Raporti, shqiptarët më të pambrojtur nga krimi kibernetik
Shqiptarët mbeten ende në hapat e parë lidhur me sigurinë kibernetike. Shumica janë konservatorë kur vjen puna te shërbimet online që ofrohen nga institucionet, pasi kanë mungesë besimi që kjo praktikë funksionon. Kur vjen puna te përdorimi i rrjeteve sociale, shumica prej tyre nuk kanë filtra sigurie dhe mund të japin lirisht informacion sensitiv. Lidhur me blerjet online vihet re se një pjesë e mirë parapëlqejnë që të përdorin sisteme si Pay Pal, pasi nuk i zënë besë përdorimit direkt të kartave. Raporti për Maturitetin e Sigurisë Kibernetike në Shqipëri ka kaluar në analizë sistemet e institucioneve kryesore, menaxhimin e krizave të sigurisë kibernetike por edhe nevojën për qasje të re të edukimit dhe trajnimeve në sektorin publik dhe privat, duke dhënë përshtypjet dhe rekomandimet për situatën e hasur sot në terren.
Autoriteti Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike kërkoi vitin e shkuar një vlerësim të përgjithshëm të sigurisë kibernetike në vend. Me ndihmën e Bankës Botërore, Qendra Globale për Kapacitetet e Sigurisë Kibernetike zhvilloi një vlerësim të maturitetit të sigurisë kibernetike në Shqipëri, për të mundësuar dhe për të kuptuar nivelin ku ndodhet vendi ynë, si dhe për të marrë masa për investime në kapacitetet e sigurisë kibernetike. Gjatë periudhës 3-4 shtator 2018 u zhvilluan një sërë tryezash me aktorë të ndryshëm nga akademikë, drejtësia, policia, përfaqësues dhe drejtues të drejtorive të teknologjisë dhe informacionit, përfaqësues nga entitetet publike, zotërues të infrastrukturës kritike, politikëbërës, drejtues të Teknologjisë së Informacionit në qeveri dhe sektorin privat, si telekomunikacionet apo bankat.
Vlerësimi u ndal në disa dimensione, duke nisur nga strategjia dhe politikat për sigurinë kibernetike te kultura dhe shoqëria kibernetike, edukimi, trajnimet dhe aftësitë për sigurinë kibernetike, si dhe kuadri ligjor dhe rregullator apo standardet organizative dhe teknologjitë. Analiza e detajuar për çdo dimension doli edhe në disa përfundime që i gjeni më poshtë në formë të shkurtuar, duke cituar raportin.
Strategjia Kombëtare e Sigurisë Kibernetike
Angazhimi i Shqipërisë drejt sigurisë kibernetike ka ecur para, duke adoptuar një sërë strategjish të sigurisë dhe transformimit kombëtar dixhital. Një nga këto është Axhenda Dixhitale e Shqipërisë 2015-2020. Në mes të këtij viti pritet që të kalojë një strategji e dedikuar, e njohur si Strategjia Kombëtare e Sigurisë Kibernetike, e cila është duke u hartuar. Kjo strategji do të përfshijë një program 5-vjeçar për sigurinë kibernetike. Përtej dokumenteve dhe nismave, vlerësimi i përgjithshëm për kornizën e strategjive nga grupi i vlerësimit cilësohet si “formative”, e cila tregon se kemi kuadër të konceptuar por që mbetet i çorganizuar, i konceptuar dobët, ose i ri.
Mbrojtja e infrastrukturës së rëndësishme
Vetëm pak kohë më parë, mbrojtja e infrastrukturës së rëndësishme ishte në hapa embrionikë në Shqipëri. Gjithsesi, tashmë është bërë progres në këtë aspekt. Është përcaktuar me ligj pjesa e masave që duhet të marrin pjesa e institucioneve shtetërore dhe ato private, lidhur me Infrastrukturën e Informacionit Kritik. Operatorët që kanë këtë lloj infrastrukture janë të detyruar që të zbatojnë masa sigurie dhe të dokumentojnë zbatimin e këtij hapi. Lista, e cila u krijua në vitin 2018, mbahet nga Autoriteti Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike.
