Serviciul de Telecomunicaţii Speciale (STS) susţine că scopul atacurilor de tip DDoS (Distributed Denial of Service) din lunile aprilie-mai a fost acela de a întrerupe accesul public la site-urile web ale celor mai importante instituţii din România, fiind realizate de către atacatori cu acces la resurse sofisticate. Potrivit STS, de la sfârşitul lunii aprilie au fost atacuri cibernetice fără precedent la nivel mondial, fiind constatată o intensificare a acestora ca număr, volum şi complexitate: "Ţinta: serviciile expuse în mediul internet. Numărul: de ordinul miilor. Complexitatea? Specialiştii STS au făcut o analiză pe care au împărtăşit-o şi celorlalte entităţi de tip CERT de la nivelul Directoratului Naţional de Securitate Cibernetică (DNSC) şi din Sistemul Naţional de Apărare, Ordine Publică şi Securitate Naţională (SNAOPSN)".
Conform sursei citate, scopul atacurilor de tip DDoS identificate a fost acela de a întrerupe accesul public la site-urile web ale celor mai importante instituţii din România, motivaţie regăsită la acelaşi tip de atacuri executate şi în alte ţări: "Aceste atacuri cibernetice sunt realizate, de regulă, de către atacatori cu acces la resurse sofisticate, prin folosirea surselor multiple de agresiune pentru a perturba funcţionarea normală a serviciilor informatice care susţin funcţiile unui stat. Prin blocarea accesului la informaţii oficiale şi întreruperea relaţionării rapide şi eficiente cu instituţiile statului, efectul urmărit prin aceste operaţiuni cibernetice este crearea confuziei şi panicii în rândul cetăţenilor, dar mai ales a neîncrederii în capacitatea autorităţilor de a oferi protecţie".
Serviciul spune că intensificarea atacurilor cibernetice era de aşteptat, ţinând cont de actualul context de securitate din regiune, însă atacurile în sine nu au reprezentat o surpriză pentru Serviciul de Telecomunicaţii Speciale, întrucât instituţia dispune de mecanismele şi expertiza necesare pentru a identifica şi contracara acest tip de agresiuni în mod eficient. De altfel, CORIS-STS s-a mai confruntat cu astfel de atacuri şi în trecut, iar limitele au rămas gestionabile datorită activităţilor întreprinse atât prin mecanisme automatizate, cât şi prin măsuri în timp real. În cazul unui atac cibernetic, arată STS, deciziile şi măsurile luate într-un timp extrem de scurt sunt esenţiale, iar atunci când echipele de administrare tehnică şi cele de securitate cibernetică depun un efort conjugat, lanţul de decizie şi de răspuns este extrem de scurt şi cu impact imediat. Activităţile întreprinse pentru asigurarea securităţii cibernetice corelează o gamă largă de măsuri defensive, atât la nivelul infrastructurii de comunicaţii, cât şi la nivelul sistemelor de operare şi al aplicaţiilor informatice găzduite.
Măsuri reactive adoptate de specialiştii CORIS-STS în cazul atacurilor DDoS derulate de gruparea Killnet au fost următoarele: Identificarea surselor de atac; Minimizarea efectelor şi restabilirea funcţionalităţilor website-urilor afectate; Blocarea (temporară) a traficului din exterior (GEO Fencing); Instalarea echipamentelor şi implementarea soluţiilor suplimentare de protecţie; Partajarea operativă a informaţiilor cu DNSC şi cu instituţiile din Sistemul naţional de apărare, ordine publică şi securitate naţională; Organizarea în echipe multidisciplinare, 24 de ore din 24, 7 zile din 7, şi colaborarea foarte bună cu specialiştii IT din instituţiile publice vizate de atacuri.
CORIS-STS va desfăşura în continuare măsuri proactive şi reactive de tip defensiv pentru protecţia infrastructurilor cibernetice aflate în administrare, precum şi pentru asigurarea unui nivel adecvat de securitate pentru serviciile de telecomunicaţii speciale furnizate beneficiarilor. Din experienţa recentelor atacuri cibernetice, STS precizează că s-au desprins câteva lecţii pentru mediul guvernamental, fiind identificate o serie de aspecte care trebuie avute în vedere în pregătirea generală pentru prevenirea şi contracararea ameninţărilor de securitate, astfel: necesitatea creşterii expertizei în securitate cibernetică la nivelul administratorilor de sisteme IT din administraţia publică; necesitatea cooperării şi schimbului permanent şi rapid de informaţii la nivelul entităţilor de tip CSIRT/SOC (Computer Security Incident Response Teams/Security Operations Centers); nevoia de reanalizare a investiţiilor în consolidarea securităţii cibernetice (echipamente IT şi soluţii noi de securitate); găsirea unor soluţii fezabile pentru salarizarea specialiştilor tehnici IT/Sec din sectorul public; este imposibil ca o singură entitate să asigure securitatea cibernetică pentru sistemele informatice ale statului.
STS recomandă ca entităţile de tip CERT şi instituţiile guvernamentale să fie vigilente, pregătite, să deţină know-how şi să disemineze oportun date şi informaţii relevante către toţi cei interesaţi, pentru a avea capacitatea de a anticipa, pe cât posibil, evenimentele de securitate. Apoi, trebuie să construiască apărări dinamice, adaptate noilor forme de atac cibernetic, precum cele care utilizează elemente de inteligenţă artificială şi machine learning. Nu în ultimul rând, un alt aspect foarte important îl reprezintă pregătirea temeinică şi din timp a viitoarelor generaţii de specialişti în securitate, aspect faţă de care conducerea instituţiei manifestă un interes aparte.