Atacul informatic despre care presa a aflat marți, pe 30 ianuarie, a avut loc, de fapt, în weekend-ul 27-28 ianuarie, spun pentru Europa Liberă surse din Camera Deputaților.
El a fost raportat abia luni către instituțiile specializate în infracțiuni informatice, reiese din documentarea Europei Libere.
Hackerii, care au sustras din baza de date a Camerei Deputaților peste 300 de documente electronice, inclusiv cărțile de identitate ale premierului și ale unor parlamentari, ar fi pretins o recompensă de aproximativ 40.000 de euro în Bitcoin pentru a nu mai publica datele.
„În momentul în care s-au actualizat sistemele informatice ale Camerei Deputaților, undeva prin 2019, aceasta a optat să își administreze și să își gestioneze în regie proprie, prin intermediul Departamentului de IT, responsabilitatea de securitate cibernetică a site-ului propriu”, a declarat miercuri ministrul Cercetării, Inovării și Digitalizării, Bogdan Ivan.
Este neclar la ce se referă termenul de „regie proprie”, iar ministrul nu a răspuns solicitărilor Europei Libere pentru lămuriri suplimentare.
Chiar dacă are o structură dedicată tehnologiei informației, Camera Deputaților a plătit, conform SEAP (platforma națională pentru licitații publice) în ultimii trei ani, unor firme private, peste 1,7 milioane de lei (350.000 de euro) pentru „servicii de suport tehnic pentru securitatea internetului și a poștei electronice” (e-mail) .
Majoritatea serviciilor au fost/sunt prestate de aceeași firmă - Dataware Consulting, care are, de altfel, zeci de contracte similare cu instituții publice.
Reprezentanții Camerei, fie că e vorba de președintele Alfred Simonis (PSD) sau de Secretariatul General, au evitat la rândul lor să ofere clarificări, invocând ancheta în curs declanșată de Direcția de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism (DIICOT).
Chiar dacă ministrul Digitalizării declară public că „toţi cei care sunt consideraţi responsabili (...) vor putea să răspundă în faţa legii pentru acest lucru, iar „principalii vinovaţi sunt atacatorii”, el nu explică clar cui anume reveneau responsabilitățile concrete de a preveni breșa informatică.
Pe de altă parte, experții în securitate IT consultați de Europa Liberă spun că atacul cibernetic de la Camera Deputaților e doar o mostră cu privire la cât de vulnerabile sunt instituțiile publice din România în fața celor care vor să extragă date cu caracter personal, fie că e vorba de CNP-uri sau alte date.
Incidentul în weekend, sesizarea luni, recunoașterea marți
Informația cu privire la atacul cibernetic asupra bazei de date a Camerei Deputaților a apărut în spațiul public marți, pe 29 ianuarie.
Breșa informatică s-a produs în weekendul precedent, conform informațiilor obținute de Europa Liberă.
Camera Deputaților a sesizat incidentul, luni, către Serviciul de Telecomunicații Speciale (STS) și Centrului Național Cyberint al SRI, după care a fost alertat și Directoratul Național de Securitate Cibernetică (DNSC).
„Am fost sesizați luni seară cu privire la incident”, a spus pentru Europa Liberă purtătorul de cuvânt al DNSC, Mihai Rotariu.
Angajații Directoratului, aflat în subordinea Guvernului, au făcut și ei verificări. Instituția a transmis, marți, că „Directoratul a fost notificat în legătură cu breşa de securitate de la Camera Deputaţilor” şi „colaborează în acest moment cu alte autorităţi cu competenţe în domeniul securităţii cibernetice la investigarea incidentului.”
Abia marți a venit și poziția Secretariatului General al Camerei Deputaților, care a confirmat că „a avut loc, într-adevăr, o breşă de securitate”, adăugând că Departamentul de specialitate al Camerei urma să formuleze o plângere către DIICOT.
DIICOT a anunțat marți seară că a fost sesizat cu privire la un atac informatic și că a deschis cercetări pentru acces ilegal la un sistem informatic, alterarea integrităţii datelor informatice, perturbarea funcţionării sistemelor informatice şi şantaj.
În condițiile declanșării anchetei, atât reprezentanții DNSC, cât și cei ai Secretariatului General al Camerei Deputaților ne-au transmis că nu pot oferi detalii suplimentare.
„Nu doresc să comentez acest caz, sunt președinte din punct de vedere politic al Camerei Deputaților, nu administrativ, este o anchetă în desfășurare”, spune pentru Europa Liberă președintele interimar al Camerei, Alfred Simonis.
Conţinutul documentelor „este unul public şi anume contracte de servicii, adrese instituţionale, date din buget şi date care nu sunt destinate publicului – copii după actele de identitate ale parlamentarilor”, a spus în schimb ministrul Bogdan Ivan.
Contracte pentru servicii de securitate pentru o firmă abonată la contracte publice
Conform organigramei de pe site-ul oficial al Camerei Deputaților, instituția are personal dedicat pentru coordonarea și desfășurarea activităților care țin de securitate și tehnologia informației.
