×
  • Hulumtime/Analiza
  • Hulumtime/Analiza

    Sulmi kibernetikë që u mbajt sekret – si po i rrezikon të dhënat e kosovarëve Byroja e Sigurimeve

    Insajderi
    17 June 2024 - 16:52
    Klikoni Këtu për t'u bërë pjesë e kanalit të Insajderit në Youtube.

    Byroja Kosovare e Sigurimeve ishte pre e një sulmi kibernetikë. Shumë të dhëna u mbyllën dhe më as vet ky institucion nuk ka qasje. As nuk e di se kush e bëri sulmin. As se kur do të rikuperohen ato të dhëna, pasi që nuk ka kopje. Një rast u hap në Polici, por as Banka Qendrore që e mbikëqyr BKS-në nuk di më shumë. Gazeta Insajderi sjell detaje nga raporti i vulosur konfidencial i BQK-së, që pos këtij skandali, ka evidentuar edhe plotë shkelje e afera të tjera.

    Visar Duriqi

    Ishte fundi i janarit i vitit 2023. Baza e të dhënave në Byronë Kosovare të Sigurimeve (BKS) që mbahet nëpër serverë online ishte pre e një sulmi serioz kibernetik. U infektua me virusin e emëruar si “Ransomware”.

    BKS-ja pretendon që të dhënat nuk u fshinë, por nuk tregon saktë se sa është numri i të dhënave, kush u prek, e si erdhi te kjo situatë, por i ka thënë mbikëqyrësit- Bankës Qendrore të Kosovës (BQK) se këto të dhëna dikush i ka bllokuar dhe më Byroja nuk mund ti lexoj.

    Më e keqja- as nuk ka kopje tjetër të tyre.

    Krejt kjo situatë, e mbajtur sekret nga publiku, është bërë e ditur në një raport të vulosur si konfidencial nga BQK-ja, e që një kopje të ti e ka siguruar Gazeta Insajderi.

    Javë më parë Gazeta Insajderi ka raportuar po ashtu edhe për penalizimin e ish-Kreut të BKS-së, Sami Mazreku që të mos marrë pjesë në tregun e sigurimeve për gjysmë dekade dhe se si u qitën para përjashtimit dy drejtues të lartë të PriSig e PriBank.

    Lexo hulumtimet këtu:

    Alarmon BQK-ja: Si po i rrezikon të dhënat e kosovarëve Byroja e Sigurimeve

    Në raportin e vulosur si konfidencial nga BQK-ja, për një ekzaminim disa mujor të këtij institucioni- BKS-së,  nga mbikqyrësi, pra që është vetë BQK-ja, janë evidentuar shumë shkelje e rrisqe që ka marrë ky institucion.

    Janë qindra-mijëra euro që rrezikohen vetëm nga paditë e ish-punonjësve npër Gjykata, tash pas largimit. Janë disa qindra-mijëra euro nga dëmet, rritja e shpenzimeve jashtë miratimit të BQK-së, por pjesa që mbikëqyrësi i ka dhënë shumë vëmendje është siguria e të dhënave.

    Çka ndodhi sipas raportit konfdencial të BQK-së, një kopje të së cilit e ka siguruar Gazeta Insajderi?

    “Gjatë periudhës prej gjetjeve nga penetration test i realizuar në Korrik të vitit 2021 dhe përmirësimeve të realizuara në shkurt të vitit 2023, më 23.01.2023 ka ndodhur një sulm kibernetik në infrastrukturën e Byrosë, ku një server i Byrosë është infektuar me një softuer keqbërës, Ransomware, dhe si rezultat një pjesë e fajllave në server është enkriptuar. Si pasojë e këtij sulmi ka dalë jashtë funksionit një server i cili ka përmbajtur këto shërbime/resurse sikurse Sistemin e Policave Kufitare, Aplikacionin e Dëmeve, File Serverin dhe Active Directory”, thuhet në raportin konfidencia, që e ka Gazeta Insajderi.

    Me kthim të kopjeve rezervë janë kthyer në funksion aplikacioni i policave kufitare, dëmeve dhe kontabilitetit, thuhet në raport, por alarmohet se “një pjesë e faillave në file server kanë mbetur të enkriptuar (nuk hapen) dhe në mungesë të kopjeve rezervë nuk ka qenë e mundur kthimi i këtyre të dhënave pasi që Byroja nuk ka poseduar kopje rezervë të File Serverit”, thuhet në raport, shkruan Gazeta Insajderi.

