Siguria e ueb-faqeve të institucioneve shtetërore është një proces i kushtueshëm, mungojnë ekspertë, trajnime dhe standarde

F1 C Send an email 09:00, 18-12-2022
0
Siguri kibernetike, foto: Jefferson Santos, Unsplash

Në periudhën e kaluar, ueb-faqet e institucioneve shtetërore kanë qenë cak i sulmeve të hakerëve. Më të fundit janë rastet me sistemin “IKnow” për mbështetjen elektronike të universitetit më të madh shtetëror në vend, “Shën Kirili dhe Metodi”, i cili nuk funksiononte me ditë të tëra, ndërsa për më shumë se dy javë jashtë përdorimit të plotë ishte ueb-faqja e Ministrisë së Arsimit dhe Shkencës. Në shtator, Ministria e Bujqësisë, Pylltarisë dhe Ekonomisë së Ujërave ishte shënjestër e një sulmi të ashpër hakerimi nga grupi rus BlackByte, i cili e paralizoi punën e institucionit dhe për rrjedhojë, të gjitha sistemet ishin jashtë përdorimit, raporton Meta, përcjell Portalb.mk.

A ka ndonjë mënyrë për të rritur rezistencën dhe sigurinë e shërbimeve dhe ueb-faqeve të institucioneve shtetërore? Si të parandalohen sulmet, “rëniet e sistemeve” dhe bllokadat, duke pasur parasysh faktin se ato janë pasqyra e shtetit, andaj duhet të mbrohen në mënyrë adekuate? Për këtë temë, Meta.mk bisedoi me Vlladisllav Bidikovin, ekspert i TI-së nga Fakulteti i Shkencave Informatike dhe Inxhinierisë Kompjuterike (FSHIIK), si dhe me Prof. Dr. Aleksandra Mileva nga Fakulteti i Informatikës në Universitetin e Shtipit “Goce Dellçev”.

Duhet rritur rezistencën

Rezistenca e ueb-faqeve të institucioneve shtetërore duhet të bazohet në praktikat e mira të sigurisë në drejtim të përdorimit të teknologjive moderne dhe krijimit të produkteve të bazuara në parimin e “sigurisë sipas dizajnit”, konsideron Bidikov. Sipas tij, bëhet fjalë për një proces të krijimit të zgjidhjeve në ueb sipas nevojave të institucionit, dhe më pas, përmes zbatimit të një zgjidhjeje teknike të përshtatshme që i plotëson praktikat e mira të pranuara gjerësisht për modernitet dhe shkallëzim, dhe një proces të vazhdueshëm mirëmbajtjeje, optimizimi dhe përmirësimi, do të përmbushen kërkesat.

“Qasja ndaj sfidave të tilla të sigurisë në vendet përreth dhe në botë në përgjithësi është në drejtim të rritjes së rezistencës (resilience) dhe në drejtim të monitorimit proaktiv të zhvillimeve. Faktor i rëndësishëm në këtë proces është mirëmbajtja e vazhdueshme e sistemeve në përputhje me praktikat më të mira në fushën e sigurisë kibernetike” – vlerëson Bidikov.

Në rastin e institucioneve shtetërore, konsideron Bidikov, kjo sfidë është e ngarkuar edhe me tema të caktuara që kanë të bëjnë me fushën e prokurimeve publike dhe kufizime në proceset e tilla sipas koncepteve të balancës për sa i përket çmimit-cilësisë ose çmimit më të ulët të mundshëm, pa pasur plane afatgjatë në lidhje me modularitetin dhe qëndrueshmërinë e zgjidhjeve.

