Flet Tasim Çarku, ekspert IT dhe sigurisë kibernetike
Një nga arsyet pse kompanitë ose shtetet kapen të papërgatitur nga sulmet kibernetike është edhe mungesa e legjislaturës që i detyron ata të sigurojnë sistemet dhe trajnojnë stafet e tyre.
Një tjetër arsye, është kostoja/investimi.
Sipas ekspertit të sigurisë kibernetike, Tasim Çarku, i punësuar në një kompani në Helsinki, Shqipëria është një shtet kandidat për në BE dhe si e tillë, duhet të tregojë përmirësim të dokumentacionit dhe praktikave drejt BE.
Sa e rëndësishme është mbrojtja kibernetike për çdo institucion, qoftë publik ose privat?
Mbrojtja kibernetike është e rëndësishme për çdo institucion, qoftë publik ose privat, për shkak të rrezikut që paraqet siguria e të dhënave dhe sistemeve.
Sulmet kibernetike mund të ndodhin për shkak të një sërë arsyesh, duke përfshirë qëllime financiare, politike, ose hakmarrje.
Ato mund të shkaktojnë dëme të mëdha financiare dhe reputacioni për institucionet që preken, si dhe mund të prekin të dhëna personale të individëve. Në disa raste, sulmet mund të kenë pasoja më të gjera siç janë komprometimi i infrastrukturës kritike dhe rrezik për sigurinë publike.
Institucionet janë në rrezik nga sulme kibernetike të ndryshme, si phishing, malware, ransomware, dhe sulme DDoS.
Nëse një institucion nuk ka masa të mjaftueshme të sigurisë, ai mund të humbasë të dhëna kritike, të ndërpresë shërbimet, ose të pësojë dëme financiare.
Përveç kësaj, institucionet mund të jenë përgjegjëse për të mbrojtur të dhënat e personave që i zotërojnë, dhe mungesa e mbrojtjes kibernetike mund të çojë në përplasje me ligjet e mbrojtjes së të dhënave dhe parashikimet e ligjit.
Për Shqipërinë dhe kompanitë që operojnë në Shqipëri, siguria kibernetike ka edhe një rendësi tjetër të veçantë. Ne jemi një shtet kandidat për në BE dhe si i tillë duhet të tregojmë një përmirësim të dokumentacionit dhe praktikave drejt BE-së.
GDPR (Rregullorja e Mbrojtjes së të Dhënave Personale) është një ligj i rëndësishëm për mbrojtjen e të dhënave personale në Europë. Ajo u miratua nga Bashkimi Europian (BE) në maj 2018 dhe u hartua për të siguruar që të gjitha institucionet e BE-së të trajtojnë të dhënat personale në mënyra të qëndrueshme dhe të sigurta. Kjo përfshin rregullat për të mbrojtur të dhënat personale nga humbja, keqpërdorimi dhe akses nga individë të papërgjegjshëm.
Rëndësia e GDPR është se u bë ligj për të gjitha institucionet e BE-së, duke përfshirë edhe ato të shteteve anëtare. Kjo do të thotë se çdo institucion që operon në BE, së bashku me ato që ofrojnë shërbime për konsumatorët e BE-së, është i detyruar të ndjekë rregullat e GDPR.
Për shkak të rëndësisë së të dhënave personale dhe rreziqeve që paraqesin sulmet kibernetike, GDPR ka ndikuar në rritjen e kërkesave për mbrojtjen e të dhënave personale dhe në hartimin e ligjeve të tjera të mbrojtjes së të dhënave personale në shtete të tjera jashtë BE-së.
Pse duhet të ndodhin sulme që të kthejmë vëmendjen te kjo çështje? A u gjend Shqipëria e papërgatitur për shkak të mungesës së objektivave në këtë fushë?
Siguria kibernetike është një çështje e rëndësishme që duhet të trajtohet me kujdes në të gjithë botën. Sulmet kibernetike mund të shkaktojnë dëme të mëdha ekonomike dhe të privatësisë, dhe mund të ndërpresin qasje në informacione të rëndësishme.
Megjithatë, është e papërshtatshme dhe e papëlqyeshme që të ndodhin sulme kibernetike për të kthyer vëmendjen në këtë çështje. Siguria kibernetike duhet të trajtohet si një prioritet që parandalon sulme pa pritur që ato sulme të ndodhin.
