Të dhënat personale – kronikë e një krimi “inekzistent”; Hetimi i rrjedhjeve të të dhënave personale, shumë pak, shumë vonë

Autorë: Ardit Toca, Maria O’Donnell dhe Xhuana Çallaku

“Ne i treguam ujkun, ata (prokurorët) kërkonin gjurmët”

Më 11 prill të vitit të kaluar, dy javë përpara zgjedhjeve parlamentare në Shqipëri, Lapsi.al dha lajmin se kishte një shkelje të të dhënave personale të qytetarëve në Shqipëri. Kjo rrjedhje lëshoi ne publik ​​informacionet private dhe të dhëna personale të afro 910,000 individëve, pothuajse një e treta e të gjithë popullsisë së Shqipërisë.

Në vend që të merrnin në pyetje këdo që dyshohet se ishte i përfshirë në shkelje, prokurorët zgjodhën të hetonin Andi Bushatin dhe Armand Shkullakun, gazetarët e Lapsi.al, të cilët publikuan lajmin për rrjedhjen e të dhënave.

“Prokuroria i kërkoi gjykatës sekuestrimin e gjithçkaje; celulare, kompjutera, servera, USB etj. Ndërkohë që standardet (protokollet) kërkojnë që në këto raste jo vetëm të mos sekuestrohen pajisjet, por aksesi në këto pajisje duhet të jetë edhe kirurgjikal”, tha Dorian Matlija, avokati që përfaqëson Lapsi.al. . “Prokuroria me veprimet e saj rrezikoi seriozisht marrëdhëniet e gazetarëve me burimet, por rrezikoi edhe nxjerrjen e materialeve të tjera të gazetarëve që nuk kanë lidhje me çështjen konkrete”.

Pas tetë muajsh heshtje të qeverisë, ndodhën edhe tre rjjedhje të tjera të të dhënave, duke vënë në rrezik sigurinë e qytetarëve shqiptarë.

“Një hetim i duhur i rastit të parë do të kishte një efekt frenues ndaj çdo individi që mund të keqpërdorte të dhënat shqiptare”, tha Matlija.

Me fjalë të tjera, nëse prokurorët do të kishin marrë në pyetje personat që kishin shkaktuar shkeljen dhe jo gazetarët që publikuan lajmin, atëherë rrjedhjet e mëvonshme të të dhënave që nxorrën në domeinin publik të dhënat personale të mijëra qytetarëve shqiptarë mund të mos kishin ndodhur.

Një ditë më vonë

Një ditë pas shkeljes së parë të të dhënave personale, SPAK, Struktura e Posaçme Kundër Korrupsionit dhe Krimit të Organizuar nisi hetimet. Për gjashtë muaj, deri më 1 tetor të vitit të kaluar, SPAK e hetoi këtë çështje.

Sipas Euronews Albania, SPAK kërkoi që dy gazetarët e Lapsi.al që publikuan lajmin të dorëzonin pranë tij bazën e të dhënave të votuesve që kishin në dispozicion, e çuan kërkesën e tyre në gjykatë por në fund çështja u pushua nga Gjykata e Apelit.

Më 23 prill të vitit të kaluar, Zyra e Komisionerit për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale publikoi një njoftim ku thuhej se “po monitoronin me kujdes situatën e krijuar nga shkelja (rrjedhja e paligjshme) e të dhënave personale të qytetarëve”. Zyra tha se do të nxjerrë një raport në të ardhmen e afërt.

Zyra e publikoi raportin vetëm katër muaj më vonë, më 19 gusht. Ky raport specifikonte informacionin e nxjerrë dhe detajonte veprimet e gazetarëve të Lapsi.al, por nuk nxorri asnjë fajtor në rrjedhjen e të dhënave dhe asnjë fajtor në përdoriminn e tyre.

Raporti vjetor i Freedom House i quajtur “Liria në Botë 2022” vuri në dukje se “kritikët, përfshirë anëtarët e opozitës, kanë akuzuar PS-në për vjedhjen e të dhënave nga faqet zyrtare të internetit të qeverisë dhe përdorimin e tyre për të “frikësuar” votuesit. Partia në pushtet ka mohuar vazhdimisht se baza e të dhënave është krijuar ose përdorur në mënyrë të paligjshme.”

