Më 22 dhjetor 2021, Eni Qirjako nuk klikoi mbi databazë nga kurioziteti për pagat.
Specialistja e IT-së pranë Drejtorisë së Përgjithshme të Tatimeve u shqetësua, kur një dokument me listë-pagesat e mbi 637 mijë qytetarëve nisi të qarkullonte masivisht në telefonat e shqiptarëve.
Qirjako kontrolloi datën dhe orën mbi databazë me shpresën se nuk do të ishte ajo burimi parësor i rrjedhjes së të dhënave zyrtare, por rezultati i tregoi të kundërtën.
Ajo njoftoi më pas eprorin e vet dhe ndonëse pati përpjekje për fshehjen e gjurmëve, Prokuroria e Tiranës pretendon se e zbardhi me lehtësi skemën e rrjedhjes më të madhe të të dhënave personale në Shqipëri.
Të dhënat e hetimit tregojnë se nga tetori 2020 deri në tetor 2021, Qirjako kopjoi nga sistemi CATS i Drejtorisë së Përgjithshme të Tatimeve listë-pagesat e gjashtë muajve dhe ia nisi ato përmes emailit zyrtar kolegut të saj, Andi Agaraj.
Ndërsa Agaraj, gjithashtu specialist IT pranë Drejtorisë së Përgjithshme të Tatimeve, akuzohet se ua shiti listë-pagesat personave privatë me një çmim minimal prej 20 mijë lekësh.
Fabula e rrjedhjes masive të të dhënave personale në fund të dhjetorit ekspozoi sipas ekspertëve, pikat e dobëta të sistemit të sigurisë dixhitale në Shqipëri.
“Siguria dixhitale është çështje besimi, jo kompjuterash,” tha Anxhelo Lushka, një programues në profesion të lirë në Tiranë. “Sot nuk e thyen dot matematikën, por nëse ka një pikë të dobët ata janë njerëzit,” shtoi ai.
Qeveria shqiptare u ka bërë jehonë arritjeve të veta në fushën e dixhitalizimit dhe ofrimit të shërbimeve online gjatë viteve të fundit, duke i trumbetuar ato si një mekanizëm për zbutjen e burokracisë dhe luftës ndaj korrupsionit.
Megjithatë, rrjedhjet masive të vitit të kaluar i kanë vënë në pikëpyetje aftësitë e institucioneve për të mbrojtur dhe garantuar të dhënat sensitive që u kanë besuar shqiptarët.
Për institucionet mbikëqyrëse, cedimi i mbrojtjes së të dhënave ishte i pritshëm dhe i paralajmëruar.
Prej vitit 2020, Komisioneri për Mbrojtjen e të Dhënave Personale kishte raportuar në Kuvend se siguria e të dhënave personale kërcënohej nga mungesa e njohurive ligjore dhe teknike e institucioneve kyçe, nga aksesi i pakufizuar në databazat qeveritare si dhe nga aplikimi i mangët i Sistemeve të Menaxhimit të Sigurisë së Informacionit, SMSI.
Cenimi i të dhënave
Prej vitit 2017, sistemet dhe infrastruktura e teknologjisë së informacionit të institucioneve qendrore në Shqipëri administrohen nga Agjencia Kombëtare e Shoqërisë së Informacionit, AKSHI – një institucion në varësi të kryeministrit.
Gjithashtu, AKSHI mbart detyrimin ligjor për të garantuar sigurinë dhe pacënueshmërinë e sistemeve të infrastrukturës kritike të përdorura nga institucionet shtetërore si dhe administron portalin unik qeveritar e-Albania.
Gjatë tre viteve të fundit, AKSHI ka shpenzuar rreth 90 milionë euro për sistemet e teknologjisë së informacionit dhe sigurinë e tyre, sipas pagesave të realizuara nga thesari i shtetit të publikuara në Open Data.
Por pas rrjedhjes së pagave në dhjetor, drejtoresha e AKSHI, Mirlinda Karçanaj e përjashtoi institucionin që ajo drejtonte nga përgjegjësia dhe e konsideroi ngjarjen ‘një keqmenaxhim aksesi” në sistemin dixhital të Tatimeve.
Sipas një raporti të Komisionerit për Mbrojtjen e të Dhënave Personale të dhjetorit 2020, problemet me sigurinë e të dhënave dixhitale shtrihen shumë përtej Drejtorisë së Përgjithshme të Tatimeve dhe reflektojnë mangësitë teknike dhe ligjore të institucioneve.
Raporti përmban rezultatet e inspektimeve në AKSHI dhe tetë institucione të administratës qendrore që kontrollojnë dhe përpunojnë databazat qeveritare, ndërsa ekspozon një sërë problemesh me mbrojtjen e të dhënave personale.
Drejtoria e Përgjithshme e Tatimeve administron në një sistem online të dhënat më të rëndësishme tregtare të individëve dhe bizneseve, por sipas Komisionerit ky proces bëhet në mungesë të normave specifike që rregullojnë ruajtjen, mbrojtjen dhe sigurinë e të dhënave personale gjatë procesit të përpunimit të tyre.
Ngjashëm në Agjencinë Shtetërore të Kadrastrës, e cila kontrollon regjistrin e pasurive të paluajtshme, integriteti i të dhënave cenohet nga aksesi i pakufizuar i përdoruesve, pavarësisht funksioneve që kryejnë.
Raporti thekson gjithashtu se siguria e të dhënave nuk është plotësisht e mbrojtur edhe në kontratat me palë të treta që i përpunojnë ato, ndërsa u rekomandon institucioneve që të tregojnë më shumë kujdes në përcaktimin e niveleve të aksesit në sistem si dhe të garantojnë gjurmueshmërinë e aksesit.
