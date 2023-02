Nje prej eksperteve te IT ne vend, Gent Progni, denoncoi diten e sotme ne prokurori, zyrtare te larte shteterore ne lidhje me ceshtjen e sulmit kibernetik.

Progni tha ne dalje te prokurorise, pasi kishte dorezuar kallezimin penal se me veprime dhe mos veprime, AKSHI dhe zyrtare te kesaj agjencie, ua kane bere me te lehte punen hakerave pasi nuk kane segreguar serverat ku ndodhen te dhenat shteterore dhe ato te qytetareve shqiptare.

Eksperti u shpreh se ne kete menyre, hakerat kane hyre ne nje server te vetem e me pas, kane kopjuar te dhenat e gjithe serverave.

Merr lajme ekskluzive në Viber Doni të informoheni të parët për lajme ekskluzive? Bashkohuni me grupin tonë në Viber duke klikuar këtu.

Mos ndarja e serverave, apo lenia e tyre ne nje linje te pasigurt, nuk eshte bere nga hakerat, sipas Prognit, por nga vete punonjesit e administrates shqiptare, pasi per kryerjen e nje veprimi te tille duhet aksesi lokalisht ne pajisjen kompiuterike te serverit.

KALLËZIM

Kallëzues: Gentjan Progni, lindur më 03.08.1989 në Bajram Curri, shtetas shqiptar,

banues në Tiranë, mbajtes i leternjoftimit nr. I90803058R, madhor me zotesi te plote per te vepruar.

Objekti: Shpërdorim i detyrës në bashkëpunim, neni 248 i kodit penal;

Shpërdorim i menaxhimit të të dhënave kompjuterike, sipas parashikimeve të nenit 293/a dhe c si dhe Cënimi i sigurisë Kombëtare

Kunder: Agjencia Kombetare e Shoqerise se Informacionit dhe Admin të

serverave dhe Agjencia Kombëtare për Sigurinë Kompjuterike

Baza Ligjore: Neni 283 i Kodit Të Procedurës Penale dhe, 248, 293/a, 293/c të Kodit

Penal

Prokurorisë së Rrethit Gjyqesor Tiranë.

Prokurorisë së Posacme Anti Korrupsion.

I/e nderuar znj/z Prokuror/e,

Kush jemi ne?

Shkak për këtë shqetësim u bënë diskutimet e vazhdueshme në forumin RizgjimKombetar.org që më shtyu ne bërjeen e kallëzimit. Forumi eshte një grup profesionistësh shkrues programesh dhe njohës së teknologjisë së informacionit. Jetojmë e punojmë këtu në Tiranë në kompani të ndryshme më së shumti si zhvillues programesh kompjuterike.

Së fundi jemi të bashkuar nën një forum që e kemi quajtur RizgjimKombetar.org, ku debatojmë jo pa shqetësim ngjarjet e kohëve të fundit me sistemet kompjutetire publike. Theksojmë se hackerimi i sistemeve dhe rritja e pasigurisë kompjuterike në tërësi prek drejtpërsëdrejti punën tonë të përditshme.

Ne duhet të zhvillojmë programe për klientët tanë që të punojnë në kushtet e sigurisë kompjuterike dhe jo në këtë nivel kaq të lartë pasigurie.

Rrethanat e ngjarjeve që kanë sjellë pasigurinë kompjuterike, sic i kemi dëgjuar në publik.

1. Në datën 15-16 të Korrikut 2022, publiku u njoftua nga Agjencia Kombetare e

Shoqerise se Informacionit (AKSHI) se ka ndodhur sulmi kibernetik ndaj institucionit

te sigurise se vecante dhe serverave te tyre.

2. Me pas nga raporti i Microsoft i dates 8 Shtator 2022 dhe Raporti i FBI Alert (AA22-

264A), date 21 shtator 2022, e konfirmuan këtë ngjarje tepër të rëndë nga ku u

emetuan edhe disa arësye përse ka ndodhur.

