×

Accesează contul My Orange

Business Hi-Tech

Analiza dura a lui Andrei Avadanei, fondator si CEO al Bit Sentinel: Atacul care a blocat cadastrul...

Analiza dura a lui Andrei Avadanei, fondator si CEO al Bit Sentinel: Atacul care a blocat cadastrul nu e opera unui geniu, ci rezultatul unor slabiciuni banale - aceleasi "gauri" ca la Apele Romane, spitale sau Electrica. Daca nu schimbam nimic, vor aparea tot mai multe incidente de securitate, posibil chiar mai grave

19.07.2026, 11:21 Sursa: zf.ro

Aplicatia Orange Sport este gratuita si poate fi descarcata din Google Play si App Store

¬ "Securitatea nu se cumpara la cutie": un antivirus, un EDR sau un WAF nu sunt de ajuns, pentru ca apararea reala inseamna zeci de straturi si un proces continuu "de oameni, procese si tehnologie, in ordinea asta" ¬ Problema e structurala si in privat, si in public: cyber-ul e tratat "ca o anexa si, mai grav, ca un subordonat" - sta sub IT in loc sa fie langa IT, cu acces direct la conducere, o eroare pe care regulile NIS2 o fac costisitoare ¬ Intr-o propunere separata, publicata pe LinkedIn, Avadanei cere un program national de securitate ofensiva coordonat de DNSC: un registru al sistemelor expuse, testare independenta reala, reguli "anti-bifa" si consecinte clare pentru autoritatile care nu remediaza

Atacul care a paralizat cadastrul din 14 iulie nu e nici opera unui hacker genial, nici esecul unei singure institutii - ci simptomul unei probleme sistemice, care loveste deopotriva sectorul public si pe cel privat, e concluzia lui Andrei Avadanei, fondator si CEO al companiei de cybersecurity Bit Sentinel. Iar diferenta pe care o vede el tine de tratament: in vreme ce o companie privata lovita de un atac e obligata la transparenta si la notificarea autoritatilor si a clientilor, o institutie a statului se refugiaza, aproape de fiecare data, intr-o "defectiune tehnica" - un dublu standard pe care expertul il considera nejustificat.

"Este oarecum ironic ca, in timp ce mediului privat i se impun transparenta si notificarea autoritatilor, victimelor si clientilor afectati, in cazul incidentelor din institutiile publice explicatia aleasa este, aproape invariabil, "o defectiune tehnica"", scrie intr-un raspuns la un set de intrebari transmis de ZF Andrei Avadanei, unul dintre cei mai cunoscuti specialisti in securitate cibernetica de pe piata locala.

Fondator si CEO al Bit Sentinel, companie din Bucuresti care testeaza prin simulari de atac apararea cibernetica a altor organizatii, Avadanei este si initiatorul conferintei DefCamp - cea mai mare din Europa Centrala si de Est pe securitate cibernetica - si al competitiei nationale UNbreakable Romania. Analiza lui despre atacul de la ANCPI, pe care o redam integral, muta discutia de la o singura institutie la un model pe care il considera defect din temelii, in egala masura in sectorul public si in cel privat. Textul lui incepe de la felul in care a fost primita informatia privind atacul de la ANCPI. "Cadastrul tarii, blocat de mai bine de trei zile. Probabil cel mai grav atac asupra unei institutii publice pe care l-am vazut in Romania. Si, ca de fiecare data, ne-am facut cu totii experti peste noapte - la fotbal, la razboi, la sanatate, iar acum la cyber security. "Ce varza, ce usor a fost, unde s-au dus banii.""

"Din pozitia cuiva care face asta zilnic, alaturi de colegi printre cei mai buni din lume, realitatea e mult mai putin spectaculoasa si mult mai incomoda", continua el. "Nu vreau sa neg gravitatea sau responsabilitatea autoritatii si echipelor implicate. Vreau sa explic ce s-a intamplat, de ce se intampla si ce ar trebui sa facem - pentru ca problema nu e ANCPI. E sistemica."

