Shqipëria: Kronika e një Pasigurie Kibernetike

Vitet e fundit, Shqipëria është përballur me një “luftë të padukshme” që ka goditur themelet e besimit te institucionet shtetërore. Nga rrjedhja e pagave te bllokimi total i shërbimeve online, skandalet kibernetike kanë treguar se të dhënat tona personale nuk janë aq të sigurta sa pretendohej.

1. Skandali i Patronazhistëve (Prill 2021)

Edhe pse teknikisht nisi si një rrjedhje database dhe jo domosdoshmërisht një sulm i jashtëm, ky mbetet momenti që hapi “Kutinë e Pandorës”.

Një bazë të dhënash me informacionet e mbi 900,000 qytetarëve të Tiranës u bë publike. Të dhënat përfshinin numrat e ID-së, numrat e telefonit, vendet e punës dhe, më e rëndësishmja, preferencat politike të shënuara nga “patronazhistët”.

2. Rrjedhja e Pagave dhe Targave (Dhjetor 2021)

Kjo ishte goditja më e rëndë për privatësinë financiare të shqiptarëve.

Dy lista masive në format Excel qarkulluan në WhatsApp. E para përmbante pagat, emrat dhe pozicionet e punës te mbi 630,000 qytetarë. E dyta listonte targat e makinave dhe modelet e tyre. Ky skandal ekspozoi diferencat e mëdha sociale dhe krijoi një risk të lartë për gjobvënie dhe krime ekonomike.

3. Sulmi i Iranian dhe Paralizimi i e-Albania (Korrik 2022)

Ky  rast shënoi kalimin nga “rrjedhjet e brendshme” në një agresion shtetëror kibernetik. Qeveria shqiptare dhe SHBA-të fajësuan zyrtarisht grupet e mbështetura nga Irani (“Homeland Justice”).

Faqja e-Albania dhe sistemet e ministrive u mbyllën për ditë të tëra. Sulmuesit përdorën një virus të llojit Ransomware për të fshirë të dhëna dhe për të bllokuar aksesin. Shqipëria ndërpreu marrëdhëniet diplomatike me Iranin, një lëvizje e paprecedentë në epokën digjitale.

4. Goditja e Sistemit TIMS (Shtator 2022)

Sulmi vijoi duke goditur pikat kufitare. Sistemi TIMS, i cili regjistron hyrje-daljet e personave në territorin e Republikes se Shqiperise, u nxor jashtë funksionit, duke shkaktuar kaos në aeroporte dhe dogana.

Pse është Shqipëria kaq e brishtë?

Ekspertët e sigurisë kibernetike identifikojnë disa pika të dobëta që kanë lehtësuar këto sulme:

• Centralizimi: Vendosja e të gjitha shërbimeve në një pikë të vetme (e-Albania) e bën atë një shënjestër “shumë të madhe për t’u injoruar”.
• Mungesa e Investimeve: Për vite me radhë, fokusimi ka qenë te digjitalizimi i shërbimeve, por jo te mbrojtja e tyre.
• Faktori Njeri: Shumë rrjedhje kanë ardhur nga punonjës të brendshëm që kanë pasur akses të pakufizuar në databaza.

Për të parandaluar përsëritjen e skandaleve të kaluara, shteti shqiptar ka hartuar Strategjine Kombëtare për Sigurinë Kibernetike 2025–2030, masat kryesore ndahen në katër shtylla strategjike:

1. Forcimi i Kuadrit Ligjor (Ligji i Ri 25/2024)

Shqipëria është ndër vendet e para në rajon që ka përafruar legjislacionin me direktivën e BE-së, NIS2.

• Detyrimi për Raportim: Institucionet publike dhe private që menaxhojnë infrastrukturë kritike (energji, ujë, financa) janë të detyruara me ligj të raportojnë çdo incident brenda pak orësh.
• Gjoba dhe Përgjegjësi: Ligji i ri parashikon masa ndëshkimore për drejtuesit e institucioneve që nuk zbatojnë standardet minimale të sigurisë.

2. Kalimi nga Mbrojtja “Reaktive” në “Proaktive“

Raportet e Microsoft dhe FBI pas sulmeve të vitit 2022 treguan se hakerët kishin qëndruar në sistem për 9 muaj pa u vënë re. Shteti po ndërmerr këto hapa teknikë:

• Monitorimi 24/7: Krijimi i një Qendre Kombëtare Operacionale të Sigurisë (SOC) që monitoron trafikun e rrjetit në kohë reale duke përdorur Inteligjencën Artificiale.
• Sistemet Backup jashtë linje: Sigurimi që të dhënat të kenë kopje rezervë (backups) që nuk janë të lidhura me rrjetin kryesor, në mënyrë që edhe nëse sistemi fshihet (sulm wiper), të dhënat të kthehen shpejt.

3. Decentralizimi i Shërbimeve

Një nga kritikat më të mëdha ishte se e-Albania ishte një “pikë e vetme dështimi”.
Po punohet për segmentimin e rrjetit. Kjo do të thotë që nëse goditet sistemi i një ministrie, virusi të mos ketë mundësi të kalojë te sistemi i Policisë apo i Tatimeve.

4. Investimi te Faktori Njeri

Shumica e sulmeve nisin nga një gabim njerëzor (p.sh. klikimi i një linku nga një punonjës administrate).

• Trajnime të detyrueshme: Çdo punonjës i administratës publike duhet të kalojë certifikime bazë mbi sigurinë.
• Testet e depërtimit (Phishing Simulations): Institucione si AKSK (Autoriteti Kombëtar për Sigurinë Kibernetike) kryejnë sulme “fake” për të parë se cilët punonjës bien në grackë dhe për t’i trajnuar ata.

Si përfundim, situata e sigurisë kibernetike në Shqipëri mund të përshkruhet si një “zgjim i dhimbshëm”. Pas viteve të tëra fokusimi vetëm te lehtësia e shërbimeve (digjitalizimi), sulmet masive treguan se infrastruktura jonë ishte si një ndërtesë moderne me xhama, por pa dyer të blinduara.