Menaxhimi i krizave, planifikimi ende i papërfunduar
Ligji për sigurinë kibernetike nënvizon gjendjen e krizave kibernetike, zgjatjen e tyre dhe masat e nivelit të lartë që duhet të merren. Vetëm Këshilli i Ministrave mund të deklarojë krizën dhe Kryeministri të zgjasë gjendjen. Pjesëmarrësit e tregut thanë se palë të interesuara të Infrastrukturës Kritike, si dhe organizata të sektorit financiar, mbajnë plane të ecurisë së biznesit, në varësi të gjendjes kritike të sistemit. Krizat kibernetike nuk cilësohen si të tilla, gjithsesi sektori bankar ka kuptuar nevojën për përpjekje të bashkërenduara.
Bankat po marrin pjesë në Planifikimin e Ecurisë së Biznesit dhe Rikuperimi në raste problematike. Autoriteti i Mbikëqyrjes Financiare ka nisur një program për menaxhimin e krizave që nga tetori i vitit 2018. Albcontrol, si pjesë e Euro, ka plane kontigjence dhe çdo plan, sistem apo softuer është i duplikuar. Edhe Operatori i Sistemit të Transmetimit zhvillon ushtrime të menaxhimit të krizave në bazë vjetore. Kuptohet që menaxhimi i përgjithshëm i krizave është i nevojshëm për sigurinë kombëtare, por siguria kibernetike ende nuk konsiderohet si komponent. Ushtrimet për menaxhimin e krizave mund të jenë konceptuar në princip, por planifikimi për menaxhimin e krizave të sigurisë kibernetike nuk është përfunduar.
Mbrojtja kibernetike, detyrimet që rrjedhin nga NATO
Siguria kibernetike dhe mbrojtja kibernetike janë cilësuar si kyçe në axhendën e Shqipërisë, e lidhur kjo me institucionet. Situata e tyre konsiderohet në një fazë mes konceptimit të kornizës ligjore dhe zbatimit të tyre praktik. Si pjesë e NATO-s, Shqipëria ka qenë e detyruar që të implementojë disa strategji dhe të konceptojë një lloj mbrojtje të kësaj natyre, sipas parimeve që kërkon traktati. Strategjia për mbrojtjen kibernetike ka katër objektiva kryesorë, të lidhur me implementimin e masave organizative dhe teknike të sistemeve të sigurisë kibernetike, zhvillimi i niveleve dhe aftësive të specialistëve për sigurinë kibernetike, rritja e bashkëpunimit me strukturat në nivel kombëtar dhe në kuadër të NATO-s.
Siguria kibernetike, bizneset e mëdha e kalojnë te prioritetet
Ekosistemi kibernetik në Shqipëri është në fazat e tij të hershme. Pjesëmarrësit nënvizuan se në disa agjenci qeveritare dhe kompani të mëdha, çështja e sigurisë kibernetike ka nisur të zhvillohet, por në përgjithësi përdoruesit janë të pavetëdijshëm mbi risqet që lidhen me përdorimin e internetit. Brenda sektorit privat, kompanitë e mëdha kanë nisur të vendosin më shumë në prioritet çështjen e sigurisë kibernetike, duke identifikuar praktikat me risk të lartë. Kjo sigurisht vlen për kompanitë e mëdha, kurse për ndërmarrjet e vogla dhe të mesme, në nivel lokal, ka mungesë të këtij aspekti. Një nga arsyet pse mungon vëmendja te siguria kibernetike lidhet me faktin që në zonat rurale, mbulimi me internet është i kufizuar dhe po kështu, edhe informacioni i njerëzve.