Iar miza, subliniaza Avadanei, depaseste statul: "In fiecare luna, doar in Romania, zeci de companii si sute de persoane fizice cad prada unor atacuri asemanatoare. Chiar si giganti din Fortune 500 au fost compromisi serios. Diferenta la ANCPI e ca vorbim de un registru national de care depinde toata lumea - de la notari si banci, pana la omul care tocmai isi cumpara un apartament."

Ce s-a intamplat, pe scurt

"Nu a picat un site. Nu a fost "o defectiune tehnica", cum s-a comunicat initial", scrie el. "Atacatorul si-a publicat singur pasii - o serie de capturi care descriu cum a intrat si cum s-a miscat prin retea. Traseul, daca e real, spune totul: a pornit dintr-o componenta de acces/identitate expusa in internet, a pivotat prin serverele de aplicatii, a ajuns la depozitul de cod-sursa (unde ar fi copiat codul e-Terra si RENNS), la sistemul de monitorizare, apoi la stratul de virtualizare si la infrastructura de backup, iar la final la controllerul de domeniu - si a oprit tot. Asta nu e "un bug". E cineva care a ajuns sa detina toata casa, de la usa din fata pana la seiful cu copiile de siguranta." Expertul insista pe distinctia dintre versiuni: "Aici trebuie sa fim corecti cu faptele: ANCPI sustine ca datele nu au fost compromise. Atacatorul sustine exact opusul - exfiltrare de date ale cetatenilor, furt de cod-sursa, ransomware si stergerea backup-urilor. Ambele nu pot fi adevarate; raspunsul il va da investigatia criminalistica, nu comunicatele. Dar chiar si partea confirmata - o institutie nationala cazuta complet, zile la rand - e suficient de grava."

De ce se intampla asta "Adancimea compromiterii spune mai mult decat orice comunicat", scrie Avadanei. "Ca sa ajungi de la o componenta expusa pana la stratul de virtualizare, la backup-uri si la controllerul de domeniu, iti trebuie o retea plata sau prost segmentata (un singur punct de sprijin ajunge oriunde), backup-uri accesibile din retea (exact lucrul care ar trebui sa fie de neatins) si cod-sursa la indemana, adesea cu parole in el."

Iar tiparul nu e nou: "Nimic exotic. Sunt aceleasi gauri din spatele majoritatii incidentelor din sectorul public din ultimul an - Apele Romane (~1.000 de sisteme criptate), spitalele lovite de Backmydata, Electrica. Firul comun nu e un atacator-geniu. E un domeniu public imens, cu maturitate de securitate inegala, date de mare valoare si servicii de care cetateanul nu se poate lipsi."

Peste toate se asaza, spune el, un factor nou - inteligenta artificiala: "Atacatorii o folosesc deja pentru a gasi vulnerabilitati, pentru a automatiza si arma vectorii de atac si pentru a pivota prin retea. In trecut, de la un bug descoperit pana la un exploit functional puteau trece luni. Acum, pornind doar de la o simpla descriere a bug-ului, acelasi drum se parcurge in minute. Iar o companie, o data ce a fost strapunsa, poate fi complet compromisa in sub o ora. Fereastra dintre "a aparut o problema" si "am pierdut tot" s-a scurtat dramatic, iar apararea trebuie sa tina pasul cu viteza asta. Nu suntem acolo."

Securitatea reala costa - si expertii adevarati costa. Un scan automat nu e un pentest

"Atacatorul are nevoie de o singura greseala. Aparatorul trebuie sa acopere milioane de vectori. De asta securitatea reala costa - si expertii adevarati costa. Un scan automat nu e un pentest", scrie Avadanei, al carui produs este chiar testarea prin simulari de atac. "Noi facem asta de peste 15 ani, zilnic, si lucram cu si impotriva celor mai scumpe solutii de pe piata - antivirusi, EDR, XDR, WAF, scannere de vulnerabilitati, analiza de cod. Toate promit protectie impecabila. Si, de cele mai multe ori, cu putin efort si metode surprinzator de simple, colegii mei le ocolesc. Nu pentru ca solutiile sunt slabe, ci pentru ca securitatea nu se rezuma niciodata la o singura solutie."

