Epoch Times România
Acasă    
Interne    
Politic

Cazul hackerilor care au furat datele cetăţenilor de la Primăria Sector 5. Cine răspunde şi ce pot face cetăţenii afectaţi?

Loredana Diacu
12.11.2024

video

Mărturii ale paraşutiştilor care au apărat Televiziunea Română în decembrie 1989
"Iliescu cu o colivă în mână cânta cu preoţii 'Veşnica Pomenire', rudele eroilor morţi se uitau la ei de pe margine"
"În ce ţară trăim?!" - La 35 de la Revoluţie "instituţiile judiciare ale statului sunt într-un colaps"
35 de ani de la Revoluţie. "Nici în ziua de azi nu ştiu cine l-a împuşcat pe tata"
35 de ani de la Revoluţie: "Eroii n-au murit pentru o justiţie servilă, politicieni corupţi şi un stat eşuat. RUŞINE"

Mai multe articole

(Captură Foto)
Loredana Diacu
12.11.2024
Share

Hackerii au furat baza de date a Primăriei Sectorului 5, iar ulterior au pus informaţiile la vânzare pe Dark Web. Informaţiile, care se află acum la vânzare, ar putea fi făcute publice în următoarele zile, conform expertului în securitate cibernetică, semnala recent Buletin de Bucureşti.

Odată ce datele devin publice, ar putea exista consecinţe extrem de neplăcute pentru cetăţeni, inclusiv riscul de furt de identitate, fraude bancare, contractarea de credite de la IFN-uri etc.

Ce riscă Primăria Sectorului 5 pentru faptul că nu a asigurat o protecţie suficientă a datelor, astfel încât acestea să nu ajungă pe mâna unor terţi care le pot folosi în scopuri oneroase? Mai nimic. Ce pot face cetăţenii ale căror date au fost furate, dacă, din această cauză, vor suferi prejudicii? Din nou, mai nimic, a explicat pentru Epoch Times expertul Bogdan Manolea de la Asociaţia pentru Tehnologie şi Internet (APTI). Teoretic, cetăţenii pot da în judecată primăria, însă şansele de câştig sunt foarte mici.

Mai neplăcut este faptul că acest incident nu este unul izolat şi se poate repeta...

Amintim că, potrivit Buletin de Bucureşti, hackerii care au furat baza de date a Primăriei Sectorului 5 şi au pus informaţiile la vânzare pe Dark Web au fost luaţi „peste picior” de angajaţii instituţiei în timpul „negocierilor”. Acest lucru i-ar putea determina pe hackeri să fie mai dornici să facă publice datele, din dorinţa de răzbunare. Cei care vor suferi vor fi însă tot cetăţenii, în eventualitatea în care acest scenariu se va produce.

Redăm principalele declaraţii ale specialistului:

Reporter: Cât de mare este riscul să vedem că povestea cu furtul datelor se întâmplă şi la alte primării de sector sau instituţii publice din România?

Manolea: Mi-e foarte greu să dau o imagine generală cu privire la toată administraţia publică; ar trebui întrebat eventual la DNSC (Directoratul Naţional de Securitate Cibernetică). Dar ceea ce pot să văd şi am văzut destul de recent este că apar din ce în ce mai multe indicii că aceste atacuri au afectat deja autorităţi publice. Este clar că există o problemă legată de felul în care sunt securizate sistemele informatice ale administraţiei publice, dar nu pot să spun cu certitudine dacă e o problemă generalizată sau dacă afectează doar anumite instituţii, la nivel local sau...

Dar e clar că în toate cazurile care apar – la Camera Deputaţilor, la partide, la primării, la Direcţia de Sănătate Publică – sunt foarte multe instituţii care au probleme, dovada fiind succesul acestor atacuri.

Reporter: Există soluţii? Pot fi instituţiile care gestionează datele cetăţenilor obligate să asigure nişte standarde de securitate, sau fiecare instituţie decide, în funcţie de buget, pricepere etc., ce măsuri de siguranţă a datelor consideră de cuviinţă? Vorbim despre vulnerabilizarea cetăţenilor… Cum se gestionează problema aceasta?