Ofrimi i shërbimeve online, shqiptarët mbeten skeptikë
Raporti vlerëson se ofrimi i shërbimeve online mbetet peng i besimit në internet. Shkalla ku ndodhet sot ky aspekt në Shqipëri sapo ka kaluar nivelin start-up. Qeveria ka vijuar që të rrisë ofrimin e e-shërbimeve në faqe të dedikuara, por ka një perceptim të përgjithshëm se shqiptarët nuk janë familjarizuar me këtë dhe kanë mungesë besimi te shërbimet e formës elektronike që iu ofrohen. Kështu, gjatë kësaj kohe, është ofruar e-albania, e tax, e-prokurimet, por qëndrimi i qytetarëve është disi i ngurtë karshi këtyre, duke pasur parasysh ngjarje të caktuara që ndodhin me internetin. Kompanitë private kanë nisur aplikimin drejt e-cloud, por kjo perceptohet edhe më e vështirë, pasi koncepti është abstrakt dhe jo diçka që mund të preket apo shihet. E-commerce mbetet ende në fazë të hershme dhe vuan nga çështja e besimit.
Sa e kuptojnë përdoruesit mbrojtjen online të të dhënave personale
Në raport, kjo shkallë konsiderohet ende në fillesat e saj. Ndërgjegjësimi për mbrojtjen e të dhënave personale dhe shqetësimi për sigurinë e këtyre të dhënave është në përgjithësi i ulët. Përdoruesit dhe aktorët brenda sektorëve privatë dhe publikë kanë mungesë të njohurive për mënyrën sesi menaxhohet informacioni personal online. Pjesëmarrësit u shprehën se informacioni personal ndahet shpesh përmes medias sociale, sidomos nga përdoruesit e rinj. Mungesa e besimit në privatësi dhe mbrojtja e të dhënave është një nga barrierat më të mëdha për përdorimin më të madh të shërbimeve në internet.
Mekanizmat e raportimit, ekzistojnë por pa konceptim final
Mekanizmat e raportimit të incidenteve online ekzistojnë, por janë ende në fazën e dytë të zhvillimit nga pesë që janë në total. Qytetarët mund t’i denoncojnë ato pranë Policisë së Shtetit, duke u paraqitur vetë aty ose përmes një platforme online. Policia, pasi merr rastet, i ndan ato me institucionet e tjera përgjegjëse. Pavarësisht kësaj, raporti doli në përfundimin se investigimi i krimeve të sigurisë kibernetike nga Policia e Shtetit kufizohet nga burimet e pamjaftueshme dhe mungesa e pajisjeve harduer për të mbuluar pjesën e incidenteve në nivel kombëtar. Ndaj duhet të ketë vëmendje për të mundësuar burimet e mjaftueshme dhe të vijohet me trajnimet e punonjësve të njësisë së dedikuar.
“Çudia më e madhe, tri ditë zgjat”
Media në vetvete dhe media sociale ka një mbulim jo të gjerë të sigurisë kibernetike, me një informacion të limituar sa i përket raportimit të çështjeve specifike që individët hasin online dhe që lidhen me mbrojtjen e fëmijëve apo bulizmin. Po kështu, ka pak debat për sigurinë kibernetike në median sociale. Aktorët që u pyetën thanë se media dhe blogerat në këto rrjete sociale janë më të interesuar për incidentet kibernetike dhe ata që kanë rënë viktima të çështjeve specifike lidhur me bulizmin kibernetik. Mbulimi i këtyre problematikave zakonisht zgjat tri ditë dhe më pas zbehet.
U sugjerua nga aktorët e tregut se nga Policia e Shtetit duhet të bashkëpunohet me median për të promovuar nivele ndërgjegjësimi më të larta mbi sigurinë kibernetike. Bashkëpunimi mes policisë, mediave dhe dhomave të tregtisë duhet të rrisë ndërgjegjësimin edhe për mashtrimin online dhe risqe të tjera kompjuterike. Për këto çështje, raporti jep disa rekomandime siç janë identifikimi i grupeve vulnerabël dhe me risk të lartë, që më pas të targetohen për t’u informuar. Promovimi me organizatat joqeveritare dhe sektorin privat për programe të sigurisë së të rinjve dhe sjellje të përgjegjshme online. Ngritja e një grupi disapalësh për të udhëhequr një projekt të përbashkët, si dhe për të lehtësuar diskutimet mbi krimin kibernetik dhe çështje të sigurisë kibernetike. Po kështu, për punonjësit e administratës të zhvillohen programe trajnimi.
