Hackerii scanează TOT spaţiul cibernetic şi atacă unde găsesc vulnerabilităţi. Cum ne protejează statul? / La ce ne putem aştepta la alegeri?

Recent, Primăria Sectorului 5 a fost ţinta unui atac al hackerilor care au reuşit să pună mâna pe datele personale a, se pare, circa 200.000 de cetăţeni. O parte dintre datele furate au fost făcute publice de hackeri. Cum acest incident nu este izolat, ba dimpotrivă, vedem tot mai des instituţii ale statului atacate de hackeri, redacţia noastră s-a adresat Directoratului Naţional pentru Securitate Cibernetică (DNSC), instituţia care veghează asupra spaţiului cibernetic civil.

Într-un amplu dialog cu Stelian Cristea, adjunct al directorului DNSC, am încercat să aflăm care sunt "tendinţele" în materie de atacuri — iar DNSC spune că ne putem aştepta la o înmulţire a acestora —, ce putem face noi, ca cetăţeni, dacă datele noastre au fost furate, mai ales, cum se asigură securitatea spaţiului cibernetic.

În contextul incidentului de la Primăria Sectorului 5, Stelian Cristea a reamintit că statul român pregăteşte o nouă legislaţie în domeniu, mai exact o Ordonanţă de Urgenţă (OUG) care va transpune Directiva europeană NIS2. Aceasta va aduce modificări substanţiale faţă de Directiva NIS 1 şi Legea nr. 362/2018, care reglementează în prezent securitatea cibernetică, şi are ca scop îmbunătăţirea semnificativă a securităţii cibernetice la nivel naţional şi european.

Concret, NIS2 se va aplica unui număr mai mare de entităţi, inclusiv companiilor medii şi mari (venituri de peste 10 milioane de euro sau 50 de angajaţi). Acestea vor trebui să implementeze măsuri tehnice şi organizatorice pentru a gestiona riscurile cibernetice, cum ar fi criptarea datelor, autentificarea multi-factor, sisteme de monitorizare şi răspuns rapid la incidente etc.

Noua listă a sectoarelor de activitate este mult extinsă faţă de cea din prezent, cuprinzând: Energie, Transport, Bancar, Infrastructuri ale pieţei financiare, Sănătate, Furnizarea şi distribuirea de apă potabilă, Infrastructură digitală, Ape uzate, Gestionarea serviciilor TIC, Administraţie publică, Spaţiu, Servicii poştale şi de curierat, Gestionarea deşeurilor, Fabricarea, producţia şi distribuţia de substanţe chimice, Producţia, prelucrarea şi distribuţia de alimente, Fabricare, Furnizori digitali şi Cercetare.

Cum costurile atacurilor cibernetice sunt în prezent tot mai mari — şi aici ne referim nu doar la costurile suportate de entităţile atacate de hackeri, ci şi la pagubele suferite de cetăţeni, aceştia fiind victimele finale ale atacurilor —, noua legislaţie va veni şi cu amenzi substanţiale pentru companiile/entităţile care nu se conformează. Acestea vor ajunge până la 7.000.000 de euro în echivalent în lei sau cel mult 1,4% din cifra de afaceri netă pentru entităţile importante, şi până la 10.000.000 de euro în echivalent în lei sau cel mult 2% din cifra de afaceri netă pentru entităţile esenţiale (cele din administraţia publică centrală, energie, apă, gaze, transport public etc.). Sancţiunile includ şi interdicţii temporare pentru managementul companiilor care nu respectă cerinţele. Proiectul de OUG poate fi consultat aici.

Până în prezent, DNSC a mers, în principal, pe asistenţă şi consiliere şi nu pe amenzi, a punctat Stelian Cristea. Odată cu NIS2 şi cu complicarea contextului geopolitic, vor veni şi amenzile, iar acestea vor fi mari.

Mai merită menţionat că, deşi DNSC veghează asupra a tot ceea ce înseamnă spaţiu cibernetic civil (practic tot ce nu intră sub sfera MAI şi MApN), instituţia are un deficit de personal de circa 80%.

Vă invităm să urmăriţi mai jos interviul acordat de Stelian Cristea.

Reporter: Recentul incident de la Primăria Sector 5, unde hackerii au furat datele cetăţenilor, a scos din nou în evidenţă vulnerabilitatea bazelor de date cu informaţii personale ale oamenilor. Care sunt principalele vulnerabilităţi identificate în sistemele informatice ale Primăriei Sectorului 5 care au permis acest atac cibernetic? Sunt ele comune şi altor instituţii?

