Companiile energetice din România sunt vizate permanent de atacuri cibernetice, spune directorul Directoratului Național pentru Securitate Cibernetică (DNSC), Dan Cîmpean, într-un interviu acordat Europei Libere.
În spatele atacurilor de acest tip se află actori afiliați Moscovei, completează demnitarul.
„Numărul de atacuri, în principal (n.r. comise de) Federația Rusă sau proxi sau grupări afiliate Kremlinului pe sectorul energetic, a crescut în mod constant în ultima perioadă.”
Directoratul Național pentru Securitate Cibernetică este o instituție subordonată Guvernului care are ca principal obiectiv asigurarea securității spațiului cibernetic național civil.
Dan Cîmpean spune că firmele din sectorul energetic din România sunt o țintă permanentă a atacurilor cibernetice dintr-un motiv simplu:
„Au un mix de tehnologii IT și tehnologii operaționale, deci nu au numai laptopuri, tablete, servere. Aceste companii au și controlere, electrovalve, au tehnologii în stații de transformare, pe rețeaua de transfer și de transport a energiei sau pe rețeaua de distribuție.”
Șeful DNSC explică și în ce poate consta vulnerabilitatea unui obiectiv energetic: „O simplă centrală eoliană are sute de senzori conectați la internet, deci suprafața de atac este foarte mare din cauza tehnologiilor”.
Dan Cîmpean reamintește că atacurile asupra sectorului energetic din România au început imediat după ce Rusia a invadat Ucraina, în februarie 2022.
„Noi am avut două incidente majore la nivel național: unul pe 6 martie 2022, la câteva zile după invazia în Ucraina, și a mai fost în sectorul de petrol și gaze, în octombrie 2024, un incident major pe Electrica Distribuție. Deci sectorul este clar țintit, clar vizat, de afiliați cu Rusia sau Rusia în spate, sunt clar interesați de acest sector.”
Europa Liberă l-a întrebat pe directorul DNSC cum au aflat specialiștii instituției că atacurile despre care vorbește au în spate Rusia sau actori afiliați Federației.
Dan Cîmpean răspunde: „Actori pro-Rusia scanează zilnic de sute de ori, de mii de ori echipamentele, infrastructurile IT și tehnologiile operaționale ale acestor operatori din domeniul energetic din România și nu numai […] Grupările care au acționat împotriva României au fost niște grupări care sunt clar afiliate cu Rusia: sunt gruparea LockBit, Links, Akira și RansomHub”, argumentează Cîmpean.
El justifică răspunsul precizând că instituția are datele necesare identificării atacatorilor atât din propriul sistem, cât și de la companii.
De altfel, șeful DNSC spune că instituția cumpără date comerciale care îi pot fi utile în analize cibernetice.
În ce au constat vulnerabilitățile infrastructurii electorale folosite la alegerile prezidențiale anulate
În raportul de activitate pe 2024, publicat marți, pe 22 iulie, aprobat de Consiliul Suprem de Apărare a Țării pe 30 iunie, DNSC scrie, referitor la atacurile cibernetice asupra infrastructurii electorale din România, că, în contextul alegerilor prezidențiale și generale de la finalul anului 2024, a identificat și raportat „X (anonimizat -n.r.) conturi de utilizator compromise și multiple vulnerabilități ale infrastructurii IT&C (n.r. tehnologia și informației și computere) utilizată în asigurarea procesului electoral”.
Întrebat în ce au constat vulnerabilitățile infrastructurii electorale, președintele DNSC explică: „Sunt vulnerabilități legate de softul de la sisteme de operare, de aplicațiile pe care platformele lor rulează, deci la nivel de tehnologie utilizată de către dânșii.”
Dan Cîmpean susține că atacurile cibernetice, de ordinul zecilor de mii în 2024, nu au reușit.
„Au fost atacatori care au încercat să exploateze vulnerabilități de genul acesta, ale tehnologiilor, dar fără succes. De ce? Pentru că, și noi, și alte instituții am făcut notificare în particular către Autoritatea Electorală Permanentă, iar dânșii au aplicat update-uri, au aplicat patch-uri (n.r. update - uri) la sisteme de operare”.
Directorul DNSC spune că România a fost atacată hibrid masiv la finalul anului trecut:
„La alegeri a fost un mix de operațiuni hibride, dezinformare, manipulare. […] dar și atacuri cibernetice. Multe au fost atacuri DDos (Distributed Denial of Service), în care atacatorii folosesc zeci de mii de laptopuri sau servere sau dispozitive infectate pentru a lansa un atac.
Aceste zeci de mii de dispozitive sunt distribuite oriunde în lume. Sunt și în Statele Unite, și în Germania, și în Olanda, și în Rusia, și în Ucraina, și în Moldova, și în România chiar. Ce contează este gruparea din spatele lor. În cazul atacurilor DDoS, gruparea cea mai activă este numită NoName057, care este, la rândul ei, o grupare cu afinități pentru Rusia”, spune directorul DNSC.