Rritja e ndërgjegjësimit, shqiptarët japin informacion sensitiv lirisht
Ky komponent vlerësohet si në fazë fillestare. Një program për rritjen e ndërgjegjësimit që udhëhiqet nga një organizatë e dedikuar dhe që i adresohet një niveli të gjerë demografik mbetet për t’u vendosur. Shqipëria ka zhvilluar aktivitete të dedikuara për sigurinë kibernetike, ndërkohë që ka pasur një fokus edhe te siguria e fëmijëve. Nga pjesëmarrësit në procesin e vlerësimit u nënvizua se duhet të bëhet më shumë për rritjen e ndërgjegjësimit të kontrollit prindëror dhe mbrojtjen e fëmijëve nga përmbajtjet e dëmshme në internet. Kjo kërkon më shumë vëmendje nga institucionet, organizatat joqeveritare, sektori privat apo komuniteti prindëror.
AKCESK, në bashkëpunim me Ministrinë e Arsimit dhe Sportit, dhe sektorin bankar kanë zhvilluar një program pilot në shkolla, në lidhje me rritjen e vëmendjes ndaj bulizmit kibernetik. Gjithsesi, kjo përpjekje ishte e kufizuar në qëllimin e saj. Vetë sektori privat ka nisur të marrë në konsideratë rritjen e ndërgjegjësimit për sigurinë kibernetike, por ky proces gjithsesi mbetet në hapat e parë. Pjesëmarrësit në vlerësim thanë se edhe korporatat më të njohura nuk e shohin sigurinë kibernetike, si ndonjë shqetësim domethënës. Ekzekutivët janë vënë në dijeni për çështjet e përgjithshme të sigurisë kibernetike, por jo për mënyrën sesi këto kërcënime apo çështje mund të prekin organizatën e tyre.
Në përgjithësi, pjesëmarrësit ranë dakord se ndërgjegjësimi, trajnimi dhe aftësitë IT janë të nevojshme për vendin dhe hendeku që vërehet në Shqipëri ka të bëjë me zhvillimin personal të sigurisë kibernetike. Ka një hendek në edukim dhe mes prindërve, si dhe te fëmijët. Edhe pse penetrimi i internetit është 70%, sidomos mes të rinjve, shumica e popullsisë nuk duket e shqetësuar për njohuritë kompjuterike.
Media sociale si Facebook po përdoren për qëllime tregtare dhe përdoruesit ndajnë informacionin e tyre lirisht online. Ka mungesë ndërgjegjësimi për sigurinë mes të rinjve dhe pjesëmarrësit në vlerësim nënvizuan se të rinjtë janë më të shqetësuar për vlerësimin e produkteve dhe shitësve, sesa për sigurinë e këtij mjedisi.
Paypal përdoret shpesh për blerjet online, pasi prindërit nuk i besojnë përdorimit të kartave të kreditit në mënyrë direkte. Sulmet inxhinierike sociale po shtohen, pasi njerëzit kanë tendencën të japin informacion sensitiv lirisht dhe me vullnet të plotë drejt dikujt që pretendon se është i menaxhimit apo IT. Është propozuar rritja e ndërgjegjësimit, duke nisur nga qeveria te ministritë dhe më pas të vijohet me institucionet e varësisë.
