Nadia Elbasani, eksperte për sigurinë kibernetike
Në një kohë kur dixhitalizimi po avancon me ritme të shpejta, edhe sulmet kibernetike po bëhen gjithnjë e më të sofistikuara dhe të vështira për t’u dalluar.
Mashtrimet phishing, spear phishing, SIM swapping dhe përdorimi i Inteligjencës Artificiale për mashtrime janë vetëm disa nga rreziqet që po përballen qytetarët dhe bizneset shqiptare.
Ekspertja e sigurisë kibernetike, Nadia Elbasani, ndan me ne sfidat kryesore që përballet Shqipëria në këtë fushë, duke analizuar teknikat më të zakonshme të mashtrimeve dhe kategoritë më të prekshme të përdoruesve.
Ajo vë në dukje se mungesa e edukimit kibernetik dhe përgatitjes ligjore mbeten sfida të mëdha, ndërsa thekson rëndësinë e rritjes së ndërgjegjësimit dhe përmirësimit të infrastrukturës ligjore dhe teknologjike.
Cilat janë llojet më të zakonshme të mashtrimeve online që po ndodhin aktualisht në Shqipëri? A mund të ndani ndonjë rast me ne?
Mashtrimet “phishing” janë ndër mashtrimet më të shpeshta që shohim prej disa vitesh tashmë. Pavarësisht se shumë shpesh vëmë në dukje se si të kuptojmë kur po mashtrohemi, përsëri mbetet sulmi me më shumë të prekur.
Jo më larg se fundi i vitit të kaluar dhe fillimi i këtij viti, u raportua gjerësisht mbi një mesazh telefonik në të cilin kërkohej të jepeshin të dhënat personale në kuadër të mbërritjes së një pakoje, e cila nuk ishte në të vërtetë e kërkuar nga palët.
Koha e cila u përzgjodh është po ashtu e menduar mirë nga sulmuesit, duke qenë se festat e fundvitit sjellin edhe më shumë blerje online.
Këto mashtrime fatkeqësisht sjellin njëkohësisht edhe stepje në zhvillimin e transaksioneve ekonomike online.
Mirëpo, Shqipëria nuk mund të bëjë përjashtim nga zhvillimet aktuale të dixhitalizimit dhe ndryshimeve të infrastrukturës së teknologjisë së informacionit, ndaj dhe prioritetet e vendosura në këtë fushë, ashtu sikurse edhe rreziqet e saj, vijnë së bashku. Ajo që mund të bëjmë më shumë është kujdesi i shtuar në ndërveprimet tona online.
A ka ndonjë kategori të veçantë përdoruesish që janë më të prekshëm ndaj këtyre mashtrimeve?
Si pasojë e mungesës së njohurive teknologjike, besimit të lartë ndaj informacioneve që vijnë nëpërmjet teknologjisë, kategoritë më të prekura nga sulmet kibernetike janë:
1- Të moshuarit, pasi në shumicën e rasteve kanë aftësi të pamjaftueshme për të identifikuar një mashtrim kompjuterik nga një komunikim legjitim.
Kjo grupmoshë bie pre më shpesh e mashtrimeve nëpërmjet komunikimeve telefonike, ku përmes telefonatave japin informacionet e tyre personale apo edhe ato bankare.
2- Të rinjtë, pavarësisht se kanë mundësi më shumë se grupmoshat e tjera për t’u informuar mbi mënyrat e mashtrimeve nëpërmjet përdorimit të teknologjisë, përsëri bien pre e sulmeve “phishing”. Mungesa e një “filtri” kritik i bën të rinjtë të bien pre e skemave të investimit false apo blerjeve nga burime jolegjitime.
Po ashtu, besimi i lartë dhe lidhja emocionale që kjo grupmoshë krijon në rrjetet sociale i bën të jenë fokusi kryesor për “catfishing”.
