Unia Europejska ściśle określa poziom dwutlenku węgla, jaki rocznie może emitować jedno przedsiębiorstwo. Przedsiębiorstwa, które przekraczają ten limit, mogą kupować pozwolenia na emisję CO2 od podmiotów, które ich nie potrzebują. O ile jednak uprawnienia do emisji CO2 otrzymują firmy, które wytwarzają duże ilości dwutlenku węgla, np. elektrownie czy fabryki, o tyle handlować pozwoleniami może każdy – przedsiębiorstwo energetyczne, instytucja, organizacja, a nawet osoba fizyczna. Mechanizm ten buduje rynek obrotu certyfikatami upoważniającymi do emisji CO2. Rynek na tyle potężny i dochodowy, by zainteresować cyberprzestępców.
Legalny handel pozwoleniami na emisję CO2 obwarowany jest jednym warunkiem – należy założyć konto w którymś z 27 rejestrów krajowych, będących częścią unijnego systemu EU ETS (EU Emission Trading System). – To właśnie dane dostępowe do krajowych rejestrów znalazły się na celowniku cyberzłodziei – komentuje Michał Iwan, Dyrektor Zarządzający F-Secure Polska. – Hakerzy przechwytują je tak samo jak hasła bankowe, najczęściej stosując “phishing”, czyli podszywając się pod godne zaufania instytucje lub osoby w celu wyłudzenia danych dostępowych. Podobnie było w tym przypadku.
Złodzieje podszywali się pod osoby zarządzające krajowymi rejestrami, prosząc o podanie loginu i hasła do systemu. Nieostrożność użytkowników, którzy takich informacji udzielili, to jednak nie jedyna przyczyna kradzieży. Nie mniej kluczowy okazał niski poziom zabezpieczeń unijnego systemu do obrotu certyfikatami. W części krajów UE, aby zalogować się do rejestru, wystarczy podać login i hasło. Nie stosuje się dodatkowych metod autoryzacji, jak choćby jednorazowe hasło SMS czy token z dodatkowym kodem zabezpieczającym.
Unijni urzędnicy przyznają, że problem związany ze zbyt łatwym dostępem do krajowych rejestrów dotyczy połowy państw członkowskich. W krajach tych zalogowanie się do unijnego rejestru nie wymaga dwuetapowej procedury identyfikacji użytkownika, mimo, że procedura taka powszechnie stosowana jest w systemach do obsługi e-bankowości.
– Atak, zbliżony do tego, który aktualnie paraliżuje unijny handel pozwoleniami na emisję CO2, miał miejsce już wcześniej, ok. rok temu, w Niemczech – zauważa Michał Iwan. – Unijni urzędnicy nie podjęli jednak kroków zmierzających do uszczelnienia dostępu do rejestrów i podniesienia standardów bezpieczeństwa. Dziś tłumaczą, że wówczas nie było przesłanek wskazujących na to, że atak może się powtórzyć i to na taką skalę.
Maria Kokkonen, rzecznik prasowy Connie Hedegaard, unijnej komisarz ds. polityki klimatycznej, w oficjalnym oświadczeniu wydanym w czwartek stwierdziła: – Zabezpieczenie krajowych rejestrów w obrocie pozwoleniami na emisję CO2 jest obowiązkiem poszczególnych państw członkowskich. Dodaje jednak, że do 2013 roku Unia zamierza podjąć kroki zmierzające do unifikacji systemu w ramach państw członkowskich i stopniowego wycofania rejestrów krajowych.
Maria Kokkonen nie odniosła się jednoznacznie do nieoficjalnych informacji przekazanych mediom przez anonimowego unijnego urzędnika, który twierdzi, że za atakiem stoją pracownicy przedsiębiorstw korzystających z rejestrów. Natomiast Komisja Europejska na specjalnym spotkaniu zwołanym w ubiegły piątek poleciła wszystkim krajom członkowskim zaktualizować zabezpieczenia krajowych rejestrów przed dostępem niepowołanych osób.
Z kolei BlueNext, paryska giełda odpowiedzialna za handel uprawnieniami do emisji gazów cieplarnianych w Europie, zwróciła się do władz Czech i Austrii o przekazanie listy numerów seryjnych skradzionych certyfikatów, aby wycofać je z rynku.
Ma to na celu upewnienie nabywców, że nie są w posiadaniu zezwoleń, które wkrótce mogą zostać unieważnione. Już dziś podnoszony jest także temat odszkodowań dla przedsiębiorców z tytułu strat poniesionych na skutek kupna skradzionych certyfikatów.