Kuadri për arsimin, Shqipëria vuan për profesionistë të sigurisë kibernetike
Nevoja për zgjerimin e edukimit për sigurinë kibernetike në shkolla dhe universitete është pranuar tashmë nga qeveria, industria dhe universitetet. Aktualisht janë 1496 laboratorë kompjuterësh në edukimin parauniversitar. Rrjeti i internetit është instaluar në shkolla, duke iu mundësuar studentëve dhe mësuesve që të përdorin burime të ndryshme informacioni, si dhe të asistojnë në mënyrë specifike punët e tyre mësimore. Çdo shkollë ka një lidhje të dedikuar interneti, por mbetet i lidhur vetëm në kompjuterët e laboratorit.
Raporti i kompjuterëve për student varion nga shkolla në shkollë, por qëndron afërsisht në 1:27, ndërkohë që në raste të veçanta, ështç më i ulët. Aktualisht në universitetet publike dhe private, si dhe kolegje ofrohen kurse edukative, në fushat që lidhen me sigurinë kibernetike siç është informacioni mbi sigurinë, siguria në rrjet dhe kriptografia, por nuk ofrohen kurse të veçanta për sigurinë kibernetike. Universiteti kombëtar është duke zhvilluar një program, që do të përfshijë workshop-e me sektorin bankar, drejtues të informacionit, kompanitë celulare, ato të sigurimeve, për të kuptuar nevojat e sektorit privat.
Lidhur me lektorët ka një ngërç, pasi vetëm ata që mbajnë gradën doktor mund të shërbejnë si lektorë, por ndërkohë nuk ka mjaftueshëm të tillë që të jenë të specializuar për sigurinë kibernetike. Shqipëria, ashtu si vende të tjera, ka mungesë të profesionistëve të sigurisë kibernetike, çka është një nga çështjet më kyçe. Ndaj ka nevojë për profesionistë që të japin leksione. Aktorët e tregut sugjerojnë që zgjidhja mund të jetë angazhimi i lektorëve dhe profesionistëve të sigurisë kibernetike në programe edukimi. Ekspertët kanë këtë njohuri dhe mund të zgjidhin pjesën e hendekut.
Kuadri për trajnime profesionale, IT-të bëjnë gjithçka, nuk janë të specializuar
Nevoja për trajnime profesionale për sigurinë kibernetike, edhe pse njihet nga qeveria, nuk është dokumentuar në ndonjë dokument në nivel kombëtar. Në Shqipëri, Agjencitë publike dhe private nuk certifikohen nën standardet që njihen ndërkombëtarisht. Brenda institucioneve publike, trajnimi për sigurinë kibernetike, si për stafin e IT, edhe për atë në përgjithësi, janë shumë të limituara dhe shpesh varen nga menaxhimi i institucionit.
Ajo që u nënvizua nga palët që morën pjesë në vlerësim ishte fakti që nuk është aq e thjeshtë për qeverinë që të alokojë fonde për trajnimin e burimeve. Në vend ekzistojnë kurse trajnimi nga kompani ndërkombëtare për sigurinë kibernetike, ashtu sikurse ka shpesh nisma që burojnë nga angazhimet e institucioneve të rëndësishme, siç është Bashkimi Europian.
Nga pjesëmarrësit në vlerësim u përmend se perceptimi i sektorit privat, kryesisht bordeve dhe drejtuesve menaxherialë drejt sigurisë kibernetike, ka nevojë për përmirësim të dukshëm. Shpesh, disa shqetësohen për barrierat financiare që siguria kibernetike sjell para tyre. Gjithashtu është e zakonshme që stafi teknik i IT është i përgjithshëm, pra bën gjithçka lidhur me pjesën e kompjuterëve përfshirë sigurinë kibernetike.
Stafet e IT kanë mungesë në shprehinë e tyre për të bindur bordet që të marrin masa lidhur me sigurinë kibernetike. Kompanitë shpesh janë të detyruara që të kursejnë në maksimum, çka i detyron të përdorin pajisje të dorës së dytë, çka nënkupton që pjesa e trajnimeve për sigurinë kibernetike konsiderohet një luks. /Monitor/