Të dhënat e shqiptarëve publike, Ekspertët: Ka rënë siguria kombëtare, skandali i “patronazhistëve” nuk u hetua

Si një fortunë virale gjatë tre ditëve të fundit, të dhënat personale u shpërndanë gjithandej, duke vënë në pikëpyetje sigurinë e institucioneve përgjegjëse për ti garantuar ato. Skandali nisi me publikimin e listës së muajit janar 2021 me një shifër ku u dëmtuan rreth 637,138 qytetarë të cilëve ju publikuan kodi unik i identifikimit, emri, mbiemri, vendi i punës, rroga, në sa vende punë janë të regjistruar, me kohë të pjesshme apo të plotë, si dhe nipti i kompanisë ku punonjnë. Ditën e dytë skandali u përsërit me publikimin e listës tjetër për rrogat e muajit prill, ku në listën excel gjendeshin 60 mijë emra më tepër se tek lista e parë. Mes akuzave dhe kundër akuzave politike, dita e tretë ishte një tjetër goditje për mbi 530 mijë qytetarë që përpos emrit e mbiemrit dhe krahas numrit të identitetit që ju kishte dalë, u publikuan edhe targat e automjeteve dhe makinat që disponojnë.

Institucione që shmangin përgjegjësinë

Agjencia Kombëtare e Shërbimit të Informacionit, Instituti i Sigurimeve Shoqërore dhe Drejtoria e Përgjithshme e Tatimeve janë nën lupën e prokurorisë për shpërdorim detyre, por secila prej tyre shmang përgjegjësinë. Punonjës të këtyre institucioneve po pyeten orë pas ore nga oficerët e policisë gjyqësore, megjithëse secili prej tyre sipas burimeve këmbëngul në detyrat dhe përgjegjësitë dhe largon fajin. Shpërthimi i skandalit vjen pa u mbyllur një tjetër dosje ajo e patronazhistëve, në të cilën gati 1 milionë shtetas gjetën emrin në një listë të përpunuar, ku përpos kartës së identitetit përbri emrit një person mbikëqyrës deklaronte edhe përkatësinë politike të qytetarit të vëzhguar. Në atë kohë, nën dyshimet se mund të kishte korrupsion në zgjedhje, Prokuroria e Posaçme kundër Korrupsionit dhe Krimit të Organizuar deklaroi se ka nisur menjëherë hetimet. Por përpos pyetjes së përfaqësuesve mediatikë, SPAK shmangu eksponentët e partive politike që u përfolën nga çdo gazetar si burim i të dhënave të publikuara në listën e “patronazhistëve”. Për SPAK, i mjaftueshëm ishte hetimi administrativ i Komisionerit.

Në vendimin e shpalljes së moskompetencës që “SINJALIZO”, i është vënë në dispozicion, tregohet se në 30 shtator, çështja e “patronazhistëve” me firmë të prokurores Enkeleda Millonai, përcillet në një prokurori të zakonshme. Konkluzioni nga hetimet është se të dhënat ishin keqpërdorur nga punonjës të brendshëm.

“Ajo që deri më tani mbështet në provat e administruara, ka të bëjë me faktin se ekziston dyshimi, se punonjës të cilët kanë mundësi aksesi në bazën e të dhënave shtetërore, mund të kenë keqpërdorur atributet që u janë ofruar nga kuadri ligjor rregullues, duke vepruar në tejkalim të autorizimit për të hyrë në një sistem kompjuterik a në një pjesë të tij, nëpërmjet cenimit të masave të sigurimit. Për këtë arsye vlerësohet se duhet të proçedohet me ndryshimin e kualifikimit ligjor të veprës penale, nga ajo për të cilën ky proçedim penal u regjistrua e konkretisht nga neni 328 i K.Penal”, shkruhet në vendimin e largimit të dosjes nga prokurorët e posëcam.

Të gjithë gjetën përgjegjës institucionet, por nuk pati reagim

Paralelisht me hetimin e SPAK, edhe Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale  “hetoi” administrativisht,  por pa arritur të konstatojë se nga ku mund të kishin dalë të dhënat. Në një vendim të zbardhur në datë 19 gusht 2021, nënvizohet se cilat janë palët që janë përfshirë në këtë hetim dhe në masat e marra ndaj tyre ku nuk kanë munguar rekomandimet por edhe gjobat. Megjithatë, vepra për sa i përket shkeljes së ligjit të konstatuar nga KPDI ngeli përsëri në kërkim të një fajtori.