Cum ar trebui sa arate o harta a straturilor de aparare - de la retea pana la guvernanta? "Un sistem serios se protejeaza pe zeci de straturi, fiecare cu solutiile lui. La nivel de infrastructura si retea - segmentare, firewall-uri, protectie anti-DDoS, IDS/IPS. La nivel de identitate si acces - MFA rezistent la phishing, management al accesului privilegiat, principiul privilegiului minim.

La nivel de aplicatie - dezvoltare securizata, analiza de cod (SAST/DAST), testare continua, hardening. La nivel de cloud - configurari corecte, monitorizarea posturii de securitate, protectia workload-urilor. La nivel de supply chain - si nu doar codul, ci componentele terte, bibliotecile, imaginile de container, furnizorii si infrastructurile pe care rulezi. Peste toate - managementul secretelor (chei, parole, token-uri care nu au ce cauta in cod), criptarea datelor, jurnalizare centralizata, un SOC care sa vada in timp real ce se intampla si backup-uri offline, imuabile si testate periodic. Iar deasupra tuturor - guvernanta si managementul riscului, care leaga totul. Fiecare strat e o specializare in sine. Fiecare costa. Si niciunul, singur, nu te salveaza. Si nu, nici nu ai nevoie de toate din prima zi. Iar pe langa toate solutiile ai nevoie de experti - care testeaza, care pun la indoiala, care monitorizeaza si care sunt pregatiti sa raspunda instant la aceste amenintari, pentru ca realitatea este ca mai devreme sau mai tarziu vor aparea incidente."

Concluzia lui e ca securitatea perfecta nu se poate cumpara: "Un plan de securitate e, in esenta, un echilibru intre trei lucruri - risc, probabilitate si cost. Cat ai de pierdut, cat de plauzibil e sa se intample si cat te costa sa te aperi. Nu poti acoperi toate scenariile si toate cazurile - ar fi imposibil, financiar si operational. Prioritizezi, accepti constient un risc rezidual si investesti acolo unde impactul e cel mai mare. Securitate "100%" nu exista, cu atat mai putin cumparata dintr-o singura solutie magica. Si chiar daca acea solutie ar exista, tot ar ramane veriga cea mai greu de controlat: omul. Un administrator obosit care configureaza gresit un server, un dezvoltator care uita o cheie intr-un repository, un angajat care da click pe linkul gresit. Cele mai multe brese nu incep cu un exploit spectaculos, ci cu o greseala umana banala. De aceea securitatea nu e un produs pe care il cumperi o data, ci un proces continuu - de oameni, procese si tehnologie, in ordinea asta."

Problema e structurala - si in public, si in privat

"Infrastructura imbatraneste in tacere", scrie Avadanei. "Software-ul in Romania a fost mereu gandit ca asamblarea unui puzzle - pentru ca asta fac, prin definitie, majoritatea integratorilor, si pentru ca "era" mai rapid asa, inainte de era AI. Pe termen scurt e excelent. Apoi vine realitatea: proiectul se termina, mentenanta doar tine sistemul in viata si repara bug-uri, echipamentele si solutiile COTS ajung EOL si devin prea scumpe de schimbat."

O a doua problema structurala tine de responsabilitate: "Intr-un consortiu tipic - un integrator mare si cativa furnizori - fiecare face strict "ce scrie in contractul lui". Cand apare o cerinta de schimbare sau un risc care taie transversal prin mai multe componente, apare si rezistenta: "nu e in fisa postului meu". Nimeni nu detine intreg ciclul de viata al sistemului. Fara inventar si fara oameni tehnici care sa inteleaga nevoia de schimbare, ajungem inevitabil, iar, la bugete. Iar schimbarile costa - uneori cat toata dezvoltarea initiala."

Modelul corect, spune el, ar fi cel al unei companii de software: "Statul digital ar trebui sa functioneze ca o companie de software - model SaaS, cu tehnologie mentinuta si actualizata continuu, nu one-off-uri platite in avans iar dupa expirarea suportului sau la reinnoire reduci bugetele sau nu mai reinnoiesti, sperand ca nu se poate intampla nimic." Cea mai dura observatie a lui priveste locul securitatii in organigrama: "Cyber-ul e tratat ca o anexa - si, mai grav, ca un subordonat. In licitatiile mari, securitatea apare des ca o simpla linie sau un capitol in contractul de dezvoltare a produsului. Iar in interiorul organizatiilor, de cele mai multe ori sta sub IT - raportand catre exact aceiasi oameni pe care ar trebui sa-i verifice.

