Toolkit pentru ONG #4: Securitatea digitală începe cu lucrurile vizibile din exterior

Ultimul an a schimbat semnificativ discuția despre securitate cibernetică în România. O monitorizare agregată a surselor deschise din perioada aprilie 2025, aprilie 2026, efectuata de Base64 CyberShield, a documentat 281 de incidente de securitate care au vizat organizații și sisteme din România. Numărul incidentelor lunare a crescut de la aproximativ 10 în aprilie 2025 la peste 80 într-o singură lună la începutul lui 2026, o evoluție care indică intensificarea campaniilor regionale și extinderea suprafeței digitale a organizațiilor locale.

Pentru organizațiile neguvernamentale, acest context este relevant dintr-un motiv simplu: o mare parte din activitatea lor depinde astăzi de infrastructură digitală. Emailuri, formulare de donații, platforme de management al beneficiarilor, site-uri de prezentare, pagini de campanii, conturi de social media, newslettere, spații cloud, conturi de administrare și domenii folosite pentru proiecte. Chiar și o organizație mică poate avea o expunere digitală mai mare decât își imaginează.

Tabloul incidentelor nu este omogen. Peste jumătate dintre cazurile analizate, aproximativ 54%, au fost atacuri DDoS, iar circa 39% au fost atribuite unor actori afiliați Rusiei. Aproape un sfert dintre incidente, aproximativ 25%, au implicat compromiteri de date, breșe, scurgeri, vânzări de baze de date sau comercializarea accesului neautorizat. Ransomware-ul a reprezentat sub 10% ca frecvență, dar a avut impact ridicat în sectoarele afectate, inclusiv administrație publică, energie, sănătate, producție și logistică.

Pentru un ONG, riscul nu trebuie privit doar prin prisma atacurilor sofisticate. În practică, multe incidente încep cu lucruri simple: o parolă reutilizată, un cont de email compromis, un domeniu configurat greșit, o pagină veche uitată online, un cont de administrare păstrat după încheierea unui proiect sau un furnizor extern care are acces la infrastructura organizației.

Digitalizarea a crescut mai repede decât implementarea regulilor de bază in igiena digitală
În ultimii ani, organizațiile neguvernamentale au accelerat digitalizarea. Au trecut la formulare online, plăți digitale, CRM-uri, platforme de email marketing, instrumente de colaborare, aplicații de project management și arhive cloud. Pentru multe ONG-uri, această schimbare a fost necesară. A permis lucru la distanță, campanii mai eficiente, colectare de date, raportare mai bună și comunicare mai rapidă cu donatori, voluntari, beneficiari și instituții partenere.

Problema apare atunci când aceste instrumente sunt adăugate treptat, fără o evidență clară. Un domeniu cumpărat pentru o campanie rămâne activ. Un cont de email creat pentru un proiect nu mai este folosit, dar există în continuare. Un voluntar pleacă, însă contul lui rămâne conectat la instrumente interne. O agenție externă configurează un newsletter sau o pagină de donații, dar accesul nu este revizuit după finalizarea colaborării.

Aceste detalii nu par urgente în activitatea de zi cu zi. Totuși, ele pot deveni puncte de intrare, canale de fraudă sau surse de expunere. Atacatorii nu încep întotdeauna prin atacarea serverelor interne. De multe ori, pornesc de la ce este deja vizibil public: domenii, subdomenii, adrese de email, breșe vechi, certificate, pagini uitate, conturi expuse și reputația tehnică a domeniului.

În acest sens, securitatea digitală începe cu lucrurile vizibile din exterior. Exact acele lucruri pe care un atacator le poate vedea în faza de recunoaștere, înainte să trimită un email de phishing, să încerce preluarea unui cont sau să imite identitatea organizației.

De ce emailul și domeniul web sunt esențiale pentru un ONG
Emailul și domeniul web sunt două dintre cele mai importante active digitale ale unei organizații. Prin email se comunică cu donatori, parteneri, beneficiari, instituții, furnizori și presă. Se trimit documente, contracte, invitații, rapoarte, cereri de finanțare, date de acces și instrucțiuni operaționale. Prin domeniu este construită identitatea digitală a organizației: site, adrese de email, formulare, campanii, subdomenii și pagini de proiect.

Dacă aceste elemente sunt compromise sau configurate slab, impactul poate fi serios. Un atacator poate trimite mesaje care par venite din partea organizației. Poate cere donații într-un cont fals. Poate trimite linkuri de phishing către voluntari sau beneficiari. Poate imita o campanie reală. Poate folosi numele organizației pentru a obține date personale sau acces la conturi.