“Catphishing” është një mashtrim kibernetik, më shumë sesa një sulm tipik kibernetik, krijon te kjo grupmoshë një dëm të madh emocional, duke i mashtruar se nga ana tjetër kanë një person real, por në fakt po bisedojnë me një identitet të rremë, të krijuar për mashtrime emocionale, financiare, shantazhe etj.
3- Bizneset e vogla, të cilat nuk u kushtojnë rëndësi detajeve në komunikimet e tyre në rrjet, bien pre kryesisht e mashtrimeve me transferta bankare dhe Social Engineering Attacks.
Sulme ku mashtruesit komunikojnë sikur të ishin furnitorët ose partnerë potencialë biznesi, me qëllim përfitime monetare kryesisht përmes transfertave bankare.
Nga këndvështrimi juridik dhe teknologjik, nevojitet forcimi i mbrojtjes ligjore në rastet e mashtrimit kompjuterik dhe investimi në edukimin kibernetik për të reduktuar ekspozimin e këtyre kategorive ndaj mashtrimeve.
Si kanë evoluar mashtrimet dixhitale vitet e fundit dhe cilat janë teknikat më të sofistikuara që përdorin mashtruesit?
Shfrytëzimin e përparimeve teknologjike, sigurisht e kanë përdorur edhe sulmuesit për të sofistikuar sulmet e tyre. Përfshirja e Inteligjencës Artificiale dhe Deepfake i ka përsosur sulmet kibernetike duke krijuar edhe një kompleksitet, të cilin vite më parë nuk e kishim.
Krijimi i videove dhe audiove me një përfaqësues apo administrator shoqërie tregtare apo një figure publike krijon besueshmëri më të madhe se informacioni i ardhur është real dhe në këtë formë, më shumë individë bien pre e mashtrimeve online.
Shtojmë këtu se mashtruesit përdorin “spear phishing” duke krijuar mesazhe të personalizuara që u drejtohen individëve specifikë, duke përdorur informacione të mbledhura nga rrjetet sociale apo burime të tjera publike.
Përdorimi i të dhënave personale e bën një mesazh më të besueshëm, ndaj dhe vështirësia në identifikimin e një sulmi rritet.
Do të doja po ashtu të evidentoja se në teknologji si eSIM, hackerat po vijojnë me mënyra të reja për mashtrim. Një nga teknikat më të zakonshme është “SIM swapping”, ku ata manipulojnë operatorin telefonik për të kaluar numrin e viktimës në një kartë SIM që ata kontrollojnë.
Kjo u jep akses në kodet e sigurisë (OTP) dhe mund të përdoret për të marrë kontrollin e llogarive të viktimës.
Cilat janë praktikat më të mira që qytetarët dhe bizneset duhet të ndjekin për të mbrojtur veten nga mashtrimet online?
Mbrojtja nga mashtrimet online kërkon gjithëpërfshirje, ku vigjilenca e vetë qytetarëve, teknologjia dhe mbrojtja juridike duhet të ndërthuren në mënyrë natyrale dhe kompakte. Krijimi i një mentaliteti skeptik nga vetë përdoruesit, të cilët duhet të verifikojnë çdo komunikim, mbetet një hap i domosdoshëm.
Më pas, disa biznese duhet të fillojnë të zbatojnë apo minimalisht të njohin standarde si GDPR apo ISO 27001. Njohja dhe implementimi nga biznesi i këtyre standardeve duhet parë edhe si një investim në ngritjen e një reputacioni mbi sigurinë e të dhënave të klientëve.
A janë institucionet shqiptare të përgatitura për të luftuar mashtrimet online dhe krimet kibernetike?
Institucionet shqiptare duhet të jenë në mënyrë të vazhdueshme në betejë serioze dhe reale me krimin kibernetik. Përballja me institucione burokratike dhe me veprime të fragmentuara, në aspektin e kompetencave, rrit vështirësinë e mbrojtjes.
