Cyber Security Insights

Două breșe în trei zile

Written by Madalin STANIU | 17.07.2026 14:36:17

Atacurile din iulie 2026 asupra ANCPI și MIPE

Rezumat executiv

În trei zile, două instituții publice românești de care depind cetățenii și mediul de afaceri au fost scoase din funcțiune de atacuri cibernetice. Pe 14 iulie, Agenția Națională de Cadastru și Publicitate Imobiliară (ANCPI) și-a pierdut platforma de cadastru e-Terra, iar până pe 16 iulie Ministerul Investițiilor și Proiectelor Europene (MIPE) a confirmat că una dintre aplicațiile sale de achiziții a fost lovită. Ambele instituții au recurs inițial la un limbaj prudent, "incident tehnic" la ANCPI, "incident cibernetic" la MIPE, înainte ca imaginea să se cristalizeze în ceea ce este de fapt: o criză de integritate și de disponibilitate a datelor în sistemele care stau la baza drepturilor de proprietate și a investițiilor finanțate din fonduri europene în România.

Mesajul pentru un consiliu de administrație sau pentru un ministru este scurt. Atacurile au blocat tranzacțiile imobiliare la nivel național și au perturbat achizițiile din fonduri europene într-un moment în care guvernul finalizează revizuirea PNRR și o cerere de plată de miliarde de euro către Bruxelles. Faptele tehnice sunt încă în curs de stabilire, iar unele dintre cele mai grave afirmații (exfiltrarea de date, furtul de cod sursă, ștergerea bazelor de date de proiecte) provin de la atacator și din surse neidentificate, nu dintr-o confirmare criminalistică. Exact în acest decalaj dintre afirmație și confirmare răspunsul trebuie să fie disciplinat. Această lucrare stabilește ce este confirmat, ce este doar afirmat, ce înseamnă și ce trebuie făcut mai întâi.

Ce s-a întâmplat?

ANCPI (cadastru), 14 iulie

Marți, 14 iulie, aplicația e-Terra a ANCPI, sistemul prin care sunt gestionate înregistrările cadastrale și extrasele de carte funciară, a devenit indisponibilă. Agenția a descris-o inițial ca pe o defecțiune tehnică majoră, apoi a confirmat-o ca atac cibernetic. Perturbarea nu s-a limitat la e-Terra: relatările indică faptul că aplicațiile agenției în ansamblu, inclusiv e-mailul, au picat, ceea ce sugerează o rază de propagare internă mare, nu un singur serviciu expus.

Poziția publică a ANCPI este că datele pe care le administrează nu au fost compromise și că circumstanțele sunt investigate de autoritățile competente ale statului. Pe 15 iulie, agenția estima că e-Terra va rămâne indisponibilă până la sfârșitul săptămânii. Comunicările ulterioare au recunoscut acest lucru drept cel mai grav incident tehnic din istoria agenției.

În contrast, un actor de amenințare care folosește pseudonimul ByteToBreach și-a asumat responsabilitatea și a început să pună în vânzare date ANCPI pe un forum de pe dark web. Actorul susține că deține date ale cetățenilor și baze de date interne, că a copiat serverele GitLab ale agenției, inclusiv codul sursă, și că a implementat ransomware. Același actor a fost asociat cu un atac asupra administrației forestiere de stat a Letoniei în luna precedentă. Niciuna dintre afirmațiile privind exfiltrarea sau ransomware-ul nu a fost confirmată independent la momentul redactării, iar acestea sunt în contradicție directă cu declarația ANCPI potrivit căreia datele nu au fost compromise. Ambele poziții nu pot fi pe deplin adevărate; rezolvarea va veni din investigația criminalistică, nu din comunicate de presă.

MIPE (fonduri europene), 16 iulie

Joi, 16 iulie, MIPE a confirmat că aplicația sa "Achiziții Beneficiari Privați", folosită de beneficiarii privați pentru derularea procedurilor de achiziție aferente proiectelor din Politica de Coeziune, a fost ținta unui incident cibernetic și era inaccesibilă. Directoratul Național de Securitate Cibernetică (DNSC) a confirmat că fusese notificat în aceeași zi prin platforma națională de raportare a incidentelor (PNRISC) și că sprijinea răspunsul alături de alte autorități.

