Criminalitatea „gulerelor albe” în România: ce fraude comit și cine e vulnerabil. INTERVIU cu Casa de avocatură Albu Legal

1. Cum arată profilul unui „white collar cyber criminal” în România?
Gabriel Albu: „White collar cyber criminals” sunt persoane foarte inteligente, cu abilități tech dezvoltate, pasionate de lumea digitală și buni strategi, care studiază cu atenție și își setează bine țintele înainte de a acționa. De cele mai multe ori, sunt greu de identificat. Există posibilitatea să fie angajați ai unor companii, deținând informații și date despre acestea și despre operațiunile pe care le desfășoară, sau să fi lucrat în astfel de companii. Sau să fie în contact cu cineva din interior. Rareori, fraudele cibernetice pot fi săvârșite fără o sursă din interiorul companiei, fie că vorbim de implicare voită sau pură neglijență.

Atacul poate veni prin accesarea unui e-mail sau unui fișier infectat. Atacatorii pot plăti oameni din interiorul companiei să acceseze acel e-mail sau gândesc diverse strategii prin care pot păcăli sau determina angajații să deschidă acel fișier infectat. Odată ce link-ul din e-mail este accesat, întregul sistem este compromis, iar hackerii au acces la datele din sistemul intern al companiei, câteodată chiar la conturile bancare ale acesteia, putând să determine transferul sau să își transfere bani în propriile conturi, sau dețin controlul asupra serverelor.

De exemplu, una dintre cele mai interesante spețe întâlnite în cazuistica recentă a prevăzut un mecanism complex de fraudare ce a presupus și realizarea unui research minuțios de către făptuitor. Concret, hacker-ul a accesat în mod ilegal adresa de e-mail a unei persoane ce avea calitatea de investitor în mai multe proiecte imobiliare. După ce a parcurs toate conversațiile purtate pe e-mail de către acesta, a observat că urma să încaseze în perioada următoare o sumă de bani, cu titlu de dividende, din partea unei societăți comerciale. Totodată, din conținutul altor e-mailuri s-a extras informația că investitorul acorda un respect deosebit culturii și tradițiilor iudaice și, astfel, în urma documentării, hacker-ul a aflat că în această religie urma să aibă loc o sărbătoare în care practicanții se abțin de la activitățile obișnuite, ceea ce presupune și o lipsă a utilizării electronicelor. Prin urmare, a profitat de acest context și a început să converseze de pe adresa de e-mail spartă cu reprezentanta persoanei juridice care acorda dividendele respective.

Întrucât scopul de obținere ilegală a fondurilor nu fusese încă îndeplinit la finalizarea perioadei de sărbătoare, hacker-ul a creat o adresa de e-mail aproape identică cu cea a reprezentantei companiei debitoare și a început o conversație cu persoana a cărei adresă de e-mail o spărsese, permițând, în tot acest timp, acesteia din urmă, să își folosească adresa de e-mail personală. Un alt element inovator identificat în activitatea infracțională este dat de faptul că hacker-ul a reușit să redirecționeze toate e-mailurile ce erau primite din partea companiei debitoare, așa încât, investitorul, când își accesa adresa de e-mail, să nu le poată vizualiza.

În cele din urmă, după ce sumele de bani au fost încasate în contul bancar indicat de hacker, respectiva adresă de e-mail a fost deblocată, iar titularul acesteia a început să primească mesaje din partea reprezentantei companiei, ocazie cu care au realizat că avusese loc frauda. Toate aceste informații au fost descoperite și descifrate cu ajutorul unei societăți de cyber security pe care am cooptat-o în vederea sprijinării anchetelor efectuate atât de organele de urmărire penală, cât și de unitățile bancare.

2. Ce fel de ţinte targetează?
Mihai Lemnaru: În general, companii mici și mijlocii, care nu dețin suficiente resurse pentru servicii de securitate, pentru a-și lua toate măsurile de protecție, pentru a le oferi angajaților dispozitive electronice securizate și a implementa politici și proceduri împotriva atacurilor de securitate cibernetică.

De altfel, sunt văzute drept ținte și companiile mari care au stocate pe servere baze întregi de informații și date confidențiale despre clienți, furnizori, alte companii, sisteme fără de care nu pot funcționa, făcând ca atare obiectul unui șantaj, dar și companiile cu un rol important în societate, care oferă servicii utilitare, sunt vulnerabile în fața unui atac cibernetic prin care hackerii ar bloca accesul angajaților la servere și ar prelua controlul. Aici putem vorbi despre companiile din industria energetică, a transporturilor, unde hackerii pot accesa sistemele de control ale centralelor electrice sau ale mijloacelor de transport. Alte industrii țintite de atacuri cibernetice sunt și industria bancară și retail.

