Nga Besmir Semanaj
Siguria kibernetike nuk mund të ndërtohet mbi fshehtësi, arrogancë institucionale dhe frikë nga kritika. Në një shtet demokratik, transparenca është jo vetëm detyrim, por edhe garanci për besim publik dhe mbrojtje efektive.
Reagim Publik mbi Deklaratën e AKSK për Incidentin Kibernetik në Bashkinë Tiranë
Tiranë, 20 Qershor 2025
Deklarata e shpërndarë nga Autoriteti Kombëtar për Sigurinë Kibernetike (AKSK) mbi incidentin kibernetik që ka prekur infrastrukturën e Bashkisë Tiranë, ngre shqetësime serioze lidhur me mungesën e transparencës, përzierjen e kompetencave teknike me ato hetimore, dhe tentativën për kufizim të informimit publik dhe kritikës së pavarur.
Incident i përsëritur në një kontekst mosllogaridhënieje
Ky incident nuk është një rast i izoluar. Shqipëria ka qenë objektiv i sulmeve të shumta kibernetike në tre vitet e fundit, përfshirë:
• Sulmin e vitit 2022 ndaj infrastrukturës qeveritare, për të cilin qeveria shqiptare akuzoi drejtpërdrejt një shtet të huaj;
• Sulmin ndaj sistemit TIMS të Policisë së Shtetit në vitin 2023, që paralizoi përkohësisht sistemin kufitar dhe operacionet ndërkombëtare;
• Raste të shumta ndërprerjesh dhe ndërhyrjesh të dyshimta ndaj sistemeve bashkiake, portaleve qeveritare dhe databazave të shërbimeve publike.
Në asnjë nga këto raste, autoritetet nuk kanë ofruar raporte të plota teknike, auditime të pavarura apo njoftime publike transparente mbi:
• Shkakun e sulmit;
• Dëmet e shkaktuara;
• Mësimet e nxjerra;
• Masat e ndërmarra për të parandaluar përsëritjen.
Kjo mospërgjegjshmëri institucionale ka ngritur shqetësime të vazhdueshme në komunitetin e ekspertëve, organizatat për të drejtat digjitale, median dhe partnerët ndërkombëtarë të Shqipërisë.
⸻
Mungesë transparence në deklaratën e AKSK
Deklarata për Bashkinë Tiranë ndjek të njëjtin model si rastet e mësipërme: përmban vetëm fraza të përgjithshme si “incident”, “masa”, “koordinim”, por nuk jep:
• Llojin e sulmit (ransomware? akses i paautorizuar? shkatërrim i të dhënave?);
• Identitetin e sistemeve të prekura;
• Nëse janë prekur të dhëna personale apo të ndjeshme;
• Nëse sulmi është nën kontroll, aktiv apo i vazhdueshëm.
Një deklaratë e tillë nuk u shërben qytetarëve as si paralajmërim, as si edukim digjital, as si mbështetje për të kuptuar cenueshmërinë e tyre. Për më tepër, mungesa e transparencës e pengon edhe komunitetin e ekspertëve të ndihmojnë apo të analizojnë objektivisht situatën.
⸻
Konflikte interesi dhe mungesë pavarësie në hetim
AKSK njofton se incidenti po trajtohet në bashkëpunim me Policinë e Shtetit dhe AKSHI-n. Kjo është praktikë e përsëritur problematike:
• Policia e Shtetit nuk është e pajisur për analiza teknike të malware-ve apo forenzikë digjitale të nivelit të infrastrukturës kritike – roli i saj duhet të kufizohet në fazën hetimore, jo teknike.
• AKSHI është ofrues i infrastrukturës për shumë prej institucioneve të prekura – prania e tij si palë “analizuese” është një konflikt i qartë interesi.
Në një shtet me standarde demokratike, trajtimi i incidenteve të kësaj natyre do të kërkonte një audit të pavarur teknik, publikimin e një raporti zyrtar dhe angazhimin e ekspertizës së jashtme.
⸻
Tentativë për kontroll dhe censurë të tërthortë
Më shqetësuese mbetet mbyllja e deklaratës së AKSK me frazën:
“Për çdo informacion zyrtar, qytetarët dhe mediat ftohen të referohen vetëm në kanalet zyrtare të AKSK.”
Kjo është një tentativë për të heshtur median dhe ekspertët e pavarur, që ndryshe nga organet shtetërore, kanë rol thelbësor në mbikëqyrjen publike, informimin qytetar dhe analizën kritike.
Shteti nuk ka të drejtë të monopolizojë informacionin për incidentet që prekin qytetarët dhe të dhënat e tyre. Një qasje e tillë cenon lirinë e shprehjes, qasjen në informacion dhe krijon një precedent të rrezikshëm autoritar për mbulimin e problemeve sistemike në sektorin publik digjital.
⸻
Kërkesa të menjëhershme për qeverinë dhe institucionet përgjegjëse
U bëj thirrje institucioneve qendrore dhe vendore, Kuvendit dhe organeve të pavarura që të kërkojnë:
1. Publikimin e menjëhershëm të një raporti paraprak teknik me informacion bazë për incidentin;
2. Angazhimin e ekspertizës së pavarur për auditim të masave të sigurisë së Bashkisë Tiranë dhe subjekteve të tjera të prekura;
3. Ngritjen e një bordi të jashtëm për transparencë dhe përgjegjshmëri ndaj incidenteve kibernetike me ndikim publik;
4. Hartimin dhe zbatimin e një protokolli për njoftim publik në raste incidentesh, në përputhje me Ligjin Nr. 18/2018 dhe GDPR.
