22 Dec GDPR dhe lista e pagave

Të gjithë e dimë tashmë se Shqiperia po pëson sulmin e te disatë kibernetik ndaj privatësisë së të dhënave të qytetarëve. Lajmi gjendet në të gjitha mediat.

Dikush ka hyrë në pronësi të listës (databazës) së pagave të mbi 600.000 qytetarëve. Jemi përpara një sulmi të fuqishëm dhe të paprecedentë të njërës prej të drejtave themelore të individëve: Privatësisë.

Ndërsa faqja online e Agjencisë së Prokurimit Publik (app.gov.al) nuk resht së publikuari thirrje për tenderime të këtij apo atij standardi ndërplanetar (ISO 9001, ISO 27001, ISO 27701 etj.), jo më larg se para pak ditësh ai prej 890.000 eurosh për trajnimin e personelit të Albcontrol, institucionet nuk zbatojnë as rregullat më elementare të menaxhimit të të dhënave.

Keqmenaxhimi i të dhënave të qytetarëve ndodh rëndom përditë në vendin tonë. I paprecedentë është volumi i të dhënave dhe emrat që ndodhen në këtë databazë (nga presidenti, kryeministri e deri tek qytetari më i fundit).
Rreziku zero nuk ekziton (siç nuk ekziston në asnjë aktivitet njerëzor), administrata publike në thelb ndahet në dy kategori të gjëra: ata që kanë një certifikatë dhe kanë pësuar tashmë një sulm të suksesshëm kibernetik dhe ata që nuk e kanë pësuar ende.

Ne sugjerojmë

Tema reale, në ktë dhe të gjithë situatave të tjera të data breach të administratës publike, qëndron në parandalimin dhe reagimin.

Parandalim që do të thotë jo vetëm pajisje me certifikata të dorës së dhjetë nga tendera me kritere fantastikoshkencorë, por përshtatje, pa pritur përafrimin legjislativ, e të gjithë sektorit publik me Rregulloren e BE – GDPR 679/16 nga pikëpamja formale, dokumentacionale dhe procedurale: pra përditësimi i vazhdueshëm, trajnimi i stafit, konfigurimet e serverave, softuerët mbrojtës, prania e kopjeve rezervë adekuate dhe të përditësuara, elasticiteti i sistemit, politika BYOD, navigimi i sigurt dhe çdo masë tjetër teknike që konsiderohet e përshtatshme duhet të kalojë nën monitorimin e DPO (Data Privacy Officer) kompetentë dhe jo të improvizuar duke përshtatur mikun e radhës.

Reagim do të thotë: secili duhet të dijë çfarë duhet të bëjë dhe të veprojë në kohën më të shkurtër, pra pajisja me një policy të një disaster recovery (terminologjia është teknike për këtë dhe lihet në anglisht) të miratuar dhe të testuar më parë për të reaguar ndaj sulmit.

Përveç uljes së rreziqeve të këtyre sulmeve të kemi dhe një panoramikë mbi emrat konkretë të përgjegjësve që neglizhojnë, keqmenaxhojnë ose tradhtojnë besimin e qytetarëve kur dorëzojnë të dhënat e tyre pranë administratës publike.

Si përfundim, alarmi i këtij sulmi nuk qëndron vetëm në vetë sulmin por edhe në mënyrën se si Qeveria do të jetë në gjendje ta përballojë dhe të reagojë.
Nëse nesër administrata publike do të vazhdojë të pajiset me copa letre pa implementuar rregulloren më të përparuar për menaxhimin e të dhënave të qytetareve, do të gjëndemi përballë pasojave jashtëzakonisht të rënda (dhe atëherë do të mund të flasim për një sulm vertëtë “të paprecedentë”) ose, siç është bërë për data breach-et e tjerë të sektorit publik do ta trajtojmë si shumë zhurmë për asgjë, një çerek ore e keqe dhe skandali i radhës do të mbulojë jehonën e rreziqeve që do të induktojë kjo sjellje.