Pentru un ONG, problema nu este doar tehnică. Este și una de încredere. Organizațiile neguvernamentale lucrează adesea cu grupuri vulnerabile, date personale, cauze sensibile, finanțatori, parteneri instituționali și comunități care se bazează pe credibilitatea lor. O campanie de impersonare sau o compromitere a emailului poate afecta reputația organizației, poate produce pierderi financiare și poate pune beneficiarii în situații de risc.

Un scan făcut la timp poate arăta rapid mai multe categorii de expunere:

1. dacă adrese de email asociate organizației apar în baze de date scurse, inclusiv în infostealer logs sau breach dumps;
2. dacă domeniul are SPF, DKIM și DMARC configurate corect, elemente importante pentru reducerea riscului de impersonare prin email;
3. dacă serverele de email sau IP-urile asociate domeniului apar pe liste de reputație negativă;
4. dacă există domenii asemănătoare înregistrate recent, care pot fi folosite pentru phishing sau fraudă;
5. dacă există subdomenii vechi, portaluri uitate, pagini de campanie inactive sau panouri de administrare expuse public.

Aceste verificări nu cer acces privilegiat la sistemele organizației. Ele pot fi realizate din exterior, exact așa cum ar face un atacator în faza de documentare. Diferența este că organizația poate folosi rezultatul pentru prevenție.

Ce poate vedea un atacator din exterior
Înainte de un atac, recunoașterea este una dintre cele mai importante etape. Atacatorul caută informații disponibile public și încearcă să înțeleagă cum este construită prezența digitală a organizației. Pentru un ONG, această prezență poate include site-ul principal, subdomenii pentru proiecte, platforme de donații, pagini de eveniment, formulare, conturi de email, instrumente de newsletter, platforme cloud și servicii conectate.

Unele dintre aceste elemente pot fi perfect legitime și necesare. Riscul apare când nu mai sunt monitorizate. Un subdomeniu creat pentru o campanie din urmă cu trei ani poate avea în continuare o aplicație vulnerabilă. Un cont de email vechi poate fi asociat cu o parolă scursă. O configurație DMARC permisivă poate permite trimiterea de emailuri care par să vină de pe domeniul organizației. Un domeniu asemănător poate fi înregistrat pentru a imita o campanie de donații.

Aceste riscuri sunt greu de observat din interior, mai ales în organizațiile mici, unde responsabilitățile digitale sunt împărțite între echipe de comunicare, voluntari, furnizori externi și management. În schimb, din exterior, ele pot fi identificate prin verificări tehnice relativ simple.

De aceea, o evaluare a expunerii externe este utilă înaintea oricărui audit complex. Nu înlocuiește politicile interne, trainingul, backupul, controlul accesului sau testele de securitate, dar oferă o imagine rapidă asupra punctelor prin care organizația poate fi imitată, atacată sau abuzată.

Riscurile pentru ONG-uri sunt diferite de cele ale companiilor
Companiile sunt adesea vizate pentru bani, date comerciale, acces la sisteme sau blocarea operațiunilor. ONG-urile pot fi vizate din aceleași motive, dar au și riscuri specifice. Unele gestionează date despre copii, persoane vulnerabile, refugiați, victime ale abuzurilor, pacienți, comunități marginalizate sau beneficiari ai unor servicii sociale. Altele gestionează donații, granturi, campanii publice și comunicare sensibilă.

În aceste cazuri, un incident digital poate produce efecte mai largi decât pierderea unui cont. Poate expune date personale, poate afecta încrederea beneficiarilor, poate compromite o campanie de strângere de fonduri sau poate crea confuzie în relația cu partenerii. În plus, multe ONG-uri nu au echipe IT interne și depind de furnizori, voluntari sau soluții rapide implementate punctual.

Această realitate face ca verificările de bază să fie cu atât mai importante. Un ONG nu are nevoie, în prima etapă, de un program tehnic complicat. Are nevoie să știe ce domenii folosește, cine are acces la conturile esențiale, dacă emailul poate fi imitat ușor, dacă parolele au fost expuse și dacă există servicii publice uitate online.

Securitatea nu trebuie tratată ca un proiect separat de activitatea organizației. Ea face parte din protecția beneficiarilor, din continuitatea proiectelor și din credibilitatea publică.

