ANRE dorește să precizeze foarte clar următoarele aspecte:
- Nu a fost un atac cibernetic. În urma unor lucrări de mentenanță derulate de către contractantul POSF, o eroare tehnică a dus la posibilitatea accesării neautorizate a unor date.
- Lucrările tehnice care au permis această vulnerabilitate nu au fost derulate de către ANRE, ci de către contractantul tehnic care a dezvoltat platforma.
- Nu avem niciun indiciu în acest moment să considerăm că incidentul a avut intenții ostile, pentru că vulnerabilitatea a fost adusă imediat la cunoștința ANRE de către persoana care a descoperit-o. Având în vedere procesul complicat și competențele tehnice ridicate necesare pentru a accesa datele, suntem determinați să apreciem că incidentul a fost unul limitat.
- Nu există dovezi că datele expuse ar fi utilizate în scopuri frauduloase sau că ar fi existat această intenție.
- Vulnerabilitatea a fost remediată la o oră după ce a fost descoperită.
- Au fost luate 3 tipuri de măsuri:
- Măsuri tehnice imediate și suplimentare asumate de către contractantul tehnic: Dezactivarea mecanismului de generare automata a API-urilor neautentificate. Izolarea și restricționarea tuturor endpoint-urilor vulnerabile până la remedierea completă a acestora. Aplicarea patch-urilor de securitate și corectarea setărilor– în termen de o oră de la momentul notificării. Audit complet al codului și infrastructurii. Implementarea de teste automate de penetrare. Instruirea echipei tehnice în bune practici de securitate. Planificarea de audituri periodice interne și externe.
- Măsuri administrative luate de către ANRE: Proceduri de analiză și de obținere a clarificărilor tehnice de la contractant; inițierea de analize interne și demersuri pentru a atrage răspunderea contractorului în cazul în care va exista un prejudiciu.
- Măsuri inter-instituționale: ANRE a notificat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termenul legal. De asemenea, a solicitat sprijin din partea Directoratului Național pentru Securitate Cibernetică și Institutului de Cercetare-Dezvoltare în Informatică ICI București.
- Amploarea datelor expuse este încă investigată, urmând a fi stabilită ulterior. Până la finalizarea investigației, ANRE se va abține de la comentarii. În acest context, subliniem că valorile vehiculate în spațiul public sunt alarmiste și neconfirmate de nimeni.
Ne cerem scuze tuturor utilizatorilor pentru îngrijorările pe care acest incident le poate provoca. Protejarea datelor cu caracter personal rămâne o prioritate absolută pentru ANRE.
Toate detaliile tehnice, în conformitate cu prevederile GDPR, pot fi consultate aici: https://anre.ro/informare-publica-referitoare-la-incidentul-de-securitate-a-datelor-cu-caracter-personal-pe-platforma-posf/
Direcția relații internaționale, comunicare și soluționare plângeri
București, 29.08.2025
Pentru stirea originala, verificati sursa.
Precizări: Legea 190 din 2018, la articolul 7, menţionează că activitatea jurnalistică este exonerată de la unele prevederi ale Regulamentului GDPR, dacă se păstrează un echilibru între libertatea de exprimare şi protecţia datelor cu caracter personal.
Mai multe gasiti pe pagina de Facebook stiridinromania.ro!
Daca ati fost martorii unui eveniment sau ai unei situatii neobisnuite care ar putea deveni subiect de stire, contactati-ne la admin @ stiridinromania.ro sau pe contul nostru de Facebook stiridinromania.ro!
Mai multe gasiti pe pagina de Facebook stiridinromania.ro!
Daca ati fost martorii unui eveniment sau ai unei situatii neobisnuite care ar putea deveni subiect de stire, contactati-ne la admin @ stiridinromania.ro sau pe contul nostru de Facebook stiridinromania.ro!
