Conform autorităţilor bulgare, din populaţia de 7,1 milioane de bulgari, 70% dintre aceştia au aflat că datele pe care instituţia respectivă le stoca, au căzut prada unui atac cibernetic.

Cum de au scăpat ceilalţi 30%? Spre norocul lor, ANAF-ul bulgar deţine doar date despre contribuabili, din această categorie nefăcând parte, sper exemplu, persoanele minore. 

Câţi români sunt afectaţi de acest incident?

Gabriel Puiu, expert în securitate cibernetică, a confirmat, într-un interviu acordat pentru pentru B1.ro, că mii de români care îşi au firma sau maşina înregistrată în Bulgaria se numără printre „victimele“ acestui atac informatic.

„Cei care au înmatriculată maşina în Bulgaria au toate datele din buletin, plus probabil adresa curentă, probabil şi numărul de telefon, în baza de date de acolo. Aşa că cei care vor pune mâna pe date, le pot folosi, pentru că aceste date nu râmân într-un singur loc, ele ajung pe internet pe partea publică.“

„Sunt cazuri similare acum cu oameni care trimit mailuri, cu facturi false, cu linkuri, ei de acolo au mailurile din astfel de breşe. Când cineva pune mâna pe această breşă, va vedea că e şi România pe acolo, va sorta şi va extrage fiecare român şi cel mai probabil, se vor trezi sunaţi cu tot felul de metode de păcăleală, de social engineering o să li se spună diferite chestii o să li se ceară tot felul de date şi probabil vor fi păcăliţi în diverse moduri“, a declarat Gabriel Puiu.

Cum a început „telenovela“?

Conform celor de la NY Times, vulnerabilitatea sistemului autorităţii fiscale bulgare a fost exploatată încă din luna iunie şi a continuat până în momentul în care a fost făcută publică, la începutul acestei săptămâni, după ce posturile de ştiri din Bulgaria au primit un e-mail (venit de pe o de e-mail rusească, Yandex), prin care o persoană îşi asuma „meritele“ pentru nemilosul atac. 

„Valoarea acestui tip de date ar putea varia de la 10 dolari la câteva sute pe identitate. Ati asistat la un atac cibernetic care ar putea fi în valoare de 200 milioane de dolari“ a declarat David Balson, Directorul de informaţii al Ripjar, o companie de securitate din Marea Britanie.

În acelaşi timp, prin prisma prevederilor Regulamentului privind protecţia datelor (faimosul GDPR), ANAF-ul bulgăresc se poate aştepta la o amendă de 20 de milioane de euro pentru nerespectarea articolului 32 din GDPR, mai exact neimplementarea măsurilor tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

De ce consideră bulgarii că în spatele atacului s-ar afla Rusia

Deşi poliţia bulgară a declarat că ancheta este încă în faza incipientă, unii oficiali au sugerat că Rusia ar fi putut fi în spatele atacului, ca represalii pentru realizarea celei mai mari achiziţii de echipament militar, cheltuind aproape 1,3 miliarde de dolari pentru a cumpăra opt avioane de luptă F-16 din Statele Unite.

Mladen Marinov, ministrul de Interne al Bulgariei, a declarat că autorităţile trebuie să ia în considerare contextul politic în care a avut loc incidentul, o referire clară la relaţiile Bulgariei cu Rusia.

Se cauta un ţap ispăşitor?

Investigaţia privind furtul informaţiilor personale a aproape tuturor adulţilor din Bulgaria a condus la arestarea unui tânăr programator (20 de ani), angajat al unei firme de securitate cibernetică, a anunţat miercuri poliţia bulgară. 

În ciuda acestei arestări, au existat unele speculaţii conform cărora furtul de date ar fi fost, de fapt, un atac ce poartă numele de „pălărie albă“, adică un „ethical hacking“ comis cu scopul de a expune vulnerabilităţile reţelelor guvernamentale şi de a crea presiuni publice pentru remedierea acestora.

Cu toate acestea, avocatul domnului Boikov (tânărul suspectat pentru atac), a declarat că acesta a fost denunţat politiei de către o companie concurenţială în domeniul securităţii informatice, susţinând că acesta nu ar avea nici o implicare în atacul asupra sistemelor informatice ale ANAF-ului bulgar. Acesta a mai adăugat ca Boikov este un expert în domeniul său şi nu ar fi fost niciodată prins dacă ar fi dorit să comită un asemenea atac. 

