Gazeta RD
Intervisë me Bruno Frattasi e Agjencisë për Kibernosigurinë Kombëtare
Intervistë ekskluzive me drejtorin e Agjencisë së Kibernosigurinë Kombëtare. “Është momenti të mendohet për rrugëtime formimi në kibernetikë më të shpejta se ato tradicionale dhe të përdoren teknologji si inteligjenca artificiale për reduktimin e ngarkesës së punës”. Duke folur për 5G: Golden power, CVEN dhe Perimetër “sigurojnë një aftësi të lartë monitorimi në sektorin kritik të rrjeteve mobile të gjeneratës së re”. Lidhur me ransomware pohona: “Është gjithmonë e gabuar të paguhet një “gjobë””. Agjencia për Kibernosigurinë Kombëtare vazhdon të rritet, ndërsa punonte mbi dosje të ndryshme, nga PNRRR tek 5G, nga tenderat tek qëndrueshmëria. Aq sa shërben një seli e re? “Ka një hipotezë transferimi, të cilën po e vlerësojmë”, thotë Bruno Fratassi, Drejtor i Përgjithshëm i Agjencisë së Kibernosigurisë Kombëtare, në këtë intervistë ekskluzive me Formiche.net.
Si po ecën implementimi i PNRR për sa i përket investimeve të kryera nga Agjencia për Kibernosigurinë Kombëtare?
Duke përdorur fondet e PNRR, 623 milion euro totalë, prej të cilave kemi përdorur rreth gjysmën, kemi arritur tashmë objektivat e parë relativë: nga shërbimet komnëtare të kibernosigurisë; në nisjen e rrjetit të laboratorëve të screening dhe certifikimit; në aktivizimin e një njësie qendrore auditi për masat e sigurisë së parashikuar nga normativa mbi Perimetrin e Sigurisë Kombëtare Kibernetike (PSNC) dhe nga direktiva e NIS; në fuqizimin e strukturave të sigurisë. Brenda dhjetorit 2024, këto aksione do të konkludohen me iniciativa të ndryshme, si për shembull mbështetjen ndaj fuqizimit të srukturave të sigurisë T2, përdorimin integral të shërbimeve kombëtare të kibernosigurisë, plotësimin e rrjetit të laboratorëve dhe të qendrave të vlerësimit dhe certifikimin e kibernosigurisë, si edhe operativitetin e plotë të njësisë së auditimit për masat e sigurisë PSNC dhe NIS me plotësimin e të paktën 30 inspektimeve.
Brenda Agjencisë së Kibernosigurisë Kombëtare gjendet Qendra e Vlerësimit dhe e Certifikimit Kombëtar, platformë e drejtuar ndaj subjekteve të përfshirë në Perimetrin e Sigurisë Kombëtare Kibernetike ppr furnizimin e mallrave, sistemeve dhe shërbimeve ICT. Si arrihet siguria dhe vrullshmëria bashkë?
CVEN është aktiv nga 1 korriku 2022 dhe ka marrë tashmë disa qindra notifikime nga ana e subjekteve të përfshira në Perimetër. Procedura për studimin teknologjik të produkteve objekt i motifikimit është studiuar për ta reduktuar në minimum impaktin ndaj proceseve të blerjeve të kryer nga subjektet e interesuara. Analizat paraprake që zhvillohen në fazën e parë të procedurës, më përpara akoma se të niset procesi formal i garës dhe i blerjes (në veçanti, analiza e rrezikut), mundësojnë të kalibrohet me korrektësi lloji dhe rreptësia e testimeve për t’u kryer ndaj furnizimeve më pas të përzgjedhura. Tema e afateve të kërkuara për vlerësimin dhe menaxhimin e situatave të veçanta – të tilla si emergjenca, difekte, kontrata kuadër jo plotësisht të përcaktuara etj. – është përballuar në bisedime të shumta të aktivizuara nga palët e përfshira. Analizat e kryera dhe zgjidhjet e përpunuara janë botuar në portalin e CVEN, në seksioni e caktuar të Faq, konsultimi i të cilëve i rezervohet subjekteve të Perimetrit. Me t’u konsoliduar proceset e vlerësimit dhe certifikimit, përfshi pjesëmarrjen aktive të laboratorëve provë në fazën e akreditimit, do të jetë e mundur një rafinim i procedurave sipas profilit teknik dhe organizativ, siç parashikohet nga nomrativa, për t’ia përmirësuar më tek efikasitetin dhe efiçencën. Në sintezë, bilancimi midis kohëve të nevojshme për të garantuar një rrëmim të përshtatshëm të sigurisë për furnizimet IT dhe vrullshmërinë e proceseve të përdorura, ka qenë gjithmonë një element kryesor për rregullimin e CVEN dhe për mandatin e tij.
