Shteti me listë sekrete të teknologjive që cenojnë sigurinë kibernetike

Në funksion të rritjes së sigurisë, qeveria pritet ta hartojë listën e pajisjeve dhe shërbimeve të teknologjisë së informacionit dhe komunikimit që nuk janë të besueshme. Kjo përcaktohet në udhëzimin specifik që është në proces draftimi, sipas të cilit “Lista e Zezë” e pajisjeve do të jetë informacion i klasifikuar. Ekspertë të teknologjisë informative thonë se Kosova ka shumë sisteme të vjetruara dhe të papërditësuara, të cilat përbëjnë rrezik të madh për sigurinë kibernetike.

Ministria e Punëve të Brendshme (MPB) është në proces të hartimit të disa dokumenteve që lidhen me rritjen e sigurisë për t’u mbrojtur nga sulmet e mundshme kibernetike.

Mes tyre është edhe udhëzimi administrativ i cili përcakton hartimin e listës së pajisjeve dhe shërbimeve të teknologjisë së informacionit e komunikimit që nuk janë të besueshme. 

“Teknologji jo të besueshme të TIK-ut u referohet pajisjeve dhe shërbimeve të teknologjisë së informacionit dhe komunikimit (TIK) që nuk përmbushin standardet dhe kërkesat e vendosura të sigurisë, duke përbërë kështu rreziqe të mundshme për sigurinë kibernetike. Një Institucion për Vlerësimin e Sigurisë së TI-së operon sipas udhëzimeve të rrepta dhe është i akredituar nga autoritetet kombëtare ose ndërkombëtare të sigurisë kibernetike për të garantuar paanshmëri, siguri dhe besueshmëri në procesin e vlerësimit”, shkruan në dokument. 

Në lidhje me institucionet publike, prokurimi i produkteve dhe shërbimeve të certifikuara të TIK-ut, varësisht nga vlerësimi i brendshëm, sipas Udhëzimit, do të kufizohet vetëm brenda perimetrit të rrjetit dhe sistemeve të informacionit që ofrojnë shërbimet esenciale ose shërbimet digjitale. Kësisoj ato nuk do të shtrihen në të gjitha rrjetet dhe sistemet e informacionit që nuk kanë rol në ofrimin e shërbimeve të tilla. 

Agjencia për Siguri Kibernetike (ASK) është subjekti përgjegjës për të vlerësuar nëse Produktet dhe Shërbimet e TIK-ut zotërojnë specifikimet teknike dhe veçoritë e duhura të sigurisë.

Ky institucion do të identifikojë dhe hartojë një listë të teknologjive jo të besueshme, e cila do të konsiderohet informacion i klasifikuar. 

“Pasi të miratohen, të gjitha produktet dhe shërbimet e listuara do të ndalohen të përdoren brenda vendit, në kategoritë e subjekteve të përshkruara në nenin 5, paragrafi 1. Lista konsiderohet informacion i klasifikuar sipas nenit 6 paragrafi 1, numri 1.4 i Ligjit nr. 08/L-175 për Mbrojtjen e informacioneve të klasifikuara dhe në listë është aplikuar niveli i klasifikimit ‘konfidencial’. Lista shpaloset vetëm në bazë të nevojës për t’u njohur me kategoritë e subjekteve të përshkruara në nenin 5, paragrafi 1”, shkruan në udhëzim.

E Neni 10 i dokumentit përcakton Kriteret për identifikimin e teknologjive jo të besueshme të Teknologjisë Informative. 

“ASK-ja do të identifikojë teknologjitë jo të besueshme të TIK-ut sipas parimeve të shprehura në Aneksin II dhe do t’i përfshijë ato në listën kombëtare nëse zbatohet një ose më shumë nga kriteret e mëposhtme: Teknologjia e TIK-ut nuk i plotëson standardet e vendosura të sigurisë; Dëshmi për aktivitete të jashtëligjshme, të tilla si përgjimi i të dhënave ose mbledhja e paautorizuar e informacionit; Historia e shkeljeve ose incidenteve të sigurisë; Njohuri për pavlefshmërinë e një certifikate të njohur më parë të vlefshme kombëtare ose të huaj; Ndërprerja e mbështetjes teknike nga prodhuesi ose ofruesi; Teknologjia e TIK-ut konsiderohet e pabesueshme në vendet aleate të Republikës së Kosovës”, shkruan në Udhëzim.

Ekspertë të teknologjisë informative, edhe pse mirëpresin miratimin e dokumenteve të tilla, thonë se ato nuk adresojnë rreziqet kibernetike. 

“Hartimi i këtij Udhëzimi Administrativ është një hap pozitiv, mirëpo mendimi im është se ky udhëzim ka të bëjë më shumë me çështje politike sesa teknike. Qëllimi i tij duhet të jetë parandalimi i përdorimit të pajisjeve që janë në listën e zezë nga Shtetet e Bashkuara të Amerikës, siç është rasti me produktet ‘Huawei’ në pajisjet e rrjeteve telekomunikuese. Unë nuk mund të di me siguri nëse Kosova aktualisht përdor pajisje që do të ndalohen me këtë udhëzim, mirëpo ajo që di me siguri është se Kosova ka shumë sisteme të vjetruara dhe të papërditësuara, të cilat përbëjnë një rrezik të madh për sigurinë kibernetike”, ka thënë Kastriot Fetahaj.

Sipas tij, sulmet e fundit në Shqipëri ndodhën si pasojë e përdorimit të shërbimeve dhe softuerëve të papërditësuar.