“Mund të ketë raste të ndryshme të rrjedhjes së të dhënave në vendet fqinje dhe gjithashtu në ato të Bashkimit Europian, por [rrjedhjet e të dhënave] në Shqipëri, për vlerësimin tim, është e paprecedentë”, tha Erida Skëndaj, Drejtoresha Ekzekutive e Komitetit Shqiptar të Helsinkit.

Edi Rama, Kryetari i Partisë Socialiste, fitoi zgjedhjet dhe mundi të vazhdojë pushtetin e tij tetëvjeçar si Kryeministër.

Gati gjashtë muaj pas shkeljes së prillit, SPAK ia kaloi hetimin prokurorisë së zakonshme.

“Në fillim të tetorit 2021, SPAK informoi mediat, duke deklaruar moskompetencën (si shkak të shkeljes së të dhënave), me argumentin se nuk ka elementë të akteve korruptive, duke ia kaluar Prokurorisë pranë Gjykatës së Shkallës së Parë Tiranë”, tha Skëndaj.

Edhe pa marrjes nga prokuroria përsipër të çështjes, nuk u njoftuan ndryshime apo përmirësime në sistemin e sigurisë së të dhënave personale të qytetarëve në Shqipëri.

“Rreziku është i lartë dhe i përhershëm (për shkelje të tjera të të dhënave); sepse … kohët e fundit kemi parë mijëra ankesa, të cilat vinin nga qytetarët, duke thënë se po merrnin oferta për punësim”, tha Inxhinieri i Sigurisë së Sistemit dhe Ekspert IT Besmir Semanaj. “Kjo tipologji hap rrugën edhe për sulme të tjera.”

Tetë muaj më vonë

Më 22 dhjetor të vitit të kaluar, tetë muaj pas rrjedhjes së të dhënave të prillit, ndodhi një tjetër shkelje. Kësaj rradhe, rrjedhja e të dhënave ekspozoi pagat mujore, pozicionet e punës, emrat dhe numrat e identitetit që nga janari 2021 për afro 630,000 qytetarë që punojnë në sektorin privat dhe publik.

Të nesërmen u ekspozuan përmes WhatsApp-it pagat e mijëra qytetarëve shqiptarë për muajin prill 2021.

Skëndaj shprehu seriozitetin e situatës, duke vënë në dukje faktorë si “lloji i të dhënave të administruara, subjektet që dyshohet se i kanë shpërndarë dhe përpunuar më tej këto të dhëna për qëllime të caktuara, numrin shumë të lartë të personave të prekur nga qarkullimi i këtyre të dhënave, si dhe koha e shkurtër, në më pak se një vit, brenda së cilës ndodhën këto rrjedhje masive.”

Pas rrjedhjes së pagave, Kryeministri Edi Rama doli përpara gazetarëve dhe kërkoi falje për rrjedhjen e bazës së të dhënave në një konferencë shtypi më 23 dhjetor.

“Sipas një analize paraprake, më shumë duket si një infiltrim i brendshëm sesa një sulm kibernetik i jashtëm,” tha Rama. “Unë kam një ide se kjo është bërë për të krijuar konfuzion dhe armiqësi mes njerëzve dhe (qeverisë)”.

Një rrjedhje e tretë e të dhënave ndodhi më 24 dhjetor. Ajo përmbante numrat e targave të 530.452 shtetasve shqiptarë dhe 61.513 bankave, bizneseve dhe ambasadave. Edhe ngjyra e saktë dhe prodhuesi i makinës u renditën.

“Rreziku më i madh është klonimi i identiteteve dhe përdorimi i tyre për akte kriminale dhe terroriste… Zgjedhja e vetme është ndryshimi i kartave dhe algoritmit të prodhimit të tyre”, tha Semanaj.

Përgjigja

Pas tetë muajsh dhe katër shkeljeve të sigurisë të databazave shtetërore, më 7 janar të këtij viti, prokurorët në Shqipëri arrestuan katër të dyshuar për vjedhje të mundshme të të dhënave personale të më shumë se 630,000 qytetarëve. Këto arrestime janë bërë për rrjedhjen e dytë dhe të tretë të të dhënave, por jo të parën, të prillit 2021.

Prokuroria tha se dy nga personat e arrestuar ishin teknikë IT që punonin në zyrën e Drejtorisë së Përgjithshme të Tatimeve, ndërsa dy të tjerët kishin blerë të dhënat dhe punonin në sektorin privat.

