Siguria e faqeve të internetit shtetërore dhe të dhënave që ato përmbajnë diskutohet vetëm kur ato hakohen. Dhe kjo nuk është aq e rrallë kohët e fundit. Fondi i Shëndetësisë, Komisioni Shtetëror i Zgjedhjeve, E-ditari, Byroja e Prokurimeve Publike, Ministritë e Bujqësisë, Arsimit dhe së fundi të Mjedisit u hakeruan ose nuk ishin në përdorim. Lista është e gjatë.
Shumica e faqeve të internetit të institucioneve shtetërore dhe publike nuk kanë as certifikatën bazë të sigurisë. Shumë shërbime ueb funksionojnë në aplikacione dhe platforma të vjetruara. Njëkohësisht, kërkohet nga qytetarët që t’u besojnë institucioneve se lidhja është e sigurt dhe të dhënat e lëna në to janë të mbrojtura.
Dhe sa e mbrojtur është fjala në rastin e fundit të hapur nga Komisioni Shtetëror për Parandalimin e Korrupsionit, lidhur me dixhitalizimin e librave të gjendjes civile. Askush nuk kontrollonte se kush kishte akses në të dhënat për të gjitha vdekjet, lindjet apo martesat në vend, ndërkohë që dokumentet shëtisnin nëpër institucion, skanoheshin dhe futeshin në bazën e të dhënave dixhitale.
Në fund të fundit, siç do të vërë në dukje inxhinieri i sigurisë kompjuterike, Bozhidar Spirovski , qytetarët nuk kanë zgjidhje tjetër veçse të japin të dhënat e tyre dhe të përdorin aplikacionet dhe faqet e internetit të ofruara nga shteti, pavarësisht nga siguria e tyre. Sepse ata jetojnë në këtë vend dhe duhet të kenë kontakt me sistemin.
“Thjesht nuk kemi ku të shkojmë. Çfarë do të bëjmë, të themi – më falni që nuk jeni të sigurt dhe për këtë arsye nuk do t’ju paguajmë tatimin? Epo ne do të përfundojmë në burg dhe do të thonë – çfarë më intereson mua”, shpjegon ai.
Këmbimi i huaj – menaxhuar
Kujdesi për ueb-faqet e institucioneve, aplikacionet e tyre, e me këtë edhe siguria e tyre, i është lënë vetë institucioneve. Disa kanë punonjës për t’u kujdesur për ta, por nuk kanë staf të TI-së, sepse sektori publik nuk është tërheqës për këta profesionistë.
Dhe vetë shqetësimi për sigurinë kibernetike, në nivel shtetëror, është i shpërndarë në disa institucione. Prandaj të gjithë ia dalin si dinë dhe munden. Këtë e dëshmojnë të dhënat e Byrosë së Prokurimeve Publike, ku gjatë dekadës së fundit institucione të ndryshme, nga ministritë dhe agjencitë, tek ndërmarrjet publike dhe klinikat shtetërore, janë përpjekur të gjejnë kompani për projektimin dhe mirëmbajtjen e faqeve dhe aplikacioneve.
Pesë vite më parë u njoftua se mirëmbajtja e faqeve të qeverisë do të unifikohej për shikueshmëri më të madhe, por edhe siguri. Periudha përkoi gjithashtu me prezantimin e strategjisë së parë kombëtare të sigurisë kibernetike.
Tre vite më vonë në një tender u zgjodh një kompani që do ta realizojë këtë projekt në një vit për 160 mijë euro. Kontrata, siç thuhet në faqen e Byrosë së Prokurimit Publik, është zbatuar pjesërisht dhe realiteti, një vit pas përfundimit të saj, tregon se faqet e internetit janë larg të qenit unifikuar dhe ende të pambrojtura.
Dëshmia e fundit për këtë është rënia e faqes së internetit të Ministrisë së Mjedisit, e cila mbeti e padisponueshme pothuajse gjatë gjithë korrikut.
Ministria konfirmoi për BIRN se ata kishin një sulm hakeri. Ata kujdeseshin vetë për faqen, punonjësi i tyre ishte përgjegjës, dhe ndërprerja ishte kaq e gjatë, sepse skriptet e sulmuara në faqe duhej të pastroheshin.
Së pari problemi, pastaj zgjidhja
Ndërsa në disa institucione për këtë sektor kujdesen punonjësit, në disa të tjera kompanitë e jashtme. Por praktika ka treguar se kjo nuk sjell siguri më të madhe për faqet dhe të dhënat.
Ashtu si me dixhitalizimin e librave amzë. Për këtë proces janë angazhuar dy kompani dhe janë ndarë 1.5 milionë euro. Epilogu i këtij procesi është dyshimi për manipulim tenderash , tregtim i mundshëm i të dhënave personale dhe shpallja e kallëzimit penal ndaj dy ish-drejtorëve të Drejtorisë së Regjistrimit.
Situata nuk është më e mirë as në nivel lokal. Mjafton të hapen ueb-faqet e JSP Shkup, të cilat çdo ditë vizitohen nga mijëra njerëz. Pritja dhe mirëmbajtja e tyre bëhet nga një kompani e jashtme, e cila i kushton kompanisë 35 mijë euro në dy vjet. Kontrata në letër thotë qartë se, ndër të tjera, kompania duhet të sigurojë certifikatat e sigurisë për funksionimin e të dy vendeve. Megjithatë, në realitet, sa herë që futni adresën në të dyja faqet, ka një paralajmërim – se lidhja është e pasigurt.
