Autor: Fraga Țariuc, Expert analiză surse deschise, riscuri și amenințări în securitate cibernetică, DNSC
Dimineața începe normal: ghișeele se deschid, portalul de taxe răspunde rapid, telefoanele sună, oamenii își rezolvă treburile. Apoi, brusc, „nu mai merge nimic”. Un serviciu cade, după care altele îl urmează. Pentru unii apar mesaje despre fișiere „criptate”, alții nu se mai pot autentifica nicăieri. În mai puțin de cinci minute, o „mică problemă IT” devine criză operațională: cozi, nervi, presiune pe echipă și explicații către cetățeni. Întrebarea care contează nu e dacă avem un antivirus bun, ci cum ne asigurăm că serviciile nu se opresc — iar dacă totuși se opresc, cum le repornim repede și în siguranță.
Ce este, de fapt, riscul cibernetic?
Riscul cibernetic este posibilitatea ca o amenințare (de la phishing la atacuri direcționate) să întâlnească o vulnerabilitate (parole slabe, sisteme neactualizate, lipsă de proceduri) și să producă un impact asupra serviciilor și datelor. Nu este doar „o chestiune IT”; în administrația locală, înseamnă întreruperea serviciilor pentru cetățeni, costuri reale și presiune publică.
Radiografia sectorului public: unde ne aflăm acum
Evaluarea recentă din administrația publică centrală arată un profil de risc sectorial „mediu” — o concluzie care nu permite relaxare. Temele recurente sunt aceleași pe care, cel mai probabil, le regăsim și la nivel local: infrastructuri care au nevoie de modernizare, resurse IT limitate, cultură de securitate încă firavă și risc crescut de compromitere a conturilor. Primăriile trăiesc aceste realități în fiecare zi, mai ales în perioadele de vârf de lucru.
Raportul anual DNSC 2024 arată amploarea fenomenului: peste 27 de milioane de evenimente relevante într-un an, creșterea atacurilor care vizează direct cetățenii (spoofing telefonic, smishing) și incidente tehnice clasice (inclusiv injecții SQL cu zeci de mii de conturi expuse într-un singur caz). DNSC notifică instituțiile pentru vulnerabilități vizibile public și a operaționalizat platforma națională de raportare a incidentelor.
La nivel local, am văzut ce înseamnă un atac „pe bune”: Primăria Sectorului 5 a fost lovită de ransomware (întreruperi de servicii, presiune publică, date scoase la vânzare), în timp ce Primăria Timișoara a anunțat în 2024 că a oprit la timp o tentativă de ransomware, prin detectare rapidă și măsuri tehnice. Nici nivelul central nu e imun: incidentul de la Camera Deputaților a arătat că exfiltrarea de documente sensibile lovește direct reputația și activitatea curentă. Concluzia? Nu mai vorbim despre „dacă”, ci despre „când” — și despre cât de pregătiți suntem.
Măsuri cu impact: simplu, consecvent, eficient
Măsurile care chiar reduc riscul sunt simple, dar cer consecvență. Autentificarea în doi pași pe conturile critice ține atacatorul la ușă chiar dacă parola scapă. Actualizările la zi pentru servere, stații și aplicații închid din timp breșele cunoscute. Un backup izolat are valoare doar dacă a fost testat prin restaurări reale, nu doar „bifat” în contract.
Limitarea accesului la „strictul necesar” și recertificarea periodică a drepturilor împiedică un cont compromis să vadă mai mult decât trebuie. Segmentarea rețelei trasează baraje între zone — financiar, registratură, back-office — astfel încât o problemă locală să nu inunde totul. Monitorizarea (loguri, alerte, EDR) își are rostul doar dacă cineva se uită, înțelege semnalele și știe cui raportează, în ce ordine. Iar sesiunile de instruire scurte, repetate, reduc drastic șansa ca un singur click să devină incident.
Planul de răspuns în două pagini: cine, ce, când
Când „se rupe ceva”, nu mai ai timp de căutări prin foldere. Ai nevoie de un plan clar și deja testat: cine pe cine anunță (tehnic, conducere, DNSC, furnizori, comunicare), ce izolăm imediat (conturi, servere, segmente), ce repornim cu prioritate (taxe, plăți, registratură, asistență socială) și ce mesaj public dăm — onest și concis, fără detalii care ajută atacatorii. O dată pe an, este recomandat să se ruleze scenariul „nu mai merge portalul de taxe”; diferența dintre ore de blocaj și o revenire controlată o face exercițiul.
Fără IT-ist dedicat?
Lipsa unui post IT în organigramă nu este un capăt de drum. Este de dorit desemnarea unui responsabil de coordonare (juridic, achiziții sau administrativ) care va ține legătura cu DNSC și cu furnizorul IT. Aceste activități se pot externaliza, dar trebuie avute în vedere mai multe aspecte: solicitare explicită pentru autentificare în doi pași pe conturile cheie, actualizări regulate, backup 3–2–1 cu test lunar de restaurare, protecție endpoint/EDR, monitorizare și număr de urgență. Introducerea în contracte a timpului de răspuns (SLA), drept de audit, clauze privind proprietatea datelor și un plan de tranziție dacă se schimbă furnizorul. Standardizarea pachetelor software, activarea update-urilor automate, blocarea porturilor USB unde nu sunt necesare și păstrarea unui inventar minim al echipamentelor, conturilor și aplicațiilor: ce nu știi că ai, nu poți proteja.