Asta e greseala de fond. Securitatea nu trebuie sa fie sub IT, ci langa IT - la acelasi nivel decizional cu managementul, cu acces direct la board. Altfel, cel care ar trebui sa spuna "stop, asa nu se livreaza" depinde ierarhic si bugetar exact de cel pe care il contrazice. Nu are cum sa impuna nimic - mai ales in logica NIS2, unde raspunderea urca pana la conducere." De aici si pledoaria lui pentru un expert independent: "Expertul de securitate ar trebui sa fie pe speed dial la fiecare institutie din Romania - si, ideal, un tert independent. Nu din snobism, ci pentru ca motivatia lui e fundamental diferita. Un furnizor extern traieste din a gasi cat mai multe probleme - asta e, la propriu, produsul pe care il vinde. Ca sa reuseasca, investeste in specialisti si in formarea lor continua, isi alege oameni care gandesc ca un atacator - "ce se intampla daca nu mai respectam cadrul formal? unde cedeaza sistemul?" - si isi impune procese interne care ii forteaza sa invete permanent tehnici noi si atacuri moderne. Cine nu tine pasul, pleaca. E exact motorul de excelenta pe care o echipa interna, ingropata trei nivele sub IT, nu are cum sa-l reproduca."

Ce crede ca trebuie sa schimbam

Avadanei porneste de la un avertisment: "Pe termen scurt si mediu, vor aparea tot mai multe incidente de securitate, posibil chiar mai grave decat ANCPI. Nu e pesimism, e directia clara in care merge peisajul de amenintari. Intrebarea nu e "daca", ci "cat de pregatiti vom fi cand se intampla"." Apoi enumera "cateva lucruri concrete" de facut: "Backup-uri offline, imuabile si testate periodic. Nu copii care stau in aceeasi retea si pot fi sterse in acelasi atac, ci copii izolate complet, read-only, din care restaurarea a fost efectiv exersata. Backup-ul netestat e o iluzie de siguranta, nu o plasa de siguranta. E singurul control care transforma un dezastru intr-o simpla zi proasta."

¬ "Renuntarea la mitul retelei private. Faptul ca un sistem nu e expus direct in internet nu inseamna ca e in siguranta. Odata ce atacatorul are un punct de sprijin inauntru - un cont compromis, un furnizor cu acces, un server uitat - reteaua "privata" devine terenul lui de joaca. Segmentarea si principiul "nu ai incredere in nimic implicit" nu sunt optionale."

¬ "Un inventar national al aplicatiilor, incepand cu cele publice. Nu poti proteja ce nu stii ca ai."

¬ "Programe de testare continua, independenta - si pe bani, si printr-un program national coerent de CVD (divulgare coordonata a vulnerabilitatilor), stratificat pe modelul celor internationale."

¬ "Licitatii de cyber reale, nu clauze de "avantaj competitiv" ingropate in caiete de sarcini de mii de pagini."

¬ "Sisteme construite pe tehnologii actualizabile, cu contracte de mentenanta care chiar previn fundaturile EOL."

¬ "Un ghid clar de securitate multi-stratificata, gradual, adoptat de fiecare institutie care dezvolta software pentru cetateni. NIS2 spune ca trebuie sa fii securizat - nu si cum sa construiesti si sa aperi efectiv un SaaS. Sunt chiar dispus sa contribui pro-bono la el."

El si-a inchis mesajul cu un apel direct: "Daca sunteti angajat sau livrati servicii pentru un sistem public, ganditi-va onest, azi, ce probleme stiti deja ca exista - sisteme EOL, parole slabe, retele plate, fara segmentare, niciun test de securitate facut. Aproape intotdeauna cineva stie. Intrebarea e daca acel cineva e ascultat inainte de incident sau abia dupa." Si, cu o imagine casnica: "Cat de des va schimbati routerul de acasa? As baga mana in foc ca majoritatea nu-l schimba mai des de o data la 10 ani. Pentru ca merge, nu? Exact asa gandim securitatea.

