Sari la conținut

EXCLUSIV. Imagini din centrul Cyberint al SRI, locul unde sunt analizate alertele de terorism cibernetic

Centrul Cyberint al SRI. Un loc secret, în care a ajuns pentru prima dată o echipă de televiziune. Pe câteva monitoare uriașe curg sute de informații pe secundă. Sunt atacurile asupra computerelor instituțiilor statului, monitorizate în timp real. Pe ecrane apare o cifră uriașă: 1.051.000 de alerte. În era informațională, spionii sunt cu ochii pe România, țară membră a NATO și a Uniunii Europene. Caută la noi tot felul de date, mai ales cele secrete, aflate în posesia Ministerului de Exerne, celui al Apărării sau la Ministerul Economiei.

Florin Cosmoiu, şeful Centrului Naţional Cyberint din cadrul SRI; „Practic, se încearcă extragerea, exfiltrarea, cum spunem noi, de informații strategice din rețelele acestor ministere sau ale unor companii private pentru promovarea intereselor statelor care le obțin. România nu face o excepție în a fi ținta unor asemenea de atacuri”.

Cătălin Cosoi, specialist în securitate IT: „Vorbim de spionaj la nivel guvernamental, în care instituții de stat au fost infectate și de unde se extrăgeau documente confidențiale, dar nu numai în România. Este noul teren de luptă și din punct de vedere spionaj, și din punct de vedere al supremației”.

Operațiunea „Octombrie Roșu”

Una dintre cele mai importante operaţiuni de acest gen este Octombrie Roşu. Atacul s-a întâmplat în 2013. Specialiştii l-au clasificat drept cel mai grav atac cibernetic la adresa României postdecembriste.

Au fost căutate informaţii legate de politică externă, resurse naturale, politica în Zona Mării Negre şi cea din domeniul economic.

A fost unul dintre cele mai periculoase atacuri: spionii căutau informaţii secrete şi sensibile. În plus, acest tip de atacuri sunt comandate sau sponsorizate de un alt stat.

Florin Cosmoiu, şeful Centrului Naţional Cyberint din cadrul SRI: „În ultimii ani, odată cu dezvoltarea și dependența tot mai mare a oricăror procese care au loc la nivelul societății au apărut și amenințările față de infrastructurile care prelucrează și stochează informații. Au fost identificate mai multe tipologii de atacuri. Atacurile statale, practic atacuri sponsorizate de diverse state care vizează informații strategice ale unei țări, atacuri de tip criminal care vizează obținerea de foloase financiare și atacurile de tip terorist care sunt într-o fază de început, dar evoluțiile s-ar putea să ajungă la un nivel îngrijorător într-un viitor nu foarte îndepărtat.

Interesul spionilor pentru România a crescut în ultimii opt ani.

Florin Cosmoiu, şeful Centrului Naţional Cyberint din cadrul SRI: „Constatăm o creștere a numărului de atacuri, în ceea ce privește atacurile de tip statal identificate: dacă în 2013 am identificat un singur atac, în 2014 deja am ajuns să investigam mai mult de opt atacuri. În perioada actuală, numărul atacurilor de tip statal este în creștere”.

Instituții vulnerabile

Multe dintre instituţiile publice din România sunt vulnerabile în faţa unor astfel de atacuri pentru că folosesc computere învechite şi sisteme de operare care nu sunt aduse la zi. Informaţiile sensibile pot fi puse în pericol chiar şi de funcţionari, prin simpla deschidere a unui e-mail.

Florin Cosmoiu, şeful Centrului Naţional Cyberint din cadrul SRI: „Acestea, de regulă, se produc prin metoda spear phishing, practic prin transmiterea unor e-mailuri cu atașamente malițioase, iar deschiderea acestor atașamente produce practic infectarea calculatorului pe care un utilizator îl folosește. Facem activități de pregătire a personalului, iar principalul sfat este să nu deschidă niciun mail sau atașament de la persoane necunoscute sau e-mailuri nesolicitate.

Viruşii-spion pot face pagube inestimabile. Specialiştii încearcă să analizeze toate alertele care ajung la Centru. Corneliu Radu a studiat de-a lungul timpului milioane de viruşi.

Corneliu Radu, specialist Cyberint: „Un virus te poate surprinde în orice moment, în fiecare zi apar pe piață foarte multe tipuri de viruși, care au diverse capabilități, cum ar fi extragerea credențialelor pentru conectarea la contul bancar, extragerea credențialelor pentru diverse site-uri pe care te conectezi, extragerea de informații din calculator în cazul în care te afli într-o instituție. Acești viruși sunt suficient de inteligenți, sunt creați pentru a extrage ceea ce dorește creatorul lor.

Un virus informatic nu doar atacă, defectează computerul sau șterge informații. În cazul atacurilor instituțiilor, virușii, care rămân ascunși, colectează informațiile și datele pe care au fost programați să le fure. Evoluția lor este atât de spectaculoasă, încât nici cunoscătorii nu reușesc să țină minte toți virușii nou apăruți.

Corneliu Radu, specialist Cyberint: „Sunt foarte, foarte multe familii de viruși pe piață. Este foarte greu să dau un exemplu de un program care m-a surprins. Fiecare are ceva special, care îl face să fie unic în ochiul unui analist, fie modul în care se ascunde, în ceea ce face".

