Kur dritat fiken, rrallëherë ndodh të jetë thjesht një problem teknik. Për një vend, kjo mund të nënkuptojë spitale të paralizuara, ndërprerje të furnizimit me ujë dhe komunitete të tëra të lëna në terr. Në të gjithë botën, sistemet e energjisë janë bërë vija e parë e konfliktit kibernetik, që shënjestrohen jo vetëm nga kriminelët, por edhe nga akterë të mbështetur nga shteti që kërkojnë t’i shfrytëzojnë dobësitë.

Deri më sot, nuk ka pasur sulme kibernetike të raportuara publikisht që synojnë infrastrukturën kritike të Kosovës. Megjithatë, kërcënimi nuk është as abstrakt dhe as i largët. Në nëntor të vitit 2024, një shpërthim i fuqishëm ndodhi në kanalin e ujit në Zubin Potok, duke ndërprerë furnizimin me ujë për dy termocentralet me qymyr, që së bashku prodhojnë më shumë se 90% të energjisë elektrike të vendit. Ndonëse sulmi ishte fizik, ndikimi që pati shpërfaqi se sa lehtë një sulm mund ta dëmtonte sigurinë energjetike në vend. Sulmi gjithashtu shkaktoi frikë se si mund të dukej një sulm kibernetik i koordinuar, i heshtur, i padukshëm dhe potencialisht shumë më shkatërrues.

Teksa Kosova po e modernizon sistemin energjetik, po prezanton edhe rrjete inteligjente – rrjete elektrike që përdorin teknologji digjitale, sensorë dhe të dhëna në kohë reale për ta forcuar besueshmërinë, efikasitetin dhe fleksibilitetin. Këto përmirësime digjitale krijojnë gjithashtu pika të reja qasjeje për sulmet kibernetike. Gjersa sistemet më inteligjente ndihmojnë në adresimin e sfidave afatgjata, siç janë ndërprerjet, joefikasiteti dhe kontrolli i kufizuar, ato gjithashtu rrisin rreziqet kibernetike, duke sjellë nevojën për mbrojtje të forta të sigurisë kibernetike.

Pjesa më e madhe e rrjetit elektrik të Kosovës është ndërtuar dekada më parë dhe përmirësimi i kësaj infrastrukture të vjetruar, pa masa të forta të sigurisë kibernetike, mund t’i lërë sistemet kritike të ekspozuara ndaj kërcënimeve serioze. Kalimi nga sistemet analoge në rrjetet inteligjente zgjeron ndjeshëm peizazhin e rrezikut të sigurisë kibernetike dhe Kosova mbetet posaçërisht e ndjeshme pasi i mungon një strategji domethënëse dhe gjithëpërfshirëse për ta mbrojtur sigurinë kibernetike dhe qëndrueshmërinë e infrastrukturës së saj qenësore të energjisë. Prandaj, forcimi i kapaciteteve të rregullatorëve dhe operatorëve të energjisë është urgjent.

Rregullatorët duhet të jenë të pajisur për t’i vendosur dhe zbatuar standardet e sigurisë kibernetike, ndërsa operatorët kërkojnë ekspertizën dhe mjetet për t’i zbuluar, parandaluar dhe reaguar në mënyrë efektive ndaj kërcënimeve. Pa këto investime, përfitimet e rrjeteve inteligjente dhe integrimit të energjisë së ripërtëritshme rrezikojnë të mbesin nën hije nga dobësitë kibernetike në rritje. Ndonëse forcimi i sigurisë kibernetike ka të ngjarë t’i rrisë kostot e sistemit, është qenësor për ta siguruar besueshmërinë dhe qëndrueshmërinë e infrastrukturës energjetike të Kosovës. Në fund të fundit, kostoja e mosveprimit – ndërprerjet e shërbimit, humbjet financiare dhe rënia e besimit publik – do të ishin shumë më të mëdha.