“Kjo thekson rëndësinë e mbajtjes së sistemeve të sigurisë të përditësuara dhe të menaxhuara si duhet”, ka thënë ai.

Fetahaj ka përmendur rreziqet që i kanosen Kosovës në fushën kibernetike tek shton se investimet e deritashme nuk janë të mjaftueshme. 

“Kosova është e rrezikuar po ashtu sikur të gjitha shtetet e tjera në Ballkan dhe në Evropë. Rreziqet kryesore përfshijnë sulmet kibernetike nga aktorët shtetërorë grupet kriminale, si dhe dobësitë në infrastrukturën digjitale që mund të shfrytëzohen për ndërhyrje në sistemet publike. Një rast i njohur është sulmi ndaj institucioneve shtetërore përmes ‘ransomware’ ose ndërprerjes së shërbimeve, që ka ndodhur më parë në shtete tjera të rajonit, përfshirë edhe Shqipërinë. Ky lloj sulmi mbetet një kërcënim i mundshëm edhe për Kosovën, duke pasur parasysh dobësitë ekzistuese në infrastrukturën kibernetike, ka thënë ai. “Qeveria nuk ka bërë investime të mjaftueshme në siguri kibernetike. Funksionalizimi i Agjencionit të Sigurisë Kibernetike është zvarritur shumë dhe kjo është një shenjë që qeveria nuk e merr seriozisht rrezikun në sigurinë kibernetike”.

Veç dokumentit për listën e pajisjeve që konsiderohen me rrezikshmëri, Ministria e Brendshme ka nxjerrë në konsultim publik edhe Udhëzimin Administrativ për procedurat dhe masat e reagimit për operatorët e shërbimeve esenciale në rast të incidentit kibernetik, si dhe Udhëzimin mbi kriteret për njoftimin e incidenteve kibernetike lidhur me ofruesit e shërbimeve digjitale. 

Sipas Fetahajt, Kosova do të duhej t’i aplikojë praktikat më të mira ndërkombëtare për adresimin e rreziqeve të krimeve kibernetike, duke u nisur nga krijimi i një kuadri të qartë ligjor ku përfshihen të gjitha aspektet e sigurisë kibernetike.  

“Pastaj është rritja e bashkëpunimit me organizatat ndërkombëtare si NATO, EUROPOL dhe ENISA; Funksionalizimi dhe fuqizimi i Agjencisë së Sigurisë Kibernetike; Avancimi i CERT-it (Computer Emergency Response Team) për reagim të shpejtë dhe efektiv ndaj incidenteve; Investimi në edukim dhe ndërgjegjësim; Ofrimi i trajnimeve për institucionet publike dhe private në identifikimin dhe mbrojtjen nga sulmet kibernetike; Edukimi i publikut për të parandaluar ‘phishing’, ‘ransomware’ dhe sulme të tjera të zakonshme”, ka thënë ai.

Fetahaj ka përmendur edhe rëndësinë e shkëmbimit të informatave me shtetet fqinje dhe partnerët ndërkombëtarë, si dhe pjesëmarrjen e Kosovës në simulime rajonale për reagim ndaj incidenteve kibernetike. Sipas Fetahajt, duhet të ketë edhe stimulim të kompanive private për të adoptuar praktika të mira të sigurisë përmes subvencioneve dhe nismave publike-private.

Kosova ka edhe një Strategji Kombëtare për Sigurinë Kibernetike 2023-2027, e miratuar vitin e kaluar. Sipas këtij dokumenti, përdorimi i teknologjisë së informacionit dhe komunikimit është zgjeruar me shpejtësi prej vitit 2000, ndërsa TIK-u luan rol të rëndësishëm në të gjitha aspektet e shoqërisë. Sipas statistikave botërore të internetit, penetrimi i internetit në Kosovë është 90.4 për qind më 1.6 milion përdorues te internetit. Sipas qeverisë, ky trend i shpërndarjes së internetit dhe përdorimit të pajisjeve të Teknologjisë Informative është i krahasueshëm me vendet e zhvilluara të BE-së, “derisa edhe sjelljet e qytetarëve të Kosovës në internet duket të jenë të ngjashme me trendët globalë”. 

“Hapësira kibernetike mund të konsiderohet një terren i paqëndrueshëm. Aktivitetet kriminale po krijojnë vazhdimisht një kontekst konfliktuoz, ndërsa akterët shtetërorë duhet t’i luftojnë aktivitetet kriminale të cilat kanosin sovranitetin qeveritar ose ekonomik. Në përputhje me këtë, ka evoluar një gamë e gjerë e sulmuesve, motiveve dhe teknikave, të cilat dëshmohen të jenë gjithnjë e më kërcënuese për Kosovën”, shkruan në Strategji. “Aktivitetet kriminale po krijojnë vazhdimisht një kontekst konfliktuoz, ndërsa akterët shtetërorë duhet t’i luftojnë aktivitetet kriminale të cilat kanosin sovranitetin qeveritar ose ekonomik. Në përputhje me këtë, ka evoluar një gamë e gjerë e sulmuesve, motiveve dhe teknikave, të cilat dëshmohen të jenë gjithnjë e më kërcënuese për Kosovën”. 

Në dokument jepet edhe zotimi që Kosova ta fuqizojë bashkëpunimin ndërkombëtar në sigurinë kibernetike duke mbështetur iniciativat, si dhe ta zgjerojë dialogun e Kosovës me BE-në, NATO-n dhe OSBE-në në këtë fushë.