    Sipas zyrtarëve të Byrosë, ky institucion nuk ka informacion se nga është aktivizuar ky lloj i softuerit keqbërës, Ransomëare “pasi që sistemi operativ ka qenë shumë i korruptuar dhe si pasojë nuk ka qenë e mundur të hulumtohet në atë drejtim”.

    BQK-ja në raportin konfidencial që e posedon Gazeta Insajderi shkruan se sipas zyrtarëve të Byrosë janë enkriptuar aplikacionet dhe fajllat, databazat si dhe “një pjesë e fajllave të shfrytëzuesve të Byrosë, pra jo ndonjë e dhënë e siguruesve. Incidenti është raportuar në polici, mirëpo policia ende nuk ka dorëzuar raport lidhur me ngjarjen”, thuhet në raport, shkruan Insajderi.

    Për më shumë, raporti në fjalë përshkruan edhe një situatë të vënies se “haraçit” kundër BKS-së nga ana e hakerëve, por që u mbajt fshehtë nga publiku.

    “Kompania keqbërëse ka deklaruar se kanë bërë shkarkimin e të dhënave të enkriptuara dhe rrjedhimisht posedojnë të dhënat të ndjeshme si dhe në rast të mos kryerjes së pagesës nga Byro, do të bëhet publikimi i tyre. Sipas Byrosë është konstatuar se këto të dhëna nuk janë shkarkuar nga keqbërësit por vetëm janë enkriptuar, mirëpo Byroja nuk posedon asnjë raport dhe dokument lidhur me këtë deklarim”, thuhet në raportin konfidencial të BQK-së, përmbajtjen e të cilit e sjell Insajderi.

    Në bazë të zhvillimit të ngjarjeve para dhe pas sulmit kibernetik në BKS, “ekzaminimi ka konstatuar se Byroja nuk ka reaguar në kohë për të përmbushur rekomandimet nga raporti i fundit i ekzaminimit të BQK-së, si dhe mos reagimi në kohë ndaj gjetjeve dhe rekomandimeve për përmirësim të dobësive në sistem të dalura nga penetration test, ka rritur rrezikun për sulme kibernetike si dhe ka rritur ndikimin e dëmit të shkaktuar nga sulmi”, thuhet në raport.

    BQK zbulon se BKS-ja më vonë u mundua që ta kryente një testim të sigurisë, por problemi është aty që kompania që kreu këtë testim ishte edhe vet kompania që iu besua që të bënte edhe përmirësimin, por mbikyrësi, në këtë rast BQK-ja nuk ka raport se çka u gjet e çka u prish e as se çka u ndreq.

     “Gjatë periudhës 29 Qershor – 07 Korrik 2021, Byroja ka kontraktuar kompaninë për realizimin e një penetration test. Gjetjet nga ky raport, janë përmirësuar nga po e njëjta kompani e cila ka realizuar testimin. Nuk është ofruar ndonjë informatë apo dëshmi rreth bërjes së testeve tjera, si dhe Byroja nuk posedon ndonjë plan formal apo procedure ku parashihet realizimi i këtyre testeve në të ardhmen”, thuhet në raport.

    Kompania që BQK-ja e angazhoi, sipas raportit shfaqet vec një ditë pas sulmit që ishte kryer më 31 janar 2023,

    “Reagimi nga Byroja për përmirësim të dobësive ka ardhur me vonesë, pas sulmit kibernetik, ku është bërë përmirësimi i infrastrukturës nga kompania me 01.02.2023. Aktualisht, Byro përdor Malwarebytes Endpoint Detection and Response për detektim dhe përmirësim të dobësive dhe administrim të përditësimeve të sistemeve operative. Lidhur me incidentin, Byroja nuk ka njoftuar BQK-në, përderisa procesi është iniciuar në Policinë e Kosovës, në departamentin Policia respektiv dhe deri në përfundim të ekzaminimit nuk është pranuar ndonjë raport zyrtar nga Kosovës”, thuhet në raport.

    Porbleme serioze edhe me serverë fizikë në BKS

    BQK-ja në raportin konfidencial, përmbajtjen e të cilit e sjell Insajderi, shkruan që Byroja ka probleme serioze edhe me serverët fizikë.

    “Kushtet për siguri fizike në dhomën e serverëve në qendër nuk janë të kënaqshme. Sipas zyrtarëve të Byrosë serverët që ndodhen në dhomën e serverëve nuk janë në funksion qysh pas ndodhjes së sulmimit dhe pritet të bëhet shkatërrimi i tyre. Byroja aktualisht nuk posedon ndonjë plan apo procedurë për shkatërrimin e këtyre pajisjeve”, thuhet në këtë raport.

