Autori: Ardit Toca, Maria O'Donnell e Xhuana Çallaku
"Gli abbiamo mostrato il lupo, loro (i procuratori) cercavano tracce"
L’11 aprile dello scorso anno, due settimane prima delle elezioni parlamentari in Albania, Lapsi.al ha riferito che si era verificata una violazione dei dati personali dei cittadini albanesi. Questa fuga di notizie ha reso pubbliche le informazioni private e i dati personali di quasi 910,000 individui, quasi un terzo dell’intera popolazione albanese.
Invece di interrogare chiunque fosse presumibilmente coinvolto nella violazione, i pubblici ministeri hanno scelto di indagare su Andi Bushati e Armand Shkullaku, i giornalisti di Lapsi.al che hanno dato la notizia della fuga di dati.
"L'accusa ha chiesto al tribunale di sequestrare tutto; telefoni cellulari, computer, server, USB ecc. Mentre le norme (protocolli) richiedono che in questi casi non solo i dispositivi non vengano sequestrati, ma che anche l'accesso a questi dispositivi debba essere chirurgico", ha affermato Dorian Matlija, l'avvocato che rappresenta Lapsi.al. . "Con le sue azioni, la Procura ha messo seriamente in pericolo i rapporti dei giornalisti con le fonti, ma ha anche messo in pericolo la diffusione di altro materiale di giornalisti che non ha nulla a che fare con il caso concreto".
Dopo otto mesi di silenzio governativo si sono verificate altre tre fughe di dati, mettendo a rischio la sicurezza dei cittadini albanesi.
"Un'indagine adeguata sul primo caso avrebbe un effetto deterrente su chiunque possa abusare dei dati albanesi", ha affermato Matlija.
In altre parole, se la procura avesse interrogato gli autori della violazione e non i giornalisti che hanno pubblicato la notizia, allora le successive fughe di dati che hanno reso di pubblico dominio i dati personali di migliaia di cittadini albanesi forse non si sarebbero verificate.
Il giorno dopo
Un giorno dopo la prima violazione dei dati personali, la SPAK, la Struttura speciale contro la corruzione e la criminalità organizzata, ha avviato le indagini. Per sei mesi, fino al 1 ottobre dello scorso anno, SPAK ha indagato su questo problema.
Secondo Euronews Albania, SPAK ha chiesto ai due giornalisti di Lapsi.al che hanno pubblicato la notizia di presentargli il database degli elettori che avevano a disposizione, hanno portato la loro richiesta in tribunale ma alla fine il caso è stato respinto dalla Corte d'Appello .
Il 23 aprile dello scorso anno, l'Ufficio del Commissario per il diritto all'informazione e alla protezione dei dati personali ha pubblicato un avviso in cui affermava di "monitorare attentamente la situazione creata dalla violazione (fuga illegale) dei dati personali dei cittadini". L'ufficio ha detto che pubblicherà un rapporto nel prossimo futuro.
L’ufficio pubblicò il rapporto solo quattro mesi dopo, il 19 agosto. Questo rapporto specificava le informazioni estratte e descriveva dettagliatamente le azioni dei giornalisti di Lapsi.al, ma non individuava nessuno colpevole di aver divulgato i dati e nessuno colpevole di averli utilizzati.
Il rapporto annuale di Freedom House intitolato "Libertà nel mondo 2022" rileva che "i critici, compresi i membri dell'opposizione, hanno accusato l'SP di rubare dati dai siti web ufficiali del governo e di usarli per "intimidire" gli elettori. Il partito al potere ha ripetutamente negato che il database sia stato creato o utilizzato illegalmente."
"Potrebbero esserci vari casi di fuga di dati nei paesi vicini e anche in quelli dell'Unione europea, ma [la fuga di dati] in Albania, secondo me, non ha precedenti", ha affermato Erida Skëndaj, direttore esecutivo del Comitato albanese di Helsinki .
Edi Rama, il presidente del Partito socialista, ha vinto le elezioni e ha potuto continuare il suo mandato di otto anni come Primo Ministro.
Quasi sei mesi dopo la violazione di aprile, la SPAK ha trasferito le indagini alla procura ordinaria.
"All'inizio di ottobre 2021, la SPAK ha informato i media, dichiarando l'incompetenza (come motivo della violazione dei dati), con l'argomentazione che non vi sono elementi di corruzione, trasmettendolo alla Procura del Tribunale di primo grado a Tirana", ha detto Skëndaj.
Anche senza che la procura si sia occupata del caso, non sono stati annunciati cambiamenti o miglioramenti nel sistema di sicurezza dei dati personali dei cittadini in Albania.
"Il rischio è elevato e permanente (per altre violazioni dei dati); perché... recentemente abbiamo visto migliaia di denunce, provenienti da cittadini, che affermavano che stavano ricevendo offerte di lavoro", ha affermato Besmir Semanaj, ingegnere di sicurezza dei sistemi ed esperto IT. "Questa tipologia apre la strada anche ad altri attacchi."