Ilustrim

“Kjo është veçanërisht problematike sepse një pjesë e të menduarit midis institucioneve është se në vend që të përdoren zgjidhje të njohura softuerike (qoftë softuer i lirë apo zgjidhje komerciale), ueb-faqet duhet të bëhen ‘nga zeroja’, që është një sfidë në vetvete, për shkak të faktit se institucionet shtetërore zakonisht nuk kanë staf të mjaftueshëm të TI-së. Zgjidhja përfundimtare nga tezat e këtilla, zakonisht më vonë shkakton më shumë dëm në aspektin e përdorshmërisë së saj sesa përfitim real” – konsideron Bidikov.

Siç shpjegon ai, si një praktikë e mirë nga vendet e tjera  mund të merret qasja e ashtuquajtur ripërdorim i zgjidhjeve të mira të TI-së ndërmjet institucioneve, të cilat, përveç përfitimeve financiare, shpesh mundësojnë fokusimin e njohurive dhe përvojës ndërmjet stafit lokal të TI-së brenda institucioneve që ndajnë një zgjidhje të ngjashme teknologjike.

Nuk ka zgjidhje magjike për t’u mbrojtur nga sulmet DDOS 

Bidikov është i mendimit se për disa nga sfidat në fushën e sigurisë, siç janë sulmet e shtuara dhe të shpeshta të mohimit të shërbimit (sulmet DDOS), nuk ka zgjidhje magjike për mbrojtje dhe ngjarjet e tilla duhet të zgjidhen sipas parimit të bashkëpunimit pa rezerva në kuadër të komunitetit.

“Disa institucione shtetërore që ishin cak i sulmeve të tilla DDOS, u zbutën (mitigated) ashtu siç duhet. Por, krejtësisht në të kundërtën, për disa lloje të tjera të sulmeve kibernetike që lidhen me sigurinë dhe integritetin e të dhënave, ekzistojnë tashmë koncepte dhe procedura operacionale të pranuara mirë që duhen zbatuar (për shembull, një parim i drejtë dhe funksional i kopjeve rezervë – backup) dhe të cilat garantojnë restaurim të shpejtë dhe të garantuar të sistemeve në rast të problemeve” – shpjegon Bidikov.

Zbatueshmëria e këtyre koncepteve në institucionet shtetërore është sfidë, për faktin se atyre u mungojnë burimet njerëzore, standardet, procedurat dhe proceset e biznesit – shton Bidikov.

“Hapi i parë duhet të jetë gjithmonë një analizë dhe një plan veprimi për rritjen e sigurisë kibernetike dhe rezistencës kibernetike, i cili duhet të bëhet në bazë të nevojave reale të institucionit dhe të cilat përmes disa hapave të përcaktuar qartë në një periudhë të caktuar kohore do të mundësojë përmirësimin e situatës. Ky proces duhet të jetë ciklik dhe duhet t’i përfshijë përvojat e mira dhe të këqija të institucioneve tjera për të mësuar nga gabimet dhe për të synuar përmirësime në të ardhmen” – përfundon Bidikov.

Sulm kibernetik
Ilustrim

Qëndrimi ndaj sigurisë kibernetike është i pandryshuar 

Profesoresha Aleksandra Mileva nga Fakulteti i Informatikës në Shtip, më saktësisht nga Katedra e Teknologjive Kompjuterike dhe Sistemeve Inteligjente, thotë se institucionet tona shtetërore shumë pak i kushtojnë rëndësi sigurisë së ueb faqeve, sistemeve kompjuterike dhe rrjeteve të tyre.

“Sulmet që ndodhën në shtator të këtij viti, si p.sh. sulmi në faqen e Ministrisë së Arsimit dhe Shkencës dhe sulmi ndaj sistemit të informacionit të Ministrisë së Bujqësisë, vetëm tregojnë se qëndrimi i këtyre institucioneve ndaj sigurisë kibernetike dhe sulmet e hakerëve nuk kanë ndryshuar fare, pavarësisht përvojës së keqe nga vitet e mëparshme. “Mjafton të kujtojmë korrikun e vitit 2020, kur viktima të sulmeve të hakerëve ishin ueb-faqet e Ministrisë së Arsimit dhe Shkencës, Ministrisë së Shëndetësisë, Ministrisë së Punëve të Brendshme” – rikujton Mileva.

