Enti Shtetëror për Revizion publikoi të dhëna shqetësuese lidhur me efektivitetin e masave të marra nga autoritetet kompetente për mbrojtjen e sistemeve kritike të informacionit. Revizioni i performancës përfshin periudhën nga viti 2020 deri në vitin 2022, si dhe periudhën para dhe pas përfundimit të revizionit, deri në ditën e hartimit të raportit.
Revizioni konstatoi se institucionet dhe organet nuk ofrojnë mbrojtje efikase dhe të plotë të sistemeve kritike të informacionit.
“Arsyet e kësaj situate janë mungesa e ligjeve për sigurinë e sistemeve të informacionit, mosrespektimi i direktivave evropiane, mungesa e dokumenteve strategjike, mosfunksionimi i Këshillit Kombëtar të Sigurisë Kibernetike dhe personeli i pamjaftueshëm”, thuhet në raport.
Gjithashtu, shuma jashtëzakonisht të ulëta përdoren nga buxhetet e institucioneve për financimin e sigurisë së informacionit. Nga viti 2020 deri në fund të vitit 2023, institucionet maqedonase kanë lidhur 69.504 kontrata në vlerë mbi 3 miliardë euro. Prej tyre, vetëm për prokurimet që kanë qenë objekt i prokurimit në fushën e sigurisë së informacionit, janë lidhur 283 kontrata për 6 milionë euro, që është vetëm 0.18 përqind e vlerës totale të kontratave të lidhura.
“Është jashtëzakonisht e rëndësishme që institucionet ta shohin financimin në sigurinë e informacionit si një investim dhe jo si shpenzim, me efektet që janë shumë më të mëdha në investimin në masa parandaluese nga dëmtimi në krahasim me koston e shkaktuar pas një incidenti sigurie”, thuhet në raport.
Auditorët konstatuan gjithashtu se të gjitha institucioneve u mungojnë burimet njerëzore për të parandaluar dhe trajtuar incidentet e sigurisë së TIK (teknologjisë së komunikimit të informacionit), ndërkohë që 40 përqind e institucioneve nuk kanë fare të emëruar person për sigurinë e informacionit.
Shqetësuese janë edhe të dhënat se 67 përqind e institucioneve nuk kanë formuar ekipe për reagim ndaj incidenteve kompjuterike, ndërsa 60 përqind nuk kanë nënshkruar kontrata me kompani të jashtme për të bartur rrezikun e një incidenti të sigurisë. Për sa u përket personave të punësuar të IT-së, 87 përqind e institucioneve nuk kanë fare detyrim për angazhimin e tyre jashtë orarit të punës, situatë kjo që mbart rrezik të lartë për një përgjigje të suksesshme në rast të një sulmi kibernetik përkatës ose të ncidentit të sigurisë së TIK-ut.
Revizioni gjithashtu zbuloi se Këshilli Kombëtar i Sigurisë Kibernetike, i krijuar në vitin 2019 për të zbatuar Strategjinë Kombëtare të Sigurisë Kibernetike, nuk po funksionon siç pritej.
Gjithashtu u konstatua se masat dhe standardet minimale të sigurisë për mbrojtjen e sistemeve të informacionit nuk janë të përcaktuara, nuk janë në përputhje me direktivat e BE-së, gjë që mund të shkaktojë rrezikun e investimeve të pamjaftueshme dhe vonesën e masave për mbrojtje më të mirë.
Trendi i incidenteve të sigurisë së IT-së është në rritje në vend. Numri i incidenteve të sigurisë së informacionit të raportuara në MKD-CIRT për periudhën 2020-2022 po rritet – nga 1,441 në 2020, 1,880 në 2021, në 2,804 në 2022.
Sipas analizave të MKD-CIRT jepen statistika të faqeve publike të hakuara në vend.
“Në mungesë të rregulloreve ligjore në vend për raportimin e detyrueshëm të incidenteve si dhe detyrimit për të vepruar sipas rekomandimeve të CIRT MKD, nuk është e mundur të përcaktohet numri i saktë i incidenteve të sigurisë TIK në nivel shtetëror, përqindja e rritjes së incidenteve, llojet e incidenteve si dhe dëmet e shkaktuara prej tyre. Gjithashtu nuk ka mundësi të përshtatshme planifikimi, analizimi dhe marrja e masave për parandalimin, pra parandalimin në kohë të përshkallëzimit të tyre”, thonë auditorët.
