CO2 na celowniku hakerów

W środę wieczorem na terenie całej Unii Europejskiej zamarł handel certyfikatami uprawniającymi do emisji dwutlenku węgla. Powodem był atak hakerów. Cyberprzestępcom udało się złamać zabezpieczenia rejestrów, wykraść prawa do emisji CO2 i natychmiast je upłynnić. Ofiarami cyberataku padły m.in. Czechy, Grecja i Austria. Szacuje się, że uprawnienia skradzione w samych Czechach miały wartość 7 milionów Euro.

Unia Europejska ściśle określa poziom dwutlenku węgla, jaki rocznie może emitować jedno przedsiębiorstwo. Przedsiębiorstwa, które przekraczają ten limit, mogą kupować pozwolenia na emisję CO2 od podmiotów, które ich nie potrzebują. O ile jednak uprawnienia do emisji CO2 otrzymują firmy, które wytwarzają duże ilości dwutlenku węgla, np. elektrownie czy fabryki, o tyle handlować pozwoleniami może każdy - przedsiębiorstwo energetyczne, instytucja, organizacja, a nawet osoba fizyczna. Mechanizm ten buduje rynek obrotu certyfikatami upoważniającymi do emocji CO2. Rynek na tyle potężny i dochodowy, by zainteresować cyberprzestępców.

Legalny handel pozwoleniami na emisję CO2 obwarowany jest jednym warunkiem - należy założyć konto w którymś z 27 rejestrów krajowych, będących częścią unijnego systemu EU ETS (EU Emission Trading System). - To właśnie dane dostępowe do krajowych rejestrów znalazły się na celowniku cyberzłodziei - komentuje Michał Iwan, dyrektor zarządzający F-Secure Polska. - Hakerzy przechwytują je tak samo jak hasła bankowe, najczęściej stosując "phishing", czyli podszywając się pod godne zaufania instytucje lub osoby w celu wyłudzenia danych dostępowych. Podobnie było w tym przypadku. Złodzieje podszywali się pod osoby zarządzające krajowymi rejestrami, prosząc o podanie loginu i hasła do systemu. Nieostrożność użytkowników, którzy takich informacji udzielili, to jednak nie jedyna przyczyna kradzieży.

Nie mniej kluczowy okazał niski poziom zabezpieczeń unijnego systemu do obrotu certyfikatami. W części krajów UE, aby zalogować się do rejestru, wystarczy podać login i hasło. Nie stosuje się dodatkowych metod autoryzacji, jak choćby jednorazowe hasło SMS czy token z dodatkowym kodem zabezpieczającym.

Unijni urzędnicy przyznają, że problem związany ze zbyt łatwym dostępem do krajowych rejestrów dotyczy połowy państw członkowskich. W krajach tych zalogowanie się do unijnego rejestru nie wymaga dwuetapowej procedury identyfikacji użytkownika, mimo, że procedura taka powszechnie stosowana jest w systemach do obsługi e-bankowości.

- Atak, zbliżony do tego, który aktualnie paraliżuje unijny handel pozwoleniami na emisję CO2, miał miejsce już wcześniej, ok. rok temu, w Niemczech - zauważa Michał Iwan. - Unijni urzędnicy nie podjęli jednak kroków zmierzających do uszczelnienia dostępu do rejestrów i podniesienia standardów bezpieczeństwa. Dziś tłumaczą, że wówczas nie było przesłanek wskazujących na to, że atak może się powtórzyć i to na taką skalę.

Maria Kokkonen, rzecznik prasowy Connie Hedegaard, unijnej komisarz ds. polityki klimatycznej, w oficjalnym oświadczeniu wydanym w czwartek stwierdziła: - Zabezpieczenie krajowych rejestrów w obrocie pozwoleniami na emisję CO2 jest obowiązkiem poszczególnych państw członkowskich. Dodaje jednak, że do 2013 roku Unia zamierza podjąć kroki zmierzające do unifikacji systemu w ramach państw członkowskich i stopniowego wycofania rejestrów krajowych. Maria Kokkonen nie odniosła się jednoznacznie do nieoficjalnych informacji przekazanych mediom przez anonimowego unijnego urzędnika, który twierdzi, że za atakiem stoją pracownicy przedsiębiorstw korzystających z rejestrów. Natomiast Komisja Europejska na specjalnym spotkaniu zwołanym w ubiegły piątek poleciła wszystkim krajom członkowskim zaktualizować zabezpieczenia krajowych rejestrów przed dostępem niepowołanych osób.

Z kolei BlueNext, paryska giełda odpowiedzialna za handel uprawnieniami do emisji gazów cieplarnianych w Europie, zwróciła się do władz Czech i Austrii o przekazanie listy numerów seryjnych skradzionych certyfikatów, aby wycofać je z rynku. Ma to na celu upewnienie nabywców, że nie są w posiadaniu zezwoleń, które wkrótce mogą zostać unieważnione. Już dziś podnoszony jest także temat odszkodowań dla przedsiębiorców z tytułu strat poniesionych na skutek kupna skradzionych certyfikatów.