În ultimele săptămâni, securitatea infrastructurii online a revenit în atenția mediului de afaceri după ce specialiștii au avertizat că mii de site-uri au fost compromise, iar peste 1,5 milioane de servere și platforme online au fost expuse la atacuri informatice automate. Informația a fost transmisă de cyber_Folks România și preluată de AGERPRES, într-o știre publicată pe 22 mai 2026. Potrivit comunicatului citat, atacatorii au exploatat probleme de securitate apărute în tehnologii folosite la scară globală, precum WordPress, cPanel, Apache și Microsoft SharePoint.
Dincolo de dimensiunea tehnică a știrii, mesajul principal este unul de business: orice companie care are un site, adrese de e-mail, baze de date sau servicii digitale conectate la internet poate deveni țintă. Nu mai vorbim doar despre corporații, bănci sau infrastructuri critice, ci și despre magazine online, firme de servicii, agenții, cabinete, furnizori locali sau companii care folosesc infrastructură standard de hosting.
O lună aglomerată pentru securitatea cibernetică
Perioada aprilie-mai 2026 a fost descrisă de specialiști ca una dintre cele mai aglomerate din ultimii ani pentru echipele de securitate cibernetică. Motivul principal a fost apariția succesivă a mai multor vulnerabilități critice în platforme foarte răspândite. Atunci când o vulnerabilitate afectează un sistem folosit de milioane de site-uri sau servere, atacatorii nu trebuie să caute manual fiecare victimă. Ei pot automatiza scanarea internetului și pot exploata rapid sistemele neactualizate.
Știrea citată de AGERPRES arată că problemele au afectat sisteme folosite zilnic pentru administrarea site-urilor, e-mailurilor și infrastructurii online. Printre tehnologiile menționate se află WordPress, cPanel, Apache și Microsoft SharePoint, adică exact tipul de software pe care numeroase companii îl folosesc fără să îl considere neapărat o zonă critică de risc.
În unele cazuri, atacurile au început chiar înainte ca actualizările oficiale de securitate să fie disponibile. Această situație este deosebit de dificilă pentru echipele tehnice, deoarece nu există încă un patch clar, iar protecția trebuie realizată prin soluții temporare: izolarea unor servicii, blocarea unor vectori de atac, aplicarea de reguli suplimentare la nivel de server sau intervenții manuale pe sisteme vechi.
De ce atacurile automate schimbă regulile jocului
Atacurile automate sunt periculoase tocmai pentru că nu aleg victimele în funcție de notorietate. Un magazin online mic poate fi scanat și atacat la fel ca o companie mare, dacă folosește aceeași versiune vulnerabilă a unui plugin, a unui panou de administrare sau a unui server web. În acest context, ideea că „nu suntem suficient de mari ca să fim atacați” devine tot mai greșită.
Horațiu Șimon, Chief Technology Officer cyber_Folks România, a explicat că au existat situații în care vulnerabilitățile au fost detectate la câteva minute după apariția informațiilor publice, iar măsurile de protecție au fost aplicate în câteva ore. Într-un caz, aproximativ 900 de servere au fost protejate într-o oră și 30 de minute, prin workaround-uri temporare, izolări de servicii vulnerabile și intervenții manuale.
Această viteză arată cât de importantă este reacția imediată. În securitate cibernetică, diferența dintre o problemă gestionată și un incident major poate fi de ordinul minutelor sau orelor. O companie care nu are monitorizare, backup funcțional și proceduri clare poate descoperi prea târziu că site-ul a fost compromis, că datele au fost copiate sau că fișierele au fost criptate.
Ce consecințe pot avea astfel de breșe
Consecințele raportate în astfel de atacuri nu sunt minore. Potrivit informațiilor publicate, printre efecte s-au numărat accesul neautorizat la servere, instalarea de malware, criptarea fișierelor și ștergerea backup-urilor existente. Acest ultim element este extrem de important, pentru că multe companii cred că simpla existență a unui backup le protejează automat. În realitate, dacă backup-ul este conectat permanent la aceeași infrastructură, el poate fi șters sau criptat odată cu sistemul principal.