Stelian Cristea: Bazele de date au vulnerabilităţile lor tehnice. Când vorbim de produsele utilizate pentru a lucra cu multe date, în special în conceptul de Big Data, accentul a fost pus mai degrabă pe utilitatea bazelor de date şi nu neapărat pe protecţia lor. Protecţia a fost o componentă, dar nu i s-a acordat suficientă atenţie în faza de proiectare, fiind prioritizată utilitatea în locul securităţii.

Astfel, bazele de date sunt expuse problemelor de natură tehnică, iar hackerii profită de aceste puncte slabe pentru a ajunge la informaţiile personale. Totuşi, partea tehnică nu este singura exploatată, fiind implicată şi operarea bazelor de date, care depinde semnificativ de intervenţia operatorilor.

Vorbind despre conturile utilizate pentru accesarea bazelor de date, vulnerabilităţile se împart în două categorii: cele tehnice, legate de software-ul specific bazelor de date, şi cele care ţin de comportamentul uman în lucrul cu aceste baze.

Nu putem afirma că, odată luate măsuri tehnice, am eliminat toate vulnerabilităţile. Acestea pot fi descoperite ulterior, pe măsură ce bazele de date sunt utilizate şi populate cu informaţii. De exemplu, chiar dacă un producător declară că a eliminat toate vulnerabilităţile cunoscute, nu avem garanţia că mâine nu vor apărea altele, din punct de vedere tehnic.

Responsabilitatea revine producătorilor de baze de date, care trebuie să răspundă rapid la noile vulnerabilităţi descoperite. Toate companiile care furnizează astfel de soluţii au această obligaţie de a interveni prompt.

Pe de altă parte, autorităţile sau organizaţiile care gestionează baze de date trebuie să fie foarte riguroase în actualizarea securităţii acestor sisteme. Dacă nu există un plan regulat de actualizare, breşele de securitate inevitabil vor apărea şi vor fi exploatate de atacatori.

În ceea ce priveşte utilizatorii cu drepturi de acces la baza de date, aceştia trebuie să adopte comportamente sigure. De exemplu, utilizarea unor conturi cu nume greu de ghicit şi a unui sistem de autentificare multi-factor reprezintă măsuri esenţiale. Un exemplu este dubla autentificare, prin care, după introducerea parolei, utilizatorul primeşte un cod generat pe telefonul său personal. Acest sistem combinat asigură securitatea atât din punct de vedere tehnologic, cât şi comportamental.

Reporter: Revenind la Primăria Sector 5, unde a fost eroarea? A fost pe partea tehnică sau pe partea de utilizare?

Stelian Cristea: A fost, probabil, un mix. A fost ceva combinat. Pe de o parte, au fost identificate vulnerabilităţile echipamentelor care erau expuse pe internet, iar pe de altă parte, a fost exploatat modul de acces la reţeaua Primăriei Sectorului 5.

Reporter: Neglijenţă umană, practic?

Stelian Cristea: Deci, a fost întâi partea tehnologică: identificarea vulnerabilităţilor de către atacatori şi exploatarea ulterioară a acestor vulnerabilităţi, folosind conturi de acces în reţea.

Reporter: Există posibilitatea ca cei de la Primăria Sector 5 să fie sancţionaţi de către dumneavoastră?

Stelian Cristea: Rolul Directoratului este de autoritate naţională asupra spaţiului cibernetic civil, într-adevăr. Acum, Directiva Europeană NIS 2 este în lucru. Speranţa este ca, până la sfârşitul anului, transpunerea în legislaţia naţională să fie finalizată, iar actul normativ pentru implementarea NIS 2 să fie emis. Această directivă europeană vine exact pentru a sprijini organizaţiile şi autorităţile naţionale în ridicarea nivelului de protecţie a reţelelor proprii, în special a celor care furnizează servicii esenţiale populaţiei.

Deci, cumva, este o măsură dificil de implementat, având în vedere spectrul larg de măsuri necesare pentru a ajunge la nivelul de securitate cibernetică impus de NIS 2. Totuşi, este în sprijinul tuturor, atât al organizaţiilor, cât şi al cetăţenilor. Iar DNSC joacă un rol important în această ecuaţie. Transpunerea NIS 2 în legislaţia naţională este realizată de către DNSC, dar cu consultări apropiate cu cei cărora li se va aplica. Aceste consultări au avut loc în ultimul an şi nu se vor opri aici. DNSC va continua să sprijine organizaţiile printr-un pachet de activităţi, workshopuri şi întâlniri pentru a-i consilia pe cei care trebuie să implementeze măsurile.