“Për sa i përket rrjedhjes së të dhënave (paga, targa), Prokuroria pranë Gjykatës së Shkallës së Parë Tiranë ka nisur kryesisht hetimet për këtë çështje që nga dita e daljes së këtyre të dhënave. Lidhur me këtë rast janë arrestuar katër persona, përkatësisht shtetasit E.Q, A.A, K.S dhe E.I, të cilët janë ende në masën e sigurisë “arrest në shtëpi” dhe “detyrim paraqitje”, thuhet në njoftimin e prokurorëve.

Jones Group

Më 11 janar të këtij viti, qeveria shqiptare punësoi kompaninë me qendër në SHBA, Jones Group International për të ndihmuar në sigurinë kibernetike.

Kryeministri Edi Rama deklaroi se qeveria dhe grupi kanë nënshkruar një memorandum mirëkuptimi se do të punojnë “për forcimin e sigurisë së sistemeve dixhitale”.

Kur u pyet në lidhje me llojet e punës që bën Jones Group, John Lord, President i Jones Group Europe, tha se “ekipi i Jones Group ofron shërbime këshillimore për sigurinë kibernetike dhe sigurinë e informacionit për klientët e infrastrukturës qeveritare dhe kritike në mbarë botën”.

Jones Group është me qendër në shtetin e Virxhinias dhe është themeluar nga gjenerali James L. Jones, ish-këshilltari i sigurisë kombëtare i Presidentit Barack Obama.

“Ekipi ynë ka përfunduar një gamë të gjerë projektesh të lidhura me kibernetikën në energjinë dhe teknologjinë e informacionit, secila me kërkesa të ndryshme, dhe ne kemi qenë të suksesshëm në përmbushjen e kërkesave të klientëve tanë,” tha Lord. “Kryeministri, i mbështetur nga Këshilli i Ministrave dhe Kuvendi i Shqipërisë, ka treguar tashmë një lidership të rëndësishëm drejt forcimit të pozicionit të sigurisë kibernetike të Shqipërisë”.

Por nëse ishte një “infiltrim i brendshëm dhe jo një sulm kibernetik i jashtëm”, siç deklaroi Kryeministri Rama, pse qeveria shqiptare punësoi një konsulent të jashtëm si Jones Group?

Kësaj pyetje, Agjencia Kombëtare për Shoqërinë e Informacionit (AKSHI) iu përgjigj, “bashkëpunimi me Jones International Group përqendrohet në vlerësimin e standardeve ndërkombëtare ISO, hartimin e planit teknik në nivel individual institucional për rekomandimet kibernetike dhe zbatimin e infrastrukturës fizike e cila synon të minimizojë gjasat se incidente të tilla të ndodhin përsëri.”

Për shkak se ishte një sulm i brendshëm, ekziston shqetësimi se mund të ndodhë përsëri.

“AKSHI nuk është një institucion, punonjësit e të cilit duhet të kalojnë procedura vlerësimi dhe vettimi, por për të pasur një ide më të qartë mbi besueshmërinë e aplikantit, lista e dokumentacionit të kërkuar për aplikim janë Certifikata e Gjendjes Gjyqësore dhe dokumentacion [tjetër] i kësaj natyre”, thuhet në një deklaratë të AKSHI.

Më 1 maj, Rama njoftoi bashkëpunimin e tij me AKSHI, duke thënë se i gjithë vendi do të përdorë e-Albania, një portal i krijuar nga AKSHI që lejon qytetarët të aksesojnë certifikatat dhe dokumentet e lidhura me shërbimet publike. Edhe pse portali kishte shumë vite që ekzistonte, kjo ishte hera e parë që të gjitha agjencive qeveritare u kërkohet ta përdorin atë.

Siguria e të dhënave në SHBA

Shkelja e të dhënave qeveritare që preku numrin më të madh të individëve në SHBA ndodhi në dhjetor 2015, sipas Digital Guardian, një kompani softuerësh për parandalimin e humbjes së të dhënave. Ajo përfshiu rrjedhjen e informacionit të regjistrimit të votuesve.

Të dhënat personale të 191 milionë njerëzve në SHBA u publikuan për shkak të një baze të dhënash që ishte konfiguruar gabimisht.

Shpesh, arsyeja për rrjedhjen e të dhënave është mungesa e vetëdijes për sigurinë e të dhënave ose gabimi njerëzor.