Në të gjithë botën, sulmet kibernetike ndaj sistemeve energjetike po rriten. Agjencia Ndërkombëtare e Energjisë ka vlerësuar se sulmet janë më shumë se dyfishuar mes viteve 2020 dhe 2022, me një rekord prej 1.101 ngjarje në tërë botën në vitin 2022, ku shërbimet ishin në shënjestër. Në vitet e fundit, shërbimet evropiane janë gjithnjë e më shumë shënjestër e sulmeve me ransomware (në shqip: softuerë keqdashës) dhe Shoqata Evropiane e Industrisë së Energjisë Elektrike (Eurelectric) bëri thirrje për masa më të forta të sigurisë kibernetike të BE, zhvillim të zgjeruar të fuqisë punëtore, rritje të investimeve dhe bashkëpunim të shtuar për të parandaluar ndërprerjet e energjisë dhe përçarjet shoqërore. Shembuj të tillë nxjerrin në pah nevojën urgjente për masa të forta të sigurisë kibernetike në të gjithë sektorin e energjisë për të parandaluar ndërprerjet operative dhe për të mbrojtur shërbimet thelbësore. Këto nuk janë kërcënime të largëta, por shërbejnë si shembuj të qartë të asaj që mund të ndodhë në Kosovë nëse dobësitë lihen pa u adresuar.

Në një rajon ku dritat dikur u fikën për shkak të luftës, nuk duhet të fiken sërish për shkak të mosveprimit. Një sulm kibernetik nuk është vetëm çështje e bllokimit të një kompjuteri të vetëm; mund ta çaktivizojë një rrjet elektrik, një spital apo një sistem uji, me pasoja që shkojnë përtej dështimeve teknike. Infrastruktura kritike nuk është më thjesht fizike, sot është vija e parë e frontit e sigurisë kombëtare. Nëse Kosova e trajton seriozisht sigurinë energjetike, siguria kibernetike duhet të trajtohet si përparësi e qeverisjes kombëtare, jo thjesht një problem teknik.

Mburoja kibernetike e Kosovës: një skelet ligjor me organe që mungojnë

Kosova ka ndërmarrë hapa në letër. Dy ligje tani krijojnë shtyllën kurrizore të përgjigjes së saj rregullative. Ligji i parë, i prezantuar në vitin 2018, është Ligji për Infrastrukturën Kritike. Ky ligj themelor, i pari i këtij lloji në Ballkanin Perëndimor, krijon një kornizë gjithëpërfshirëse për identifikimin, mbrojtjen dhe menaxhimin e infrastrukturës kritike në të gjithë sektorët si energjia, transporti dhe sistemet e ujit. Ligji iu përshtat standardeve të BE dhe vendosi kërkesa për operatorët që të zhvillojnë plane sigurie dhe për t’u koordinuar përmes mekanizmave institucionalë, nën mbikëqyrjen e Ministrisë së Punëve të Brendshme (MPB).

I dyti, i miratuar në fillim të vitit 2023, është Ligji për Sigurinë Kibernetike. Ky ligj vendos themelet për arkitekturën kombëtare të sigurisë kibernetike të Kosovës. Ligji përcakton parimet dhe rolet kryesore, mandaton bashkëpunimin institucional dhe themelon Agjencinë e Sigurisë Kibernetike. Ai përputhet me direktivat e BE, duke rritur sigurinë e sistemeve dhe rrjeteve të informacionit të vendit. Gjithashtu thuhet se një draft i Strategjisë Kombëtare të Sigurisë Kibernetike është në qarkullim. Në nivel rajonal, Kosova është pjesë e nismave të Komunitetit të Energjisë dhe dialogëve të Ballkanit Perëndimor rreth qëndrueshmërisë kibernetike.

Ndërkohë që Kosova ka ndërmarrë masa në letër, zbatimi i këtyre ligjeve mbetet i pabarabartë, i fragmentuar dhe i ngadaltë. Aktualisht, sektorit të energjisë në Kosovë i mungon një Ekip Operacional i Reagimit ndaj Incidenteve të Sigurisë Kompjuterike (CSIRT), një ekip që monitoron, zbulon dhe i përgjigjet ndaj incidenteve të sigurisë kibernetike, si në nivel organizativ, ashtu edhe në atë kombëtar. Për ta adresuar këtë boshllëk, në vitin 2023, organizata të tilla si NRD Cyber ​Security propozuan themelimin e një CSIRT sektorial për energjinë (E-CERT), një ekip i dedikuar posaçërisht për sektorin e energjisë.

