CO2 na celowniku hakerów

Hakerzy włamali się do Unijnych rejestrów i ukradli pozwolenia na emisje dwutlenku węgla. Straty szacowane są na 28 milionów Euro. Komisja Europejska czasowo wstrzymała handel prawami do emisji CO2.

Niecodzienny skok hakerów - na CO2
Niecodzienny skok hakerów - na CO2AFP

Unia Europejska ściśle określa poziom dwutlenku węgla, jaki rocznie może emitować jedno przedsiębiorstwo. Przedsiębiorstwa, które przekraczają ten limit, mogą kupować pozwolenia na emisję CO2 od podmiotów, które ich nie potrzebują. O ile jednak uprawnienia do emisji CO2 otrzymują firmy, które wytwarzają duże ilości dwutlenku węgla, np. elektrownie czy fabryki, o tyle handlować pozwoleniami może każdy - przedsiębiorstwo energetyczne, instytucja, organizacja, a nawet osoba fizyczna. Mechanizm ten buduje rynek obrotu certyfikatami upoważniającymi do emocji CO2. Rynek na tyle potężny i dochodowy, by zainteresować cyberprzestępców.

Legalny handel pozwoleniami na emisję CO2 obwarowany jest jednym warunkiem - należy założyć konto w którymś z 27 rejestrów krajowych, będących częścią unijnego systemu EU ETS (EU Emission Trading System). - To właśnie dane dostępowe do krajowych rejestrów znalazły się na celowniku cyberzłodziei - komentuje Michał Iwan, dyrektor zarządzający F-Secure Polska. - Hakerzy przechwytują je tak samo jak hasła bankowe, najczęściej stosując "phishing", czyli podszywając się pod godne zaufania instytucje lub osoby w celu wyłudzenia danych dostępowych. Podobnie było w tym przypadku. Złodzieje podszywali się pod osoby zarządzające krajowymi rejestrami, prosząc o podanie loginu i hasła do systemu. Nieostrożność użytkowników, którzy takich informacji udzielili, to jednak nie jedyna przyczyna kradzieży.

Nie mniej kluczowy okazał niski poziom zabezpieczeń unijnego systemu do obrotu certyfikatami. W części krajów UE, aby zalogować się do rejestru, wystarczy podać login i hasło. Nie stosuje się dodatkowych metod autoryzacji, jak choćby jednorazowe hasło SMS czy token z dodatkowym kodem zabezpieczającym.

Unijni urzędnicy przyznają, że problem związany ze zbyt łatwym dostępem do krajowych rejestrów dotyczy połowy państw członkowskich. W krajach tych zalogowanie się do unijnego rejestru nie wymaga dwuetapowej procedury identyfikacji użytkownika, mimo, że procedura taka powszechnie stosowana jest w systemach do obsługi e-bankowości.

- Atak, zbliżony do tego, który aktualnie paraliżuje unijny handel pozwoleniami na emisję CO2, miał miejsce już wcześniej, ok. rok temu, w Niemczech - zauważa Michał Iwan. - Unijni urzędnicy nie podjęli jednak kroków zmierzających do uszczelnienia dostępu do rejestrów i podniesienia standardów bezpieczeństwa. Dziś tłumaczą, że wówczas nie było przesłanek wskazujących na to, że atak może się powtórzyć i to na taką skalę.

Maria Kokkonen, rzecznik prasowy Connie Hedegaard, unijnej komisarz ds. polityki klimatycznej, w oficjalnym oświadczeniu wydanym w czwartek stwierdziła: - Zabezpieczenie krajowych rejestrów w obrocie pozwoleniami na emisję CO2 jest obowiązkiem poszczególnych państw członkowskich. Dodaje jednak, że do 2013 roku Unia zamierza podjąć kroki zmierzające do unifikacji systemu w ramach państw członkowskich i stopniowego wycofania rejestrów krajowych. Maria Kokkonen nie odniosła się jednoznacznie do nieoficjalnych informacji przekazanych mediom przez anonimowego unijnego urzędnika, który twierdzi, że za atakiem stoją pracownicy przedsiębiorstw korzystających z rejestrów. Natomiast Komisja Europejska na specjalnym spotkaniu zwołanym w ubiegły piątek poleciła wszystkim krajom członkowskim zaktualizować zabezpieczenia krajowych rejestrów przed dostępem niepowołanych osób.

Z kolei BlueNext, paryska giełda odpowiedzialna za handel uprawnieniami do emisji gazów cieplarnianych w Europie, zwróciła się do władz Czech i Austrii o przekazanie listy numerów seryjnych skradzionych certyfikatów, aby wycofać je z rynku. Ma to na celu upewnienie nabywców, że nie są w posiadaniu zezwoleń, które wkrótce mogą zostać unieważnione. Już dziś podnoszony jest także temat odszkodowań dla przedsiębiorców z tytułu strat poniesionych na skutek kupna skradzionych certyfikatów.

INTERIA.PL/informacje prasowe
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas