Hakerzy atakują nietypowy cel i kradną miliony

Hakerzy atakują nietypowy cel i kradną miliony25.01.2011 11:51
Źródło zdjęć: © John Foxx/Thinkstock

W środę wieczorem na terenie całej Unii Europejskiej zamarł handel certyfikatami uprawniającymi do emisji dwutlenku węgla. Powodem był atak hakerów. Cyberprzestępcom udało się złamać zabezpieczenia rejestrów, wykraść prawa do emisji CO2 i natychmiast je upłynnić. Ofiarami cyberataku padły m.in. Czechy, Grecja i Austria. Szacuje się, że uprawnienia skradzione w samych Czechach miały wartość 7 milionów Euro

Unia Europejska ściśle określa poziom dwutlenku węgla, jaki rocznie może emitować jedno przedsiębiorstwo. Przedsiębiorstwa, które przekraczają ten limit, mogą kupować pozwolenia na emisję CO2 od podmiotów, które ich nie potrzebują. O ile jednak uprawnienia do emisji CO2 otrzymują firmy, które wytwarzają duże ilości dwutlenku węgla, np. elektrownie czy fabryki, o tyle handlować pozwoleniami może każdy - przedsiębiorstwo energetyczne, instytucja, organizacja, a nawet osoba fizyczna. Mechanizm ten buduje rynek obrotu certyfikatami upoważniającymi do emisji CO2. Rynek na tyle potężny i dochodowy, by zainteresować cyberprzestępców.

Źródło zdjęć: © (fot. John Foxx/Thinkstock)
Źródło zdjęć: © (fot. John Foxx/Thinkstock)

Legalny handel pozwoleniami na emisję CO2 obwarowany jest jednym warunkiem –. należy założyć konto w którymś z 27 rejestrów krajowych, będących częścią unijnego systemu EU ETS (EU Emission Trading System). - To właśnie dane dostępowe do krajowych rejestrów znalazły się na celowniku cyberzłodziei – komentuje Michał Iwan, Dyrektor Zarządzający F-Secure Polska. – Hakerzy przechwytują je tak samo jak hasła bankowe, najczęściej stosując „phishing”, czyli podszywając się pod godne zaufania instytucje lub osoby w celu wyłudzenia danych dostępowych. Podobnie było w tym przypadku. Złodzieje podszywali się pod osoby zarządzające krajowymi rejestrami, prosząc o podanie loginu i hasła do systemu. Nieostrożność użytkowników, którzy takich informacji udzielili, to jednak nie jedyna przyczyna kradzieży. Nie mniej kluczowy okazał niski poziom zabezpieczeń unijnego systemu do obrotu certyfikatami. W części krajów UE, aby zalogować się do rejestru, wystarczy podać login i hasło. Nie stosuje się dodatkowych metod autoryzacji,
jak choćby jednorazowe hasło SMS czy token z dodatkowym kodem zabezpieczającym.

Unijni urzędnicy przyznają, że problem związany ze zbyt łatwym dostępem do krajowych rejestrów dotyczy połowy państw członkowskich. W krajach tych zalogowanie się do unijnego rejestru nie wymaga dwuetapowej procedury identyfikacji użytkownika, mimo, że procedura taka powszechnie stosowana jest w systemach do obsługi e-bankowości.

- Atak, zbliżony do tego, który aktualnie paraliżuje unijny handel pozwoleniami na emisję CO2. miał miejsce już wcześniej, ok. rok temu, w Niemczech – zauważa Michał Iwan. – Unijni urzędnicy nie podjęli jednak kroków zmierzających do uszczelnienia dostępu do rejestrów i podniesienia standardów bezpieczeństwa. Dziś tłumaczą, że wówczas nie było przesłanek wskazujących na to, że atak może się powtórzyć i to na taką skalę.

Maria Kokkonen, rzecznik prasowy Connie Hedegaard, unijnej komisarz ds. polityki klimatycznej, w oficjalnym oświadczeniu wydanym w czwartek stwierdziła: - Zabezpieczenie krajowych rejestrów w obrocie pozwoleniami na emisję CO2 jest obowiązkiem poszczególnych państw członkowskich. Dodaje jednak, że do 201. roku Unia zamierza podjąć kroki zmierzające do unifikacji systemu w ramach państw członkowskich i stopniowego wycofania rejestrów krajowych. Maria Kokkonen nie odniosła się jednoznacznie do nieoficjalnych informacji przekazanych mediom przez anonimowego unijnego urzędnika, który twierdzi, że za atakiem stoją pracownicy przedsiębiorstw korzystających z rejestrów. Natomiast Komisja Europejska na specjalnym spotkaniu zwołanym w ubiegły piątek poleciła wszystkim krajom członkowskim zaktualizować zabezpieczenia krajowych rejestrów przed dostępem niepowołanych osób.

Z kolei BlueNext, paryska giełda odpowiedzialna za handel uprawnieniami do emisji gazów cieplarnianych w Europie, zwróciła się do władz Czech i Austrii o przekazanie listy numerów seryjnych skradzionych certyfikatów, aby wycofać je z rynku. Ma to na celu upewnienie nabywców, że nie są w posiadaniu zezwoleń, które wkrótce mogą zostać unieważnione. Już dziś podnoszony jest także temat odszkodowań dla przedsiębiorców z tytułu strat poniesionych na skutek kupna skradzionych certyfikatów.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA