Hakerzy okradli Unię Europejską

(pij)
Hakerzy okradli Unię Europejską. Straty to 28 mln euro.
Hakerzy okradli Unię Europejską. Straty to 28 mln euro. fot. Piotr Jędzura
Udostępnij:
Komisja Europejska czasowo wstrzymała handel prawami do emisji CO2. Powodem jest włamanie hakerów do unijnych rejestrów. Ukradli pozwolenia na emisje dwutlenku węgla. Straty oszacowana na 28 milionów Euro.

W minioną środę wieczorem na terenie całej Unii Europejskiej zamarł handel certyfikatami uprawniającymi do emisji dwutlenku węgla. Powodem był atak hakerów. Cyberprzestępcom udało się złamać zabezpieczenia rejestrów, wykraść prawa do emisji CO2 i natychmiast je sprzedać. Ofiarami cyberataku padły m.in. Czechy, Grecja i Austria. Szacuje się, że uprawnienia skradzione w samych Czechach miały wartość siedmiu milionów Euro.

Unia Europejska ściśle określa poziom dwutlenku węgla, jaki rocznie może emitować jedno przedsiębiorstwo. Przedsiębiorstwa, które przekraczają ten limit, mogą kupować pozwolenia na emisję CO2 od firm, które ich nie potrzebują. O ile jednak uprawnienia do emisji CO2 otrzymują firmy, które wytwarzają duże ilości dwutlenku węgla, np. elektrownie czy fabryki, o tyle handlować pozwoleniami może każdy - przedsiębiorstwo energetyczne, instytucja, organizacja, a nawet osoba fizyczna. Mechanizm ten buduje rynek obrotu certyfikatami upoważniającymi do emocji CO2. Rynek na tyle potężny i dochodowy, by zainteresować cyberprzestępców.

Legalny handel pozwoleniami na emisję CO2 obwarowany jest jednym warunkiem - należy założyć konto w którymś z 27 rejestrów krajowych, będących częścią unijnego systemu EU ETS (EU Emission Trading System). - To właśnie dane dostępowe do krajowych rejestrów znalazły się na celowniku cyberzłodziei - komentuje Michał Iwan, Dyrektor Zarządzający F-Secure Polska. Hakerzy przechwytują je tak samo jak hasła bankowe, najczęściej stosując "phishing", czyli podszywając się pod godne zaufania instytucje lub osoby w celu wyłudzenia danych dostępowych.

Podobnie było w tym przypadku. Złodzieje podszywali się pod osoby zarządzające krajowymi rejestrami, prosząc o podanie loginu i hasła do systemu. Nieostrożność użytkowników, którzy takich informacji udzielili, to jednak nie jedyna przyczyna kradzieży. Nie mniej kluczowy okazał niski poziom zabezpieczeń unijnego systemu do obrotu certyfikatami. W części krajów UE, aby zalogować się do rejestru, wystarczy podać login i hasło. Nie stosuje się dodatkowych metod autoryzacji, jak choćby jednorazowe hasło SMS czy token z dodatkowym kodem zabezpieczającym.

Unijni urzędnicy przyznają, że problem związany ze zbyt łatwym dostępem do krajowych rejestrów dotyczy połowy państw członkowskich. W krajach tych, zalogowanie się do unijnego rejestru nie wymaga dwuetapowej procedury identyfikacji.

Atak, zbliżony do tego, który aktualnie paraliżuje unijny handel pozwoleniami na emisję CO2, miał miejsce już wcześniej, ok. rok temu, w Niemczech. Unijni urzędnicy nie podjęli jednak kroków do zwiększenia bezpieczeństwa. Dziś tłumaczą, że wówczas nie było przesłanek wskazujących na to, że atak może się powtórzyć i to na taką skalę.

Maria Kokkonen, rzecznik prasowy Connie Hedegaard, unijnej komisarz ds. polityki klimatycznej, w oficjalnym oświadczeniu wydanym w czwartek stwierdziła: - Zabezpieczenie krajowych rejestrów w obrocie pozwoleniami na emisję CO2 jest obowiązkiem poszczególnych państw członkowskich. Dodaje jednak, że do 2013 roku Unia zamierza podjąć kroki zmierzające do unifikacji systemu w ramach państw członkowskich i stopniowego wycofania rejestrów krajowych. Maria Kokkonen nie odniosła się jednoznacznie do nieoficjalnych informacji przekazanych mediom przez anonimowego unijnego urzędnika, który twierdzi, że za atakiem stoją pracownicy przedsiębiorstw korzystających z rejestrów. Natomiast Komisja Europejska na specjalnym spotkaniu zwołanym w ubiegły piątek poleciła wszystkim krajom członkowskim zaktualizować zabezpieczenia krajowych rejestrów przed dostępem niepowołanych osób.

Z kolei BlueNext, paryska giełda odpowiedzialna za handel uprawnieniami do emisji gazów cieplarnianych w Europie, zwróciła się do władz Czech i Austrii o przekazanie listy numerów seryjnych skradzionych certyfikatów, aby wycofać je z rynku. Ma to na celu upewnienie nabywców, że nie są w posiadaniu zezwoleń, które wkrótce mogą zostać unieważnione. Już dziś podnoszony jest także temat odszkodowań dla przedsiębiorców z tytułu strat poniesionych na skutek kupna skradzionych certyfikatów.

Źródło F-Secure Polska

Lokalny portal przedsiębiorców

Wideo

Komentarze

Komentowanie artykułów jest możliwe wyłącznie dla zalogowanych Użytkowników. Cenimy wolność słowa i nieskrępowane dyskusje, ale serdecznie prosimy o przestrzeganie kultury osobistej, dobrych obyczajów i reguł prawa. Wszelkie wpisy, które nie są zgodne ze standardami, proszę zgłaszać do moderacji. Zaloguj się lub załóż konto

Nie hejtuj, pisz kulturalne i zgodne z prawem komentarze! Jeśli widzisz niestosowny wpis - kliknij „zgłoś nadużycie”.

Podaj powód zgłoszenia

Nikt jeszcze nie skomentował tego artykułu.
Dodaj ogłoszenie