Kjo nuk e habit Robert Todorosky , i cili ka vite që punon si konsulent i sigurisë dixhitale, duke ndihmuar kompanitë të instalojnë softuer për punë. Ai thotë se shpesh i duhet të anashkalojë procedurat e sigurisë për të përdorur ueb shërbimet e institucioneve shtetërore. Dhe duke vënë kështu në rrezik potencial të dhënat e vetë kompanive. Por sa i përket, për shembull, aplikimet në Autoritetin e të Ardhurave Publike, nuk ka zgjidhje tjetër.
Sistemi i tyre i pagesës së taksave funksionon në një aplikacion që është aq i vjetëruar sa që tashmë është jashtë përdorimit. Aplikacioni mujor i listës së pagave është ndërtuar në një platformë dy dekadash. Çdo instalim i çdo aplikacioni që nuk është në përdorim vë në rrezik si kompjuterin e përdoruesit ashtu edhe të gjitha të dhënat në të.
“Problemi ynë është injoranca, derisa të ndodhë diçka. “Siguria e TI-së është diçka që lihet pas”, thotë Todoroski.
Kjo është dëshmuar të jetë e vërtetë shumë herë më parë. Siguria e faqes në internet u bë një temë e nxehtë kur sistemi i Komisionit Shtetëror të Zgjedhjeve u rrëzua në vitin 2020 ndërsa rezultatet e zgjedhjeve po numëroheshin. Pas rrëzimit, sistemi u riparua, por kjo hodhi një njollë serioze në procesin zgjedhor.
Që atëherë, faqet e internetit të qeverisë janë shuar në disa raste, kryesisht si një objektiv i sulmeve kibernetike të të gjitha llojeve.
Disa prej tyre ishin aq serioze sa paralizuan shtetin. Për shkak të një ndërhyrjeje në sistemin FZO, ai mbeti jofunksional për tre javë. Punonjësit nuk paguheshin, të sëmurët kronikë mbetën pa ilaçe, nënat pa pagesën e lehonisë dhe qindra mijëra qytetarëve iu cenuan të dhënat personale.
Një sulm i tillë nuk ishte një surprizë e madhe, sepse edhe më parë auditorët gjetën dobësi serioze në sistemin FZO. Hakerët kërkuan një shpërblim për të kthyer të dhënat, autoritetet nuk zbuluan kurrë për publikun se çfarë ndodhi saktësisht, por për këtë arsye siguruan se “të dhënat shëndetësore dhe personale janë plotësisht të sigurta dhe nuk janë vjedhur, në mënyrë që qytetarët të kenë qetësi”.
Përvoja e inxhinier Spirovskit thotë se objektivi kryesor i sulmeve të hakerëve, kudo në botë, janë sistemet shëndetësore, së bashku me arsimin, për shkak të sasisë së madhe të të dhënave që përmbajnë. Këtë e tregon aplikacioni i tij për regjistrimin e incidenteve të tilla.
Atje Maqedonia është rrallë atje, jo sepse sulmet nuk janë aty, por sepse janë të fshehura.
Siguria kombëtare në një vend të pasigurt
Pikërisht poshtë imazhit të flamurit të Maqedonisë, në faqen e Agjencisë për Siguri Kombëtare (NSA), vëmendjen e tërheqin germat e mëdha me të cilat shkruhet përkushtimi i saj se siguria ka prioritet të padiskutueshëm. Në të njëjtën kohë, në këndin e sipërm të majtë të faqes ka një paralajmërim se është i pasigurt.
Faqja e internetit e Agjencisë nuk ka një certifikatë të vlefshme sigurie.
Vizita e faqeve që nuk e kanë këtë certifikatë mbart një rrezik për kërkuesin, veçanërisht nëse lihen të dhëna personale si e-mail dhe fjalëkalime. Certifikata është një konfirmim i identitetit të vetë faqes, por edhe i sigurisë së komunikimit në të, i cili mund të përgjohet lehtësisht nga hakerat që vjedhin të dhëna private.
Rishikimi i BIRN tregoi se ANB nuk bën përjashtim, por ka shumë site të tilla shtetërore të pasigurta. Faqja e Ministrisë së Punës dhe Politikës Sociale nuk ka certifikatë dhe nuk është e disponueshme në të gjitha shërbimet elektronike të Ministrisë së Financave. Ndër to është ai i ankandeve elektronike, ku është e nevojshme që përdoruesi të identifikohet me email dhe fjalëkalim.
Një e pesta e faqeve të Agjencisë janë pa certifikatë sigurie. Situata është e ngjashme me faqet e internetit të organeve të tjera të administratës shtetërore, ndërmarrjeve publike dhe komunave.
Problemi nuk është vetëm mungesa e parave, sepse ka edhe certifikata falas, siç i përdor qeveria maqedonase për faqen e saj. Mungesa e tyre, edhe nëse janë një problem margjinal në hapësirën kibernetike, është një tregues i mirë i angazhimit të shtetit ndaj këtij problemi.
Ose siç do të vërë në dukje Spirovski, tregon se si është “higjiena kibernetike” në një institucion.
“Ky është një tregues shumë themelor i vëmendjes që ata po i kushtojnë.” Nëse nuk dini të krihni flokët para se të dilni nga shtëpia, çfarë tjetër nuk dini të bëni? Nëse i shohim (çertifikatat) vetëm si tregues të nivelit bazë të higjienës kibernetike, atëherë shtrohet pyetja: çfarë tjetër nuk dinë të bëjnë?”.