Un atac cibernetic de tip ransomware asupra mai multor staţii de lucru şi servere care aparţin Administraţiei Naţionale Apele Române a compromis aproximativ 1.000 sisteme IT&C, inclusiv servere de aplicaţii de tip Geographical Information System (GIS), servere de baze de date, staţii de lucru Windows, servere Windows Server, servere de e-mail/web şi Domain Name Servers (DNS).

Activitatea de dispecerate și operarea structurilor hidrotehnice se desfășoară în parametri normali, utilizând comunicații telefonice și radio, precizează autoritățile.

Atacul a fost anunțat de Directoratul Naţional de Securitate Cibernetică (DNSC), care precizează într-un comunicat că echipele tehnice din cadrul Directoratului, ale ANAR, ale Centrului Naţional Cyberint (CNC) din cadrul Serviciului Român de Informaţii (SRI) şi ale altor autorităţi ale statului cu competenţe în zona de securitate cibernetică, sunt implicate activ în investigarea şi limitarea impactului incidentului cibernetic.

Atacul a avut loc pe 20 decembrie și a fost notificat pe 21.

Situația la zi:

Echipele tehnice implicate în investigare, alături de autoritățile competente din domeniul securității cibernetice, continuă să lucreze pentru limitarea impactului și restaurarea sistemelor informatice.

Construcțiile hidrotehnice sunt în siguranță și sunt operate local prin personalul deservent, coordonat prin dispecerate.

Activitatea de prognoză și apărarea împotriva inundațiilor nu a fost afectată.

Vectorul inițial de atac

Investigația este în curs de derulare și, în acest moment, nu se cunoaște modul exact prin care atacatorii au pătruns în rețea.

Riscuri și impact

Tehnologiile operaționale (OT) nu au fost afectate.

Nu există impact asupra activităților esențiale ale Administrației Naționale „Apele Române”.

Cu sprijinul autorităților responsabile ale statului, a fost adoptat un plan de acțiune pentru restabilirea sistemelor informatice.

În urma unei evaluări tehnice iniţiale, s-a constatat faptul că atacatorii s-au folosit de un mecanism legitim de criptare pentru sistemul de operare Windows, denumit „BitLocker”, care a fost utilizat în scop maliţios, pentru a produce blocarea prin criptare a fişierelor de pe sistemul respectiv.

Atacatorii au transmis autorităților române o notă de răscumpărare din partea atacatorilor, care solicită să fie contactaţi într-un termen de șapte zile.

„Reamintim că politica şi recomandarea strictă din partea DNSC este ca victimele atacurilor de tip ransomware să nu contacteze şi să nu negocieze cu atacatorii cibernetici, pentru a nu se încuraja şi a nu se finanţa acest fenomen infracţional. Recomandăm ca echipele IT&C ale Administraţiei Naţionale Apele Române sau ale administraţiilor bazinale să nu fie contactate, pentru a se putea concentra pe restaurarea serviciilor informatice”, se precizează în ultimul comunicat al DNSC, de luni.

Infrastructura ANAR nu este protejată prin sistemul special destinat infrastructurilor critice

Infrastructura ANAR nu este în prezent protejată prin sistemul naţional de protecţie a infrastructurilor IT&C cu valenţe critice pentru securitatea naţională împotriva ameninţărilor provenite din spaţiul cibernetic, sistem operat de CNC. S-au iniţiat demersurile necesare astfel încât această infrastructură să fie integrată în sistemele dezvoltate de către CNC pentru asigurarea protecţiei cibernetice atât pentru infrastructurile IT&C publice, cât şi pentru cele private cu valenţe critice pentru securitatea naţională, prin utilizarea tehnologiilor inteligente, conform DNSC.

Obiectivele vizate de atac

Au fost atacate mai multe staţii de lucru şi servere ce aparţin Administraţiei Naţionale Apele Române şi unui număr de 10 (din 11) administraţii bazinale de apă din ţară, inclusiv Oradea, Cluj, Iaşi, Siret, Buzău.

„Tehnologiile operaţionale (OT – Operational Technologies) nu au fost afectate, astfel că activitatea uzuală se desfăşoară în acest moment în parametri normali. Administraţia Naţională Apele Române precizează că operarea structurilor hidrotehnice se face doar prin dispecerate folosind comunicaţii voce. Construcţiile hidrotehnice sunt în siguranţă şi se operează local prin personalul deservent şi coordonat prin dispecerate”, precizează DNSC.

