Informacion për supervizionin e jashtëzakonshëm në Drejtorinë për Udhëheqjen e Librave Amë

Agjencia apelon tek të gjitha institucionet që t’i kushtojnë më shumë vëmendje mbrojtjes së të dhënave personale të qytetarëve, gjegjësisht të demonstrojnë llogaridhënie dhe përgjegjësi duke investuar në zgjidhje të reja teknologjike dhe njohuri të të punësuarve me qëllim të jenë në hap me zhvillimet e shoqërisë digjitale.

Kohët e fundit, sulmet ndaj sistemeve IT në institucione janë bërë më të shpeshta për shkak të zgjidhjeve të vjetruara teknologjike që përdoren dhe stafit të pamjaftueshëm profesional që do të jetë në gjendje t’u përgjigjen sfidave të epokës së re.

Agjencia vazhdimisht thekson nevojën për ngritjen e sigurisë së sistemeve IT të institucioneve, sepse pasojat e dëmshme në rast të keqpërdorimit të mundshëm të të dhënave personale të qytetarëve mund të jenë të mëdha dhe të pazëvendësueshme.

Agjencia për Mbrojtjen e të Dhënave Personale, si organ kompetent për mbikëqyrjen e ligjshmërisë së aktiviteteve të ndërmarra në përpunimin e të dhënave personale të qytetarëve të Republikës së Maqedonisë së Veriut (RSM), ka kryer supervizion të jashtëzakonshme në Drejtorinë për Udhëheqjen e Librave Amë (DULA), ndërsa pas iniciativës të dorëzuar nga Komisioni Shtetëror për Parandalimin e Korrupsionit (KSHPK).

Në kërkesë thuhet se KSHPK -ja ka ngritur rast, për shkak të prokurimit publik të paligjshëm të shërbimeve informative – skanimit të dokumenteve personale dhe dokumenteve me të dhëna personale të qytetarëve të RSM-së, vendosjes së tyre në bazën e të dhënave të DULA-së dhe mbështetje teknike të bazës së të dhënave dhe softuer sistemit.

KSHPK kërkoi nga Agjencia të përcaktojë se kush ka pasur qasje në dokumentet e të dhënave personale të skanuara , si janë ruajtur ato, nëse janë të mbrojtura, nëse sistemi i krijuar për mbrojtjen e tyre ka qenë efikas dhe efektiv dhe nëse ato janë përdorur për qëllime të paligjshme. Vëmendje e veçantë u kërkua nga KSHPK që t’i kushtohej softuerit, të ashtuquajtur sistem i IT-së, sa i përket asaj se kush ka pasur qasje në të dhënat, nëse operatorëve ekonomikë iu është dhënë qasje në kundërshtim me dispozitat ligjore dhe nëse ka pasur ndërhyrje apo intervenime në bazat e të dhënave personale të DULA -së.

I. Sa i përket menaxhimit të sistemit për mbrojtjen e të dhënave personale, është kontrolluar niveli i sistemit të krijuar për mbrojtjen e të dhënave personale, ndërsa DULA nuk ka vendosur plotësisht proceset dhe procedurat që mundësojnë respektimin e dispozitave për mbrojtjen e të dhënave personale, përkatësisht:

1. DULA ka të caktuar oficer për mbrojtjen e të dhënave personale.
2. DULA nuk ka caktuar administrator të sistemit të informacionit.
3. DULA nuk ka miratuar dhe nuk zbaton procedura për menaxhimin e përpunuesve, ndërsa DULA për qëllime të digjitalizimit të librave amë kishte lidhur marrëveshje me përpunuesit që nuk ishin të harmonizuar me dispozitat për mbrojtjen e të dhënave personale dhe nuk ushtronin kontroll mbi punën e tyre. Personat e autorizuar tek përpunuesit nuk kanë pranuar autorizime për përpunimin e të dhënave personale dhe nuk kanë nënshkruar deklarata për fshehtësinë dhe mbrojtjen e të dhënave personale.
4. DULA nuk ka kryer kontroll (periodike dhe të brendshme) për të monitoruar pajtueshmërinë e funksionimit të saj me dispozitat për mbrojtjen e të dhënave personale.