MIPE a fost categoric într-o privință: aplicația afectată nu este platforma PNRR, iar platforma PNRR a rămas funcțională. Acea clarificare a fost un răspuns direct la relatări, atribuite unor persoane din interiorul ministerului, potrivit cărora atacatorii ar fi compromis sistemele MIPE și ar fi șters baza de date a proiectelor și beneficiarilor PNRR. Dacă datele au fost doar șterse sau și copiate înainte de ștergere, și dacă puteau fi recuperate din copii de rezervă, nu a fost stabilit public. Poziția guvernului, exprimată de președintele Nicușor Dan, a fost că atacul este regretabil, dar face parte dintr-o confruntare continuă, raportat la miile de atacuri îndreptate împotriva instituțiilor europene în ultimii ani.

Momentul contează. Incidentul a survenit în timp ce guvernul finaliza a treia revizuire a PNRR și pregătea Cererea de plată nr. 5 către Comisia Europeană, o transmitere cu o valoare brută în jurul a 2,66 miliarde de euro, legată de zeci de jaloane de reformă și de investiții. O problemă de disponibilitate sau de integritate în sistemele care documentează aceste jaloane nu este doar o pană IT; atinge poziția țării în relația cu cel mai mare finanțator al său.

Care este analiză acestor atacuri?

Nu sunt evenimente izolate

Privite separat, două căderi într-o singură săptămână par ghinion. Privite pe fondul ultimilor doi ani, arată ca o tendință. Sectorul public din România a absorbit o serie constantă de incidente grave: atacul ransomware din decembrie 2025 asupra administrației naționale a apelor (Apele Române), care a criptat aproximativ o mie de sisteme în zece din cele unsprezece administrații bazinale folosind Windows BitLocker; ransomware-ul Backmydata din februarie 2024, care a scos din funcțiune peste o sută de spitale; compromiterea operatorului de electricitate Electrica cu ransomware-ul Lynx; și, mai în urmă, valul de atacuri DDoS Killnet din 2022. Firul comun nu este un singur actor sau o singură tehnică. Este un domeniu public vast, cu o maturitate de securitate inegală, date de mare valoare și servicii de care cetățenii nu se pot lipsi ușor.

Cauza-rădăcină este încă deschisă, iar aceasta este poziția onestă

Pentru ANCPI și MIPE deopotrivă, vectorul de acces inițial nu a fost făcut public. Ar fi iresponsabil să afirmăm o cauză. Ce se poate spune este care sunt slăbiciunile care tind să favorizeze incidente de această formă, iar acestea merită numite pentru că tot acolo se află și remedierea:

  • O aplicație expusă în internet ca punct de intrare (asociată conceptual cu MITRE ATT&CK T1190, Exploit Public-Facing Application) sau credențiale valide obținute prin phishing ori reutilizare (T1078, Valid Accounts). Ambele sunt ipoteze; niciuna nu este confirmată.
  • O rețea internă plată sau slab segmentată, dedusă din faptul că la ANCPI pana a cuprins e-mailul și mai multe aplicații, nu doar e-Terra. Când un singur punct de sprijin poate ajunge oriunde, raza de propagare este întreaga agenție.
  • Infrastructură de cod sursă accesibilă. Afirmația că serverele GitLab și codul sursă au fost copiate, dacă este adevărată, indică o infrastructură de dezvoltare accesibilă dintr-o poziție compromisă, care conține secrete sau credențiale ce lărgesc și mai mult accesul (T1213, Data from Information Repositories).