Kuadri ligjor ekzistues i përbërë nga Ligji për Sigurinë Kibernetike, Kodi Penal dhe rregulloret mbi mbrojtjen e të dhënave, shërben si një bazë, por tërheqjen e talenteve të reja në burime njerëzore dhe investimit në teknologji të avancuara, mbetet i papërmbushur në praktikë.
Për më tepër, serioziteti në trajtimin e denoncimeve mbetet një sfidë, pasi shumë raste të mashtrimeve online përfundojnë pa ndjekje penale ose me dënime minimale duke nxitur sulmuesit të ndërmarrin veprime pa pasur frikë nga zbulimi dhe ndëshkimi.
Çfarë masash ligjore ekzistojnë në Shqipëri për të ndëshkuar mashtrimet dixhitale? A janë të mjaftueshme?
Kuadri ligjor shqiptar për ndëshkimin e mashtrimeve kompjuterike është dhe duhet të jetë gjithnjë në zhvillim, sidomos për fazën ku ndodhen teknologjitë e reja. Përveç Kodit Penal, Ligji nr. 2/2017 “Për Sigurinë Kibernetike” vendos detyrime mbi institucionet dhe bizneset që ofrojnë shërbime kritike, duke përcaktuar masat e sigurisë.
Në të njëjtën linjë, Ligji për Mbrojtjen e të Dhënave Personale kufizon aksesin dhe përdorimin e paligjshëm të informacionit konfidencial duke synuar të mbrojë qytetarët nga keqpërdorimi i të dhënave të tyre.
Në kuadër të angazhimit ndërkombëtar, Shqipëria ka ratifikuar prej vitesh Konventën e Budapestit për Krimin Kibernetik duke përafruar një pjesë të legjislacionit vendas me standardet ndërkombëtare për ndjekjen dhe ndëshkimin e veprave penale në hapësirën dixhitale.
Megjithatë, hendeku mes ligjit dhe zbatimit të tij mbetet i thellë. Mungesa e specializimit në krimin kibernetik, vonesat në ndjekjen dhe ndëshkimin penal të autorëve, si dhe mangësitë në bashkëpunimin ndërinstitucional, e bëjnë të vështirë përballjen me mashtrimet kompjuterike, të cilat janë në rritje.
Pa një strategji të integruar që përfshin forcimin e ligjit, përmirësimin e mekanizmave të ndjekjes penale dhe rritjen e ndërgjegjësimit publik, masat aktuale mbeten të pamjaftueshme për të frenuar valën në rritje të mashtrimeve kompjuterike, si dhe ndryshimet që këto sulme do të kenë si pasojë e përfshirjes së teknologjive të reja.
A ka nevojë për më shumë edukim mbi sigurinë kibernetike në Shqipëri dhe si mund të bëhet më efektiv ky proces?
Sigurisht që po. Nevoja për edukim të thelluar mbi mënyrat e reja të mashtrimeve kompjuterike apo sulmeve kibernetike, ndërgjegjësimi mbi të dhënat personale është domosdoshmëri.
Mungesa e ndërgjegjësimit dhe njohurive teknike e bën shoqërinë dhe bizneset të cenueshme ndaj mashtrimeve kompjuterike. Kjo cenueshmëri konsiston si në dëme financiare dhe humbje të klientëve, ashtu edhe në rënien e besueshmërisë dhe uljen e reputacionit.
Ky proces duhet të jetë i institucionalizuar dhe i vazhdueshëm, pikërisht për shkak të ndryshimeve dhe sofistikimeve që këto sulme bëjnë.
Përfshirja e sigurisë kibernetike, si element bashkëshoqërues i zhvillimit teknologjik duhet të jetë pjesë e detyrueshme e kurrikulave arsimore, trajnimeve për administratën publike dhe fushatave ndërgjegjësuese për qytetarët dhe sipërmarrësit.
VINI RE: Ky material është pronësi intelektuale e Monitor
