Peste 5.600 de domenii .ro, adica mai putin de 1% din total, au fost compromise de atacuri informatice in primul semestru al acestui an, arata un raport al Centrului National de Raspuns la Incidente de Securitate Cibernetica. Peste 12,5% din plaja de IP-uri alocata Romaniei este infectata cu diverse variante de malware, majoritatea alertelor de tip botnet vizand utilizatori de tip rezidential, se mai precizeaza in raport.

In calitate de punct national de contact cu privire la incidente de securitate cibernetica, in perioada 1 ianuarie ￢ 30 iunie.2013, CERT-RO a fost sesizat de catre diversi parteneri interni si internationali, cu referire la incidente de securitate cibernetica ce au implicat sau afectat sisteme informatice si de comunicatii electronice de pe teritoriul national al Romaniei.

CERT-RO a intocmit un raport de analiza cu privire la alertele de securitate cibernetica, primite in perioada de referinta, ce are ca scop prezentarea unei viziuni de ansamblu asupra acestor tipuri de evenimente

• Centrul spune ca 5.678 domenii ".ro" au fost compromise, reprezentand mai putin de 1% din totalul domeniilor existente; dintre acestea peste 51% au suferit atacuri de tip defacement, iar 43% au fost infectate cu diverse variante de malware. In august erau inregistrate 691.419 domenii .ro.

• Peste 12,5% din plaja de IP-uri alocata Romaniei este infectata cu diverse variante de malware, majoritatea alertelor de tip botnet vizand utilizatori de tip rezidential (home user).

Aproximativ 90% din alertele primite de CERT-RO vizeaza computere din Romania, infectate cu diverse variante de malware, ce fac parte din retele de tip botnet;

Amenintarile de natura informatica, asupra spatiului cibernetic national s-au diversificat, fiind observate evolutii atat la cantitate, cat si la complexitate, se mai spune in raport.

Cei de la CERT-RO spun ca Romania nu mai poate fi considerata doar o tara generatoare de incidente de securitate cibernetica, analiza datelor prezentate demonstrand caracterul intermediar/de tranzit al unor resurse informatice semnificative conectate la reteaua Internet in Romania.

In primul semestru analistii CERT-RO au preluat o serie de incidente de securitate cibernetica, raportate direct de catre persoane sau organizatii din tara sau strainatate. Vorbim de 140 de alerte individuale, peste jumatate dintre ele venind de la entitati din domeniul bancar.

• "Printre dificultatile intampinate in activitatea de raspuns la incidente de securitate cibernetica, putem mentiona lipsa prevederilor legale exprese referitoare la responsabilitatile legate de notificarea, raspunsul, combaterea si eliminarea efectelor incidentelor de securitate de catre autoritatile statului sau entitatile din domeniul privat, ceea ce duce la ingreunarea activitatilor de raspuns in timp real la astfel de incidente. In acest context, consideram necesara completarea cadrului normativ national cu prevederile continute de unele documentele existente la nivel European", spune CERT-RO la finalul raportului.

Centrul National de Raspuns la Incidente de Securitate Cibernetica - CERT-RO - este o structura insarcinata cu prevenirea, analiza, identificarea si reactia la incidentele de securitate cibernetica ale sistemelor informatice.

Sursele de date pentru raport

CERT-RO colecteaza date despre incidente, evenimente sau alerte de securitate cibernetica, din mai multe tipuri de surse, respectiv:

1) Alerte colectate si transmise prin intermediul unor sisteme automate (ex: honeypots). Acest tip de alerte sunt transmise numai de catre organizatii specializate, precum alte CERT-uri sau companii de securitate, ce detin sisteme de detectie a incidentelor de securitate cibernetica. Numarul acestora este semnificativ mai mare decat al altor tipuri de alerte, putand ajunge la valori de aprox. 500.000 alerte zilnice.

2) Alerte individuale, transmise de diverse entitati, persoane fizice sau juridice din tara sau strainatate, referitoare la anumite incidente de securitate cibernetica. Numarul acestui tip de alerte se ridica la aproximativ 5-10 alerte zilnice.

3) Informatii colectate de catre CERT-RO, din diverse surse. In aceasta categorie intra diverse informatii colectate din surse publice sau cu acces reglementat (ex: site-uri de profil, companii de securitate etc.) referitoare la anumite vulnerabilitati, amenintari sau chiar incidente de securitate cibernetica.

In primele sase luni au fost primite in total 17,5 milioane de alerte, iar numarul total de IP-uri unice extrase din aceste alerte este de circa 1,71 milioane.

In raport sunt sunt prezentati 20 de furnizori de servicii internet (ISP), in retelele carora au fost detectate IP-uri care genereaza trafic malitios, vizibil in internet (sortat dupa numarul de IP-uri compromise gazduite). Cele mai mu;te IP-uri, peste 828.000 au fost la RCS&RDS, aproape 570.000 au fost in Romtelecom, iar 91.000 la UPC.

CERT.RO face precizarea ca prezenta unui IP compromis/infectat in reteaua unui ISP nu inseamna ca furnizorul de servicii internet (ISP) se face vinovat de respectivul incident. De cele mai multe ori, IP-ul infectat, care a generat alerta, reprezinta un client al respectivului furnizor de servicii internet, iar responsabilitatea asupra traficului generat, asupra dezinfectarii precum si asupra securizarii corespunzatoare a sistemului informatic revine in totalitate clientului.

In functie de repartizarea geografica a IP-uriloe raportate, la 1,45 milioane s-a reusit identificarea locatiei geografice a acestora pe baza serviciului de geo-localizare oferit de MaxMind. Astfel, 288.000 sunt din Bucuresti, iar 61.000 din Iasi.