Reporter: Dar rolul dumneavoastră se rezumă la consiliere? Cazul de la Primăria Sector 5 nu este izolat. Au fost probleme şi la Parlament, la partide politice care au baze de date ce conţin semnături, dar şi la spitale – 26 de spitale atacate. Sunt o mulţime de instituţii, ca să nu mai vorbim de companiile care oferă servicii de utilitate publică şi care intră sub umbrela dumneavoastră. Ele ar trebui să respecte nişte standarde de securitate. Însă fiecare instituţie are propriul buget şi management. Dumneavoastră îi consiliaţi. Dar ce se întâmplă când o instituţie nu se conformează şi nu implementează standardele de securitate necesare? Pentru că, aşa cum spuneaţi, nu e suficient să instalezi un antivirus şi să consideri că datele sunt securizate. Este vorba despre resursa umană instruită corespunzător, despre oameni care fac actualizări, care monitorizează...

Ce păţesc instituţiile care nu iau măsurile necesare pentru a asigura securitatea datelor? Eu, cetăţean al Sectorului 5 sau client al unei companii de gaze, să zicem, îmi văd datele personale făcute publice. Cineva ia un credit în numele meu, iar eu trag ani de zile pentru a rezolva situaţia. Cine şi cum plăteşte pentru ce s-a greşit?

Stelian Cristea: Până acum, nu au fost aplicate sancţiuni financiare, CERT-RO/DNSC adoptând o poziţie mai degrabă de parteneriat în acest domeniu relativ nou. Lucrurile se vor schimba odată cu aprobarea NIS 2. Atunci va veni şi partea de penalităţi, aplicate în cazurile în care standardele nu sunt respectate.

Odată cu implementarea NIS 2, regulile vor deveni mult mai clare. Organizaţiile vor cunoaşte standardele necesare şi vor putea decide dacă se aliniază acestora, transpunând în practică cerinţele directivei, sau încearcă să le evite, vulnerabilizând astfel întregul sistem. Cred că organizaţiile se vor conforma, mai ales că vor fi introduse penalităţi financiare în cazul neimplementării măsurilor prevăzute de lege.

Directiva NIS este gândită în primul rând pentru furnizorii de servicii esenţiale şi pentru cei din lanţul de aprovizionare al acestora. Dacă un furnizor de servicii esenţiale depinde de un alt furnizor pentru a-şi îndeplini obligaţiile, şi acea organizaţie terţă intră sub incidenţa măsurilor NIS. Este, practic, o protecţie completă, de la sursa furnizării serviciului până la livrarea acestuia. Asta pentru că securitatea cibernetică este la fel de puternică precum veriga ei cea mai slabă.

Reporter: Dar acum, în baza NIS 1, cum funcţionează?

Stelian Cristea: În baza NIS 1 s-au făcut paşi în urmă cu câţiva ani. Conceptul de implementare a NIS 1 a fost: "Suntem la acest nivel de securitate cibernetică la ora actuală, la nivel naţional. Haideţi să-l ridicăm împreună." Am mers pe conştientizare, consiliere, intervenţie proactivă. Acesta a fost setul de măsuri pe care le-am propus pentru implementare.

Reporter: Ok, vine NIS 2. Deci veţi putea consilia instituţiile şi companiile strategice, veţi veni cu standarde, veţi putea da şi amenzi. Dar aveţi pârghiile necesare pentru a urmări conformarea instituţiilor la standarde? Să verificaţi dacă au implementat ce aveau de implementat?

Stelian Cristea: Sunt pârghii. Există un mecanism de implementare a NIS 2. În cadrul acestui mecanism, există partea de audit de securitate cibernetică. Rolul auditului este, în primul rând, de a evalua situaţia în care se află organizaţiile. După activitatea de audit şi implementarea măsurilor pentru a rezolva problemele identificate, auditul are rolul de a evalua riscul rezidual – ce rămâne după implementarea măsurilor solicitate.

Acea analiză de audit, ulterioară implementării măsurilor, va ghida leadership-ul organizaţiilor spre investiţii suplimentare sau adoptarea de procese interne care să diminueze în continuare riscurile la care sunt expuse. Pe scurt, auditul este o activitate complementară managementului securităţii cibernetice. Acesta sprijină conducerea organizaţiilor în înţelegerea gradului de vulnerabilitate şi a măsurilor necesare pentru diminuarea riscurilor. După implementarea măsurilor, auditul oferă un rezultat: suntem sau nu aliniaţi la cerinţele directivei NIS 2? Această activitate de audit este realizată de auditori externi organizaţiei.