Ajo shton se hakerët kanë sukses në sulmet e tyre sepse ata shpesh i shfrytëzojnë dobësitë ekzistuese të njohura ose të panjohura të sistemeve, të infrastrukturës së rrjetit dhe softuerit, ose përdorin sulme të inxhinierisë sociale dhe arrijnë deri te informacioni i dëshiruar nga punonjësit e institucioneve.

Sipas Milevës, mbrojtja duhet të shkojë në tre drejtime ndërsa e para është – skanimi i vazhdueshëm i sigurisë së rrjetit dhe i të gjitha sistemeve kompjuterike me mjete të posaçme për këtë qëllim dhe testimi i herëpashershëm i depërtimit në sistem.

“Rezultatet e këtyre testimeve dhe skanimeve përfshijnë dobësitë e zbuluara dhe konfigurimet e gabuara, të cilat pastaj stafi i TI-së duhet t’i eliminojë. Për disa nga këto dobësi, mjafton të instalohen përditësimet ose arnimet më të fundit nga prodhuesit e softuerit, pasi ato zakonisht përfshijnë edhe eliminimin e dobësive të gjetura. Në këtë drejtim, duhen njerëz me njohuri për sigurinë kibernetike dhe mjete adekuate, nga të cilat më të mira janë ato që janë komerciale dhe mjaft të shtrenjta” – shpjegon profesoresha.

Ajo thotë se përkundër faktit se MKD-CIRT, i cili funksionon në kuadër të Agjencisë për Komunikime Elektronike, ofron skanim falas të ueb-faqeve të të gjitha institucioneve shtetërore, fatkeqësisht vetëm një pjesë e vogël e institucioneve shtetërore e përdorin këtë shërbim.

“Drejtimi i dytë përfshin instalimin e programeve antivirus, sistemeve për zbulimin dhe/ose parandalimin e ndërhyrjeve, mureve mbrojtëse (firewalls), të cilat nëse konfigurohen dhe përditësohen siç duhet, kontribuojnë gjithashtu për një siguri më të madhe. Megjithatë, këto sisteme nuk janë një zgjidhje magjike, sepse për shembull, programet antivirus ofrojnë mbrojtje nga softuerët keqdashës që tashmë janë të njohur dhe që janë përdorur në të kaluarën, mirëpo jo edhe nga kodet e fundit keqdashëse që përdoren aktualisht” – shpjegon Mileva.

Sulmet kibernitike
Sulmet kibernitike

Sulmet kalojnë përmes punonjësve të institucioneve

Shpesh, sulmet kalojnë përmes punonjësve të institucioneve, të cilët nuk janë mjaftueshëm të vetëdijshëm se si veprimet e tyre e cenojnë sigurinë e institucionit të tyre apo të sistemeve që i përdorin. Për shembull, hapja e një bashkëngjitjeje në e-mail ose vizitimi i faqeve të internetit me qëllim keqdashës mund të çojë në instalimin e kodit keqdashës në kompjuterin e punës, gjë që mund ta rrezikojë më tej sigurinë e sistemeve të tjera të institucionit.

“Klikimi në një link të rremë nga një e-mail “phishing” dhe futja e kredencialeve tuaja, paraqet mundësi që hakerët mund ta marrin emrin e përdoruesit dhe fjalëkalim e ndonjë punonjësi të caktuar. Ndodh gjithashtu edhe shënjestrimi i qëllimshëm i punonjësve të caktuar (spear phishing) në disa institucione. Prandaj, drejtimi i tretë përfshin trajnime për ngritjen e vetëdijes së punonjësve për sigurinë kibernetike dhe pasojat e mundshme të sjelljes së tyre në internet, si dhe krijimi i politikave adekuate të sigurisë që do ta ulin efektin e sulmeve nëse ato ndodhin” – thotë profesoresha Mileva.

