Eksperti i sigurisë kibernetike Hekuran Doli ka bërë kundër replikë ndaj Agjencisë së Shoqërisë së Informacionit në lidhje me sigurinë e të dhënave në webfaqet e lansuara nga Trusti për t’iu mundësuar qytetarëve tërheqjen e 10-përsindëshit të mjeteve të tyre.

Doli thotë se praktikë e mirë konsiderohet kur secila faqe e internetit e ka certifikatën e sigurisë së vet.

“Praktikat e mira te sigurisë kibernetike parashohin menaxhim te centralizuar te certifikatave te sigurisë, ku secili subdomain do ta kishte certifikatën e vet dhe lëshimi e bllokimi i certifikatave do te behej ne mënyrë te kontrolluar. Në asnjë mënyrë nuk lejohet qe Wildcard certificate me u shëtitë andej e këndej neper internet”.

Eksperti ka dhënë edhe hipoteza se çfarë mund të ndodhte nëse dashakeqët e rrjetit do të kishin sukses në sulmin e tyre ndaj Trustit.

Ai thotë se në këtë rast do të ishte thyer së paku njëra nga tre elementet e që më pas të dhënat e qytetarëve nuk do të ishin të sigurta.

Kundër replika e Hekuran Dolit ndaj Trustit dhe ASHI

E ka perdore praktiken me te mire te sigurise duke e marre certifikaten *.rks-gov.net dhe duke ja ka vendose https://bentenapp.azurewebsites.net/ ?‍♂️?‍♂️?‍♂️. Jo te nderuar, praktikat me te mira te sigurise parashohin qe rks-gov.net me e pase certifikaten e vet, trusti.rks-gov.net, trusti10.org te veten ndersa bentenapp.azurewebsites.net te veten. Nese jeni brengose pse po ju del vizitoreve “Your connection is not secure”, kjo eshte arsyeja. Po ndihna keq qe duhet me e ule shpjegimin ne nivel kaq bazik.

Praktikat e mira te sigurise kibernetike parashohin menaxhim te centralizuar te certifikatave te sigurise ku secili subdomain do ta kishte certifikaten e vet dhe leshimi e bllokimi i certifikatave do te behej ne menyre te kontrolluar. Ne asnje menyre nuk lejohet qe wildcard certificate me u shetite andej e kendej neper internet.

Trusti vet ka potencu se gjate gjithe dites kane qene subjekt i sulmeve kibernetike, ja ta zeme se sulmi do te ishte i sukseshem, certificata do te ishte aseti i pare qe do te vidhej dhe eshte kjo certificate qe perdoret edhe per sigurimin e portalit dhe emailit zyrtar te Qeverise se Kosoves. Cka do te behej ne kete situate?

Ne momentin kur ka mosperputhje ne mes te domainit dhe certifikates, protokoli i enkriptimit eshte formalisht i thyer (pavaresisht se ne realitet mund te mos jete) dhe per kete arsye edhe browseri te jep verejtje. Dhe kur protokoli i enkriptimit eshte i thyer, eshte thyer te pakten nje nga tri kushtet qe duhet plotesuar me qellim qe te dhenat te jene kredibile. Pa u plotesuar 1. Autentikimi, 2. Konfidencialiteti dhe 3. Integriteti protokoli i enkriptimit nuk quhet i sigurt, dhe te dhenat nuk mund te cilesohen si te sigurta. Keshtu thote shkenca. Prandaj, mendoj se vetem mund te supozojme/besojme se te dhenat e grumbulluara sot kane integritet. Mirepo te garantuarit e integritetit te dhenave me protokol te thyer eshte jo profesionalizem, sepse kete garanci duhet ta jap protokoli kompjuterik i sigurise dhe jo ne..