Sapo të vihet në funksion, E-CERT do t’i monitorojë dhe do t’u përgjigjet incidenteve të sigurisë kibernetike në të gjithë infrastrukturën energjetike të Kosovës, do të koordinojë neutralizimin e shpejtë të kërcënimeve, do ta ndajë inteligjencën mes operatorëve dhe do të sigurojë që sistemet kritike, përfshirë termocentralet dhe rrjetet e transmetimit, të mbeten të sigurta.

Sipas Ligjit për Sigurinë Kibernetike, sektori i energjisë i Kosovës përcaktohet zyrtarisht si infrastrukturë kritike. Njësitë në prodhimin, transmetimin dhe shpërndarjen e energjisë tani konsiderohen Operatorë të Shërbimeve Esenciale (OSHE). Ligji përcakton kërkesa të rrepta të sigurisë kibernetike për të gjitha OSHE, përfshirë zhvillimin e politikave, raportimin e incidenteve në afate kohore të caktuara dhe zbatimin e masave teknike. Pavarësisht këtyre kornizave, zbatimi praktik mbetet i kufizuar dhe me E-CERT që ende nuk është plotësisht funksional, ka boshllëqe në aftësinë e sektorit për të zbuluar, reaguar dhe rikuperuar nga kërcënimet kibernetike.

Mungesa e profesionistëve të kualifikuar të sigurisë kibernetike është një tjetër sfidë e ndërlikuar. Kosova, si pjesa më e madhe e Ballkanit Perëndimor, përballet me mungesë specialistësh të IT, shumë prej të cilëve largohen për mundësi pune më të paguara në BE. Ndërtimi i kapaciteteve për role të specializuara në sigurinë kibernetike industriale kërkon jo vetëm programe edukimi dhe trajnimi, por edhe stimuj për t’i mbajtur talentet. Raporti “Western Balkans Competitiveness Outlook 2024” i OECD thekson se Kosova has vështirësi në tërheqjen dhe mbajtjen e profesionistëve të kualifikuar, përfshirë edhe në sektorin e sigurisë kibernetike, për shkak të mundësive të kufizuara vendore dhe joshjes nga mundësitë më të mira jashtë vendit.

Kërcënimet e modernizimit të sektorit të energjisë në Kosovë

Sektori i energjisë në Kosovë është në një pikë kthese. Prezantimi i rrjeteve inteligjente, automatizimi, integrimi i energjisë së ripërtëritshme dhe monitorimi i bazuar në të dhëna në Kosovë po transformon mënyrën se si gjenerohet, shpërndahet dhe konsumohet energjia. Korporata Energjetike e Kosovës (KEK), e cila menaxhon termocentralet kryesore të vendit dhe Operatori i Sistemit, Transmisionit dhe Tregut të Kosovës (KOSTT), i cili menaxhon rrjetin dhe tregun kombëtar të energjisë elektrike, po i nënshtrohen modernizimit të operacioneve të tyre. Matja inteligjente po zgjerohet. Shteti po mbështetet në zgjidhjet digjitale për t’i zgjidhur problemet e trashëguara, nga ndërprerjet deri te joefikasiteti i faturimit.

Por pyetja që askush nuk duket se po e shtron është: a mund ta mbrojmë këtë infrastrukturë të re?

Ndryshe nga sistemet tradicionale njëdrejtimëshe të energjisë, rrjetet inteligjente mundësojnë rrjedha dypalëshe si të energjisë elektrike, ashtu edhe të informacionit, duke e bërë më të lehtë integrimin e burimeve të energjisë së ripërtëritshme, zvogëlimin e ndërprerjeve dhe optimizimin e faturimit dhe efikasitetit operativ. Ky proces, megjithatë, gjithashtu zgjeron dukshëm peizazhin e rrezikut të sigurisë kibernetike.

Rrjeti elektrik i Kosovës ende operohet kryesisht përmes sistemeve të vjetra të kontrollit digjital (SCADA), të cilat monitorojnë dhe kontrollojnë rrjedhat e energjisë dhe janë qenësore për funksionimin e termocentraleve dhe linjave të transmetimit, por ato nuk kanë qenë të dizajnuara qysh nga fillimi për sigurinë kibernetike. Infrastruktura e transmetimit operohet nga KOSTT, ndërsa KEDS menaxhon shpërndarjen e energjisë elektrike. Teksa sektori i nënshtrohet procesit të digjitalizimit, sigurimi i sistemeve SCADA është bërë kritik për ta parandaluar shfrytëzimin kibernetik. Sektori i energjisë përballet me një sërë kërcënimesh kibernetike, përfshirë sulmet ransomware, ku softuerët keqdashës kodojnë të dhënat ose sistemet e një kompanie dhe kërkojnë pagesë për ta rikthyer qasjen, që është ndër më të pranishmit.

