
Pra, institucionet shtetërore që aksesojnë dhe administrojnë të dhëna, nuk disponojnë drejtori lokale të teknologjisë së informacionit apo sigurisë kibernetike.
Financimi
Raporti i AKSHI për sulmin e Korrikut, megjithëse supozohet të jetë një analizë teknike, përsërit gjetjen e Microsoft se sulmi ishte koordinuar nga Garda Revolucionare Iraniane. “Buxheti i kësaj të fundit është sa gjysma e GDP-së së Shqipërisë (7 miliardë EUR, nga 14.4 miliardë EUR që është GDP-ja e Shqipërisë për vitin 2021),” deklaron raporti. E vetmja arsye pse ky detaj do të përfshihej në një raport teknik për një sulm kibernetik është për të justifikuar pafuqinë e Agjensisë për të përballuar sulmin e sponsorizuar nga një njësi kaq e mirë-financuar.
Vlen që të njejtën logjikë t’ia ushtrojmë akuzës së Prokurorisë së Tiranës e cila pretendon se, në rast se pesë punonjës IT të DAP “do të kishin vepruar në përputhje me urdhërimet e Rregullores së Sigurisë së Informacionit nr. 337/1 prot., datë 17.01.2022, dhe Rregullores së Brendshme të AKSHI-it duke kërkuar informacion dhe duke u azhornuar me antiviruset më të fundit të sistemit, atëherë do ishte zbuluar në sistemet e tyre virusi i cili ka hyrë fillimisht tek administrata.al në mënyrë që të bëhej e mundur neutralizimi i tij pa prekur sistemin e AKSHI-t.”
Ndërkohë, sipas Agjensisë së Prokurorimeve Publike, në 12 vitet e fundit AKSHI ka shpenzuar nga 186 në 234 milionë euro për tendera.
Kështu, VKM-ja e vitit 2017 ka qendërzuar shërbimet e TIK të administratës shtetërore dhe e ka veshur AKSHI-n me përgjegjësinë për t’i mirëmbajtur dhe administruar ato. Në përputhje me këtë përgjegjësi, Agjensisë i janë vënë në dispozicion miliona euro nga fondet publike, të cilat AKSHI nuk ka ngurruar t’i përdorë.
Pra, siç parashikohet ligjërisht, dhe siç pasqyrohet nga shpenzimet e kryera nga kjo Agjensi, AKSHI është institucioni përgjegjës për mirëmbajtjen e sistemeve të administratës publike.
Ndëshkim apo reflektim
Përcaktimi i saktë i përgjegjësit për dështimin e sigurisë që bëri të mundur sulmin kibernetik të Korrikut ka rëndësi përtej ndëshkimit. Eksperti Semanaj thotë se mospranimi i fajit nga institucionet publike bën të pamundur reflektimin mbi dështimet e sigurisë. Në këto momente, megjithëse të dhënat personale të gjithë shtetasve shqiptarë kanë pushuar së qeni personale, ende nuk ka një njoftim zyrtar për të gjithë viktimat e këtij sulmi lidhur me çfarë nga të dhënat e tyre ka rrjedhur apo një udhëzim zyrtar që informon qytetarët se çfarë masash duhet të marrin që të mbrohen në këtë situatë. Për më tepër, ngurrimi institucional për të pranuar dështimin ka penguar organizmin e një përgjigjeje të koordinuar institucionale ndaj këtij sulmi.