Pentru o firmă mică sau medie, un astfel de incident poate însemna blocarea vânzărilor, pierderea comenzilor, afectarea comunicării cu clienții, costuri de remediere și deteriorarea încrederii. Dacă atacul implică date personale, pot apărea și obligații de notificare sau riscuri legale. Dacă site-ul este folosit pentru lead-uri, programări sau plăți online, o întrerupere de câteva zile poate deveni rapid o problemă comercială serioasă.
În cazul magazinelor online, impactul este și mai vizibil. Un site infectat poate redirecționa clienții către pagini malițioase, poate intercepta date, poate trimite spam sau poate fi marcat de browsere și motoare de căutare ca nesigur. Chiar și după curățarea tehnică, recuperarea reputației poate dura mai mult decât remedierea efectivă a serverului.
Inteligența artificială accelerează atacurile
Un alt detaliu important este rolul inteligenței artificiale în accelerarea atacurilor. Specialiștii citați afirmă că, dacă în trecut puteau trece zile sau săptămâni între publicarea unei vulnerabilități și exploatarea ei în masă, astăzi atacatorii pot genera exploit-uri funcționale în câteva ore cu ajutorul AI.
Această schimbare comprimă dramatic fereastra de reacție. Companiile nu mai pot funcționa pe logica „vedem săptămâna viitoare dacă facem update”. Atunci când informațiile despre o vulnerabilitate devin publice, ele sunt citite nu doar de administratori și specialiști în securitate, ci și de atacatori care pot automatiza rapid exploatarea.
În paralel, phishingul a devenit mai greu de detectat. E-mailurile de phishing în limba română sunt tot mai bine redactate, personalizate și dificil de deosebit de comunicarea legitimă. Greșelile gramaticale, formulele ciudate și semnele evidente de fraudă nu mai sunt indicatori suficienți. Pentru angajați, asta înseamnă că instruirea periodică devine la fel de importantă ca antivirusul sau firewall-ul.
IMM-urile sunt mai expuse decât cred
Firmele mici și medii sunt vulnerabile nu pentru că ar fi neapărat mai vizate, ci pentru că au adesea mai puține resurse dedicate securității. Multe folosesc infrastructură standard de hosting, site-uri WordPress administrate ocazional, conturi de e-mail fără autentificare multi-factor și backup-uri neverificate. Într-un mediu în care atacurile sunt automate, aceste lipsuri devin oportunități pentru atacatori.
G4Media, care a preluat analiza cyber_Folks citând AGERPRES, subliniază aceeași idee: firmele mici și mijlocii sunt tot mai vulnerabile, mai ales cele care nu au echipe IT dedicate și depind de infrastructuri comune pentru site-uri, e-mailuri sau magazine online. Publicația notează și că orice incident tehnic sau breșă de securitate poate avea efecte directe asupra vânzărilor și relației cu clienții.
Aceasta este o schimbare de perspectivă importantă. Securitatea nu mai poate fi tratată ca o cheltuială opțională sau ca un detaliu tehnic externalizat complet. Ea devine o condiție pentru continuitatea activității. Pentru multe afaceri, site-ul, e-mailul și baza de date nu mai sunt accesorii, ci infrastructura prin care compania funcționează zilnic.
NIS2 aduce securitatea în zona de responsabilitate managerială
În acest context, Directiva NIS2 devine relevantă nu doar pentru companiile mari, ci și pentru întregul ecosistem de furnizori, parteneri și subcontractori. Știrea AGERPRES menționează că firmele din sectoare esențiale sau importante trebuie să implementeze măsuri tehnice și organizatorice, să raporteze incidentele majore în maximum 24 de ore și să demonstreze că își pot relua activitatea după un atac. Amenzile pentru neconformare pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri globală.
Documentele de informare privind NIS2 arată că directiva extinde cerințele de securitate către numeroase sectoare și introduce obligații legate de gestionarea riscurilor, raportarea incidentelor, audituri, continuitatea activității și responsabilitatea managementului. O broșură dedicată NIS2 menționează că raportarea incidentelor presupune avertizare timpurie în 24 de ore, notificare în 72 de ore și un raport detaliat ulterior.
