Intervistë me Znj. Vilma Tomço, Drejtoreshë e Përgjithshme e Autoritetit Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike, AKCESK

Pak kohë pas miratimit të Ligjit “Për sigurinë kibernetike” si do ta vlerësonit zbatimin e tij?

Ligji “Për sigurinë kibernetike” është miratuar në fillim të vitit 2017 dhe që pas miratimit të tij Autoriteti Kombëtar për Certifikimin Elektronik dhe Sigurinë Kibernetike është angazhuar të plotësojë kuadrin rregullator me hartimin e akteve nënligjore e metodologjive. Mund të themi se brenda një periudhe 1-vjeçare kuadri ligjor u kompletua.

Plotësimi i kuadrit rregullator të fushës u finalizua me miratimin e Vendimit të Këshillit të Ministrave për “Miratimin e listës së infrastrukturave kritike dhe të rëndësishme të informacionit”. Nëpërmjet praktikave më të mira europiane të fushës, autoriteti hartoi një metodologji për identifikimin e operatorëve që administrojnë infrastruktura kritike dhe të rëndësishme të informacionit, së bashku me standardet minimale të sigurisë që duhet të zbatojë secili operator.

Si e kanë pritur sipërmarrjet private këtë nismë?

Bazuar në metodologjinë e hartuar dhe në zbatim të kuadrit ligjor të fushës së sigurisë kibernetike, është punuar për të identifikuar operatorët në mënyrë eksplicite. Fillimisht u identifikuan operatorët e sektorit publik, duke i identifikuar si infrastrukturë e sektorit qeveritar.

Paralelisht, puna u përqëndrua në identifikimin e infrastrukturave kritike e të rëndësishme në sektorin privat. Si rezultat i bashkëpunimit mes dy sektorëve, në VKM renditen si infrastruktura kritike e të rëndësishme operatorë të sektorit financiar / bankar. Sektori i telekomunikacionit është jashtë fushës së veprimtarisë së Ligjit për sigurinë kibernetike, por në zbatim të marrëveshjes dypalëshe me AKEP, Autoriteti ka arritur të sigurojë bashkëpunimin e këtij sektori.

Vazhduam më tej me shoqëritë anonime si Posta Shqiptare, OSHEE, kompanitë e energjisë, bazuar në metodologjinë e hartuar, dhe sot po punojmë për të shtuar infrastruktura të reja kritike, që i përkasin sektorit spitalor – si një sektor që përmban shumë informacione sensitive, sektorin e sigurimeve – që gjithashtu përpunon informacione të rëndësisë së veçantë, dhe në të ardhmen do të shtrihemi edhe në kompani të mëdha të biznesit.

Në sajë të bashkëpunimit me këtë sektor, janë audituar mbi 20 infrastruktura kritike dhe të rëndësishme, që përbëjnë mbi 60 sisteme të sigurisë.

Ku ka konsistuar ndihma e RisiAlbania dhe si ju ka shërbyer?

Në fillimet tona ne ishim një ekip i vogël, ndërkohë që puna që duhej të bënim ishte shumë e madhe. Në këtë pikë bashkëpunimi me Risi Albania ishtë një ndihmesë e madhe. Në bashkëpunim me Risi Albania u realizua studimi që siguroi një panoramë të qartë të tregut. Studimi na njohu me kërkesat dhe nevojat e tregut për profesionistët e sigurisë kibernetike. Nga studimi u konstatua se universitetet nuk prodhojnë ekspertë të mirëfilltë të sigurisë kibernetike, kurrikulat kanë mangësi, ofrojnë vetëm informacione të përgjithshme dhe nuk ofrojnë aftësitë e nevojshme që kërkon ky pozicion pune.

Nga ana tjetër, studimi identifikoi aftësitë që kërkon tregu i punës në këtë fushë. Me fjalë të tjera, bashkëpunimi me Risi Albania na ofroi një panoramë të plotë të tregut të kërkesë / ofertës për sigurinë kibernetike në vendin tonë. Kjo na dha mundësi që ne të fillojmë të punojmë për përmirësimin e kurrikulës dhe të bashkëpunojmë me Ministrinë e Arsimit për të shtuar degët apo masterat për sigurinë kibernetike për përgatitjen e brezave të rinj. Por për të plotësuar nevojat imediate për specialistë në këtë sektor, targeti ynë kryesor  është nxitja e kurseve afatshkurtra dhe specializmet për të diplomuarit në fushën e IT.

Sa i takon biznesit, gjatë monitorimeve që ne kryem pranë tyre si infratsruktura kritike të informacionit, konstatuam se ekspertët IT të punësuar luanin dhe rolin e ekspertit të sigurisë pasi kishin kryer në mënyra individuale trajnimet specifike. Ndaj ne do të sugjerojmë dhe do të nxitim ngritjen e kapaciteteve të tyre me aftësitë e kërkuara për sigurinë kibernetike nëpërmjet këtyre kurseve afatshkurtëra.

Në cilësinë e Autoritetit rregullator të fushës, duke kosnideruar rolin e madh që po I jepet dhe nga institucionet ndërkombëtare të BE e më gjerë, si ENISA etj, është i rëndësishëm forcimi i sektorit nëpërmjet ngrtijes së kapaciteteve teknike e njerëzore, ndërgjegjësimi dhe rritja e bashkëpunimit ndërinstitucional. Në këtë pikë, vlen të theksoj edhe suportin e Risi Albania në hartimin e akteve nënligjore në zbatim të Ligjit për Sigurinë Kibernetike, dhe trajnimin e stafit të AKCESK për implementimin e Ligjit në terren.

A janë të gatshëm këto infrastruktura kritike të punësojnë punonjës të specializuar në këtë fushë për të përmbushur detyrimet që vijnë nga zbatimi i këtij ligji?

Ajo që po vëmë re falë rezultateve të studimit në bashkëpunim me Risi Albania, si dhe në zbatim të dispozitave ligjore, 1 vit pas komunikimit dhe auditimit të infrastrukturave po konstatohet rritja e ndërgjegjësimit të operatorëve për rolin e sigurisë kibernetike në mbarëvajtjen e biznesit.  Nga ana tjetër, po konstatohet rritja e investimeve të fushës. Faza e parë e auditimeve kishte sfidat e saj, ndërsa sot Autoritetit konsiderohet partner nga operatorët e infrastrukturave kritike dhe të rëndësishme të informacionit.

A mund të flasim sot për një treg të sigurt në Shqipëri në fushën e sigurisë së informacionit që do ti joshte investitorët e huaj për të investuar?

Kur flasim për sigurinë kibernetike duhet të kuptojmë se siguria nuk është produkt, është proces. Puna e bërë nga autoriteti në bashkëpunim me aktorët e tjerë të fushës është kolosale. Më lejoni t’ju jap shembullin e sektorit të energjisë, i cili deri dje ka operuar nëpërmjet sistemeve manual. Sot që ky sektor po shkon drejt digjitalizimit, edhe kërkesa për siguri dhe mbrojtje ndaj sulmeve kibernetike do të shkojë në paralelizëm të plotë. Bashkëpunimi ndërsektorial dhe suporti nga aktorë të ndryshëm në cilësinë e donatorëve, shërben si bazë për të ofruar një ambjent të sigurt investorët e huaj.

Ju faleminderit!