Manolea: Da, pot fi obligate, iar DNSC-ul este autoritatea competentă în domeniul securităţii informatice, responsabilă să impună instituţiilor care intră în categoriile de risc nivelul de securitate necesar.

Problema este că, chiar dacă DNSC-ul impune un anumit standard – şi aici discutăm despre legislaţie, căci există o legislaţie mai veche, NIS 1, dar şi o nouă lege pentru implementarea Directivei NIS 2, care extinde spectrul de instituţii critice sau importante, publice şi private –, bugetul pentru IT şi securitate este gestionat de fiecare instituţie în parte. Depinde de instituţia respectivă cât doreşte să cheltuiască pentru a asigura securitatea datelor şi a sistemelor informatice.

Totul depinde de cât înţelege fiecare instituţie şi de cum îşi poate aloca resursele, pentru că vorbim mult despre digitalizare, dar digitalizarea presupune că informaţiile respective sunt stocate într-un mediu informatic care trebuie securizat împotriva accesului neautorizat. Aşadar, sunt necesare acţiuni continue. Nu vorbim doar de instalarea unui software, fie antivirus, fie soluţie de securitate informatică, crezând că problema e astfel rezolvată.

Nu funcţionează aşa. Soluţia presupune existenţa unor procese bine stabilite, a unui sistem de guvernanţă, identificarea potenţialelor surse de atac, pregătirea pentru a contracara diverse tipuri de atacuri şi instruirea personalului care lucrează cu sistemele informatice. Practic, întreaga echipă trebuie să fie informată, pentru că un singur click pe un link de phishing poate compromite întregul sistem. Deci, discutăm despre un set complex de măsuri în domeniul securităţii cibernetice, şi nu există o soluţie simplă, de tipul „achiziţionează produsul X sau Y

Reporter: Deci există legislaţie, DNSC-ul poate impune nişte standarde... Dar o instituţie care nu respectă acele standarde, ce păţeşte?

Manolea: Riscă pe două zone. Pe de o parte, riscă pe partea de securitate cibernetică, şi aici nu ştiu legea atât de bine ca să spun cât riscă din punct de vedere al sancţiunii. Riscă şi pe partea de date cu caracter personal, care sunt două domenii distincte, pentru că pe date cu caracter personal este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, dataprotection.ro, care este competentă. În mod normal, Primăria Sectorului 5 ar fi trebuit să notifice în termen de 72 de ore autoritatea cu privire la faptul că s-au pierdut date cu caracter personal, iar ANSPDCP-ul, separat de DNSC, poate face o investigaţie la Primăria Sectorului 5, cel puţin pe partea de date cu caracter personal. Din păcate, sancţiunea maximă pe care o poate primi o autoritate publică la prima încălcare a legii este un avertisment şi un plan de remediere.

Adică, practic, îi dă uşor peste mână şi îi spune: „Să nu mai faci asta.” Abia dacă se mai întâmplă încă o dată, putem vorbi de o amendă pecuniară. Asta e implementarea României a GDPR-ului...

Noi, din partea APTI, am criticat această abordare, am spus că nu e corect ce se întâmplă, dar nu doar România este în această situaţie; mai sunt şi alte ţări în Europa. Problema este că, în cazul instituţiilor publice, dacă dai o amendă, banii se duc dintr-un buzunar al statului în alt buzunar al statului. Deci, nu e o sancţiune extrem de eficientă pentru zona asta.

Pe de altă parte, nici să nu faci nimic nu e ok. Şi atunci, din punctul nostru de vedere, e mai bine să dai o amendă, chiar dacă merge dintr-un buget al statului în altul, dar măcar pleacă din bugetul celui care a creat problema, care a făcut greşeala, şi măcar dă un semnal societăţii că nu e ok ce se întâmplă şi că, dacă se întâmplă, trebuie să plăteşti.

Reporter: Un aspect surprinzător al poveştii de la Sectorul 5 este că hackerii aveau şi înregistrări ale convorbirilor telefonice dintre angajaţii primăriei. Cum au ajuns să aibă aşa ceva? Există riscul ca noi să vorbim acum la telefon şi convorbirea noastră să ajungă la nişte hackeri?

