Incidentul a fost notificat oficial către Directoratul Național de Securitate Cibernetică (DNSC) în data de 20 decembrie 2025 și este considerat unul dintre cele mai ample atacuri informatice din ultimii ani asupra unei instituții publice cu rol strategic.

„Din pricina acestui incident cibernetic, aproximativ 1.000 sisteme IT&C au fost compromise, inclusiv servere de aplicații de tip Geographical Information System (GIS), servere de baze de date, stații de lucru Windows, servere Windows Server, servere de e-mail/web și Domain Name Servers (DNS)“, transmite DNSC.

Reprezentanții Administrației Naționale Apele Române au precizat că tehnologiile operaționale (OT – Operational Technologies) nu au fost afectate, iar activitatea curentă se desfășoară în parametri normali. Operarea structurilor hidrotehnice se realizează exclusiv prin dispecerate, folosind comunicații vocale, iar construcțiile hidrotehnice sunt în siguranță, fiind gestionate local de personalul de specialitate.

În prezent, echipele tehnice ale DNSC, ale Administrației Naționale Apele Române, ale Centrul Național Cyberint (CNC) din cadrul Serviciul Român de Informații, precum și specialiști ai altor autorități cu atribuții în domeniul securității cibernetice, sunt implicate activ în investigarea incidentului și în limitarea impactului acestuia.

O vulnerabilitate majoră semnalată de specialiști este faptul că infrastructura IT&C a Apelor Române nu era, până în prezent, integrată în sistemul național de protecție a infrastructurilor critice operat de CNC. Autoritățile au inițiat deja demersurile necesare pentru includerea acestei infrastructuri în sistemele de protecție cibernetică dezvoltate la nivel național, prin utilizarea unor tehnologii inteligente de prevenție și detecție.

„În urma unei evaluări tehnice inițiale, s-a constatat faptul că atacatorii s-au folosit de un mecanism legitim de criptare pentru sistemul de operare Windows, denumit ‘BitLocker’, care a fost utilizat în scop malițios, pentru a produce blocarea prin criptare a fișierelor de pe sistemul respectiv. La acest moment a fost transmisă o notă de răscumpărare din partea atacatorilor, care solicită să fie contactați într-un termen de 7 zile. Reamintim că politica și recomandarea strictă din partea DNSC este ca victimele atacurilor de tip ransomware să nu contacteze și să nu negocieze cu atacatorii cibernetici, pentru a nu se încuraja și a nu se finanța acest fenomen infracțional“, se mai arată în comunicat.

De asemenea, DNSC recomandă ca „echipele IT&C ale Administrației Naționale Apele Române sau ale administrațiilor bazinale să nu fie contactate, pentru a se putea concentra pe restaurarea serviciilor informatice“.