Pentru antreprenori, ideea centrală este că securitatea nu mai poate rămâne doar în responsabilitatea tehnicianului sau a firmei de hosting. Conducerea trebuie să înțeleagă riscurile, să aprobe măsuri, să aloce buget și să ceară dovezi că backup-urile, actualizările, monitorizarea și planurile de intervenție chiar funcționează.
Lanțul de aprovizionare devine o zonă critică
Unul dintre cele mai importante efecte ale NIS2 este atenția acordată lanțului de aprovizionare. Chiar dacă o firmă mică nu intră direct sub incidența directivei, ea poate fi afectată indirect dacă lucrează cu o entitate mai mare, aflată în domeniul de aplicare al reglementării. Clienții mari vor cere tot mai des dovezi privind securitatea furnizorilor lor.
OUG-ul privind transpunerea Directivei NIS2 în România pornește chiar de la realitatea că intensificarea incidentelor cibernetice are impact asupra infrastructurilor critice inclusiv prin compromiterea lanțului de aprovizionare. Documentul menționează și incidentul din primul trimestru al anului 2024, care a afectat 26 de spitale din România prin intermediul unui furnizor de servicii gestionate.
Această logică este esențială pentru piața românească. O companie poate avea măsuri interne bune, dar poate fi expusă prin furnizori de mentenanță, firme IT, platforme de găzduire, aplicații terțe sau conturi compromise ale colaboratorilor. Din acest motiv, securitatea devine o problemă de ecosistem, nu doar de infrastructură proprie.
Ce ar trebui să facă practic o companie
Primul pas este inventarierea: ce site-uri există, unde sunt găzduite, cine are acces, ce versiuni de software rulează, ce pluginuri sunt instalate, unde sunt backup-urile și cine primește alertele de securitate. Fără această imagine de ansamblu, compania nu știe ce trebuie protejat și nici cât de repede poate reacționa.
Al doilea pas este igiena tehnică de bază: actualizări regulate, autentificare multi-factor, parole unice, limitarea accesului administrativ, backup-uri separate și testate, certificate SSL valide, monitorizare a fișierelor și logurilor, plus un plan clar de intervenție. Ghidurile NIS2 recomandă abordarea Prepare, Protect, Detect, Respond & Recover, adică pregătire, protecție, detecție, răspuns și recuperare.
Al treilea pas este instruirea oamenilor. Atacurile nu vin doar prin vulnerabilități tehnice, ci și prin e-mailuri, atașamente, linkuri, parole refolosite și acces acordat prea ușor. Dacă phishingul în limba română devine tot mai convingător, angajații trebuie să știe cum verifică o solicitare, cum raportează un mesaj suspect și ce nu trebuie să facă niciodată sub presiune.
Securitatea online devine parte din continuitatea afacerii
Știrea despre miile de site-uri compromise și cele peste 1,5 milioane de servere și platforme expuse nu trebuie citită ca o alarmă izolată. Ea descrie o tendință mai largă: atacurile devin mai rapide, mai automate și mai ușor de scalat. În același timp, companiile sunt tot mai dependente de infrastructura digitală, iar o breșă tehnică se poate transforma rapid într-o problemă financiară, juridică și reputațională.
Pentru firmele mici și medii, concluzia este simplă: securitatea cibernetică nu mai este un lux și nici un subiect rezervat corporațiilor. Un site neactualizat, un panou de administrare expus, un backup prost configurat sau un e-mail compromis pot afecta direct activitatea zilnică. În acest nou context, întrebarea nu mai este dacă o companie poate fi atacată, ci cât de repede observă atacul și cât de bine poate reveni după el.
Adevărata maturitate digitală nu înseamnă doar să ai un site, un magazin online sau aplicații conectate la internet. Înseamnă să le poți proteja, monitoriza și recupera atunci când ceva nu merge bine. Iar pentru companiile românești, aceasta devine una dintre condițiile esențiale ale încrederii în mediul online.
Surse:
Cyber_Folks România: Mii de site-uri compromise și peste 1,5 milioane expuse la atacuri cibernetice în ultima lună