Nga Elira Cukalla*

Një auditim i Teknologjisë së Informacionit konsiderohet i domosdoshëm nëse janë zhvilluar e implementuar sisteme të cilat gjenerojnë të dhëna nëpërmjet veprimeve të tyre operacionale në përmbushje të aktivitetit institucional. Në mënyrë të thjeshtë fjalia e mësipërme do të thuhej se, nëse aktiviteti i një institucioni është informatizuar e të dhënat tashmë janë në sistem e jo në letër (në shumicën e rasteve janë të dyja), atëherë ky institucion prodhon të dhëna që duhen ruajtur e natyrisht duhen audituar.

Në standardet ndërkombëtare mbi sigurinë e informacionit publikuar nga ISACA, thuhet se:

Auditimi i sistemeve të informatizuara është një ekzaminim apo testim për të përcaktuar nëse:

Sistemet e informacionit janë ndërtuar në përputhje me ligjet në zbatim, rregulloret, kontratën/at si dhe udhëzimet që përcaktojnë aktivitetin e institucionit.

Sistemet e informacionit dhe proceset përkatëse përputhen me kriteret, objektivat e qeverisjes dhe politikat apo procedurat përkatëse.

Të dhënat dhe informacionet që prodhohen si rezultat i një sistemi të informatizuar, përmbushin kërkesat për ruajtjen e konfidencialitetit, integritetit dhe disponueshmërisë.

Operacionet e ngritura në sisteme të informatizuara, janë efikase dhe ndihmojnë përmbushjen e objektivave institucional.

Në auditimet e teknologjisë së informacionit që KLSH ka kryer që prej vitit 2014, e ku pjesë e programit të auditimit kanë qenë gjithmonë sistemet e informatizuara që çdo institucion ka patur në funksion, ka rezultuar se:

Specialistët IT në më të shumtën e rasteve nuk kanë patur dijeni për gjurmët e veprimeve që kryhen nëpërmjet sistemit, me qëllim monitorimin apo kryerjen e analizave të mëtejshme sa i takon sigurisë dhe integritetit të të dhënave.

Në ato pak raste kur kishin dijeni se gjurmët ekzistonin, nuk kishin të drejta për monitorimin apo analizimin e tyre.

Në asnjë rast nuk kemi konstatuar që të jetë dokumentuar ndarja e përgjegjësive ndërmjet operatorit ekonomik dhe specialistëve IT në institucion lidhur me sigurinë dhe mbrojtjen e të dhënave, apo të jetë kryer ndonjë klasifikim i rëndësisë dhe aksesimit të tyre, në mungesë të gjurmës së auditimit.

Nuk janë kryer testime operacionale gjithë-përfshirëse gjatë implementimit e me volum të konsiderueshëm të dhënash me qëllim testimin e efikasitetit të tyre, e natyrisht testime mbi integritetin e të dhënave do të konsideroheshin luks.

Vetë punonjësit kanë pranuar se gjurma e auditimit të një sistemi nuk është kërkuar që prej fillimit. Të metat e sistemeve, janë rregulluar në fazën e mirëmbajtjes së sistemit, edhe pse kjo fazë duhet ti shërbente zhvillimit të mëtejshëm apo përshtatjes së sistemit me ndryshimet ligjore/rregullative kur ato afektojnë institucionin.

Institucionet janë përgjegjës me ligj për të dhënat parësore që gjenerojnë që nga momenti në të cilin kanë implementuar një infrastrukturë, që përmban të dhëna shtetërore, por platformat mbi të cilat hidhen të dhënat i janë kaluar AKSHI-t, sipas VKM nr. 673, datë 22.11.2017 për riorganizimin e kësaj agjencie, i ndryshuar.

AKSHI bazuar në vendimin e përmendur me sipër qendërzoi shërbimet e zhvillimeve teknologjike prokurime të teknologjisë si dhe ofrimin e shërbimeve online. Në lidhje me sigurinë e gjithë këtij informatizimi i cili pësoi dhe transferime nga institucionet tek AKSHI, ka vetëm një nen ku citohet se “Garanton një nivel të lartë të sigurisë kibernetike dhe zgjidhjet ndaj incidenteve të sigurisë kompjuterike duke bashkërenduar me CSIRT, si ekipi përgjegjës ndaj incidenteve të sigurisë kompjuterike për institucionet dhe organet e administratës shtetërore nën përgjegjësinë e Këshillit të Ministrave”.

Nga ana tjetër, Vendimi i Këshillit të Ministrave nr.222, datë 26.04.2018 për “miratimin e listës së infrastrukturave kritike të informacionit dhe të listës së infrastrukturave të rëndësishme të informacionit” në nenin 5 të saj citon se “Listat e infrastrukturave kritike dhe të rëndësishme të informacionit përditësohen, të paktën një herë në dy vjet, dhe auditohen (ISA- Information System Audit), të paktën dy herë në vit”.

KLSH vëren se, edhe pse nuk mungojnë strukturat audituese, ajo që mbetet e paqartë është gjurma audituese e një sistemi të informatizuar si standard sigurie është përgjegjësi e kujt: a. institucionit që gjeneron të dhëna parësore; b. institucionit që disponon infrastrukturën; c. institucionit që ka miratuar infrastruktura kritike.

institucioni që gjeneron të dhëna parësore

Institucionet janë përgjegjëse bazuar në ligjet organike tek të cilat mbështesin aktivitetin e tyre, në gjenerimin dhe kurimin e të dhënave të sakta e të përditësuara, Pra, garantimi i sigurisë së të dhënave është në interes të vetë institucionit.

institucioni që disponon infrastrukturën

AKSHI si institucioni që ofron infrastrukturën me përfundimin e transferimit të kapitalit nga institucionet drejt tij, nuk mund të administrojë dhe gjurmën audituese të sistemeve të transferuara, për vetë arsyen se është në konflikt interesi nëse do të kontrollonte veten.

institucioni që ka miratuar infrastruktura kritike

AKCESK si institucioni që miraton infrastrukturën dhe sistemet kritike duhet të auditojë dhe sektorin privat që ka një sistem të klasifikuar kritik, e në këto kushte nuk mund të administrojë Log-e të sistemeve individuale të institucioneve shtetërore.

KLSH në mënyrë të vazhdueshme ka rekomanduar rivlerësimin e kushteve teknike të sistemeve për të siguruar gjurmën audituese me elementet më të rëndësishëm të saj, si hap shumë i rëndësishëm në integritetin e të dhënave tek çdo institucion që është audituar dhe është konstatuar kjo mangësi.

*Audituese në KLSH