Deri tani, edhe pse publikimi i të dhënave në listën e “Patronazhistëve” u cilësua si thyerje e sigurisë kombëtare nga ekspertë të shumtë, nuk ka asnjë përgjegjës para drejtësisë. Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale këmbënguli pak orë pas bërjes publike të databasës me listën e pagesave dhe institucioneve ku punojnë si dhe pozicionet që mbajnë së bashku me numrat personal të identifikimit të 637 mijë shqiptarëve, deklaroi zyrtarisht se kishte nisur një hetim administrativ.

Zyra e Komisionerit ka nisur punën për sigurimin e kësaj baze të dhënash dhe për identifikimin e shkeljeve të mundshme, në mënyrë që të ushtrojë detyrimin ligjor dhe kryerjen e veprimeve të domosdoshme për një hetim administrativ kryesisht (me iniciativën e saj) për këtë çështje”, thuhet në njoftimin zyrtar të Komisionerit.

Por komisioneri këmbënguli publikisht në emisionin Open, se këto ngjarje ndodhin në të gjithë botën, e madje shtoi “me siguri e keni dëgjuar Kembrixh Analitika që është një nga skandalet më të mëdha botërore që ka ndodhur me keqpërdorimin dhe përpunimin e kundërligjshëm të të dhënave personale të shtetasve amerikan dhe europian”. Megjithë shembullin e sjellë prej zyrtarit, të ftuarit i kujtuan se rastin e Kembrixh Analitika, çështja lidhet me prishjen e një kontrate private (Facebook Scandal) dhe jo daljen e të dhënave nga databazat shtetërore.

E nga ana tjetër, vetëm pak orë më pas, kryeministri ishte live duke kërkuar falje qytetarëve shqiptarë për daljen e të dhënave të tyre, e duke sqaruar gazetarët se nuk do të kishte asnjë dorëheqje. një tjetër databazë u publikua, ku pjesë ishin jo vetëm rrogat e muajit prill por edhe numrat e telefonit, atësia, dhe të gjtha të dhënat e tjera që mbante edhe databaza e parë.

E kur tendenca është që edhe ky skandal po shndërrohet në një fushatë memesh, ku pjesa më e madhe e qytetarëve nuk e kuptojnë rrezikun real që po i ekspozon, detyra i mbetet prokurorisë së Tiranës e cila ka nisur hetimet. Burimet e ACQJ bëjnë me dije se gjetja e personave që kanë bërë të mundur tërheqjen e këtij informacioni është pothuajse e pamundur për shkak edhe të kapaciteteve të munguara në fushën e sigurisë kibernetike. Pikëpyetja e madhe që ngrihet tashmë edhe nga ekspertë të fushës, është se a kanë mbetur të dhëna të tjera personale që të dyshuarit i disponojnë dhe nuk i kanë publikuar.

Çfarë rrezikojmë?

Në listën e publikuar figurojnë pozicione kyçe, duke nisur nga Ministria e Mbrojtjes, ajo e Brendshme, SHISH, Ushtria e shumë institucione të rëndësisë së veçantë, ku praktikisht siguria e vendit është cënuar. Ekspertë të fushës deklarojnë për ACQJ se është cënuar Siguria Kombëtare.

Profesor. As. Ervin Karamuço, profesor në fakultetin e Drejtësisë thotë se kemi të bëjmë me një shkelje të rëndë, pasi në publikimin e të dhënave personale janë publikuar të dhënat edhe të qytetarëve privat dhe jo vetëm të personave publik të cilët shpesh herë të dhënat e tyre personale i kanë publike për shkak të deklarimit të pasurisë, por që sërisht publikimi i paautorizuar është një shkelje.

Problemi nuk qëndron vetëm te fakti që janë publikuar të dhënat, por ai që ka akses në këto të dhëna, mund ti manipulojë këto të dhëna”, thotë profesori, i cili sjell edhe një shembull konkret ku qytetarët kanë refuzuar të japin të dhënat e tyre në shtet. “Kjo është arsyeja që në Britaninë e Madhe shtetasit nuk pranuan të jepnin shenjat e tyre  biometrike, pasi thanë që në raste të veçanta, një hakerim dhe gjurmët tona mund të vendosen në vende të caktuara, mund të mbajmë përgjegjësi të caktuara e kështu me radhë”, shton ai.