3. Më herët, zonja Mirlinda Karçanaj, me detyre Drejtoreshë e Përgjithshme e AKSHI-t

ne emisionin televiziv OPINION ne TV KLAN te dates 23 Dhjetor 2021 me teme “Linda

Karcanaj pergjigjet per skandalin” ne minuten e 15 e 41 sekonda pranon qe sistemet

jane te certifikuar me ISO 27001 video url: (https://www.youtube.com/watch?v=JJVc7IBKU7E)

4. Kujtojmë këtu se në vitin 2021, u mbajtën zgjedhjet parlamentare nën debatin e

fortë në publik mbi hartimin e një database me të dhëna të mbrojtura nga serverat

publikë, për cdo shtetas, të dhëna këto që u përdorën për zgjedhje.

5. Duhet të sjellim në vemendje se ALCIRT eshte institucioni qe duhet te monitoroje

dhe verifikojne dokumentaticonet e standardizimit sipas Ligjit nr 2/2017 per sigurine

kibernetike.

6. Ne date 19 korrik 2022 z. Igli gjelishti ne nje interviste ne televizionin MCN

(http://www.mcntv.al/2022/07/19/sulmi-ndaj-faqeve-t-qeveris-gjirishti-sistemet-

nuk-u-prek-n-t-dh-nat-jan-t-sigurta) ku eshte shprehur per formatin e sulmit. Me

cfare statusi eshte future ne incident response? Si e bëri analizën për 3 ditë përpara

se analiza të bëhej nga microsoft shumë kohë me pas? Me cfarë tools e bëri analizen

dhe cfare dokumentimi? A është i certifikuar për ndërhyrje në sistemet e sigurisë së

lartë? Pse analiza e tijë ishte aq e shpejtë krahasuar analizës së bërë nga microsoft?

Bazuar ne cilin dokumentacion fitoi të drejtën për të hyrë në një skenë krimi perpara

se të hynte prokuroria ose mikrosoft, fbi apo partneret? Kur dihet që kompania e

z.Gjelishti eshte vetem kompani programimi dhe jo sigurie apo cyber security dhe në

konflikt interesi si përfitues i disa tenderave te AKSHI.

Analiza jonë mbi standartin ISO 27001.

Sipas ISO 27001, network dhe perdoruesit duhet te jene te segreguar pika A.13.1.3.

Pra network i shërbimeve duhet të jetë i ndarë nga network i virtualizimit. Dmth për ta thjeshtuar edhe pak spjegimin, të dhënat kompjuterike gjenden në disa servera sipas sektorëve të vecantë. Gjendja civile ka serverin e saj me rregjistrin kombëtar të gjendjes civile, drejtoria e shërbimit të transportit rrugor, Drejtoria e tatimeve, Doganat, Sigurimet Shoqërore, Kadastra, Policia e Shtetit etje kanë sescila të dhëna kompjuterike në formë rregjistratsh ose database që ruhen në serverat e tyre.

Me ofrimin e shërbimitë marrjes online të shërbimeve publike nëpërmejt E-Albanias, ide shumë e mirë kjo, qëllimi ishte që nga një faqe e certifikuar me siguri të personalizuar nga përdoruese të merrej shërbimi në cdo sektor që shtetasi ka nevoje.

Pra, shtetasi me një numër unik identiteti dhe një pasword logohet në E-albania dhe prej aty i krijohet mundësia që të marrë shërbimin elektronikisht nga secili server sektorial.

Në këtë kuptim E-albania u dizenjua vetëm si shërbim virtual ndërfaqje dhe jo si një qendër super serverash.

E bëjmë këtë spjegim për të kuptuar më mirë standartin ISO 27001, sipas të cilit DUHET TE REALIZOHET SEGREGIMI I SERVERAVE SEKTORIALE. Përkundrazi ky standard parakupton që serverat janë të ruajtur nga cdo agjensi sektoriale në mëyrë të rreptë duke mos lejuar që të dhënat e serverit të kryqëzohen me të dhëna nga servera të tjerë.

Aq më pak ky kryqëzim të bëhet nga shërbimet on line si fjala vjen E-Albania.

Ky është thelbi i standartit ISO 27001, standard i cili dukshëm është shkelur.

Përse themi që është shkelur standarti?

ISO 27001 është dizenjuar për të garantuar siguri të lartë kompjuterike. Duke realizuar segregimin e serverave sektoriale mbrojtja nga ndërhyrjet e jashmte përfshi edhe hackerimin është e lartë.