Me mbi 95% të qytetarëve të moshës 16 deri në 74 vjeç që përdorin rregullisht internetin, Kosova është shoqëri shumë e ndërlidhur. Sistemet e matjes inteligjente, platformat e faturimit automatik dhe mjetet e menaxhimit të rrjetit digjital mund të jenë të gjitha shënjestër, duke shkaktuar potencialisht ndërprerje të përhapura të energjisë, faturim të pasaktë dhe ndërprerje në shpërndarjen e ujit dhe energjisë elektrike. Matësit inteligjentë, nëse thyhen, mund të rrjedhin të dhëna të ndjeshme të konsumatorëve ose të manipulohen për të shkaktuar gabime në faturim ose në rrjetin elektrik. Edhe kontratat digjitale dhe sistemet e automatizuara të raportimit, në të cilat mbështetet sektori për efikasitet operativ, shpesh nuk kanë protokolle të mbrojtura enkriptimi ose vërtetimi, duke i lënë ato të ndjeshme ndaj shfrytëzimit kibernetik.

Këtyre mangësive teknike i shtohet mungesa e auditimeve të rregullta kibernetike dhe e ushtrimeve simuluese në të gjithë sektorin për ta testuar gatishmërinë ndaj sulmeve, ndërkohë që edhe niveli i ndërgjegjësimit tek stafi mbetet i ulët. Mungesa e ushtrimeve të rregullta kibernetike, sistemet e dobëta të reagimit ndaj incidenteve dhe koordinimi i pamjaftueshëm mes sektorit publik dhe atij privat dobësojnë ndjeshëm aftësinë e sektorit për t’iu përgjigjur incidenteve kibernetike. Çështjet operative të përditshme mund të përshkallëzohen shpejt në rreziqe më të gjera për sigurinë energjetike, duke e bërë sektorin shënjestër kryesore për kërcënimet kibernetike.

Siguria kibernetike në Ballkanin Perëndimor dhe përafrimi me BE-në

Në nivel global, kërcënimi nga sulmet kibernetike është shumë larg të qenit teorik. Hakerët rusë infiltruan me sukses rrjetin elektrik të Ukrainës në vitin 2015, duke përdorur malware (në shqip: softuer të dëmshëm) si BlackEnergy dhe Industroyer për ta ndërprerë furnizimin me energji për qindra mijëra njerëz. Në vitin 2021, sulmi me ransomware ndaj Colonial Pipeline ndërpreu furnizimin me karburant në të gjithë lindjen e Shteteve të Bashkuara, duke shpërfaqur se incidentet kibernetike në infrastrukturën energjetike mund të shkaktojnë panik dhe çrregullime ekonomike. Në prill të vitit 2025, hakerët rusë morën përkohësisht kontrollin e një dige në Norvegji, duke liruar 500 litra ujë për sekondë për katër orë para se të ndaloheshin, duke nxjerrë në pah ndjeshmërinë e sektorit energjetik norvegjez të varur nga hidrocentralet.

Në rajon, Kosova nuk është e vetme që përballet me rreziqe kibernetike që lidhen me energjinë. Në të gjithë Ballkanin Perëndimor, qeveritë kanë qenë dëshmitare të ndikimit shkatërrues të sulmeve kibernetike. Në vitin 2022, Shqipëria pësoi një nga incidentet më të rënda kibernetike në rajon kur hakerët e mbështetur nga shteti iranian ndaluan shërbimet qeveritare për javë të tëra, duke dëmtuar sistemet e komunikimit dhe duke e detyruar Tiranën t’i ndërpresë lidhjet diplomatike me Teheranin. Po atë vit, qeveria e Malit të Zi u godit nga sulme ransomware që shkatërruan institucionet shtetërore, sistemet financiare dhe operatorët e sektorit të energjisë, duke bërë që ekipet e ndihmës së shpejtë kibernetike të NATO të ndërhyjnë. Maqedonia e Veriut dhe Bosnjë e Hercegovina kanë raportuar gjithashtu rritje të ndjeshme të përpjekjeve për ndërhyrje në institucionet publike.