3. Care sunt cele mai des întâlnite tipuri de infracționalitate cibernetică?
Mihai Lemnaru: Principalele tipuri de infracționalitate cibernetică sunt: phishing-ul, care presupune e-mailuri trimise către sute de destinatari, pretinzând a fi din partea unor companii, organizații, bănci, pentru a obține acces la sistemele acelor destinatari, parolele de acces etc; ransomware-ul, care este un malware care criptează datele de pe computere, limitând astfel accesul la aceste dispozitive, până când victimele nu plătesc o sumă de bani; furtul de date, care este una dintre cele mai întâlnite infracțiuni digitale și care afectează companiile într-un mod foarte dur, fie că vorbim de pierderi financiare, fie că vorbim de reputație, imagine; și cyber-spionajul, spionajul informatic, prin care hackerii accesează datele instituțiilor guvernamentale.

Alte tipuri des întâlnite sunt fraudele prin intermediul e-mailului, fraude de tip facturi cu link-uri către diverse website-uri, fraudele prin intermediul unor magazine online.

De exemplu, o altă speță cu care ne-am confruntat se referă la un tip de fraudă, care, din păcate, este din ce în ce mai des întâlnit în practică. Astfel, făptuitorul a creat o interfață a paginii web identică cu cea folosită de platforma pe care clientul nostru realiza tranzacții și a început să transmită e-mailuri cu link-ul de acces către diverși angajați ai societății. În urma accesării respectivelor link-uri, acestor persoane li se cerea să își introducă username-ul și parola, iar după ce îndeplineau formalitatea, primeau un mesaj din partea paginii web care reclama apariția unei erori la logare. Totuși, odată introduse, aceste date erau redirecționate către hacker care le utiliza în vederea logării pe platforma reală și extragerii tuturor informațiilor de care era interesat.

Motivul principal pentru care angajații respectivei societăți erau induși în eroare era generat de faptul că pagina web falsă era identică cu cea a platformei reale, aspect care nu îi mai determina să verifice si dacă adresa web (link-ul) respectivă este aceeași cu cea a platformei (exista o diferență de un singur caracter). Și în acest caz am beneficiat de concursul unei echipe de cyber security care a reușit să identifice coordonatele serverului pe care era deschisă platforma falsă și, totodată, care a întreprins demersurile necesare în vederea blocării adresei de IP respective.

Din păcate, organele de urmărire penală nu dețin o aparatură performantă ce este necesară în astfel de situații pentru identificarea făptuitorilor și tragerea acestora la răspundere, motiv pentru care ajutorul provenit atât din partea companiilor de profil, cât și din partea noastră, a avocaților, este de cele mai multe ori, nu doar binevenit, ci chiar indispensabil.

4. Ce riscuri implică munca remote din punctul de vedere al securității cibernetice?
Gabriel Albu: Atât angajații, cât și companiile care sunt nevoite să-și lase angajații să lucreze de acasă, se expun într-o anumită măsură unor riscuri în materie de securitate, confidențialitate și protecția a datelor. Cum spuneam, hackerii pot ataca anumite servere și copia informațiile, după care blochează accesul la date pentru a obține o recompensă sau cer o recompensă pentru a nu expune datele cu caracter personal. Sau pot intercepta ilegal date informatice prin infectarea sistemelor informatice cu ransomware.

Munca de acasă, deși necesară pentru a ajuta la depășirea crizei sanitare globale, presupune utilizarea unor dispozitive și a unor rețele de date care nu sunt întotdeauna protejate corespunzător, precum ar putea fi cele din interiorul companiei. De altfel, dacă angajații nu dețin dispozitive securizate corespunzător, cu programe de antivirus actualizate și parole greu de descifrat, fie că vorbim de laptopuri, computere sau telefoane mobile, nu folosesc routere sigure, nu se asigură că rețelele de acasă sunt securizate sau se conectează la o rețea de Wi-Fi publică, accesibilă tuturor, există un risc major ca hackerii să le acceseze dispozitivele și, automat, și datele personale și informațiile de business confidențiale.

