Conform ultimei alerte generate de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), s-a identificat o creştere semnificativă a atacurilor cu programe de tip ransomware la nivel naţional, în special în cadrul instituţiilor din domeniul sănătăţii.

Ce este un ransomware

Programele de tip ransomware sunt aplicaţii ce blochează sau restricţionează accesul utilizatorului la sistemul informatic sau la datele în format electronic, până în momentul în care se plăteşte o răscumpărare către infractorii cibernetici. Atacul cu ransomware a devenit o metodă preferată de grupările de criminalitate informatică, odată cu apariţia monedelor virtuale ce facilitează primirea răscumpărării.

Vestea mai puţin bună este că, în momentul în care sistemul informatic este infectat cu un ransomware, opţiunile sunt limitate:

  • prima opţiune este plata răscumpărării, pentru a debloca accesul la sistemul sau la datele în format electronic criptate. Acest lucru nu se recomandă, întrucât plata răscumpărării invită la atacuri viitoare şi nu reprezintă o garanţie a faptului că atacatorii vor livra cheia de decriptare în urma plăţii. Au existat cazuri în care victimele au rămas cu datele criptate, cu toate că aceştia onoraseră răscumpărarea. În plus, odată ce se cunoaşte faptul că o instituţie a realizat o astfel de tranzacţie, vor urma atacuri adiţionale similare pentru remuneraţii progresive.

  • a doua opţiune este refuzul plăţii, ceea ce ar reduce şansele unor atacuri viitoare, dar implică riscul nerecuperării datelor. În acest caz, există instituţii abilitate ce pot oferi ajutor de specialitate victimelor.


Cele mai multe atacuri de acest gen nu sunt direcţionate specific, ci sunt atacuri cibernetice de oportunitate. Grupările de criminalitate informatică vizează instituţii şi organizaţii cu sisteme informatice vulnerabile, ce nu au implementate măsuri minime de securitate cibernetică, pentru a le infecta şi a obţine beneficii materiale. Preferinţele acestora sunt de regulă îndreptate către instituţiile din domeniile critice, care nu îşi permit să lase sistemele informatice deconectate pentru perioade prelungite, amplificând astfel şansele pentru plata răscumpărării.

Spitalele sunt, de asemenea, ţinte preferate de infractorii cibernetici. Spre deosebire de alte instituţii care au integrat tehnologia treptat, pe parcursul a mai multor ani, digitalizarea în domeniul medical a fost realizată recent. Din acest motiv, nu se alocă resursele necesare pentru asigurarea securităţii sistemelor informatice, ceea ce le face deosebit de vulnerabile la atacurile cibernetice.

Directiva NIS (Network and Information Security)

FOTO: Europa EU

În contextul sistemelor informatice din domenii critice, se aminteşte Directiva NIS (Network and Information Security) - Directiva (UE) 2016/1148 a Parlamentului European şi a Consiliului din 6 iulie 2016, ce are ca scop creşterea nivelului de pregătire a statelor membre ale Uniunii Europene pentru a face faţă incidentelor de securitate cibernetică. Aceasta urmăreşte îmbunătăţirea capabilităţilor naţionale, promovarea unei culturi a gestionării riscurilor şi a raportării incidentelor de securitate cibernetică, atât în rândul operatorilor de servicii esenţiale, cât şi a furnizorilor de servicii digitale din statele membre.

Directiva NIS este transpusă la nivel naţional prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, ce a intrat în vigoare de la 12 ianuarie 2019. Legea se adresează operatorilor de servicii din 7 sectoare critice: energie, transport, bancar, infrastructuri ale pieţei financiare, sănătate, furnizarea şi distribuirea de apă potabilă, infrastructură digitală, precum şi furnizorilor de servicii digitale: magazine online, motoare de căutare şi servicii de cloud computing.

Conform art. 25 alin. (2), Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) va elabora ghiduri în sprijinul implementării măsurilor minime de securitate pentru operatorii de servicii esenţiale şi furnizorii de servicii digitale prevăzuţi în Legea nr. 362/2018. Câteva din normele tehnice ce vor fi elaborate de CERT-RO vor viza conştientizarea şi instruirea utilizatorilor, testarea şi evaluarea securităţii reţelelor şi sistemelor informatice, răspunsul la incidente, analizarea şi evaluarea riscurilor, asigurarea protecţiei produselor şi serviciilor aferente reţelelor şi sistemelor informatice, precum şi managementul vulnerabilităţilor şi alertelor de securitate.