Manolea: Trebuie precizat că multe dintre informaţiile care apar în legătură cu datele scurse nu pot fi confirmate. În momentul în care îţi vine cineva, un hacker sau aşa-zis hacker, şi spune: „Eu am datele X şi am şi datele Y şi am şi datele Z” şi nu oferă nici măcar un minim de probă, e greu să ştii. De exemplu, el poate spune că are 30.000 de ore de conversaţii şi, de fapt, are o înregistrare de jumătate de minut. Publică acel minut şi susţine că are 30.000 de ore de conversaţii. N-ai cum să verifici asta. Deci, toate informaţiile trebuie luate cu un beneficiu de inventar. Discutăm, dar s-ar putea să nu fie adevărate.

Dacă într-adevăr ar fi avut conversaţii audio ale angajaţilor, înseamnă că cineva din acel sector a înregistrat convorbiri telefonice. Şi atunci trebuie văzut de ce le-a făcut, care este scopul înregistrării audio şi temeiul legal. Dacă este vorba de o discuţie între doi angajaţi sau între un superior şi un angajat, toate trebuie să aibă un temei legal de prelucrare.

Reporter: Dar nu există posibilitatea ca doi angajaţi să fi vorbit pur şi simplu şi hackerii să fi înregistrat convorbirea?

Manolea: Există tehnologii pentru asta, dar sunt destul de complicate şi, în mod normal, legal, s-ar putea face doar cu mandat de la judecător. Pe de altă parte, oricare dintre noi poate înregistra convorbirea. Adică atât tu, cât şi eu am putea face asta. În majoritatea cazurilor când vorbim de înregistrări audio, asta se întâmplă. Şi există şi posibilitatea ca angajaţi ai Sectorului 5 să-şi fi înregistrat convorbirile pentru a se proteja, dar dacă au făcut-o, probabil că au făcut-o ilegal, adică fără informarea celeilalte persoane şi fără un scop declarat.

Reporter: Cum aţi văzut modul în care negociatorii PS5 au discutat cu hackerii? Buletin de Bucureşti scria că negociatorii de acolo i-au luat peste picior pe hackeri. Expertul consultat de ei spunea că, în condiţiile date, hackerii ar fi cu atât mai motivaţi să facă publice datele furate, pentru a se răzbuna că au fost trataţi în bătaie de joc. Dar, dacă asta se întâmplă, suferă cetăţeanul, nu angajatul care i-a luat peste picior.

Manolea: Trebuie, iarăşi, să luăm informaţia cu beneficiu de inventar. Nu avem nicio garanţie că acea conversaţie a avut loc sau că persoana care a avut acea conversaţie era angajat al Sectorului 5. În alte cazuri mai ai nişte indicii, nişte probe din „Data Breach” pe care poţi să le verifici, dar aici nu prea ai cum.

Sunt două aspecte aici. Pe de-o parte, este corect să nu negociezi şi să nu plăteşti pentru date furate, pentru că nu ai nicio garanţie că vor fi decriptate şi, practic, finanţezi criminalitatea informatică. Pe de altă parte, nu ar trebui să discuţi. Dacă a existat vreo comunicare, maximul ce poate fi spus este: „Ne pare rău, nu vă plătim, puteţi să faceţi ce vreţi, asta este, la revedere.” Altceva nu ai ce să discuţi.

Reporter: Eu, cetăţean al Sectorului 5, dacă mi-au fost furate datele, pot fi făcute publice, se ia un credit pe numele meu sau datele mele sunt folosite în varii scopuri. Eu, cetăţean, ce pot face? Pot să dau Primăria Sectorului 5 în judecată pentru că mi-a cauzat un prejudiciu?

Manolea: Teoretic da, dar trebuie să dovedeşti prejudiciul. Ceea ce nu e uşor. Teoretic, pe lege, poţi, pe GDPR, poţi să faci asta, doar că trebuie să-l dovedeşti. Dacă datele tale au fost folosite ilegal şi ai suferit un prejudiciu, şi poţi demonstra că datele tale au fost obţinute de la Primăria Sectorului, da, poţi. Dar e foarte dificil. Au fost cazuri în care s-a putut demonstra, nu neapărat pe „Data Breach-uri,” dar au fost cazuri. De exemplu, acum câţiva ani, o primărie de sector a publicat o listă cu persoane cu dizabilităţi care primeau cartele de metrou gratuite, iar o persoană a aflat că era infectată cu HIV şi a suferit bullying. A dat primăria în judecată şi a câştigat câteva zeci de mii de euro. Era un caz excepţional, cu efecte directe.