De altfel, în documentele desecretizate de CSAT pe 4 decembrie 2024, Serviciul Român de Informații (SRI) a explicat că, în ziua primului tur al alegerilor prezidențiale anulate, pe 24 noiembrie, mai multe credențiale de acces (utilizator și parolă) asociate „bec.ro”, „roaep.ro” si „registrulelectoral.ro” au apărut pe platforme de criminalitate cibernetică de origine rusă și pe un canal privat de Telegram recunoscut pentru diseminarea de date din foarte multe state, mai puțin din Federația Rusă.
Datele ar fi fost obținute de atacatori fie prin targetarea utilizatorilor legitimi către care au fost distribuite credențialele utilizator/parola, fie prin exploatarea serverului legitim de instruire a celor implicați în procesul de votare, pus la dispoziție de către Serviciului de Telecomunicații Speciale (STS).
Pentru lansarea atacurilor, au fost utilizate sisteme informatice din peste 33 de țări, care au folosit metode de anonimizare avansate a sursei de unde proveneau atacurile pentru a îngreuna procesul de identificare.
Atacurile asupra structurii de votare au fost efectuate după ce, cu cinci zile înainte de data alegerilor, pe 19 noiembrie, un alt incident cibernetic a vizat și a afectat infrastructura IT a Autorității Electorale Permanente (AEP).
În urma acestuia, atacatori cibernetici au compromis un server de hărți care era conectat atât în exterior, la internet, dar și la rețeaua internă a Autorității Electorale Permanente (AEP).
Incidentul a constat în peste 85.000 de atacuri cibernetice, care au vizat exploatarea vulnerabilităților existente la nivelul sistemelor informatice de suport pentru procesul electoral, în vederea obținerii accesului la bazele de date, dar și folosirea paginilor de web ale instituțiilor pentru a colecta datele celor care accesează paginile respective, a scris atunci Europe Liberă, după ce a consultat documentele serviciilor secrete românești desecretizate de CSAT.
Atacurile au continuat în ziua alegerilor și în noaptea de după alegeri (24-25 noiembrie 2024).
Tot în decembrie 2024, STS a transmis CSAT, instituție condusă de președintele țării, că atacurile la adresa infrastructurilor IT&C gestionate de serviciu au fost blocate cu succes, iar pentru celelalte au fost informați administratorii de sistem din cadrul instituțiilor afectate.
Cifre relevante din raportul DNSC pe 2024
- în 2024, DNSC a identificat peste 27 de milioane de evenimente cibernetice;
- în ultimele patru luni ale anului trecut și în primele patru ale lui 2025 se observă o creștere a volumului de alerte, spune Directoratul.
- evenimente cibernetice pot fi încercări de atacuri, testări, atacuri cibernetice;
- numărul acestor evenimente este cu aproximativ un sfert mai mare decât în 2023, când au fost înregistrate de către DNSC aproape 21,5 milioane de evenimente de acest tip;
- directorul DNSC explică amploarea asaltului cibernetic asupra României din ultimul an: „Noi suntem absolut convinși că au avut legătură și cu alegerile organizate în România.” (În România, între noiembrie 2024 și mai 2025, au avut loc trei tururi de alegeri prezidențiale și alegeri parlamentare.)
Senzori DNSC la instituții
Toate evenimentele cibernetice din spațiul cibernetic național civil sunt depistate și cu ajutorul senzorilor instalați de DNSC la instituții deja atacate sau care sunt vulnerabile: spitale, primării, prefecturi.
Dan Cîmpean spune că, inițial, DNSC a instalat în instituții publice 100 de senzori a 5.000 de euro bucata. În instituții private, precum hoteluri sau farmacii, a instalat alți senzori mai mici, mai ieftini, pe dispozitive de tipul raspberry pi - computere de dimensiunea unei cărți de identitate.
„Sunt niște mini-servere care inspectează traficul de rețea, deci nu interceptează mesaje sau email-ul sau ce circulă pe rețea. Ce observă ei (n.r senzorii) e modul în care traficul pe internet sau traficul în rețeaua unei organizații se comportă și, în funcție de caracteristicile acelui trafic de rețea, se poate sesiza dacă se derulează un atac de un anume tip”, explică șeful DNSC.
El adaugă că instituția lucrează la identificarea riscurilor cibernetice atât cu instituții omoloage din Uniunea Europeană, cât și cu instituțiile din România responsabile de siguranța națională.
Potrivit DNSC, în România, 12 milioane de cetățeni folosesc zilnic internetul, iar printre ei se află și copii. Minorii sunt ținte permanente ale atacurilor cibernetice.
Europa Liberă România e pe Google News. Abonați-vă AICI.