    Qasja e shfrytëzuesve në kompjuterët lokal në qendër menaxhohet përmes dy sistemeve Active Directory (AD) ku njëri prej tyre shërben për të siguruar redundancë.

    “Këto sisteme janë virtuale dhe janë të hostuara në infrastrukture virtuale në IPKO. Ky sistem administrohet nga dy zyrtarë të Byrosë. Në qendër të Byrosë ekziston një numër i pajisjeve të cilat nuk janë të lidhura në domain ndërsa kanë qasje të drejtpërdrejtë në rrjetën e brendshme të Byrosë. Në infrastrukturën e Byrosë, ekziston edhe një AD Azure, e cila sipas zyrtarëve të Byrosë është krijuar për arsye te administrimit të postës elektronike për të cilën përdorin Microsoft 365”, thuhet në raport.

    Sipas zyrtarëve të Byrosë, “ËAN në qendër është i mirëmbajtur nga IPKO ndërsa LAN nga vetë zyrtarët e Ql-së. Qendra e Byrosë ka vetëm një lidhje me internet, e cila është përmes IPKOs dhe sipas standardeve dhe praktikave më të mira rekomandohet krijimi i një lidhje të dytë me internet në mënyrë që të sigurohet vazhdimësia e punës në rast të mos funksionimit të njërës lidhje”.

    Byroja, sipas raporti të BQK-së, ka ofruar shumë pak informata rreth infrastrukturës së rrjetës në qendër.

    “Gjithashtu ata nuk posedojnë asnjë dokumentim të infrastrukturës së rrjetës. Ekzaminimi ka konstatuar se zyrtarët e QI- së nuk kanë asnjë informacion mbi konfigurimet dhe menaxhimin e fireëall, përderisa fireëall është pika e parë e hyrjes në rrjetën e brendshme të Byrosë dhe vlerësohet si një nga pikat më kritike e rrjetës së brendshme të Byrosë. Mos posedimi i informatave të duhura për administrim të rrjetës dhe fireëall paraqet rrezik të lartë operacional dhe si rrjedhojë nevojitet të merren masa të menjëherëshme në këtë drejtim”.

    Aktualisht kopja rezervë e databazave bëhet me veglën e “MS SQL”, dhe sipas raportit konfidencial, “ për backup në baza ditore dhe javore si dhe ruhet në dy lokacione të ndryshme. Një kopje rezervë e databazave ruhet në serverin ku janë ngritur databazat, server i cili është virtual dhe hostohet në IPKO, dhe një tjetër kopje rezervë e databazave ruhet në hapësirat cloud te One Drive. Kopjet rezervë të databazave nuk enkriptohen”.

    Zyrtarët e Byrosë nuk kanë te BQK-ja ofruar informacion rreth krijimit dhe ruajtjes së kopjeve rezervë të serverëve dhe aplikacioneve.

    Testimi i fundit i kthimit të kopjeve rezervë është realizuar me sukses me datën 04.07.2023, ndërsa departamenti i Qendrës Informative nuk posedon plan, politikë apo procedurë lidhur me testimin periodik të kthimit të kopjeve rezervë.

    “Ka shumë pak informacion dhe mungesë të dokumentacionit rreth krijimit dhe administrimit të kopjeve rezervë të sistemeve dhe aplikacioneve”, thuhet në raportin konfidencial të BQK-së, shkruan Insajderi.

    Sa i përket ngritjes së sistemeve të ri AD, BQK thotë se nuk është bërë migrimi i sistemeve, mirëpo është bërë instalim i pastër ku ngarkimi i shfrytëzuesve është bërë përmes fajlit CSV të shkarkuar nga vjetër.

    “Sipas kompanisë e cila ka bërë ngritjen e infrastrukturës për sistemet AD në hapësirat cloud në IPKO, me anë të fajllit CSV, të gjithë përdoruesit janë migruar nga sistemi AD i vjetër në sistemin e ri. Gjatë ekzaminimit është konstatuar se shfrytëzuesit pasiv, të larguar nga puna nuk janë migruar në infrastrukturën e re të AD”, tërheq vërejtjen BQK-ja.

    Pa pasword: Kush dhe si ka qasje në kompjuterët e BKS-së nëpër pika kufitare?

    Kompjuterët në pika kufitare nuk janë të futur në domain dhe qasja nga qendra në këto pajisje mundësohet përmes lidhjeve me Virtual Private Network (VPN).

    “Sipas Byrosë lidhjet VPN aktualisht përdorin protokolin Point-to-Point Tunneling Protocol (PPTP). Qasja e shfrytëzuesve në pajisjet në pika kufitare bëhet përmes një shfrytëzuesit lokal i cili nuk ka fjalëkalim”, thuhet në raport.

