⚡ Crisis Decision Engine

Analiza situațiilor și căi optime de soluționare

Situația

ID: INC-2026-0515-001
Creat: 2026-05-15 17:00
Stare: CRITICAL

Scanning campaign against East European utilities

reconnaissance_scanning critical_infrastructure non_responsive_victim cross_border_cooperation

Participanți

ElectroChișinău
🎯 Victimă (energetică)
RESPONDED
GridMD
🎯 Victimă (energetică)
PENDING 48h+
European Contact
🤝 Aliat
RESPONDED
Transelectrica
🤝 Aliat (România)
RESPONDED
Stelar
📡 Telecom
LOGS SENT
Moldcom
📡 Telecom (are întrebări)
HAS QUESTIONS

Indicatori cheie

GridMD: FĂRĂ RĂSPUNS 48+ ore — posibilă compromitere
ElectroChișinău: A SOLICITAT SUPORT — incident recunoscut
✅ European Contact: a oferit asistență la distanță
✅ Transelectrica CEO: ofertă proactivă de ajutor
📡 Stelar/Moldcom: trafic +3.4x, pierdere pachete 18%

Acțiuni deschise

⏰ Termen: ~2h
ACT-001: Clarificarea volumului de suport ElectroChișinău
⏰ Termen: mâine 09:00
ACT-002: Contact cu GridMD prin canal alternativ
⏰ Termen: ~4h
ACT-003: Clarificarea întrebărilor Telecom B
⏰ Termen: mâine 12:00
ACT-004: Acceptarea/coordonarea asistenței europene la distanță

📌 Incident 2: Ordine Publică / Proteste

ID: INC-2026-0516-002
Tip: Ordine publică / Comunicare compromis
Stare: ALERT

Compromiterea canalelor de comunicare a dus la criza de încredere publică

Evidențe

Breach: WhatsApp consilier Primărie Chișinău - mesaje private scurse
Public Trust: Proteste în fața Primăriei
Context: Parte a atacului cibernetic la scară națională

🔴 Incident 3: Atac Cyber-Fizic

ID: INC-2026-0515-003
Tip: Cyber-Physical Attack
Stare: CRITICAL

Corelare temporală confirmă atacul cauzal legat de efecte fizice

cyber_physical_attack grid_compromise modbus_exploitation temporal_correlation

Evidențe cheie

Stelar: Trafic +3.4x, pierdere pachete 18%, comutare pe LTE backup
GridMD: PTP deviation 200ms, SCADA RTU timeout 110kV, port 502 scanare
ElectroChișinău: AMI 4200 contoare inaccesibile, întrerupere Botanica, IPsec instabil
Corelație: Evenimente corelate temporal - atac cibernetic cauzal legat de efecte fizice

Cronologia evenimentelor

17:29 — European Threat Intelligence Feed
Scanare intensificată din Republic of Karst, ținte — utilități est-europene
17:29 — Ținte confirmate
ElectroChișinău și GridMD au fost scanate în ultimele 7 zile
17:29 — Solicitări trimise
Ambii operatori notificați, așteptare răspuns
18:46 — ElectroChișinău a răspuns
✅ Solicitare formală de cyber response support
18:46 — GridMD încă tace
❌ Fără răspuns 48+ ore
18:46 — Doi operatori telecom au trimis loguri
Telecom A: doar loguri | Telecom B: loguri + întrebări
18:46 — European Contact
✅ A oferit asistență la distanță
18:46 — Transelectrica CEO (RO)
✅ SMS directorului: "orice ajutor necesar"

Priorități de analiză

5
5
2
4
🏆 IMMEDIATE_DEFENSE 53.5
Consolidarea monitorizării și protecției țintelor confirmate
Timp:ore
Resurse:scăzute
Risc (succes):minim
Risc (eșec):țintele rămân vulnerabile
Probabilitate:85%
Acțiuni:
  • Solicită de la ElectroChișinău și GridMD logurile complete pe 7 zile
  • Distribuie IOC-uri tuturor participanților din sector
  • Activează monitorizare avansată pe nodurile critice
  • Pregătește canale de comunicare de rezervă
SILENCE_ESCALATION 53.0
GridMD nu răspunde — posibil deja compromis
Timp:ore
Resurse:medii
Risc (succes):detectare timpurie a compromiterii
Risc (eșec):panică, complicații diplomatice
Probabilitate:70%
Acțiuni:
  • Trimite solicitare prin regulatorul național de energie
  • Notifică National CERT Moldova
  • Avertizează rețelele vecine (Transelectrica, Ukrenergo)
  • Pregătește echipa pentru deplasare
COUNTER_RECON_ATTRIBUTION 43.0
Deanonimizarea sursei și analiza intenției
Timp:zile
Resurse:medii
Probabilitate:60%
WATCH_AND_WAIT 38.5
Nu se întreprind acțiuni active
⚠️ Date istorice: 0% rată de succes în situații similare
INTERNATIONAL_COOPERATION 38.0
Activarea mecanismelor europene
ACTIVE_DEFENSE 31.0
Măsuri preventive (risc crescut)

Lacune critice

❌ Lipsește: National CERT în lista de stakeholderi
❌ Lipsesc: IOC-uri exacte (IP, timestamps, semnături)
❌ Necunoscut: Starea GridMD — defecțiune tehnică sau compromitere?
❌ Necunoscut: Ce anume întrebări are Telecom B
❌ Investigare: Corelație temporală Stelar → întrerupere Botanica

Matricea deciziilor

Dacă ElectroChișinău răspunde cu semne de compromitere:
→ Escaladare la EMERGENCY, desfășurare echipă IR
Dacă GridMD rămâne indisponibil după 24h:
→ Activare SILENCE_ESCALATION, presupunere compromitere
Dacă asistența europeană este acceptată:
→ Partajare IOC-uri sanitizate, stabilire analiză comună
Dacă nivelul de încredere în atribuire ajunge la HIGH:
→ Briefing la nivel politic, pregătire comunicare publică

📤 Solicitări Centrul Național de Răspuns la Crize

Cereri oficiale trimise de CNRC către organizații partenere. Fișierele sunt în folderul solicitari/

📋 Procesare Automată — Răspunsuri Oficiale

Fiecare solicitare și incident este procesat individual. Răspunsurile sunt în format oficial CERT/CSIRT.

Chat AI — Întrebări despre situație

Puneți orice întrebare — AI va răspunde ținând cont de întregul context al incidentului.