Muaji i sigurisë kibernetike duhet të shërbejë për ngritjen e vetëdijes dhe vendosjen e kësaj problematike në qendër të vëmendjes publike. Por një problem që po na ndjek vit pas viti është se e gjitha përmblidhet vetëm në aspektin e sigurisë publike të individëve, në aspektin e sigurisë së llogarive të Facebookut apo emailave. Por fare pak është marrë ndokush me sigurinë kibernetike të Kosovës si shtet, respektivisht të komunikimit të përgjithshëm që kemi me botën e jashtme. Këtu ka jo pak probleme.

Ka shumë ISP (ofrues të shërbimeve të Internetit), të cilët e marrin Internetin (linkun) nga disa burime të ndryshme – nga Serbia, Mali i Zi, Maqedonia dhe Shqipëria. Rrjedhimisht edhe trafiku ynë kalon pra nëpër këto vende. Nuk dyshojmë që ISP-të ndërmarrin masat e tyre për të mbrojtur veten, edhe pse ka pasur ndër vite dyshime se disa prej tyre kanë qenë të komprometuar keqas nga hackerët në disa raste dhe me jo pak pasoja.

Një gjë për të cilën opinioni publik nuk ka ditur fare. Ka pasur edhe rreziqe të ndryshme që kanë ardhur nga jashtë e për të cilat shfrytëzuesit e thjeshtë vetëm janë këshilluar nga CERT-i që të mos hapin një email apo fajll të caktuar. Nga ana tjetër shohim gjithandej emisione televizive ku moderatori mendon se po e kryen punën e vet, duke ftuar mysafirë me tituj e ofiqe bombastike, të cilët flasin për sigurinë e shikuesve, ndërsa mysafirët të kënaqur që janë të ftuar nëpër studio televizive, tregojnë gjerë e gjatë se si duhet mbrojtur, ia qëlluat gjithsesi, shikuesit. Dhe bëjnë mirë. Sepse duhet vetëdijesuar si duhet të mbrojnë emailat e tyre dhe llogaritë në Facebook, Instagram e gjetiu... Tregojnë edhe se si hackerët mund të bëjnë dëme... Kemi parë madje edhe emisione ku hackerët ishin bashkë me ekspertët dhe tregonin se çfarë dëmesh dinë të bëjnë...

Ka raste kur vetë titulli i emisionit është se sa jemi të mbrojtur si shtet nga sulme të tilla kibernetike, teksa askush nga ekspertët nuk flet se sa të rrezikuar jemi, apo se çfarë duhet bërë për të krijuar një perimetër sigurie. Kjo në mënyrë që asetet të jenë të mbrojtura, kurse shfrytëzuesit të edukohen dhe ta ushtrojnë përgjegjësinë për sigurinë e përgjithshme. Edhe në rastet kur ka pasur shkelje sigurie apo edhe infektime e ndërhyrje, situata mbetet e mbështjellë me vellon e misterit. Një qasje e tillë vetëm krijon panik e huti nëpërmjet deklarimeve të tipit ka pasur infektim apo ‘breach’ të sigurisë, por nuk po tregoj se cili institucion është prekur, ose një kompani gjigante vendore e cila edhe vetë merret me programet për mbrojtje është infektuar po ashtu, por nuk po tregoj cila sepse do të kishte ndikim të madh tek publiku. Pra, fillimisht shkaktohet panik në publik, me pretendimin se potencialisht të dhënat e institucioneve apo edhe ato individuale janë komprometuar, ndërsa së dyti paniku zgjerohet kur ekspertët mysafirë në debate televizive nuk i bëjnë publike të dhënat.

Duke i mbështjellë me mister, siç e tha një koleg, ndoshta tërthorazi po i shantazhojnë për kushedi se çfarë. U tha, në po të njëjtin emision që infektimi me gjasë është bërë përmes një USB-je. Por dihet se ekziston një protokoll sigurie që duhet respektuar nëpër institucione, siç ka një rregull dhe një sistem AD, i cili përcakton se kush e çka mund të bëjë në Domain. Po ashtu, dihet se ka “shefa” dhe “shefa të shefave” që kanë fuqinë dhe ndikimin që administratorët t’ua japin privilegjet që t’i anashkalojnë këto masa sigurie. Prandaj, mund të hamendësojmë që pikërisht këtu “fle lepuri’.

Pikërisht këtu është hallka e dobët e sigurisë, kur e abstrahojmë nivelin tjetër të sigurisë, atë të perimetrit të sigurisë, anën harduerike dhe atë të konfigurimit. Edhe po të infektohej një shfrytëzues i thjeshtë i sistemit, ai do të prekej vetëm për aq sa shtrihen privilegjet e këtij shfrytëzuesi. Por nëse përmasat e infektimit apo sulmit kanë qenë më të mëdha, atëherë ose janë infektuar administratorët ose të tjerët me privilegje që i kanë anashkaluar të drejtat e tyre të zakonshme. Në këtë pikë mbetet në ndërgjegjen e institucioneve që të informojnë për këtë proces. Kjo, ngase janë ato institucione që funksionojnë me taksat e qytetarëve, të cilët kanë të drejtë ligjore të njoftohen me përmasat dhe pasojat e sulmeve kibernetike.

Është totalisht pa sens të mbahen konferenca për sfidat e cybersigurisë dhe e tëra të përfundojë me disa konstatime të përgjithshme. E kuptueshme që qëllimi/synimi i kolegjeve private, përveçse për ta sensibilizuar opinionin për sigurinë, është edhe për ta promovuar veten. Apo për t’u lavdëruar me krijimin e CERT-it, si dhe anëtarësimit në FIRST. Mbi të gjitha, esenciale do të ishte të prezantoheshin arritjet konkrete në këtë fushë. Rrjedhimisht, nga ky kënd, nevojiten rezultate dhe informata konkrete për publikun, por jo panik dhe konfuzion.

Përtej retorikës se duhet bërë kjo apo ajo, institucionet qeveritare e kanë për obligim ta thonë se në çfarë stadi sigurie ndodhet vendi ynë në këtë sferë, por jo të fshihen pas përkufizimeve abstrakte për publikun. Ende opinioni publik nuk ka asnjë informatë se si po zbatohet strategjia kibernetike 2016-2019, për shembull.

Opinioni publik ka nevojë për siguri dhe jo për panik. Prandaj, institucionet duhet ta kenë të qartë strategjinë e komunikimit me publikun për të eliminuar paqartësinë në relacione me sulmet kibernetike. Në këtë kontekst, vendit tonë i duhet një siguri më e madhe kibernetike. Kjo shtron nevojën e një auditimi (të brendshëm, por edhe të jashtëm në disa raste) të krejt sistemit tonë, mu ashtu siç bëjnë shumica e bankave që veprojnë në vendin tonë. Nevojitet informim i plotë i publikut me gjetjet. Prandaj, krijimi i një qendre të mbrojtjes kibernetike është nevojë imediate e Kosovës. Kjo pasi që posedon kapacitete njerëzore, të cilat duhet të mbështeten nga vendimmarrësit për ta krijuar një Kosovë më të sigurt në aspektin kibernetik.