Comportamentele afirmate, în termeni defensivi

Dacă afirmațiile atacatorului se confirmă, tehnicile relevante pentru apărători sunt furtul de date către un serviciu extern (T1567, Exfiltration Over Web Service), impactul distructiv asupra datelor (T1485, Data Destruction, consistent cu ștergerea raportată a bazei de date PNRR la MIPE), împiedicarea recuperării, precum eliminarea copiilor de rezervă sau a copiilor shadow (T1490), și criptarea pentru impact (T1486). Cazul Apele Române din decembrie trecut este instructiv aici, pentru că a arătat un instrument legitim, BitLocker, transformat în mecanism de criptare (T1486 combinat cu T1562, Impair Defenses). Detecția trebuie să se concentreze pe comportament, criptare în masă, ștergere în masă, manipularea copiilor de rezervă, transferuri mari către exterior, nu pe o semnătură specifică de malware.

Impact

Pentru ANCPI, costul operațional imediat este blocarea la nivel național a tranzacțiilor imobiliare, cu efecte în lanț asupra notarilor, băncilor și cumpărătorilor aflați în mijlocul unei achiziții. Riscul pe termen mai lung este cel asupra datelor. Dacă înregistrările cetățenilor și cele cadastrale au fost exfiltrate, expunerea nu este trecătoare: dreptul de proprietate și datele personale alimentează frauda de titluri și ingineria socială țintită ani la rând, iar incidentul devine o încălcare a securității datelor cu caracter personal, cu obligații în temeiul GDPR. Integritatea cadastrului este fundamentală; încrederea publică în el nu se reconstruiește ușor.

Pentru MIPE, costul operațional cade asupra beneficiarilor privați care nu pot derula achiziții, iar costul strategic cade asupra relației statului cu Comisia dacă documentarea proiectelor este perturbată în momentul plății. Dacă baza de date a proiectelor PNRR a fost efectiv ștearsă și copiile de rezervă sunt integre, este un exercițiu de recuperare. Dacă backup-urile nu sunt integre, este un exercițiu de reconstrucție, mult mai costisitor.

Recomandări

Prioritizate după raportul dintre reducerea riscului și efort. Primele trei ar fi limitat prejudiciul în majoritatea incidentelor pe care România le-a văzut anul acesta.

De făcut mai întâi (limitează raza de propagare).

  1. Segmentează rețeaua și izolează aplicațiile expuse în internet de depozitele interne, e-mail și sistemele administrative. Lecția din pana ANCPI este că o singură compromitere nu ar trebui să poată ajunge oriunde. Se asociază cu CIS Control 12 și ISO/IEC 27001 Anexa A 8.20 - 8.22.
  2. Impune MFA rezistentă la phishing (chei hardware FIDO2) pe tot accesul privilegiat, la distanță și administrativ. Aceasta închide cea mai frecventă cale de intrare bazată pe credențiale. Se asociază cu CIS Control 6, ISO 27001 A.8.5, NIST CSF PR.AA.
  3. Mută copiile de rezervă către un model offline, imuabil și testat periodic prin restaurare (o postură 3-2-1 reală) și tratează exercițiile de restaurare ca pe o activitate programată, nu ca pe o capabilitate teoretică. Este controlul unic care transformă un atac distructiv într-unul din care te poți recupera și abordează direct lacuna de continuitate scoasă la iveală de afirmațiile privind ștergerea de la MIPE. Se asociază cu CIS Control 11, ISO 27001 A.8.13, NIST CSF PR.DS și RC.RP.

De făcut în continuare (să îl vezi cum se întâmplă).

  1. Centralizează jurnalizarea și implementează EDR sau XDR cu detecție comportamentală calibrată pentru comportamentele de impact de mai sus: criptare în masă a fișierelor, abuzul de BitLocker sau de alte instrumente native de criptare, ștergere în masă, manipularea copiilor shadow sau a backup-urilor și transferuri mari, anormale, către exterior. Exprimă detecțiile ca fiind comportament, nu semnături. Se asociază cu CIS Controls 8 și 13, NIST CSF DE.CM.
  2. Conectează instituția la capabilitatea națională de protecție cibernetică operată de stat (aspect scos dureros în evidență de cazul administrației apelor, când s-a dovedit că acea agenție nu era încă integrată). Pentru entitățile publice aceasta este atât un câștig defensiv, cât și, tot mai mult, o așteptare.
  3. Securizează lanțul de aprovizionare software: control strict al accesului la platformele de cod sursă, scanarea secretelor pentru a ține credențialele în afara depozitelor și copii de rezervă imuabile ale depozitelor în sine. Afirmația despre GitLab, indiferent dacă se dovedește exactă aici, este o amenințare realistă pentru orice agenție digitalizată.