Otto mesi dopo
Il 22 dicembre dello scorso anno, otto mesi dopo la fuga di dati di aprile, si è verificata un’altra violazione. Questa volta, la fuga di dati ha rivelato gli stipendi mensili, le posizioni lavorative, i nomi e i numeri di identificazione a gennaio 2021 per quasi 630,000 cittadini che lavorano nei settori privato e pubblico.
Il giorno successivo sono stati esposti tramite WhatsApp gli stipendi di migliaia di cittadini albanesi per il mese di aprile 2021.
Skëndaj ha espresso la gravità della situazione, sottolineando fattori quali "il tipo di dati amministrati, le entità sospettate di aver diffuso e ulteriormente trattato questi dati per determinati scopi, l'altissimo numero di persone interessate dalla circolazione di questi dati, così come il breve tempo, in meno di un anno, in cui si sono verificate queste massicce fughe di notizie."
Dopo la fuga di salari, il primo ministro Edi Rama è comparso davanti ai giornalisti e si è scusato per la fuga di dati durante una conferenza stampa il 23 dicembre.
"Secondo un'analisi preliminare, sembra più un'infiltrazione interna che un attacco informatico esterno", ha detto Rama. "Ho l'idea che ciò sia stato fatto per creare confusione e inimicizia tra il popolo e (il governo)".
Una terza violazione dei dati si è verificata il 24 dicembre. Conteneva le targhe di 530.452 cittadini albanesi e 61.513 banche, imprese e ambasciate. Sono stati elencati anche il colore esatto e il produttore dell'auto.
"Il rischio più grande è la clonazione delle identità e il loro utilizzo per atti criminali e terroristici... L'unica scelta è cambiare le carte e l'algoritmo della loro produzione", ha detto Semanaj.
risposta
Dopo otto mesi e quattro violazioni della sicurezza dei database statali, il 7 gennaio di quest'anno, i pubblici ministeri albanesi hanno arrestato quattro sospettati per possibile furto di dati personali di oltre 630,000 cittadini. Questi arresti sono stati effettuati per la seconda e la terza fuga di dati, ma non per la prima, nell’aprile 2021.
Secondo l'accusa, due degli arrestati erano tecnici informatici che lavoravano nell'ufficio della Direzione generale delle imposte, mentre gli altri due avevano acquistato i dati e lavoravano nel settore privato.
"Per quanto riguarda la fuga di dati (stipendi, targhe), la Procura del Tribunale di Tirana ha avviato indagini su questo argomento principalmente dal giorno in cui questi dati sono stati diffusi. In relazione a questo caso sono state arrestate quattro persone, vale a dire i cittadini di EQ, AA, KS ed EI, che si trovano ancora sotto la misura di sicurezza di "arresti domiciliari" e "costrizione a comparire", secondo l'annuncio della procura. .
Gruppo Jones
L’11 gennaio di quest’anno, il governo albanese ha incaricato la società statunitense Jones Group International di fornire assistenza in materia di sicurezza informatica.
Il primo ministro Edi Rama ha dichiarato che il governo e il gruppo hanno firmato un memorandum d'intesa in cui lavoreranno "per rafforzare la sicurezza dei sistemi digitali".
Alla domanda sul tipo di lavoro svolto da Jones Group, John Lord, Presidente di Jones Group Europe, ha affermato che "il team di Jones Group fornisce servizi di consulenza sulla sicurezza informatica e sulla sicurezza delle informazioni a clienti governativi e di infrastrutture critiche in tutto il mondo".
Il Gruppo Jones ha sede nello stato della Virginia ed è stato fondato dal generale James L. Jones, ex consigliere per la sicurezza nazionale del presidente Barack Obama.
"Il nostro team ha completato un'ampia gamma di progetti legati al cyber nel campo dell'energia e della tecnologia dell'informazione, ciascuno con requisiti diversi, e siamo riusciti a soddisfare le esigenze dei nostri clienti", ha affermato Lord. "Il Primo Ministro, sostenuto dal Consiglio dei Ministri e dall'Assemblea dell'Albania, ha già mostrato un'importante leadership verso il rafforzamento della posizione di sicurezza informatica dell'Albania".
Ma se si è trattato di “un’infiltrazione interna e non di un attacco informatico esterno”, come ha dichiarato il primo ministro Rama, perché il governo albanese ha assunto un consulente esterno come il Gruppo Jones?
A questa domanda, ha risposto l'Agenzia nazionale per la società dell'informazione (AKSHI), "la collaborazione con Jones International Group è focalizzata sulla valutazione degli standard internazionali ISO, sulla stesura del piano tecnico a livello istituzionale individuale per le raccomandazioni informatiche e sull'attuazione dell’infrastruttura fisica che mira a ridurre al minimo la probabilità che tali incidenti si ripetano”.
Poiché si è trattato di un attacco interno, si teme che possa ripetersi.