Astfel, prin implementarea măsurilor minime de securitate cibernetică pentru operatorii de servicii esenţiale şi furnizorii de servicii digitale, sistemele informatice vor fi mai bine securizate şi mai puţin vulnerabile în faţa atacurilor cibernetice de tip ransomware.

Cum ne putem proteja sistemele informatice


FOTO: Wmep

Atacurile de tip ransomware sunt distribuite prin tehnici de inginerie socială (păcălirea utilizatorului) sau prin exploatarea unor vulnerabilităţi din sistemele de operare. De cele mai multe ori, infecţiile sunt posibile din cauza neatenţiei sau neinformării corespunzătoare a utilizatorilor cu privire la riscurile asociate spaţiului cibernetic.

Pentru a ne feri de infectarea sistemelor, este necesară o atenţie sporită la conţinutul mesajelor din cadrul e-mailurilor sau reţelelor de socializare. Astfel, este recomandat:

  • să nu se deschidă fişierele ataşate unor mesaje ce provin de la persoane necunoscute sau au un conţinut contestabil. În cazul în care deschiderea acestor fişiere este necesară, acestea trebuie mai întâi descărcate local şi apoi scanate cu o soluţie de tip antivirus actualizată;
     
  • să nu se deschidă link-urile din cadrul unor mesaje suspecte. Se poate verifica destinaţia reală a link-urilor prin trecerea cursorului mouse-lui peste acesta şi vizualizarea adresei reale în partea stânga-jos a ferestrei browser-ului. În cazul în care accesarea link-ului este necesară, nu se recomandă accesarea directă, ci copierea link-ului şi deschiderea acestuia într-o altă pagină a browser-ului.


Pentru securizarea sistemele informatice, ar trebui să se:

  • actualizeze periodic sistemele de operare. Indiferent de sistemul de operare folosit: Windows, Linux, MacOS, iOS sau Android, există vulnerabilităţi ce pot fi remediate prin actualizarea acestora;
     
  • actualizeze periodic browser-ele de Internet. Se recomandă activarea actualizării automate a acestor aplicaţii;
     
  • instaleze o soluţie de securitate cibernetică, de tip antivirus. Soluţiile ce au implementate funcţiile euristice ajută în prevenirea formelor de malware nedetectate încă. De asemenea, această soluţie trebuie să fie actualizată periodic;
     
  • efectueze periodic copii de siguranţă (back-up). După realizarea copiei de siguranţă, trebuie realizată deconectarea de sistem, deoarece au existat cazuri în care datele au fost infectate atât pentru sistemul de operare, cât şi pentru copie.

Ce putem face în cazul unei infecţii cu ransomware

În cazul în care o persoană sau instituţie este victima unui atac de tip ransomware, se poate apela la numărul unic 1911, lansat prin CERT-RO, pentru raportarea incidentelor de securitate cibernetică.

Numărul 1911 este accesibil din toate reţelele şi poate fi folosit de către persoane fizice, juridice şi instituţii publice, pentru a li se oferi asistenţă primară şi consiliere pentru diagnosticare şi remediere a incidentelor de securitate cibernetică.

Proiectul No More Ransom


FOTO: Europol

Este foarte util de amintit faptul că există proiectul No More Ransom, o iniţiativă a Unităţii Naţionale de Criminalistică din cadrul Poliţiei Olandeze, Centrului European de Criminalistică al Europol şi McAfee, cu scopul de a ajuta victimele ransomware-ului să-şi recupereze datele fără a plăti infractorii cibernetici.

Astfel, în cazul infectării, se poate accesa acest site unde există o suită de instrumente ce pot fi folosite pentru decriptarea datelor.

Trebuie menţionat că în cadrul acestui proiect, atât Poliţia Română, cât şi Bitdefender sunt parteneri asociaţi care au contribuit la dezvoltarea unor noi instrumente de decriptare.

În concluzie, câteva măsuri minime de securitate cibernetică, dublate de atenţie la navigarea pe Internet, la descărcarea sau accesarea link-urilor din cadrul mesajelor de tip e-mail, pot preveni pierderea unor date informatice preţioase private sau ale instituţiei în cauză.