5. A crescut numărul acestor infracţiuni de când a început pandemia şi angajaţii lucrează preponderent de acasă? Detaliaţi, vă rog.
Gabriel Albu: Acest fenomen al infracționalității cibernetice se adaptează destul de rapid contextului socio-economic și digital. În ultimii ani, numărul fraudelor în companii a crescut, fie că vorbim despre fraudele clasice sau despre atacurile cibernetice, care au ca țintă directă în special companiile mari. Conform statisticilor publice, multe dintre fraudele economice, aproximativ 40%, sunt comise de hackeri, iar o treime dintre ele reprezintă un efect al lipsei educației în rândul angajaților.

Pandemia a contribuit la dezvoltarea unui context prielnic săvârșirii acestor ilegalități cibernetice, prin mutarea activităților și operațiunilor în online, digitalizarea prea rapidă a unor sectoare, fără o documentare și pregătire amănunțită, munca remote. Multe organizații care înainte nu aveau nevoie de o infrastructură puternică au fost forțate să se îndrepte către cultura digitalizării, în timp ce își anunțau angajații că vor lucra de acasă. De cele mai multe ori, companiile nu sunt conștiente de implicațiile pe care le are munca remote în ceea ce privește securitatea cibernetică. Fiecare angajat care își desfășoară activitatea profesională din propria locuință este o verigă vulnerabilă pentru companie din această perspectivă.

Astfel că, unele companii, în mare parte marile corporații, au decis să organizeze traininguri pentru angajații lor, cu scopul de a crește gradul de conștientizare pe această temă și pentru a îi învăța cum să identifice posibile atacuri, cum ar fi tentativele de phishing, și cum să se protejeze, prin dispozitive personale securizate corespunzător, rețele securizate, canale autorizate pentru a transfera informații confidențiale, setarea unor parole puternice.

Conform rapoartelor emise de instituțiile de specialitate, în mai multe state,atât din Europa, cât și din SUA și Asia, a crescut foarte mult rata de infracționalitate post-pandemică, în special numărul cazurilor de fraudă și atacurilor cibernetice. În Regatul Unit, acestea au înregistrat o creștere cu 400%. Directorul Centrului național de răspuns la incidente de securitate cibernetică (CERT-RO) declara recent că, anul trecut, numărul de atacuri cibernetice din țara noastră a crescut cu 469% față de anul precedent. Deci chiar peste creșterea din Regatul Unit (400%), un procent îngrijorător. Companiile ar trebui să acționeze cât mai rapid, dacă nu au făcut deja acest pas.

6. Ce pot face oamenii, dar şi companiile care au căzut victime? Ce pot face pentru a nu cădea victimă?
Mihai Lemnaru: În momentul în care o companie a detectat un atac cibernetic, trebuie să colaboreze și să stabilească împreună cu departamentul de IT sau cu o firmă specializată care servere au fost compromise și care sunt pașii de urmat în această criză. De exemplu, să anunțe angajații care sunt procedurile pe care trebuie să le urmeze într-un astfel de caz, să reseteze imediat toate parolele și să anunțe toți clienții sau persoanele implicate în acele activități despre acest atac și care ar putea fi impactul lui asupra companiei. În privința angajaților, aceștia trebuie să anunțe imediat departamentul de IT în momentul în care suspectează că ceva este în neregulă și să urmeze cu atenție instrucțiunile date de aceștia. Idealul este ca, în măsura în care ceva anume pare suspect, un fișier, un e-mail, el să nu fie accesat până proveniența lui legitimă nu este stabilită, eventual conținutul scanat.

Pentru a nu cădea victimă unor astfel de atacuri sau cel puțin a limita major acest risc, companiile trebuie să ia în calcul implementarea de noi politici și proceduri împotriva atacurilor de securitate cibernetică sau actualizarea celor existente, introducând instrucțiuni pe care angajații care lucrează de acasă să le urmeze pentru a se feri de atacurile cibernetice. De asemenea, companiile trebuie aibă planuri și protocoale bine definite, pentru a se asigura că sunt pregătite să acționeze în cazul unui astfel de incident ce ține de securitatea informatică.

7. Cât de bine este armonizată legislaţia românească cu directivele europene din domeniu?
Gabriel Albu: În 2018, România a adoptat directiva NIS, introdusă în 2016. A fost prima măsură legislativă adoptată vreodată la nivelul UE cu scopul de a spori cooperarea dintre statele membre cu privire la chestiunea vitală a securității cibernetice. Aceasta obligă companiile să își ia măsuri suplimentare de securitate și să raporteze orice atac cibernetic către Centrul Național de Răspuns la Incidente de Securitate Cibernetică. La sfârșitul anului trecut, Comisia Europeană a propus o Directivă NIS revizuită (NIS2) care să înlocuiască directiva din 2016. Noua propunere răspunde evoluției peisajului amenințărilor și ține seama de transformarea digitală a societății noastre, care a fost
accelerată de criza provocată de pandemia de COVID-19.

