Hackerii atacă România. Cine apără instituțiile

Publicat: 17 iul. 2026, 14:01, de Radu Caranfil, în ANALIZĂ , ? cititori
Hackerii atacă România. Cine apără instituțiile

Atacurile cibernetice din 2026 arată că România nu este complet lipsită de apărare, dar se protejează cu viteze diferite. Unele instituții resping atacul în câteva minute. Altele dispar din mediul digital pentru zile întregi. Iar peste breșele reale se așază imediat un strat gros de zvonuri, revendicări false și panică.

În România digitală, instituția continuă să existe chiar și atunci când calculatorul ei nu mai răspunde.

Funcționarul vine la serviciu, cetățeanul vine la ghișeu, însă între ei se cască un ecran negru.

Nu se mai eliberează documente, nu se mai verifică proprietăți, nu mai circulă mesajele interne. Administrația rămâne în picioare, dar sistemul ei nervos a fost scos din priză.

Este imaginea pe care au compus-o atacurile cibernetice făcute publice în prima jumătate a anului 2026.

Nu toate au avut aceeași gravitate și nu toate au presupus furtul unor date. Dar puse împreună, ele descriu o vulnerabilitate care nu mai poate fi tratată ca un accident exotic.

Nu orice atac înseamnă că hackerii au intrat în bazele de date

Termenul „atac cibernetic” acoperă realități foarte diferite.

Un atac DDoS inundă un site cu cereri până când acesta încetinește sau devine inaccesibil.

Este echivalentul unei mulțimi artificiale care blochează ușa unei instituții. Nu înseamnă automat că atacatorii au intrat în clădire.

Un atac ransomware pătrunde în sisteme, criptează fișiere și poate fi însoțit de furtul datelor.

Defacement-ul schimbă conținutul unui site.

Phishing-ul copiază identitatea unei instituții pentru a-i păcăli pe cetățeni.

Diferențele sunt esențiale.

Un site indisponibil nu dovedește că baza de date a fost furată, după cum un mesaj al hackerilor nu dovedește că atacul revendicat a avut loc.

Februarie: atacul asupra Conpet a ajuns lângă infrastructura energetică

Pe 3 februarie, Conpet, operatorul sistemului național de transport al țițeiului prin conducte, a fost lovit de un atac care a afectat infrastructura IT de business. Site-ul companiei a devenit indisponibil.

Partea bună a fost că sistemele operaționale — SCADA și telecomunicațiile — nu au fost afectate, iar transportul țițeiului și gazolinei a continuat. Separarea dintre rețeaua administrativă și tehnologia care controlează operațiunile a funcționat.

Partea gravă a apărut câteva zile mai târziu.

Conpet a anunțat că există riscul ca date cu caracter personal să fi fost extrase, fără să poată preciza imediat volumul informațiilor sau persoanele afectate.

Consecința unei asemenea breșe nu se termină odată cu repornirea serverelor.

Datele furate pot fi folosite luni sau ani pentru fraude, mesaje credibile și tentative de compromitere a altor conturi.

Martie: atacul asupra MAE, respins înainte să producă o criză

În noaptea de 13 spre 14 martie, platformele eVisa și eConsulat ale Ministerului Afacerilor Externe au fost vizate de un atac DDoS. Site-urile au funcționat mai greu și au devenit temporar inaccesibile.

De această dată, sistemele de protecție și intervenția specialiștilor au limitat efectele.

MAE a precizat că atacul nu a presupus accesarea sau compromiterea datelor, iar platformele au revenit la funcționarea normală.

Este un exemplu util:

atacul nu poate fi întotdeauna împiedicat, dar poate fi absorbit fără ca serviciul public să se prăbușească.

Zeci de mii de atacuri sau zeci de mii de încercări?

Ministrul Apărării declara în primăvară că instituțiile statului se confruntă cu peste 10.000 de atacuri pe zi.

Cifra este spectaculoasă, dar trebuie interpretată corect:

în această contabilitate intră scanări automate, tentative de autentificare, trafic malițios și atacuri respinse, nu 10.000 de instituții penetrate zilnic.

Reuters a prezentat cifra ca pe un indicator al presiunii exercitate asupra infrastructurii statului.

În martie, șeful DNSC avertiza că atacurile DDoS asupra site-urilor românești deveniseră aproape zilnice.

Printre grupările active se afla NoName057(16), asociată ecosistemului pro-Kremlin.

Miza unor asemenea operațiuni nu este neapărat furtul informațiilor, ci producerea unei impresii de haos și neputință.

Uneori, reclama atacului este mai importantă decât atacul însuși.

Când atacă hackerii și adevărul despre atac

În martie, o grupare a pretins că ar fi indisponibilizat site-ul Înaltei Curți.

DNSC a verificat și a anunțat că atacul nu exista.

În alt caz, atacatorii au susținut că au blocat site-ul ANAF, deși incidentul real avusese loc în altă zi, durase aproximativ 20 de minute și nu produsese indisponibilizarea revendicată.

DNSC a cerut atunci publicului să nu creadă automat mesajele grupărilor de hackeri.

Avertismentul devine esențial în cazul MIPE: într-o criză cibernetică, prima versiune care circulă este adesea cea mai dramatică și cel mai slab verificată.

Conturile Forțelor Aeriene: spionajul care nu se vede pe prima pagină

În aprilie a devenit publică o operațiune mult mai serioasă.

O grupare asociată GRU, serviciul militar de informații al Rusiei, ar fi compromis zeci de conturi de e-mail ale Forțelor Aeriene Române, inclusiv adrese asociate unor baze militare.

MApN a precizat că incidentul fusese detectat în martie 2025, că a fost izolat în 24 de ore și că mesajele vizate conțineau informații administrative și publice, nu date clasificate.

Operațiunea internațională s-a extins însă până în 2026 și a fost dezvăluită public abia în aprilie.

SRI a confirmat participarea la operațiunea internațională Masquerade, prin care a fost destructurată o infrastructură de routere folosită de APT28/Fancy Bear.

Atacatorii puteau colecta parole, tokenuri de autentificare, e-mailuri și alte informații sensibile, vizând inclusiv infrastructuri critice și domenii guvernamentale.

Lecția este incomodă:

faptul că un document nu este clasificat nu înseamnă că este inutil unui serviciu de informații.

Din corespondență administrativă se pot reconstrui relații, programări, proceduri și vulnerabilități.

Iulie: administrația locală cade prin furnizori și parole

Pe 4 iulie, site-ul Direcției Județene pentru Cultură Constanța a fost compromis, iar conținutul său a fost înlocuit cu mesajul „Hacked by AntonKill”.

A fost un atac mai degrabă demonstrativ, dar suficient pentru a arăta că cineva obținuse acces administrativ.

Câteva zile mai târziu, site-urile a nouă primării din Covasna — Zăbala, Zagon, Micfalău, Boroșneu Mare, Brăduț, Comandău, Ghidfalău, Malnaș și Mereni — au devenit nefuncționale. Poliția a deschis verificări, iar administrațiile au anunțat că lucrează cu firma care asigura mentenanța.

Incidentul a blocat publicarea hotărârilor, dispozițiilor și anunțurilor de interes public.

Un primar spunea că problema dura deja de aproape o săptămână, timp în care instituția discutase numai cu furnizorul tehnic și urma să contacteze DNSC.

Relatarea Agerpres arată una dintre marile slăbiciuni ale administrației locale: dependența de firme mici de mentenanță și lipsa unui lanț rapid de escaladare.

ANCPI: atacul care a blocat piața imobiliară

Pe 14 iulie a venit incidentul cu cel mai mare efect public al anului.

Toate sistemele informatice ale Agenției Naționale de Cadastru și Publicitate Imobiliară, inclusiv e-mailul și aplicația e-Terra, au devenit nefuncționale.

ANCPI l-a descris drept cea mai amplă întrerupere tehnică din istoria instituției. Agenția a anunțat că datele nu fuseseră compromise, dar indisponibilitatea e-Terra a afectat activitatea notarilor, băncilor, dezvoltatorilor, oficiilor teritoriale și a cetățenilor implicați în tranzacții imobiliare.

Sistemul național de cadastru a rămas blocat pentru mai multe zile.

Aici se vede diferența dintre securitate și reziliență.

Este posibil ca datele să nu fi fost furate și, totuși, serviciul public să fie paralizat. Pentru cetățeanul care nu-și poate încheia tranzacția, această distincție tehnică oferă prea puțină consolare.

MIPE și „baza PNRR ștearsă”

În după-amiaza zilei de 16 iulie, o publicație a relatat, pe baza unor surse anonime, că MIPE (Ministerul Investițiilor și Proiectelor Europene) ar fi fost victima unui atac și că întreaga bază de date a proiectelor PNRR ar fi fost ștearsă.