Këto sulme shpërfaqin një mësim kritik: në shtetet e vogla, të ndjeshme në aspektin digjital, një incident i vetëm kibernetik mund të përshkallëzohet në një krizë të gjerë të sigurisë kombëtare. Energjia, si shtylla kurrizore e ekonomive moderne, është shënjestër kryesore. Ndryshe nga bankat ose ministritë, rrjetet e energjisë dhe termocentralet e energjisë nuk mund të “fiken” për t’i kufizuar dëmet; ndërprerjet përkthehen menjëherë në ndërprerje të energjisë, ndërprerje të prodhimit, si dhe panik të publikut.

Në vitin 2024, BE themeloi Rregulloren e Deleguar të Komisionit (BE) 2014/1366, një kod rrjeti mbi sigurinë kibernetike që vendos rregulla specifike për sektorin lidhur me rrjedhat elektrike ndërkufitare dhe harmonizon kërkesat për sistemet e ndërlidhura. BE ka njohur tashmë kërcënimin në rritje dhe ka ndërmarrë hapa vendimtarë përmes Direktivës për Sigurinë e Rrjeteve dhe Informacionit (NIS2), që hyri në fuqi në vitin 2023. NIS2 kërkon nga shtetet anëtare të miratojnë kuadro më të forta për mbrojtjen e infrastrukturës kritike, të zbatojnë raportimin e detyrueshëm të incidenteve dhe ta zgjerojnë mbikëqyrjen e operatorëve në sektorët esencial, përfshirë energjinë. ENISA, Agjencia e Bashkimit Evropian për Sigurinë Kibernetike, ka theksuar gjithashtu se rrjetet energjetike, veçanërisht transmetimi dhe shpërndarja e energjisë elektrike, janë ndër shënjestrat më tërheqës për kriminelët kibernetikë dhe shtetet armiqësore.

Sekretariati i Komunitetit të Energjisë, një organizatë ndërkombëtare që ndihmon vendet jashtë BE, si Kosova, në përshtatjen me rregullat e BE për energjinë, po shqyrton mundësitë se si t’i integrojë vendet anëtare me këtë kuadër rregullativ. Po zhvillohen diskutime për përshtatjen dhe miratimin e standardeve të qëndrueshme të sigurisë kibernetike në nivel rajonal. Për Kosovën dhe fqinjët e saj, koordinimi më i ngushtë mes operatorëve të sistemeve elektrike është kritik, përfshirë përgjigje të përbashkët ndaj incidenteve, shkëmbim informacioni dhe planifikim të përbashkët. Një sulm kibernetik në një pjesë të rrjetit mbart rrezikun e ndikimeve zinxhir, veçanërisht ndërkufitare, që mund të destabilizojë të gjithë sistemin e ndërlidhur nëse nuk merren masa.

Për Kosovën, e cila synon të përafrohet me standardet e BE, mungesa e mbikëqyrjes rregullative është akute. Teksa disa fqinjë kanë filluar t’i përfshijnë kërkesat e NIS2 në ligjin kombëtar, si Kroacia dhe Sllovenia, Kosovës ende i mungon një strategji gjithëpërfshirëse, specifike për sektorin e sigurisë kibernetike për sektorin e energjisë. Kornizat ekzistuese ligjore, teksa përmirësohen, mbeten të fragmentuara dhe me burime të pamjaftueshme. Pa një përafrim më serioz, Kosova rrezikon të mbetet prapa, marrë parasysh se si sulmet kibernetike ndaj sistemeve kritike të energjisë po bëhen më të shpeshta, të sofistikuara dhe po përdoren si mjet për qëllime gjeopolitike.