    Pajisjet mobile të Byrosë nuk menaxhohen, “ndërsa ato kanë qasje të lirshme në postën elektronike të Byrosë. Informacionet që gjenden në pajisjet mobile të Byrosë nuk mbrohen për konfidencialitet, integritet dhe disponueshmëri”, alarmon BQK-ja.

    Administratorët e sistemeve përdorin shfrytëzuesit me qasje administrative për punë të përditshme. “Rekomanohet përdorimi i shfrytëzuesve pa të drejta administrative për kryerje të punëve ditore në pajisjet e tyre, si në lap-top ashtu edhe në kompjuter, ndërsa për administrim të domain të përdoren shfrytëzues tjerë me emrat përkatës e jo me emër gjenerik. Gjithashtu është vërejtur një numër i madh i fjalëkalimeve të skaduara në AD”, thuhet në raportin konfidencial, shkruan Insajderi.

    Në aplikacionin e dëmeve, ekziston një shfrytëzuesi me emër gjenerik (admin) i cili ka të drejta administrative, thuhet tutje në rapor derisa bëhet me dije se “në listën e shfrytëzuesve në aplikacion të financave dhe kontabilitetit gjithashtu ekzistonnjë shfrytëzuesi me emër gjenerik (admin) i cili ka të drejta administrative”.

    Sipas informatave shtesë të ofruara nga Byroja tek BQK-ja si mbikqyrës,  “aplikacioni për financa dhe kontabilitet përmban principin (four-eyes principle). Sipas deklarimit të zyrtarëve, zyrtari i financave i futë të dhënat në sistem, drejtori i financave e bën kontrollin në sistem edhe në letër, me mundësi refuzimi dhe aprovimi. Ne rast të refuzimit, transaksioni duhet të krijohet prej fillimit”.

    “Tek lista e shfrytëzuesve në aplikacion për lëshimin e policave kufitare nëpër pika kufitare offline dhe online (APPK) ekziston një shfrytëzuesi me emër gjenerik (administrator) i cili ka të drejta administrative si dhe shfrytëzuesi për testime”, thuhet në  raport.

    Në listën e shfrytëzuesve në aplikacion të shitjes ekziston një shfrytëzues për testime me emër gjenerik. Ekzaminimi ka konstatuar se “në Byro mungon menaxhimi i qasjes (access control), për mbrojtjen e informacionit nga qasjet, zbulimet dhe modifikimet e paautorizuara”.

    Gjatë procesit të ekzaminimit në aplikacionin e dëmeve janë vërejtur disa pa rregullsi në konfigurimin e të drejtave të shfrytëzuesve.

    “Zhvilluesi dhe mirëmbajtës i aplikacionit të dëmeve Gazmend Spahija, ka të drejta operacionale të cilat nuk i takojnë si mirëmbajtës dhe zhvillues i sistemit. Posedimi i drejtave të pa nevojshme paraqet rrezik operacional”, thuhet në raportin e BQK-së, që e sjell Insajderi.

    Sa i përket të drejtave të shfrytëzuesve në aplikaicone të tjera në pa mundësi të shkarkimit të të drejtave në fajll, analizimi i këtyre të drejtave ishte i pa mundshëm për BQK-në.

    “Në gjurmët e auditimit të aplikacionit të dëmeve, shfaqet një përdorues me emrin dëmet_user, i cili kryen disa aktivitete, ndërsa i njejti shfrytëzues nuk paraqitet tek lista e përdoruesve në këtë aplikacion. Sipas zyrtarëve të Byrosë dhe mirëmbajtësit të aplikacionit, përdoruesi me emrin dëmet_user është përdorues i aplikacionit dhe gabimisht aplikacioni në vend të ruajtjes së emrit të shfrytëzuesit po e ruan këtë përdorues”, thuhet në raportin në fjalë.

    BQK-ja ka gjetur se në Byronë e Sigurimeve ka probleme edhe për të gjetur se kush ka qasje në të dhënat e qytetarëve nëpër sistene, por ka probleme edhe për të ditur se kush fizikisht ka qasje në këto të dhëna të ndjeshme të kosovarëve.

    “Gjurmët e auditimit të aplikacionit InsureX nuk janë shumë të lexueshme dhe si rrjedhojë nuk ka qenë e mundur të arrihet ndonjë konstatim lidhur me logs të këtij sistemi. Byroja nuk i ka dërguar gjurmët e auditimit të sistemit të financave për shqyrtim”, thuhet në këtë raport konfidencial, derisa alarmohet se “Byroja nuk ka dërguar informata rreth qasjeve te kamerat si dhe listën e hyrjeve dhe daljeve në dhomën e serverëve gjatë 48 orëve të fundit”.