“Në industrinë e financave ose të kujdesit shëndetësor, ka shumë dokumente të sigurta që po qarkullojnë në publik, por mendoj se është kryesisht vetëm për t’u marrë me njerëz që duan para ose njerëz në një kompani që nuk janë mjaftueshëm të edukuar për të mos u angazhuar me email phishing [ose] skema mashtrimi të këtij lloi,” tha Kyle Cleaver, Përfaqësuesi i Zhvillimit të Biznesit në HelpSystems dhe një punonjës në Digital Guardian.

Megjithatë, në Shqipëri, siç tha Rama, kishte ndodhur një “infiltrim i brendshëm”.

Kur u pyet pse këto infiltratime të brendshme kanë më pak gjasa të ndodhin në SHBA, Cleaver tha: “Gjobat [janë] gjithnjë e më të larta nëse [një kompani] ka ndërhyrje nga jashtë. E di që është mirë që kompanitë tona të merren me këtë softuer, sepse…ato duhet të jenë në përputhje me certifikatat CUI (Controlled Unclassified Information) ose do të gjobiten.”

Ministria e Infrastrukturës dhe e Energjisë në Tiranë, e pyetur se për sa kohë nuk ka një vlerësim nga asnjë institucion zyrtar se “rrjedhja e të dhënave ishte pasojë e një sulmi të jashtëm”, pse qe i nevojshëm kontraktimi me nxitim i Jones Group për forcimin e kuadrit të sigurisë kibernetike shtetërore, kjo e fundit nuk dha një përgjigje definitive, duke refuzuar ti përgjigjet pyetjes direkte.

Pyetjes nëse ka pasur procedura të hapura për konntraktimin e Jones Group dhe nëse ka pasur dhe firma të tjera të interesuara për bashkëpunim, Ministria nuk i dha një përgjigje.

Ka mëse 4 muaj nga data e kalimit të ligjit të posaçëm për lidhjen e kontratës me Jones Group dhe vënies në dispozicion të këtij të fundit pothuajse të gjithë të infrastrukturën kibernnetike të shtetit shqiptar, dhe deri më sot nuk ka asnjë përditësim mbi përmirësimin e infrastrukturës së sigurisë së AKSHI.

Në mars, presidenti i SHBA-së Joe Biden nënshkroi në ligj Aktin e Raportimit të Incidentit Kibernetik për Infrastrukturën Kritike, për të parandaluar përsëritjen e sulmeve kibernetike si ato që ndodhën në vitin 2015.

“Ndihmon shumë kur qeveria ndërhyn dhe ajo po miraton të gjitha këto ligje [për sigurinë kibernetike],” tha Cleaver.

Një e ardhme në internet

Në një konferencë shtypi më 23 dhjetor të vitit të kaluar, pas shkeljes së dytë të të dhënave në dhjetor, Mirlinda Karçanaaj, Drejtoresha e Agjencisë Kombëtare të Informacionit të Shqipërisë, u ul pikërisht pranë kryeministrit Edi Rama.

Karçanaaj rikonfirmoi sigurinë e e-Albania, pavarësisht se nuk ka asnjë lidhje me shkeljet e të dhënave.

Më pak se pesë muaj më vonë, i gjithë vendi u detyrua të përdorte e-Albania.

Me fjalë të tjera, pas katër shkeljeve të të dhënave në tetë muaj, Agjencia Kombëtare e Informacionit vendosi të vendosë online dokumentet e rëndësishme të qytetarëve shqiptarë. Kjo do të thotë se certifikatat familjare, regjistrimet në arsim, vendet e punës, pensionet, lejet dhe licencat, transporti dhe automjetet, shërbimet doganore dhe mbrojtja shëndetësore dhe sociale administrohen të gjitha përmes këtij portali.

“Personat që kanë pasur akses në informacionin e marrë nga bazat e të dhënave kanë pasur akses në çdo të dhënë që ne posedojmë”, tha Semanaj. “Qytetarët shqiptarë janë totalisht të ekspozuar”.

Më datë 17 Korrik 2022, AKSHI njoftoi për herë të parë për një sulm kibernetik të jashtëm në infrastrukturën e tij dhe pezulloi të gjithë shërbimet publike. Përpjejkjet për zgjidhjen e situatës emergjente vijojne.