“Rezultatet e kontrollit kanë treguar se ka vështirësi në menaxhimin e burimeve të teknologjisë së informacionit,” thuhet në raport.
“Në këtë kuadër, është i nevojshëm një angazhim më serioz i këtyre institucioneve, në drejtim të trajnimit të punonjësve që kanë akses në të dhënat personale dhe mbikëqyrin proceset përpunuese…,’ shtohet aty.
Kufizimi i aksesit sipas nivelit të punës dhe gjurmueshmëria e veprimeve në databazat e të dhënave konsiderohen elementë të rëndësishëm për sigurinë dixhitale.
“Normalisht aty çdo gjë le gjurmë, por kur je administrator, ti edhe mund t’i fshih këto gjurmë nga sistemi, zëre se s’ka ndodhur,” tha Lushka.
“Sistemet i ruajnë këto të dhëna, por kur ke aq aksese, mund të mbikalosh sistemin. Kjo është ajo që mendoj unë se ka ndodhur,” shtoi ai.
Pasoja afatgjata
Sasia e stërmadhe e të dhënave personale që qarkullojnë aktualisht në publik rrezikon të ketë pasoja afatgjata për qytetarët, bizneset dhe besueshmërinë e tyre tek institucionet publike.
Ekspozimi gjatë një periudhe 1-vjeçare i numrave ID, numrave të telefonit, pagesave, targave të makinave dhe preferencave politike të qindra-mijëra shqiptarëve sjell sipas ekspertëve një sërë rreziqesh për sigurinë e qytetarëve.
Pas rrjedhjes së listë-pagesave në dhjetor, Prokuroria e Tiranës ngriti akuza për veprat penale të shpërdorimit të detyrës dhe korrupsionit ndaj Eni Qirjakos, Andi Agarajt, Klodian Sotës dhe Endri Ikonomit – ndërsa të katërt i pranuan akuzat.
Ndërsa qeveria kontraktoi kompaninë amerikane Jones Group International të ish-gjeneralit amerikan, James L. Jones si konsulent për forcimin e infrastrukturës dixhitale dhe rritjen e sigurisë kibernetike.
Megjithatë, ekspertët dyshojnë se këto hapa do të jenë të mjaftueshme.
Fabian Zhilla, ekspert i sigurisë dhe pedagog në Institutin Kanadez të Teknologjisë mendon se qeveria reagoi në mënyrë populiste dhe skandali u mbyll shpejt, pa pasur më parë një analizë të arsyeve se pse sistemi cedoi.
Zhilla shtoi gjithashtu se nuk u adresuan rreziqet e ekspozimit të të dhënave personale të qytetarëve, veçanërisht të numrave ID.
“Çështja e numrave ID përbën një rrezik të madh për sigurinë dhe krijimin e ID-ve të rreme,“ tha Zhilla. “Kjo është një mundësi e artë për krimin e organizuar, i cili është gjithnjë në kërkim të identiteteve të reja,” shtoi ai.
Ekspozimi i numrave ID dhe i targave të makinave konsiderohet gjithashtu rrezik nga programuesi Lushka, i cili shtoi se teknologjia mundëson tashmë edhe përpunimin e tyre.
“Ka jashtëzakonisht rreziqe, e para për kartat e identitetit. Sepse aktualisht, të gjitha të dhënat për të krijuar një kartë identiteti janë online,” tha ai.
“Nëse do të kishin dalë vetëm rrogat do të ishte ndryshe, por dolën edhe targat…,” shtoi ai.
Pavarësisht shqetësimeve për pasojat e mundshme, jo të gjithë mendojnë se rrjedhja e të dhënave personale ishte një lajm i keq.
Gjergj Buxhuku, administrator i Konfindustria thotë se Shqipëria mblodhi të dhëna nga qytetarët pa garantuar sigurinë e tyre dhe sipas tij, ngjarja e dhjetorit vetëm sa e nxorri mbi sipërfaqe këtë realitet.
“Sistemi ku ishin investuar 80 apo 90 milionë euro ra për 200 mijë lekë [të vjetra], ndaj shqetësimi i bizneseve sot ka lidhje me fiskalizimin,” tha Buxhuku, duke iu referuar sistemit të ri të raportimit financiar në Drejtorinë e Përgjithshme të Tatimeve.
“Sepse fiskalizimi ka të dhënat sekrete tregtare të kompanive dhe në kohë reale, ti i raporton gjithçka konkurrentit tënd. Kjo nuk ka lidhje më me raportin biznes –shtet, por biznes –biznes,” shtoi ai.
Buxhuku thotë gjithashtu se mbrojtja e të dhënave të bizneseve ndërlikohet edhe më tej nga përfshirja e kompanive ndërmjetëse në procesin e fiskalizimit, ndaj Konfindustria ka kërkuar bllokimin e procesit derisa të ofrohen garanci për sigurinë e të dhënave.
I pyetur për rreziqet me të cilat përballen bizneset, Buxhuku tha se ‘nëse sistemi cedon, i gjithë aktiviteti i tyre është i ekspozuar’.
“Ato [të dhënat tregtare] mund të kenë rrjedhur edhe tani që ne po flasim, vetëm se ne nuk e dimë,” përfundoi ai.
Ky artikull është prodhuar në kuadër të projektit Increasing Civic Engagement in the Digital Agenda – ICEDA, me mbështetjen financiare të Bashkimit Europian. Përmbajtja e tij është përgjegjësi e vetme e Lëvizjes MJAFT! dhe nuk reflekton domosdoshmërisht pikëpamjet e Bashkimit Europian.