    Struktura organizative e kompanisë në raport me Qendrën Informative është në rregull. Stafi i Ql-së aktualisht është i përbërë prej 4 (katër) personave. Kualifikimet dhe përvoja e stafit aktual është në rregull, “mirëpo stafi ka mungesë të informacionit për administrim të rrjetave, sistemeve dhe aplikacioneve aktuale në Byro. Nevojitet së paku të shtohet edhe një person përgjegjës për Siguri të Informacionit”, thuhet në raport.

    Byroja Kosovare e Sigurimit është organizatë profesionale me cilësinë e personit juridik e themeluar për qëllime jofitimprurëse. Qeveria e Republikës së Kosovës i njeh këtij institucioni statusin e Byrosë nacionale të sigurimit me të drejta të pakufizuara në cilësi të Byrosë pagesë dhe Byrosë trajtuese, që garanton përmbushjen e të gjitha detyrimeve nga sistemi i kartonit ndërkombëtarë të sigurimit. Organet drejtuese të Byrosë, bazuar në Ligjin e sigurimit të përgjegjësisë janë Asambleja e Përgjithshme, Këshilli Administrativ dhe Drejtori Ekzekutiv.

    Fondi Garantues i Kartonit të Gjelbër administrohet nga Byroja dhe ka për qëllim garantimin e detyrimeve financiare që rrjedhin nga anëtarësimi në sistemin e kartonit të gjelbër dhe marrëveshjet e tjera ndërkombëtare nga kjo lëmi.

    Përderisa Fondi i Kompensimit janë, fondet të cilat janë funksionale në Byro, të cilat mbulojnë dëmet nga përdorimi i mjetit motorik të pasiguruar, nga përdorimi i mjeteve të paidentifikuara, nga mjeti motorik i pasiguruar me regjistrim të huaj, nga përdorimi i mjeteve të paidentifikuara, në rast të likuidimit apo falimentimit të siguruesit dhe bazuar në sigurimin kufitar.

    Për shkak të pengesave politike, çështja e anëtarësimit të Byrosë në Këshillin e Byrove për Kartonin e Gjelbër dhe përkundër tentativave të vazhdueshme, nuk është zgjidhur. Përtej kësaj nuk është arritur të bëhet zgjidhje për karton të gjelbër as përmes formave alternativave.

    “Në lidhje me menaxhimin e Byrosë, organet drejtuese përkundër disa veprimeve të marra në përmirësimin e përformancës në menaxhimin e Byrosë, megjithatë ekzaminimi ka evidentuar që zhvillimi i një pjese të operacioneve nuk është bërë në pajtim me rregullativën mbikëqyrëse të BQK- së duke rezultuar në ekspozim të mëtejmë të Byrosë ndaj rreziqeve”, thuhet në raportin e BQK-së që e ka siguruar Gazeta Insajderi.

    Në raportin prej dhjetra faqesh që e ka Gazeta Insajderi, janë përmbledhur një sërë parregullsish.

    “Byroja nuk ka instaluar një sistem të duhur të kontrollit të brendshëm, nuk është bëre auditim i brendshëm në fushat kritike siç janë pagesa e dëmeve, raportimi financiar/shpenzimet, menaxhimi i resurseve humane, teknologjisë informatike, tejkalimin e buxhetit dhe mos aprovim të delegimit të funksioneve. Përkundër që Asambleja e Përgjithshme e Byrosë, ka aprovuar planin e auditimit të brendshëm, Auditori i brendshëm nuk ka kryer auditimin sipas planit dhe në këtë rast Asambleja e Përgjithshme ka dështuar në mbikëqyrjen dhe kontrollin e zhvillimit të operacioneve në Byro”, thuhet në raport.

    Një numër i konsiderueshëm i të punësuarve në Byro janë përjashtuar apo nuk i’u vazhduar kontrata e marredhenies së punës nga Kryeshefi Ekzekutiv përderisa për pozita të njëjta janë pranuar punëtorë tjera pa konkurs edhe pse Byroja operon me fonde publike. Këto veprime ekspozojnë Byronë në rrezik të reputacionit, ligjor dhe financiar që lidhen me paditë nga gjykatat. Asambleja e përgjithshme nuk kanë ndërmarrë veprime për parandalimin dhe menaxhimin e këtyre rreziqeve./ Gazeta Insajderi

    OP-ED
    Nga Rubrika

    © 2016-2024 Gazeta Online Insajderi - Të gjitha të drejtat e rezervuara.

    Impressum

    Kontakt

    Trademark