II. Sa i përket sigurisë së të dhënave personale, janë kontrolluar masat teknike dhe organizative që të sigurohet se ekziston siguri të duhur të të dhënave personale të cilat përpunohen në procesin e digjitalizimit të librave amë të cilat ruhen në formë letre ose elektronike. DULA nuk ka vendosur plotësisht proceset dhe procedurat që mundësojnë respektimin e dispozitave për mbrojtjen e të dhënave personale, përkatësisht:

1. DULA ka miratuar Procedurë për mirëmbajtjen e teknologjisë informative dhe procedurë për menaxhimin e sigurisë së informacionit, por ato nuk pasqyrojnë plotësisht gjendjen aktuale në DULA. DULA nuk ka miratuar Politikë për sistemin për mbrojtjen e të dhënave personale dhe dokumentacionin e plotë për masat teknike dhe organizative dhe nuk ka bërë vlerësim të rreziqeve sipas dispozitave për mbrojtjen e të dhënave personale.
2. Të punësuarit e DULA-së nuk kanë ndjekur trajnimin për mbrojtjen e të dhënave personale.
3. DULA nuk ka mbajtur evidencë për harduerin, pajisjet, serverët dhe aplikacionet softuerike të cilat shfrytëzohen për përpunimin e të dhënave personale.
4. Për skanimin e librave amë shfrytëzohen dy kompjuterë ku janë instaluar dy skanerë. Hyrja në këta kompjuterë nuk kërkon emër përdoruesi dhe fjalëkalim. Këta kompjuterë dhe skanerë janë të vendosur në hapësirë që nuk është e siguruar fizikisht me c ‘rast persona të paautorizuar mund të hyjnë në hapësirë. Gjatë fazës së skanimit, personat e punësuar nga përpunuesit nuk kanë qenë të shoqëruar (kontrolluar) nga të punësuarit e DULA-së. Në këtë hapësirë janë mbajtur edhe librat amë nga disa njësi rajonale të cilat janë dorëzuar për skanim, me ç’rast mund të kenë qasje ketë kushdo që hyn në hapësirat DULA-së. Librat amë të skanuar shkarkohen nga këta dy kompjuterë në medium të lëvizshëm që nuk janë të mbrojtura me fjalëkalim. Për transferimin e librave amë të skanuara përdoret softuer (modul) i veçantë aplikativ. Për të hyrë në këtë softuer (modul) aplikacioni, personi i autorizuar fillimisht duhet të krijojë lidhje VPN. Për të hyrë në softuerin e aplikacionit (modulin), përdoret vërtetimi me dy faktorë duke vendosur emrin e duhur të përdoruesit dhe numrin e telefonit, ku merret një fjalëkalim OTP për qasje. Për qasje në këtë softuer (modul) aplikativ, personi i autorizuar duhet paraprakisht të instalojë lejohet përdorimi i emrave të përdoruesve të pa personalizuar (gjenerikë) përmes të cilëve nuk mund të përcaktohet lehtësisht identiteti i përdoruesit. Bartja e të dhënave të skanuara të librave amë e kryejnë personat e angazhuar tek përpunuesit, ndërsa verifikimi i të dhënave bëhet nga të punësuarit e DULA-së.
