ADR suspenda temporar emiterea de documente electronice dupa un atac la CertSIGN

Autoritatea pentru Digitalizarea Romaniei (ADR) a anuntat pe 18 octombrie 2023 ca suspenda temporar emiterea de documente certificate electronic prin solutia oferita de CertSIGN. Decizia vine dupa ce furnizorul de servicii de certificare a fost tinta unui atac cibernetic in dimineata zilei de 17 octombrie, incident care a afectat semnificativ sistemele interne si externe ale companiei, precum si domeniile sale web.

Ce a fost si ce nu a fost afectat

ADR a tinut sa precizeze ca infrastructura proprie nu a fost compromisa. Atacul a vizat sistemele CertSIGN, nu platformele administratiei digitale, iar datele cetatenilor si ale entitatilor stocate de autoritate raman intacte.

Platformele administrate de Autoritatea pentru Digitalizarea Romaniei nu au fost vizate in mod direct de atacul cibernetic.

Problema apare insa la nivel functional: o parte dintre serviciile ADR se bazeaza pe certificarea oferita de CertSIGN. In lipsa acestei verigi, emiterea de documente certificate electronic a devenit temporar indisponibila pentru utilizatori, pana la remedierea situatiei de catre furnizor.

Investigatia si necunoscutele

Incidentul a fost preluat de Centrul National CyberInt, structura aflata in coordonarea Serviciului Roman de Informatii, care s-a implicat in analiza atacului. Potrivit comunicarii oficiale, pana la momentul anuntului nu fusese identificata nicio utilizare frauduloasa a certificatelor digitale emise prin CertSIGN.

Durata intreruperii nu a fost insa precizata. ADR a transmis ca serviciile dependente de CertSIGN vor reveni la normal pe masura ce furnizorul isi restabileste sistemele, fara a oferi un termen concret.

De ce conteaza pentru serviciile publice digitale

Episodul scoate in evidenta o vulnerabilitate structurala a administratiei digitale: dependenta serviciilor publice de furnizori privati de certificare. Cand un singur furnizor de incredere este lovit, efectul se propaga catre platformele statului care se sprijina pe el, chiar daca infrastructura publica in sine ramane sigura. Pentru un ecosistem de servicii electronice in crestere, reziliența lantului de furnizori devine la fel de importanta ca securitatea platformelor proprii.