Edhe ish- drejtuesi i Shërbimit Informativ Shtetëror, Fatos Klosi, publikimin e këtyre të dhënave e cilëson si cënim të sigurisë kombëtare, ndërsa për sa i përket rrezikut të identifikimit të zyrtarëve të SHISH thotë që ata janë njerëz të rrezikuar gjithësesi. “Ata në konflikt me krimin janë, me terrorizmin, për ta nuk është mirë. Në qytete të vogla janë të identifikuar me kohë, dihen njerëzit që hynë e dalin në zyrat e SHIK-ut çdo mëngjes. Kush ka interes i merr vesh, nuk janë anonim, anonim janë bashkëpuntorët etj”, thotë ai duke shtuar se e rëndësishme është që “Informatorët nuk janë identifikuar, edhe në SHIK vetëm ata njerëz që kanë lidhje, i dinë edhe drejtori i SHIK-ut, i di vetëm me pesudonime”.

Fabian Zhilla, ekspert i sigurisë dhe pedagog pranë “Canadian Institute of Technology”, shprehet që problemet që lidhen me këto të dhëna janë në disa nivele.

“Janë dy probleme që lidhen me këto të dhëna, këto të dhëna përmbajnë të dhëna bankare, për orët e punës, vendin e punës. Të dhënat bankare mund të përdoren jo vetëm për blerje-shitje, por edhe për të vjedhur të ardhurat që kanë në bankë, por edhe për të aplikuar nesër për kredi dhe gjëra të tjera” thotë ai, duke shtuar se për subjekte specifike kjo problematik mund të shkojë deri në cënimin e sigurisë kombëtare.

Pjesa tjetër që është më problematike, është shantazimi që mund të bëhet nëpërmjet të dhënave bankare. Mund të përdoret edhe për shantazhim pasi ka shumë rëndësi edhe ndaj kujt subjekti bëhet shantazhim. Nëse flasim për zyrtarë të niveleve që lidhen me sigurinë kombëtare, kjo hap probleme të tjera që kapërcejnë nivelin personal, por që cënojnë sigurinë kombëtare”, përfundon ai.

Ekspertët drejtojnë gishtin nga AKSHI, prokuroria heton Tatimet

Nuk kaluan më shumë se disa orë pas publikimit të skandalit dhe prokuroria e Tiranës nisi hetimet. Burime nga prokuroria e Tiranës thanë se në qendër të hetimeve aktualisht janë vendosur Drejtoria e Tatimeve pasi të dhënat që janë publikuar janë të dhëna që lidhen drejtpërdrejtë me këtë institucion dhe nëse rezulton se këto kanë dalë nga serverat e tatimeve, ata servera do të sekuestrohen për tju nënshtruar një ekspertize për verifikimin se kush ka qenë personi i cili ka bërë tërheqjen e këtyre të dhënave. Por prokuroria hedh poshtë dyshimet se personi i parë që ka hyrë në sistem dhe ka tërhequr prej andej të dhënat në excel është një punonjëse e Tatimeve, emri i të cilës u bë publik. “E sigurtë është që ky informacion i shpërndarë ka bashkëpuntorë të brendshëm dhe sistemi nuk është hakeruar” thotë në anonimitet një ekspert i hetimit të krimeve kibernetike pranë Policisë së Shtetit për ACQJ.

Por, për Gentian Prognin, ekspert i IT, institucioni nga kanë rrjedhë këto të dhëna është AKSHI. “Problemi kryesor është se gjithçka mblidhet në AKSHI. Kjo do të thotë që IT e një Ministrie çertifikohet në AKSHI për të filluar punë dhe njëkohësisht të gjitha të dhënat grumbullohen në AKSHI.  I pari institucion që ka rënë është AKSHI dhe nuk e di se ca po presin që të japin dorëheqjen të gjithë drejtuesit e AKSHI-it pasi këto të dhëna mblidhen vetëm në AKSHI”, shprehet ai duke shtuar se këto janë të dhëna të cilat kanë dalë nga brenda. I pyetur nëse këto të dhëna mund të kenë dalë nga tatimet ai thotë se është e pamundur.