5. DULA nuk ka miratuar procedura për menaxhimin e mediave dhe nuk mban evidencë të mediave dhe evidencave të mediave bartëse. DULA nuk kryen kontroll për të parandaluar përdorimin e paautorizuar të mediave bartëse në asnjërin kompjuter nuk kontrollohet qasja te portat USB. Personat e angazhuar tek përpunuesit kanë pasur qasje në mediat e jashtme, por DULA nuk ka vendosur kontroll se kush ka pasur qasje në këto media, nëse janë nxjerrë jashtë objektit të DULA-së, ku janë mbajtur, të cilët kanë pasur obligim që të fshijnë të dhënat pasi janë bartur. Nga ana e përpunuesit është dorëzuar Revers për lëshimin e përdorimit të bartësve të të dhënave (media të jashtme të lëvizshme). Në dokument thuhet se ato mund të përdoren vetëm për ruajtjen dhe transferimin e të dhënave nga hapësira e skanimit në kompjuterin e caktuar për ngarkimin e të dhënave në hapësirat e DULA-së dhe nuk guxojnë të nxirren jashtë hapësirave të caktuara ose të transferohen në kompjuterë të tretë që nuk janë caktuar për këtë.
6. DULA zotëron gjithashtu server dokumentesh (fileserver) ku ruhen një pjesë e librave amë të skanuar dhe të njëjtat janë të pambrojtura nga qasja e paautorizuar. DULA nuk ka miratuar dhe nuk zbaton procedurë për qasjen dhe përdorimin e këtij serveri. Në Reversin e dorëzuar nga përpunuesit nuk është parashikuar që ky server të përdoret për ngarkimin e dokumenteve të skanuara.
7. DULA-ja nuk ka bërë vlerësim të rrezikut lidhur me sigurinë fizike të pajisjeve të IT-së dhe hapësirave ku ruhen të dhënat personale.
8. DULA nuk mban evidencë për qasje në hapësirat e cila është shfrytëzuar nga përpunuesit gjatë periudhës kur janë skanuar librat amë .
9. Te punësuarit te DULA praktikojnë dorëzimin e librave amë duke nënshkruar procesverbal për shkarkimin dhe kthimin e librave për digjitalizim.
10. DULA nuk ka miratuar procedura për përcaktimin e obligimeve dhe përgjegjësive të personave të autorizuar dhe nuk janë bërë kontrolle lidhur me të drejtat e qasjes të përdoruesve si dhe funksionimin e administratorëve
11. DULA nuk kryen kontroll dhe nuk përditëson privilegjet për qasje në sistemin informativ të personave të autorizuar.
12. DULA nuk ka domenin e vet, kështu që qasja në sistemin e informacionit nuk është e unifikuar. Një fjalëkalim prej 7 karakteresh kërkohet të vendoset në kompjuterin në të cilin është bërë kontrolli dhe nuk kërkohet të jetë kompleks. Fjalëkalimi nuk kërkohet patjetër të ndryshohet për 90 ditë. Pas pesë përpjekjeve të pasuksesshme, aktivizohet opsioni i kyçjes së kompjuterit, pas së cilës kompjuteri bllokohet për 30 minuta.
13. DULA mban shënime për qasje të autorizuar (shënim/ log ) në aplikacionin softuer (modulin) që përdoret për bartjen e librave amë të skanuar, por nuk përmban shënim të plotë sipas dispozitave për mbrojtjen e të dhënave personale. DULA nuk kontrollon të dhëna nga evidenca për qasje në sistemin informativ. DULA ka instaluar SIEM, por e njëjta nuk është e konfiguruar për të mbledhur dhe analizuar shënimet që krijohen gjatë qasjes në serverin e dokumenteve (fileserver) dhe media të tjera që përmbajnë të dhëna personale.

Për supervizionin e jashtëzakonshëm është përpiluar Procesverbal dhe është miratuar Aktvendim me masa korrigjuese, me afate të caktuara për mënjanimin e shkeljeve të konstatuara. Afatet për veprim kanë skaduar në qershor të vitit 2023, pas së cilës DULA ka obligim të na njoftojë për çdo masë dhe të paraqesë dëshmi për mënjanimin e shkeljeve të konstatuara. Për disa nga masat, Drejtoria tashmë ka dorëzuar dëshmi në Agjenci për mënjanimin e shkeljeve.