Rastet janë të shumta, jo vetëm te ne, që shumë kompani ose shtete kanë rritur buxhetet disafish pasi kanë pasur incidente kibernetike të niveleve të ndryshme. Mund të përmendim rastin e kompanisë Uber në SHBA ku fill pas sulmit, ato rritën personelin e sigurisë kibernetike me disa dhjetëra.
Ndër arsyet kryesore se pse shtetet ose kompanitë nuk investojnë mjaftueshëm në sigurinë kibernetike është edhe mungesa e matëseve të performancës (KPI) që të justifikojë investimin. Prandaj, pasi ndodh sulmi, mund të themi që investimi bëhet automatikisht i justifikueshëm.
Një kompani që nuk ka pësuar sulm kibernetik nuk bëhet lajm për suksesin e mungesës së një hakimi, por arrin të bëhet lajm vetëm kur pëson një incident.
Një nga arsyet pse kompanitë ose shtetet kapen të papërgatitur është edhe mungesa e legjislaturës që i detyron të sigurojnë sistemet dhe të trajnojnë stafet e tyre. Duket qartë që kudo që ka ligje të forta për sigurinë kibernetike, pothuajse nuk ndodhin incidente të madhësisë si në Shqipëri.
Shqipëria është një vend me infrastrukturë të dobët të mbrojtjes kibernetike, ku mungon një strategji kombëtare për mbrojtjen e të dhënave dhe sistemeve kritike.
Kjo ka bërë që institucionet dhe bizneset e vendit të jenë vulnerabël ndaj sulmeve kibernetike. Megjithatë, ka disa hapa që po ndërmerren në vend për të rritur mbrojtjen kibernetike, duke përfshirë hartimin e një strategjie kombëtare për mbrojtjen e të dhënave dhe krijimin e një agjencie kombëtare të mbrojtjes kibernetike.
Në përgjithësi, sulmet kibernetike duhet të kthejnë vëmendjen e institucioneve dhe bizneseve për të rritur mbrojtjen kibernetike, duke përfshirë hartimin e planit të mbrojtjes, implementimin e teknologjive të sigurisë dhe trajnimin e personelit.
Cili duhet të jetë hapi ose hapat për ndërtimin e qëndrueshmërisë kombëtare kibernetike?
Hartimi i një strategjie të mirëmenduar, e cila të jetë efektive për vite me radhë kërkon një vlerësim shumë të mirë të aseteve që ne kemi dhe atyre që do shtojmë në të ardhmen.
Ajo kërkon bashkëpunim të mirë të të gjitha institucioneve të përfshira dhe kërkon analizë të thellë.
Sipas mendimit tim, disa nga hapat mund të jenë:
1. Hartimi i një strategjie kombëtare për mbrojtjen kibernetike: Kjo strategji duhet të përfshijë vlerësimin e rreziqeve kibernetike dhe objektivat për t’i zgjidhur ato. Ajo duhet të përfshijë edhe masat e mbrojtjes dhe procedurat e përgjigjes në rastin e një sulmi kibernetik.
2. Krijimi i një agjencie kombëtare të mbrojtjes kibernetike: Kjo agjenci duhet të jetë e përgjegjshme për të monitoruar dhe për të adresuar rreziqet kibernetike në vend. Ajo duhet të jetë e përgatitur për t’u përgjigjur në incidentet kibernetike dhe të ofrojë mbështetje teknike dhe trajnim për institucionet dhe bizneset e vendit.
3. Promovimi i kulturës së sigurisë kibernetike: Kjo mund të përfshijë trajnimin e personelit për të rritur ndërgjegjësimin e sigurisë kibernetike dhe për të ndihmuar në parandalimin e incidenteve kibernetike.
4. Zhvillimi i bashkëpunimit ndërkombëtar: Bashkëpunimi me partnerët ndërkombëtarë mund të ndihmojë në identifikimin e rreziqeve kibernetike dhe në përgjigjen në incidentet kibernetike.
5. Përmirësimi i legjislacionit: Duhet të sigurohet që ligjet e vendit të jenë të përshtatshme për të adresuar rreziqet kibernetike dhe të sigurojnë mbrojtjen e të dhënave personale.
Po institucionet që kanë të dhëna sensitive si banka, sa ‘mbrojtje’ duhet të kenë?
Institucionet që kanë të dhëna sensitive si bankat, duhet të ketë nivele të larta të mbrojtjes kibernetike, pasi ato zotërojnë të dhëna të rëndësishme financiare dhe personale të individëve dhe bizneseve.