"AKSHI non è un'istituzione i cui dipendenti devono sottoporsi a procedure di valutazione e verifica, ma per avere un'idea più chiara dell'affidabilità del richiedente, l'elenco della documentazione richiesta per la domanda è il Certificato di stato giudiziario e [altra] documentazione di questa natura ", dice in una dichiarazione di AKSHI.
Il 1 maggio Rama ha annunciato la sua collaborazione con ANA, affermando che l'intero Paese utilizzerà e-Albania, un portale creato da ANA che consente ai cittadini di accedere a certificati e documenti relativi ai servizi pubblici. Sebbene il portale esistesse da molti anni, questa era la prima volta che tutte le agenzie governative dovevano utilizzarlo.
Sicurezza dei dati negli Stati Uniti
Secondo Digital Guardian, una società di software per la prevenzione della perdita di dati, la violazione dei dati da parte del governo che ha colpito il maggior numero di persone negli Stati Uniti si è verificata nel dicembre 2015. Comprendeva la fuga di informazioni sulla registrazione degli elettori.
I dati personali di 191 milioni di persone negli Stati Uniti sono stati divulgati a causa di un database configurato in modo errato.
Spesso il motivo della fuga di dati è la mancanza di consapevolezza della sicurezza dei dati o l’errore umano.
"Nel settore finanziario o sanitario, ci sono molti documenti sicuri che circolano pubblicamente, ma penso che sia per lo più solo per trattare con persone che vogliono soldi o persone in un'azienda che non sono abbastanza istruite per non impegnarsi in e-mail di phishing [o] truffe di questo tipo", ha affermato Kyle Cleaver, rappresentante dello sviluppo aziendale presso HelpSystems e dipendente di Digital Guardian.
In Albania, però, come ha detto Rama, si è verificata una “infiltrazione interna”.
Alla domanda sul perché queste infiltrazioni interne siano meno probabili negli Stati Uniti, Cleaver ha risposto: “Le multe [sono] sempre più alte se [un’azienda] ha interferenze esterne. So che è positivo per le nostre aziende avere a che fare con questo software perché... devono rispettare i certificati CUI (Controlled Unclassified Information) altrimenti verranno multati."
Il Ministero delle Infrastrutture e dell'Energia di Tirana, ha chiesto per quanto tempo nessuna istituzione ufficiale abbia accertato che "la fuga di dati è stata il risultato di un attacco esterno", perché è stato necessario affidare frettolosamente Jones Group per il rafforzamento del sistema informatico statale quadro di sicurezza, quest’ultimo non ha dato una risposta definitiva, rifiutandosi di rispondere alla domanda diretta.
Il Ministero non ha risposto alla domanda se ci fossero procedure aperte per contrattare Jones Group e se ci fossero altre aziende interessate alla cooperazione.
Sono trascorsi 4 mesi dall'approvazione della legge speciale per la conclusione del contratto con Jones Group e la messa a disposizione di quest'ultimo della quasi totalità dell'infrastruttura informatica dello Stato albanese, e ad oggi non vi è alcun aggiornamento sul miglioramento della infrastruttura di sicurezza di AKSHI.
A marzo, il presidente degli Stati Uniti Joe Biden ha convertito in legge il Critical Infrastructure Cyber Incident Reporting Act, per prevenire il ripetersi di attacchi informatici come quelli avvenuti nel 2015.
"Aiuta molto quando il governo interviene e approva tutte queste leggi [sulla sicurezza informatica]", ha detto Cleaver.
Un futuro per Internet
In una conferenza stampa tenutasi il 23 dicembre dell’anno scorso, dopo la seconda violazione dei dati di dicembre, Mirlinda Karçanaaj, direttrice dell’Agenzia nazionale di informazione dell’Albania, sedeva proprio accanto al primo ministro Edi Rama.
Karçanaaj ha riconfermato la sicurezza di e-Albania, nonostante non abbia nulla a che fare con la violazione dei dati.
Meno di cinque mesi dopo, l’intero Paese è stato costretto a utilizzare e-Albania.
In altre parole, dopo quattro violazioni dei dati in otto mesi, l’Agenzia nazionale d’informazione ha deciso di mettere online i documenti importanti dei cittadini albanesi. Ciò significa che attraverso questo portale vengono gestiti i certificati di famiglia, le iscrizioni agli studi, i posti di lavoro, le pensioni, i permessi e le licenze, i trasporti e i veicoli, i servizi doganali e la protezione sanitaria e sociale.
"Le persone che hanno avuto accesso alle informazioni ottenute dai database hanno avuto accesso a tutti i dati in nostro possesso", ha detto Semanaj. "I cittadini albanesi sono totalmente esposti".
Il 17 luglio 2022 AKSHI ha annunciato per la prima volta un attacco informatico esterno alla sua infrastruttura e ha sospeso tutti i servizi pubblici. Continuano gli sforzi per risolvere la situazione di emergenza.
