18 ish-punonjës në Agjencinë për Zhvillimin e Bujqësisë, që operon në kuadër të Ministrisë së Bujqësisë, kanë ende qasje në sistemet informative dhe elektronike të këtij institucioni, ku bëhen aplikimet dhe ekzekutimet e pagesave për përfituesit e granteve dhe subvencioneve nga ministria.
Kjo qasje iu është mundësuar atyre edhe pas ndërprerjes së marrëdhënies së punës me këtë agjenci, për arsye se zyrtarët e kësaj të fundit nuk kishin njoftuar fare personelin e TI-së për mbylljen e llogarive elektronike siç parashihet me rregullore.
Auditori i Përgjithshëm shton dyshimet se qasja në këto llogari edhe pas ndërprerjes së marrëdhënies së punës, shton rrezikun për sigurinë e informacioneve dhe keqpërdorimit të të dhënave dhe sistemit.
“Nga analizimi i qasjeve aktive në Active Directory të AZhB-së, është vërejtur se 18 përdorues janë aktiv edhe pse të njëjtit kanë ndërprerë marrëdhënien e punës. Në dy raste është paraqitë kërkesa për mbyllje të shfrytëzuesit, ndërsa në 16 raste të tjera zyra e personelit nuk kishin njoftuar zyrtarët përkatës të TI-së për mbylljen e llogarive elektronike siç është e paraparë me UA 02/2015 neni 7”, thuhet në raportin e Auditorit rreth sistemeve elektronike për menaxhimin e granteve dhe subvencioneve në AZhB-MBPZhR.
Sipas ZKA-së, gjatë testimit dhe vëzhgimit të drejtpërdrejtë në AZHB, është vërejtur se ka edhe raste kur përdoren llogari elektronike të njëri tjetrit.
“Për më tepër kemi vërejtur një rast kur një praktikante përdorte llogarinë elektronike për qasje në kompjuter të një punonjësi i cili ishte në pushim mjekësor, ndërsa për qasje në aplikacion përdorte një llogari të një punonjësi tjetër pa ndonjë mbikëqyrje dhe nuk ishin të vetëdijshëm për pasojat që ky veprim bart në vete”, theksohet në raport.
Sipas rregullores, kur një zyrtari i përfundon, ndërpritet apo pezullohet marrëdhënia e punës, ndërron vendin e punës apo ndërron të dhënat, njësia e personelit është e obliguar që menjëherë të informojë administratorin e llogarive zyrtare të institucionit përkatës, i cili bënë veprimet e nevojshme, pra bllokimin e llogarive ose ndërrimin e fjalëkalimeve.
Gjithashtu, nga testimet e ZKA-së është vërejtur se nga 87 llogari aktive në Active Directory të AZHB-së, të gjithë kanë pasur të konfiguruar qasjen që nuk ju kërkonte ndryshimin e fjalëkalimit ashtu siç kërkohet me UA 02/2015 neni 7.
Ndryshe, mungesa e ndërgjegjësimit për siguri ka ndikuar që agjencia mos të identifikojë dhe të vlerësojë as rreziqet dhe mangësitë në sigurinë e sistemeve që janë në përdorim, e që konsiderohen si rreziqe që ndikojnë direkt në integritetin e sistemeve.
Disa nga mangësitë e identifikuara nga ZKA-ja në AZHB janë si në vijim:
- shkëmbimi i fjalëkalimeve të aplikacioneve në mes të stafit;
- mundësia e lejimit të fjalëkalimit me vetëm një karakter;
- përdorimi i kredencialeve gjeneralë apo të pa personalizuar;
- lejimi i qasjes për praktikant përmes përdoruesit administrator lokal; edhe pse pas paraqitjes së gjendjes nga ekipi gjatë auditimit, zyrtarët e TI-së kishin marrë masa që këto qasje të mbyllen.
- lejimin e qasjeve të plota në aplikacione dhe në baza të shënimeve për zyrtar, detyrat dhe përgjegjësitë e të cilëve nuk korrespondojnë me rolet e dhëna në këto sisteme/baza të shënimeve;
- mos mbledhja dhe trajtimi i gjurmëve të aktiviteteve; dhe
- qasja në këto sisteme përmes ueb aplikacionit i cili nuk ka ndonjë certifikatë të sigurisë të implementuar, pra me qasje të pa enkriptuar etj.
Në AZhB përveç stafit të rregullt, ka edhe staf të angazhuar përkohësisht si rezultat i marrëveshjeve me Bankën Botërore dhe Ministrinë e Punës, me ç’rast Agjencia nuk krijon fare llogari në Active Directory për të gjithë personat që kanë qasje në infrastrukturën e TI-së.
Për stafin e angazhuar përkohësisht si projekte dhe praktikantë, nuk krijon çdoherë llogari për qasje në infrastrukturën e brendshme, pasi qasja në kompjuter ju mundësohet përmes shfrytëzuesit Administrator lokal.
Auditori në raport përshkruan se ka pasur raste kur janë krijuar llogari të përgjithshme dhe kanë pasur qasje disa persona të ndryshëm përmes të njëjtës llogari.
Nga vëzhgimi i drejtpërdrejtë, ZKA thotë se kanë vërejtur se në arkivin e AzhB-së përdoret një kompjuter ku qasen disa persona të ndryshëm përmes një llogarie jo të personalizuar, duke ua mundësuar punonjësëve të qasen në të gjitha dokumentet elektronike të arkivit.
E gjithë kjo ndodhë ‘si shkak i mungesës së një procesi të shkruar në lidhje me menaxhimin e qasjeve të përdoruesve dhe paraqet rrezik të qasjeve të pa autorizuara, gabimeve dhe keqpërdorimeve të ndryshme duke dëmtuar sistemet e informacionit’, thonë nga ZKA.
“Po ashtu nga testimi është vërejtur se qasja në bazën e të dhënave bëhet përmes llogarisë ‘SA’ (System Administrator) nga disa persona të ndryshëm, përfshi edhe persona të kontraktuar. Për më tepër, AZhB-ja nuk bënë monitorim dhe rishikim të qasjeve në baza periodike. Qasja me llogarinë SA ndodhë si shkak i mos krijimit të llogarive të personalizuara për stafin të cilët duhet të kenë qasje në mirëmbajtjen e bazave të të dhënave dhe menaxhimin e tyre”, thuhet tutje në raport.
Auditori shton se kjo qasje rrit rrezikun për një sistem të pa sigurtë, ku të dhënat mund të ndryshohen në mënyrë të qëllimshme dhe të pa qëllimshme, nga ku mungon edhe llogaridhënia në rast të ndonjë dëmtimi eventual të të dhënave. (Mirjeta Shabani) /Buletini Ekonomik/