Duke folur për 5G dhe për furnizuesit jashtëBashkimit Europian, besoj se Perimetri i Sigurisë Kombëtare Kibernetike dhe Qendrës së Vlerësimit dhe Certifikimit Kombëtar janë të mjaftueshme për sigurimin e sigurisë së vendit dhe siguruar aleatët dhe partnerët tanë?
Perimetri dhe CVEN nuk janë instrumentat e vetëm të disponueshëm në fushë. Normativa Golden Power (Dekret Ligji 21 i 15 marsit 2012) është ajo që mund të quhet një presidium parësor. Faktikisht, Golden Power është një pushtet special të qeveria mund ta ushtrojë për të bllokuar apo nënshtruar kufizimeve operacione të kanë të bëjnë me asete të konsideruara strategjike, atëhere kur shkaktohen kërcënime me paragjykim të rëndë për interesat thelbësore të mbrojtjes dhe të sigurisë kombëtare – përfshi shërbimet e komunikimit elektronik me bandë të gjerë të bazuara mbi teknologjinë 5G – edhe me referim për sektorët e energjisë, transporteve, komunikimeve dhe në ato me intensitet të lartë teknologjik. Në një kontekst të tillë, vlerësimet e kryera nga Grupi i Koordinimit Golden Power (tryezë ku Agjencia për Kibernosigurinë Kombëtare merr pjesë për lëndën e kompetencës), në një me masat speciale organizative dhe teknike e parashikuara për subjektet e Perimetrit dhe aktivitetet e gjurmimit në krye të CVEN sigurojnë një aftësi të lartë monitoruese në sektorin kritik e rrjeteve mobile të gjeneratës së re.
Në javët e kaluara ju keni deklaruar se duhet “vrapuar” për ta rritur personelin e Agjencisë për Kibernosigurinë Kombëtare deri në 300 njësi. Në çfarë pike jeni?
Kemi arritur në 180 njësi me personel në shërbim. Jam besimplotë se brenda fundit të vitit do të arrijmë në 300 njësi të parashikuara. Shpejt do të fillojë rrëmimi i 60 diplomatëve të rinj që kanë kaluar përzgjedhjen e parë. Midis tyre ka teknikë laboratori, ekspertë hardware dhe software.
Është në gjendje Italia të sigurojë talentet e nevojshme?
Italia po impenjohet që ta bëjë dhe megjithatë me ritmin aktual të rinovimit teknologjik për të mbetur gjithmonë prapa ndaj nevojave të industrisë dhe administratës publike. Ndoshta është momenti të mendohet për rrugët e formimit të kibernetik më të të shpejta se ato tradicionale për të përgatitur të rinjtë që duan të punojnë në sektor, por është edhe momenti të përdoren teknologji të avancuara, mendoj për inteligjencën artificiale, në gjendje ta reduktojnë ngarkesën e punës për ekspertët njerëzorë që në këtë mënyrë mund t’i kuhstohen aktiviteteve më kreative dhe analitike.