Atacul a existat, dar nu a vizat PNRR:

  • MIPE a confirmat că aplicația „Achiziții Beneficiari Privați” a fost atacată și a devenit inaccesibilă. Aceasta deservește proiecte din Politica de Coeziune, nu proiectele PNRR. Comunicatul MIPE, preluat de News.ro
  • DNSC a confirmat incidentul și a precizat explicit că platforma PNRR nu a fost afectată și este funcțională. Precizarea DNSC, preluată de Rador
  • Autoritățile nu au comunicat încă dacă au fost accesate, șterse sau extrase date din aplicația atacată.

Până la închiderea acestei ediții, MIPE, DNSC, STS și SRI nu prezentaseră public natura și amploarea incidentului.

Verdictul corect este, așadar, limitat:

un atac asupra MIPE este relatat, dar ștergerea bazei PNRR nu este confirmată și este contrazisă chiar de actualizarea articolului care a lansat informația.

În plus, „baza de date PNRR” este o formulare tehnic imprecisă.

Trebuie stabilit despre ce sistem este vorba, dacă a existat ștergere, criptare, izolare preventivă sau simplă indisponibilitate, dacă datele au fost exfiltrate și dacă există copii de siguranță funcționale.

Ștergerea unei baze operaționale nu înseamnă automat pierderea definitivă a informațiilor.

Până la un comunicat oficial, zvonul nu trebuie transformat în titlu afirmativ.

Cine apără, de fapt, instituțiile

DNSC este autoritatea principală pentru securitatea spațiului cibernetic național civil. Primește raportări, oferă sprijin tehnic, coordonează răspunsul și poate desfășura verificări și controale.

Centrul Cyberint al SRI intervine în amenințările care ating securitatea națională, spionajul și infrastructurile critice.

STS protejează sistemele și comunicațiile speciale pe care le administrează, iar Poliția și DIICOT investighează infracțiunile.

Dar DNSC nu este administratorul de sistem al fiecărei primării și nu poate instala de la București actualizările neglijate într-un minister.

Prima răspundere rămâne la instituția care deține infrastructura și la conducerea sa.

Prin cadrul NIS2, introdus prin OUG 155/2024 și aprobat prin Legea 124/2025, entitățile esențiale și importante trebuie să raporteze incidentele semnificative: avertizare în 24 de ore, raportare în 72 de ore și raport final ulterior.

Legea există. Problema este dacă instituțiile au inventarul sistemelor, oamenii și procedurile necesare pentru a o aplica.

România poate gestiona două atacuri majore. Dar nu trebuie să le aștepte

În martie, directorul DNSC, Dan Cîmpean, afirma că România poate gestiona două atacuri cibernetice majore simultan.

Este o capacitate utilă, nu o garanție liniștitoare.

Apărarea centrală are resurse finite, iar anul 2026 arată că atacurile pot veni în rafale: administrație locală, cadastru, companii strategice și, posibil, ministere.

România nu este complet neputincioasă.

Atacul asupra MAE a fost absorbit, sistemele operaționale ale Conpet au rămas izolate, iar infrastructura GRU a fost destructurată prin cooperare internațională.

Dar ANCPI și primăriile din Covasna arată ce se întâmplă acolo unde reziliența este slabă.

Apărarea începe cu lucrurile plictisitoare

Nu există o aplicație miraculoasă care să „oprească hackerii”.

Există însă măsuri mai puțin spectaculoase și mult mai eficiente:

autentificare multifactor, actualizări făcute la timp, segmentarea rețelelor, limitarea privilegiilor, monitorizare continuă, copii de siguranță offline și testarea periodică a restaurării.

Instituțiile au nevoie și de planuri de continuitate: cum lucrează dacă aplicația centrală cade, cum comunică public, cine anunță DNSC și în cât timp, cine păstrează probele și cine decide izolarea sistemelor.

Cetățenii pot raporta incidentele la DNSC, prin numărul 1911, disponibil permanent din România.

În cazul mesajelor care copiază Ghișeul.ro, ANAF sau alte instituții, trebuie verificat domeniul, evitată introducerea datelor bancare și contactată imediat banca dacă informațiile cardului au fost deja furnizate.

Statul român nu duce lipsă de legi, acronime sau exerciții.

Ceea ce îi lipsește încă este aceeași disciplină digitală în toate instituțiile.

Hackerii nu trebuie să doboare România dintr-o singură lovitură. Le este suficient să găsească, pe rând, instituția care și-a uitat parola sub tastatură.