Pana in ziua in care nu mai merge. Digitalizarea ne-a facut dependenti. Acum trebuie sa castige si increderea - iar increderea se masoara in continuitate si in onestitatea cu care o institutie poate spune, dupa o saptamana grea, ce s-a intamplat cu datele noastre."

Propunerea: un program national de securitate ofensiva, la DNSC

Intr-o postare separata, publicata pe LinkedIn, Avadanei a mers mai departe si a schitat o solutie concreta. "ANCPI o numeste "cea mai ampla intrerupere tehnica din istoria institutiei". Eu cred ca e chiar cel mai grav incident de securitate din scurta noastra istorie de "digitalizare"", scrie el. "Putem sa ne indignam o saptamana. Sau construim ceva care reduce sansa ca asta sa se repete."

Propunerea lui este "un program national de securitate ofensiva pentru sisteme critice, la DNSC", construit pe sase piloni, pe care ii redam in forma in care i-a formulat:

1. "Registru national al sistemelor expuse la internet - matrice de complexitate (mic/mediu/mare) si risc pentru cetateni. Incepem cu top 1.000 de organizatii critice."

2. "Criterii de testare, dure si stabilite in consultare publica": buget fix pe dimensiune (de exemplu, 5-10-20 de zile-om minime garantate la un pret minim, care creste anual cu inflatia); metodologie standard si testare manuala, "nu doar scannere"; fiecare vulnerabilitate cu dovada de exploatare; retestare inclusa in pret; independenta totala si declaratie de conflict de interese ("nu testezi ce ai dezvoltat/operat sau daca esti asociat").

3. "Reguli anti-bifa": pentesteri nominalizati cu nume si CV, verificati - minimum doi pe proiect, un senior si un mid, cu maximum 50% din efort pe mid; seniorul semneaza raportul si e prezent real, "fara oameni-fantoma sau subcontractare ascunsa"; raportare anuala a volumului per specialist, "nu pui acelasi om pe 40 de proiecte"; rotatie obligatorie, fara a testa aceeasi platforma de doua ori consecutiv; si "sampling incrucisat": 20% dintre aplicatii testate in paralel de doua echipe, "ce rateaza una, prinde cealalta".

4. "Monitorizare continua: lunar - scanare de vulnerabilitati + OSINT / attack surface monitoring", adica urmarirea permanenta a suprafetei de atac expuse public.

5. "Program national de CVD, la DNSC: o lista publica + una privata extinsa, deschisa prin vetting celor mai buni/activi cercetatori. Cadrul legal exista deja - Legea 123/2026 (art. 3651 Cod penal) protejeaza cercetatorii de buna-credinta. S-o folosim la scara."

6. "Consecinte clare: autoritatea care nu rezolva o problema critica sub 5 zile, sau n-are un plan asumat (pe 3-12 luni) pentru probleme cu grad de risc mai mic / nu se tine de plan - raspunde."

Cat ar costa? "Cam cat cheltuim pe dezvoltarea a una din cele 1.000 sau probabil mai putin decat impactul incidentului de la ANCPI. Bani de buzunar, raportat la risc si la cat cheltuim pe digitalizare si digitizare", sustine el. Pentru a-si argumenta ideea, Avadanei citeaza doua surse externe: raportul Verizon DBIR 2026, potrivit caruia vulnerabilitatile expuse la internet au fost vectorul numarul unu de acces ("practic ~1 din 3 brese, 31%, se intampla astfel, plus 55% an/an"), si o statistica a firmei Fortra, conform careia "72% dintre cei care fac pentest spun ca le-a prevenit o bresa".

Un asemenea plan ar avea si un alt impact: "In 5 ani ma astept la 5-10 companii sau produse romanesti de cyber la nivel de Vest - o industrie reala, competitiva. Fara spectacol, dar sistematic, masurabil, transparent."

Legal disclaimer:

Acesta este un articol informativ. Produsele descrise pot sa nu faca parte din oferta comerciala curenta Orange. Continutul acestui articol nu reprezinta pozitia Orange cu privire la produsul descris, ci a autorilor, conform sursei indicate.



Articole asemanatoare