De asemenea, Uniunea Europeană lucrează la alte două propuneri legislative, printre care o directivă actualizată pentru mai bună protecție a rețelelor și a sistemelor informatice și o directivă nouă privind reziliența entităților critice.

8. Care sunt cele mai mari fraude de acest tip din România şi ce pedepse au fost acordate?

Gabriel Albu: Cele mai multe fraude informatice sunt cele de tip ransomware. Recent Spitalul Witting din București a fost ținta unui astfel de atac cibernetic, însă problema a fost rezolvată, deși spitalul nu a oferit suma de bani cerută de atacatori. Acum câțiva ani și alte spitale au fost victimele unor astfel de atacuri, din cauza lipsei unor soluții de antivirus. Conform legii, accesul fără drept la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.

Fapta săvârșită în scopul obținerii datelor informatice se pedepsește cu închisoarea de la 6 luni la 5 ani, iar dacă a fost comisă cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoare de la 2 la 7 ani.

9. Care sunt cele mai „targetate” industrii din România, diferă acestea faţă de cele din restul Europei?
Mihai Lemnaru: În general, hackerii urmăresc companiile care au o bază mare de date, care dețin informații confidențiale de mare importanță și de la care pot obține recompense considerabile în schimbul nepublicării acestora, dar și companii care desfășoară activități indispensabile populației. Astfel, dacă hackerii ar accesa serverele acestor companii și ar deține controlul operațiunilor, viața oamenilor ar putea fi în pericol.

Din ce în ce mai multe companii au devenit dependente de tehnologiile digitale pentru a-și desfășura activitățile de bază. Vorbim de companii din domenii precum cel bancar și finanțe, energie, telecomunicații, retail și comerț online, transporturi și medical. Cel din urmă, în contextul pandemiei de COVID-19, a devenit foarte vulnerabil la astfel de atacuri cibernetice, de la infectarea sistemelor informatice din spitale și centre medicale cu ransomware care să cripteze datele și să blocheze accesul la dispozitive și, astfel, la fișele pacienților punându-le viața în pericol, la infectarea sistemelor informatice din centrele de cercetare, accesând fișiere cu date privind tratamentele și medicamentele și până la obținerea datelor confidențiale despre pacienți.

Aceste industrii nu diferă în România față de cele din restul Europei, ci doar numărul de atacuri cibernetice, și asta în funcție de nivelul de digitalizare și de securitate, de rolul pe care îl au companiile și interesul ridicat pentru informațiile pe care le stochează.

10. Care sunt cele mai predispuse poziții din companii spre a fi „white collar cyber criminal” în România?
Gabriel Albu: Atacurile cibernetice sunt considerate „white collar crimes” și nu putem spune că există anumite poziții cu un apetit mai mare spre săvârșirea acestor infracțiuni. Cu toate acestea, așa cum spuneam inițial, genul acesta de infracțiuni cibernetice necesită un anumit grad de specializare în domeniul digital, de către cel care le săvârșește. Însă și companiile se pot face vinovate de aceste infracțiuni săvârșite din motive ce țin de resurse financiare, putere și avantaje în business.

Bio Gabriel Albu
Gabriel Albu este un avocat cu experiență vastă, fondator al casei de avocatură Albu Legal, specializată în dreptul penal al afacerilor. Gabriel este indicat de prestigiosul anuar internațional de specialitate Legal 500 ca “Leading Individual” pentru domeniul dreptului penal al afacerilor. Înainte de a se concentra pe practica de drept penal al afacerilor, Gabriel Albu a lucrat în firme de top, precum Linklaters, CMS Cameron McKenna și Salans (în prezent, Dentons). Gabriel Albu a fost implicat într-un număr mare al cauzelor penale de nivel înalt derulate în România. De numele său se leagă și succesul celebrului dosar Rompetrol II.

Bio Mihai Lemnaru
Mihai Lemnaru, avocat colaborator Albu Legal, este absolvent al Universității din București – Facultatea de Drept și membru al Baroului București din anul 2014. Mihai Lemnaru este apreciat pentru profesionalismul său de către prestigiosul anuar internațional de specialitate Legal 500. Aria de expertiză vizează infracțiuni ce prezintă o complexitate ridicată, precum evaziune fiscală, spălare de bani, corupție ori fraude bancare.