Servicios Públicos Digitales en nuevos escenarios de ciberataque
Hemos visto varios casos de disrupciones de servicio en instituciones públicas, producto de ciberataques, esto llegó para quedarse, y debemos reaccionar frente a este nuevo escenario.
En el último tiempo hemos visto múltiples ciberataques en la región que han afectado a los sistemas y plataformas gubernamentales de varios países. El incremento de este tipo de situaciones ha sido significativo, algunas estimaciones hablan de 95% de incremento en el mundo en la segunda mitad de 2022. Y esta es una tendencia que se mantendrá a futuro como lo muestra la siguiente gráfica.
Casos Recientes
En el último año, hemos visto múltiples ejemplos de ataques a instituciones públicas, que han causado importantes disrupciones de servicio, con su consecuente costo financiero, humanos y finalmente en imagen. Algunos de los más bullados.
- Abril – 2022: Ataque ransomware a Costa Rica, y que paralizó a múltiples servicios públicos, incluyendo el Ministerio de Hacienda de ese país.
- Mayo-2022: Ataque a la Dirección General de Inteligencia del Ministerio del Interior de Perú, llevado a cabo en mayo de 2022.
- Septiembre-2022: Ataque al Estado Mayor Conjunto del Ejercito de Chile realizado en septiembre de 2022, en el que mas de 400 mil correos electrónicos fueron expuestos con información sensible y reservada.
- Julio-2023: Ataque al ministerio de justicia de Trinidad & Tobago que impactó todas las operaciones de dicho ministerio
- Septiembre-2023: Ataque al proveedor de servicios de infraestructura tecnológica IFXNetworks que dejó a múltiples servicios públicos de la región, tanto en Chile como en Colombia sin servicio, en el caso de Chile el principal afectado fue el portal de compras públicas – Chilecompra.
- Octubre-2023: Ataque al proveedor de servicios de infraestructura tecnológica GTD que le da servicios a instituciones públicas (gobiernos regionales y municipios) y empresas privadas, incluyendo el Servicio Civil del Estado de Chile, Superintendencia de Educación Superior, y el sistema de firmado electrónico del Gobierno de Chile entre otros.
Estos son sólo algunos ejemplos de lo que ha ocurrido en varios países de la región en materias de ciberseguridad.
Algunas medidas
Lo más probable es que este tipo de incidentes no haga más que aumentar a futuro, es por ello, que me parece que las instituciones públicas deben tomar medidas bastante urgentes, algunas reflexiones frente a esto:
- Evaluación de Riesgo: como una primera medida, es necesario que toda institución pública realice una evaluación de su riesgo operacional, para lo cual puede hacerlo, tanto en forma interna, como a través de empresas y consultores externos especialistas en materias de ciberseguridad. Un buen punto de partida, es hacer un auto-diagnóstico del estado del arte de su infraestructura y prácticas, para ello recomiendo la herramienta de ciber seguridad desarrollada por el Bnaco Interamericano de Desarrollo (BID), basada en el framework de la prestigiosa institución NIST de los Estados Unidos, les recomiendo la usen, es fácil de aplicar y les permitirá identificar de mejor forma sus riesgos.
- Análisis de Contratos: En aquellos casos en que los servicios de infraestructura TI sean prestados desde proveedores externos, remirar los contratos con este nuevo prisma, revisar sus acuerdos de niveles de servicios e incorporar la exigencia de auditorías de terceros en forma permanente. En el caso que una institución pública esté evaluando contar con un servicio de este tipo, incorporar nuevos elementos de análisis a los potenciales proveedores. En algunos de los casos mencionados y por la información que circula en medios de comunicación, se trató de una falta de diligencia en los procesos de actualización y mantención de las plataformas base, lo que llevó a que aumentaran los riesgos y vulnerabilidades.
- Planes de Contingencia: contar con planes de contingencia que permitan una operación alternativa en caso de una interrupción del servicio, ya que siempre existe la posibilidad de que un ataque sea exitoso, aunque se hayan tomado todas las medidas de prevención. Además, de contar con un plan, es fundamental realizar pruebas (lo más reales posible) de esos escenarios, ya que no basta con tener el plan, tengo que estar seguro de que funciona y realizar las comunicaciones al respecto.
- Estrategia comunicacional: En escenarios de ataque, es fundamental contar con una adecuada estrategia comunicacional para estos escenarios, algunos de los errores habituales de los procesos comunicacionales que hemos visto son: i) caer en largos silencios cuando se producen estos problemas, ii) centrar el tema en la identificación de culpables (en particular el proveedor tecnológico) y finalmente iii) no establecer un plan con fechas claras de operación. Aquí un ejemplo de lo que no hay que hacer.
- Habilitación de competencias: tanto a los equipos de TI como a los usuarios de la institución respecto del nuevo escenario que estamos enfrentando y la adopción de buenas prácticas en el uso de las tecnologías que tenemos a nuestros disposición, esto es una práctica permanente ya que todos los días están apareciendo nuevas amenazas.
Y recuerde, que a pesar de tomar todas las medidas y precauciones, podemos sufrir un ataque, pero al menos tomar estas medidas reduce sustancialmente los riesgos
Foto de Max Bender en Unsplash