Marţi, în aceeaşi zi în care suspectul la fost reţinut, buletinele de ştiri bulgare au primit un alt e-mail de pe aceeaşi adresă rusească. Presa bulgară scrie că autorul critică guvernul bulgar, ironizându-i chiar, susţinând că securitatea cibernetică a bulgarilor este o glumă. 

Acesta le-a transmis că autorităţile bulgare nu îl vor găsi niciodată. „Ei vor acoperi doar adevărul real“, a scris presupusul hacker. 

Ce rămâne de făcut după ce ţi-au fost furate datele a 70% din populaţia tării?

Imediat după răspândirea în media a ştirii, Premierul bulgar Boiko Borisov a convocat o reuniune de urgenţă a tuturor serviciilor din domeniul aplicării legii, în vederea examinării riscurilor la adresa securităţii naţionale.

Poate cea mai importantă măsura a fost decizia Guvernului de a solicita ajutorul agenţiei europene în domeniul securităţii cibernetice.

Este de aşteptat ca sistemele critice din Bulgaria să înregistreze o creştere a numărului atacurilor cibernetice, în urma „succesului“ răsunător al acestui atac, instituţiile Bulgare dovedindu-se a fi nepregătite în prevenirea şi combaterea unor astfel de incidente.

ONG-urile sar în ajutorul victimelor acestui furt de date

Conform estimărilor, mii de români care îşi au firma sau maşina înregistrată în Bulgaria sunt „victimele“ acestui atac informatic, având dreptul conform art.77 din Regulamentul 679/2016 (GDPR) să depună o plângere la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) şi la Autoritatea de Supraveghere din Bulgaria (Комисия за защита на личните данни). 

ASCPD militează pentru îmbunătăţirea gradului de conştientizare ale persoanelor vizate cu privire la tehnologiile şi legile care pun în pericol viaţă privată, pentru a se asigura că publicul este informat şi implicat. În cazul acestui incident de securitate deosebit de grav, membrii ASCPD au decis să ofere asistenţă şi consiliere de specialitate gratuită persoanelor vizate afectate.

Accesând site-ul asociaţiei. fiecare persoană din România care se află în evidenţele Agenţiei Naţionale de Administrare Fiscală din Bulgaria, poate să solicite ajutorul ASCPD, prin completarea unui simplu formular. Membrii ASCPD vor asista fiecare solicitant în procesul de exercitare a drepturilor care provin din Regulamentul UE 679/2016. 

Uniunea Europeana se înarmează pentru a lupta cu astfel de atacuri

Regulamentul 679/2016 (GDPR) este poate cea mai cunoscută măsură legislativă la nivel european privind protecţia persoanelor vizate în ceea ce priveşte prelucrarea datelor cu caracter personal, dar nu este singurul as din mâneca UE în  lupta cu pericolele pe care era digitala le-a creat.

Directiva NIS (Networking Information Security) este unul dintre răspunsurile Uniunii Europene la atacurile cibernetice tot mai virulente şi care profită de vulnerabilităţile infrastructurilor IT depăşite din punct de vedere tehnologic.  Scopul ei este creşterea încrederii cetăţenilor şi stimularea dezvoltării Pieţei Digitale Unice. 

Impactul directivei NIS va consta în crearea de structuri şi mecanismele necesare pentru cooperarea strategică şi operaţională între statele membre, pentru a asigura creşterea nivelului de rezistenţă al reţelelor şi al sistemelor informatice de pe teritoriul Uniunii Europene.

O altă „armă“ a Uniunii Europene este Regulamentul (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor, cunoscut drept Legea privind securitatea informatică (Cybersecurity Act), care stabileşte cadrul UE pentru certificarea securităţii informatice, care promovează securitatea informatică a produselor şi serviciilor digitale în Europa. 

Cert este că toate aceste directive şi regulamente europene, aplicabile în întreg Spaţiul Economic European,  urmăresc întărirea sistemului de apărare, dezvoltând un cadru omogen şi coerent în întreaga UE şi instaurând mecanisme de cooperare extrem de importante în special în situaţiile de criză. Deşi sunt în vigoare în acest moment, acestea încă nu au ajuns la maturitatea absolută, însa au impus un traseu care va trebui inevitabil urmat şi care va împinge atât operatorii, cât şi instituţiile europene să depună eforturile necesare pentru a preveni astfel de atacurile informatice.