În paralel cu promovarea şi adoptarea legislaţiei, unele companii au început să-şi pregătească auditori. Unele companii şi-au inclus în obiectul de activitate auditul de securitate, pentru că ele vor fi cele care vor asigura evaluările de audit ale organizaţiilor. Deci, mecanismul este cuprinzător. Nu se limitează la consiliere şi la formularea cerinţelor, ci include măsuri concrete şi practice care arată că organizaţia începe să se alinieze NIS 2.

Reporter: Sintetizând, până la transpunerea NIS 2, înţelegem că nu puteţi impune deocamdată nişte standarde companiilor sau puteţi impune doar pe hârtie?

Stelian Cristea: Oricum, perioada până la intrarea în vigoare a NIS 2 este foarte scurtă. Cred că până la sfârşitul anului vom finaliza transpunerea, deoarece este într-o etapă finală. A parcurs un proces de consultare publică, urmat de câteva luni de revizuire şi ajustare, iar acum este în curs de avizare. Ne-am străduit să respectăm termenul transmis de Uniunea Europeană, adică jumătatea sau sfârşitul lunii octombrie. Probabil însă că va fi o întârziere de o lună. Oricum, suntem printre ţările fruntaşe. Din 28 de state, doar 4 sau 5 au transpus deja directiva NIS în legislaţia naţională.

Reporter: Ce tipuri de instituţii şi companii intră sub umbrela dumneavoastră?

Stelian Cristea: Sub responsabilitatea DNSC intră tot spaţiul cibernetic civil naţional: administraţia publică (primării, consilii judeţene, agenţii naţionale) şi elementele de servicii esenţiale, multe dintre acestea fiind parte din mediul privat. Practic, tot ce nu aparţine domeniului militar sau Ministerului Afacerilor Interne intră sub incidenţa DNSC. Domeniul militar şi, prin extensie, ordinea publică, sunt acoperite de alte instituţii, dar împreună cu DNSC acoperim întreg spaţiul cibernetic civil. Orice serviciu esenţial – energie, educaţie, sănătate, şi altele, în total vreo 17 domenii – care nu este gestionat de MApN sau MAI intră sub incidenţa DNSC.

Rolul DNSC este de a veghea asupra unei stări de securitate cibernetică confortabile.

Reporter: Aici cred că e problema. Una este să vegheaţi şi alta să impuneţi. Să zicem că sunt Primăria Sector 5 sau o companie de utilităţi strategică. Ştiu că există legislaţie şi standarde în domeniu, dar aleg să le ignor. Totuşi cineva ar trebui să vină şi să spună: „Trebuie să ai cutare soft, cutare antivirus, să respecţi cutare protocoale.” Este vorba de securitatea bazelor de date şi a informaţiilor cetăţenilor, deci nu ar trebui să existe loc de liber arbitru.

Stelian Cristea: Aveţi dreptate. Însă, din ceea ce observ, interesul organizaţiilor din spaţiul cibernetic civil arată că acestea vor începe implementarea NIS 2. Conştientizează riscurile. Avem deja o paletă largă de atacuri şi consecinţe, unele devastatoare. Atacurile s-au intensificat, iar organizaţiile devin din ce în ce mai atente la aceste aspecte.

NIS 2 nu ar trebui văzut ca un element care generează cheltuieli suplimentare. Ar trebui perceput astfel: „Ok, sunt educat în zona securităţii cibernetice, eu, ca lider al organizaţiei, şi implementarea acestor măsuri mă ajută să fiu rezilient.” Atacurile cibernetice vor exista mereu. Nu vom scăpa de ele.

Reporter: Mi-aţi anticipat întrebarea. Vreau să vă întreb care sunt tendinţele actuale în atacurile cibernetice asupra instituţiilor publice din România?

Stelian Cristea: Trendul este crescător în derularea atacurilor cibernetice şi am putut observa acest lucru în ceea ce s-a întâmplat în ultima jumătate de an. Am avut atacuri cibernetice asupra Parlamentului, asupra spitalelor, asupra unor primării, câteva primării, iar acestea nu se vor opri.

Reporter: Ce vizează în principal hackerii? Care sunt principalele lucruri pe care le ţintesc, în afară de bazele de date?

