Numărul alertelor colectate de CERT-RO în anul 2016 a crescut cu 61,55% față de anul 2015

Potrivit raportului anual al Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), în anul 2016 au fost colectate și procesate 110.194.980 alerte de securitate cibernetică (în creștere cu 61.55% față de anul 2015), care au afectat un număr de 2.920.407 adrese IP unice.

Vă mai aduceți aminte de discuțiile din toamna anului trecut despre vulnerabilitățile internetului actual? Atunci se spunea că România se află pe lista neagră a țărilor generatoare de incidente de securitate cibernetică. Ei bine, această informație a fost confirmată astăzi de către CERT-RO. Si nu discutăm despre câteva cazuri izolate ci de o creștere semnificativă.

Am auzit persoane care susțineau că pericolul a trecut. A fost an electoral. Îmi vine să răd. La următoarele alegeri o luăm de la capăt? A fost doar o coincidență. Mediul online nu este o scenă pe care se perindă actori cu drept de decizie.

În urma analizării alertelor de securitate cibernetică colectate de CERT-RO în anul 2016, au fost constatate următoarele:

• 38,72% (2,92 mil.) din totalul IP-urilor unice alocate spațiului cibernetic național au fost implicate în cel puțin o alerta de securitate cibernetica procesată de CERT-RO în anul 2016, față de 26% (2,3 mil.) în anul 2015;
• 81,39% (89,68 mil.) din alertele colectate și procesate vizează sisteme informatice vulnerabile, în sensul că acestea sunt nesecurizate sau configurate necorespunzător. Unele dintre aceste sisteme informatice vulnerabile sunt utilizate de atacatori pentru lansarea de atacuri cibernetice asupra altor ținte și pentru mascarea identității, de cele mai multe ori nefiind necesară compromiterea acestora ci doar simpla utilizare a serviciilor disponibile;
• 12,81% (14,12 mil.) din alertele colectate și procesate vizează sisteme informatice infectate cu diferite variante de software malițios (malware) de tip botnet, caracterizat prin faptul că dispune de mecanisme ce permit atacatorilor să controleze de la distanță sistemele informatice infectate;
• 58,98% (2.38 mil.) din numărul total de incidente rezultate din procesarea alertelor de securitate cibernetică reprezintă sisteme informatice vulnerabile, acestea putând fi utilizate în derularea de atacuri cibernetice asupra unor ținte din Internet, existând posibilitatea ca unele dintre atacuri să fie realizate fără compromiterea sistemelor;
• 40,96% (1,65 mil.) din numărul total de incidente rezultate din procesarea alertelor (secțiunea 3.2) reprezintă sisteme informatice ce fac parte din rețele de tip botnet, acestea putând fi utilizate în derularea de atacuri cibernetice asupra unor ținte din România sau externe;
• 10,639 de domenii „.ro” au fost raportate la CERT-RO ca fiind compromise în anul 2016, în scădere cu aproximativ 40% față de anul 2015 (17.088). Din totalul de 896.726 domenii înregistrate în România în luna decembrie 2016 (421.973 fiind active ), numărul reprezintă aproximativ 1,19% din totalul domeniilor ”.ro” și aproximativ 2,52% din totalul domeniilor “.ro” active.

În baza constatărilor de mai sus, pot fi formulate următoarele concluzii:

• majoritatea alertelor colectate se referă la sisteme informatice vulnerabile (configurate necorespunzător sau nesecurizate) și la sisteme informatice infectate cu diverse variante de malware de tip botnet;
• oricare dintre cele două tipuri de sisteme informatice menționate mai sus pot fi folosite ca interfață (proxy) pentru desfășurarea unor atacuri asupra unor ținte din afara țării, reprezentând astfel potențiale amenințări la adresa altor sisteme conectate la Internet;
• dispozitivele sau echipamentele de rețea de uz casnic (ex.: routere wireless), sau cele care fac parte din categoria Internet of Things (IoT) (camere web, smart TV, smartphone, imprimante etc.), odată conectate la Internet, devin ținta atacatorilor, iar vulnerabilitățile acestora sunt exploatate de către aceștia pentru a compromite rețeaua din care fac parte, sau pentru lansarea de atacuri asupra altor ținte din Internet;
• România este atât o țară generatoare de incidente de securitate cibernetică, cât și cu rol de proxy (de tranzit) pentru atacatori din afara spațiului național prin prisma utilizării unor sisteme informatice vulnerabile sau compromise, ce fac parte din spațiul cibernetic național;
• amenințările și vulnerabilitățile de natură cibernetică la adresa spațiului cibernetic național continuă să se diversifice, aspect evidențiat prin faptul că în anul 2016, CERT-RO a introdus noi tipuri de alerte.

În pofida aspectelor tehnice ce fac imposibilă identificarea numărului exact de dispozitive sau persoane afectate, din spatele celor aproximativ 2,9 mil. de adrese IP, sau 110 mil. de alerte raportate la CERT-RO, este important de reținut că acestea acoperă aproximativ 38,72% din spațiul cibernetic național (raportat la nr. de IP-uri alocate RO) și ca urmare sunt necesare măsuri de remediere a situației, prin implicarea tuturor actorilor cu responsabilități de ordin tehnic sau legislativ.

Domenii ”.ro” compromise

Pentru perioada de referință, CERT-RO a primit alerte referitoare la 10.639 de domenii ”.ro” compromise. Din 896.7264 domenii înregistrate în România, în luna decembrie 2016, numărul reprezintă aproximativ 1,19% din totalul domeniilor ”.ro” și aproximativ 52% din totalul domeniilor “.ro” active.

Raportul integral poate fi accesat în format pdf pe cert.ro.