Avizul Comitetului Economic și Social privind atacurile cibernetice în UE, Publicat în Jurnalul Oficial al Uniunii Europene C 451/31 din 16.12.2014

La 27 februarie 2014, în conformitate cu articolul 29 alineatul (2) din Regulamentul de procedură, Comitetul Economic și Social European a hotărât să elaboreze un aviz din proprie inițiativă pe tema Atacurile cibernetice în UE. Este o tematică de mare interes pentru avocaţi, având în vedere că sunt obligaţi să păstreze secretul professional şi să asigure confidenţialitatea comunicărilor cu clienţii lor.

Avizul cuprinde recomandări privind politicile de apărare împotriva atacurilor cibernetice, defineşte şi descrie în mod amănunţit  modalităţile şi tehnicile de atac cibernetic, detaliază  tipurile de fraude şi consecinţele pe care le pot avea aceste atacuri asupra economiei şi asupra întreprinderilor individuale, precum şi măsurile pe care acestea le pot lua pentru a se apăra.

Un atac cibernetic înseamnă “orice tip de acțiune ofensivă care vizează sistemele de informare pe calculator, infrastructurile, rețelele informatice și/sau terminalele digitale personale prin diferite mijloace ale unor acțiuni răuvoitoare cu intenţia de a fura, a modifica sau a distruge un anumit obiectiv. Obiectivul poate consta în bani, date sau tehnologie cibernetică”.

Tehnicile atacurilor cibernetice evoluează în permanență:

• Un atac informatic implică, de obicei, utilizarea unui vector de atac din partea unui infractor, prin care acesta ajunge să aibă acces la date de identitate online, la un calculator sau un server de rețea pentru a obține un rezultat rău-intenţionat. Printre vectorii tipici de atac se numără dispozitivele USB, fișierele atașate în e-mailuri, paginile web, ferestrele pop-up, mesajele instantanee, spaţiile de chat și înșelăciunile de tipul atacurilor phishing.
• Cele mai comune forme de atac implică transmiterea de programe malware. Prin malware se înţelege o aplicaţie de software care poate prelua controlul asupra unui dispozitiv digital pentru atingerea obiectivului infracţional, de exemplu pentru a sustrage datele de conectare sau bani sau pentru a transmite aplicaţia către alte dispozitive. Malware include şi virușii informatici [inclusiv viermi informatici (worms) şi programe disimulate (Trojan horses)], ransomware, programe-spion, adware, scareware și alte tipuri de programe răuvoitoare. Astfel, prin ransomware se înțelege un anumit tip de malware care blochează accesul la sistemul de calculator infectat, solicitând o sumă de răscumpărare pentru a-l debloca.
• De asemenea, programele de malware pot transforma un calculator într-un așa-numit bot, conectat la o rețea botnet sau o rețea zombie, pe care infractorul le controlează pentru a lansa atacuri împotriva victimelor.
• Un atac de tip spam are loc atunci când infractorul trimite mesaje de e-mail nesolicitate, deseori pentru a induce în eroare victima cu scopul de a o face să cheltuie bani pe produse contrafăcute. Rețelele botnet sunt utilizate pentru a transmite majoritatea mesajelor spam.
• Atacurile de tip phishing sunt încercări de a fura numele de utilizator, parolele și detaliile privind cardurile de credit, pretinzând a fi o entitate de încredere; astfel infractorul putând dobândi controlul asupra conturilor de e-mail, de rețele sociale și asupra conturilor bancare ale victimei. Atacurile de phishing sunt deosebit de eficiente pentru săvârșirea acestor infracţiuni, deoarece 70 % dintre utilizatorii de internet aleg aceeași parolă pentru aproape toate serviciile de internet pe care le utilizează.
• Uneori, infractorii iniţiază atacuri de tip denial-of-service (DoS) pentru a obține bani de la organizații sau întreprinderi. Un atac DoS este o încercare de a face un calculator sau o rețea inaccesibilă pentru utilizatori prin saturarea acestuia cu cereri de comunicare externă, astfel încât el nu mai poate răspunde traficului de date legitim, sau răspunde atât de lent încât devine, în realitate, indisponibil. La fel, botnet-urile sunt utilizate de infractori pentru atacuri de tip DoS.

Avizul cuprinde recomandări cu privire la crearea unor structuri la nivel UE şi la nivel national pentru a face față complexității punerii în aplicare a unei politici de securitate informatică, eficace la nivel European şi subliniază necesitatea educaţiei cetățenilor în materie de securitate cibernetică și de protecție a datelor care ar trebui să devină un element fundamental al programelor şcolare și al programelor de formare la locul de muncă.