Din observație tehnică în decizie organizațională
Valoarea unui raport de verificare nu stă doar în lista de probleme identificate. Important este ca aceste observații să fie transformate în decizii clare. Ce trebuie rezolvat imediat? Ce poate fi planificat pentru luna următoare? Ce trebuie monitorizat? Ce acces trebuie retras? Ce domenii trebuie închise? Ce furnizori trebuie întrebați despre configurare?

Pentru un ONG, o astfel de prioritizare este utilă deoarece resursele sunt limitate. Nu toate organizațiile pot investi imediat în audituri extinse, echipe dedicate sau soluții complexe. Totuși, aproape orice organizație poate începe cu o verificare externă a expunerii digitale și cu remedierea celor mai evidente riscuri.

Exemplele sunt concrete: activarea autentificării multifactor pentru conturile importante, eliminarea conturilor vechi, configurarea corectă a SPF, DKIM și DMARC, verificarea parolelor compromise, inventarierea domeniilor și subdomeniilor, închiderea paginilor vechi, revizuirea accesului furnizorilor și monitorizarea domeniilor asemănătoare.

Aceste măsuri nu oferă securitate absolută. Niciun set de măsuri nu poate garanta acest lucru. Dar reduc riscurile evidente și cresc capacitatea organizației de a demonstra că tratează responsabil infrastructura digitală pe care o folosește.

Igiena digitală ca parte din încrederea publică
Pentru ONG-uri, încrederea este un activ esențial. Donatorii trebuie să știe că susțin organizația reală. Beneficiarii trebuie să aibă siguranța că datele și comunicările lor sunt protejate. Partenerii trebuie să poată colabora fără riscul ca identitatea organizației să fie folosită în fraude sau campanii de phishing.

În ultimii ani, atacurile care folosesc identitatea vizuală a unor instituții, companii sau organizații au devenit mai ușor de realizat. Emailurile generate automat, paginile false, domeniile asemănătoare și mesajele personalizate fac ca diferența dintre comunicarea reală și cea frauduloasă să fie tot mai greu de observat pentru public.

De aceea, securitatea digitală nu mai poate fi redusă la antivirus sau parole. Ea include reputația domeniului, configurarea emailului, monitorizarea expunerii publice, controlul accesului și capacitatea de a reacționa rapid atunci când ceva este folosit abuziv.

O organizație care își verifică periodic expunerea online transmite un mesaj important: tratează infrastructura digitală cu aceeași responsabilitate cu care tratează proiectele, finanțările, comunicarea publică și relația cu beneficiarii.

CyberShield Scan, un prim pas pentru verificarea expunerii online
CyberShield Scan este un instrument disponibil online, creat pentru verificarea expunerii publice a emailului și a domeniului. Serviciul analizează elemente vizibile din exterior și poate oferi indicii despre riscuri care, altfel, ar putea fi observate abia după un incident.

Pentru ONG-uri, un astfel de instrument poate fi util ca prim pas într-un proces mai amplu de igienă digitală. Nu presupune acces intern la sisteme, nu cere schimbări tehnice înainte de verificare și poate ajuta organizația să înțeleagă ce informații sunt vizibile public.

Rezultatul poate sprijini decizii concrete: ce trebuie configurat, ce trebuie închis, ce conturi trebuie verificate, ce furnizori trebuie contactați și ce măsuri trebuie planificate. În unele cazuri, acolo unde postura digitală este suficient de bună, procesul poate fi asociat și cu un trust badge verificabil, util pentru comunicarea cu parteneri, donatori sau autorități.

Acest tip de verificare nu înlocuiește auditul de securitate, politicile interne sau instruirea echipei. Este însă un punct de pornire accesibil pentru organizațiile care vor să își reducă riscurile vizibile și să își protejeze mai bine identitatea digitală.

Într-un context în care atacurile sunt mai frecvente, mai automatizate și mai bine adaptate la identitatea organizațiilor, verificarea emailului și a domeniului nu mai este un exercițiu opțional. Este un pas rapid, accesibil și util pentru orice organizație care vrea să știe ce expune public înainte ca aceste informații să fie folosite împotriva ei.

Notă metodologică
Datele statistice agregate citate în articol provin dintr-o monitorizare proprie a surselor deschise, forumuri, canale Telegram de profil și leak sites, pentru perioada aprilie 2025, aprilie 2026, și se referă la incidente care au vizat organizații sau sisteme din România. Numele organizațiilor afectate nu sunt publicate în acest material. Lista detaliată este disponibilă la cerere, în cadrul unui raport tehnic.