Lidhur me këtë, po krijoni një seli të re për t’i futur të 300 njësitë, që brenda 2027 do të duhet të bëhen 800?
Ka një hipotezë transferimi, që po e vlerësojmë.
Në kodin e ri për tenderimet ka hyrë për herë të parë kibernosiguria. Pse është një hap përpara i rëndësishëm?
Do na ndihmojë për ta kuptuar se kibernosguria është një investim mbi të ardhmen dhe jo vetëm me një kosto. Është e lehtë të thuhet se duhet menduar për kibernosigurinë by design, domethënë në fazë projektimi, por për ta bërë duhet investuar.
Kanë kaluar më shumë se 15 muaj nga fillimi pushtimit rus të Ukrainës që ka pasurpasoja edhe në hapësirën kibernetike. Italia është ende në shënjestrën e hakerëve rusë apo të lidhur me Rusinë?
Italia është shënjestruar nga grupe haktivistë prorusë në bashkëpunim me disa momente delikate të situatës ndërkombëtare. Është bërë fjalë për disa sulme DDoS që nuk janë menduar edhe aq shumë për subjektet e dështuara, edhe pse janë përdorur nga haltivistët për të bërë propagandë me qëllime kohezioni të brendshëm.
Nëse ariu rus ka qenë kërcënimi i partë shtetëror i Italisë në hapësirën kibernetike, cilët janë të tjerët?
Nuk do të përdorja fjalë kaq të prera. Janë vende të ndryshme që përdorin hakerë nation-state për të arritur objektivat e tyre të propagandës, dizinformimit dhe sabotimit. Disa aty i përdorin për të vjedhur sekrete ushtarake dhe industriale. Shpesh këta “hakerë shtetërorë” janë lënë të lirë të bëjnë veprime të tipit financiar, dhe anasjelltas ka ndodhur që kriminelë informatikë janë rekrutuar për aksione me karakter politik, ideologjik apo thjesht demonstrues. APT, kërcënimet persistente e avancuara, dhe paraushtarakët kibernetikë flasin farsisht, kinezisht, koreanisht, spanjisht apo anglisht dhe nuk është kurrë e lehtë t’i atribusoh në qeveri të veçanta. Atribuimi është gjithmonë pjesa më komplekse për të operuar në rast sulmi kibernetik edhe për shkak të false flag, të kuptohemi.
Kohët e fundit ju keni folur për sulme kibernetike të “padukshme”, të individualizueshme në mos me shumë vonesë apo frut i një ngurrimi të caktuar për ta thënë se jemi sulmuar nga frika e një dëmi reputacional. Si të kundërshtohet ky fenomen?
Është shumë e rëndësishme të vërehet një event kibernetik kur verifikohet. E gjithë ligji, por është edhe e rëndësishme të krijohet një kulturë ku cilësia e një organizate vlerësohet pr t’u nisur nga sesi menaxhohet përgjigja ndaj një sulmi dhe jo nga fakti se kush ka mbetur viktimë. Reputacioni varet shumë nga aftësia e komunikimit me stakeholder e tyre në një mënyrë të qartë dhe transparente.
Në javët e kaluara Insurance Council of Australia, organizata që mbledh siguruesit australianë, është shprehur kundër imponimit të një ndalimi absolut për të pagaru dëmshpërblime në rastet e ransomware. Çfarë mendoni?
Është gjithmonë e gabuar të paguhet një dëmshpërblim, domethënë të botës analogjike dhe domethënë akoma më shumë në botën dixhitale. Parasëgjithasht nuk ekziston siguria që të mund të çlirohet nga ransomware me t’u paguar dëmshpërblimi dhe, në shtojcë, nxisin fenomene imituese në underground kriminal. Edhe në Shtetet e Bashkuara ka një debat të fortë lidhur me këtë temë, por mua më duket se mund të thuhet se linja tashmë është hedhur: nuk hyhet në pakte me kriminelët.
Përgatiti
ARMIN TIRANA