Există un Serviciu de securitatea informațiilor, condus de Mihai Luigi Eugen, și o Direcție pentru Informații și Telecomunicații, cu un director, doi șefi de serviciu și un șef de birou.
Director este din februarie 2023 Ioan Hanganu, angajat cu state vechi al Camerei Deputaților (în 2006 a depus declarație de avere), la fel ca și soția lui. Înainte, Direcția a fost condusă de Marian Boțocan.
Europa Liberă s-a adresat Secretariatului General al Camerei Deputaților, condus de Silvia-Claudia Mihalcea, pentru a afla mai multe despre responsabilitatea privind activitățile informatice din Cameră.
Responsabilii de comunicare ai instituției ne-au transmis că, pentru răspunsuri punctuale, să formulăm o solicitare scrisă. În același timp, în condițiile anchetei în desfășurare, Secretariatul General nu poate face mai multe comentarii, ni s-a mai transmis.
În practică, o parte din activitățile informatice sunt desfășurate de către personalul de specialitate al instituției, iar altele sunt atributite prin contracte unor firme private, potrivit informațiilor noastre.
Potrivit site-ului de achiziții publice (SEAP) din România, începând cu 2021, Camera Deputaților a atribuit mai multe „contracte de servicii de suport tehnic pentru echipamente și sisteme de securitate”, pentru protecția traficului web, a securității pe internet și a poștei electronice” (e-mail).
Majoritatea contractelor licitate între 2021-2023 au fost obținute de firma Dataware Consulting, care i-a avut ca acționari majoritari până în 2023 pe Cătălin Cristian Georgescu și Adrian Constantin Savu.
Un alt contract, cel mai consistent, pentru „echipament de securitate de trafic pe internet”, în valoare de 746.000 de lei (aproape 150 de mii de euro), a fost obținut în august 2022, când firma era condusă încă de cei doi.
Istoricul companiei în privința contractelor pentru o gamă largă de servicii informatice - inclusiv de securitate cibernetică - livrate instituțiilor publice este însă unul mult mai bogat.
Astfel, din 2018 firma a câștigat contracte cu instituțiile statului de peste 180 de milioane de lei (aproximativ 60 de milioane de euro).
- Cele mai consistent a fost cel cu Primăria Sectorului 6 din București, în valoare de 42 milioane de lei (aproximativ 8 milioane de euro), pentru sistemul integrat de supraveghere și monitorizare video, cu Poliția de Frontieră (22 mil lei -peste 4 milioane de euro), pentru echipamente de control la frontieră.
- 17 milioane de lei (3,4 milioane de euro) a fost valoarea contractului cu Direcția Generală de Protecție Internă, pentru un subsistem avansat de detectare a amenințărilor cibernetice din cadrul MAI.
- Tot 17 milioane de lei au costat și echipamentele de hardware, aplicații software și licențe, livrate Serviciului de Protecție și Pază - Unitatea Militară 1049, într-un proiecte de prevenție a amenințărilor cibernetice.
În 2022, compania a avut 30 de angajați, o cifră de afaceri de 68 milioane de lei (aproximativ 14 milioane de euro), o creștere de 143% față de 2021 și un profit de 4,4 milioane de lei (aproape 1 milion de euro), cu aproape 50% mai mult față de anul precedent, conform Termene.ro.
Firma Dataware Consulting a fost preluată în 2023 de grupul de firme Bittnet (prin intermediul Dendrio Solutions SRL, respectiv al Bittnet Systems), Georgescu și Savu rămânând acționari minoritari.
Într-un răspuns transmis Europei Libere, reprezentanții grupului Bittnet au precizat că în 2022 și 2023 firma Dataware a livrat către Camera Deputaților „echipamentele, respectiv licențele/subscripțiile aferente mentenanței asigurata de producător.”
Mai exact, compania a vândut suport de la producătorul echipamentelor / aplicațiilor și nu are contract de mentenanță „pentru a oferi suport 24/24 sau 7 zile din 7.”
Firma doar a revândut produsele, iar clientul „beneficiază din partea producătorului de suport si licență pe x ani - în funcție de contract”, au mai spus responsabilii de comunicare ai Bittnet.
Aceștia nu au răspuns explicit dacă produsele de securitate livrate ar fi trebuit să ajute la prevenirea breșei de securitate de la Camera Deputaților și nici dacă Dataware a fost interogată în ancheta pornită de DIICOT.
Experți: instituțiile publice, vulnerabile informatic
Incidentul informatic de la Camera Deputaților este doar un exemplu cu privire la cât de vulnerabile în fața atacurilor cibernetice sunt instituțiile publice, spun experții consultați de Europa Liberă.
Atacatorii pot avea acces, fără foarte multe bătăi de cap, la date a milioane de români, subliniază Bogdan Manolea, consultant juridic specializat pe probleme de securitate cibernetică, fondator al Asociației pentru Tehnologie și Internet.