Për ta kuptuar më mirë, nëse nga jashtë hyn një hacker, maksimumi mund të prekë serverin ku ai ka hyrë dhe jo të gjithë serverat e tjerë sepse ata janë të segreguar me

të. Në vijim të kësaj llogjike, fakti që hackerat kan hyrë në të gjitha serverat e institucioneve, provon qartësisht se serverat kanë qenë të pa segreguara dhe madje online, që do të thotë se standarti ISO 27001 i adaptuar nuk është zbatuar.

Kush ka për detyrë ta garantojë standartin ISO27001?

Implementinimn e standardid ISO 27001 e ka per detyre ta garantoje institucioni, ne rastin ne fjale AKSHI dhe ky garantim verifikohet nga kompania audituese si dhe ajo kontrolluese.

Sipas standardit auditimet duhet te kryhen nje deri ne dy here ne vit dhe kompania qe ben auditimin (kontrollin e implementimit) eshte e ndryshme nga kompania qe ben verifikimin.

Verifikimi behet nepermjet skanimeve te brendshme dhe te jashteme te network dhe

sistemeve informatike. Si detyrim institucioni duhet te beje nje skanim nga brenda dhe nje skanim nga jashte (nje black box dhe nje ëhite ose gray box). Ky auditim me pas sipas ligjit duhet te verifikohet nga insitucioni i AKCESK.

Kush mban përgjegjësi për mos segregimin e serverave?

Ligjërisht dhe sipas protokolleve të sigurisë, një servere administrohet nga stafi I AKSHI Teknikisht serveri ka chelësin e hyrjes që e mban AKSHI, në këto kushte personat që janë mbajtës të celësave të serverave janë rrethi i parë i përsonave të dyshuar për mos segregimin e serverave me të dhënave.

Minimalisht ata kanë dijeni se kush përvec tyre ka përdorur autoritetin për të mos segreguar serverat me të dhëna. Aq më tepër kur në disa raste janë

raportuar edhe marrje të të dhënave me flash disk, veprimtari rreptësiht e ndaluar kjo.

Rrethi i dytë i personave të dyshuar janë punonjësit e AKSH, të cilët duke shfrytëzuar

nevojën për akses në shërbimet ndërfaqëse .

A ëhtë hackerimi paligjshmëria e vetme?

Padyshim që jo Segregimi i serverave teknikisht është bërë që me rastin e databazës së patronazhimit elektoral. Ne nuk mund të vemë gishtin tek përsona kokrete, por ligji

qartësisht e vendos përgjegjësine tek administratoët e serverave dhe të mbajtësit e e-albanias. Ky rast eshte thjeshteshist i vertetueshëm nese marrim userat e e-albania qe nuk kane hapur llogarine vete por me persona te trete (ekonomisti i tyre, ose avokati i tyre) dhe numri i shfaqur ne databazen e publikuar eshte numri i personit qe ka ndihmuar ne hapjen e llogarise, ose rastin kur kemi qytetar Shqiptare ne diaspore qe numrin e tyre e kane vendosur vetem ne e-albania per te marre sherbimet, ose rastin e qytetareve te huaj qe jane paisur me dokumente shqiptare qe nuk jane subjekt per votime.

Po teknikisht ky ushtrim antisiguri i mos segregimit ka krijuar terrenin që hackerat të kenë akses në cdo sistem kompjuterik, duke sjellë kështu pasigurinë më të madhe që një shtet mund të ketë në këtë sektor.

Mos pershtatshmeria e sistemeve me standardin ISO 27001 per piken e segregimit (ndarjes)

se network e ka bere me te lehte kalimin nga njeri sistem ne tjetrin. Kalimi nepermjet sistemit te virtualizimit ka mundesuar kapjen e te gjithe serverave (sipas videos se publikuar nga hackerat).

Ky network duhej te ishte i pa-aksesueshem nga jashte dhe i pa lidhur me

asnje network tjeter. Teknikisht ky network duhej te ishte i pa aksesueshem nga Hackerat, sepse kjo gje sipas standartit ISO 27001 realizohet vetem nese ke akses fizik ne keto servera.

