Sulmi i paralajmëruar kibernetik ndaj Bashkisë Tiranë rikthen shqetësimet për sigurinë

Në nëntor të vitit të kaluar, ekspertët e Autoritetit Kombëtar për Sigurinë Kibernetike, AKSK, inspektuan sistemet elektronike të Bashkisë së Tiranës dhe gjetën tre pika të dobëta. Përmes një emaili, ASKS i bëri me dije bashkisë se tre framework duheshin përditësuar, por paralajmërimet ranë në vesh të shurdhër.

“Masat nuk u morën dhe ndodhi sulmi,” i tha BIRN Igli Tafa, drejtor i ASKS-së. “Në sektorin e sigurisë kibernetike zakonisht masat merren pasi e ke ngrënë golin,” shtoi ai.

Bashkia e Tiranës u përball me një sulm kibernetik më 20 qershor, thuajse tre vjet pasi vendi u përball me një valë sulmesh të ngjashme që nxorrën jashtë funksionit infrastrukturën digjitale qeveritare dhe shkaktuan rrjedhje masive informacioni ndaj i njëjti grup i identifikuar si “Homeland Justice” në Instagram, pas së cilit dyshohet se fshihen hakera iranianë.

Përmes një mesazhi, grupi njoftoi se kishte hakeruar faqen e Bashkisë së Tiranës dhe nxorri jashtë funksionit 55 shërbime që ofroheshin nga bashkia, përfshi ato për fëmijë apo pagesat e taksave. Bashkë me videot, ku ata fshijnë dosje me të dhëna, u publikua edhe një listë me fjalëkalime të tilla si 25Korrik2016 apo Anakonda@123.

Për ekspertët e sigurisë kibernetike, vetëm ky element tregon se sa joseriozisht është trajtuar siguria e të dhënave nga Bashkia e Tiranës.

“Tregojnë mungesë totale të praktikave bazë për mbrojtjen e të dhënave,” tha Besmir Semanaj, një ekspert i sigurisë kibernetike, ndërsa shtoi se fakti që fjalëkalimet përsëriteshin dhe që ishin ruajtur në një format të tillë, dëshmonte “dështim të plotë” dhe një këmbanë alarmi për të reformuar praktikat e sigurisë në administratë publike.

Semanaj shtoi institucionet publike nuk kishin zënë mend nga sulmet kibernetike të vitit 2022, pavarësisht dëmit që u shkaktua dhe investimeve në vazhdimësi për rritjen e sigurisë kibernetike.

“Problemi nuk qëndron vetëm te mungesa e pajisjeve apo e teknologjisë – ai është i thellë dhe strukturor,” tha Semanaj duke shtuar se mungon një strategji për ta trajtuar seriozisht sigurinë kibernetike.

Bashkia e Tiranës nuk iu përgjigj një kërkese për koment të BIRN, por kryetarja në detyrë, Anuela Ristani tha përmes një deklarate se sulmi i fundit ishte shumë i sofistikuar dhe një ndër 15 sulmet e diktuara gjatë gjashtë muajve të fundit.

“Të gjitha të dhënat janë të paprekura dhe nuk ka humbje informacioni,” tha Ristani, duke pretenduar se po merreshin masa.

Sulmet kibernetike

Edhe drejtuesi i AKSK, Igli Tafa i tha BIRN se sulmi ndaj serverëve të Bashkisë së Tiranës kishte qenë mjaft më i sofistikuar se sa sulmet e vitit 2022. Ai tha se hakerat kishin përdorur këtë herë një drive genuin (origjinal) me licensë nga një kompani amerikane.

Ky drive ishte përdorur sipas tij për të penetruar sistemin dhe ishte njohur nga Microsoft si genuin, duke i lejuar hyrjen. Pëmes aksesit, hakerat kanë ndërhyrë më pas në sistem dhe kanë bërë fikjen e tij. Sulmi rrëzoi mbi 50 shërbime të Bashkisë së Tiranës dhe nxorri jashtë funskionit serverat dhe mbi 2726 kompjutera.

Tafa tha gjithashtu se AKSK po ndihmonte Bashkinë në rikuperimin e shërbimeve dhe i konsideroi dëmet jo shumë të mëdha. Njëzetedy shërbime, përfshi atë të Tatimeve u kthyen në punë pas ndërhyrjes, ndërkohë që po punohet me pjesën tjetër të shërbimeve.