Këto institucione duhet të implementojnë masat e mbrojtjes së të dhënave në nivel të lartë, për të parandaluar qasjen e paautorizuar, humbjen ose keqpërdorimin e të dhënave.
Në botë, bankat janë ndër institucionet me elementet e sigurisë kibernetike nga më të sigurtat. Ndër hapat që institucionet financiare duhet të ndjekin për të rritur sigurinë kibernetike janë:
1. Implementimi i teknologjive të mbrojtjes së të dhënave: Këto mund të përfshijnë kriptimin e të dhënave, kontrollin e aksesit, dhe autentifikimin e dyfishtë.
2. Hartimi i planit të incidenteve: Kjo do të sigurojë që institucioni të jetë i përgatitur për të përgjigjur në rastin e një incidenti kibernetik dhe të minimizojë dëmin e shkaktuar.
3. Trajnimi i personelit: Personeli duhet të trajnohet për t’u ndërgjegjësuar mbi rreziqet kibernetike dhe për të parandaluar incidentet e mundshme.
4. Monitorimi i vazhdueshëm: Duhet të monitorohet vazhdimisht sistemi për të identifikuar rreziqe potenciale dhe të reagohet menjëherë në rastin e një incidenti.
5. Bashkëpunimi me agjencitë e sigurisë: Bashkëpunimi me agjencitë e sigurisë dhe organizatat e tjera të mbrojtjes kibernetike mund të ndihmojë në identifikimin e rreziqeve të reja dhe në përgjigjen në incidentet kibernetike.
6. Përputhja me ligjet dhe rregulloret e aplikueshme: Duhet të sigurohet që institucioni të përputhë me ligjet dhe rregulloret e aplikueshme mbi mbrojtjen e të dhënave personale, siç është GDPR.
Rastet e sulmeve iraniane u bënë publike, a ka raste të tjera në të shkuarën që s’kemi dijeni?
Irani është një nga vendet që është akuzuar për sulme kibernetike edhe në të shkuarën. Në vitin 2012, një grup iranian i quajtur “OilRig” u akuzua se ishte përgjegjës për sulme kibernetike kundër institucioneve financiare në SHBA dhe Europë.
Në vitin 2018, një grup iranian i quajtur “APT33” u akuzua se ishte përgjegjës për sulme kibernetike kundër kompanive në sektorët e aviacionit dhe prodhimit të naftës dhe gazit.
Në të shkuarën, janë raportuar edhe sulme të tjera kibernetike nga vende si Kina, Rusia, Koreja e Veriut dhe grupime të tjera të paligjshme.
Nga përvoja ime mund të them që çdo kompani, përfshi edhe ato më të sigurtat, kanë incidente të vazhdueshme në sistemet e tyre. Nuk mendoj se shteti shqiptar ose kompanitë që operojnë tek ne, janë imune ndaj këtyre trendeve.
Prandaj mund të thuhet me siguri se ka pasur raste të tjera sulmesh të suksesshme që nuk janë bërë mediatike për arsye të ndryshme.
A ka pasur sulme të ngjashme nga shtete të tjera “jo miqësore”, këtë nuk mund ta themi me siguri dhe pa u bazuar mbi fakte.
Llojet kryesore të sulmeve kibernetike janë:
•Phishing: Sulme kibernetike që përdorin e-maile ose mesazhe të tjera për të kapur të dhëna personale ose informacione financiare.
•Ransomware: Sulme kibernetike që komprometojnë sistemin dhe kërkojnë që të dhënat të nxirren me pagesë.
•Distributed Denial of Service (DDoS): Sulme kibernetike që mbingarkojnë sistemin, duke përdorur shumë kërkesa në të njëjtën kohë, duke bllokuar qasjen e saktë.
•Malware: Sulme kibernetike që përdorin programe të dëmshme për të kompromentuar sistemin dhe të dhënat.
•Advanced Persistent Threats (APT): Sulme kibernetike të vazhdueshme dhe të avancuara, që janë të drejtuara ndaj një objektivi specifik dhe mund të kalojnë nëpër sisteme të ndryshme për një kohë të gjatë.
LEXONI EDHE:
Ky është artikull ekskluziv i Revistës Monitor, që gëzon të drejtën e autorësisë sipas Ligjit Nr. 35/2016, “Për të drejtat e autorit dhe të drejtat e lidhura me to”.
Artikulli mund të ripublikohet nga mediat e tjera vetëm duke cituar “Revista Monitor” shoqëruar me linkun e artikullit origjinal.
Video / Monitor Ekonomi