De făcut în mod continuu (recuperare și guvernanță).

  1. Menține și exersează un plan de răspuns la incidente, ideal cu un specialist de răspuns disponibil pe bază de contract, și derulează exerciții de tip tabletop exact pentru aceste scenarii (ransomware distructiv, furt masiv de date). Un plan netestat este un document, nu o capabilitate.
  2. Construiește proceduri manuale de rezervă pentru cele mai critice servicii către cetățeni, astfel încât o pană de sisteme să nu devină o pană totală de serviciu. Atât înregistrarea proprietăților, cât și achizițiile din fonduri europene au nevoie de un proces definit de funcționare în regim degradat.
  3. Respectă recomandarea națională permanentă de a nu negocia cu și de a nu plăti actorii de ransomware și direcționează toate deciziile prin DNSC și organele de aplicare a legii.

Riscul rezidual este real și trebuie spus clar: nimic din toate acestea nu face imposibilă o intruziune determinată. Scopul este să reduci ce poate atinge un intrus, să scurtezi cât timp rămâne nedetectat și să garantezi că organizația se poate recupera în condițiile sale.

Perspectiva de reglementare

Ambele entități se încadrează în domeniul de aplicare al Directivei NIS2 și al transpunerii ei în legislația română, în calitate de operatori din administrația publică ai unor servicii importante. Aceasta aduce obligații concrete pe care săptămâna aceasta le va testa în practică: măsuri de management al riscului proporționale cu amenințarea și raportarea la timp a incidentelor către CSIRT-ul național și DNSC, o avertizare timpurie în prima zi și o notificare mai detaliată în aproximativ trei zile de la luarea la cunoștință. Notificarea către DNSC prin PNRISC în cazul MIPE reprezintă mecanismul de raportare funcționând așa cum a fost gândit. Întrebarea mai grea pe care o pune NIS2 este cea din amonte: existau măsurile de management al riscului înainte de incident?

Dacă la ANCPI au fost expuse date cu caracter personal, obligațiile GDPR rulează în paralel: evaluarea încălcării, notificarea autorității de supraveghere și, în funcție de riscul pentru persoane, comunicarea către cei afectați. Aceasta este o considerație de actualitate tocmai pentru că afirmația atacatorului privind exfiltrarea contrazice declarația inițială a agenției, "datele nu au fost compromise", iar rezolvarea are consecințe juridice, nu doar tehnice.

DORA merită menționată doar pentru a fi lăsată deoparte: reglementează reziliența operațională a sectorului financiar și nu este regimul relevant pentru aceste două entități. Invocarea ei aici ar fi doar o etalare de cadre de reglementare și nu își justifică locul.

Concluzie și pași următori

Concluzia incomodă nu este că România a fost atacată. Orice stat este, în mod constant. Este că două sisteme publice fundamentale au putut fi împinse în căderi de mai multe zile și că cele mai dăunătoare întrebări, au fost furate datele, au fost distruse, ne putem recupera curat, erau încă deschise zile mai târziu. Această incertitudine este în sine o constatare. Spune că vizibilitatea și garanțiile de recuperare nu erau acolo unde trebuiau să fie înainte de atac.