De ce acum: noile reglementări ridică ștacheta
Presiunea de reglementare a crescut. OUG 155/2024, care transpune Directiva NIS2 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, cere, printre altele, guvernanță de risc, capabilități concrete și măsuri verificabile inclusiv pentru autoritățile locale. Nu este doar despre conformare „pe hârtie”, ci despre capacitatea reală de a menține serviciile în picioare și de a proteja datele comunității. O evaluare structurată a maturității ajută la prioritizarea investițiilor, demonstrarea progresului și reducerea timpilor de revenire la următorul incident.
Evaluarea maturității: metodă, repere și pași
Evaluarea nu este audit și nu este „vânătoare de greșeli”, ci o autoevaluare ghidată. Se va începe de la serviciile critice — taxe și impozite, plăți, registratură, asistență socială, se identifică riscurile relevante și se compară riscul inerent (dacă n-am avea nicio măsură de prevenție) cu riscul actual (ținând cont de măsurile existente). Din această comparație rezultă un profil de maturitate și o listă scurtă de măsuri cu efect maxim. Când aceste elemente se leagă, timpul de revenire scade, iar surprizele dispar.
Din evaluare la decizie: orizonturi 30–60–90 de zile
Rezultatul evaluării devine un dialog între conducere, echipa tehnică și furnizori despre ce se schimbă imediat, ce intră în plan în 30 de zile și ce se exersează în 90 de zile. Este recomandată activarea rapidă a MFA pe conturile sensibile, testarea restaurării backupului și automatizarea actualizărilor; în 30 de zile se recomandă recertificarea accesului și pregătirea mesajului public-tip pentru întreruperi; în 90 de zile se exersează scenariul „nu mai merge portalul de taxe” și se ajustează procedurile în funcție de lecțiile învățate.
Indicatorii care arată progresul (detecție, izolare, revenire, acoperire MFA)
Pentru a vedea progresul, merită monitorizarea a câtorva indicatori simpli și relevanți: timpul de detecție, timpul de izolare, timpul de revenire, ponderea conturilor cu MFA activă și rata de finalizare a instruirilor. Acești indicatori arată nu doar că „există proceduri”, ci că ele și funcționează în practică.
Imaginați-vă o zi de vârf. La 09:10, două stații nu se mai pot autentifica; la 09:12, apar erori în aplicația de plăți; la 09:15, pornesc zvonurile. Fără reflexe, urmează confuzie. Cu reflexe, responsabilul de coordonare activează planul: conturile suspecte sunt izolate, zona afectată e segmentată, echipa primește status intern, cetățenii văd un mesaj clar pe portal și la ghișeu, iar procedurile de restaurare pornesc imediat. La 10:05, încasările reîncep în regim limitat; la 11:30, capacitatea completă este restaurată. Diferența o face maturitatea.
Primele 90 de zile: din vorbe la reflexe operaționale
În prima lună, este importantă stabilirea serviciilor critice și a responsabililor, activarea autentificării în doi pași pe conturile sensibile (e-mail instituțional, servere, VPN, aplicații financiare) și programarea unui test de restaurare a backupului. În următoarele două luni, recertificarea accesului — cine are ce și de ce —, pregătirea unui mesaj public-tip pentru întreruperi și rularea un exercițiu scurt de răspuns. După câteva iterații, aceste gesturi devin rutină operațională, nu „proiecte cu început și sfârșit”.
Workshopul DNSC: fotografie de maturitate și pași concreți
În sprijinul acestui demers, DNSC organizează miercuri, 10 septembrie 2025, în intervalul 10:00 : 13:00, online (Microsoft Teams), un workshop dedicat primăriilor.
Nu este un audit sau un control, ci o inițiativă de sprijin pentru identificarea și evaluarea riscurilor cibernetice, o fotografie onestă a maturității, un benchmark comun și o listă scurtă de pași aplicabili primăriilor.
Ne dorim la aceeași „masă” managementul primăriilor, responsabilii sau firmele care asigură serviciile IT, infrastructură și securitate, tocmai pentru a crește nivelul de conștientizare și de pregătire și pentru a consolida colaborarea dintre autoritățile locale și DNSC în vederea răspunsului coordonat la incidente.
Înscrierile se fac AICI iar întrebările de clarificări se pot trimite la risks@dnsc.ro până vineri, 5 septembrie 2025. Linkul de conectare va fi transmis persoanelor înregistrate.
De la „sperăm” la „suntem pregătiți”
Cu pași mici și consecvenți, trecem de la „sperăm să nu ni se întâmple” la „suntem pregătiți”. Iar asta se vede, zi de zi, în felul în care primăria își ține serviciile în picioare pentru oameni.
