CERT-RO:  "Creştere a incidentelor cibernetice care au afectat autorităţi publice locale"

De la finele anului 2015 şi până în prezent, la nivelul CERT-RO a fost înregistrată o creştere a incidentelor care au afectat autorităţi publice locale din România (primării, consilii judeţene etc.). Cele mai întâlnite tipuri de incidente sunt compromiterea site-urilor web cauzată de platforme CMS neactualizate şi vulnerabile şi infectarea staţiilor de lucru cu diferite variante de malware, în special ransomware, cauzate de accesarea link-urilor şi ataşamentelor maliţioase, pe fondul sistemelor de operare şi aplicaţiilor neactualizate.

Ransomware-ul este un tip de malware (virus informatic) ce criptează fişierele utilizatorilor (documente, poze etc.) şi solicită o răscumpărare (plata unei sume în general $300-$500) pentru a decripta fişierele şi pentru a reda accesul utilizatorului la acestea. Ransomware-ul este una dintre cele mai supărătoare forme de malware, întrucât produce pagube financiare directe, iar fişierele criptate de virus nu pot fi decriptate.

Potrivit CERT-RO, în acest an, tot mai mulţi cetăţeni, instituţii şi companii vor fi afectate de ransomware. Din acest motiv, singurul răspuns adecvat acestei ameninţări este prevenţia.

Pentru diminuarea riscurilor şi îmbunătăţirea climatului naţional de securitate cibernetică, CERT-RO propune în anul 2016, cu sprijinul MCSI, realizarea următoarelor demersuri: derularea unui exerciţiu de securitate cibernetică cu implicarea sectorului public şi privat; înfiinţarea şi operaţionalizarea Centrului de Inovare în Securitate Cibernetică; implementarea unui proiect privind creşterea nivelului de securitate al infrastructurilor cibernetice aferente instituţiilor din teritoriu; demararea unui proiect privind extinderea sistemului de alertă timpurie şi informare în timp real; demararea unui proiect adresat elevilor privind educaţia în securitate cibernetică şi siguranţă online; elaborarea şi aprobarea criteriilor minime pe care trebuie să le îndeplinească o structură de tip CERT pentru a fi inclusă în Comunitatea CERT din România; elaborarea şi aprobarea unei politici publice privind divulgarea responsabilă a vulnerabilităţilor.

CERT-RO a colectat şi procesat, anul trecut, 68.206.856 de alerte de securitate cibernetică, potrivit Raportului pentru anul 2015.

Prin alertă de securitate cibernetică se înţelege orice semnalare ce conţine o adresă IP sau un domeniu web (URL), referitoare la un posibil incident sau eveniment de securitate cibernetică, ce implică sau poate implica sisteme informatice din spaţiul cibernetic naţional deţinute sau administrate de persoane fizice sau juridice din România.

În urma analizării alertelor de securitate cibernetică colectate de CERT-RO în 2015, s-a constatat că 2.321.931 de adrese IP unice, 26% din totalul IP-urilor unice aferente spaţiului cibernetic naţional, au fost vizate de alertele colectate de CERT-RO în anul 2015. De asemenea, 17.088 de domenii "ro" au fost raportate la CERT-RO ca fiind compromise în anul 2015, în creştere cu aproximativ 58% faţă de anul 2014 (10.759). Din totalul de 855.997 domenii înregistrate în România în luna februarie 2015, numărul reprezintă aproximativ 2% din totalul domeniilor ".ro" şi aproximativ 6,5% din totalul domeniilor ".ro" active.

78% (53 milioane) din alertele colectate şi procesate vizează sisteme informatice vulnerabile, în sensul că sunt ne-securizate sau configurate necorespunzător, potrivit CERT-RO. Unele dintre aceste sisteme informatice vulnerabile sunt utilizate de atacatori pentru lansarea de atacuri cibernetice asupra altor ţinte şi mascarea identităţii, uneori ne-fiind necesară compromiterea acestora ci doar simpla utilizare a serviciilor disponibile (spre exemplu: servere DNS de tip "Open Resolver", servere Proxy fără autentificare, servere NTP configurate ne-corespunzător etc.).

20,78% (14 milioane) din alertele colectate şi procesate vizează sisteme informatice infectate cu diferite variante de software maliţios (malware) de tip botnet, caracterizat prin faptul că dispune de mecanisme ce permit atacatorilor să controleze de la distanţă sistemele informatice infectate, conform CERT-RO care mai precizează că 64% (3 milioane din numărul total de incidente rezultate din procesarea alertelor reprezintă sisteme informatice ce fac parte din reţele de tip botnet, acestea putând fi utilizate în derularea de atacuri cibernetice asupra unor ţinte din România sau externe.