Aici este mult mai dificil.

Şi mult mai problematic pentru persoanele vizate, ca subiecte ale atacului, este că nu prea ai ce să faci. Adică, hai să zicem, anumite date le poţi schimba, inclusiv buletinul, dar CNP-ul rămâne acelaşi, adică CNP-ul tău va fi acelaşi, pentru că nu poţi să-l schimbi, şi atunci există un risc, nu?

Reporter: Credeţi că este cazul de schimbări legislative ca să se impună nişte reguli mai stricte pentru instituţii şi companii strategice?

Manolea: Oricum, acum este în discuţie o nouă legislaţie, care lărgeşte aria de reglementare şi intră mult mai în detaliu, dar acestea sunt doar detalii din punctul meu de vedere. Atâta vreme cât nu vorbim despre implementarea corectă a legislaţiei, poţi avea cea mai bună legislaţie posibilă. Dar trebuie să ai şi instrumentele prin care legea să fie aplicată. Degeaba discutăm despre legislaţie dacă nu faci nimic în privinţa implementării sau faci foarte puţin, iar riscul pentru cei care nu o implementează este mic.

România are nevoie de o presă neaservită politic şi integră, care să-i asigure viitorul. Vă invităm să ne sprijiniţi prin donaţii: folosind PayPal
sau prin transfer bancar direct în contul (lei) RO56 BTRL RONC RT03 0493 9101 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale
sau prin transfer bancar direct în contul (euro) RO06 BTRL EURC RT03 0493 9101, SWIFT CODE BTRLRO22 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale
O presă independentă nu poate exista fără sprijinul cititorilor
Marius  Bodo
"Era îmbrăcat într-un puloveraş albastru cu steluţe bleu" - Carnagiul copiilor de la Revoluţie. Mărturii cutremurătoare
Nicoleta Giurcanu
"Au adus câinele şi l-au asmuţit să ne sfâşie! Câinele nu ne-a muşcat, i-a fost milă. Lor nu!" - Mărturii de la Revoluţie
Un cercetător lucrează în laborator (PHILIPPE HUGUEN / AFP / Getty Images)
Mostre de virusuri mortale au dispărut dintr-un laborator din Australia, într-o "gravă încălcare a biosecurităţii"
Sediul central al ONU, New York (Spencer Platt/Getty Images)
"Pactul pentru viitor" al ONU stârneşte îngrijorări privind sprijinul puternic din partea Partidului Comunist Chinez
Robot (Shutterstock)
Profeţii tehnologiei - Sam Altman, CEO-ul OpenAI anunţă „Era inteligenţei”
Garda de Coastă italiană, căutând de supravieţuitori după scufundarea iahtului magnatului Mike Lynch (Getty Images)
Epava iahtului magnatului Mike Lynch, sub pază strictă. Două hard disk-uri aflate în adâncuri, ţinta mai multor guverne
Serghei Lavrov, Vladimir Putin - arhivă (POOL/AFP via Getty Images)
Kremlinul cheltuie sume uriaşe în influenţarea alegerilor din R. Moldova: Finanţează ilegal zeci de candidaţi şi partide, mituiesc alegători [expert]
Sediul central al Organizaţiei Internaţionale a Comerţului - Geneva, Elveţia. (Robert Hradil/Getty Images)
Despre viitoarea schimbare a cadrului comercial mondial
Matrix  
Intrăm în etapa de cenzură totală
O imagine la microscopul electronic arată SARS-CoV-2 (obiecte rotunde aurii), care provoacă COVID-19, ieşind din celulele cultivate. (NIAID)
Cercetătorii de la UCSF identifică principalul motor din spatele COVID şi Long COVID şi oferă un potenţial tratament
Matrix  
Experimentul brazilian - Amenda de 9.000 USD pentru accesarea X ridică un "zid al cenzurii" între cetăţeni şi informaţiile nereglementate
Tim Walz (Andrew Harnik/Getty Images)
Pentagonul tace mâlc cu privire la călătoriile frecvente ale lui Tim Walz în China