Stelian Cristea: Vizează obţinerea de bani. Utilizarea ransomware-ului ca atac cibernetic a crescut în amploare, iar faptul că au acces la o întreagă reţea sau la datele din interiorul acesteia le permite să ameninţe fie cu distrugerea datelor, fie cu vânzarea lor, fie cu blocarea reţelelor şi imposibilitatea de a desfăşura activitatea. Cred ei că, prin aceste ameninţări, pot obţine bani şi răscumpărare, astfel încât organizaţia să-şi continue activitatea.

Întotdeauna, când a avut ocazia, DNSC-ul a exprimat o poziţie clară faţă de acest tip de atacuri: să nu se plătească. Atacurile există şi nu le putem preveni în totalitate, deoarece vulnerabilităţile evoluează permanent. Însă este important ca noi să ne asigurăm că am luat toate măsurile posibile. Astăzi, de exemplu, suntem mai protejaţi în reţeaua noastră decât ieri.

Trendul atacurilor este în creştere şi diversificarea lor este extinsă. Nu ne rămâne decât să luăm în considerare măsuri de securitate cibernetică, aşa cum luăm în considerare...

Reporter: Şi sunteţi pregătiţi? Le puteţi anticipa? Puteţi face nişte paşi înainte în acest „joc de şah”?

Stelian Cristea: Da, putem folosi informaţiile furnizate de colaboratori, fie naţionali, fie internaţionali, cu privire la trendurile ameninţărilor cibernetice. Dacă, de exemplu, în ţările din regiune au avut loc atacuri asupra domeniului bancar sau asupra spitalelor şi acestea au trecut prin astfel de evenimente, iar informaţiile despre cum s-au desfăşurat atacurile şi cum au fost gestionate sunt partajate, noi, proactiv, putem folosi aceste informaţii. De asemenea, avem obligaţia să folosim aceste date şi să le diseminăm către spaţiul cibernetic naţional prin ghiduri şi recomandări, pe care le punem la dispoziţie.

Reporter: În contextul alegerilor, ne putem aştepta la intensificarea atacurilor cibernetice? Credeţi că vor exista atacuri care să vizeze influenţarea alegerilor?

Stelian Cristea: Da. Având în vedere experienţa altor ţări, suntem pregătiţi să răspundem unor astfel de atacuri cibernetice.

Reporter: Ce tipuri de atacuri anticipaţi?

Stelian Cristea: Ne putem aştepta la încercări de a indisponibiliza anumite servicii în contextul alegerilor, pentru a crea panică sau disconfort. De asemenea, ne putem aştepta la intensificarea fraudelor financiare – phishing, smishing sau alte metode de furt de date direct de la cetăţeni.

Aceste atacuri se adaptează contextului, inclusiv evenimentelor majore, cum sunt alegerile. Noi suntem mobilizaţi şi am pregătit persistenţa serviciului de intervenţie pentru această perioadă. Vom putea prelua apeluri şi păstra contactul cu responsabilii de securitate cibernetică din organizaţii. Suntem pregătiţi.

Reporter: Aveţi suficienţi oameni? Aveţi tot ce vă trebuie pentru a vă îndeplini rolul aşa cum trebuie?

Stelian Cristea: Nu, nu avem. Conform legislaţiei, ar trebui să avem în jur de o mie de angajaţi. În prezent, suntem sub un procent confortabil. Cred că avem aproximativ 20% din necesar. Avem un deficit de 80% din necesarul de angajaţi.

Reporter: De ce? Este lipsă de specialişti sau de buget?

Stelian Cristea: Da, este vorba despre buget. În prezent, ne aflăm în perioada desfăşurării unui concurs de angajare şi sperăm să recrutăm câţiva colegi, câteva zeci.

Evident, a fost un efort pentru toate instituţiile să obţină aprobarea pentru organizarea concursului de angajare. Totuşi, sperăm ca până la sfârşitul anului să mai avem câţiva colegi în plus.

Reporter: Şi există speranţe ca anul viitor să aveţi un buget mai mare pentru angajări?

Stelian Cristea: Vom vedea, în funcţie de proiectul de buget. Acum, semnalele le ştiţi de peste tot: austeritate. Dar asta nu înseamnă că trebuie să fim pesimişti. Noi încercăm să folosim la maximum experienţa altor organizaţii. Şi nu avem în vedere doar dezvoltarea eficienţei prin oamenii proprii, ci şi prin colaborări, cooperări şi parteneriate. Încercăm să aducem experienţa altora aici şi o folosim pentru ceea ce ar trebui să facem.