Mundesia e kalimit ne kete network eshte nje nder pa-rregullesite te cilat nuk jane pasoje e hakerimit por pasoje e mos veprimit apo mos kompetences se punonjesve, drejtuesve dhe kontrolluesve te ketyre sistemeve si dhe audituesve te jashtem te AKSHI. Cka ka lehtesuardhe mundësuar kalimin nga njeri sistem ne te gjithe te tjeret (serisht duke ju referuar videos se hackerave) autenticiteti i se ciles verifikohet kollaj ne baze te te gjithe emertimeve te sistemeve te hostuara nga AKSHI.

Ne video vihen re qarte aksesi per te fshire (aksesim superior) cka konfirmon dhe aksesin per te ndryshuar apo lexuar te dhenat qe jane ne keto sisteme.

Zoti prokuror,

Ne nuk jemi juristë dhe ndoshta këto fjalë mund të mos jenë të renditura ashtu sic janë modelet apo klishetë zyrtare të kallëzimeve. Por një gjë ju sigurojmë se argumentet e mësipërme janë formësuar thjesht mbi llogjikën e profesionit dhe asgjë tjetër.

Nga ballafaqimi i gjetjeve tona, bazuar mbi informacionet publike, kqyrjen e protokolleve të sigurisë , me ligjet e shkruara na rezulton se ka shkelje të rëndë penale nga ana e punonjësve publike që administrojnë serverat dhe rrjetet kompjuterike në vend. Emrat e tyre ju i gjeni shumë kollaj, mjafton të shqyrtoni organigramën e institucioneve publike dhe të detyrave funksionle që ata kanë.

Duke mos dashur të bëjmë juristin, cmojmë se shpërdorimi i detyrës publike, me pasojë tepër të rëndë, vepër kjo e parashikuar nga neni 248 i Kodit Penal dhe i kryer në bashkëpunim është vepër penale e kosumuar tashmë, ka cenuar sigurine Kombetare, ka krijuar panik dhe dem te pallogaritshem ekonomik dhe shoqeror per Shqiperine.

Por mesa lexuam edhe përcaktimet e neneve 293/a dhe c, gjykojmë se mbrojtja e të

dhënave kompjuretike është rrethane edhe për vepra penale të parakishuara në këto nene.

E përsërisim, mbrojtja e të dhënave është detyrë e institucioneve publike ku në to ka

persona përgjegjës sipas ligjit.

Ne gjykojmë se si persona të kallëzuar nga ana jonë janë të gjithë admin e serverave dhe

bashkë me ta edhe:

1. Drejtoresha e pergjithshme e AKSHI

2. Drejtori i departamentit te network

3. Drejtori i departamentit te sigurise

4. Zv Drejtori i AKSHI

Per periudhen 2019-2020 (duke patur parasysh qe certifikimet iso behen cdo 1 vit

me detyrim dhe sipas raportit te fbi hackerat jane future ne sistemet e akshi qe ne

maj 2021)

5. Kompanite qe jan marrë me auditimin dhe implementimin e certifikimin ISO

27001

6. Drejtori i përgjithshëm I ALCIRT për përiudhen 2021-2022

7. Zinxhiri i punonjesve te cilet kanë patur për detyrë të monitorojnë implementimet

Keta individe janë përgjegjës për shkelje penale të shumta, kryerja ose moskryerja me dashje e veprimeve a mosveprimeve në kundërshtim me ligjin, që përbën mospërmbushje të rregullt të detyrës, nga personi që ushtron funksione publike, kur i kanë sjellë atij ose personave të tjerë përfitime materiale ose jomateriale të padrejta a kanë dëmtuar interesat e ligjshëm të shtetit, të shtetasve dhe të personave të tjerë juridikë.

Per këtë arsye, kërkojmë që të hetoni për veprat penale të kryera.

Me konsiderate

Gentjan Progni

Bashkëlidhur gjeni:

● Dokumentacioni ISO 27001

● Ligji per sigurine Kibernetike

● Foto te postimeve të hackerave

● Foto te lajmit ne MCN.tv

● Foto e videos ne youtube te emisionit Opinion