Nuk mundet askush që të di që Gentian Progni punon në këtë institucion me këtë ID dhe këtë Nipt. Këto janë të dhënë që grumbullohen në AKSHI. Nuk ka shanse që këto të dhëna mund të dalin nga Tatimet. Edhe Tatimet, vet serverat e vet te AKSHI i ka. Pra nëse kanë dalë nga server i Tatimeve supozojmë është gjeneruar një Quer në Databazë që janë gjeneruar të dhëna në masë dhe nëse bëhet një gjenerim në masë shkon një sinjalizim në AKSHI. Është e pamundur që AKSHI mos të ketë dijeni kur grumbullohen të dhëna të tilla.  I vetmi vend ku mund të dalin këto të dhëna janë AKSHI dhe e- ALBANIA”, përfundon ai.

Nga ana tjetër një tjetër ekspert i sigurisë, thotë se këto të dhëna duhet të ishin të fragmentuara dhe është i frikshëm fakti që në një databazë të atillë aksesi që i jepet një punonjësi është aq i madh, saqë mund të tërheqi sasi të dhënash të mëdha.

Ekspertët: Të gjithë databazët e shtetit në duart e panjohura

Pas herës së dytë të publikimit të të dhënave personale të mijërave qytetarëve, ekspertët e IT shprehen se ajo që duhet të bëhet urgjent është ndryshimi i algoritmit të gjenerimit të numrave personal të ID, për shkak se tashmë ekziston një mundësi e madhe që ky algoritëm mund të thyhet.

Algoritmi që gjeneron të dhënat e ID është një algoritëm që është i sigurisë së lartë. Gjenerimi i atij algoritmi nga të dhënat që kanë dalë është cënuar pasi çdo kush me një sistem kompjuterik të mirë mund të dëshifrojë mënyrën se si bëhet kjo llogaritje. Pra mjafton që në 3 milion banorë 1% e të dhënave të jenë të sakta dhe algoritmi gjendet e jo më të dalim më shumë se 1% e të dhënave se ne na kanë vjedhë gati 1/3 e të dhënave”, shprehet Gentian Progni, duke shtuar se: “Mbrojtja kibernetike dhe siguria kibernetike në Shqipëri është 0. E- Albania është kthyer si Facebook pa passworde, shkruaj emrin dhe të del e dhëna. Me kaq sa po kuptoj unë është se e gjithë databaza e shtetit është në dorë të dikujt. Databaza është kompromentuar, që nga dëshmitë e penalitetit, tapitë, pronat çdo gjë”.

Profesori i Drejtësisë, Karamuço e cilëson si emergjencë kombëtare sigurinë kibernetike të Shqipërisë. “Kam biseduar me specialistët e krimit kibernetik në ministri të mbrojtjes dhe te ajo e brendshmja dhe më kanë thënë, duam rrogën e privatit dhe kjo i është propozuar qeverisë vetëm për këtë arsye se ka emergjencë kombëtare, vjedhja e të dhënave, sulmi ndaj të dhënave është emergjencë kombëtare dhe duhej të shpërthente kjo histori që ta kuptonim se sa i brishtë ishte ky sistem”, përfundon ai.

Ndërkohë për Gentian Prognin është shumë e vështirë për të marrë në dorë situatën e krijuar pasi kostot janë shumë të mëdha. “Që të vendoset në shina ajo gjë është shumë e vështirë sepse kostot janë kolosale. Duhet të prishet kontrata me kompaninë ALEAT dhe të lidhet kontrata të reja për rivendosjen e kodit të gjenerimit ndryshe, duhen prishur gjithë serverat e AKSHI-t dhe të ngrihen nga e para, duhen të ngrihet tërësisht e-Albania nga e para, duhet të merret kompani e huaj që të bëj testime mbi penetrimin në sistem, ka shumë punë dhe kosto të madhe”, përfundon ai.

E ndërsa të dhënat personale të shqiptarëve tashmë janë në dorë të çdo qytetari fatkeqësia më e madhe është se asgjë nuk është bërë për të ndaluar shpërndarjen e mëtejshme të këtyre të dhënave dhe keqpërdorjen e tyre.