Spionajul care nu lasă urme

Vremurile lui James Bond din anii '70, tipul de spion britanic care se aventura în misiuni periculoase, par să apună. Spionajul pe internet nu lasă urme, iar informaţiile pot fi colectate într-un timp record.

Florin Cosmoiu, şeful Centrului Naţional Cyberint din cadrul SRI„Obiectivul atribuirii atacului, așa cum îl numim noi în limbajul de specialitate, este o problemă extrem de dificilă. Internetul pune la dispoziția oricărui utilizator o serie de instrumente foarte eficiente de anonimizare a utilizatorului. Conectarea se poate face prin intermediul unor servere proxi care sunt instalate oriunde pe acest pământ. Este extrem de dificil să realizezi o investigație”.

Analiştii de la Centrul Cyberint sunt primii care alertează insituţiile atacate.

Gabriela Matei, specialist Cyberint: „Ideal ar fi ca aproape imediat să putem veni cu o informare. Probabil că, în funcție de domeniu, de impactul asupra securității naționale, ea poate să dureze de la o zi la câteva zile. Într-un astfel de produs încercăm să prezentăm cât mai obiectiv și mai succint situația și să dăm câteva recomandări pe care un beneficiar poate sau nu să le implementeze. Dacă nu le implentează și nu se întâmplă nimic, iar situația persistă și se pot pierde informații prețioase. Dacă este un atac în domeniul afaceri externe este cu atât mai grav”

Pentru că este un domeniu în care urmele sunt mai greu de descoperit, organizaţiile teroriste din întreaga lume se apleacă cu tot mai mare interes asupra internetului. Specialiştii susţin că ciber-terorismul este noua provocarea de securitate. Un exemplu vine din Franţa. În aprilie, la scurt timp după atacul de la Charlie Hebdo, emisia şi activitatea postului TV5 Monde au fost blocate complet de un atac cibernetic fără precedent. Acesta a fost revendicat de presupuşi simpatizanţi ai organizaţiei Statul Islamic care au postat pe site-ul televiziunii mesaje fundamentaliste.

Florin Cosmoiu, șeful Centrului Național Cyberint din cadrul SRI: „Perspectivele, nu într-un tip foarte îndepartat, sunt de a recruta specialiști cu o expertiză mai înaltă și obiectivul lor, cel de a crea panică, poate să vizeze infrastructuri cibernetice critice cum ar fi domeniul transporturilor, domeniul energiei, domeniul energiei nucleare, ceea ce ar fi și mai grav”.

Statul Islamic atacă

Anul acesta, în România au fost două cazuri în care site-urile unor publicaţii au fost piratate de simpatizanţi ai grupării Stat Islamic.

Marea masă a românilor este, însă, lovită de atacurile de tip criminal, adică viruşii lansaţi pentru a fura date bancare şi informaţii pe care să le folosească tot pentru a obţine venituri ilegale. Specialiştii IT avertizează asupra unui nou tip de atac.

Augustin Jianu, director general CERT-RO: „Sunt niște atacuri destul de serioase, pentru că sunt criptate datele utilizatorului și solicită o sumă de bani pentru a le putea recupera. Mecanismele tehnice care ne stau la dispoziție sunt de destul de puține. Criptarea este foarte bună și nu se poate sparge”.

Cătălin Cosoi, specialist în securitate IT: „Odată ce te-ai infectat, nu mai există nicio metodă ca să recuperezi fișierele fără să plătești. Ideal ar fi să nu te infectezi de la început. Informațiile pe care le ai în calculator, de regulă, sunt suficient de importante să te nimerească în momentul în care vrei să plătești pentru ele”.

Florin Cosmoiu, șeful Centrului Național Cyberint din cadrul SRI: „În ceea ce priveste România, este mai puțin vizată de atacurile de tip criminal, dar este folosită ca o platformă și chiar se realizează atacuri din România către persoane, cetățeni din alte state, în special spre zonele din vestul Europei și Statele Unite, unde și resursele financiare sunt mult mai mari.

Specialiştii susţin că nu există reţeta succesului pentru a ne proteja de viruşi. Am putea fi, însă, atenţi la câteva detalii.

Corneliu Radu, specialist Cyberint: „Să ai un antivirus adus la zi, să ai un browser care este cât de cât sigur și actualizat, pentru că știu că foarte mulți utilizatori urăsc bulina din dreapta care spune că aveți nu știu câte actualizări și vă rog să le actualizați. Și spunem nu, pentru că se mișcă calculatorul mai greu. Acele actualizări trebuie făcute, pentru că ele pot permite unui atacator să preia controlul asupra calculatorului dumneavoastră”.

În acest context, directorul Cyberint susține că este nevoie de o schimbare a legislației.

Florin Cosmoiu, șeful Centrului Național Cyberint din cadrul SRI: „Tendințele sunt în mod clar de creștere a atacurilor cibernetice, fie că sunt de tip statal, criminal sau terorist. În ceea ce privește România și țările UE, se trece la etapa creării unor reglementări, unor obligații pentru deținătorii de infrastructuri cibernetice”.

În România există şase milioane de computere cu acces la internet. La nivel mondial sunt trei miliarde de utilizatori de internet, adică 40% din populaţia lumii.