The warned cyberattack on Tirana Municipality brings back security concerns

In November last year, experts from the National Cyber ​​Security Authority, AKSK, inspected the electronic systems of the Municipality of Tirana and found three weak points. Through an email, ASKS informed the municipality that three frameworks needed to be updated, but the warnings fell on deaf ears.

“Measures were not taken and the attack happened,” Igli Tafa, director of ASKS, told BIRN. “In the cybersecurity sector, measures are usually taken after you have scored a goal,” he added.

The Municipality of Tirana faced a cyberattack on June 20, almost three years after the country faced a wave of similar attacks that disabled the government's digital infrastructure and caused a massive information leak to the same group identified as "Homeland Justice" on Instagram, behind which Iranian hackers are suspected.

In a message, the group announced that it had hacked the Tirana Municipality website and disabled 55 services provided by the municipality, including those for children and tax payments. Along with videos of them deleting data files, a list of passwords such as 25Korrik2016 or Anakonda@123 was also published.

For cybersecurity experts, this element alone shows how frivolously data security has been treated by the Municipality of Tirana.

“They show a total lack of basic data protection practices,” said Besmir Semanaj, a cybersecurity expert, adding that the fact that passwords were repeated and stored in such a format demonstrated “complete failure” and a wake-up call to reform security practices in public administration.

Semanaj added that public institutions had not recovered from the cyberattacks of 2022, despite the damage caused and ongoing investments to increase cybersecurity.

"The problem is not just a lack of equipment or technology - it is deep and structural," Semanaj said, adding that a strategy to seriously address cybersecurity is missing.

Tirana Municipality did not respond to a request for comment from BIRN, but acting mayor Anuela Ristani said in a statement that the latest attack was highly sophisticated and one of 15 attacks orchestrated over the past six months.

"All data is intact and there is no loss of information," Ristani said, claiming that measures were being taken.

Cyber ​​attacks

AKSK head Igli Tafa also told BIRN that the attack on Tirana Municipality servers was much more sophisticated than the attacks in 2022. He said that this time the hackers had used a genuine (original) drive licensed from an American company.

Ky drive ishte përdorur sipas tij për të penetruar sistemin dhe ishte njohur nga Microsoft si genuin, duke i lejuar hyrjen. Pëmes aksesit, hakerat kanë ndërhyrë më pas në sistem dhe kanë bërë fikjen e tij. Sulmi rrëzoi mbi 50 shërbime të Bashkisë së Tiranës dhe nxorri jashtë funskionit serverat dhe mbi 2726 kompjutera.

Tafa tha gjithashtu se AKSK po ndihmonte Bashkinë në rikuperimin e shërbimeve dhe i konsideroi dëmet jo shumë të mëdha. Njëzetedy shërbime, përfshi atë të Tatimeve u kthyen në punë pas ndërhyrjes, ndërkohë që po punohet me pjesën tjetër të shërbimeve.

Sipas Tafës, numri i kompjuterëve që do të verifikohej ishte më i madh, por kjo do u lihej në dorë punonjësve të IT të Bashkisë.

Erion Demiri, inxhinier kibernetik tha se ajo që kishte ndodhur në Bashkinë e Tiranës ishte e ndryshme nga viti 2022, por ai nuk e konsideron sulmin shumë të sofistikuar. Ai tha se grupi që mori përsipër sulmin, kishte postuar dhe më pas fshirë informacion, që e bënin atë të dukej jo aq serioz.

“Bënë një gabim tjetër, postuan një foto me fjalëkalime që u lexonin dhe më pas e fshinë. Nuk janë gabime qe i bën një grup kaq i rrezikshëm,” vlerëson Demiri, i cili e sheh me dyshim edhe pasjen e një llogarie në Telegram. “Vetëm këta kanë”, tha ai duke iu referuar grupeve të ngjashme.

Demiri megjithatë tha se problemi këtë herë dukej i lokalizuar në bashkinë e Tiranës dhe sulmi nuk kishte prekur infrastrukturën kritike.

“Nuk janë infrastrukturat e rëndësishme dhe kritike. AKSK ka bërë përgjigjen dhe i ka ndihmuar, por nuk kanë qenë në kontrollin e tyre,” tha ai, duke sqaruar se në këtë rast ishte përgjegjës sektori IT në Bashkinë e Tiranës.

Investimet nuk mjaftojnë

E gjendur përballë hakerimit dhe rrjedhjes masive të të dhënave në vitin 2022, autoritetet në Shqipëri reaguan duke investuar miliona euro në sigurinë kibenetike. Institucionet publike, që klasifikohen me infrastrukturë kritike, kompanitë publike të energjetikës dhe bankat i rritën disa herë investimet në këtë fushë.

Tafa nga ASKS i tha BIRN se institucionet publike kanë investuar më shumë se 35 milionë dollarë, bankat i rritën investimet në 32 milionë dollarë dhe kompanitë e energjetikës kanë investuar rreth 10 milionë dollarë për sigurinë e tyre kibernetike.

Por sipas tij, investimet nuk e zgjidhin përfundimisht problemin.

“Ka pasur investime, por investimet në sigurinë kibernetike përmirësojnë mbrojtjen, por rreziku nuk bëhet asnjëherë zero,” tha ai, duke shtuar se investimet kishin funksionuar dhe në gjashtë muajt e parë të vitit ishin zprapsur 14 sulme në institucione të ndryshme.

Megjithatë, Tafa theksoi se jashtë asaj që shihej si infrastrukturë kritike shtetërore dhe bankave, kishte një mori institucionesh me dobësi në mbrojtje, të cilave u mungon buxheti apo kanë mungesë burimesh njerëzore. Ai tha se ky ishte një nga fokuset e AKSK-së, që përfshinte trajnimin e punonjësve, përgatitjen e studentëve dhe deri hapjen e një akademie për këtë fushë.

Semanaj, on the other hand, insists that the approach is not appropriate and the measures taken are not enough.

"What should really worry us is not just their [hackers'] persistence, but our inability to prevent and cope with them," he said, referring to the latest attack.

He said that while reactions were immediate and AKSK announced the creation of a task force and recovery efforts, this was a model that did not guarantee protection.

"But this is a familiar pattern - reacting only after the damage has been done," he criticized.

Semanaj says that the country lacks a clear and comprehensive strategy and that this requires that cybersecurity be treated with maximum seriousness.

“First, cybersecurity in Albania continues to be seen as a technical issue that falls to a small office to deal with after the incident. In fact, it should be an integral part of any decision-making at the state level,” Semanaj proposed.

According to him, in the absence of a clear and implemented strategy, "any effort to improve the situation remains fragmented and ineffective."/BIRN