Sipas Tafës, numri i kompjuterëve që do të verifikohej ishte më i madh, por kjo do u lihej në dorë punonjësve të IT të Bashkisë.

Erion Demiri, inxhinier kibernetik tha se ajo që kishte ndodhur në Bashkinë e Tiranës ishte e ndryshme nga viti 2022, por ai nuk e konsideron sulmin shumë të sofistikuar. Ai tha se grupi që mori përsipër sulmin, kishte postuar dhe më pas fshirë informacion, që e bënin atë të dukej jo aq serioz.

“Bënë një gabim tjetër, postuan një foto me fjalëkalime që u lexonin dhe më pas e fshinë. Nuk janë gabime qe i bën një grup kaq i rrezikshëm,” vlerëson Demiri, i cili e sheh me dyshim edhe pasjen e një llogarie në Telegram. “Vetëm këta kanë”, tha ai duke iu referuar grupeve të ngjashme.

Demiri megjithatë tha se problemi këtë herë dukej i lokalizuar në bashkinë e Tiranës dhe sulmi nuk kishte prekur infrastrukturën kritike.

“Nuk janë infrastrukturat e rëndësishme dhe kritike. AKSK ka bërë përgjigjen dhe i ka ndihmuar, por nuk kanë qenë në kontrollin e tyre,” tha ai, duke sqaruar se në këtë rast ishte përgjegjës sektori IT në Bashkinë e Tiranës.

Investimet nuk mjaftojnë

E gjendur përballë hakerimit dhe rrjedhjes masive të të dhënave në vitin 2022, autoritetet në Shqipëri reaguan duke investuar miliona euro në sigurinë kibenetike. Institucionet publike, që klasifikohen me infrastrukturë kritike, kompanitë publike të energjetikës dhe bankat i rritën disa herë investimet në këtë fushë.

Tafa nga ASKS i tha BIRN se institucionet publike kanë investuar më shumë se 35 milionë dollarë, bankat i rritën investimet në 32 milionë dollarë dhe kompanitë e energjetikës kanë investuar rreth 10 milionë dollarë për sigurinë e tyre kibernetike.

Por sipas tij, investimet nuk e zgjidhin përfundimisht problemin.

“Ka pasur investime, por investimet në sigurinë kibernetike përmirësojnë mbrojtjen, por rreziku nuk bëhet asnjëherë zero,” tha ai, duke shtuar se investimet kishin funksionuar dhe në gjashtë muajt e parë të vitit ishin zprapsur 14 sulme në institucione të ndryshme.

Megjithatë, Tafa theksoi se jashtë asaj që shihej si infrastrukturë kritike shtetërore dhe bankave, kishte një mori institucionesh me dobësi në mbrojtje, të cilave u mungon buxheti apo kanë mungesë burimesh njerëzore. Ai tha se ky ishte një nga fokuset e AKSK-së, që përfshinte trajnimin e punonjësve, përgatitjen e studentëve dhe deri hapjen e një akademie për këtë fushë.

Semanaj nga ana tjetër këmbëngul se qasja nuk është e duhura dhe masat e marra nuk mjaftojnë.

“Ajo që duhet të na shqetësojë realisht nuk është vetëm këmbëngulja e tyre [hackerave], por paaftësia jonë për t’i parandaluar dhe përballuar,” tha ai, duke iu referuar sulmit të fundit.

Ai tha se ndërsa reagimet ishin të menjëhershme dhe AKSK njoftoi krijimin e një grupi pune dhe përpjekje për rikuperim, ky ishte një model që nuk garantonte mbrojtje.

“Por ky është një model tashmë i njohur – të reagosh vetëm pasi të jetë kryer dëmi,” kritikoi ai.

Semanaj thotë se vendit i mungon një strategji e qartë dhe gjithëpërfshirëse dhe se kjo kërkon që siguria kibernetike të trajtohet me seriozitet maksimal.

“Së pari, siguria kibernetike në Shqipëri vazhdon të shihet si një çështje teknike që i takon një zyre të vogël të merret me të pas incidentit. Në fakt, ajo duhet të jetë pjesë integrale e çdo vendimmarrjeje në nivel shtetëror,” propozoi Semanaj.

Sipas tij, në mungesë të një strategjie të qartë dhe të zbatuar në praktikë, “çdo përpjekje për të përmirësuar situatën mbetet e fragmentuar dhe joefektive”./BIRN