Atë që duhet ta kuptojnë të gjithë, sipas saj, është se sigurimi i aseteve dhe i burimeve është një proces që duhet të jetë i vazhdueshëm në një organizatë, qoftë kompani private, OJQ apo institucion qeveritar.

“Nuk mund të bëhet një skanim për të zbuluar disa dobësi, ato të eliminohen dhe të mendohet se me kaq e kemi siguruar organizatën. Dobësi të reja zbulohen vazhdimisht, gabime në konfigurim bëhen vazhdimisht dhe vazhdimisht ndonjë person i ri bie viktimë e inxhinierisë sociale. Siguria është një proces, edhe atë një proces i shtrenjtë. Mirëpo, ueb-faqet e institucioneve tona janë pasqyra e tyre dhe pasqyra e vendit tonë, prandaj duhet t’i mbrojmë ashtu siç duhet” – thekson Mileva.

Profesoresha rikujton se Fakulteti i Informatikës në Universitetin “Goce Dellçev” ofron një program të posaçëm të ciklit të dytë për Sigurinë Kompjuterike dhe Forenzikën Digjitale, dhe në kuadër të Universitetit “Goce Dellçev” funksionon edhe Laboratori për Sigurinë Kompjuterike dhe Forenzikën Digjitale që është në dispozicion të të gjitha subjekteve për shërbime të konsulencës dhe për organizimin e trajnimeve përkatëse. Përveç kësaj, ekzistojnë edhe programe dhe certifikime të njohura ndërkombëtarisht për sa i përket trajnimi të ekspertëve të sigurisë kibernetike.

Ky tekst është përgatitur si pjesë e projektit “Qeverisja e Mirë në Sigurinë Kibernetike në Ballkanin Perëndimor”, i zbatuar nga DCAF – Qendra e Gjenevës për Menaxhimin e Sektorit të Sigurisë dhe i financuar nga Zyra për Punë të Jashtme, Komonuelthi dhe Zyra për zhvillim e Qeverisë së Mbretërisë së Bashkuar.  Përmbajtja e këtij teksti është përgjegjësi e vetme e Fondacionit Metamorfozis dhe në asnjë mënyrë nuk i pasqyron pikëpamjet e DCAF dhe të donatorit. Në kuadër të projektit të njëjtë, Fondacioni Metamorfozis kreu hulumtimin “Siguria Kibernetike dhe të Drejtat e Njeriut në Maqedoninë e Veriut dhe Ballkanin Perëndimor:  Hartëzimi i qeverisjes dhe aktorëve”. I gjithë hulumtimi mund të gjendet në këtë link.

Tags
F1 C Send an email 09:00, 18-12-2022
0

Lajme të ngjashme

Pastruesi i jashtëm i ajrit, foto: Ivica Pockov

Pastruesi i jashtëm i ajrit nga inovatori Pockov i neutralizon grimcat PM-10

07:30, 05-05-2023

Dy prorektore dhe katër dekanë dhe profesorë në garë për karrigen e rektorit të UKM-së

16:41, 02-05-2023
Klasë, shkollë, nxënës, arsim, mësim

Notë “tre” për shkollat nga inspektorët e arsimit: higjienë e dobët dhe mungesë e kompjuterëve

09:00, 01-05-2023

RMV, njohuri të pamjaftueshme mbi sulmet kibernetike, sulmuesit e institucioneve kërkuan shpërblim në kriptovaluta

08:00, 01-05-2023

Leave a Reply

Your email address will not be published. Required fields are marked *

Përveç në rastet kur në mënyrë eksplicite nuk është theksuar ndryshe, përmbajtjet e Portalb.mk janë të licencuara sipas licencës Creative Commons Thekso Burimin 2.5
Back to top button

Terms and Conditions - Privacy Policy