Pentru orice instituție publică din România care urmărește cum se desfășoară toate acestea, următoarele 30 de zile sunt fereastra de a acționa pornind de la premisa că ea urmează: confirmă că aplicațiile expuse în internet sunt izolate de activele critice, că accesul privilegiat este protejat prin MFA rezistentă la phishing și că backup-urile sunt offline, imuabile și demonstrabil restaurabile. Aceste trei lucruri, făcute corect, sunt diferența dintre un incident și o catastrofă. Următoarele 90 de zile sunt pentru munca de detecție, integrare națională și răspuns exersat care transformă o postură bună într-una durabilă.

Digitalizarea a creat dependența. Acum trebuie să câștige încrederea, iar încrederea se măsoară aici în continuitate și în onestitatea a ceea ce o instituție poate spune despre propriile date după o săptămână grea.

Referințe

  1. Help Net Security, "Romania's land registry hit by cyber attack, data allegedly for sale," 16 iulie 2026. https://www.helpnetsecurity.com/2026/07/16/romania-ancpi-cyber-attack/
  2. News4Hackers, "Cyber Attack on Romania Land Registry: Exposed Data for Sale," 16 iulie 2026. https://www.news4hackers.com/cyber-attack-on-romania-land-registry-exposed-data-for-sale
  3. OffSeq Threat Radar, "Romanian Government Cadastre (ANCPI) cyber attack / ransomware," iulie 2026. https://radar.offseq.com/threat/romanian-government-cadastre-ancpi-cyber-attack-ra-bf698d8f2d4e281d
  4. Digi24, "Atac cibernetic la MIPE. Nicusor Dan: Este nefericit, dar face parte dintr-o lupta in curs," 16 iulie 2026. https://www.digi24.ro/stiri/nou-atac-cibernetic-asupra-unei-platforme-publice-mipe-aplicatia-pentru-beneficiarii-privati-nu-poate-fi-accesata-3865395
  5. Puterea.ro, "Atac cibernetic la MIPE: Ministerul dezminte afectarea platformei PNRR," 16 iulie 2026. https://www.puterea.ro/atac-cibernetic-la-mipe-ministerul-dezminte-afectarea-platformei-pnrr/
  6. EVZ, "Atac cibernetic la Ministerul Proiectelor Europene. Surse: Baza de date cu proiectele PNRR ar fi fost stearsa," 16 iulie 2026. https://evz.ro/atac-cibernetic-la-ministerul-proiectelor-europene-surse-baza-de-date-cu-proiectele-pnrr-ar-fi-fost-stearsa.html
  7. StartupCafe, "Atac cibernetic la aplicatia pentru achizitii in proiectele europene," 16 iulie 2026. https://startupcafe.ro/atac-cibernetic-la-aplicatia-pentru-achizitii-in-proiectele-europene-103479
  8. BleepingComputer, "Romanian water authority hit by ransomware attack over weekend," 22 decembrie 2025. https://www.bleepingcomputer.com/news/security/romanian-water-authority-hit-by-ransomware-attack-over-weekend/
  9. Security Affairs, "Romanian Waters confirms cyberattack, critical water operations unaffected," 22 decembrie 2025. https://securityaffairs.com/186010/cyber-crime/romanian-waters-confirms-cyberattack-critical-water-operations-unaffected.html
  10. MITRE ATT&CK, tehnici Enterprise referite conceptual: T1190, T1078, T1213, T1486, T1485, T1490, T1567, T1562. https://attack.mitre.org/

Notă privind informați: această lucrare distinge faptele confirmate (căderile, confirmarea atacurilor cibernetice, notificarea DNSC) de afirmațiile făcute de actorul de amenințare sau de surse neidentificate (exfiltrarea de date, furtul de cod sursă, ștergerea bazei de date PNRR) și de declarațiile oficiale ("datele nu au fost compromise" la ANCPI, "platforma PNRR funcțională" la MIPE). Acolo unde vectorul de acces inițial sau amploarea pierderii de date nu sunt stabilite, acest lucru este menționat, nu presupus. Atribuirea către ByteToBreach se bazează pe afirmația proprie a actorului și pe monitorizarea dark web-ului de către terți; ar trebui tratată ca neconfirmată până la concluziile investigației criminalistice.