Ndërtimi i mburojës kibernetike të Kosovës

Rruga e Kosovës para kërkon ndërthurje të reformës institucionale, përafrimit rregullativ dhe ndërtim të kapaciteteve. Hapi më urgjent është krijimi dhe futja në funksion i E-CERT. Këtij institucioni duhet t’i sigurohen burime, staf dhe aftësi teknike të mjaftueshme, së bashku me autoritetin për të monitoruar, zbuluar dhe reaguar ndaj kërcënimeve kibernetike në të gjithë sektorin e energjisë. Pa këtë bazë, të gjitha nismat e tjera rrezikojnë të minohen nga reagime të fragmentuara dhe veprime të vonuara.

Paralelisht, Kosova duhet t’i përafrojë kornizat ligjore me Direktivën NIS2 të BE. Duke vepruar kështu, do të sigurohej përputhshmëria me standardet evropiane, duke dërguar një sinjal të qartë gatishmërie për integrim. Miratimi i standardeve të sigurisë kibernetike specifike për sektorë, për operatorë të tillë si KEK, KOSTT dhe KESCO, është po aq i rëndësishëm. Këto standarde duhet t’i adresojnë dobësitë në sistemet SCADA, të zbatojnë auditime të rregullta dhe të detyrojnë përdorimin e protokolleve të sigurta të enkriptimit dhe vërtetimi për gjithë infrastrukturën digjitale.

Përgatitja e një fuqie punëtore të kualifikuar duhet të trajtohet si përparësi kombëtare. Kosova duhet t’i trajnojë specialistë në teknologjinë operative dhe sigurinë kibernetike, duke krijuar stimuj për ta mbajtur talentin brenda vendit. Bashkëpunimet me universitetet, programet profesionale dhe mbështetësit ndërkombëtarë mund të ndihmojnë në zhvillimin e kësaj ekspertize, por mbajtja e tyre brenda vendit kërkon kushte konkurruese dhe njohjen e sigurisë kibernetike si element qenësor i sigurisë kombëtare.

Transparenca dhe llogaridhënia janë gjithashtu qenësore. Operatorët duhet të jenë të detyruar ligjërisht të raportojnë incidentet kibernetike brenda afateve të rrepta kohore dhe të ofrojnë vlerësime teknike për ta forcuar qëndrueshmërinë kolektive. Fshehja e incidenteve u sjell dobi vetëm sulmuesve. Përfundimisht, Kosova duhet ta përqafojë bashkëpunimin përtej kufijve të saj. Angazhimi me ENISA, NATO dhe CSIRT rajonale do ta rriste ndarjen e inteligjencës dhe do të siguronte qasje në praktikat më të mira. Një forum i përhershëm qeveri-industri rreth sigurisë kibernetike të energjisë mund ta kapërcente më tej hendekun mes politikëbërësve dhe operatorëve, duke siguruar që përgjigjet ndaj kërcënimeve kibernetike të jenë të koordinuara dhe në kohën e duhur.

Infrastruktura kritike është bërë vija e parë e sigurisë kombëtare dhe çdo dobësi në sigurinë kibernetike tani shihet si kërcënim i drejtpërdrejtë për sigurinë dhe mirëqenien e qytetarëve. Incidenti në Zubin Potok ishte paralajmërim i qartë. Sistemi energjetik i Kosovës ndodhet në një udhëkryq qenësor. Kalimi drejt rrjeteve inteligjente, automatizimit dhe energjisë së ripërtëritshme ofron efikasitet dhe modernizim, por gjithashtu krijon hapësirë për dobësi të reja. Pa veprime domethënëse dhe të menjëhershme, Kosova rrezikon t’i përsërisë gabimet që janë vërejtur në vendet e tjera, të tilla si ndërprerjet e qëllimshme të rrjetit në Ukrainë dhe fikja e shërbimeve qeveritare në Shqipëri, shkaktuar nga ndërhyrjet kibernetike.

Për Kosovën, siguria kibernetike nuk mund të mbetet çështje e dorës së dytë. Duhet të jetë e rrënjosur në zemër të qeverisjes së energjisë, e përfshirë plotësisht në politika, planifikim dhe strategji operative. Koha për të vepruar është tani, sepse siguria e energjisë dhe siguria kombëtare janë të pandashme dhe duhet të trajtohen si të tilla.

Imazhi i ballinës: Atdhe Mulla / K2.0

Dëshironi të mbështetni gazetarinë tonë? Anëtarësohuni në “HIVE” ose konsideroni një donacion. Mëso si këtu.