Sunt multiple instituții publice care au avut probleme de securitate care au afectat datele personale, în ultimii 2-3 ani, spune Manolea. „Au fost foarte multe cazuri de acest tip, care au rămas fără niciun fel de urmări, atât pentru pentru instituțiile implicate, pentru potențiali responsabili, inclusiv cu privire la posibile sancțiuni din punct de vedere al al aplicării GDPR-ul.”
Ministrul Digitalizării a spus că există zilnic 200-250 de atacuri cibernetice asupra unor instituții publice, însă majoritatea nu sunt pregătite pentru a face față acestora, explică Manolea.
„Nu sunt pregătite nici pe partea de date personal, nici pe partea de securitate informatică. Securitatea informatică costă și este nevoie de oameni competenți care se ocupă de protecția datelor.”
Dacă la Camera Deputaților breșa informatică a creat acces la date personale a maxim câteva zeci de persoane, „au fost cazuri cu un efect mai mare, din categoria de sănătate, la Statistică chiar, probleme de securitate care vizau toți cetățenii.”
„Acolo riscurile sunt și mai mari.”
Alexandru Panait, inovator în domeniul IT și expert în securitate cibernetică, spune și el că nu este foarte dificil pentru hackerii creativi să aibă acces la date personale ale românilor.
El a și arătat că a reușit să afle relativ simplu data la care premierul Marcel Ciolacu s-a înscris la medicul de familie.
În 2021, tânărul, care a dezvoltat între timp o platformă de digitalizare pentru Primării, a semnalat public o vulnerabilitate în sistemul național de plăți electronice.
Pentru a fi mai protejată, România ar trebui să implementeze un sistem de securitate integrat pentru toate acestea.
„Inclusiv în PNRR s-au alocat bani pentru securitate cibernetică pentru sute de instituții, însă fiecare le va pune în aplicare după propria optică și de multe ori se poate să nu funcționeze. Dacă ai un sistem integrat, în care implici nu firme de partid, ci unele care chiar se pricep, atunci lucrurile ar ieși bine.”
Referitor la breșa de la Camera Deputaților, nu este exclus, în opinia sa, ca vulnerabilitatea să fi apărut chiar din interiorul personalului.
„Dacă cei de la Camera Deputaților aveau Intranet (rețea informatică internă, n.r.), înseamnă că este inside job, adică cineva din interior a luat datele, pe un stick sau alt dispozitiv și le-a făcut publice, poate în scop politic. Dacă nu exista intranet, atunci atacatorii au intrat în sistem ca în oricare altul, cu un ransomware (software dăunător, n.r.) prin care au criptat datele și cer acum bani pentru a le restitui.”
În sprijinul primei ipoteze ar fi faptul că suma cerută drept răscumpărare - cu privire la care atât premierul Ciolacu, precum și ministrul Digitalizării au spus că nu va fi plătită - de aproximativ 40.000 de euro, echivalent în Bitcoin, este una mică.
Între datele extrase în breșa informatică s-ar fi aflat și cartea de identitate a premierului, care a declarat ulterior că va solicita una nouă.
„Dacă se identifică poarta prin care au intrat hackerii, atunci da, se poate ajunge la concluzia că datele au fost extrase, dacă nu se identifică, celălalt scenariu (al unei vulnerabilități din interior, n.r.) devine din ce în ce mai plauzibil. E nevoie de acces complet la calculatoarele respective, ceea ce au acum anchetatorii, însă dacă au intrat niște băieți care se pricep, nu prea vor găsi indicii”, adaugă Panait.
Fostul ministru al Digitalizării, Sebastian Burduja, a explicat miercuri că vulnerabilitatea unui sistem informatic poate apărea adesea din eroare umană, neintenționată, însă, „dacă există un funcţionar care intră pe un link pe care nu ar trebui să intre, asta vulnerabilizează întreg sistemul.”
Chiar dacă Burduja a subliniat că România a adoptat în mandatul său Legea securității cibernetice, iar noul ministru al Digitalizării, Bogdan Ivan, a spus că aceasta a fost îmbunătățită, legislația nu constrânge instituțiile publice să își securizeze optim datele și să le protejeze corespunzător pe cele cu caracter personal, explică Bogdan Manolea.
„Statul dă legi, dar nu legea este problema, să vii cu noi obligații de raportare, ci să creezi sisteme și oamenii care să preîntâmpine aceste atacuri, sau dacă se întâmplă să știe cum să reacționeze. Ce am văzut la Camera Deputaților, am văzută că au pasat responsabilitatea de la unii la alții”, spune el.
Instituțiile publice nu sunt însă responsabilizate, întrucât în caz de incident de securitate, autoritatea dă un avertisment și dispune un plan de măsuri, ceea ce nu le constrânge să acorde o atenție mai mare protecției datelor cu caracter personal, insistă specialistul.
În schimb, „firmele plătesc amenzi de mii de euro pentru abateri de la legile GDPR.”
„Aceste lacune trebuie corectate, în rest este suficient ca legislația existentă să se aplice, în mod corect; pe GDPR, legislația spune să vezi dacă anumite date personale sunt necesare, dacă sunt, atunci să le securizezi suplimentar”, conchide specialistul.